Regeringskansliets rättsdatabaser

Regeringens proposition 2025/26:48 En modern lagstiftning för Kriminalvårdens personuppgiftsbehandling Prop. 2025/26:48 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 13 november 2025 Ebba Busch Gunnar Strömmer (Justitiedepartementet) Propositionens huvudsakliga innehåll Regeringen föreslår ändringar i lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område och i tre andra lagar. Syftet med ändringarna är bl.a. att skapa en mer modern, generell och ändamålsenlig personuppgiftsreglering som upprätthåller ett högt integritetsskydd. Ändringarna innebär i stort att Kriminalvården får större möjligheter att behandla de personuppgifter som behövs för att myndigheten ska kunna verkställa påföljder på ett effektivt och säkert sätt. Samtidigt stärks skyddet för den personliga integriteten. Kriminalvården får också utökade möjligheter att använda ansiktsigenkänning, vilket i viss mån kan underlätta myndighetens expansion. Lagändringarna föreslås träda i kraft den 1 april 2026. Innehållsförteckning 1Förslag till riksdagsbeslut4 2Lagtext5 2.1Förslag till lag om ändring i lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område5 2.2Förslag till lag om ändring i fängelselagen (2010:610)15 2.3Förslag till lag om ändring i kriminalvårdsdatalagen (2018:1235)16 2.4Förslag till lag om ändring i lagen (2025:000) om verkställighet av fängelsestraff med elektronisk övervakning17 3Ärendet och dess beredning18 4Lagstiftningen för Kriminalvårdens personuppgiftsbehandling behöver moderniseras18 4.1Kort om lagstiftningen för Kriminalvårdens personuppgiftsbehandling18 4.2Lagstiftningen behöver moderniseras19 5Gemensamt tillgängliga uppgifter21 5.1Särskilda bestämmelser för behandling av gemensamt tillgängliga uppgifter21 5.2Personuppgifter som får göras gemensamt tillgängliga25 5.2.1Uppgifter om Kriminalvårdens klienter25 5.2.2Uppgifter om andra personer än klienter31 5.3Krav på särskilda upplysningar i vissa fall33 5.4Sökning i gemensamt tillgängliga uppgifter34 5.4.1Det behövs inte någon generell sökbegränsning34 5.4.2Sökning på känsliga personuppgifter35 6Biometri inom Kriminalvården37 6.1Kriminalvårdens behov av att använda biometri37 6.2Kriminalvårdens möjligheter att använda ansiktsigenkänning40 6.2.1Fotografering för ansiktsigenkänning40 6.2.2Behandling av biometriska uppgifter för ansiktsigenkänning43 7Längsta tid som personuppgifter får behandlas45 7.1Längsta tid för behandling ska regleras i lag45 7.2Personuppgifter som inte har gjorts gemensamt tillgängliga46 7.3Personuppgifter som har gjorts gemensamt tillgängliga47 7.3.1Uppgifter om personer som varit häktade47 7.3.2Uppgifter från personutredningar48 7.3.3Uppgifter om dömda48 7.3.4Uppgifter om andra personer än klienter51 7.3.5Övriga personuppgifter52 7.4Särskilda bestämmelser om vissa personuppgifter52 7.4.1Uppgifter som tagits fram genom elektronisk övervakning52 7.4.2Biometriska uppgifter53 8Säkerhetsregistret55 8.1Ett breddat säkerhetsregister55 8.1.1Fler häktade och fängelsedömda ska kunna registreras56 8.1.2Fler frivårdsklienter ska kunna registreras59 8.1.3Fler personer med koppling till den organiserade brottsligheten ska kunna registreras60 8.2Tydligare regler om säkerhetsregistret63 9Direktåtkomst och bestämmelser med sekretessbrytande verkan65 9.1Direktåtkomst65 9.2Bestämmelser med sekretessbrytande verkan67 10Rätt att meddela föreskrifter74 11Ikraftträdande- och övergångsbestämmelser75 12Konsekvenser av förslagen76 13Författningskommentar79 13.1Förslaget till lag om ändring i lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område79 13.2Förslaget till lag om ändring i fängelselagen (2010:610)95 13.3Förslaget till lag om ändring i kriminalvårdsdatalagen (2018:1235)96 13.4Förslaget till lag om ändring i lagen (2025:000) om verkställighet av fängelsestraff med elektronisk övervakning96 Sammanfattning av departementspromemorian En modern lagstiftning för Kriminalvårdens personuppgiftsbehandling (Ds 2023:21)98 Promemorians lagförslag103 Förteckning över remissinstanserna115 Lagrådsremissens lagförslag116 Lagrådets yttrande129 Utdrag ur protokoll vid regeringssammanträde den 13 november 2025130 Förslag till riksdagsbeslut Regeringens förslag: Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område. Riksdagen antar regeringens förslag till lag om ändring i fängelselagen (2010:610). Riksdagen antar regeringens förslag till lag om ändring i kriminalvårdsdatalagen (2018:1235). Riksdagen antar regeringens förslag till lag om ändring i lagen (2025:000) om verkställighet av fängelsestraff med elektronisk övervakning. Lagtext Regeringen har följande förslag till lagtext. Förslag till lag om ändring i lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område Härigenom föreskrivs i fråga om lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område dels att 2 kap. 5 § ska upphöra att gälla, dels att rubriken närmast före 2 kap. 5 § ska utgå, dels att nuvarande 2 kap. 6 § ska betecknas 2 kap. 8 §, nuvarande 3 kap. 1–8 §§ ska betecknas 4 kap. 1–8 §§ och nuvarande 4 kap. 1–3 §§ ska betecknas 6 kap. 1–3 §§, dels att de nya 2 kap. 8 §, 4 kap. 2–4 och 6–8 §§ och 6 kap. 1 § och rubrikerna till 3 och 6 kap. ska ha följande lydelse, dels att rubriken till 4 kap. ska lyda ”Säkerhetsregistret”, dels att rubriken närmast före 2 kap. 6 § ska sättas närmast före 2 kap. 8 §, rubrikerna närmast före 3 kap. 1, 2 och 5–8 §§ ska sättas närmast före 4 kap. 1, 2, 5, 6, 7 respektive 8 § och rubrikerna närmast före 4 kap. 1–3 §§ ska sättas närmast före 6 kap. 1, 2 respektive 3 §, dels att det ska införas ett nytt kapitel, 5 kap., och elva nya paragrafer, 2 kap. 5–7 §§, 3 kap. 1–7 §§ och 4 kap. 4 a §, och närmast före 3 kap. 1, 2 och 4–7 §§ nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. 5 § Regeringskansliet, Polismyndigheten, Säkerhetspolisen och Tullverket har, trots sekretess enligt 18 kap. 11 §, 21 kap. 3 § första stycket och 35 kap. 15 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården med stöd av 3 kap. 2 eller 3 §, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177). 6 § Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Åklagarmyndigheten har, trots sekretess enligt 18 kap. 11 §, 21 kap. 3 § första stycket och 35 kap. 15 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter i säkerhetsregistret som förs enligt 4 kap., om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177). 7 § Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 § och 4 kap. 6 §. 6 § 8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. vilka personuppgifter som får behandlas enligt 1 §, 1. vilka personuppgifter som får behandlas enligt 1 §, och 2. utlämnande av personuppgifter i andra fall än som anges i 4 §, 2. utlämnande av personuppgifter i andra fall än som anges i 4–6 §§. 3. frågor som rör elektroniskt utlämnande genom direktåtkomst, 4. längsta tid som personuppgifter får behandlas, och 5. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 5 §. 3 kap. Gemensamt tillgängliga uppgifter Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 eller 3 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:1177). Personuppgifter som får göras gemensamt tillgängliga 2 § Personuppgifter får göras gemensamt tillgängliga om uppgifterna avser en person som 1. är häktad, anhållen eller gripen med anledning av misstanke om brott eller verkställighet av påföljd eller utvisning, 2. är dömd till en påföljd som ska verkställas inom Kriminalvården, 3. genom en utländsk dom eller ett utländskt beslut är dömd till en påföljd som kan komma att verkställas i Sverige, 4. genom en svensk dom eller ett svenskt beslut är dömd till en annan påföljd än som avses i 2 som kan komma att verkställas i ett annat land, 5. annars är frihetsberövad inom Kriminalvården för något av de syften som anges i 2 kap. 1 §, eller 6. är föremål för personutredning enligt 1 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. 3 § När personuppgifter om en person som anges i 2 § behandlas, får uppgifter om följande personer göras gemensamt tillgängliga: 1. närstående och andra som har nära förbindelse med den registrerade, 2. personer som på grund av tjänst eller uppdrag eller av annan anledning har kontakt med den registrerade, och 3. målsägande. Särskild upplysning 4 § Om det inte framgår av sammanhanget eller på annat sätt att personuppgifter som har gjorts gemensamt tillgängliga avser en person som inte är häktad eller avtjänar en påföljd inom Kriminalvården, ska det tydliggöras genom en särskild upplysning. Känsliga personuppgifter 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:1177) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1, 2, 3 eller 5. Direktåtkomst 6 § Regeringskansliet, Polismyndigheten, Säkerhetspolisen och Tullverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården. Regeringskansliet får dock medges direktåtkomst endast till sådana uppgifter som behövs i ärenden om nåd. Rätt att meddela föreskrifter 7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. vilka personuppgifter som får göras gemensamt tillgängliga, och 2. omfattningen av direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga och om behörighet och säkerhet vid sådan åtkomst. 3 kap. 4 kap. 2 § I säkerhetsregistret får uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff och som är eller har varit placerad på en säkerhetsavdelning. I säkerhetsregistret får personuppgifter behandlas om en person som är häktad eller dömd till fängelse och som är eller har varit placerad på eller uppfyller kraven för att placeras på en säkerhetsavdelning. I registret får även uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff, om det finns risk för att han eller hon I registret får även personuppgifter behandlas om en person som är häktad eller avtjänar ett fängelsestraff, om det finns risk för att han eller hon 1. under häktning eller verkställighet av fängelsestraff begår brott som inte är ringa eller utövar brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer, 2. förbereder rymning eller försöker rymma, 3. blir föremål för fritagning, 4. bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt, eller 4. bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte, i en kriminalvårdsanstalt eller i en annan lokal där Kriminalvården bedriver verksamhet, 5. under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot. 5. under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot, eller 6. utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. 3 § I säkerhetsregistret får även uppgifter behandlas om en person som verkställer en påföljd inom kriminalvården, om det finns risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i kriminalvårdens lokaler. I säkerhetsregistret får även personuppgifter behandlas om en person som avtjänar en annan påföljd än fängelse inom Kriminalvården, om det finns risk för att han eller hon 1. bidrar till att allvarligt störa ordningen eller säkerheten i Kriminalvårdens lokaler, 2. under verkställighet utsätts för våld eller hot, eller 3. utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. 4 § Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som anges i 2 §. Om den personen inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning. Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla personuppgifter om en person som är närstående till eller har annan nära förbindelse med en person som anges i 2 §. Om personen inte är häktad eller avtjänar en påföljd inom Kriminalvården ska det framgå genom en särskild upplysning. 4 a § Om det är absolut nödvändigt för att Kriminalvården ska kunna upprätthålla säkerheten på ett häkte eller i en kriminalvårdsanstalt, får myndigheten i säkerhetsregistret behandla personuppgifter om en person som kan antas tillhöra eller verka för en organisation eller grupp som utövar allvarlig brottslig verksamhet. Om personen inte är häktad eller avtjänar en påföljd inom Kriminalvården ska det framgå genom en särskild upplysning. 6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) medges direktåtkomst till personuppgifter i säkerhetsregistret. Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Åklagarmyndigheten får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) medges direktåtkomst till personuppgifter i säkerhetsregistret. 7 § Personuppgifter i säkerhetsregistret får inte behandlas längre än fem år efter det att 1. den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte, 1. den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har avtjänat straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte, 2. den registrerade helt har verkställt en sådan påföljd som avses i 3 §, eller 2. den registrerade helt har avtjänat en sådan påföljd som avses i 3 §, 3. den person som en registrerad har personlig anknytning till eller annan nära förbindelse med enligt 4 §, har blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte. 3.  den person som en registrerad är närstående till eller har annan nära förbindelse med enligt 4 §, har blivit villkorligt frigiven från ett fängelsestraff eller annars helt har avtjänat straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte, eller 4. den senaste registreringen om en persons anknytning till brottslig verksamhet enligt 4 a § gjordes. Om personuppgifter om en person som dömts till fängelse behandlas enligt 2 § första stycket och personen inte slutligt döms till fängelse och inte har påbörjat verkställigheten, får uppgifterna inte behandlas längre än tre månader efter det att domen eller beslutet fick laga kraft. Detsamma gäller personuppgifter om en person som den registrerade är närstående till eller har annan nära förbindelse med enligt 4 §. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av denna paragraf. 8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om innehållet i säkerhetsregistret och om utlämnande av personuppgifter ur registret. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. innehållet i säkerhetsregistret, och 2. omfattningen av direktåtkomst till uppgifter i registret och om behörighet och säkerhet vid sådan åtkomst. 5 kap. Längsta tid som personuppgifter får behandlas Allmänna bestämmelser 1 §    Detta kapitel gäller bara för automatiserad behandling. Av 2 kap. 17 § första stycket brottsdatalagen (2018:1177) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I 4 kap. 7 § finns bestämmelser om hur länge personuppgifter i säkerhetsregistret får behandlas. 2 §    Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av detta kapitel. Personuppgifter som inte har gjorts gemensamt tillgängliga 3 §    Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än 1. ett år efter det att ärendet avslutades, om uppgifterna behandlades i ett ärende, eller 2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Personuppgifter som har gjorts gemensamt tillgängliga 4 §    Personuppgifter om en person som har varit häktad och som inte har dömts till en påföljd som ska verkställas inom Kriminalvården får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än fem år efter det att häktningen hävdes. 5 §    Personuppgifter om en person som har varit föremål för personutredning enligt lagen (1991:2041) om särskild personutredning i brottmål, m.m. och som inte har varit häktad eller dömts till en påföljd som ska verkställas inom Kriminalvården får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än två år efter att det mål i vilket personutredningen gjordes har avgjorts genom en dom eller ett beslut som har fått laga kraft. 6 §    Personuppgifter om en person som har dömts till en påföljd som ska verkställas inom Kriminalvården får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än tio år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl. Om personen inte slutligt döms till en påföljd som ska verkställas inom Kriminalvården, får uppgifter som behandlas med anledning av den tidigare utdömda påföljden inte behandlas längre än tre månader efter det att domen eller beslutet fick laga kraft. Om verkställigheten har påbörjats tillämpas i stället första stycket. 7 §    Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 3 § får inte behandlas längre än vad uppgifterna om den registrerade behandlas. 8 §    Andra personuppgifter än sådana som avses i 4–7 §§, och som har gjorts gemensamt tillgängliga, får inte behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört. Särskilda bestämmelser om vissa uppgifter 9 §    Personuppgifter som har tagits fram genom elektronisk övervakning vid verkställighet av en påföljd får inte behandlas längre än tre månader efter det att de behandlades automatiserat första gången. Om uppgifterna behövs vid prövning av fråga om verkställighet får de dock behandlas till dess beslutet har fått laga kraft. 10 §    Biometriska uppgifter som har tagits fram för biometrisk autentisering av en person som dömts till fängelse, får inte behandlas längre än tre månader efter det att det senaste fängelsestraffet helt har verkställts eller upphört av annat skäl. Rätt att meddela föreskrifter 11 §    Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att vissa kategorier av personuppgifter får behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i lagen, 2. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i någon av 3–5 §§, 6 § första stycket eller 8 §, och 3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 4 kap. Övriga bestämmelser 6 kap. Övriga bestämmelser 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 4 § om särskild upplysning, eller 2. 3 kap. 4 § eller 4 kap. 4 eller 4 a § om särskilda upplysningar, eller 3. 2 kap. 5 § eller 3 kap. 7 § om den längsta tid som personuppgifter får behandlas. 3. 4 kap. 7 § eller någon av 5 kap. 3–10 §§ om den längsta tid som personuppgifter får behandlas. sanktionsavgift får också tas ut vid överträdelse av föreskrifter som har meddelats i anslutning till denna lag om särskild upplysning eller om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Denna lag träder i kraft den 1 april 2026. Förslag till lag om ändring i fängelselagen (2010:610) Härigenom föreskrivs att 8 kap. 1 § fängelselagen (2010:610) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 kap. 1 § För att underlätta identifieringen av en intagen får fotografi tas av honom eller henne. Fotografi får tas av en intagen för biometrisk autentisering eller annan identifiering av honom eller henne. Denna lag träder i kraft den 1 april 2026. Förslag till lag om ändring i kriminalvårdsdatalagen (2018:1235) Härigenom föreskrivs att 3 § kriminalvårdsdatalagen (2018:1235) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 3 § Personuppgifter får behandlas om det är nödvändigt för att verkställa frihetsberövanden eller genomföra transporter. Uppgifter i Kriminalvårdens säkerhetsregister får dock endast behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Uppgifter från Kriminalvårdens säkerhetsregister får dock endast behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Denna lag träder i kraft den 1 april 2026. Förslag till lag om ändring i lagen (2025:000) om verkställighet av fängelsestraff med elektronisk övervakning Härigenom föreskrivs i fråga om lagen (2025:000) om verkställighet av fängelsestraff med elektronisk övervakning dels att 4 kap. 5 § ska ha följande lydelse, dels att det ska införas en ny paragraf, 2 kap. 7 §, av följande lydelse. Lydelse enligt prop. 2024/25:202 Föreslagen lydelse 2 kap. 7 § Fotografi får tas av den dömde för biometrisk autentisering eller annan identifiering av honom eller henne. 4 kap. 5 § Vid verkställighet i kontrollerat boende ska 1. 5 kap. fängelselagen (2010:610) tillämpas i fråga om personliga tillhörigheter, 2. 7 kap. 1–3 och 6–10 §§ fängelselagen tillämpas i fråga om besök och försändelser, och 3. 8 kap. 1–5, 7, 8–11 och 13 §§ fängelselagen tillämpas i fråga om kontroll- och tvångsåtgärder. 3. 8 kap. 2–5, 7, 8–11 och 13 §§ fängelselagen tillämpas i fråga om kontroll- och tvångsåtgärder. En kontroll- eller tvångsåtgärd enligt första stycket får endast användas om den står i rimlig proportion till syftet med åtgärden. Om en mindre ingripande åtgärd är tillräcklig ska den användas. Denna lag träder i kraft den 1 april 2026. Ärendet och dess beredning En utredare fick i maj 2022 i uppdrag att göra en fullständig översyn av lagstiftningen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område (Ju2022/01554). Uppdraget redovisades i juni 2023 genom promemorian En modern lagstiftning för Kriminalvårdens personuppgiftsbehandling (Ds 2023:21). En sammanfattning av promemorian finns i bilaga 1. Promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena finns tillgängliga på regeringens webbplats (www.regeringen.se) och i Justitiedepartementet (Ju2023/01603). I denna proposition behandlas promemorians lagförslag. Lagrådet Regeringen beslutade den 16 oktober 2025 att inhämta Lagrådets yttrande över lagförslaget i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet lämnar förslaget utan erinran. I förhållande till lagrådsremissen görs en språklig och redaktionell ändring. Lagstiftningen för Kriminalvårdens personuppgiftsbehandling behöver moderniseras Kort om lagstiftningen för Kriminalvårdens personuppgiftsbehandling EU:s dataskyddsregelverk Den generella regleringen om behandling av personuppgifter inom EU finns dels i dataskyddsförordningen, ofta kallad GDPR (Europaparlamentets och rådets förordning [EU] 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG [allmän dataskyddsförordning]), dels i dataskyddsdirektivet (Europaparlamentets och rådets direktiv [EU] 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF). Dataskyddsförordningen utgör grunden för den generella personuppgiftsbehandlingen inom EU. Syftet med förordningen är dels att skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd vid behandling av personuppgifter, dels att genom en likvärdig skyddsnivå i medlemsstaterna säkerställa ett fritt flöde av personuppgifter inom unionen. Dataskyddsförordningen gäller inte för sådan personuppgiftsbehandling som omfattas av dataskyddsdirektivet tillämpningsområde (artikel 2.2 d i dataskyddsförordningen). Dataskyddsförordningen kompletteras av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning med tillhörande förordning och, för Kriminalvårdens del, kriminalvårdsdatalagen (2018:1235). Dataskyddsdirektivet, som behandlar dataskyddet vid bl.a. brottsbekämpning, lagföring och straffverkställighet, har i huvudsak genomförts genom brottsdatalagen (2018:1177) och brottsdataförordningen (2018:1202). Brottsdatalagen är generellt tillämplig inom det område som dataskyddsdirektivet reglerar, men subsidiär i förhållande till annan lag eller förordning. För flera myndigheter i rättskedjan infördes under 2019 nya lagar och förordningar som kompletterar brottsdatalagen. De författningarna är anpassade efter de särskilda behov och förutsättningar som de olika myndigheterna har. Kriminalvårdens brottsdatalag Som för andra myndigheter i rättskedjan anpassades Kriminalvårdens lagstiftning till brottsdatalagen genom en ny lag och tillhörande förordning, lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område (kriminalvårdens brottsdatalag) och förordningen (2018:1746) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område (kriminalvårdens brottsdataförordning). Kriminalvårdens brottsdatalag gäller när Kriminalvården eller någon av övervakningsnämnderna behandlar personuppgifter inom brottsdatalagens tillämpningsområde, såsom när myndigheterna behandlar personuppgifter i syfte att verkställa straffrättsliga påföljder. Kriminalvårdens brottsdatalag gäller utöver brottsdatalagen, vilket innebär att flera grundläggande bestämmelser om hur personuppgifter får behandlas finns i brottsdatalagen. De preciseringar, undantag eller avvikelser som behövs för Kriminalvårdens och övervakningsnämndernas verksamhet finns däremot i kriminalvårdens brottsdatalag. I kriminalvårdens brottsdatalag finns bl.a. allmänna bestämmelser om lagens tillämpningsområde, grundläggande bestämmelser om behandling av personuppgifter och särskilda bestämmelser om att Kriminalvården får föra ett säkerhetsregister och om vilka personer som får registreras i det registret. Många av de materiella bestämmelser som i praktiken styr myndigheternas personuppgiftsbehandling finns i kriminalvårdens brottsdataförordning. I förordningen anges bl.a. i detalj vilka uppgifter, såväl personuppgifter som andra uppgifter, som får behandlas och hur länge de får behandlas. I förordningen regleras även att Kriminalvården ska föra ett centralt kriminalvårdsregister och vilka myndigheter som får medges direktåtkomst till det registret. Lagstiftningen behöver moderniseras Behovet av en moderniserad lagstiftning för Kriminalvårdens personuppgiftsbehandling inom brottsdatalagens område har påtalats under en längre tid. Redan i lagstiftningsärendet rörande brottsdatalagen uttalades behovet av en översyn (se SOU 2017:74 s. 562 och prop. 2017/18:269 s. 246 och 258). Behovet av en förändrad lagstiftning har också påtalats av Kriminalvården, som kommit in med en framställan till regeringen om en översyn av myndighetens registerförfattningar på dataskyddsområdet. De brister som påtalats handlar på ett övergripande plan om att lagstiftningen i flera avseenden avviker från övriga myndigheters lagar och förordningar som kompletterar brottsdatalagen. Lagstiftningen har en annan lagteknisk struktur. Vidare finns bestämmelser om att Kriminalvården ska föra ett centralt kriminalvårdsregister, trots att övriga myndigheter har övergått till en mer teknikneutral reglering. En annan skillnad är att Kriminalvårdens personuppgiftsbehandling i stor utsträckning regleras i förordning. Som exempel regleras det centrala kriminalvårdsregistret och vilka personuppgifter som det registret får innehålla i kriminalvårdens brottsdataförordning. Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av personliga förhållanden. Inskränkningar i skyddet får enligt 2 kap. 20 och 21 §§ regeringsformen göras genom lag och endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. I förarbetena till 2 kap. 6 § andra stycket regeringsformen påpekas att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll normalt ska regleras i lag (prop. 2009/10:80 s. 183). Liknande resonemang har framförts av Konstitutionsutskottet, som i flera lagstiftningsärenden framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll ska regleras särskilt i lag (se t.ex. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 48). Att Kriminalvårdens personuppgiftsreglering på brottsdatalagens område till stor del finns i förordning och inte i lag är därmed något som kan ifrågasättas. Den nuvarande detaljregleringen av vilka personuppgifter som Kriminalvården får behandla medför även att ändringar i påföljdssystemet eller i Kriminalvårdens uppdrag, som regelmässigt innebär behov av att behandla ytterligare personuppgifter, måste följas av förordningsändringar för att Kriminalvården ska kunna behandla de personuppgifter som behövs för att verkställa ändringarna. Utöver att lagstiftningen avviker från andra myndigheters motsvarande lagstiftningar, finns en betydande diskrepans mellan Kriminalvårdens behov av att behandla personuppgifter och vad lagstiftningen tillåter. Det har att göra med att förutsättningarna för Kriminalvårdens verksamhet förändrats avsevärt under senare tid. Fler personer döms till längre fängelsestraff och fler personer är häktade, vilket markant har ökat beläggningsgraden på kriminalvårdsanstalter och i häkten. Den höga beläggningen har lett till att säkerhetsläget i Kriminalvårdens verksamhet försämrats. Medarbetarna utsätts för allt mer hot, våld, trakasserier och otillåten påverkan. Även antalet incidenter med hot och våld mellan intagna har ökat (Kriminalvården, Forsknings- och utvärderingsenheten, Kort om överbeläggning – Risker för klienter och personal s. 42, 68 och 70 och Kriminalvårdens årsredovisning 2024, s. 74). En annan utmaning är att det finns fler klienter med koppling till den organiserade brottsligheten. Kriminalvården behöver kunna ta större hänsyn än tidigare till detta, t.ex. vid placering av intagna. Dessa förändringar ställer på olika sätt ökade krav på Kriminalvården. För att möta kraven behöver flera åtgärder vidtas. En av dem är ge Kriminalvården ändamålsenliga möjligheter att behandla de personuppgifter som krävs. Sammanfattningsvis kan konstateras dels att Kriminalvårdens lagstiftning för personuppgiftsbehandling inom brottsdatalagens område i sig inte är ändamålsenlig och avviker från andra myndigheters motsvarande lagstiftningar, dels att Kriminalvården har ett större behov av att behandla personuppgifter än regleringen tillåter. Lagstiftningen är alltså omodern och svarar inte mot de behov som myndigheten har i dag. Den bör därför uppdateras med utgångspunkten att skapa en lagstiftning som till struktur och innehåll i större utsträckning liknar andra myndigheters motsvarande lagstiftningar. Den bör vara mer generellt utformad och i större utsträckning utgå från Kriminalvårdens behov av att behandla personuppgifter för att fullgöra sitt uppdrag på ett tillfredställande sätt. Samtidigt behöver skyddet för enskildas integritet värnas. Den nya lagstiftningen måste upprätthålla högt ställda krav på integritetsskydd. En viktig del i det är att se till att frågor regleras på rätt författningsnivå, såsom att bestämmelser som är centrala för integritetsskyddet finns i lag. Gemensamt tillgängliga uppgifter Särskilda bestämmelser för behandling av gemensamt tillgängliga uppgifter Regeringens förslag I stället för förordningsbestämmelser om det centrala kriminalvårdsregistret ska kriminalvårdens brottsdatalag innehålla särskilda bestämmelser om behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Bestämmelserna om gemensamt tillgängliga uppgifter ska inte gälla när personuppgifter behandlas med stöd av bestämmelser om diarieföring m.m. Promemorians förslag Förslaget i promemorian stämmer överens med regeringens. Remissinstanserna De flesta av remissinstanserna har inte några synpunkter på förslaget eller tillstyrker det, såsom Integritetsskyddsmyndigheten och Kriminalvården. Polismyndigheten anser att en reglering om gemensamt tillgängliga uppgifter kan ifrågasättas och betonar särskilt att tolkningen av begreppet gemensamt tillgängliga uppgifter medför problem. Skälen för regeringens förslag Det centrala kriminalvårdsregistret Kriminalvården använder huvudsakligen två verksamhetsstöd för behandling av personuppgifter, varav det största kallas det centrala kriminalvårdsregistret och det andra säkerhetsregistret (se avsnitt 8). Det centrala kriminalvårdsregistret innehåller en stor mängd personuppgifter och andra uppgifter som Kriminalvården behöver för att utföra sitt uppdrag. Som exempel innehåller registret uppgifter om personer som avtjänar eller har avtjänat en påföljd inom Kriminalvården. I registret registreras också t.ex. uppgifter om personer som är eller har varit häktade eller föremål för personutredning i brottmål. Det centrala kriminalvårdsregistret utgörs av ett antal delsystem som är tekniskt sammankopplade så att uppgifter från de olika delsystemen kan hämtas. Tillgången till uppgifter ur systemet är uppdelat utifrån personalkategorier och behörigheter. De som arbetar på frivården har exempelvis tillgång till delvis andra uppgifter än de som arbetar på en kriminalvårdsanstalt. Behandlingen av personuppgifter i det centrala kriminalvårdsregistret regleras i huvudsak genom bestämmelser om registret i kriminalvårdens brottsdataförordning. Förordningen innehåller bl.a. en detaljerad och uttömmande uppräkning av vilka uppgifter om angivna personkategorier som registret får innehålla. Särskilda bestämmelser om gemensamt tillgängliga uppgifter Kriminalvårdens brottsdatalag gäller för all automatiserad behandling av personuppgifter inom brottsdatalagens område hos Kriminalvården och övervakningsnämnderna. Detta innebär att inte bara uppgifter som behandlas i gemensamma uppgiftssamlingar, t.ex. register, omfattas utan även sådan personuppgiftsbehandling som utförs av en enskild tjänsteman eller en begränsad grupp av personer, t.ex. ordbehandling eller e-postkommunikation. Som framhållits i andra lagstiftningsärenden är risken för otillbörliga intrång i den personliga integriteten större när personuppgifter används av flera gemensamt i en verksamhet än när behandlingen sker av en enskild tjänsteman utan att någon annan har direkt elektronisk åtkomst till uppgifterna (se t.ex. prop. 2009/10:85 s. 125). Mer begränsade regler bör därför gälla för sådana uppgifter som görs tillgängliga för ett flertal. I dag avgränsas den personuppgiftsbehandling för vilken mer begränsande regler är nödvändiga genom förordningsbestämmelser om det centrala kriminalvårdsregistret. Registerbegreppet har dock länge kritiserats, bl.a. för att det har teknisk anknytning och eftersom dagens it-system normalt inte konstrueras som traditionella register. I praktiken är inte heller det centrala kriminalvårdsregistret utformat som ett sammanhållet register. En mer generell och teknikneutral reglering bör därför införas, som inte utgår från att behandlingen av personuppgifter sker i register eller databaser. I andra myndigheters lagar som kompletterar brottsdatalagen har en mer generell och teknikneutral reglering åstadkommits genom särskilda bestämmelser om behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Denna avgränsning knyter inte an till vilken teknisk metod som används för att lagra och behandla en uppgift. Det centrala är i stället om fler än ett fåtal personer har möjlighet att ta del av uppgiften. Det ligger nära till hands att även införa särskilda bestämmelser om gemensamt tillgängliga uppgifter i kriminalvårdens brottsdatalag. Regleringar om gemensamt tillgängliga uppgifter förekommer i en rad andra författningar och det finns ett värde i att myndigheterna i rättskedjan har liknande regleringar och begreppsbildning, vilket Integritetsskyddsmyndigheten för fram. Polismyndigheten och vissa andra myndigheter har förvisso i olika sammanhang fört fram att regleringar om gemensamt tillgängliga uppgifter i viss mån är för begränsande och förespråkat alternativa lösningar. Något beredningsunderlag för sådana alternativa lösningar finns dock inte i detta lagstiftningsärende. Regeringen anser därför att det i ett nytt kapitel i kriminalvårdens brottsdatalag bör införas särskilda bestämmelser om behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i Kriminalvårdens verksamhet. Bestämmelserna bör, i linje med vad som sägs i promemorian, som utgångspunkt även gälla för övervakningsnämnderna. Gränsdragningen mellan gemensamt tillgängliga uppgifter och andra personuppgifter Begreppet gemensamt tillgängliga uppgifter bör ha samma innebörd i kriminalvårdens brottsdatalag som motsvarande begrepp i bl.a. lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område (Kustbevakningens brottsdatalag) och lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område (Tullverkets brottsdatalag). Regeringen har i förarbetena till dessa lagar angett några principer för gränsdragningen mellan gemensamt tillgängliga uppgifter och andra uppgifter (se prop. 2011/12:45 s. 73–75 och prop. 2016/17:91 s. 116–118). I enlighet med dessa principer bör en grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga vara att de är tillgängliga för fler än en person. Uppgifter som bara ett fåtal personer har tillgång till bör dock som utgångspunkt inte anses vara gemensamt tillgängliga. Att uppgifter är tillgängliga för en viss person bör förstås så att personen har såväl faktisk möjlighet som rättslig behörighet att ta del av dem. Det bör däremot inte spela någon roll hur många personer som faktiskt tar del av de aktuella uppgifterna. Det innebär till att börja med att personuppgifter anses som gemensamt tillgängliga om behandlingen sker för att en obestämd krets, t.ex. en viss enhet inom Kriminalvården eller en viss personkategori, ska kunna ta del av uppgifterna. Också andra personuppgifter som är tillgängliga för en mer begränsad men i förväg obestämd krets bör som huvudregel anses vara gemensamt tillgängliga. Om t.ex. en verkställighetsplan är tillgänglig för i princip alla frivårdsinspektörer eller för alla på ett visst kontor, är uppgifterna i den alltså att anse som gemensamt tillgängliga oavsett om de faktiskt bara hanteras av ett fåtal personer. Vidare bör uppgifter anses som gemensamt tillgängliga i vissa fall när den personkrets som har tillgång till uppgifterna är bestämd och avgränsad. Om uppgifterna är tillgängliga för fler än ett fåtal på förhand bestämda personer bör de regelmässigt anses som gemensamt tillgängliga. Kan man redan från början konstatera att uppgifterna endast kommer att vara tillgängliga för en avgränsad krets av ett fåtal personer, bör utgångspunkten vara den motsatta. Var gränsen går får avgöras i varje enskilt fall. Hänsyn bör tas till bl.a. verksamhetens omfattning, uppgifternas karaktär och syftet med behandlingen. En tumregel som framhållits i tidigare förarbeten är att uppgifter anses gemensamt tillgängliga om de är tillgängliga för fler än tio personer (se t.ex. prop. 2011/12:45 s. 74). Samma tumregel bör kunna tillämpas i fråga om den verksamhet som Kriminalvården och övervakningsnämnderna bedriver. Polismyndigheten anser att tumregeln i praktiken inneburit att tolkningen av vad som avses med mer än ett fåtal kommit att betraktas som en numerär gräns på tio personer, vilket medfört att antalet tjänstemän som t.ex. bearbetar inkommen information kan behöva hållas nere. Regeringen vill med anledning härav framhålla att det endast handlar om en tumregel och att frågan måste avgöras från fall till fall. I viss utsträckning bör även tidsaspekten kunna ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte. Det gäller särskilt i långvariga projekt i vilka man måste räkna med att de personer som sysslar med projektet med tiden kommer att bytas ut. I sådana projekt kan de uppgifter som behandlas bli tillgängliga för ett större antal personer än vad som motsvarar det normala antalet deltagare i projektet. De integritetsskyddsintressen som motiverar särskilda regler för gemensamt tillgängliga uppgifter kan då göra sig gällande. Uppgifter som behandlas i långsiktiga projekt bör därför ibland kunna anses vara gemensamt tillgängliga, trots att antalet deltagare vid varje givet tillfälle är begränsat till en mindre grupp av personer. Ytterligare vägledning om gränsdragningen mellan gemensamt tillgängliga uppgifter och andra uppgifter ges i författningskommentaren. I propositionen Ökade möjligheter att dela uppgifter inom Polismyndigheten (prop. 2024/25:190) föreslår regeringen ändringar av undantaget för när uppgifter som behandlas enligt lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område (polisens brottsdatalag) inte ska anses vara gemensamt tillgängliga. I stället för att uppgifter som endast ett fåtal personer har tillgång till undantas, ska uppgifter som endast ”en särskilt avgränsad” krets har tillgång till inte anses som gemensamt tillgängliga. Förslaget motiveras bl.a. med att den nuvarande fåtalsregeln ställer upp omotiverade hinder vid organisationen av Polismyndighetens arbete (se prop. 2024/25:190 avsnitt 6.1). Med anledning av den föreslagna ändringen i polisens brottsdatalag hade det kunnat övervägas om undantaget för när uppgifter inom Kriminalvården inte ska anses gemensamt tillgängliga borde få motsvarande utformning. Det är dock inte givet att Polismyndigheten och Kriminalvården har samma behov i den här delen. Det står oavsett klart att en annan utformning av definitionen när uppgifter inte ska anses vara gemensamt tillgängliga än den som föreslås i promemorian kräver noggranna överväganden som inte kan göras inom ramen för det här lagstiftningsärendet. Undantag från bestämmelserna om gemensamt tillgängliga uppgifter Kriminalvården får med stöd av 2 kap. 2 § brottsdatalagen behandla personuppgifter om det är nödvändigt för diarieföring eller handläggning i vissa fall när behandlingen inte har stöd i annan rättslig grund. Ett typiskt exempel är för hanteringen av inkomna skrivelser som inte direkt rör Kriminalvårdens verksamhet. Personuppgifter som behandlas med stöd av 2 kap. 2 § brottsdatalagen kan i vissa fall bli tillgängliga för en större krets personer, t.ex. i diarier. De skulle därmed i och för sig kunna anses vara gemensamt tillgängliga uppgifter. De restriktioner som föreslås gälla vid behandling av gemensamt tillgängliga uppgifter, såsom krav på särskild upplysning i vissa fall (se avsnitt 5.3), har till syfte att reglera behandling av personuppgifter i gemensamma uppgiftssamlingar. Syftet med 2 kap. 2 § brottsdatalagen är inte att reglera sådan personuppgiftsbehandling, utan enbart att inkomna handlingar ska kunna hanteras enligt offentlighets- och sekretesslagen (2009:400, OSL) och att tryckfrihetsförordningens krav på tillgång till allmänna handlingar ska kunna tillgodoses. De bestämmelser som föreslås gälla vid behandling av gemensamt tillgängliga uppgifter är följaktligen inte lämpade att reglera behandling av personuppgifter med stöd av 2 kap. 2 § brottsdatalagen. I likhet med de överväganden som gjorts för bl.a. polisens och Tullverkets del, bör därför bestämmelserna om gemensamt tillgängliga uppgifter inte gälla när personuppgifter behandlas enbart med stöd av 2 kap. 2 § brottsdatalagen (jfr prop. 2009/10:85 s. 113 och prop. 2016/17:91 s. 118 och 119). Personuppgifter som får göras gemensamt tillgängliga Uppgifter om Kriminalvårdens klienter Regeringens förslag Personuppgifter ska få göras gemensamt tillgängliga om de avser en person som är häktad, anhållen eller gripen med anledning av misstanke om brott eller verkställighet av påföljd eller utvisning, är dömd till en påföljd som ska verkställas inom Kriminalvården, genom en utländsk dom eller ett utländskt beslut är dömd till en påföljd som kan komma att verkställas i Sverige, genom en svensk dom eller ett svenskt beslut är dömd till en annan påföljd än som avses i 2 som kan komma att verkställas i ett annat land, annars är frihetsberövad inom Kriminalvården för något av vissa syften, eller är föremål för personutredning enligt lagen om särskild personutredning i brottmål, m.m. Promemorians förslag Förslaget i promemorian stämmer i huvudsak överens med regeringens. I promemorian föreslås även att det ska tydliggöras att positionsuppgifter får göras gemensamt tillgängliga. Vidare föreslås att uppgifter om en person som är dömd till en påföljd som ska verkställas inom Kriminalvården endast i vissa fall ska få behandlas innan domen fått laga kraft, såsom om det av särskilda skäl krävs för planering av framtida verkställighet av ett fängelsestraff eller av säkerhetsskäl. I promemorian föreslås dessutom att Kriminalvårdens skyldighet att föra journal inom brottsdatalagens område ska regleras i kriminalvårdens brottsdatalag och att personuppgifter i en journal ska få göras gemensamt tillgängliga. Remissinstanserna De flesta av remissinstanserna yttrar sig inte särskilt över förslaget. Integritetsskyddsmyndigheten ifrågasätter om alla som arbetar med en klient som står under elektronisk övervakning behöver tillgång till positionsuppgifter och följaktligen om det finns behov av att sådana uppgifter ska få göras gemensamt tillgängliga. Sveriges advokatsamfund tillstyrker förslaget om att lagfästa skyldigheten att föra journal men ifrågasätter att uppgifterna behöver kunna göras gemensamt tillgängliga eftersom journaluppgifter kan vara av känslig karaktär. Skälen för regeringens förslag Uppgifter om vissa personkategorier Behandling av gemensamt tillgängliga uppgifter medför särskilda risker för intrång i den enskildes personliga integritet. Det är därför viktigt att regleringen av vilka personuppgifter som ska få göras gemensamt tillgängliga är tydlig och utformat utifrån ett påtagligt behov. Dagens förordningsreglering om det centrala kriminalvårdsregistret är i stort avgränsad genom bestämmelser om vilka personkategorier som registret ska omfatta. Det handlar bl.a. om personer som är häktade, har dömts till en påföljd som ska verkställas inom Kriminalvården och personer som på grund av utländsk brottmålsdom har dömts till en påföljd som ska verkställas i Sverige. Vidare finns en mycket detaljerad och uttömmande uppräkning av vilka uppgifter om sådana personer som registret får innehålla. Regeringen anser att möjligheten att göra personuppgifter gemensamt tillgängliga bör avgränsas till uppgifter om vissa personkategorier, som Kriminalvården behöver kunna dela med fler än ett fåtal för att utföra sina uppgifter på ett effektivt sätt. Det är i linje med dagens reglering av det centrala kriminalvårdsregistret. Däremot bör vilka personuppgifter om de olika personkategorierna som får göras gemensamt tillgängliga inte vara detaljreglerat på motsvarande sätt som i dag. Som Kriminalvården framfört i olika sammanhang innebär dagens detaljreglering av vilka uppgifter som får behandlas i det centrala kriminalvårdsregistret en onödig begränsning av Kriminalvårdens personuppgiftsbehandling. Till exempel innebär den inte sällan att behandling av personuppgifter som i och för sig är tillåten enligt de rättsliga grunderna i 2 kap. 1 § kriminalvårdens brottsdatalag, inte är tillåten att behandla i det centrala kriminalvårdsregistret trots att många tjänstemän har ett uppenbart behov av tillgång till dem. Detaljuppräkningen måste också ofta kompletteras vid ändringar i påföljdssystemet för att Kriminalvården ska kunna behandla de uppgifter som myndigheten behöver. I promemorian framförs att en avgränsning till vissa personkategorier inte är tillräcklig eftersom det skulle innebära att tillhörighet till en viss personkategori ensamt medger personuppgiftsbehandling, vilket är i strid med brottsdatalagen som har utgångspunkten att det är ändamålet med behandlingen av personuppgifter som ska vara avgörande. I promemorian påpekas också att en person kan omfattas av en personkategori men att behandlingen av uppgifter om personen ändå kan ligga utanför brottsdatalagens tillämpningsområde. Exempelvis kan en person som avtjänar ett fängelsestraff behöva ta del av Kriminalvårdens hälso- och sjukvård. Personuppgifterna behandlas då inte med stöd av kriminalvårdens brottsdatalag utan med stöd av kriminalvårdsdatalagen och patientdatalagen (2008:355). Mot denna bakgrund föreslås i promemorian att uppgifter om vissa personkategorier endast ska få göras gemensamt tillgängliga om de behandlas för något av de syften som anges i 2 kap. 1 § kriminalvårdens brottsdatalag. Som anförs i promemorian är det ändamålet med behandlingen som enligt brottsdatalagen ska vara avgörande för om den är tillåten. I linje med det bör den omständigheten att en uppgift avser en viss personkategori inte ensamt kvalificera personuppgiftsbehandling. Det tillförsäkras dock genom befintliga bestämmelser i kriminalvårdens brottsdatalag. Av 1 kap. 1 § kriminalvårdens brottsdatalag framgår att lagen endast gäller personuppgiftsbehandling för vissa syften. I den utsträckning som personuppgifter behandlas för syften som faller utanför brottsdatalagens tillämpningsområde gäller inte lagen. Vidare måste det finnas en rättslig grund för att behandling av personuppgifter enligt lagen ska vara tillåten. Av förslaget i avsnitt 5.1., om att bestämmelserna om gemensamt tillgängliga uppgifter inte ska gälla för uppgifter som behandlas med stöd av 2 kap. 2 § brottsdatalagen, följer att det endast är personuppgifter som behandlas med stöd av en rättslig grund – och följaktligen för något av de syften som anges i – 2 kap. 1 § kriminalvårdens brottsdatalag som kommer få göras gemensamt tillgängliga med stöd av de föreslagna bestämmelserna. Att det förhåller sig på det viset behöver inte klargöras i lagtexten. Sammanfattningsvis bör vilka personuppgifter som får göras gemensamt tillgängliga avgränsas till uppgifter om vissa kategorier av personer. Uppgifter om personer som är frihetsberövade Att bedriva häktesverksamhet är en av Kriminalvårdens huvuduppgifter. I verksamheten hanteras personer som är häktade, anhållna eller gripna med anledning av misstanke om brott eller verkställighet av påföljd eller utvisning. Inom häktesverksamheten hanteras också personer som är föremål för andra frihetsberövanden som faller inom brottsdatalagens tillämpningsområde. Ett exempel är personer som tagits in i häkte efter beslut enligt 9 § strafftidslagen (2018:1251) om omhändertagande i avvaktan på att de ska överföras eller förpassas till kriminalvårdsanstalt. Ett annat exempel är vittnen i brottmål som häktats med stöd av 36 kap. 21 § rättegångsbalken. För att häktesverksamheten ska kunna bedrivas på ett säkert sätt måste personuppgifter fortsatt kunna delas på ett effektivt sätt. Personuppgifter om en person som är häktad, anhållen eller gripen med anledning av misstanke om brott eller verkställighet av påföljd eller utvisning bör därför kunna göras gemensamt tillgängliga. Detsamma gäller uppgifter om en person som annars är frihetsberövad inom Kriminalvården för något av de syften som anges i 2 kap. 1 § kriminalvårdens brottsdatalag. Uppgifter om personer som är dömda till en påföljd som ska verkställas inom Kriminalvården Ett annat av Kriminalvårdens huvuduppdrag är att verkställa utdömda påföljder. Inom uppdraget hanteras personer som ska avtjäna eller avtjänar ett fängelsestraff i eller utanför anstalt, inklusive fängelse som förvandlingsstraff, villkorlig dom med föreskrift om samhällstjänst, skyddstillsyn och ungdomsövervakning. Övervakningsnämndernas uppgifter omfattar olika former av beslut om personer som avtjänar en påföljd inom Kriminalvården. Som exempel har övervakningsnämnderna till uppgift att fatta vissa beslut om personer som är dömda till skyddstillsyn eller fängelse. Nämnderna kan t.ex. fatta beslut om upphävande av verkställighet utanför anstalt och förverkande av villkorligt medgiven frihet i de fall där klienten misskött sig allvarligt. Kriminalvårdens verksamhet förutsätter att uppgifter om en person som är dömd till en påföljd som ska verkställas inom Kriminalvården även fortsättningsvis kan delas på ett effektivt sätt till en större krets. Sådana personuppgifter bör därför kunna göras gemensamt tillgängliga. Uppgifter om en person som har dömts till en påföljd som ska verkställas inom Kriminalvården kan omfatta uppgifter som tas fram genom elektronisk övervakning. I linje med vad Integritetsskyddsmyndigheten tar upp är det inte säkert att alla som arbetar med en klient som står under elektronisk övervakning behöver tillgång till positionsuppgifter. När fler än ett fåtal behöver tillgång till uppgifterna anser regeringen dock att de bör kunna göras gemensamt tillgängliga. Med det sagt är det viktigt att Kriminalvården i enlighet med 3 kap. 6 § brottsdatalagen ser till att tillgången till positionsuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Behandling av positionsuppgifter innebär ett stort intrång i den enskildes personliga integritet och möjliggör en detaljerad kartläggning av en klients privatliv. Enligt 2 kap. 6 § regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen innebär att åtgärder som är av sådant slag som anges i bestämmelsen får vidtas bara om det finns lagstöd för det. Det finns i dag också stöd i flera författningar för att Kriminalvården får använda elektronisk övervakning vid verkställighet av påföljder. Förslagen innebär inte någon ytterligare inskränkning i förhållande till vad som gällt enligt tidigare reglering på området. Dessutom omfattar den föreslagna bestämmelsen, om att uppgifter om den som är dömd till påföljd som ska verkställas inom Kriminalvården ska få göras gemensamt tillgängliga, som nämnt positionsuppgifter som tas fram genom elektronisk övervakning. Till skillnad från vad som föreslås i promemorian anser regeringen inte att det därutöver är motiverat med en särskild lagbestämmelse som klargör att positionsuppgifter får göras gemensamt tillgängliga. Med hänsyn till skyddet för den personliga integriteten anser regeringen dock att det bör införas särskilda regler om längsta tid för behandling för sådana uppgifter (se avsnitt 7.4.1). Särskilt om behandling av personuppgifter innan en dom fått laga kraft Kriminalvården har normalt inget behov av att behandla personuppgifter i syfte att verkställa straffrättsliga påföljder innan en dom eller ett beslut har fått laga kraft. Det finns dock situationer som kräver att Kriminalvården kan behandla personuppgifter innan laga kraft. Så är fallet när någon dömts till skyddstillsyn. En dom på skyddstillsyn går enligt 28 kap. 5 § brottsbalken i verkställighet omedelbart och ska förenas med övervakning, om inte domstolen beslutar annat. I vissa undantagsfall behöver Kriminalvården även behandla personuppgifter för planering av framtida verkställighet av fängelsestraff eller av säkerhetsskäl. I de situationer Kriminalvården har behov av att behandla personuppgifter trots att domen eller beslutet inte fått laga kraft finns rättslig grund för det enligt 2 kap. 1 § 1 kriminalvårdens brottsdatalag, som anger att personuppgifter får behandlas om det är nödvändigt för att verkställa häktning eller straffrättsliga påföljder. Regeringen anser, till skillnad från vad som föreslås i promemorian, inte att det finns behov av att införa en särskild grund om när sådana personuppgifter får behandlas. Kravet enligt 2 kap. 1 § kriminalvårdens brottsdatalag på att behandlingen måste vara nödvändig innebär ett tillräckligt integritetsskydd. Däremot anser regeringen att en kortare längsta tid för behandling bör gälla i vissa fall när uppgifter om en dömd person behandlas innan laga kraft men personen inte slutligt döms till en påföljd som ska verkställas inom Kriminalvården (se avsnitt 7.3.3). Uppgifter om personer som är föremål för överföring av straffverkställighet Kriminalvården har vissa uppgifter till följd av internationella åtaganden, bl.a. i samband med överföring av straffverkställighet. Fullgörande av internationella förpliktelser utgör enligt 2 kap. 1 § 4 kriminalvårdens brottsdatalag en tillåten rättslig grund för Kriminalvårdens personuppgiftsbehandling. Kriminalvården hanterar till att börja med frågor som rör överföring av straffverkställighet till och från Sverige, t.ex. enligt lagen (1963:193) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff m.m. (nordiska verkställighetslagen), lagen (2015:96) om erkännande och verkställighet av frihetsberövande påföljder inom Europeisk unionen (europeiska verkställighetslagen), lagen (2015:650) om erkännande och verkställighet av frivårdspåföljder inom Europeiska unionen och lagen (2025:520) om internationell verkställighet i brottmål (internationella verkställighetslagen). Exempelvis beslutar Kriminalvården om en utländsk dom på fängelse eller en utländsk dom på frivårdspåföljd ska verkställas i Sverige enligt 5 § respektive 10 § nordiska verkställighetslagen. Vidare beslutar Kriminalvården enligt 3 kap. 8 § europeiska verkställighetslagen och 3 kap. 8 § lagen (2015:650) om erkännande och verkställighet av frivårdspåföljder inom Europeiska unionen om en dom på en frihetsberövande påföljd eller en frivårdspåföljd som dömts ut i en annan medlemsstat ska erkännas och verkställas i Sverige. Kriminalvårdens ansvar för överföring av verkställighet från Sverige till ett annat land omfattar både påföljder som verkställs inom Kriminalvården och andra påföljder. Som exempel beslutar Kriminalvården, enligt 2 kap. 4 § europeiska verkställighetslagen och 2 kap. 4 § internationella verkställighetslagen, om en svensk dom eller ett svenskt beslut avseende överlämnande till rättspsykiatrisk vård ska sändas över till ett annat land. Utöver att Kriminalvården beslutar i frågor om överföring av straffverkställighet till och från Sverige, ansvarar myndigheten för transport av dömda vars verkställighet ska överföras enligt t.ex. 8 § andra stycket och 8 a § nordiska verkställighetslagen, 2 kap. 12 § första stycket och 3 kap. 20 § europeiska verkställighetslagen samt 2 kap. 2 § andra stycket och 3 kap. 19 § internationella verkställighetslagen. För att kunna fullgöra sina åtaganden krävs att Kriminalvården kan hantera nödvändiga personuppgifter i sina verksamhetsstöd och göra dem gemensamt tillgängliga. Personuppgifter om den som genom en utländsk dom eller ett utländskt beslut har dömts till en påföljd som kan komma att verkställas i Sverige, liksom uppgifter om en person som genom en svensk dom eller ett svenskt beslut är dömd till en påföljd som kan komma att verkställas i ett annat land, bör därför kunna göras gemensamt tillgängliga. Uppgifter om personer som är föremål för personutredning Kriminalvården ansvarar för att utföra personutredningar i brottmål. I lagen (1991:2041) om särskild personutredning i brottmål, m.m. föreskrivs att Kriminalvården ska genomföra sådan utredning om en misstänkts personliga förhållanden som krävs för att domstolen ska kunna avgöra påföljdsfrågan. Arbetet med att genomföra en personutredning kan innebära att olika delar av Kriminalvården måste engageras på ett sådant sätt att personuppuppgifterna behöver kunna göras gemensamt tillgängliga. Personutredningen kan vidare utgöra en viktig del i den fortsatta dokumentationen i de fall en person döms och ska verkställa en påföljd inom Kriminalvården. Uppgifter om en person som är föremål för personutredning bör därför kunna göras gemensamt tillgängliga. Uppgifter i journaler Kriminalvårdens skyldighet att föra journal framgår av förordningen (1994:1060) om intensivövervakning med elektronisk kontroll, förordningen (1998:642) om verkställighet av frivårdspåföljder, häktesförordningen (2010:2011), fängelseförordningen (2020:2010) och förordningen (2023:797) med instruktion för Kriminalvården. Enligt dessa förordningar ska Kriminalvården föra journal över varje person som är intagen i häkte eller kriminalvårdsanstalt, undergår verkställighet genom intensivövervakning med elektronisk kontroll, är dömd till skyddstillsyn, i dom meddelats föreskrift om samhällstjänst och den som är frihetsberövad och transporteras av Kriminalvården enligt 29 a § polislagen (1984:387). Journalföringen görs bl.a. i form av daganteckningar i kriminalvårdsregistret. Det innebär att uppgifterna inte finns separat, utan behandlas tillsammans med andra uppgifter om personen i fråga. I promemorian föreslås att journalföringsskyldigheten inom brottsdatalagens område ska regleras i kriminalvårdens brottsdatalag och att uppgifter i journaler ska få göras gemensamt tillgängliga. Regeringen kan se fördelar med en lagreglering av journalföringsskyldigheten. Samtidigt framstår en uppdelning av skyldigheten utifrån vilket dataskyddsregelverk som styr inte som ändamålsenlig. Journalföringsskyldigheten inom brottsdatalagens område bör därför i nuläget inte regleras i lag. Däremot talar övervägande skäl för att journaluppgifter, även om de som Sveriges advokatsamfund anför kan vara av känslig karaktär, även fortsatt ska kunna göras tillgängliga får fler än ett fåtal. Det behöver dock inte införas en särskild bestämmelse om att journaluppgifter får göras gemensamt tillgängliga, eftersom det följer av regeringens förslag om att personuppgifter om en person som är dömd till en påföljd som ska verkställas inom Kriminalvården eller som är frihetsberövad inom Kriminalvården ska få göras gemensamt tillgängliga. Uppgifter om andra personer än klienter Regeringens förslag När personuppgifter om en av Kriminalvårdens klienter behandlas, ska personuppgifter om följande personer få göras gemensamt tillgängliga: närstående och andra som har nära förbindelse till den registrerade, personer som på grund av tjänst eller uppdrag eller av annan anledning har kontakt med den registrerade, och målsägande. Promemorians förslag Förslaget i promemorian stämmer i huvudsak överens med regeringens. I promemorian föreslås att möjligheten att göra uppgifter om andra än klienter gemensamt tillgängliga ska gälla både fysiska och juridiska personer. Vidare är förslaget i promemorian något annorlunda utformat. Remissinstanserna Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Uppgifter om vissa andra än klienter behöver kunna göras gemensamt tillgängliga Kriminalvården behöver fortlöpande behandla uppgifter om andra än klienter, såsom en klients familj och ombud. Om det är nödvändigt för att utföra en uppgift som anges i 2 kap. 1 § kriminalvårdens brottsdatalag, får sådana uppgifter som utgångspunkt behandlas. Att uppgifterna ska vara korrekta och adekvata framgår av 2 kap. 7 och 8 §§ brottsdatalagen. Kriminalvården har enligt 2 § kriminalvårdens brottsdataförordning en viss möjlighet att behandla uppgifter om andra än klienter i det centrala kriminalvårdsregistret. Kriminalvården behöver även fortsättningsvis, när uppgifter om en klient behandlas, få göra uppgifter om vissa andra personer än klienter gemensamt tillgängliga. Uppgifter om närstående och personer som har kontakt med en klient Kriminalvårdens behov av att behandla uppgifter om andra än klienter avser framför allt anhöriga och personer som har kontakt med en klient. Det finns ett uppenbart behov av att kunna göra sådana personuppgifter gemensamt tillgängliga, inte minst för att på ett ändamålsenligt sätt kunna upprätthålla restriktioner för häktade enligt 24 kap. 5 a § rättegångsbalken. Det bör därför vara möjligt att göra personuppgifter om närstående och andra med nära förbindelse till den registrerade gemensamt tillgängliga. Detsamma gäller uppgifter om personer som på grund av tjänst eller uppdrag eller av annan anledning har kontakt med den registrerade. Med begreppet närstående bör i första hand avses familjen och andra nära anhöriga, t.ex. sambo och dennes barn. Med en person som har annan nära förbindelse till den registrerade avses någon som har en relation av viss dignitet med den registrerade. Det bör exempelvis kunna vara en släkting, granne eller vän men också en arbetsgivare. Likaså bör en tidigare medbrottsling kunna tillhöra den kategorin, även om medbrottslingen inte har kontakt med den registrerade. En person som på grund av tjänst eller av annan anledning har kontakt med den registrerade bör t.ex. kunna vara den registrerades övervakare, ombud eller en tolk. Det bör också kunna vara företrädare för myndigheter såsom Arbetsförmedlingen och Försäkringskassan. Uppgifter om målsägande Av 27 § häktesförordningen, 35 § fängelseförordningen och 10 § förordningen om intensivövervakning med elektronisk kontroll framgår att Kriminalvården i vissa fall ska fråga en målsägande om han eller hon vill bli underrättad under vissa förhållanden. Det kan t.ex. gälla underrättelse om en intagen friges, rymmer eller flyttas till annan anstalt. För att Kriminalvården på ett effektivt sätt ska kunna säkerställa att målsägande tillfrågas och underrättas enligt ovan nämnda förordningar, bör uppgifter om målsägande kunna göras gemensamt tillgängliga. Uppgifter om juridiska personer Dataskyddsdirektivet gäller enbart till skydd för fysiska personer och tillämpningsområdet för brottsdatalagen har utformats med det som grund. I lagarna som kompletterar brottsdatalagen infördes emellertid särskilda bestämmelser om skydd för uppgifter om juridiska personer, i de fall där sådana bestämmelser redan fanns på grund av att det ansetts finnas goda skäl att även ge sådana uppgifter ett visst skydd (se prop. 2017/18:269 s. 113). Varken kriminalvårdens brottsdatalag eller kriminalvårdens brottsdataförordning innehåller särskilda bestämmelser om behandling av uppgifter om juridiska personer. Enligt regeringen har det inte heller framkommit någon anledning att ge sådana uppgifter särskilt skydd i Kriminalvårdens verksamhet. Det bör därför inte införas någon sådan bestämmelse som föreslås i promemorian om att uppgifter om juridiska personer får göras gemensamt tillgängliga. Krav på särskilda upplysningar i vissa fall Regeringens förslag Om det inte framgår av sammanhanget eller på annat sätt att personuppgifter som har gjorts gemensamt tillgängliga avser en person som varken är häktad eller avtjänar en påföljd inom Kriminalvården, ska det tydliggöras genom en särskild upplysning. En sanktionsavgift ska kunna tas ut om kravet på särskild upplysning åsidosätts. Promemorians förslag Förslaget i promemorian stämmer i sak överens med regeringens men är något annorlunda utformat. Remissinstanserna Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Det är av stor betydelse för skyddet av den personliga integriteten att olika kategorier av personuppgifter särskiljs. I 2 kap. 9 § brottsdatalagen ställs krav på att personuppgifter så långt som möjligt särskiljs, så att det framgår om personen är misstänkt, dömd för brott, brottsoffer eller någon annan som berörs av ett brott. Om det inte framgår av sammanhanget eller på annat sätt till vilken kategori personen hör, ska det tydliggöras genom en särskild upplysning. Behovet av särskilda upplysningar gör sig framför allt gällande om personuppgifter behandlas utanför sitt ursprungliga sammanhang. Syftet med bestämmelsen är bl.a. att säkerställa att den som söker eller får del av information får veta varför en uppgift om personen behandlas (prop. 2017/18:232 s. 145 och 146). Hos Kriminalvården är det särskilt viktigt för integritetsskyddet att personuppgifter om personer som är häktade eller avtjänar påföljd inom Kriminalvården särskiljs från uppgifter om personer som tillhör andra personkategorier, såsom närstående eller professionella aktörer som besöker en intagen. Normalt framgår det av sammanhanget eller på annat sätt att en person inte är häktad eller avtjänar påföljd. I de undantagsfall när det inte framgår bör ställas krav på att förse de uppgifterna med en särskild upplysning som tydliggör det. Kravet på särskild upplysning bör endast gälla gemensamt tillgängliga uppgifter. När ett fåtal personer behandlar uppgifter och är införstådda med varför det görs finns inget behov av särskilda upplysningar. I dessa fall tillgodoses integritetsskyddet som de särskilda upplysningarna syftar till att skapa på annat sätt (jfr prop. 2017/18:269 s. 109). Överträdelse av en bestämmelse om krav på särskild upplysning kan genomgående, både enligt kriminalvårdens brottsdatalag och andra myndigheters lagar som kompletterar brottsdatalagen, föranleda sanktionsavgift. Anledningen till det är bl.a. att sådana bestämmelser preciserar eller på annat sätt kompletterar bestämmelser i brottsdatalagen som kan föranleda sanktionsavgift (prop. 2017/18:269 s. 114). Skäl att avvika från denna ordning finns inte. En överträdelse av den föreslagna bestämmelsen om särskild upplysning bör därför kunna medföra en administrativ sanktionsavgift. Sökning i gemensamt tillgängliga uppgifter Det behövs inte någon generell sökbegränsning Regeringens bedömning Det bör inte införas någon generell begränsning av möjligheten att söka i uppgifter som har gjorts gemensamt tillgängliga. Promemorians bedömning Bedömningen i promemorian stämmer överens med regeringens. Remissinstanserna Remissinstanserna yttrar sig inte särskilt över promemorians bedömning, med ett undantag. Sveriges advokatsamfund anser att det bör införas en generell sökbegränsning för att motverka obefogade sökningar. Skälen för regeringens bedömning Det finns inga sökbegränsningar i kriminalvårdens brottsdatalag och kriminalvårdens brottsdataförordning avseende uppgifter i det centrala kriminalvårdsregistret. Det bör dock ses mot bakgrund av att kriminalvårdens brottsdataförordning i detalj anger vilka uppgifter som får behandlas i registret. Kriminalvården föreslås nu övergå till en mer generell reglering som – i stället för förordningsbestämmelser om det centrala kriminalvårdsregistret – innehåller särskilda lagbestämmelser om gemensamt tillgängliga uppgifter. Förslagen medger behandling av personuppgifter i större utsträckning än tidigare. Detta väcker frågan om det nu bör införas en generell sökbegränsning för gemensamt tillgängliga uppgifter i kriminalvårdens brottsdatalag, likt de som finns i flera av de brottsbekämpande myndigheternas lagar som kompletterar brottsdatalagen. Som exempel finns en sökbegränsning i 3 kap. 5 § polisens brottsdatalag som begränsar resultatet vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer, samordningsnummer eller liknande identitetsbeteckningar. Liknande sökbegränsningar finns i Tullverkets brottsdatalag, Kustbevakningens brottsdatalag och lagen (2018:1697) om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område (åklagarväsendets brottsdatalag). Syftet med sökbegränsningarna hos de brottsbekämpande myndigheterna är att det inte ska vara möjligt att genom en enkel sökning få tillgång till en mer omfattade kartläggning av en person än vad som är motiverat (se t.ex. prop. 2009/10:85 s. 157–164 och prop. 2016/17:91 s. 137–143). Till skillnad från hos de brottsbekämpande myndigheterna kan personuppgifter inom Kriminalvården i huvudsak endast röra verkställighet av häktning eller påföljd för en person eller någons kontakter med en sådan person. Personen och hans eller hennes roll är identifierad och det finns inte någon risk för att personen byter roll, vilket kan vara fallet i en förundersökning, eller att de grundläggande förutsättningarna för behandling av personuppgifterna förändras. Det finns därför inte samma behov av att begränsa den initiala sökningen på ett personnummer eller en liknande identitetsuppgift hos Kriminalvården som hos de brottsbekämpande myndigheterna. Tvärtom är det viktigt att den som inom Kriminalvården behandlar personuppgifter om någon som avtjänar påföljd eller är föremål för personutredning redan från början får tillgång till nödvändiga uppgifter. Regeringen anser därför, till skillnad från Sveriges advokatsamfund, inte att det bör införas någon generell begränsning av möjligheten att söka i personuppgifter som har gjorts gemensamt tillgängliga. De risker för obefogade sökningar som alltid finns, och som Sveriges advokatsamfund lyfter, kan motverkas på andra sätt. Det finns enligt 3 kap. 6 § brottsdatalagen också krav på att se till att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Sökning på känsliga personuppgifter Regeringens förslag Sökförbudet i brottsdatalagen ska inte hindra sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i vissa personuppgifter som har gjorts gemensamt tillgängliga. Promemorians förslag Förslaget i promemorian stämmer i sak överens med regeringens men är något annorlunda utformat. Remissinstanserna Majoriteten av remissinstanserna yttrar sig inte särskilt över förslaget. Sveriges advokatsamfund avstyrker förslaget då det enligt samfundet inte är motiverat av tillräckligt tungt vägande skäl. Enligt samfundet kan de behov som ska tillgodoses genom ett undantag från sökförbudet tillgodoses på andra sätt, som att Kriminalvården dimensionerar sin verksamhet så att beläggningsgraden minskar. Integritetsskyddsmyndigheten tillstyrker förslaget men lyfter behovet av förtydliganden och exempel för att säkerställa att tillämpningen inte går utöver bestämmelsens syfte. Skälen för regeringens förslag I 2 kap. 14 § brottsdatalagen finns ett generellt förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Av 2 kap. 11 och 12 §§ brottsdatalagen framgår vilka personuppgifter som är känsliga personuppgifter. Det handlar om personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning. Dessutom är biometriska uppgifter som används för att identifiera en person och genetiska uppgifter att anse som känsliga personuppgifter. Förbudet mot att söka på känsliga personuppgifter utgår från ändamålet med sökningen. Om syftet inte är att få fram ett urval av personer grundat på känsliga personuppgifter är sökningen tillåten. Det gäller även om känsliga personuppgifter används vid sökningen (se prop. 2017/18:232 s. 448). I de flesta lagar som kompletterar brottsdatalagen finns undantag från sökförbudet i 2 kap. 14 § brottsdatalagen som är anpassade till de olika myndigheternas behov (se t.ex. 2 kap. 5 och 6 §§ polisens brottsdatalag och 2 kap. 5 och 6 §§ Tullverkets brottsdatalag). Till skillnad från dessa myndigheter har Kriminalvården endast ett begränsat undantag från sökförbudet, som gäller sökningar i säkerhetsregistret (3 kap. 5 § kriminalvårdens brottsdatalag). För att Kriminalvården ska kunna bedriva sin verksamhet på ett ändamålsenligt och säkert sätt behöver myndigheten dock även kunna göra sökningar i gemensamt tillgängliga uppgifter som innebär att sammanställningar grundade på känsliga personuppgifter skapas. Det är framför allt för att kunna placera intagna och av hänsyn till intagnas och personalens säkerhet som Kriminalvården behöver kunna söka på känsliga personuppgifter. Som exempel finns det behov av sammanställningar grundade på känsliga personuppgifter för att säkerställa att personer från grupperingar med exempelvis politiska, etniska eller religiösa motsättningar inte placeras på samma avdelning eller i samma bostadsrum. Det behovet har ökat på grund av den höga beläggningsgraden på häkten och i anstalter och ökningen av dömda personer som tillhör kriminella grupperingar. För säkra placeringar kan det även finnas behov av sammanställningar grundade på uppgifter som avslöjar sexualliv eller sexuell läggning. Dessutom kan sammanställningar grundande på känsliga personuppgifter behövas för att tillgodose intagnas behov och rättigheter enligt fängelselagen (2010:610) och häkteslagen (2010:611), exempelvis rätten för den intagne att utöva sin religion eller behovet av särskild kost grundat på hälsoskäl eller religiös tro. Sveriges advokatsamfund anser att de behov som skulle tillgodoses med ett undantag från sökförbudet i brottsdatalagen kan tillgodoses på andra mindre integritetskänsliga sätt. Som exempel tar Sveriges advokatsamfund upp att Kriminalvården kan dimensionera sin verksamhet så att beläggningsgraden minskar. Regeringen vill med anledning härav framhålla att Kriminalvården genomgår en kraftig expansion för att möta det ökade inflödet av klienter. Det kan dock inte uteslutas att anstalter och häkten under en förhållandevis lång tid kommer vara överbelagda. Överbeläggningen på anstalter och häkten är vidare endast en bidragande faktor till Kriminalvårdens behov av sökningar på känsliga personuppgifter. Oavsett om överbeläggningen minskar i framtiden kommer Kriminalvården ha ett betydande behov av sökningar för att tillgodose intagnas rättigheter och för att säkerställa personalens och intagnas säkerhet. Enligt regeringen saknas mindre ingripande och jämförbara alternativ som uppnår samma resultat som ett undantag från sökförbudet i brottsdatalagen. Regeringen anser därför att det är motiverat med ett undantag från sökförbudet för känsliga personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården. Skäl för undantag från sökförbudet för känsliga personuppgifter som har gjorts gemensamt tillgängliga hos övervakningsnämnderna har inte framkommit. Undantaget bör därför inte omfatta personuppgifter som har gjorts gemensamt tillgängliga hos dem. Undantaget bör inte heller omfatta alla uppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården. Det bör inte omfatta sökning på gemensamt tillgängliga uppgifter som behandlas enbart på grund av att en person är föremål för personutredning eller att personen är dömd till en påföljd som kan komma att verkställas i ett annat land. Kriminalvården har vidare inte behov av att kunna ta fram ett urval av personer grundade på alla kategorier av känsliga personuppgifter. Något behov av att göra sammanställningar grundade på ras eller medlemskap i fackförening finns inte. Sökning som syftar till att få fram ett urval av personer grundat på sådana uppgifter bör därför inte vara tillåten. Det har inte heller framkommit att det för närvarande finns något behov av sökningar på biometriska uppgifter, varför inte heller sådana sökningar bör vara tillåtna. Undantaget från sökförbudet i brottsdatalagen bör mot denna bakgrund utformas så att sökning i vissa uppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården möjliggörs avseende uppgifter som kan avslöja etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. I vilken utsträckning Kriminalvården har rätt att behandla de känsliga personuppgifter i en sammanställning av uppgifter som en sökning har resulterat i, får prövas mot huvudregeln om behandling av känsliga personuppgifter i 2 kap. 11 brottsdatalagen. Den möjlighet att göra sökningar som nu föreslås ger alltså inte någon generell rätt att behandla uppgifterna. Ytterligare vägledning om undantaget, som Integritetsskyddsmyndigheten efterfrågar, ges i författningskommentaren. Biometri inom Kriminalvården Kriminalvårdens behov av att använda biometri Kort om biometri Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd identitet är riktig. Identifieringen sker genom en mätning av fysiska karaktärsdrag hos den som ska identifieras. Som exempel utgår ansiktsigenkänning från mätning av olika delar av ansiktet, som bl.a. avståndet mellan ögonen, näsans bredd, käklinjens längd och formen på kindbenen. För att använda biometri behöver som regel biometriskt underlag, såsom fotografi, fingeravtryck eller röstprov, tas upp. De biometriska uppgifter som tas fram ur underlaget kan sedan användas som referensmall vid identifiering. De tekniska möjligheterna att identifiera personer med hjälp av biometri har utvecklats snabbt på senare tid. Till exempel finns det programvara för ansiktsigenkänning som gör det möjligt att snabbt och med stor träffsäkerhet fastställa eller verifiera en persons identitet. Utökade möjligheter att använda biometri i brottsbekämpningen För att fler brott ska klaras upp och fler gärningsmän lagföras har de brottsbekämpande myndigheterna på senare tid fått utökade möjligheter att använda biometri i brottsbekämpningen. I juli 2025 trädde lagändringar i kraft som i stort innebär att biometriska underlag i större utsträckning får tas upp, registreras och användas vid utredning av brott (prop. 2024/25:37, bet. 2024/25:JuU18, rskr. 2024/25:147). Det har också införts en utökad obligatorisk upptagning av biometriska underlag, såsom från personer som är frihetsberövade misstänkta för brott eller som avtjänar fängelsestraff, i syfte att öka förutsättningarna att utreda andra brott. Kriminalvården behöver också använda biometri Kriminalvården använder i dagsläget inte biometri i sin verksamhet. Frågan är dock om inte myndigheten har ett behov av att göra det. Det är av central betydelse för tilltron till Kriminalvårdens insatser och till påföljdssystemet i stort att frihetsberövanden effektivt vidmakthålls och att verkställighet sker med högt ställda krav på säkerhet. Upprätthållande av en tillfredsställande säkerhetsnivå är också av fundamental betydelse för både dömda och personal. De ändrade förutsättningarna för Kriminalvårdens verksamhet medför dock att myndighetens uppgift att säkerställa en effektiv och säker verkställighet har blivit mycket mer komplicerad och krävande. Kriminalvården måste hantera ett ökat inflöde av fängelseklienter, med hög dubbelbeläggning som följd, och att allt fler intagna utgör säkerhetsrisker, bl.a. på grund av kopplingar till kriminella nätverk och annan organiserad brottslighet. Det ökande inflödet av klienter kan inte heller förväntas avta under överskådlig tid. För att möta utvecklingen måste Kriminalvården både utöka och effektivisera verksamheten. En åtgärd för att effektivisera verksamheten är ökad användning av digitala lösningar, bl.a. användning av biometri. Enligt Kriminalvården har biometri en stor potential i myndighetens verksamhet, bl.a. vid verkställighet av fängelsestraff. Fängelseverksamheten förutsätter nämligen kontinuerlig tillsyn och kontroll av intagna, vilket i sin tur kräver att de intagna kan identifieras i olika sammanhang. Exempelvis måste Kriminalvården löpande kontrollera att intagna befinner sig där de ska. Tillsynen och närvarokontrollen har till syfte att bl.a. motverka rymningsförsök och andra avvikelser, men också att minska risken för våld och andra ordningsstörningar. Identifieringen av intagna sker i dag manuellt och kräver omfattande personalresurser. Personalens möjligheter att identifiera de intagna bygger i stort på igenkänning och personkännedom, vilket kan vara en osäker metod. Felaktiga identifieringar förekommer också. Manuell identifiering är särskilt osäker när antalet intagna är många eller den person som ska identifiera en intagen endast har arbetat på anstalten under en kortare tid. Den manuella identifieringen skulle till viss del kunna ersättas med t.ex. avläsning av fingeravtryck eller ansiktsigenkänning. På så vis skulle den manuella identifieringen kunna bli både effektivare och säkrare. Kriminalvårdens personal behöver också ombesörja ledsagning av intagna när de ska förflyttas inom anstalten. Ledsagning kräver omfattande personalresurser, men skulle kunna ersättas med t.ex. ett passagesystem som öppnas genom avläsning av fingeravtryck eller ansiktsigenkänning. Det skulle kunna göra slussningarna effektivare och säkrare både för intagna och personal. Även vid verkställighet av fängelsestraff utanför anstalt måste Kriminalvården utöva tillsyn och kontroll över den dömde. Vid verkställighet av fängelsestraff enligt lagen (1994:451) om intensivövervakning med elektronisk kontroll (IÖVL), avtjänar den dömde straffet i sin bostad och får inte vistas utanför bostaden annat än på särskilt angivna tider och för bestämda ändamål. Förbudet kontrolleras med elektroniska hjälpmedel (en s.k. fotboja som fästs runt den dömdes vrist). Under den tid som den dömde avtjänar straffet gäller enligt 4 § IÖVL också ett allmänt skötsamhetskrav och den dömde är, med vissa undantag, skyldig att underkasta sig provtagning för kontroll av drogfrihetskravet. Den dömde ska också på kallelse inställa sig hos frivården för kontroll. Dessutom får frivården göra oanmälda hembesök för att kontrollera att den dömde är på plats och inte är påverkad av alkohol eller andra droger. I sammanhanget bör påpekas att IÖVL från och med den 1 januari 2026 ska ersättas med en ny lag kallad lagen om verkställighet av fängelsestraff med elektronisk övervakning (prop. 2024/25:202, bet. 2025/26:JuU7, rskr. 2025/26:31). Genom den nya lagen införs en ny verkställighetsform för fängelsestraff: elektronisk övervakning i kontrollerat boende. Samtidigt utökas tillämpningsområdet för verkställighet med elektronisk övervakning i den dömdes bostad. Den tillsyn och kontroll som sker av de som verkställer fängelsestraff utanför anstalt enligt IÖVL kräver, liksom verkställighet i anstalt, identifiering. Någon ändring i det avseendet kommer den nya lagen om verkställighet av fängelsestraff med elektronisk övervakning inte att innebära. Som exempel behöver den dömde identifieras när han eller hon inställer sig för kontroll under verkställigheten. Identifieringen sker i dag manuellt. Om den i stället gjordes med hjälp av biometri i någon form skulle identifieringen kunna bli säkrare. Vidare förutsätter en alkoholkontroll enligt IÖVL som regel att en frivårdsinspektör beger sig till den dömde, manuellt verifierar hans eller hennes identitet och sedan genomför kontrollen genom att låta den dömde göra ett utandningsprov. Genom användning av t.ex. ett ansiktsigenkänningsprogram skulle identifieringen bli säkrare och kontrollerna kunna ske på distans och oftare, vilket kan öka efterlevnaden. Sammantaget bedömer regeringen att en möjlighet till användning av biometri innebär bättre förutsättningar att upprätthålla en effektiv och säker straffverkställighet. Som exempel skulle användning av automatiserad teknik för ansiktsigenkänning vid verkställighet av fängelsestraff i många fall kunna ersätta dagens metoder för identifiering. Nedan behandlas endast möjligheterna för Kriminalvårdens att använda ansiktsigenkänningsteknik för att verifiera en persons identitet vid verkställighet av fängelsestraff. Något beredningsunderlag för förslag om att Kriminalvården ska få använda ansiktsigenkänning vid verkställighet av andra påföljder än fängelse eller att använda andra former av biometri finns inte. Det bör dock påpekas att regeringen i februari 2025 gav en utredare i uppdrag att se över de rättsliga förutsättningarna för en utökad användning av biometri i Kriminalvårdens verksamhet (Ju 2025:A). Kriminalvårdens möjligheter att använda ansiktsigenkänning Fotografering för ansiktsigenkänning Regeringens förslag Det ska klargöras att Kriminalvården får ta fotografi av den som avtjänar fängelsestraff i anstalt för biometrisk autentisering eller annan identifiering av honom eller henne. Kriminalvården ska få motsvarande möjlighet att ta fotografi av den som avtjänar ett fängelsestraff med elektronisk övervakning. Promemorians förslag Förslaget i promemorian stämmer i huvudsak överens med regeringens. I promemorian föreslås även att en digital ansiktsbild endast ska få användas för jämförelse vid automatisk autentisering eller vid annan identifiering eller kontroll enligt fängelselagen eller IÖVL. Vidare är förslaget i promemorian något annorlunda utformat. Remissinstanserna De flesta av remissinstanserna yttrar sig inte särskilt över förslaget. Polismyndigheten påtalar att det är viktigt att föreslagna begrepp om biometrisk autentisering överensstämmer med hur de används i andra sammanhang. Sveriges advokatsamfund avstyrker förslaget att Kriminalvården ska få ta fotografi av den som avtjänar fängelsestraff enligt IÖVL, eftersom det enligt samfundet kan finnas mindre ingripande sätt som sådana personer kan identifieras. Skälen för regeringens förslag Teknik för ansiktsigenkänning som syftar till att verifiera en persons identitet fungerar som utgångspunkt på det sättet att en sparad s.k. biometrisk mall som tagits fram ur ett ansiktsfotografi jämförs med en mall som skapas från det ansikte som står framför en sensor eller kamera, alternativt att båda mallarna skapas och jämförs vid samma tillfälle. För att Kriminalvården ska kunna använda ansiktsigenkänning vid verkställighet av fängelsestraff behöver myndigheten därför kunna fotografera personer som är dömda till fängelse. Kriminalvården får enligt 8 kap. 1 § fängelselagen ta ett fotografi av en intagen för att underlätta identifiering av honom eller henne. Möjligheten infördes för att bättre kunna upprätthålla ordning och säkerhet på anstalt (prop. 2006/07:127 s. 27). Regleringen tillåter såväl fotografi av någons ansikte som av en annan kroppsdel som kan underlätta identifieringen, exempelvis en kroppsdel som är tatuerad. Kriminalvården får alltså redan i dag med stöd av 8 kap. 1 § fängelselagen ta ett fotografi av en person som avtjänar fängelsestraff i anstalt för identifiering. Det finns dock anledning att klargöra att ett fotografi får tas för verifiering av en persons identitet genom användning av automatiserad teknik för ansiktsigenkänning. Beträffande hur detta ska komma till uttryck i lagtext bör, i linje med vad Polismyndigheten påpekar, enhetliga uttryckssätt eftersträvas. I 27 kap. 17 f § rättegångsbalken används uttrycket biometrisk autentisering för att beskriva elektronisk mätning av en persons fysiska karaktärsdrag, såsom finger- eller handavtryck, ansiktsgeometri, röst eller ögats iris (se prop. 2021/22:119 s. 144 och 173). Uttrycket framstår som lämpligt att använda även i detta sammanhang. Eftersom jämförelseunderlaget i dessa fall kommer att vara ett fotografi, är det i praktiken biometrisk autentisering genom ansiktsigenkänning som kommer omfattas. Med hänsyn till att ansiktsigenkänning förutsätter ett fotografi på personen som ska identifieras, bör det i lagtext inte längre anges att ett fotografi får tas endast i syfte att ”underlätta” identifiering, utan för identifiering. Någon ändring i sak bör en sådan ändring inte medföra. Sammantaget bör det alltså klargöras att ett fotografi får tas av en person som avtjänar fängelsestraff i anstalt för biometrisk autentisering eller annan identifiering av honom eller henne. Kriminalvården får i dagsläget inte ta ett fotografi av en person som avtjänar fängelsestraff med elektronisk övervakning enligt IÖVL. Däremot ska 8 kap. 1 § fängelselagen – om möjlighet att ta fotografi av intagna för identifiering – gälla vid verkställighet av fängelsestraff i kontrollerat boende enligt 4 kap. 5 § den nya lagen om verkställighet av fängelsestraff med elektronisk övervakning. Som framgår av föregående avsnitt har Kriminalvården ett behov av att kunna identifiera alla som verkställer fängelsestraff med elektronisk övervakning, alltså även de som avtjänar straffet i sin bostad. Som exempel behöver sådana personer identifieras vid inställelse på frivårdskontor under verkställigheten samt vid drogkontroller. En möjlighet att ta fotografi skulle möjliggöra identifiering med hjälp av ansiktsigenkänningsteknik och underlätta annan identifiering. Ansiktsigenkänning kan ersätta de manuella identifieringar som sker i dag och har stor potential för effektivare och säkrare identifieringar under straffverkställigheten. Möjligheten att kontrollera att de dömda följer de förhållningsregler som följer av verkställigheten kan också förbättras. Kriminalvården bör därför som utgångspunkt ha motsvarande möjligheter att fotografera de som avtjänar fängelsestraff med elektronisk övervakning som av de som avtjänar i anstalt. En utökad befogenhet att fotografera de som avtjänar fängelsestraff innebär en inskränkning av enskildas skydd för den personliga integriteten enligt den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Av artikel 8 i Europakonventionen framgår att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Att ta fotografier av en person utan dennes samtycke utgör ett intrång i privatlivet (se bl.a. Europadomstolens avgörande den 24 juni 2004 i målet von Hannover mot Tyskland, nr 59320/00, jfr även JO 2022/23 s. 280). Ett liknande skydd finns enligt artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna. Upptagning av fotografier utgör däremot inte ett sådant påtvingat kroppsligt ingrepp som har skydd genom 2 kap. 6 § första stycket regeringsformen, men kan i vissa fall utgöra ett sådant betydande intrång i den personliga integriteten som skyddas genom 2 kap. 6 § andra stycket regeringsformen (jfr prop. 2009/10:80 s. 177). Skyddet för den personliga integriteten får endast inskränkas för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. En inskränkning får inte sträcka sig längre än vad som är nödvändigt för att uppnå dess syften. Det övergripande ändamålet med den befogenhet som nu övervägs är effektiv och säker verkställighet av fängelsestraff, vilket har utvecklats närmare i avsnitt 6.1. Att fängelsestraff ska kunna verkställas på ett effektivt och säkert sätt är ett ändamål som är godtagbart i ett demokratiskt samhälle och som kan ligga till grund för en begränsning av skyddet för privatlivet. Det påtagliga behovet och de förväntade positiva effekterna av befogenheten väger enligt regeringens uppfattning klart tyngre än det ingrepp som fotografering och efterföljande identifiering kan förväntas innebära för enskilda. I likhet med vad Sveriges advokatsamfund framhåller finns det mindre ingripande alternativ för identifiering. Enligt regeringen saknas det dock mindre ingripande och jämförbara alternativ som har samma effekt. Regeringen anser med hänsyn till det att den befogenhet som nu övervägs är förenlig med skyddet för den personliga integriteten enligt Europakonventionen och Europeiska unionens stadga om de grundläggande friheterna. Kriminalvården bör mot denna bakgrund få motsvarande möjligheter att fotografera dömda vid verkställighet av fängelsestraff med elektronisk övervakning som vid verkställighet i anstalt. Den nya befogenheten att ta fotografier av alla som verkställer fängelsestraff med elektronisk övervakning bör införas i den nya lagen om verkställighet av fängelsestraff med elektronisk övervakning som ska ersätta IÖVL från och med den 1 januari 2026. I promemorian föreslås av integritetsskäl en bestämmelse om att ett fotografi av ett ansikte endast ska få användas för automatisk autentisering eller annan identifiering eller kontroll. Enligt regeringen utgör dock befintliga och föreslagna dataskyddsbestämmelser en tillräcklig begränsning av hur ett sådant fotografi får användas, såsom att biometriska uppgifter enligt 2 kap. 3 § kriminalvårdens brottsdatalag endast får behandlas om det är absolut nödvändigt för ändamålet med behandlingen samt att en särskild längsta tid för behandling, enligt regeringens förslag i avsnitt 7.4.2, ska gälla för biometriska uppgifter som tagits fram för biometrisk autentisering. En sådan begränsning som föreslås i promemorian bör därför inte införas. Behandling av biometriska uppgifter för ansiktsigenkänning Regeringens bedömning Kriminalvården får med stöd av dagens regelverk behandla biometriska uppgifter för biometrisk autentisering, om det är absolut nödvändigt för ändamålet med behandlingen. Någon bestämmelse som tillåter Kriminalvården att göra det bör därför inte införas. Promemorians bedömning och förslag Bedömningen och förslaget i promemorian stämmer inte överens med regeringens bedömning. I promemorian görs bedömningen att Kriminalvården i nuläget inte får behandla biometriska uppgifter i samband med ansiktsigenkänning och annan biometrisk autentisering, utan att det kräver en särskild föreskrift. I promemorian föreslås att det införs en sådan särskild föreskrift, genom en bestämmelse som anger att Kriminalvården med hjälp av biometrisk autentisering får bekräfta en persons identitet när han eller hon avtjänar ett fängelsestraff, i eller utanför anstalt. Remissinstanserna De flesta av remissinstanserna yttrar sig inte särskilt över förslaget. Polismyndigheten tillstyrker förslaget. Integritetsskyddsmyndigheten betonar att Kriminalvården bör genomföra en konsekvensbedömning innan biometrisk autentisering tas i bruk och att Kriminalvården har en långtgående skyldighet att samråda med Integritetsskyddsmyndigheten i frågan. Skälen för regeringens bedömning Enligt 1 kap. 6 § brottsdatalagen är biometriska uppgifter personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen. Det innebär att till exempel ett fotografi av ett ansikte i sig inte är en biometrisk uppgift. Däremot utgör information som genom en särskild teknisk behandling kan tas fram ur ett fotografi eller annat biometriskt underlag, i syfte att personen ska kunna identifieras, biometriska uppgifter. Som exempel utgör sådana referensmallar, s.k. biometriska mallar, som tas fram ur fotografier för ansiktsigenkänning biometriska uppgifter (jfr prop. 2017/18:232 s. 435 och prop. 2024/25:37 s. 97). För att Kriminalvården ska kunna använda teknik för ansiktsigenkänning behöver myndigheten därför – förutom möjlighet att ta fotografi av de som ska identifieras – kunna behandla biometriska uppgifter. Av 2 kap. 12 §§ brottsdatalagen framgår att biometriska uppgifter får behandlas om det är särskilt föreskrivet och absolut nödvändigt för ändamålet med behandlingen. Enligt 2 kap. 3 § kriminalvårdens brottsdatalag får Kriminalvården behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. I promemorian görs bedömningen att Kriminalvården i dagsläget inte får behandla biometriska uppgifter. Enligt promemorian utgör 2 kap. 3 § kriminalvårdens brottsdatalag inte en sådan särskild föreskrift som enligt 2 kap. 12 § brottsdatalagen krävs för att biometriska uppgifter ska få behandlas. I promemorian föreslås därför att det ska införas en bestämmelse som anger att Kriminalvården med hjälp av biometrisk autentisering får bekräfta en persons identitet när han eller hon avtjänar ett fängelsestraff, i eller utanför anstalt. Bestämmelsen innebär enligt promemorian att Kriminalvården får behandla biometriska uppgifter för biometrisk autentisering, förutsatt att det är absolut nödvändigt för verkställighet av fängelsestraff. Regeringen delar inte bedömningen i promemorian. Enligt regeringens mening innebär bestämmelsen i 2 kap. 3 § kriminalvårdens brottsdatalag att det är särskilt föreskrivet, på det sätt som krävs enligt 2 kap. 12 § brottsdatalagen, att Kriminalvården får behandla biometriska uppgifter. Bedömningen vilar både på bestämmelsens ordalydelse och vad som anges i förarbetena till bestämmelsen. Av förarbetena till 2 kap. 3 § kriminalvårdens brottsdatalag framgår att bestämmelsen infördes för att ge Kriminalvården rättsliga förutsättningar att behandla biometriska uppgifter, om det är absolut nödvändigt för ändamålet med behandlingen, och att den möjliggör användning av biometri (prop. 2017/18:269 s. 254, 255 och 376). En motsvarande möjlighet infördes inte för vissa andra myndigheter, exempelvis Kustbevakningen och Skatteverket, eftersom de myndigheterna inte bedömdes ha samma behov av att behandla biometriska uppgifter. Mot denna bakgrund gör regeringen bedömningen att bestämmelsen i 2 kap. 3 § kriminalvårdens brottsdatalag innebär att Kriminalvården redan i dag får behandla biometriska uppgifter vid t.ex. ansiktsigenkänning om det är absolut nödvändigt för ändamålet med behandlingen. Regeringen anser därför inte att det behöver införas en sådan bestämmelse som föreslås i promemorian. Att Kriminalvården endast får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen innebär bl.a. att behovet av att behandla sådana uppgifter måste prövas särskilt noga (prop. 2017/18:269 s. 376). Innan Kriminalvården tar någon form av teknik för ansiktsigenkänning i bruk måste myndigheten alltså omsorgsfullt pröva behovet och förutsättningarna för det. Som Integritetsskyddsmyndigheten framför bör Kriminalvården därtill genomföra en konsekvensbedömning enligt 3 kap. 7 § första stycket brottsdatalagen. Om en sådan konsekvensbedömning visar att det finns särskild risk för intrång i den dömdes personliga integritet eller om typen av behandling innebär särskild risk för intrång, ska Kriminalvården samråda med Integritetsskyddsmyndigheten enligt 3 kap. 7 § andra stycket brottsdatalagen. Längsta tid som personuppgifter får behandlas Längsta tid för behandling ska regleras i lag Regeringens förslag Den längsta tid som personuppgifter får behandlas ska regleras i kriminalvårdens brottsdatalag i stället för i förordning. En sanktionsavgift ska kunna tas ut vid överträdelse av den längsta tid som personuppgifter får behandlas. Promemorians förslag Förslaget i promemorian stämmer överens med regeringens. Remissinstanserna Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Enligt 2 kap. 17 § första stycket brottsdatalagen får personuppgifter inte behandlas längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I kriminalvårdens brottsdatalag och kriminalvårdens brottsdataförordning finns bestämmelser som anger en bortersta gräns för hur länge personuppgifter får behandlas. Enligt 2 kap. 5 § första stycket kriminalvårdens brottsdatalag får uppgifter som utgångspunkt inte behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört. I 3 kap. kriminalvårdens brottsdatalag finns bestämmelser som anger en kortare längsta tid för behandling av uppgifter i säkerhetsregistret. I kriminalvårdens brottsdataförordning finns också bestämmelser om kortare längsta tid för vissa typer av personuppgifter. För att regleringen om längsta tid för behandling ska bli mer överskådlig bör den samlas i ett särskilt kapitel i kriminalvårdens brottsdatalag. Befintliga lag- och förordningsbestämmelser om längsta tid för behandling bör alltså lyftas in i det kapitlet. Bestämmelserna om längsta tid för behandling av uppgifter i säkerhetsregistret bör dock – på samma sätt som i dag – hållas samman med övriga bestämmelser om säkerhetsregistret, se avsnitt 8. När det gäller vilken längsta tid för behandling som ska gälla för olika slags uppgifter finns det anledning att särskilja uppgifter som har gjorts gemensamt tillgängliga från uppgifter som inte har gjorts det. Det nya kapitlet bör därför delas upp med detta som utgångspunkt. En sådan åtskillnad görs också i de brottsbekämpande myndigheternas lagar som kompletterar brottsdatalagen. Längsta tid för vissa särskilt integritetskänsliga uppgifter bör dock gälla oberoende av uppgifterna gjorts tillgängliga för fler än ett fåtal, se avsnitt 7.4. I likhet med nuvarande 2 kap. 5 § kriminalvårdens brottsdatalag bör det fortsatt framgå att kapitlet gäller personuppgifter som behandlas automatiserat. På motsvarande sätt som i dag bör vidare 2 kap. 17 § andra stycket brottsdatalagen inte gälla vid tillämpningen av bestämmelser om längsta tid för behandling. Det innebär att all automatiserad behandling av personuppgifter ska upphöra senast när den längsta tiden för behandling löpt ut. Digital arkivering är alltså som utgångspunkt inte tillåten. Överträdelse av en bestämmelse om längsta tid för behandling kan enligt 4 kap. 1 § kriminalvårdens brottsdatalag medföra att en sanktionsavgift tas ut. Detsamma gäller genomgående enligt de brottsbekämpande myndigheternas lagar som kompletterar brottsdatalagen. Någon anledning att nu avvika från den ordningen finns inte. Även de nya bestämmelser om längsta tid för behandling som föreslås bör därför kunna föranleda sanktionsavgift. Personuppgifter som inte har gjorts gemensamt tillgängliga Regeringens förslag Personuppgifter som inte har gjorts gemensamt tillgängliga ska inte få behandlas längre än ett år efter det att ärendet avslutades, om uppgifterna behandlas i ett ärende, eller ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Promemorians förslag Förslaget i promemorian stämmer överens med regeringens. Remissinstanserna Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Från integritetssynpunkt är det viktigt att personuppgifter inte behandlas längre tid än nödvändigt. Behovet av att behandla uppgifter som inte har gjorts gemensamt tillgängliga under en längre tid är typiskt sett begränsat. Dessutom är det särskilt angeläget att sådana uppgifter inte behandlas under lång tid, eftersom några särskilda begränsningar inte föreslås gälla för behandlingen av dem. Längsta tid för behandling av personuppgifter som inte har gjort gemensamt tillgängliga bör därför vara kort. När det gäller uppgifter som behandlas inom ramen för ett ärende bör längsta tid för behandling vara ett år efter det att ärendet avslutades. För uppgifter som inte kan hänföras till ett ärende bör längsta tid för behandling vara ett år efter att uppgifterna behandlades första gången. Tidsfristerna är desamma som gäller enligt andra myndigheters lagar som kompletterar brottsdatalagen. Gränsdragningen mellan uppgifter som ska anses behandlas i ett ärende och de som inte ska göra det behandlas i författningskommentaren. Personuppgifter som har gjorts gemensamt tillgängliga Uppgifter om personer som varit häktade Regeringens förslag Personuppgifter om en person som har varit häktad och som inte har dömts till en påföljd som ska verkställas inom Kriminalvården, ska inte få behandlas längre än fem år efter det att häktningen hävdes. Promemorians förslag Förslaget i promemorian stämmer i huvudsak överens med regeringens. I promemorian föreslås att personuppgifter om en häktad person inte ska få behandlas längre än fem år efter det att den häktade frigavs från häktet. Remissinstanserna Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Personuppgifter om en häktad får enligt 7 § kriminalvårdens brottsdataförordning inte behandlas längre än två år efter det att den häktade frigavs från häktet. Om den som varit häktad döms till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst får personuppgifterna inte behandlas längre än tio år efter det att den senaste påföljden helt har verkställts. Som framförs i promemorian är det inte självklart att ett brottmål, där den tilltalade har varit häktad men försatts på fri fot, avgörs slutligt inom två år. Om personen senare döms till fängelse finns det en risk att uppgifterna inte längre är tillgängliga. Sådana situationer kan exempelvis uppstå i fall när en häktad person frigetts, före huvudförhandling i tingsrätten eller i samband med huvudförhandling i tingsrätten, och handläggningen i tingsrätten eller hovrätten tar över två år. För brottmål som inte kräver skyndsam handläggning är det är inte ovanligt med en handläggningstid som överstiger två år per instans. För att säkerställa att nödvändiga uppgifter inte går förlorade bör längsta tid för behandling av gemensamt tillgängliga uppgifter om en person som varit häktad, och som inte dömts till en påföljd som ska verkställas inom Kriminalvården, vara fem år från det att häktningen hävdes. Uppgifter från personutredningar Regeringens förslag Personuppgifter om en person som varit föremål för personutredning och som inte har varit häktad eller dömts till en påföljd som ska verkställas inom Kriminalvården, ska inte få behandlas längre än två år efter att det mål i vilket personutredningen gjordes har avgjorts genom en dom eller ett beslut som har fått laga kraft. Promemorians förslag Förslaget i promemorian stämmer i huvudsak överens med regeringens. I promemorian föreslås att längsta tid för behandling ska vara tre år efter att det mål i vilket en personutredning gjordes slutligt har avgjorts. Remissinstanserna Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Uppgifter om en person som varit föremål för personutredning enligt lagen om särskild personutredning i brottmål, m.m. får enligt 4 § kriminalvårdens brottsdataförordning inte behandlas längre än två år efter att det mål i vilket personutredningen har begärts slutligt har avgjorts. Om personen döms till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst får personuppgifterna i stället behandlas tio år efter att den senaste påföljden helt har verkställts. Gemensamt tillgängliga uppgifter om en person som varit föremål för personutredning och som varken varit häktad eller dömts till påföljd inom Kriminalvården bör, på liknande sätt som i dag, inte få behandlas längre än en viss tid efter att det mål i vilket personutredningen gjordes har avgjorts genom en dom eller ett beslut som har fått laga kraft. I promemorian föreslås att den längsta tiden för behandling ska vara tre år efter att det mål i vilket en personutredning gjordes slutligt har avgjorts, eftersom det inte är ovanligt att den slutliga handläggningstiden för brottmål överstiger två år. Att handläggningstiderna kan vara långa saknar dock betydelse eftersom längsta tiden för behandling ska vara knuten till när målet i fråga har avgjorts genom en dom eller ett beslut som fått laga kraft. Längsta tid för behandling bör därför vara två år efter den tidpunkten. Uppgifter om dömda Regeringens förslag Personuppgifter om en person som har dömts till en påföljd som ska verkställas inom Kriminalvården, ska inte få behandlas längre än tio år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl. Om personen inte slutligt döms till en påföljd som ska verkställas inom Kriminalvården, ska uppgifter som behandlas med anledning av den tidigare utdömda påföljden inte få behandlas längre än tre månader efter det att domen eller beslutet fick laga kraft. Om verkställigheten har påbörjats ska i stället den längsta tid för behandling som anges i första stycket gälla. Regeringens bedömning Det bör inte införas särskilda regler om längsta tid för behandling av personuppgifter om den som har dömts för brott till en annan påföljd än fängelse och som var under 18 år vid tiden för brottet. Promemorians förslag Förslaget i promemorian stämmer i huvudsak överens med regeringens. I promemorian föreslås att uppgifter som behandlas med anledning av en dom eller ett beslut som inte fått laga kraft ska raderas senast tre månader efter avgörandet fick laga kraft om personen inte slutligt döms till en påföljd som ska verkställas inom Kriminalvården. I promemorian föreslås också att personuppgifter om den som har dömts för brott till en annan påföljd än fängelse och som var under 18 år vid tiden för brottet, inte ska få behandlas längre än fem år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl. Vidare är förslaget i promemorian något annorlunda utformat. Remissinstanserna De flesta av remissinstanserna yttrar sig inte särskilt över förslaget. Kriminalvården avstyrker förslaget om en kortare längsta tid för behandling av personuppgifter om den som har dömts för brott till en annan påföljd än fängelse och som var under 18 år vid tiden för brottet. Myndigheten anför bl.a. att en sådan reglering riskerar att försämra kvaliteten på statistikproduktion och verksamhetsuppföljning. Sveriges advokatsamfund anser att uppgifter om dömda som behandlas med stöd av en dom som inte vunnit laga kraft, och där grunden för behandlingen sedan bortfaller, av hänsyn till den enskildes intresse bör raderas omedelbart efter laga kraft i stället för efter tre månader. Skälen för regeringens förslag Uppgifter om dömda ska som huvudregel inte få behandlas längre än tio år Det saknas en generell bestämmelse om längsta tid för behandling av personuppgifter om den som har dömts till en påföljd som ska verkställas inom Kriminalvården. Beroende på omständigheterna kan ett flertal bestämmelser vara tillämpliga. Enligt 4 och 7 §§ kriminalvårdens brottsdataförordning får uppgifter om en person som varit föremål för personutredning eller som varit häktad inte behandlas längre än tio år efter det att den senaste påföljden helt har verkställts om personen har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst. Uppgifter om en person som dömts till fängelse, fängelse som förvandlingsstraff för böter eller vite, skyddstillsyn, villkorlig dom med föreskrift om samhällstjänst eller som på grund av en utländsk dom ska verkställa någon av dessa påföljder får, enligt 10, 13 och 15 §§ kriminalvårdens brottsdataförordning, inte behandlas längre än tio år om uppgifterna behandlas i en journal och annars två år efter det att villkorlig frigivning har ägt rum, intensivövervakning med elektronisk kontroll har upphört, övervakningen har upphört eller föreskriften om samhällstjänst helt har verkställts. Dessutom gäller andra bestämmelser om längsta tid för behandling av uppgifter om personer som har dömts till ungdomsövervakning. Reglerna om längsta tid för behandling av personuppgifter om den som har dömts till en påföljd som ska verkställas inom Kriminalvården är alltså många och detaljerade. Reglerna överlappar också till viss del, vilket riskerar leda till tillämpningssvårigheter. Den nuvarande detaljregleringen bör ersättas med en generellt utformad bestämmelse om längsta tid för behandling av personuppgifter om den som har dömts till en påföljd som ska verkställas inom Kriminalvården. En sådan bestämmelse omfattar uppgifter om personer som har dömts till fängelse, även som förvandlingsstraff för böter eller vite, skyddstillsyn, villkorlig dom med föreskrift om samhällstjänst och ungdomsövervakning. Den omfattar även uppgifter om den som genom ett utländskt avgörande har dömts till en påföljd som ska verkställas i Sverige inom Kriminalvården. Om Kriminalvården i framtiden kommer ansvara för att verkställa fler påföljder, kommer även personuppgifter om en person som har dömts till en sådan påföljd att omfattas. Längsta tid för behandling bör lämpligen vara tio år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl. Det motsvarar den längsta tid för behandling som i dag gäller som huvudregel för personuppgifter inom Kriminalvården enligt 2 kap. 5 § första stycket kriminalvårdens brottsdatalag. I promemorian föreslås att en kortare längsta tid för behandling ska gälla för den som har dömts för brott till en annan påföljd än fängelse och som var under 18 år vid tiden för brottet. Även om intresset av skydd för enskildas integritet kan väga tyngre när det gäller barn, anser regeringen i likhet med Kriminalvården inte att det är motiverat med en särreglering i lag i detta fall. En särskild längsta tid för behandling av personuppgifter om barn är också ovanligt i andra myndigheters lagar som kompletterar brottsdatalagen. Regeringen gör alltså bedömningen att det inte bör införas någon sådan särreglering som föreslås i promemorian, utan att samma längsta tid som utgångspunkt bör gälla för samtliga som ska avtjäna en påföljd inom Kriminalvården. I sammanhanget bör dock påpekas att regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen, kan meddela föreskrifter om en kortare längsta tid för behandling om det är motiverat. Undantag för vissa fall när domen ändras Det saknas särskilda bestämmelser om längsta tid för behandling av personuppgifter om en person som har dömts till en påföljd som ska verkställas inom Kriminalvården, men där domen ändras och personen inte slutligt döms till sådan påföljd. Om uppgifter om personen behandlas uteslutande med anledning den tidigare utdömda påföljden bör en särskild längsta tid för behandling gälla som är betydligt kortare än den föreslagna huvudregeln för dömda. Skyddet i 2 kap. 17 § brottsdatalagen, som innebär att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen, ger alltså inte ett tillräckligt skydd för den personliga integriteten i dessa fall. Som framförs i promemorian är längsta tid för behandling en avvägning mellan, å ena sidan, skyddet för den personliga integriteten och, å andra sidan, att uppgifter bevaras tillräckligt länge för att Kriminalvården ska kunna utföra sina uppgifter och att enskilda ska kunna ta tillvara sina rättigheter. Regeringen anser, till skillnad från Sveriges advokatsamfund, att en längsta tid om tre månader från att domen eller beslutet fick laga kraft är en rimlig avvägning mellan dessa intressen. Till skillnad från vad som föreslås i promemorian anser regeringen inte att det bör införas krav på att radera uppgifterna. Den kortare längsta tid för behandling som föreslås utgör ett tillräckligt integritetsskydd. Utgångspunkten är att all automatiserad behandling av personuppgifter ska upphöra senast när den längsta tiden för behandling löpt ut, vilket innebär att uppgifterna då ska tas bort. Den kortare längsta tiden för behandling bör inte gälla om personen i fråga har hunnit påbörjat sin verkställighet, eftersom Kriminalvården då har behov av att ha kvar uppgifter om verkställigheten. Uppgifter om andra personer än klienter Regeringens förslag Personuppgifter om en annan person än en klient, som behandlas på grund av personens relation eller kontakter med en klient, ska inte få behandlas längre än uppgifterna om klienten i fråga behandlas. Promemorians förslag Förslaget i promemorian stämmer i sak överens med regeringens men är något annorlunda utformat. Remissinstanserna Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag För personuppgifter om andra än klienter, som behandlas på grund av personens relation eller kontakter med en dömd person eller annan klient, saknas i dag särskilda bestämmelser om längsta tid för behandling. Av integritetsskäl bör sådana bestämmelser införas. Det bör inte vara aktuellt att behandla uppgifterna längre än vad uppgifterna om klienten i fråga behandlas. Rätten att behandla uppgifterna bör därför upphöra senast när uppgifterna om klienten upphör att behandlas. Övriga personuppgifter Regeringens förslag Övriga personuppgifter som har gjorts gemensamt tillgängliga ska inte få behandlas längre tid än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade har verkställts eller upphört. Promemorians förslag Förslaget i promemorian stämmer i sak överens med regeringens men är något annorlunda utformat. Remissinstanserna Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Av 2 kap. 5 § kriminalvårdens brottsdatalag framgår att personuppgifter som huvudregel inte får behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört. Om inte annat följer av särskilda bestämmelser om längsta tid för behandling gäller huvudregeln. Det kommer finnas fall där gemensamt tillgängliga uppgifter inte omfattas av de bestämmelser om längsta tid för behandling som föreslås i avsnitt 7.3.1–7.3.4. På motsvarande sätt som i dag bör då gälla en längsta tid för behandling på tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade har verkställts eller upphört. Särskilda bestämmelser om vissa personuppgifter Uppgifter som tagits fram genom elektronisk övervakning Regeringens förslag Personuppgifter som har tagits fram genom elektronisk övervakning vid verkställighet av en påföljd ska inte få behandlas längre än tre månader efter det att de behandlades automatiserat första gången. Om uppgifterna behövs vid prövning av fråga om verkställighet ska de dock få behandlas till dess beslutet har fått laga kraft. Promemorians förslag Förslaget i promemorian stämmer i huvudsak överens med regeringens. I promemorian föreslås dock inte att en längre längsta tid ska gälla när uppgifter som tagits fram genom elektronisk övervakning behövs vid prövning av fråga om verkställighet. I promemorian föreslås vidare att uppgifterna ska raderas när de inte längre får behandlas. Remissinstanserna Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Kriminalvården har möjlighet att använda elektronisk övervakning vid verkställighet av vissa påföljder. Eftersom positionsuppgifter som tas fram genom elektronisk övervakning anses vara särskilt integritetskänsliga bör en kortare längsta tid för behandling av sådana uppgifter införas som gäller oberoende av om uppgifterna har gjorts gemensamt tillgängliga. Tre månader, som gäller för positionsuppgifter enligt förordningen (2020:792) om verkställighet av ungdomsövervakning, bör som utgångspunkt vara en tillräcklig längsta tid för att kunna ingripa mot misskötsamhet och för att den enskilde ska kunna tillvarata sina rättigheter. Det kan dock inte uteslutas att positionsuppgifter i vissa fall kan behövas under en längre tid än tre månader för prövning av misskötsamhet under verkställigheten, såsom prövning enligt 11 kap. 6 § eller 13 kap. 3 § fängelselagen. I de fall uppgifterna behövs vid prövning av fråga om verkställighet, bör uppgifterna få behandlas till dess frågan prövats genom ett beslut som vunnit laga kraft. Till skillnad från vad som föreslås i promemorian anser regeringen inte att det bör införas krav på att radera positionsuppgifter när de inte längre får behandlas. Den kortare längsta tid för behandling som föreslås utgör ett tillräckligt integritetsskydd. Utgångspunkten är att all automatiserad behandling av personuppgifter ska upphöra senast när den längsta tiden för behandling löpt ut, vilket innebär att uppgifterna då ska tas bort. Biometriska uppgifter Regeringens förslag Biometriska uppgifter som har tagits fram för biometrisk autentisering av en person som dömts till fängelse, ska inte få behandlas längre än tre månader efter det att det senaste fängelsestraffet helt har verkställts eller upphört av annat skäl. Promemorians förslag Förslaget i promemorian stämmer delvis överens med regeringens. I promemorian föreslås att en ansiktsbild inte ska få behandlas längre än två år efter det att den senaste domen på fängelse helt har verkställts eller upphört av annat skäl. Vidare föreslås att ansiktsbilder och biometriska data som skapas vid ansiktsigenkänning ska raderas senast en vecka efter autentiseringstillfället eller, om uppgifterna behövs vid prövning av fråga om misskötsamhet, till dess beslutet fått laga kraft. Remissinstanserna De flesta av remissinstanserna yttrar sig inte särskilt över förslaget. Sveriges advokatsamfund anser att en ansiktsbild endast bör få behandlas så länge som verkställigheten pågår, eftersom behovet av att behandla bilden då upphör. Skälen för regeringens förslag Förslagen i avsnitt 6 innebär att Kriminalvården kan komma att behandla biometriska uppgifter för ansiktsigenkänning av personer som dömts till fängelse. Det gäller inte någon särskild längsta tid för Kriminalvårdens behandling av biometriska uppgifter. Enligt den föreslagna huvudregeln för gemensamt tillgängliga uppgifter om dömda skulle det innebära att biometriska uppgifter som gjorts gemensamt tillgängliga som längst får behandlas i tio år efter det att påföljden helt har verkställts eller upphört av annat skäl. Med hänsyn till att biometriska uppgifter är känsliga personuppgifter bör en kortare längsta tid för behandling införas som gäller oberoende av om uppgifterna har gjorts gemensamt tillgängliga. Teknik för ansiktsigenkänning som syftar till att verifiera en persons identitet fungerar som utgångspunkt på det sättet att sparade biometriska uppgifter, en s.k. biometrisk mall, som tagits fram ur ett ansiktsfotografi jämförs med en mall som skapas från det ansikte som står framför en sensor eller kamera, alternativt att de biometriska uppgifterna skapas och jämförs vid samma tillfälle. Ett fotografi på ett ansikte utgör i sig inte biometriska uppgifter. Däremot är biometriska mallar som tas fram för ansiktsigenkänning biometriska uppgifter. Ett fotografi får i dag behandlas lika länge som andra personuppgifter om dömda, alltså som utgångspunkt tio år efter det att den senast påföljden helt har verkställts eller upphört. Regeringen anser, till skillnad från vad som föreslås i promemorian och Sveriges advokatsamfund, inte att denna längsta tid bör inskränkas. Ett fotografi kan användas både för ansiktsigenkänning och annan slags identifiering. Däremot bör en avsevärt kortare längsta tid införas för sådana biometriska uppgifter som tagits fram för att användas vid ansiktsigenkänning. Det praktiska behovet av sådana uppgifter bör som utgångspunkt upphöra senast en tid efter att personen i fråga har avtjänat det fängelsestraff som han eller hon dömts till. Regeringen anser därför att biometriska uppgifter som har tagits fram för biometrisk autentisering av en person som dömts till fängelse, som längst bör få behandlas tre månader efter det senaste fängelsestraffet helt har verkställts eller upphört av annat skäl. Till skillnad från vad som föreslås i promemorian anser regeringen inte att det därutöver finns anledning att införa krav på radering av uppgifterna. Utgångspunkten är ändå att all automatiserad behandling ska upphöra senast när den längsta tiden för behandling har löpt ut. Behovet av sådana biometriska uppgifter som skapas vid en ansiktsigenkänning kan i många fall upphöra en kort tid efter att identifiering skett. Till skillnad från vad som föreslås i promemorian anser regeringen dock inte att det finns tillräcklig anledning att införa en särskild kortare längsta tid för sådana fall. Med det sagt får Kriminalvården endast behandla biometriska uppgifter så länge det är absolut nödvändigt för ändamålet med behandlingen. Det behovet ska Kriminalvården pröva kontinuerligt. När uppgifter som skapas vid en ansiktsigenkänning inte längre är absolut nödvändiga att behandla, ska behandlingen upphöra. I promemorian föreslås att bestämmelserna om längsta tid för behandling av biometriska uppgifter ska införas i fängelselagen och IÖVL. En sådan ordning avviker dock från systematiken i personuppgiftsregleringen i övrigt, där bestämmelser om längsta tid för behandling om möjligt hålls samman med övriga bestämmelser om personuppgiftsbehandling. De föreslagna bestämmelserna bör därför placeras i kriminalvårdens brottsdatalag. Säkerhetsregistret Ett breddat säkerhetsregister Förutom det centrala kriminalvårdsregistret använder sig Kriminalvården av det så kallade säkerhetsregistret i sin kärnverksamhet. Säkerhetsregistret är, till skillnad från det centrala kriminalvårdsregistret, en enda databas. I säkerhetsregistret behandlas uppgifter om personer som bedöms utgöra en kvalificerad säkerhetsrisk i Kriminalvårdens verksamhet. Syftet med säkerhetsregistret är dels att förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straffverkställighet, dels att säkerställa ordning och säkerhet i Kriminalvårdens verksamhet. Särskilda bestämmelser gäller i dag enligt 3 kap. kriminalvårdens brottsdatalag för behandling av uppgifter i säkerhetsregistret. Bestämmelserna bör inte inordnas under de mer generella bestämmelserna om gemensamt tillgängliga uppgifter som föreslås i avsnitt 5. Säkerhetsregistret och regleringen av det fyller nämligen en särskild funktion i Kriminalvården. I registret behandlas uppgifter som härrör från underrättelseverksamhet. Det kan vara mycket känsliga uppgifter, t.ex. uppgifter om risk för våld mot intagna och risk för fritagning, som endast vissa anställda inom Kriminalvården bör ha tillgång till. Att det är fråga om underrättelseuppgifter innebär också att uppgifterna kan vara mindre tillförlitliga. Av verksamhets- och integritetsskäl är det därför viktigt att behandling av uppgifter i säkerhetsregistret och tillgången till uppgifterna kan begränsas. För att på ett ändamålsenligt sätt kunna göra det bör – på samma sätt som nu – särskilda bestämmelser gälla. Säkerhetsförhållandena inom Kriminalvårdens verksamhet har ändrats på ett markant sätt de senaste åren, bl.a. genom den allvarliga utvecklingen av den organiserade brottsligheten. Ett stort antal kriminella nätverk är i konflikt med varandra och många intagna tillhör sådana nätverk. Lojaliteter mot olika grupperingar kan dessutom skifta snabbt, vilket medför att säkerhetsriskerna växlar på ett sätt som inte förekommit tidigare. Kriminalvården har t.ex. fått avvärja planerade mord och flera fritagningsförsök. Till det kommer att antalet klienter inom Kriminalvården är mycket högre i dag än tidigare, vilket har ökat dubbelbeläggningen. Sammantaget finns det en betydligt större risk än tidigare för konflikter och säkerhetsincidenter i Kriminalvårdens verksamhet. Riskerna för otillbörlig påverkan mot personal och andra intagna har också ökat. För att möta utvecklingen behöver säkerhetsregistret breddas och anpassas på sätt som framgår nedan. Fler häktade och fängelsedömda ska kunna registreras Regeringens förslag Personuppgifter om en person som är dömd till fängelse, men ännu inte har påbörjat verkställigheten, och som uppfyller kraven för att placeras på en säkerhetsavdelning ska få behandlas i säkerhetsregistret. Om personen inte slutligt döms till fängelse ska uppgifterna inte få behandlas längre än tre månader efter det att domen eller beslutet fick laga kraft. Samma längsta tid för behandling ska gälla för uppgifter om den som är närstående till eller har annan nära förbindelse med personen. Personuppgifter om en person som är häktad eller avtjänar ett fängelsestraff ska få behandlas i säkerhetsregistret om det finns en risk för att han eller hon bidrar till att allvarligt störa ordningen eller säkerheten även i andra lokaler där Kriminalvården bedriver verksamhet än häkten och kriminalvårdsanstalter. Personuppgifter om en person som är häktad ska också få behandlas i säkerhetsregistret om det finns en risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra som uppehåller sig i Kriminalvårdens lokaler. Promemorians förslag Förslaget i promemorian stämmer i huvudsak överens med regeringens. I promemorian föreslås att uppgifter om en person som är dömd till fängelse men som inte påbörjat verkställigheten, liksom uppgifter om personer som den fängelsedömda är närstående till eller har annan nära förbindelse med, ska raderas senast tre månader efter laga kraft om personen inte slutligt döms till fängelse. Vidare är förslaget i promemorian något annorlunda utformat. Remissinstanserna Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Fler fängelsedömda ska kunna registreras Enligt 3 kap. 2 § första stycket kriminalvårdens brottsdatalag får uppgifter om en person som är häktad eller verkställer ett fängelsestraff behandlas i säkerhetsregistret om personen är eller har varit placerad på en säkerhetsavdelning. Förutsättningarna för placering på säkerhetsavdelning anges i 2 kap. 4 § fängelselagen. Sådan placering förutsätter antingen varaktig risk för rymning eller fritagning och att det kan antas att den intagne är särskilt benägen att fortsätta allvarlig brottslig verksamhet eller att det finns särskild anledning att anta att placeringen behövs för att hindra den intagne från allvarlig brottslig verksamhet under anstaltsvistelsen. Uppgifter om en person som är dömd till fängelse men som är på fri fot i väntan på att avtjäna fängelsestraffet kan inte behandlas i säkerhetsregistret enligt 3 kap. 2 § första stycket kriminalvårdens brottsdatalag. Kriminalvården kan dock ha ett stort behov av att behandla personuppgifter i säkerhetsregistret redan innan verkställigheten påbörjas, t.ex. om personen tillhör ett kriminellt nätverk. En möjlighet att behandla personuppgifter i säkerhetsregistret innan verkställigheten inleds skulle ge Kriminalvården bättre förutsättningar att förbereda verkställigheten för att förhindra säkerhetsincidenter. Exempelvis skulle det ge Kriminalvården bättre förutsättningar att placera personer i rätt säkerhetsklass och se till att personer från rivaliserande kriminella nätverk inte placeras tillsammans. Uppgifter om personer som dömts till fängelse – inte bara de som också börjat avtjäna fängelsestraffet – bör därför kunna behandlas i säkerhetsregistret. Förutom att personen är häktad eller verkställer ett fängelsestraff, krävs enligt 3 kap. 2 § första stycket kriminalvårdens brottsdatalag även att personen är eller har varit placerad på säkerhetsavdelning. Kravet vilar på bedömningen att om omständigheterna är sådana att det finns grund för placering på en säkerhetsavdelning, bör också förutsättningarna för behandling av personuppgifter i säkerhetsregistret vara uppfyllda (se prop. 2017/18:269 s. 260). En person som är dömd till fängelse men som inte har börjat avtjäna straffet uppfyller dock inte det nuvarande kravet på att vara eller ha varit placerad på säkerhetsavdelning om han eller hon inte tidigare har avtjänat ett fängelsestraff. Detta är inte en lämplig ordning mot bakgrund av den behovsbild som nyss redovisats. Grunden bör därför lämpligen ändras så att den som är häktad eller dömd till fängelse och som är eller har varit placerad på eller uppfyller kraven för att placeras på säkerhetsavdelning får behandlas i säkerhetsregistret. Förslaget innebär att uppgifter om en person som är dömd till fängelse kan behandlas i säkerhetsregistret redan innan domen eller beslutet har fått laga kraft. Om domen eller beslutet ändras i högre instans och personen inte slutligt döms till fängelse, dvs. om grunden för behandlingen bortfaller, och det inte finns en annan grund för behandling bör en särskild och avsevärt kortare längsta tid för behandling av personuppgifterna i säkerhetsregistret gälla. Däremot anser regeringen inte, till skillnad från vad som föreslås i promemorian, att det bör införas ett krav på att radera uppgifterna. Även utan ett sådant krav ska uppgifter som utgångspunkt tas bort senast när den längsta tiden för behandling har löpt ut. Den längsta tiden för behandling i dessa fall bör lämpligen vara densamma som den längsta tiden för gemensamt tillgängliga uppgifter i motsvarande situation, dvs. tre månader från det att den slutliga domen eller det slutliga beslutet fick laga kraft (se avsnitt 7.3.3). Motsvarande längsta tid för behandling bör gälla för uppgifter om en person som behandlas på grund av att personen är närstående till eller har annan nära förbindelse med den dömde. Den kortare längsta tiden för behandling bör dock inte gälla när den dömde har hunnit påbörja verkställigheten. I de fallen har Kriminalvården behov av att ha kvar uppgifter om verkställigheten. Enligt 3 kap. 2 § andra stycket kriminalvårdens brottsdatalag får personuppgifter om en person som är häktad eller verkställer ett fängelsestraff behandlas i säkerhetsregistret om det finns en risk för att för att han eller hon bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt. Säkerhetshotande incidenter kan dock inträffa även i andra lokaler där Kriminalvården bedriver verksamhet, såsom ett havvägshus eller vårdhem. Möjligheten att behandla personuppgifter i säkerhetsregistret bör breddas i syfte att undvika säkerhetsincidenter även på sådana platser. Personuppgifter om en person som är häktad eller avtjänar ett fängelsestraff och som bidrar till att allvarligt störa ordningen eller säkerheten i andra lokaler där Kriminalvården bedriver verksamhet än i häkten eller kriminalvårdsanstalter bör därför få behandlas i säkerhetsregistret. I praktiken kommer registrering på sådan grund sannolikt ske främst när det gäller fängelsedömda. Till skillnad från vad som föreslås i promemorian anser regeringen inte att det bör tydliggöras att möjligheten att i säkerhetsregistret behandla personuppgifter om en person som avtjänar ett fängelsestraff gäller oavsett om verkställigheten sker i eller utanför anstalt. Som påpekas i promemorian är det viktigt att säkerhetsincidenter uppmärksammas och att nödvändiga åtgärder kan vidtas även när personer avtjänar fängelsestraff utanför anstalt, t.ex. under villkorlig frigivning eller när en person avtjänar straffet i sin helhet genom fotboja. Detsamma gäller vid olika utslussningsåtgärder. Enligt regeringen är det dock redan i dag klart att bestämmelserna i nuvarande 3 kap. 2 § kriminalvårdens brottsdatalag gäller oavsett om verkställigheten sker i eller utanför anstalt. Möjligheten att behandla uppgifter i säkerhetsregistret gäller alltså hela den tid som en person avtjänar och oavsett om verkställigheten äger rum i eller utanför anstalt. Det finns därför inte anledning att förtydliga att uppgifter om den som avtjänar ett fängelsestraff utanför anstalt får behandlas i säkerhetsregistret. Fler häktade ska kunna registreras Enligt 3 kap. 3 § kriminalvårdens brottsdatalag får personuppgifter om en person som verkställer fängelsestraff behandlas i säkerhetsregistret när det finns risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra som uppehåller sig i Kriminalvårdens lokaler. Personuppgifter om en person som är häktad får däremot inte behandlas på de grunderna. Även om häktade som regel inte har samma möjligheter att röra sig fritt i Kriminalvårdens lokaler som de som är intagna i kriminalvårdsanstalt, finns det dock liknande risker för våld, hot och otillbörlig påverkan. I säkerhetsregistret bör därför uppgifter få behandlas om en person som är häktad om det finns en risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra som uppehåller sig i Kriminalvårdens lokaler. Bestämmelserna om häktade i nuvarande 3 kap. 2 § kriminalvårdens brottsdatalag – liksom övriga bestämmelser om häktade i den lagen – träffar endast personer som är häktade för sådana syften som omfattas av brottsdatalagens tillämpningsområde (jfr prop. 2017/18:269 s. 378). Till skillnad från förslaget i promemorian anser regeringen inte att det bör förtydligas. Fler frivårdsklienter ska kunna registreras Regeringens förslag Personuppgifter om en person som avtjänar en annan påföljd än fängelse ska få behandlas i säkerhetsregistret om det finns en risk för att han eller hon bidrar till att allvarligt störa ordningen eller säkerheten i Kriminalvårdens lokaler eller för att han eller hon under verkställigheten utsätts för våld eller hot. Promemorians förslag Förslaget i promemorian stämmer i huvudsak överens med regeringens. I promemorian föreslås även att det ska införas krav på särskilda skäl för behandlingen. Remissinstanserna Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Uppgifter om en person som verkställer en annan påföljd än fängelse får, enligt 3 kap. 3 § kriminalvårdens brottsdatalag, behandlas i säkerhetsregistret endast om det finns en risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. Uppgifter om en häktad person eller en person som avtjänar ett fängelsestraff får även behandlas på de grunderna att det finns risk för att han eller hon bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt eller för att han eller hon utsätts för våld eller hot under verkställigheten. Frågan är om motsvarande möjligheter bör finnas avseende personer som avtjänar en annan påföljd än fängelse. Om det finns en risk för att en frivårdsklient bidrar till att allvarligt störa ordningen eller säkerheten i lokaler där Kriminalvården bedriver frivård, är det viktigt att Kriminalvården kan ta hänsyn till det. Exempelvis kan Kriminalvården inför ett besök på ett frivårdskontor behöva dimensionera personalen på ett visst sätt eller vidta andra säkerhetsåtgärder för att motverka säkerhetsincidenter. Att det finns en risk för att en frivårdsklient bidrar till att allvarligt störa ordningen eller säkerheten i Kriminalvårdens lokaler bör därför enligt regeringens mening kunna utgöra grund för behandling av personuppgifter i säkerhetsregistret. Det är även viktigt att Kriminalvården kan ta hänsyn till om en frivårdsklient har en allvarlig hotbild mot sig, särskilt för att hindra att personen utsätts för brott. Det kan t.ex. vara viktigt att undvika att två personer som tillhör rivaliserande kriminella nätverk kallas till besök på ett frivårdskontor vid samma tidpunkt. En hotbild kan också medföra behov av andra slags säkerhetsåtgärder vid ett sådant besök. Att det finns en risk för att en frivårdsklient under verkställighet utsätts för våld eller hot bör därför enligt regeringens mening också kunna utgöra grund för behandling av personuppgifter i säkerhetsregistret. Sammanfattningsvis anser regeringen att uppgifter om en person som avtjänar en annan påföljd än fängelse ska få behandlas i säkerhetsregistret om det finns risk för att han eller hon bidrar till att allvarligt störa ordningen eller säkerheten i Kriminalvårdens lokaler eller för att han eller hon utsätts för våld eller hot under verkställigheten. I promemorian föreslås, med hänvisning till att en generell registrering av integritetsskäl inte bör få förekomma, att det ska krävas särskilda skäl för att uppgifterna ska få behandlas. Särskilda skäl kan enligt promemorian exempelvis vara att Kriminalvården får kännedom om ett konkret hot mot klienten. Regeringen instämmer i att det är viktigt att nå en rimlig avvägning mellan Kriminalvårdens intresse av att få behandla uppgifterna och skyddet för den enskildes personliga integritet. Redan kravet på att det ska finnas en säkerhetsrisk, dvs. en risk för att personen i fråga bidrar till att allvarligt störa ordningen eller säkerheten i Kriminalvårdens lokaler eller utsätts för våld eller hot, innefattar dock att risken måste vara konkret. Någon ytterligare begränsning behövs därför inte. Regeringen anser alltså inte att det bör införas krav på särskilda skäl för behandling av denna typ av uppgifter. Fler personer med koppling till den organiserade brottsligheten ska kunna registreras Regeringens förslag Om det är absolut nödvändigt för att upprätthålla säkerheten på ett häkte eller i en kriminalvårdsanstalt, ska Kriminalvården få behandla personuppgifter i säkerhetsregistret om en person som kan antas tillhöra eller verka för en organisation eller grupp som utövar allvarlig brottslig verksamhet. Om personen inte är häktad eller avtjänar en påföljd inom Kriminalvården ska det framgå genom en särskild upplysning. Personuppgifter i säkerhetsregistret som behandlas enbart på den grund att personen kan antas tillhöra eller verka för en organisation eller grupp som utövar allvarlig brottslig verksamhet, ska inte få behandlas längre än fem år efter det att den senaste registreringen avseende personens anknytning till sådan brottslig verksamhet gjordes. En sanktionsavgift ska kunna tas ut om kravet på särskild upplysning åsidosätts och vid överträdelse av den längsta tiden för behandling. Promemorians förslag Förslaget i promemorian stämmer i huvudsak överens med regeringens. I promemorian anges att krav på särskild upplysning bör gälla men något lagförslag lämnas inte. Följaktligen föreslås inte heller att sanktionsavgift ska få tas ut vid åsidosättande av kravet. Promemorians förslag är vidare något annorlunda utformat. I promemorian föreslås att Kriminalvården ska få behandla uppgifter om ”personer som tillsammans med andra kan antas ägna sig åt organiserad brottslig verksamhet”. Remissinstanserna De flesta av remissinstanserna yttrar sig inte särskilt över förslaget. Sveriges advokatsamfund avstyrker förslaget med hänsyn till att ”kan antas” ägna sig åt organiserad brottslig verksamhet är ett för lågt ställt krav som ger en alltför obegränsad möjlighet att registrera en person. Integritetsskyddsmyndigheten efterfrågar ytterligare vägledning för tillämparen för att minimera riskerna för en alltför långtgående och oproportionerlig personuppgiftsbehandling. Skälen för regeringens förslag Fler personer med koppling till den organiserade brottsligheten behöver kunna registreras Personer med kopplingar till den organiserade brottsligheten påverkar Kriminalvårdens verksamhet allt mer. Ett stort antal personer med kopplingar till kriminella nätverk är i dag häktade eller intagna i kriminalvårdsanstalt. Regeringens arbete med att komma till rätta med den organiserade brottsligheten kommer sannolikt även resultera i att ytterligare personer med sådana kopplingar kommer att hanteras av Kriminalvården under en lång tid framöver. Personuppgifter om häktade och intagna som tillhör eller verkar för den organiserade brottsligheten kan i regel behandlas i säkerhetsregistret med stöd av 3 kap. 2 eller 3 § kriminalvårdens brottsdatalag. Personuppgifter om personer som varken är häktade eller avtjänar en påföljd inom Kriminalvården kan ibland behandlas i säkerhetsregistret med stöd av 3 kap. 4 § kriminalvårdens brottsdatalag, som tillåter att personuppgifter om en person som har en nära förbindelse med en person som är häktad eller verkställer ett fängelsestraff får behandlas om det är absolut nödvändigt för ändamålet med behandlingen. En person som har en nära förbindelse med en registrerad kan t.ex. vara någon som tillhör samma kriminella nätverk eller våldsbejakande extremistiska rörelse (se prop. 2017/18:269 s. 263). Utöver det finns dock ingen möjlighet att i säkerhetsregistret behandla personuppgifter om en person enbart på grund av att han eller hon har en koppling till den organiserade brottsligheten i de fall personen inte är häktad eller avtjänar påföljd inom Kriminalvården. Även andra personer med koppling till den organiserade brottsligheten än de som kan registreras kan utgöra ett allvarligt hot mot säkerheten på ett häkte eller en kriminalvårdsanstalt, genom att de t.ex. planerar och genomför fritagningar eller hotar och trakasserar kriminalvårdstjänstemän. För att på ett ändamålsenligt sätt kunna motverka allvarliga säkerhetshot behöver Kriminalvården kunna registrera fler personer med sådana kopplingar. Det skulle ge Kriminalvården bättre förutsättningar att förhindra att personer som utgör ett allvarligt säkerhetshot får tillstånd att besöka eller kommunicera elektroniskt med en intagen. Det skulle också ge bättre förutsättningar att förhindra att en person under utslussning placeras i en verksamhet där personer med kopplingar till kriminella nätverk förekommer. Regeringen anser därför att det är nödvändigt att införa en möjlighet att behandla uppgifter i säkerhetsregistret om personer som har kopplingar till organiserad brottslighet. Närmare om vilka som ska kunna registreras Möjligheten att registrera personer i säkerhetsregistret som har koppling till den organiserade brottsligheten bör till att börja med avgränsas till personer som ”tillhör eller verkar för en organisation eller grupp som utövar allvarlig brottslig verksamhet”. Liknande uttryckssätt används i andra författningar som avser beskriva personer med kopplingar till organiserad brottslighet (se t.ex. 28 a § polislagen). Med organisation eller grupp som utövar brottslig verksamhet bör i detta sammanhang avses alla kriminella organisationer och grupper, även sådana som är löst sammansatta men omfattar minst två personer. Vad som är allvarlig brottslig verksamhet får avgöras utifrån en helhetsbedömning där straffvärdet av brott som gruppen begår är en relevant omständighet. Även andra omständigheter bör dock kunna få till följd att en brottslig verksamhet anses vara allvarlig. Det kan, särskilt i löst sammansatta grupperingar som ofta är fallet i kriminella nätverk i dag, vara svårt att slå fast att en person tillhör eller verkar för en organisation eller grupp som utövar brottslig verksamhet. Det bör därför inte krävas någon hög grad av säkerhet i detta avseende. Regeringen anser, till skillnad från Sveriges advokatsamfund, att det krav som uppställs bör vara att personen kan antas tillhöra eller verka för en sådan gruppering. Bedömningen av om en sådan koppling kan antas får göras utifrån vad som är känt om den aktuella personen och övriga omständigheter. Det bör åtminstone finns någon konkret omständighet som talar för att personen i fråga tillhör eller verkar för en sådan organisation eller grupp. Som exempel bör det kunna handla om att personen har dömts för brott med koppling till den organiserade brottsligheten eller att information i sociala medier eller underrättelseuppgifter visar på ett agerande som tydliggör en sådan koppling. Även en persons klädsel, tatueringar och liknande bör i vissa fall kunna motivera registrering, om den tydligt indikerar att personen har en koppling till en viss kriminell grupp. Eftersom det i princip enbart kommer handla om behandling av uppgifter om personer som varken är häktade eller avtjänar en påföljd inom Kriminalvården bör tillämpningsområdet avgränsas ytterligare. Det bör krävas att behandlingen är absolut nödvändig för att Kriminalvården ska kunna upprätthålla säkerheten på ett häkte eller i en kriminalvårdsanstalt. Kravet på absolut nödvändighet bör i normalfallet innebära att det krävs en påtaglig risknivå och att den säkerhetsrisk som avses är av allvarligt slag. Det bör också innebära att det ska ske en noggrann bedömning av behovet i det enskilda fallet och att tillämpningen ska vara restriktiv. Av 2 kap. 9 § brottsdatalagen följer att olika personkategorier så långt det är möjligt ska kunna särskiljas. Om det inte framgår till vilken kategori en person hör, ska det tydliggöras genom en särskild upplysning. Kravet på särskild upplysning gäller även för dem som registreras i säkerhetsregistret och såldes även för denna nya kategori av personer som kommer få behandlas i säkerhetsregistret. Om en person inte är häktad eller avtjänar en påföljd inom Kriminalvården bör det framgå genom en särskild upplysning. Ytterligare vägledning om hur registreringsmöjligheten ska tillämpas, vilket Integritetsskyddsmyndigheten efterfrågar, finns i författningskommentaren. Längsta tid för behandling Det bör av integritetsskäl införas en särskild bestämmelse om längsta tid för behandling av personuppgifter som behandlas i säkerhetsregistret på grund av en persons koppling till en organisation eller grupp som utövar allvarlig brottslig verksamhet. Personuppgifterna bör, i likhet med vad som t.ex. gäller för uppgifter om personer som är närstående eller har annan nära förbindelse med en intagen, inte få behandlas längre än fem år efter det att den senaste registreringen avseende personens anknytning till brottslig verksamhet gjordes. En möjlighet att besluta om administrativ sanktionsavgift Överträdelse av en bestämmelse om krav på särskild upplysning eller längsta tid för behandling kan genomgående, både enligt brottsdatalagen och de lagar som kompletterar brottsdatalagen, föranleda sanktionsavgift (se avsnitt 5.3 och prop. 2017/18:269 s. 114). Skäl att avvika från denna ordning finns inte. En överträdelse av de föreslagna bestämmelserna om särskild upplysning och längsta tid för behandling bör därför kunna medföra en administrativ sanktionsavgift. Tydligare regler om säkerhetsregistret Regeringens förslag Vissa regler om säkerhetsregistret ska tydliggöras. Uttrycket en person som ”har personlig anknytning” till den som registrerats i säkerhetsregistret ska bytas ut mot en person som ”är närstående”. Därtill ska kravet på särskild upplysning utvidgas till personer som inte avtjänar en påföljd inom Kriminalvården. Det ska också tydliggöras att uppgifter från Kriminalvårdens säkerhetsregister får behandlas med stöd av kriminalvårdsdatalagen i syfte att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Promemorians förslag Förslaget i promemorian stämmer i huvudsak överens med regeringens. I promemorian föreslås inte att kravet på särskild upplysning ska utvidgas till personer som inte avtjänar en påföljd inom Kriminalvården. Remissinstanserna Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Bestämmelserna om säkerhetsregistret är i vissa avseenden otydliga. För det första regleras förutsättningarna för att i säkerhetsregistret behandla uppgifter om den som verkställer ett fängelsestraff både i 3 kap. 2 och 3 §§ kriminalvårdens brottsdatalag. I 3 kap. 3 § kriminalvårdens brottsdatalag regleras även förutsättningarna för att behandla personuppgifter om personer som verkställer en annan påföljd än fängelse. För en tydligare reglering bör bestämmelserna ändras så att grunderna för registrering av personer som avtjänar fängelsestraff samlas i en paragraf och grunderna för registrering av de som avtjänar en annan påföljd än fängelse i en annan paragraf. För det andra får Kriminalvården enligt 3 kap. 4 § kriminalvårdens brottsdatalag, om det är absolut nödvändigt för ändamålet med behandlingen, behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som anges i 2 §. Om personen inte är häktad eller verkställer fängelsestraff ska det enligt bestämmelsen framgå genom en särskild upplysning. Med begreppet personlig anknytning avses enligt förarbetena t.ex. anhöriga eller andra närstående (se prop. 2017/18:269 s. 380). För att göra det tydligare vilken personkrets som avses bör i stället uttrycket närstående, som förekommer i flera andra författningar, användas. Vidare bör kravet på särskild upplysning utvidgas till att, utöver personer som inte är häktade eller avtjänar ett fängelsestraff, gälla de som inte avtjänar en påföljd inom Kriminalvården. På så sätt blir det enklare för utomstående att avgöra om en person som registrerats är en av Kriminalvårdens klienter, eller en person som registrerats endast på grund av hans eller hennes anknytning till en klient. För det tredje finns en bestämmelse om säkerhetsregistret i kriminalvårdsdatalagen. Den lagen gäller vid behandling av personuppgifter i Kriminalvårdens verksamhet som avser verkställighet av frihetsberövanden och genomförande av transporter i de fall brottsdatalagen inte är tillämplig. Enligt 3 kap. 3 § första stycket kriminalvårdsdatalagen får personuppgifter behandlas om det är nödvändigt för att verkställa frihetsberövanden eller genomföra transporter. Enligt andra stycket i nämnd paragraf får uppgifter i säkerhetsregister dock endast behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Av förarbetena till andra stycket framgår att det infördes för att det inom ramen för Kriminalvårdens omfattande förebyggande säkerhetsarbete är av yttersta vikt att myndigheten kan använda sig av uppgifterna i säkerhetsregistret (se prop. 2017/18:248 s. 22). Bestämmelsen ger stöd för att behandla personuppgifter som kommer från säkerhetsregistret och som t.ex. Kriminalvårdens nationella transportenhet har fått tillgång till för att i den verksamheten förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Formuleringen av andra stycket kan dock ge intrycket av att bestämmelsen ger stöd för behandling i säkerhetsregistret, vilket inte är fallet. Behandling i säkerhetsregistret får endast ske med stöd av kriminalvårdens brottsdatalag. Det bör därför klargöras att bestämmelsen tillåter att uppgifter som kommer ”från” Kriminalvårdens säkerhetsregister får behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Direktåtkomst och bestämmelser med sekretessbrytande verkan Direktåtkomst Regeringens förslag Elektroniskt utlämnande genom direktåtkomst ska vara tillåtet bara i den utsträckning som det följer av kriminalvårdens brottsdatalag. Regeringskansliet, Polismyndigheten, Säkerhetspolisen och Tullverket ska för vissa syften få medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården. Regeringskansliet ska dock få medges direktåtkomst endast till sådana uppgifter som behövs i ärenden om nåd. Tullverket ska, i likhet med vissa andra brottsbekämpande myndigheter, få medges direktåtkomst till personuppgifter i säkerhetsregistret. Promemorians förslag Förslaget i promemorian stämmer i huvudsak överens med regeringens. I promemorian föreslås inte att direktåtkomst ska vara tillåten bara i den utsträckning det följer av kriminalvårdens brottsdatalag. Remissinstanserna Majoriteten av remissinstanserna yttrar sig inte särskilt över förslaget. Tullverket tillstyrker förslaget. Sveriges advokatsamfund avstyrker förslaget eftersom det enligt samfundet innebär en för vid rätt att direkt åtkomma och behandla de personuppgifter som delas. Enligt samfundet bör det i lag tydligare regleras vilka uppgifter som får åtkommas genom direktåtkomst. Integritetsskyddsmyndigheten ifrågasätter om Tullverkets behov är tillräckligt starkt för att motivera direktåtkomst, särskilt som det finns mindre ingripande alternativ till direktåtkomst. Skälen för regeringens förslag Möjlighet till direktåtkomst ska regleras i lag Begreppet direktåtkomst har ingen legaldefinition. Med direktåtkomst avses vanligen att en myndighet får direkt tillgång till en annan myndighets register eller databas och kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. Vid direktåtkomst bestämmer den myndighet som medger åtkomsten hur tillgången tekniskt ska lösas och vilka personuppgifter som ska tillgängliggöras. Brottsbekämpande myndigheter får i viss utsträckning medges direktåtkomst till personuppgifter som behandlas med stöd av kriminalvårdens brottsdatalag. Enligt 20 § kriminalvårdens brottsdataförordning får Regeringskansliet, Polismyndigheten och Säkerhetspolisen, för ett syfte som anges i 1 kap. 2 § brottsdatalagen, medges direktåtkomst till det centrala kriminalvårdsregistret. För Regeringskansliet får bara sådana uppgifter som behövs i ärenden om nåd göras tillgängliga. Enligt 3 kap. 6 § kriminalvårdens brottsdatalag får vidare Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten, för ett syfte som anges i 1 kap. 2 § brottsdatalagen, medges direktåtkomst till personuppgifter i säkerhetsregistret. Direktåtkomsten till säkerhetsregistret är enligt 24 § kriminalvårdens brottsdataförordning begränsad till uppgifter om huruvida personer, som har registrerats med stöd av 3 kap. 2 § andra stycket 1–4 kriminalvårdens brottsdatalag, förekommer i säkerhetsregistret. Enligt andra myndigheters lagar som kompletterar brottsdatalagen kräver direktåtkomst lagstöd. Det framgår genom att det i lagarna anges att elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av lagen (se bl.a. 2 kap. 12 § polisens brottsdatalag och 2 kap. 7 § åklagarväsendets brottsdatalag). Från integritetssynpunkt har kravet på lagstöd fördelar. Det underlättar också för tillämparen att det i lag anges i vilken utsträckning direktåtkomst kan förekomma. Möjligheten att medge direktåtkomst till uppgifter som behandlas enligt kriminalvårdens brottsdatalag bör därför vara tillåten bara i den utsträckning som det framgår av lagen. Följaktligen bör möjligheten att medge direktåtkomst till uppgifter i det centrala kriminalvårdsregistret regleras i kriminalvårdens brottsdatalag i stället för i kriminalvårdens brottsdataförordning. Dessutom bör den anpassas till att avse uppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården. Tillräckliga skäl att – till skillnad från i dag – i lag närmare ange vilka uppgifter som får tillgängliggöras, på det sätt som Sveriges advokatsamfund föreslår, finns inte. Regeringen anser alltså att Regeringskansliet, Polismyndigheten och Säkerhetspolisen, för ett syfte som anges i 1 kap. 2 § brottsdatalagen, ska få medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården. Samma begränsning som i dag bör gälla för Regeringskansliets direktåtkomst. För Regeringskansliet bör således endast sådana uppgifter som behövs i ärenden om nåd få göras tillgängliga genom direktåtkomst. Tullverket ska kunna få direktåtkomst Till skillnad från brottsbekämpande myndigheter såsom Polismyndigheten och Säkerhetspolisen får Tullverket inte medges direktåtkomst till vare sig uppgifter i det centrala kriminalvårdsregistret eller uppgifter i säkerhetsregistret. Det kan ifrågasättas. Tullverket ansvarar för att förebygga och motverka brottslighet i samband med in- och utförsel av varor. Tullverket och tulltjänstemän har inom sin brottsbekämpande verksamhet i huvudsak motsvarande befogenheter som Polismyndigheten och polismän har. Genom tullbefogenhetslagen (2024:710) har tulltjänstemän också fått utökade befogenheter i den brottsbekämpande verksamheten. Bland annat har tulltjänstemän fått större möjligheter att leda förundersökningar och att biträda åklagare och andra brottsbekämpande myndigheter. Tullverkets betydande roll inom brottsbekämpningen medför att myndigheten, på motsvarande sätt som Polismyndigheten, i sin brottsbekämpande verksamhet har behov av direktåtkomst till uppgifter hos Kriminalvården. Brottsutredningar rör inte sällan personer som är häktade eller placerade i kriminalvårdsanstalt. Tullverket har då behov av att få information om t.ex. var den intagne är placerad och om det är aktuellt att förflytta honom eller henne. Dessutom kan Tullverket, på motsvarande sätt som Polismyndigheten, ha behov av att veta om en intagen förekommer i säkerhetsregistret. Som Integritetsskyddsmyndigheten påpekar finns det andra sätt att få fram sådan information som Tullverket behöver. Sådana andra ordningar skapar dock praktiska problem, särskilt som brottsbekämpningen bedrivs dygnet runt. Uppgifter som en tulltjänsteman behöver omedelbart för att kunna genomföra en tjänsteåtgärd måste vara lätt tillgängliga även utanför vanlig kontorstid. Regeringen anser därför, till skillnad från Integritetsskyddsmyndigheten, att verksamhetsskäl talar för att Tullverket ska kunna medges direktåtkomst till gemensamt tillgängliga uppgifter och till uppgifter i säkerhetsregistret. Mot Tullverkets verksamhetsbehov måste hänsynen till enskildas integritet vägas. Typiskt sett innebär direktåtkomst nämligen att uppgifter blir tillgängliga för fler personer och att den ursprungliga myndighetens möjligheter att kontrollera användningen av uppgifterna minskar. En viktig aspekt som ska beaktas vid avvägningen är att skyddet vid behandling av personuppgifter är likartat hos Kriminalvården och Tullverket. Sekretessregleringen ger också i princip samma skydd. Som exempel finns en särskild bestämmelse i 11 kap. 4 § OSL om överföring av sekretess vid direktåtkomst. Om en myndighet har elektronisk tillgång till en annan myndighets upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad hos den andra myndigheten, blir sekretessbestämmelsen tillämplig också hos den mottagande myndigheten. En annan viktig aspekt är att Tullverket enligt 3 kap. 6 § brottsdatalagen ska se till att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. En möjlighet till direktåtkomst behöver alltså inte innebära annat än att en begränsad krets av tulltjänstemän får tillgång till uppgifterna. Dessutom har regeringen eller den myndighet som regeringen bestämmer möjlighet att meddela föreskrifter om omfattningen av direktåtkomst och om behörighet och säkerhet i samband med det. Sammanfattningsvis motverkas alltså de ökade integritetsrisker som en möjlighet till direktåtkomst kan medföra genom bestämmelser av annat slag. Regeringen anser därför att även Tullverket för ett syfte som anges i 1 kap. 2 § brottsdatalagen ska kunna medges direktåtkomst till uppgifter som gjorts gemensamt tillgängliga hos Kriminalvården och till uppgifter i säkerhetsregistret. Bestämmelser med sekretessbrytande verkan Regeringens förslag Regeringskansliet, Polismyndigheten, Säkerhetspolisen och Tullverket ska ha rätt att trots viss sekretess ta del av personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården, om den mottagande myndigheten behöver uppgifterna för något av vissa syften. Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Åklagarmyndigheten ska ha rätt att trots viss sekretess ta del av personuppgifter i säkerhetsregistret, om den mottagande myndigheten behöver uppgifterna för något av vissa syften. Promemorians förslag Förslaget i promemorian stämmer överens med regeringens. Remissinstanserna Majoriteten av remissinstanserna yttrar sig inte särskilt över förslaget. Kriminalvården lyfter frågan om de sekretessbrytande bestämmelserna endast kommer gälla vid direktåtkomst eller också vid annat informationsutbyte. Tullverket tillstyrker förslaget och framhåller att de sekretessbrytande bestämmelserna, enligt myndighetens uppfattning, möjliggör utlämnande av uppgifter även utanför ramarna för den reglerade direktåtkomsten. Skälen för regeringens förslag Förhållandet mellan direktåtkomst och sekretess I avsnitt 9.1 föreslår regeringen att Regeringskansliet, Polismyndigheten, Säkerhetspolisen och Tullverket ska kunna medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården. Nämnda myndigheter, med undantag från Tullverket, kan redan i dag medges direktåtkomst till uppgifter i det centrala kriminalvårdsregistret. Vidare föreslår regeringen att Tullverket ska kunna få direktåtkomst till uppgifter i säkerhetsregistret. Vissa andra brottsbekämpande myndigheter kan redan i dag medges sådan åtkomst till säkerhetsregistret enligt 3 kap. 6 § kriminalvårdens brottsdatalag. En bestämmelse om direktåtkomst reglerar endast tillåtligheten av ett visst tillvägagångssätt för att lämna ut uppgifter. En sådan bestämmelse har alltså inte någon självständig sekretessbrytande effekt; den är inte att se som en uppgiftsskyldighet vid tillämpningen av 10 kap. 28 § första stycket OSL (se t.ex. prop. 2004/05:164 s. 83 och prop. 2006/07:46 s. 80). Möjligheterna för en myndighet att vid informationsutbyte med en annan myndighet överföra uppgifter genom att medge den senare direktåtkomst till uppgifter som behandlas automatiserat begränsas därför inte sällan av sekretess. Eftersom direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter – inom ramen för den beviljade direktåtkomsten – den vill ta del av, blir uppgifterna att anse som utlämnade i och med att direktåtkomst medges. Det spelar ingen roll om den mottagande myndigheten faktiskt tar del av en viss uppgift eller inte. En myndighet kan därför inte tillåta en annan myndighet direktåtkomst till uppgifter som, vid en sekretessprövning, den senare myndigheten inte med säkerhet skulle ha rätt att ta del av (jfr prop. 2007/08:160 s. 73). Direktåtkomst förutsätter därför att det är fråga om offentliga uppgifter eller uppgifter som kan lämnas ut med stöd av en sekretessbrytande bestämmelse. I de brottsbekämpande myndigheternas lagar som kompletterar brottsdatalagen har det införts bestämmelser om uppgiftsskyldighet som med stöd av 10 kap. 28 § OSL möjliggör utbyte av sekretessbelagda uppgifter. I kriminalvårdens brottsdatalag finns dock inte några sådana bestämmelser. Sekretess inom Kriminalvården Uppgifter inom Kriminalvården omfattas ofta av sekretess till skydd för enskild enligt 35 kap. OSL. Den vanligaste grunden för sekretess bör vara 35 kap. 15 § OSL. Enligt den bestämmelsen gäller sekretess för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående lider men eller att fara uppkommer för att någon utsätts för våld eller lider annat allvarligt men om uppgiften röjs. Bestämmelsen gäller generellt i Kriminalvårdens verksamhet, dvs. såväl i häktes- och anstaltsverksamheten som inom frivården. Enligt 35 kap. 13 § OSL gäller vidare sekretess hos domstol i brottmål samt i annat mål eller ärende som bestämmelserna om förundersökning i brottmål är tillämpliga på, för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden som framkommer vid särskild personutredning, rättspsykiatrisk undersökning eller annan sådan utredning, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Motsvarande sekretess gäller hos bl.a. Kriminalvården för att bistå domstol med sådan utredning. Det är inte heller ovanligt att uppgifter om Kriminalvårdens klienter och anhöriga skyddas av sekretess enligt 21 kap. 3 § första stycket OSL. Enligt den bestämmelsen gäller sekretess för uppgift om enskilds bostadsadress, telefonnummer och andra jämförbara uppgifter som kan användas för att komma i kontakt med den enskilde, om det finns särskild anledning att anta att han eller hon, eller någon närstående, kan komma att utsättas för våld eller annat allvarligt men om uppgiften röjs. Inom Kriminalvården gäller i förhållandevis liten utsträckning sekretess till skydd för verksamheten. I vissa fall gäller dock sådan sekretess, såsom sekretess enligt 18 kap. 8 § OSL. Enligt den bestämmelsen gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs. Vidare gäller enligt 18 kap. 11 § första stycket OSL sekretess inom Kriminalvården för uppgift om åtgärd som har till syfte att hindra rymning eller fritagning, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs. Av andra stycket framgår att sekretess också gäller inom Kriminalvården för uppgift om åtgärd som har till syfte att upprätthålla ordningen och säkerheten i myndighetens verksamhet, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs. Sekretessbrytande bestämmelser och införandet av uppgiftsskyldigheter Uppgifter för vilka sekretess gäller får enligt 8 kap. 1 § OSL inte röjas för andra myndigheter, om inte annat framgår av lagen eller lag eller förordning till vilken lagen hänvisar. När uppgifter ska lämnas mellan Kriminalvården och andra myndigheter måste därför hänsyn tas till sekretesslagstiftningen. I 10 kap. OSL finns ett flertal bestämmelser som möjliggör utbyte av uppgifter mellan myndigheter utan hinder av sekretess. Vid utlämnande av uppgifter genom direktåtkomst är bestämmelsen i 10 kap. 28 § första stycket OSL främst av intresse. Enligt 10 kap. 28 § första stycket OSL hindrar sekretess inte att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Bestämmelser om sådan uppgiftsskyldighet har, som nämnts, införts i flera andra myndigheternas lagar som kompletterar brottsdatalagen. Sedan promemorian redovisades har regeringen föreslagit att en ny generell sekretessbrytande bestämmelse ska införas i 10 kap. 15 a § OSL (se prop. 2024/25:180 Ökat informationsflöde mellan myndigheter – en ny sekretessbrytande bestämmelse). Den föreslagna bestämmelsen innebär att sekretess enligt 21–40 kap. OSL, dvs. sekretess till skydd för enskilds personliga eller ekonomiska förhållanden, inte hindrar att en uppgift lämnas till en annan myndighet, om den mottagande myndigheten behöver uppgiften för att exempelvis förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda brott. Enligt bestämmelsens andra stycke får en uppgift inte lämnas ut med stöd av den nya bestämmelsen om övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut, dvs. det finns en avvägningsnorm inbyggd i bestämmelsen. Innebörden av att det krävs övervägande skäl för att en uppgift inte ska få lämnas ut, är att det råder en presumtion för att en uppgift får lämnas ut om det behövs för något av de syften som anges i paragrafen (prop. 2024/25:180 s. 90). Det bör inte heller krävas att den utlämnande myndigheten alltid gör en prövning i varje enskilt fall, utan en bedömning bör kunna göras utifrån det behov av sekretess som typiskt sett finns för en viss kategori av uppgifter och i förhållande till det sekretesskydd som gäller hos den utlämnande myndigheten. Vid intresseavvägningen ska sekretesskyddet hos den mottagande myndigheten också vägas in i bedömningen (prop. 2024/25:180 s. 44 och 45). Den nya sekretessbrytande bestämmelsen är tänkt att träda i kraft den 1 december 2025. När det gäller tillämpningsområdet för den föreslagna bestämmelsen i 10 kap. 15 a § OSL bryter den endast viss typ av sekretess. Den träffar sekretess till skydd för uppgift om enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften förekommer (21 kap. OSL) och sekretess till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott (35 kap. OSL). Den träffar däremot inte sekretess till skydd främst för intresset av att förebygga eller beivra brott (18 kap. OSL). För att sekretessen enligt t.ex. 18 kap. 11 § ska brytas krävs alltså stöd i en annan sekretessbrytande bestämmelse (se mer nedan om behovet av ett sådant sekretessgenombrott). Den föreslagna sekretessbrytande bestämmelsen i 10 kap. 15 a § innehåller vidare en intresseavvägningsnorm, enligt vilken en uppgift inte får lämnas ut om övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut. Bestämmelsen innehåller således en avgränsning som inte har någon motsvarighet i de bestämmelser som föreslås i promemorian, dvs. bestämmelser om uppgiftsskyldighet. Vid direktåtkomst krävs att den utlämnande myndigheten endast ger tillgång till sådana uppgifter som den mottagande myndigheten vid en sekretessprövning med säkerhet skulle ha rätt att ta del av. Sekretess-prövningen behöver därmed göras innan direktåtkomsten beviljas. För det fall den föreslagna bestämmelsen i 10 kap. 15 a § OSL ska möjliggöra utlämnande genom direktåtkomst, krävs alltså att Kriminalvården på förhand kan ställning till att intresseavvägningen aldrig skulle kunna falla ut så att myndigheten borde ha nekat ett utlämnande av uppgifterna i fråga. Även om det råder en presumtion för att en uppgift får lämnas ut om det behövs för att t.ex. förebygga brott och det inte heller är behövligt att en intresseavvägning sker i varje enskilt fall, anser regeringen att det finns betydande svårigheter med att förutse vilka uppgifter som kommer att kunna lämnas ut med stöd av bestämmelsen och göra den avvägning på förhand som krävs. Mot denna bakgrund anser regeringen att även om den föreslagna bestämmelsen i 10 kap. 15 a § OSL i många fall kan komma att bryta sekretessen vid utbytet av sekretessbelagda uppgifter mellan Kriminalvården och andra myndigheter, tillgodoses behovet av informationsdelning genom direktåtkomst i detta fall inte på ett lämpligt sätt med stöd av den föreslagna bestämmelsen. Det är i stället lämpligare att utbytet av sekretessbelagda uppgifter genom direktåtkomst regleras genom en uppgiftsskyldighet som är anpassad till den aktuella situationen. För att effektivisera informationsutbytet mellan Kriminalvården och andra myndigheter och ge Kriminalvården bättre förutsättningar för utlämnande genom direktåtkomst, bör därför sådana bestämmelser med sekretessbrytande verkan införas i kriminalvårdens brottsdatalag. Den bedömningen gäller oavsett att den information som kan bli tillgänglig för andra myndigheter genom direktåtkomst till säkerhetsregistret i dagsläget är mycket begränsad – uppgift om huruvida en person förekommer i registret. Närmare om utformningen av uppgiftsskyldigheterna Eftersom bestämmelserna ska möjliggöra direktåtkomst, måste sekretessprövningen göras innan direktåtkomsten beviljas. Prövningen kan därför inte vara alltför komplicerad. Det medför att bestämmelserna måste tillåta ett relativt brett sekretessgenombrott. Motsvarande bestämmelser i de brottsbekämpande myndigheternas lagar som kompletterar brottsdatalagen anger att mottagande myndigheter har rätt att, trots viss angiven sekretess, ta del av vissa uppgifter. Den utformningen bör även nu aktuella bestämmelser ha. Med hänsyn till intresset av ett gott integritetsskydd kan ett fullständigt sekretessgenombrott inte accepteras, utan vissa begränsningar måste gälla. Uppgiftsskyldigheterna bör till en början endast gälla i förhållande till de myndigheter som kan medges direktåtkomst och uppgifter som de myndigheterna kan få del av genom sådan åtkomst, dvs. personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården eller personuppgifter i säkerhetsregistret (se avsnitt 9.1). Med hänsyn till att uppgifter som omfattas av sekretess till skydd för enskilda inom Kriminalvården kan vara mycket integritetskänsliga bör sekretessen vidare brytas endast om den mottagande myndigheten har ett behov av uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen. Behovsbedömningen bör kunna göras inom tämligen vida ramar, utifrån den mottagande myndighetens verksamhet och med utgångspunkt i det behov som typiskt sett föreligger. Personuppgifter som en myndighet allmänt sett inte behöver bör inte vara åtkomliga för den myndigheten (jfr prop. 2009/10:85 s. 192 och 193). Kravet på att den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen innebär att det inte närmare behöver anges vilka uppgifter som en viss myndighet får ta del av.  Vilka uppgifter som en viss myndighet får ta del av kan också anges i förordningsbestämmelser. Mot bakgrund av dessa överväganden anser regeringen att två bestämmelser om uppgiftsskyldighet bör införas i kriminalvårdens brottsdatalag. Den ena bör utformas på det sättet att Regeringskansliet, Polismyndigheten, Säkerhetspolisen och Tullverket har rätt att trots viss sekretess ta del av personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen. Den andra bör utformas på det sättet att Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Åklagarmyndigheten har rätt att trots viss sekretess ta del av personuppgifter i säkerhetsregistret, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen. Som Tullverket framhåller och Kriminalvården ber om förtydligande kring, gäller bestämmelserna vid alla slags informationsutbyten och inte bara vid direktåtkomst. Sekretess som ska kunna brytas Frågan är då vilka slag av sekretess som ska kunna brytas. Uppgifter om enskildas personliga förhållanden omfattas regelmässigt av sekretess hos Kriminalvården enligt 35 kap. 15 § OSL. I varje enskilt fall där en sådan uppgift ska lämnas till en annan myndighet krävs det därför som utgångspunkt en sekretessprövning. Även om uppgifterna kan lämnas ut efter en sådan prövning innebär det att tid och kraft måste läggas på en prövning som normalt ger samma resultat. En uppgiftsskyldighet som bryter sekretessen enligt 35 kap. 15 § OSL skulle därför underlätta informationsutbytet. I sammanhanget kan även framhållas att det finns ett starkt sekretesskydd enligt 35 kap. 1 och 17 §§ OSL för uppgifter om enskildas personliga förhållanden hos de myndigheter som uppgiftsskyldigheterna ska gälla mot. Det innebär att uppgifter hos Kriminalvården om en enskilds personliga förhållanden kommer ha ett liknande skydd gentemot allmänheten hos den mottagande myndigheten. För att underlätta informationsutbytet mellan Kriminalvården och andra myndigheter bör därför uppgiftsskyldigheterna avse den sekretess som gäller enligt 35 kap. 15 § OSL. Det är inte heller ovanligt att uppgifter om Kriminalvårdens klienter och deras närstående omfattas av sekretess enligt 21 kap. 3 § första stycket OSL. Enligt bestämmelsen gäller sekretess för uppgift om enskilds bostadsadress, telefonnummer och andra jämförbara uppgifter som kan användas för att komma i kontakt med den enskilde, om det finns särskild anledning att anta att han eller hon, eller någon närstående, kan komma att utsättas för våld eller annat allvarligt men om uppgiften röjs. Sekretessen skyddar personer som anses ha stort behov av att uppgifter om deras uppehållsort inte röjs. Utlämnande av denna typ av uppgifter kan i vissa fall vara till skada eller men för den enskilde eller dennes närstående. Det är inte möjligt att på förhand göra en generell intresseavvägning. För att Kriminalvården ska kunna lämna ut denna typ av uppgifter genom direktåtkomst krävs således att sekretessen bryts. Sekretess enligt 21 kap. 3 § första stycket OSL gäller vidare hos alla myndigheter, vilket innebär att en uppgift som lämnas till en annan myndighet har samma skydd gentemot allmänheten hos den mottagande myndigheten. Mot den nu angivna bakgrunden bör de sekretessbrytande bestämmelserna även omfatta den sekretess som gäller enligt 21 kap. 3 § första stycket OSL. I promemorian föreslås att uppgiftsskyldigheterna också ska omfatta sekretessen enligt 18 kap. 11 § OSL. Enligt den paragrafen gäller sekretess dels för uppgift om åtgärd som har till syfte att hindra rymning eller fritagning, dels för uppgift om åtgärd som har till syfte att upprätthålla ordningen och säkerheten inom Kriminalvårdens verksamhet, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs. Det kan t.ex. handla om uppgifter om planeringen för en transport av en häktad mellan anstalter eller uppgifter om rutiner för att stoppa införsel av narkotika och andra otillåtna föremål till anstalter och häkten. Sådana uppgifter som omfattas av sekretess enligt 18 kap. 11 § OSL kan inte antas vara föremål för informationsutbyte mellan Kriminalvården och andra myndigheter i stor utsträckning. När så sker måste dock som utgångpunkt en prövning ske i varje enskilt fall, eftersom faran som är förknippad med ett utlämnande kan skifta. Informationsutbytet skulle således påtagligt underlättas av ett generellt sekretessgenombrott. Vidare gäller sekretess enligt 18 kap. 11 § första stycket OSL även hos Polismyndigheten och Säkerhetspolisen. Sekretessen överförs också från Kriminalvården till övriga myndigheter vid direktåtkomst enligt 11 kap. 4 § OSL. Med hänsyn härtill får riskerna för Kriminalvårdens verksamhet, till följd av utlämnande av uppgifter som myndigheten anser bör göras tillgängliga, anses vara låga. Regeringen anser därför att övervägande skäl talar för att uppgiftsskyldigheterna också ska avse sekretessen enligt 18 kap. 11 § OSL. Sammanfattningsvis bör bestämmelserna om uppgiftsskyldighet kunna bryta sekretessen enligt 18 kap. 11 §, 21 kap. 3 § första stycket och 35 kap. 1 § OSL. I den mån andra sekretessbestämmelser är tillämpliga får det göras en bedömning i det enskilda fallet om huruvida sekretessen hindrar att uppgifterna lämnas ut till en annan myndighet, innan uppgifterna lämnas ut eller görs tillgängliga för direktåtkomst. De föreslagna bestämmelserna liknar bestämmelser i de brottsbekämpande myndigheternas lagar som kompletterar brottsdatalagen (se t.ex. 2 kap. 8 och 9 §§ polisens brottsdatalag, 2 kap. 8 § Tullverkets brottsdatalag och 2 kap. 7 § Kustbevakningens brottsdatalag) och innebär att ett sekretessgenombrott tillåts endast i vissa fall. Ytterligare en begränsning är att bestämmelserna endast avser uppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården respektive personuppgifter i säkerhetsregistret. Bestämmelserna måste även ses tillsammans med hur regelsystemet i övrigt är uppbyggt. För behandlingen av gemensamt tillgängliga uppgifter och uppgifter i säkerhetsregistret ska särskilda begränsningar gälla, som att vissa personuppgifter ska förses med en särskild upplysning som klargör om personen i fråga t.ex. inte är en av Kriminalvårdens klienter. Om direktåtkomst beviljas, kommer dessutom den mottagande myndighetens personuppgiftsreglering att bli tillämplig och tillgången till olika typer av uppgifter att begränsas genom behörighetsregler som gäller inom den myndigheten. Sammantaget bedömer regeringen att förslaget skapar förutsättningar för ett bättre informationsutbyte genom direktåtkomst mellan Kriminalvården och andra myndigheter samtidigt som risken för integritetsintrång beaktas. Rätt att meddela föreskrifter Regeringens förslag Det ska i kriminalvårdens brottsdatalag införas upplysningar om att regeringen eller den myndighet som regeringen bestämmer kan meddela vissa föreskrifter, såsom föreskrifter om vilka personuppgifter som får göras gemensamt tillgängliga, omfattningen av direktåtkomst och om säkerhet och behörighet vid sådan åtkomst samt att vissa kategorier av personuppgifter får behandlas under längre tid än angivet. Vissa befintliga sådana upplysningar ska tas bort. Promemorians förslag Förslaget i promemorian stämmer i sak överens med regeringens men är något annorlunda utformat. Remissinstanserna Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag I kriminalvårdens brottsdatalag finns det bestämmelser som upplyser om att regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen, kan meddela föreskrifter i vissa angivna frågor. Förslagen i avsnitt 5 om att det ska införas bestämmelser om gemensamt tillgängliga uppgifter i kriminalvårdens brottsdatalag kan behöva kompletteras med föreskrifter om vilka personuppgifter som får göras gemensamt tillgängliga. Med hänsyn till att arkivlagen (1990:782) inte hindrar eller ställer upp några begränsningar för fortsatt automatiserad behandling av arkiverade uppgifter kan det även finnas behov av föreskrifter till skydd för den personliga integriteten om begränsning av behandlingen av personuppgifter vid digital arkivering. Exempelvis kan det behövas föreskrifter om att sådana uppgifter inte ska vara åtkomliga i den operativa verksamheten. Nämnda slags föreskrifter kan meddelas av regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen. Bestämmelser som upplyser om det bör införas. Förslagen i avsnitt 7 och 9.1, om att utlämnande genom direktåtkomst och längsta tid för behandling ska regleras i kriminalvårdens brottsdatalag, medför att möjligheten och behovet av att meddela föreskrifter i sådana frågor ändras. Befintliga upplysningar i 2 kap. 6 § 3–5 kriminalvårdens brottsdatalag, om möjlighet att meddela föreskrifter om frågor som rör elektroniskt utlämnande genom direktåtkomst, längsta tid som personuppgifter får behandlas och att personuppgifter får behandlas för vissa ändamål under längre tid än vad som anges i lagen, bör därför tas bort. Detsamma gäller upplysningen i 3 kap. 8 § kriminalvårdens brottsdatalag om utlämnande av personuppgifter ur säkerhetsregistret. I stället bör det i kriminalvårdens brottsdatalag införas upplysningar om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om omfattningen av direktåtkomst och om behörighet och säkerhet vid sådan åtkomst, att vissa kategorier av personuppgifter får behandlas för ändamål inom lagens område under längre tid än vad som anges i lagen samt att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i vissa bestämmelser i lagen. Motsvarande upplysningar finns i andra myndigheters lagar som kompletterar brottsdatalagen. Vidare bör en hänvisning i nuvarande 2 kap. 6 § 2 kriminalvårdens brottsdatalag, om rätt att meddela föreskrifter om utlämnande av personuppgifter i andra fall än som omnämns det kapitlet, ändras till följd av att det införs fler paragrafer om utlämnande av uppgifter. Ikraftträdande- och övergångsbestämmelser Regeringens förslag De föreslagna lagändringarna ska träda i kraft den 1 april 2026. Regeringens bedömning Det behövs inga övergångsbestämmelser. Promemorians förslag Förslaget i promemorian stämmer inte överens med regeringens förslag och bedömning. I promemorian föreslås att lagändringarna ska träda i kraft den 1 juli 2024. Vidare föreslås en övergångsbestämmelse om att äldre bestämmelser fortfarande ska gälla för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet. Remissinstanserna Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens förslag Ikraftträdande De föreslagna lagändringarna är angelägna. Kriminalvården bedöms inte ha något mer omfattande behov av förberedelse inför de förändringar som förslagen innebär. Förslagen bör därför träda i kraft så snart som möjligt. Med hänsyn till den tid som de olika leden i lagstiftningsprocessen kan förväntas ta, anser regeringen att ett ikraftträdande är möjligt tidigast den 1 april 2026. Övergångsbestämmelser I promemorian föreslås en övergångsbestämmelse i kriminalvårdens brottsdatalag om att äldre bestämmelser fortfarande ska gälla för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet. Anledningen till att en sådan bestämmelse behövs är enligt promemorian att det annars skulle krävas en orimligt stor arbetsinsats av Kriminalvården att anpassa arkiverade uppgifter till de ändrade tidsfristerna för längsta tid för behandling som föreslås. Kriminalvårdens brottsdatalag gäller dock inte vid behandling av personuppgifter för arkivändamål. Sådan behandling omfattas av dataskyddsförordningens tillämpningsområde (se prop. 2017/18:232 s. 167). De ändrade tidsfrister som föreslås i avsnitt 7 kommer alltså inte vara tillämpliga på uppgifter i handlingar som omhändertagits för arkivering. En sådan övergångsbestämmelse som föreslås i promemorian behövs därför inte. Inte heller de övriga lagändringar som föreslås i denna proposition kräver några övergångsbestämmelser. Konsekvenser av förslagen Regeringens bedömning Förslagen ger Kriminalvården bättre förutsättningar att bedriva sin verksamhet på ett effektivt sätt samtidigt som skyddet för den personliga integriteten stärks. Förslagen stärker också det brottsbekämpande arbetet. De kostnader som förslagen kan ge upphov till för Kriminalvården ryms inom myndighetens befintliga ekonomiska ramar. För andra myndigheter liksom för kommuner, regioner, företag och andra enskilda innebär förslagen inte några ökade kostnader. Promemorians bedömning Bedömningen i promemorian stämmer överens med regeringens. Remissinstanserna Remissinstanserna yttrar sig inte särskilt över bedömningen. Skälen för regeringens bedömning Mer ändamålsenliga förutsättningar för Kriminalvårdens verksamhet Syftet med dataskyddsdirektivet, brottsdatalagen och kompletterande lagstiftning är i stort dels att skydda fysiska personers grundläggande rättigheter och friheter, särskilt skyddet för den personliga integriteten, dels att säkerställa att personuppgifter kan behandlas när det behövs. Förslagen i denna proposition ger Kriminalvården förutsättningar att i större mån behandla de uppgifter som myndigheten behöver för att utföra sitt uppdrag på ett effektivt sätt. Syftet med personuppgiftsbehandlingen kommer i större utsträckning än i dag avgöra om en viss personuppgiftsbehandling är tillåten. Vidare får Kriminalvården utökade möjligheter att ta fotografier för identifiering av personer som avtjänar fängelsestraff med elektronisk övervakning, exempelvis för identifiering med hjälp av teknik för ansiktsigenkänning. Användning av ansiktsigenkänning kan effektivisera Kriminalvårdens verksamhet och innebära att färre tjänstemän behövs för tillsyn och kontroll under verkställighet. På så sätt kan Kriminalvårdens expansion i viss mån underlättas. En mer tillåtande personuppgiftsreglering innebär generellt sett större integritetsrisker. Det har beaktats vid utformningen av förslagen. Som exempel innebär förslaget att Tullverket ska kunna medges direktåtkomst till gemensamt tillgängliga uppgifter hos Kriminalvården vissa ökade integritetsrisker, eftersom direktåtkomst typiskt sett innebär att uppgifter blir tillgängliga för fler personer och att den ursprungliga myndighetens möjligheter att kontrollera användningen av uppgifterna minskar. Den ökade risken för integritetsintrång begränsas genom att skyddet vid behandlingen av personuppgifter är likartat hos Kriminalvården och Tullverket. Även sekretesskyddet är i princip detsamma. Därmed bedöms ett tillfredsställande skydd för enskildas personliga integritet kunna upprätthållas. Ett annat exempel är förslaget att Kriminalvården ska få utökade möjligheter att fotografera de som avtjänar fängelsestraff. Förslaget innebär i förlängningen en ökad möjlighet att behandla känsliga personuppgifter. De ökade integritetsriskerna balanseras bl.a. genom att biometriska uppgifter enligt 2 kap. 3 § kriminalvårdens brottsdatalag endast får behandlas om det är absolut nödvändigt för ändamålet med behandlingen och genom förslag om att uppgifter som tagits fram för biometrisk autentisering ska få behandlas under en avsevärt kortare tid än andra uppgifter om dömda. Risken för integritetsintrång motverkas vidare genom kravet i 3 kap. 6 § brottsdatalagen på att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Förslagen innebär också tydliga förbättringar ur integritetssynpunkt för enskilda, såväl barn som vuxna. Som exempel föreslås att det ska införas bestämmelser om gemensamt tillgängliga uppgifter i kriminalvårdens brottsdatalag som ersätter förordningsbestämmelser om det centrala kriminalvårdsregistret. Dessutom föreslås att längsta tid för behandling av personuppgifter ska regleras i kriminalvårdens brottsdatalag i stället för i förordning. Det innebär att de centrala delarna av Kriminalvårdens personuppgiftsbehandling inom brottsdatalagens område kommer regleras på ett tydligt sätt i lag. På så sätt ges skyddande ramar för den personuppgiftsbehandling som bedöms nödvändig. Sammanfattningsvis medför förslagen att Kriminalvården i större utsträckning kan behandla de uppgifter som krävs för att myndigheten på ett effektivt sätt ska kunna utföra sina uppgifter, samtidigt som skyddet för den personliga integriteten stärks. Bättre förutsättningar för det brottsbekämpande arbetet Kriminalvården ansvarar för att påföljder verkställs på ett säkert sätt. I det ingår att förhindra brottslig verksamhet under verkställighet av påföljder. För att kunna förhindra brott under verkställighet behöver Kriminalvården bedriva viss underrättelseverksamhet. Kriminalvården förväntas i viss mån att också dela sådan och annan information inom ramen för myndighetsgemensamma samarbeten mot den organiserade brottligheten. Genom förslagen får Kriminalvården i större utsträckning behandla de personuppgifter som krävs och därmed bättre förutsättningar både att förhindra brott under verkställighet av påföljder och att delta i samarbeten med de brottsbekämpande myndigheterna. Som exempel föreslås att uppgifter om en person som dömts till fängelse men inte börjat avtjäna ska få behandlas i säkerhetsregistret, om personen utgör en kvalificerad säkerhetsrisk. Det ger Kriminalvården bättre förutsättningar att förbereda verkställigheten för att förhindra säkerhetsincidenter, såsom bättre förutsättningar att placera personer i rätt säkerhetsklass och att se till att personer från rivaliserande kriminella nätverk inte placeras tillsammans. Genom förslagen tillåts Kriminalvården också att i större utsträckning behandla personuppgifter i säkerhetsregistret om personer med koppling till organiserad brottslighet. Det förbättrar t.ex. möjligheten att förhindra fritagningar och andra allvarliga säkerhetsincidenter på häkten och i kriminalvårdsanstalter. Förslagen att Tullverket ska kunna få direktåtkomst till gemensamt tillgängliga uppgifter och uppgifter i säkerhetsregistret öppnar för ett enklare informationsutbyte mellan Kriminalvården och Tullverket. Det ökar förutsättningarna för att Tullverket får del av rätt information i rätt tid och kan därigenom få en positiv effekt på Tullverkets brottsbekämpande arbete. Sammantaget bidrar förslagen på flera sätt till att stärka det brottsbekämpande arbetet. Ekonomiska konsekvenser En mer generell och tillåtande lagstiftning för personuppgiftsbehandling ställer högre krav på de tjänstemän inom Kriminalvården som ska tillämpa den. Det kommer därför krävas att Kriminalvården genomför utbildningsinsatser och tar fram handböcker och annat stöd för myndighetens personuppgiftshantering. Vidare kan anpassningar av befintliga it-system behövas. Förslaget att Kriminalvården ska få utökade möjligheter att fotografera personer som avtjänar fängelsestraff innebär att Kriminalvården får utökade förutsättningar att använda ansiktsigenkänningsteknik för identifiering. Om Kriminalvården vill utnyttja möjligheten behöver myndigheten anskaffa ny teknik. Vidare krävs utbildningsinsatser och framtagande av rutiner för när och hur tekniken ska användas och för vilken information som ska förmedlas inför användning av verktyget. De kostnader för exempelvis utbildningsinsatser, anpassningar av it-system och anskaffning av ny teknik som förslagen kan ge upphov till för Kriminalvården bedöms inte vara större än att de ryms inom myndighetens befintliga ekonomiska ramar. För andra myndigheter och för kommuner, regioner, företag och andra enskilda bedöms förslagen inte medföra några kostnader. Författningskommentar Förslaget till lag om ändring i lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område 2 kap. 5 §    Regeringskansliet, Polismyndigheten, Säkerhetspolisen och Tullverket har, trots sekretess enligt 18 kap. 11 §, 21 kap. 3 § första stycket och 35 kap. 15 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården med stöd av 3 kap. 2 eller 3 §, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177). Paragrafen, som är ny, innehåller en bestämmelse som i viss utsträckning bryter den sekretess som annars hade gällt gentemot vissa brottsbekämpande myndigheter och Regeringskansliet. Övervägandena finns i avsnitt 9.2. Paragrafen reglerar de uppräknade myndigheternas rätt att, trots viss i paragrafen angiven sekretess som annars gäller inom Kriminalvården, få del av personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården. Samma myndigheter får enligt 3 kap. 6 § medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga. Bestämmelsen är utformad som en uppgiftsskyldighet. För att uppgifter ska lämnas ut krävs dock att de behövs hos den mottagande myndigheten för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:1177), dvs. för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Bedömningen av vad mottagaren behöver får göras utifrån den myndighetens verksamhet inom brottsdatalagens område och med utgångspunkt i det behov av personuppgifterna som myndigheten typiskt sett har (jfr prop. 2009/10:85 s. 192 och 193). Det är Kriminalvården som avgör utifrån den andra myndighetens behov. Bestämmelsen gäller inte personuppgifter som behandlas i säkerhetsregistret. För sådana uppgifter gäller i stället 6 §. 6 §    Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Åklagarmyndigheten har, trots sekretess enligt 18 kap. 11 §, 21 kap. 3 § första stycket och 35 kap. 15 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter i säkerhetsregistret som förs enligt 4 kap., om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177). Paragrafen, som är ny, innehåller en bestämmelse som i fråga om personuppgifter i säkerhetsregistret bryter viss sekretess som annars hade gällt gentemot vissa brottsbekämpande myndigheter. Övervägandena finns i avsnitt 9.2. Paragrafen reglerar de uppräknade myndigheternas rätt att, trots viss i paragrafen angiven sekretess, ta del av personuppgifter som behandlas i säkerhetsregistret enligt 4 kap. Samma myndigheter får enligt 4 kap. 6 § medges direktåtkomst till uppgifter i säkerhetsregistret. Bestämmelsen är utformad som en uppgiftsskyldighet. Sekretessen gentemot de myndigheter som anges i paragrafen bryts dock bara om myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen. Det som anges i författningskommentaren till 5 § om den bedömningen gäller även här. 7 §    Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 § och 4 kap. 6 §. Paragrafen, som är ny, innehåller en upplysning om att direktåtkomst endast är tillåten i den utsträckning som anges i lagen. Övervägandena finns i avsnitt 9.1. 8 §    Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. vilka personuppgifter som får behandlas enligt 1 §, och 2. utlämnande av personuppgifter i andra fall än som anges i 4–6 §§. I paragrafen, som i nuvarande lydelse betecknas 6 §, finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer med stöd av regeringens s.k. restkompetens kan meddela föreskrifter i vissa frågor. Övervägandena finns i avsnitt 10. Ändringen i punkten 1 är endast redaktionell. Genom ändringen i punkten 2 läggs de nya 5 och 6 §§ till i uppräkningen i punkten. Sådana föreskrifter kan exempelvis avse utlämnande av personuppgifter till andra myndigheter än de som anges i lagen. Vidare tas punkterna 3–5 bort, som bl.a. rör frågor om direktåtkomst, längsta tid för behandling och att personuppgifter får behandlas för arkivändamål. Upplysningar om föreskriftsrätt i sådana frågor införs i stället i 3 kap. 7 §, 4 kap. 8 § och 5 kap 11 §. 3 kap. Gemensamt tillgängliga uppgifter Allmän bestämmelse 1 §    Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 eller 3 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:1177). Paragrafen, som är ny, innehåller allmänna bestämmelser om när bestämmelserna i kapitlet är tillämpliga. Övervägandena finns i avsnitt 5.1. Enligt första stycket gäller bestämmelserna i kapitlet bara för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 eller 3 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Avgörande för bedömningen av om personuppgifter är att anse som gemensamt tillgängliga eller inte är om uppgifterna är tillgängliga för en bestämd och begränsad personkrets. Med att personuppgifterna är tillgängliga för en viss personkrets menas att personerna har såväl faktisk möjlighet som rättslig behörighet att ta del av uppgifterna. Däremot spelar det inte någon roll hur många personer som faktiskt tar del av dem. Om avsikten är att uppgifterna ska vara åtkomliga för en i förväg obestämd krets av anställda inom Kriminalvården, såsom en viss enhet inom Kriminalvården eller en viss personalkategori, får uppgifterna alltid anses vara gemensamt tillgängliga. Att olika personalkategorier kan ha olika behörighet, och att en uppgift därför i praktiken vid en viss tidpunkt är åtkomlig enbart för ett begränsat antal personer, innebär alltså att uppgiften ändå kan anses vara gemensamt tillgänglig. Som exempel är de flesta uppgifter i det centrala kriminalvårdsregistret tillgängliga för en obestämd krets av anställda inom Kriminalvården och således gemensamt tillgängliga. Uppgifter som en annan myndighet har tillgång till genom direktåtkomst enligt 6 § är alltid att anse som gemensamt tillgängliga. Om uppgifterna lagras på ett sådant sätt att endast en viss person har tillgång till dem, kan uppgifterna inte anses vara gemensamt tillgängliga. Personuppgifter som lagras elektroniskt på hårddisken i en dator eller en server i samband med att en enskild tjänsteman arbetar med ordbehandling och som är åtkomliga endast för tjänstemannen själv (och för systemadministratörer) kan alltså inte anses vara gemensamt tillgängliga. Detsamma gäller digitala upptagningar av bild eller ljud, om endast den som samlar in uppgifterna har tillgång till dem. I sådana fall är alltså bestämmelserna i kapitlet inte tillämpliga. Det gäller även om syftet är att uppgifterna senare ska lagras så att andra får tillgång till dem. Det är först när insamlade uppgifter görs tillgängliga för fler än ett fåtal personer som bestämmelserna i kapitlet ska tillämpas. En annan sak är att den som samlar in uppgifter, som kan antas bli gemensamt tillgängliga vid en senare tidpunkt, redan vid insamlingstillfället bör beakta de särskilda regler som gäller för behandling av gemensamt tillgängliga uppgifter för att inte försvåra den fortsatta behandlingen. I vad mån uppgifter som är tillgängliga enbart för en bestämd, mindre krets av personer är att anse som gemensamt tillgängliga får främst bedömas med hänsyn till hur många personer som har tillgång till uppgifterna. Enbart det förhållandet att fler än en har tillgång till uppgifterna innebär inte att uppgifterna ska anses gemensamt tillgängliga. Behandling av personuppgifter som görs inom ramen för särskilda underrättelseprojekt i vilka endast vissa utpekade tjänstemän deltar, kan alltså falla utanför regleringen i kapitlet. Om antalet tjänstemän i en sådan grupp uppgår till fler än ett fåtal, måste dock de personuppgifter som behandlas inom gruppen, trots att den är avgränsad, anses vara gemensamt tillgängliga. Var gränsen går får bedömas med hänsyn till samtliga omständigheter i ett enskilt fall, men en tumregel kan vara att uppgifterna är att anse som gemensamt tillgängliga om antalet deltagare i gruppen överstiger ett tiotal. Även den tid under vilken uppgifter avses bli behandlade kan ha betydelse för frågan om uppgifterna ska anses vara gemensamt tillgängliga eller inte. Som exempel kan man i projekt med längre varaktighet behöva räkna med att de personer som sysslar med projektet med tiden kommer att bytas ut och att de uppgifter som behandlas kommer bli tillgängliga för ett större antal personer än vad som motsvarar det normala antalet deltagare i projektet. I sådana fall kan uppgifter som behandlas i projektet ibland anses vara gemensamt tillgängliga, trots att antalet deltagare vid varje givet tillfälle är begränsat till en mindre grupp av personer. När det gäller frågan om huruvida uppgifter är gemensamt tillgängliga eller inte ska beaktas att karaktären av en uppgift kan förändras under den tid som den behandlas. Uppgifter som från början inte har betraktats som gemensamt tillgängliga kan bli gemensamt tillgängliga för att uppgifterna görs tillgängliga för en större grupp av personer. Efter det har gjorts ska de särskilda bestämmelserna om behandling av gemensamt tillgängliga uppgifter tillämpas, oberoende av hur många personer som vid senare tillfälle har tillgång till uppgifterna. Av andra stycket framgår att bestämmelserna i kapitlet inte gäller vid behandling av personuppgifter med stöd av enbart bestämmelsen i 2 kap. 2 § brottsdatalagen (2018:1177) om behandling av personuppgifter för diarieföring eller för att utföra andra nödvändiga handläggningsuppgifter. Personuppgifter som får göras gemensamt tillgängliga 2 §    Personuppgifter får göras gemensamt tillgängliga om uppgifterna avser en person som 1. är häktad, anhållen eller gripen med anledning av misstanke om brott eller verkställighet av påföljd eller utvisning, 2. är dömd till en påföljd som ska verkställas inom Kriminalvården, 3. genom en utländsk dom eller ett utländskt beslut är dömd till en påföljd som kan komma att verkställas i Sverige, 4. genom en svensk dom eller ett svenskt beslut är dömd till en annan påföljd än som avses i 2 som kan komma att verkställas i ett annat land, 5. annars är frihetsberövad inom Kriminalvården för något av de syften som anges i 2 kap. 1 §, eller 6. är föremål för personutredning enligt 1 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. Paragrafen, som är ny, reglerar tillsammans med 3 § vilka personuppgifter som får göras gemensamt tillgängliga. Övervägandena finns i avsnitt 5.2.1. Enligt paragrafen får personuppgifter om vissa uppräknade personkategorier göras gemensamt tillgängliga. Punkten 1 omfattar personuppgifter om en person som är häktad, anhållen eller gripen på grund av misstanke om brott. Personuppgifter om en sådan person får alltså göras gemensamt tillgängliga. Detsamma gäller personuppgifter om en person som är häktad för verkställighet av påföljd eller beslut om utvisning på grund av brott. Av punkten 2 följer att personuppgifter om en person som, genom dom eller beslut, har dömts till en påföljd som Kriminalvården ansvarar för att verkställa får göras gemensamt tillgängliga. Det omfattar i dagsläget bl.a. personuppgifter om personer som avtjänar fängelsestraff i eller utanför anstalt, inklusive fängelsestraff som utgör förvandlingsstraff för böter eller vite, villkorlig dom med föreskrifter om samhällstjänst, skyddstillsyn och ungdomsövervakning. Det omfattar även personuppgifter om personer som genom ett utländskt avgörande har dömts till en påföljd som ska verkställas inom Kriminalvården. Personuppgifter om en person som har dömts till en påföljd som ska verkställas inom Kriminalvården men som inte börjat avtjäna, t.ex. för att domen eller beslutet inte fått laga kraft, får göras gemensamt tillgängliga med stöd av punkten. En annan sak är att Kriminalvården enligt 2 kap. 1 § endast får behandla sådana uppgifter om det är nödvändigt för verkställigheten, såsom för planering av verkställighet av ett framtida fängelsestraff eller av säkerhetsskäl. Punkten 3 omfattar personer som genom ett utländskt avgörande har dömts till en påföljd som kan komma att verkställas i Sverige. Det innebär att sådana personuppgifter som Kriminalvården behandlar för att fullgöra sina åligganden i samband med en framställning om verkställighet av ett utländskt avgörande om frihetsberövande påföljd eller frivårdspåföljd, enligt t.ex. lagen (1963:193) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff m.m., lagen (2015:96) om erkännande och verkställighet av frihetsberövande påföljder inom Europeiska unionen, lagen (2015:650) om erkännande och verkställighet av frivårdspåföljder inom Europeiska unionen eller lagen (2025:520) om internationell verkställighet i brottmål, får göras gemensamt tillgängliga. När Kriminalvården övertagit verkställigheten av en utländsk påföljd tillämpas i stället punkten 2. Punkten 4 omfattar personer som genom ett svenskt avgörande är dömd till en påföljd som Kriminalvården inte ansvarar för att verkställa och som kan komma att verkställas i ett annat land. Det innebär bl.a. att personuppgifter som Kriminalvården behandlar i samband med åtgärder och beslut om överföring av verkställighet av ett svenskt avgörande om överlämnade till rättspsykiatrisk vård eller sluten ungdomsvård får göras gemensamt tillgängliga. Det kan exempelvis handla om personuppgifter som behandlas i samband med förfaranden enligt 2 kap. 4 § lagen om erkännande och verkställighet av frihetsberövande påföljder inom Europeiska unionen eller 2 kap. 4 § lagen om internationell verkställighet i brottmål. Punkten 5 avser personer som, utan att omfattas av någon annan punkt, är frihetsberövade inom Kriminalvården för något av de syften som anges i 2 kap. 1 §. Det kan exempelvis handla om ett vittne i ett brottmål som häktats med stöd av 36 kap. 21 § rättegångsbalken. Det kan också handla om en person som placerats i förvar hos Kriminalvården i samband med transitering genom Sverige för fortsatt verkställighet eller annan åtgärd i annat land, såsom när en person ska transporteras enligt 8 kap. 2 § lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder eller 7 kap. 2 § lagen (2011:1165) om överlämnande från Sverige enligt en nordisk arresteringsorder. Personuppgifter om en person som är föremål för personutredning enligt lagen (1991:2041) om särskild personutredning i brottmål, m.m. får göras gemensamt tillgängliga enligt punkten 6. 3 §    När personuppgifter om en person som anges i 2 § behandlas, får uppgifter om följande personer göras gemensamt tillgängliga: 1. närstående och andra som har nära förbindelse med den registrerade, 2. personer som på grund av tjänst eller uppdrag eller av annan anledning har kontakt med den registrerade, och 3. målsägande. Paragrafen, som är ny, reglerar tillsammans med 2 § vilka personuppgifter som får göras gemensamt tillgängliga. Övervägandena finns i avsnitt 5.2.2. När personuppgifter om en person som avses i 2 § behandlas, får personuppgifter om vissa andra i denna paragraf uppräknade personkategorier göras gemensamt tillgängliga. Enligt punkten 1 får personuppgifter om närstående och andra som har nära förbindelse med en registrerad göras gemensamt tillgängliga. Med begreppet närstående avses i första hand den registrerades familj och andra nära anhöriga, t.ex. en sambo och dennes barn. Särskilda vårdnadshavare för underåriga bör också räknas dit. Begreppet nära förbindelse har motsvarande betydelse som i 4 kap. 4 § (se prop. 2017/18:269 s. 380). Det handlar om personer som, utan att vara närstående, har en relation av viss dignitet med den registrerade. Det kan exempelvis vara en tidigare medbrottsling. Även en släkting, granne, vän eller arbetsgivare kan tillhöra den kategorin. Enligt punkten 2 får personuppgifter om personer som på grund av tjänst eller uppdrag eller av annan anledning har kontakt med den registrerade göras gemensamt tillgängliga. Det kan t.ex. handla om en övervakare, tolk, präst eller journalist som besöker eller på annat sätt har kontakt med den registrerade. Det kan även handla om företrädare för myndigheter såsom Arbetsförmedlingen och Försäkringskassan. Punkten 3 innebär att personuppgifter om en målsägande som Kriminalvården enligt krav i förordning ska tillfråga om han eller hon vill bli underrättad under vissa förhållanden, exempelvis om den registrerade friges eller rymmer, får göras gemensamt tillgängliga. Sådana krav finns i bl.a. 27 § häktesförordningen (2010:2011) och 35 § fängelseförordningen (2010:2010). Särskild upplysning 4 §    Om det inte framgår av sammanhanget eller på annat sätt att personuppgifter som har gjorts gemensamt tillgängliga avser en person som inte är häktad eller avtjänar en påföljd inom Kriminalvården, ska det tydliggöras genom en särskild upplysning. Paragrafen, som är ny, reglerar när personuppgifter som har gjorts gemensamt tillgängliga ska förses med en särskild upplysning. Övervägandena finns i avsnitt 5.3. Kravet på särskild upplysning gäller endast om det inte framgår av sammanhanget eller på annat sätt att uppgifterna avser en person som varken är häktad eller avtjänar påföljd. Oftast framgår det av sammanhanget vilken personkategori som en person tillhör, t.ex. att det rör sig om en åklagare, advokat, övervakare eller tolk. I de undantagsfall som det inte framgår att gemensamt tillgängliga uppgifter avser en person som varken är häktad eller avtjänar påföljd, ska uppgifterna förses med en upplysning som tydliggör det. Känsliga personuppgifter 5 §    Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:1177) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1, 2, 3 eller 5. I paragrafen, som är ny, regleras när Kriminalvården får använda känsliga personuppgifter vid sökning i gemensamt tillgängliga uppgifter. Övervägandena finns i avsnitt 5.4.2. I paragrafen finns ett undantag från sökförbudet i 2 kap. 14 § brottsdatalagen. Undantaget omfattar endast personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården med stöd av 2 § 1, 2, 3 eller 5. Sökningar i sådana personuppgifter får göras i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Sådana sökningar kan aktualiseras bl.a. inför placering av intagna för att personer från grupperingar med exempelvis politiska, etniska eller religiösa motsättningar inte ska placeras tillsammans. Sökning kan också vara motiverad för att tillgodose intagnas behov och rättigheter, såsom för att intagna ska få möjlighet att utöva sin religion eller för att intagna ska få nödvändig läkarvård, medicinering eller specialkost. Möjligheten att söka på känsliga personuppgifter är begränsad till de känsliga personuppgifter som anges i paragrafen. Det är alltså inte tillåtet att göra sökningar på t.ex. medlemskap i fackförening eller i biometriska uppgifter. I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sökningen resulterat i får prövas mot huvudregeln om behandling av känsliga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra sökningar enligt denna paragraf medför alltså inte en generell rätt att behandla uppgifterna. Direktåtkomst 6 §    Regeringskansliet, Polismyndigheten, Säkerhetspolisen och Tullverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården. Regeringskansliet får dock medges direktåtkomst endast till sådana uppgifter som behövs i ärenden om nåd. I paragrafen, som är ny, regleras Kriminalvårdens möjlighet att medge direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga hos myndigheten. Övervägandena finns i avsnitt 9.1. Den grundläggande innebörden av begreppet direktåtkomst är att någon har direkt tillgång till personuppgifter som finns i t.ex. register, databaser eller andra samlingar av uppgifter som behandlas automatiserat och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i uppgiftssamlingen. I första stycket anges vilka myndigheter som kan medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården. Med undantag för Tullverket är det samma myndigheter som hittills har kunnat medges direktåtkomst till uppgifter i det centrala kriminalvårdsregistret. Myndigheterna får endast medges direktåtkomst för ett syfte som anges i 1 kap. 2 § brottsdatalagen. Av andra stycket framgår att Regeringskansliet endast får medges direktåtkomst till sådana gemensamt tillgängliga uppgifter som behövs i ärenden om nåd. Paragrafen innebär inte att de angivna myndigheterna har en rätt till direktåtkomst. Det är Kriminalvården som avgör om personuppgifterna kan tillhandahållas genom direktåtkomst. Paragrafen har vidare inte någon sekretessbrytande verkan. Möjligheten att lämna ut vissa uppgifter genom direktåtkomst kan därför vara begränsad genom att uppgifterna är skyddade av sekretess. Genom att Kriminalvården i 2 kap. 5 § åläggs en sekretessbrytande uppgiftsskyldighet i förhållande till de andra myndigheterna, kan dock uppgifter som den mottagande myndigheten behöver för ett sådant syfte som anges i 1 kap. 2 § brottsdatalagen lämnas ut. Direktåtkomst till personuppgifter i säkerhetsregistret regleras i 4 kap. 6 §. Rätt att meddela föreskrifter 7 §    Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. vilka personuppgifter som får göras gemensamt tillgängliga, och 2. omfattningen av direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga och om behörighet och säkerhet vid sådan åtkomst. I paragrafen, som är ny, finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka personuppgifter som får göras gemensamt tillgängliga samt om omfattningen av direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga och om behörighet och säkerhet vid sådan åtkomst. Övervägandena finns i avsnitt 10. 4 kap. 2 §    I säkerhetsregistret får personuppgifter behandlas om en person som är häktad eller dömd till fängelse och som är eller har varit placerad på eller uppfyller kraven för att placeras på en säkerhetsavdelning. I registret får även personuppgifter behandlas om en person som är häktad eller avtjänar ett fängelsestraff, om det finns risk för att han eller hon 1. under häktning eller verkställighet av fängelsestraff begår brott som inte är ringa eller utövar brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer, 2. förbereder rymning eller försöker rymma, 3. blir föremål för fritagning, 4. bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte, i en kriminalvårdsanstalt eller i en annan lokal där Kriminalvården bedriver verksamhet, 5. under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot, eller 6. utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. Paragrafen reglerar, tillsammans med 3–4 a §§, vilka personer som får registreras i säkerhetsregistret. Övervägandena finns i avsnitt 8.1.1. Ändringen i första stycket innebär att personer som har dömts till fängelse men som ännu inte har börjat avtjäna straffet får behandlas i säkerhetsregistret, om de uppfyller kraven för att placeras på säkerhetsavdelning. Vad som krävs för placering på säkerhetsavdelning framgår av 2 kap. 4 § fängelselagen (2010:610). Genom tillägget i andra stycket punkten 4 får personuppgifter om en person som är häktad eller avtjänar ett fängelsestraff, i eller utanför anstalt, behandlas om det finns risk för att personen bidrar till att allvarligt störa ordningen eller säkerheten, förutom på häkten eller i kriminalvårdsanstalter, även i andra lokaler där Kriminalvården bedriver verksamhet. Med en annan lokal där Kriminalvården bedriver verksamhet avses exempelvis halvvägshus, vårdhem och arbetsplatser. Enligt andra stycket punkten 6, som är ny, får personuppgifter om en person som är häktad eller avtjänar ett fängelsestraff behandlas om det finns risk för att personen utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. Bestämmelsen motsvarar det som hittills har gällt enligt 3 kap. 3 §, med den skillnaden att även häktade nu får registreras på denna grund. Övriga ändringar är endast redaktionella. 3 §    I säkerhetsregistret får även personuppgifter behandlas om en person som avtjänar en annan påföljd än fängelse inom Kriminalvården, om det finns risk för att han eller hon 1. bidrar till att allvarligt störa ordningen eller säkerheten i Kriminalvårdens lokaler, 2. under verkställighet utsätts för våld eller hot, eller 3. utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. Paragrafen reglerar, tillsammans med 2, 4 och 4 a §§, vilka personer som får registreras i säkerhetsregistret. Övervägandena finns i avsnitt 8.1.2. Ändringarna innebär i stort att paragrafen inte längre reglerar behandling av personuppgifter om personer som avtjänar fängelsestraff, utan endast behandling av personuppgifter om personer som avtjänar en annan påföljd än fängelse inom Kriminalvården. Samtliga påföljder, dvs. även nya påföljder, som ska verkställas inom Kriminalvården omfattas av paragrafen. Behandling av personuppgifter i säkerhetsregistret om en person som avtjänar ett fängelsestraff regleras i 2 §. Dessutom införs två nya grunder för behandling av personuppgifter i säkerhetsregistret om personer som avtjänar en annan påföljd än fängelse. De är placerade i punkterna 1 och 2. Hittillsvarande grund för behandling av personuppgifter enligt paragrafen är placerad i punkten 3. Enligt punkten 1 får personuppgifter om en person som avtjänar en annan påföljd än fängelse inom Kriminalvården behandlas i säkerhetsregistret om det finns risk för att han eller hon bidrar till att allvarligt störa ordningen eller säkerheten i Kriminalvårdens lokaler. Det behöver inte vara fråga om ett straffbart handlande. Kravet på att störningen ska vara allvarlig innebär dock att inte alla störningar får beaktas. Enligt punkten 2 får personuppgifter om en person som riskerar att utsättas för våld eller hot under verkställigheten behandlas i säkerhetsregistret. Det kan t.ex. handla om att personen riskerar att utsättas för hot eller våld om han eller hon skulle sammanträffa med en person kopplad till ett rivaliserande kriminellt nätverk eller med en anhörig som också avtjänar en påföljd inom Kriminalvården. Övriga ändringar är endast redaktionella. 4 §    Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla personuppgifter om en person som är närstående till eller har annan nära förbindelse med en person som anges i 2 §. Om personen inte är häktad eller avtjänar en påföljd inom Kriminalvården ska det framgå genom en särskild upplysning. Paragrafen reglerar tillsammans med 2, 3 och 4 a §§ vilka personer som får registreras i säkerhetsregistret. Övervägandena finns i avsnitt 8.2. Bestämmelsen ändras på så sätt att uttrycket ”har personlig anknytning” ersätts med ”är närstående”. Någon ändring i sak är inte avsedd. Begreppet närstående har samma betydelse som i 3 kap. 3 § 1. Innebörden av begreppet utvecklas i kommentaren till den bestämmelsen. Bestämmelsen ändras även på så sätt att kravet på särskild upplysning, om personen som registrerats med stöd av paragrafen varken är häktad eller avtjänar fängelsestraff, utvidgas till att gälla även när personen inte avtjänar en påföljd inom Kriminalvården. Övriga ändringar är endast redaktionella. 4 a §    Om det är absolut nödvändigt för att Kriminalvården ska kunna upprätthålla säkerheten på ett häkte eller i en kriminalvårdsanstalt, får myndigheten i säkerhetsregistret behandla personuppgifter om en person som kan antas tillhöra eller verka för en organisation eller grupp som utövar allvarlig brottslig verksamhet. Om personen inte är häktad eller avtjänar en påföljd inom Kriminalvården ska det framgå genom en särskild upplysning. Paragrafen, som är ny, reglerar tillsammans med 2–4 §§ vilka personer som får registreras i säkerhetsregistret. Övervägandena finns i avsnitt 8.1.3. Enligt paragrafen får personuppgifter om en person som kan antas tillhöra eller verka för en organisation eller grupp som utövar allvarlig brottslig verksamhet under vissa förutsättningar behandlas i säkerhetsregistret. Med en organisation eller grupp som utövar allvarlig brottslig verksamhet avses olika former av kriminella grupperingar. Såväl mer formaliserade organisationer och grupper som mer löst sammansatta sådana kan omfattas. Vid bedömningen av om grupperingen utövar allvarlig brottslig verksamhet ska en helhetsbedömning göras, där bl.a. straffvärde på begångna brott inom grupperingen kan få betydelse. För att en person ska kunna antas tillhöra eller verka för en sådan organisation eller grupp som avses krävs någon konkret omständighet som talar för att så är fallet. Som exempel kan det handla om att personen har dömts för brott med koppling till organiserad brottslighet eller att information i sociala medier eller underrättelseuppgifter visar på en sådan koppling. Även en persons klädsel, tatuering och liknande bör i vissa fall kunna motivera registrering, om den tydligt indikerar att personen har en koppling till en viss kriminell grupp. En ytterligare förutsättning för registrering är att det ska vara absolut nödvändigt för att upprätthålla säkerheten i ett häkte eller på en kriminalvårdsanstalt. Kravet på absolut nödvändighet innebär att det i normalfallet bör krävas en påtaglig risknivå och att den säkerhetsrisk som avses är av allvarligt slag, såsom att det finns en påtaglig risk för fritagning, rymning eller att förbjudna föremål tas in i ett häkte eller en kriminalvårdsanstalt. Kravet på absolut nödvändighet innebär också att det måste ske en noga bedömning av behovet i det enskilda fallet och att tillämpningen ska vara restriktiv. Uppgifter om en person som registreras med stöd av paragrafen och som inte själv är häktad eller avtjänar en påföljd inom Kriminalvården ska alltid förses med en särskild upplysning om det. 6 §    Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Åklagarmyndigheten får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) medges direktåtkomst till personuppgifter i säkerhetsregistret. Paragrafen reglerar möjligheten att medge direktåtkomst till personuppgifter i säkerhetsregistret. Övervägandena finns i avsnitt 9.1. Genom ändringen får även Tullverket medges direktåtkomst till säkerhetsregistret under de förutsättningar som följer av paragrafen. 7 §    Personuppgifter i säkerhetsregistret får inte behandlas längre än fem år efter det att 1. den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har avtjänat straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte, 2. den registrerade helt har avtjänat en sådan påföljd som avses i 3 §, 3. den person som en registrerad är närstående till eller har annan nära förbindelse med enligt 4 §, har blivit villkorligt frigiven från ett fängelsestraff eller annars helt har avtjänat straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte, eller 4. den senaste registreringen om en persons anknytning till brottslig verksamhet enligt 4 a § gjordes. Om personuppgifter om en person som dömts till fängelse behandlas enligt 2 § första stycket och personen inte slutligt döms till fängelse och inte har påbörjat verkställigheten, får uppgifterna inte behandlas längre än tre månader efter det att domen eller beslutet fick laga kraft. Detsamma gäller personuppgifter om en person som den registrerade är närstående till eller har annan nära förbindelse med enligt 4 §. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av denna paragraf. I paragrafen regleras hur länge personuppgifter i säkerhetsregistret får behandlas. Övervägandena finns i avsnitt 8.1.1, 8.1.3 och 8.2. I första stycket punkten 3 ersätts uttrycket ”har personlig anknytning” med ”är närstående” som en följd av ändringen i 4 §. Någon ändring i sak är inte avsedd. Av första stycket punkten 4, som är ny, framgår längsta tid för behandling av personuppgifter som behandlas med stöd av 4 a §. Sådana personuppgifter får inte behandlas längre än fem år efter det att den senaste registreringen avseende personens anknytning till brottslig verksamhet gjordes. Fristen för hur länge personuppgifter får behandlas påverkas endast av om det görs en ny registrering beträffande personens anknytning till brottslig verksamhet enligt 4 a §. Andra uppgifter som tillförs, t.ex. uppgifter om ändrade bostadsförhållanden eller annat som inte har betydelse för anknytningen till den brottsliga verksamheten, påverkar alltså inte hur länge personuppgifterna får behandlas. Av andra stycket, som är nytt, framgår att en kortare längsta tid för behandling i vissa fall gäller för uppgifter om en person som har dömts till fängelse men som inte slutligt döms till det. Det handlar alltså om fall när uppgifterna behandlas enligt 2 § första stycket med stöd av en dom eller ett beslut som inte fått laga kraft. Om personen inte slutligt döms till fängelse, t.ex. för att personen i högre instans frikänns eller döms till en påföljd som inte ska verkställas inom Kriminalvården, och han eller hon inte påbörjat verkställigheten, får uppgifterna inte behandlas längre än tre månader efter det att domen eller beslutet fick laga kraft. Detta gäller dock endast om det inte finns en annan grund för att fortsätta att behandla personuppgifterna. Övriga ändringar är endast redaktionella. 8 §    Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. innehållet i säkerhetsregistret, och 2. omfattningen av direktåtkomst till uppgifter i registret och om behörighet och säkerhet vid sådan åtkomst. I paragrafen finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter i vissa frågor om säkerhetsregistret. Övervägandena finns i avsnitt 10. Ändringarna innebär att den nuvarande upplysningen om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om utlämnande av personuppgifter ur registret tas bort. Att sådana föreskrifter i vissa fall kan meddelas framgår i stället av upplysningen i 2 kap. 8 § 2. Det införs också en upplysning om att föreskrifter kan meddelas om omfattningen av direktåtkomst till uppgifter i säkerhetsregistret och om behörighet och säkerhet vid sådan åtkomst. Övriga ändringar är endast redaktionella. 5 kap. Längsta tid som personuppgifter får behandlas Allmänna bestämmelser 1 §    Detta kapitel gäller bara för automatiserad behandling. Av 2 kap. 17 § första stycket brottsdatalagen (2018:1177) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I 4 kap. 7 § finns bestämmelser om hur länge personuppgifter i säkerhetsregistret får behandlas. I paragrafen, som är ny, finns bl.a. allmänna bestämmelser om tillämpningen av bestämmelserna i kapitlet. Övervägandena finns i avsnitt 7.1. Av första stycket framgår att bestämmelserna i kapitlet endast gäller för personuppgifter som behandlas automatiserat. I andra stycket finns en upplysning om att personuppgifter enligt 2 kap. 17 § första stycket brottsdatalagen inte får behandlas längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Oavsett vilken bedömning som görs av nyttan med behandlingen av en viss personuppgift får den inte behandlas längre än vad som anges i kapitlet. Av tredje stycket framgår att bestämmelserna i kapitlet inte gäller för personuppgifter i säkerhetsregistret. För sådana uppgifter gäller i stället den längsta tid för behandling som framgår av 4 kap. 7 §. 2 §    Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av detta kapitel. I paragrafen, som är ny, anges att bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen inte gäller vid tillämpningen av bestämmelserna i detta kapitel. Övervägandena finns i avsnitt 7.1. Paragrafen motsvarar i huvudsak nuvarande 2 kap. 5 § andra stycket (jfr prop. 2017/18:269 s. 377). Att 2 kap. 17 § andra stycket brottsdatalagen inte gäller vid tillämpningen av kapitlet innebär att personuppgifter inte får arkiveras digitalt. Utgångspunkten är i stället att all automatiserad behandling av personuppgifter ska upphöra senast när den längsta tid som anges i kapitlet har löpt ut, vilket innebär att de ska tas bort. Om det har meddelats föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål (jfr 11 §) får de dock behandlas automatiserat längre än vad som anges i kapitlet. Personuppgifter som inte har gjorts gemensamt tillgängliga 3 §    Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än 1. ett år efter det att ärendet avslutades, om uppgifterna behandlades i ett ärende, eller 2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. I paragrafen, som är ny, anges längsta tid för behandling av personuppgifter som inte har gjorts gemensamt tillgängliga. Övervägandena finns i avsnitt 7.2. Av paragrafen framgår att längsta tid för behandling av personuppgifter som inte har gjorts gemensamt tillgängliga är beroende av om uppgifterna behandlas i ett ärende eller inte. Personuppgifter som behandlas i ett ärende får inte behandlas längre än ett år efter att ärendet avslutades, medan personuppgifter som inte kan hänföras till ett ärende som längst får behandlas ett år efter det att de behandlades automatiserat första gången. Begreppet ärende har här en särskild innebörd som inte helt motsvarar begreppet i förvaltningslagen (2017:900). Med ärende avses i detta sammanhang en serie åtgärder som är avsedda att leda fram till ett bestämt slut. Särskilda underrättelseprojekt kan t.ex. omfattas. Ett underrättelseprojekt med obestämd varaktighet, såsom ett projekt som syftar till att fortlöpande behandla säkerhetsfrågor vid en viss kriminalvårdsanstalt, utgör däremot inte ett ärende i den mening som avses i paragrafen. Det är inte heller fråga om ett ärende när en tjänsteman inom Kriminalvården vidtar en tillfällig åtgärd inom ramen för verksamheten, t.ex. tar emot ett tips från allmänheten som inte föranleder ytterligare åtgärder. Personuppgifter som har gjorts gemensamt tillgängliga 4 §    Personuppgifter om en person som har varit häktad och som inte har dömts till en påföljd som ska verkställas inom Kriminalvården får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än fem år efter det att häktningen hävdes. I paragrafen, som är ny, anges längsta tid för behandling av vissa personuppgifter som har gjorts gemensamt tillgängliga. Övervägandena finns i avsnitt 7.3.1. Av paragrafen framgår att gemensamt tillgängliga uppgifter om en person som har varit häktad, men som inte har dömts till en påföljd som Kriminalvården ska verkställa, som längst får behandlas fem år efter det att häktningen hävdes. Utöver de fall där åtal inte väcks eller personen frikänns kan det t.ex. handla om uppgifter om en person som varit häktad och dömts till rättspsykiatrisk vård eller böter. Det kan även handla om uppgifter om en person som varit häktad och av tingsrätt dömts till en påföljd inom Kriminalvården men som senare frikänns av hovrätten. 5 §    Personuppgifter om en person som har varit föremål för personutredning enligt lagen (1991:2041) om särskild personutredning i brottmål, m.m. och som inte har varit häktad eller dömts till en påföljd som ska verkställas inom Kriminalvården får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än två år efter att det mål i vilket personutredningen gjordes har avgjorts genom en dom eller ett beslut som har fått laga kraft. I paragrafen, som är ny, anges längsta tid för behandling av vissa personuppgifter som har gjorts gemensamt tillgängliga. Övervägandena finns i avsnitt 7.3.2. Av paragrafen framgår längsta tid för behandling av personuppgifter som har gjorts gemensamt tillgängliga gällande en person som har varit föremål för personutredning, men som varken varit häktad eller dömts till en påföljd som ska verkställas inom Kriminalvården. Sådana personuppgifter får inte behandlas längre än två år efter att det mål i vilket personutredningen gjordes har avgjorts genom en dom eller ett beslut som har fått laga kraft. Det kan t.ex. handla om personuppgifter om en person som har varit föremål för personutredning och sedan frikänts. 6 §    Personuppgifter om en person som har dömts till en påföljd som ska verkställas inom Kriminalvården får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än tio år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl. Om personen inte slutligt döms till en påföljd som ska verkställas inom Kriminalvården, får uppgifter som behandlas med anledning av den tidigare utdömda påföljden inte behandlas längre än tre månader efter det att domen eller beslutet fick laga kraft. Om verkställigheten har påbörjats tillämpas i stället första stycket. I paragrafen, som är ny, anges längsta tid för behandling av vissa personuppgifter som har gjorts gemensamt tillgängliga. Övervägandena finns i avsnitt 7.3.3. Av första stycket framgår att den längsta tiden för behandling av personuppgifter om en person som har dömts till en påföljd som ska verkställas inom Kriminalvården som huvudregel är tio år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl. Med att påföljden har upphört av annat skäl avses bl.a. att påföljden har undanröjts efter beslut om resning eller att den efter beslut om resning har ändrats så att det inte längre är fråga om en påföljd som ska verkställas inom Kriminalvården. I andra stycket finns ett undantag till den längsta tid för behandling som anges i första stycket. Det gäller när uppgifter om en person behandlas med anledning av en dom eller ett beslut som inte fått laga kraft och personen inte slutligt döms till en påföljd som ska verkställas inom Kriminalvården. Om det inte finns en annan grund för att fortsätta att behandla uppgifterna, exempelvis att personen tidigare varit häktad eller föremål för personutredning, får uppgifterna inte behandlas längre än tre månader från att domen eller beslutet fick laga kraft. Den kortare längsta tiden för behandling enligt andra stycket gäller inte om verkställigheten har påbörjats innan domen eller beslutet fick laga kraft. I sådana fall tillämpas den längsta tid som anges i första stycket. 7 §   Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 3 § får inte behandlas längre än vad uppgifterna om den registrerade behandlas. I paragrafen, som är ny, anges längsta tid för behandling av vissa personuppgifter som har gjorts gemensamt tillgängliga. Övervägandena finns i avsnitt 7.3.4. Av bestämmelsen framgår att personuppgifter om andra än Kriminalvårdens klienter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 3 §, inte får behandlas längre än uppgifterna om klienten behandlas. I många fall ska emellertid behandlingen upphöra tidigare därför att behandlingen inte längre är nödvändig. Behandlingen av personuppgifter om ett ombud till en klient kan t.ex. behöva upphöra när ombudet entledigas. 8 §    Andra personuppgifter än sådana som avses i 4–7 §§, och som har gjorts gemensamt tillgängliga, får inte behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört. I paragrafen, som är ny, anges längsta tid för behandling av vissa personuppgifter som har gjorts gemensamt tillgängliga. Övervägandena finns i avsnitt 7.3.5. Av paragrafen framgår längsta tiden för behandling av andra personuppgifter som har gjorts gemensamt tillgängliga än sådana som avses i 4–7 §§. Längsta tid för behandling av sådana uppgifter är tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört. Det kan exempelvis gälla personuppgifter som har gjorts gemensamt tillgängliga i samband med överföring av straffverkställighet eller transitering enligt 3 kap. 2 § 3–5. Särskilda bestämmelser om vissa uppgifter 9 §    Personuppgifter som har tagits fram genom elektronisk övervakning vid verkställighet av en påföljd får inte behandlas längre än tre månader efter det att de behandlades automatiserat första gången. Om uppgifterna behövs vid prövning av fråga om verkställighet får de dock behandlas till dess beslutet har fått laga kraft. I paragrafen, som är ny, anges en särskild längsta tid för behandling av personuppgifter som tagits fram genom elektronisk övervakning vid verkställighet av en påföljd. För sådana uppgifter gäller alltså inte övriga bestämmelser i kapitlet om längsta tid för behandling. Övervägandena finns i avsnitt 7.4.1. Av paragrafen framgår att positionsuppgifter som tagits fram genom elektronisk övervakning som längst får behandlas i tre månader efter det att de behandlades automatiserat första gången. Om uppgifterna behövs vid utredning och prövning av misskötsamhet, exempelvis enligt 11 kap. 6 § eller 13 kap. 3 § fängelselagen, får uppgifterna dock behandlas till dess frågan prövats genom ett beslut som fått laga kraft. 10 §    Biometriska uppgifter som har tagits fram för biometrisk autentisering av en person som dömts till fängelse, får inte behandlas längre än tre månader efter det att det senaste fängelsestraffet helt har verkställts eller upphört av annat skäl. I paragrafen, som är ny, anges en särskild längsta tid för behandling av vissa biometriska uppgifter. För sådana uppgifter gäller alltså inte övriga bestämmelser i kapitlet om längsta tid för behandling. Övervägandena finns i avsnitt 7.4.2. Den längsta tid som anges i paragrafen omfattar biometriska uppgifter som tagits fram för att användas som jämförelse vid biometrisk autentisering av en person som dömts till fängelse. Med biometrisk autentisering avses verifiering av en persons identitet, dvs. kontroll av att en person är den han eller hon utger sig för att vara, med hjälp av automatiserad teknik som baseras på mätning av fysiska karaktärsdrag. Biometriska uppgifter, s.k. biometriska mallar, som tas fram ur en ansiktsbild för att verifiera en persons identitet med hjälp av teknik för ansiktsigenkänning, får alltså inte behandlas längre än tre månader efter det att det senaste fängelsestraffet helt har verkställts eller upphört av annat skäl. Längsta tid för behandling av ett fotografi av en person som dömts till fängelse framgår av 3 eller 6 §. Rätt att meddela föreskrifter 11 §    Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att vissa kategorier av personuppgifter får behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i lagen, 2. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i någon av 3–5 §§, 6 § första stycket eller 8 §, och 3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. I paragrafen, som är ny, finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter i vissa frågor. Övervägandena finns i avsnitt 10. I punkten 1 upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom lagens tillämpningsområde under längre tid än vad som anges i lagen. En förutsättning för sådana föreskrifter är att de tidsfrister som sätts för behandlingen hålls inom de ramar som ges i 2 kap. 17 § första stycket brottsdatalagen. Punkten 2 motsvarar i huvudsak nuvarande 2 kap. 6 § 5 (jfr prop. 2017/18:269 s. 377), med den skillnaden att upplysningen preciseras till att avse föreskrifter om längre längsta tid för behandling än som anges i vissa bestämmelser. I punkten 3 upplyses om att föreskrifter kan meddelas om begränsning av behandlingen av personuppgifter för ändamål inom lagens tillämpningsområde vid digital arkivering. 6 kap. 1 §    En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 4 § eller 4 kap. 4 eller 4 a § om särskilda upplysningar, eller 3. 4 kap. 7 § eller någon av 5 kap. 3–10 §§ om den längsta tid som personuppgifter får behandlas. En sanktionsavgift får också tas ut vid överträdelse av föreskrifter som har meddelats i anslutning till denna lag om särskild upplysning eller om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Paragrafen, som i nuvarande lydelse betecknas 4 kap. 1 §, reglerar vid vilka överträdelser sanktionsavgift får tas ut. Övervägandena finns i avsnitt 5.3, 7.1 och 8.1.3. Hänvisningarna i första stycket punkterna 2 och 3 ändras till följd av ändringar i 3–5 kap. Genom ändringarna får sanktionsavgift tas ut även vid överträdelse av de nya bestämmelserna om särskild upplysning och längsta tid för behandling som införs. Förslaget till lag om ändring i fängelselagen (2010:610) 8 kap. 1 §    Fotografi får tas av en intagen för biometrisk autentisering eller annan identifiering av honom eller henne. I paragrafen finns en bestämmelse som ger Kriminalvården möjlighet att fotografera en intagen för identifiering av honom eller henne. Övervägandena finns i avsnitt 6.2.1. Genom ändringen klarläggs det att Kriminalvården får ta ett fotografi av en intagen för biometrisk autentisering. Med biometrisk autentisering avses verifiering av en persons – i detta fall den intagnes – identitet med hjälp av automatiserad teknik som baseras på mätning av fysiska karaktärsdrag hos personen, såsom ansiktsgeometri. Med verifiering menas kontroll av att en person är den som han eller hon utger sig för att vara. I praktiken är det verifiering av den intagnes identitet med hjälp av teknik för ansiktsigenkänning som kan bli aktuell. För att Kriminalvården ska få använda sådan ansiktsigenkänning krävs, enligt 2 kap. 3 § lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område, även att behandling av de biometriska uppgifter som aktualiseras är absolut nödvändig för ändamålet med behandlingen. Förslaget till lag om ändring i kriminalvårdsdatalagen (2018:1235) 3 §    Personuppgifter får behandlas om det är nödvändigt för att verkställa frihetsberövanden eller genomföra transporter. Uppgifter från Kriminalvårdens säkerhetsregister får dock endast behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. I paragrafen anges de primära ändamålen för personuppgiftsbehandling enligt lagen. Övervägandena finns i avsnitt 8.2. Ändringen i andra stycket tydliggör att paragrafen inte ger stöd för att behandla personuppgifter i säkerhetsregistret, utan endast uppgifter som kommer från det registret. Behandling i säkerhetsregistret får endast ske med stöd av 4 kap. lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område. Någon ändring i sak är inte avsedd. Förslaget till lag om ändring i lagen (2025:000) om verkställighet av fängelsestraff med elektronisk övervakning 2 kap. 7 §    Fotografi får tas av den dömde för biometrisk autentisering eller annan identifiering av honom eller henne. I paragrafen, som är ny, finns en bestämmelse som ger Kriminalvården möjlighet att fotografera den dömde för identifiering av honom eller henne. Övervägandena finns i avsnitt 6.2.1. Av bestämmelsen följer att Kriminalvården får ta ett fotografi av den dömde, både i samband med att verkställigheten inleds och senare. Syftet med fotograferingen ska vara biometrisk autentisering eller annan identifiering av den dömde. Med biometrisk autentisering avses verifiering av en persons – i detta fall den dömdes – identitet med hjälp av automatiserad teknik som baseras på mätning av fysiska karaktärsdrag hos personen, såsom ansiktsgeometri. Med verifiering menas kontroll av att en person är den som han eller hon utger sig för att vara. I praktiken är det verifiering av den dömdes identitet med hjälp av teknik för ansiktsigenkänning som kan bli aktuell. För att Kriminalvården ska få använda sådan ansiktsigenkänning krävs, enligt 2 kap. 3 § lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område, även att behandling av de biometriska uppgifter som aktualiseras är absolut nödvändig för ändamålet med behandlingen. Med annan identifiering avses bl.a. manuell identifiering med hjälp av det fotografi som tagits. 4 kap. 5 §   Vid verkställighet i kontrollerat boende ska 1. 5 kap. fängelselagen (2010:610) tillämpas i fråga om personliga tillhörigheter, 2. 7 kap. 1–3 och 6–10 §§ fängelselagen tillämpas i fråga om besök och försändelser, och 3. 8 kap. 2–5, 7, 8–11 och 13 §§ fängelselagen tillämpas i fråga om kontroll- och tvångsåtgärder. En kontroll- eller tvångsåtgärd enligt första stycket får endast användas om den står i rimlig proportion till syftet med åtgärden. Om en mindre ingripande åtgärd är tillräcklig ska den användas. I paragrafen anges att vissa bestämmelser i fängelselagen ska tillämpas avseende verkställighet i kontrollerat boende. Övervägandena finns i avsnitt 6.2.1. Hänvisningen i första stycket punkten 3 till 8 kap. 1 § fängelselagen, som innebär att Kriminalvården får ta fotografier av personer som verkställer fängelsestraff i kontrollerat boende enligt lagen, tas bort till följd av att det i 2 kap. 7 § införs en möjlighet till fotografering avseende alla som avtjänar fängelsestraff enligt lagen. Sammanfattning av departementspromemorian En modern lagstiftning för Kriminalvårdens personuppgiftsbehandling (Ds 2023:21) Uppdraget Utredningen har haft i uppdrag att genomföra en fullständig översyn av lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område (Kriminalvårdens brottsdatalag) och förordningen (2018:1746) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område (Kriminalvårdens brottsdataförordning) och lämna förslag till en uppdaterad registerlagstiftning för Kriminalvården. I uppdraget har bl.a. ingått att analysera om det centrala kriminalvårdsregistret bör regleras i lag, överväga behovet av sekretessbrytande bestämmelser för direktåtkomst till säkerhetsregistret och till det centrala kriminalvårdsregistret, undersöka behovet av ändringar i registerlagstiftningen till följd av Kriminalvårdens uppdrag att delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten samt analysera hur länge Kriminalvården bör få hantera olika personuppgifter. Överväganden och förslag Uppgifter får göras gemensamt tillgängliga Det införs särskilda bestämmelser i Kriminalvårdens brottsdatalag om behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Regelverket ersätter framför allt de detaljerade bestämmelserna i Kriminalvårdens brottsdataförordning om det centrala kriminalvårdsregistret. Förslagen skapar en generell och teknikneutral reglering som ger skyddande ramar för den personuppgiftsbehandling som är nödvändig när Kriminalvården utför arbetsuppgifter inom brottsdatalagens område. Det innebär att Kriminalvården kan fortsätta att behandla personuppgifter i sina nuvarande verksamhetsstöd, men regelverket tillåter också att myndigheten anpassar sina verksamhetsstöd efter den tekniska utvecklingen och verksamhetens behov. Med gemensamt tillgängliga uppgifter avses uppgifter som inte enbart ett fåtal har tillgång till utan uppgifter som är tillgängliga för en större bestämd eller obestämd krets av tjänstemän. Uppgifter som bara ett fåtal har tillgång till anses som regel inte vara gemensamt tillgängliga. Vad som avses med ett fåtal får avgöras i varje enskilt fall, men en tumregel är att det som är tillgängligt för fler än ett tiotal personer är gemensamt tillgängligt. Underrättelseverksamhet är ett exempel på verksamhet där vissa uppgifter normalt inte är gemensamt tillgängliga. Personuppgifter som behandlas för syften som anges i 2 kap. 1 § Kriminalvårdens brottsdatalag får göras gemensamt tillgängliga om de gäller en person som 1. är häktad, anhållen eller gripen med anledning av misstanke om brott eller verkställighet av påföljd eller utvisning, 2. är dömd till en påföljd som ska verkställas inom Kriminalvården eller till förvandlingsstraff för böter eller viten, 3. på grund av en utländsk dom är dömd till en sådan påföljd som avses i 2, eller annan påföljd som avses i lagen (2015:96) om erkännande och verkställighet av frihetsberövande påföljder inom Europeiska unionen, och som kan komma att verkställas i Sverige, 4. på grund av en svensk dom annars är föremål för överföring av straffverkställighet till ett annat land, 5. på grund av ett utländskt beslut eller en utländsk dom är frihetsberövad och ska transiteras genom Sverige för fortsatt verkställighet eller en annan åtgärd i ett annat land, 6. annars är frihetsberövad inom Kriminalvården för syften som anges i 2 kap. 1 §, eller 7. är föremål för personutredning eller annan åtgärd enligt 1 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. Det införs en generell bestämmelse i Kriminalvårdens brottsdatalag som klargör att positionsuppgifter som tas fram vid elektronisk övervakning som ett led i verkställighet av en påföljd får göras gemensamt tillgängliga. Eftersom uppgifterna medger en ingående kartläggning av var en dömd person befinner sig eller har befunnit sig får sådana uppgifter bara behandlas i högst tre månader. När Kriminalvården behandlar uppgifter om en registrerad, får myndigheten även göra personuppgifter om vissa andra personer gemensamt tillgängliga. Regleringen omfattar uppgifter om närstående till den registrerade, andra personer som har nära förbindelse till den registrerade, personer som i tjänst eller uppdrag har kontakter med den registrerade, andra personer som besöker eller har kontakter med intagna och målsägande. Regleringen omfattar även uppgifter om juridiska personer. Vilka uppgifter som får behandlas avseende dessa fysiska eller juridiska personer framgår av den nya förordning som föreslås. Ett undantag från det generella sökförbudet i 2 kap. 14 § brottsdatalagen införs för uppgifter som har gjorts gemensamt tillgängliga. Det innebär att sökförbudet inte hindrar sökning på personuppgifter som har gjorts gemensamt tillgängliga i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Sådana sökningar kan behöva göras inför placering på anstalt av en dömd person för att säkerställa att personer från grupperingar med t.ex. politiska eller etniska motsättningar inte placeras på samma avdelning eller i samma cell. Biometrisk autentisering får användas Kriminalvården får med hjälp av biometrisk autentisering bekräfta en persons identitet när han eller hon verkställer ett fängelsestraff, i eller utanför anstalt. En biometrisk autentisering innebär att en mätning görs av någons fysiska karaktärsdrag. De nya reglerna innebär t.ex. att ansiktsigenkänning kan användas för att avgöra om en påstådd identitet är riktig vid de regelbundna och slumpmässiga kontroller som ska genomföras vid intensivövervakning med elektronisk kontroll. Biometrisk autentisering kan även användas för att möjliggöra säkrare identifiering vid förflyttning av intagna inom en kriminalvårdsanstalt eller mellan anstalter. Skyldigheten att föra journal förs in i lag Skyldigheten att föra journal över den som är häktad med anledning av misstanke om brott eller verkställighet av påföljd eller utvisning, den som är dömd till en påföljd som ska verkställas inom Kriminalvården och den som är villkorligt frigiven eller föremål för transport för något av dessa syften föreskrivs i Kriminalvårdens brottsdatalag. Personuppgifter som behandlas i en journal får göras gemensamt tillgängliga. Utlämnande genom direktåtkomst Kriminalvårdens möjlighet att genom direktåtkomst tillhandahålla personuppgifter som görs eller har gjorts gemensamt tillgängliga regleras i Kriminalvårdens brottsdatalag. Även Tullverket får medges direktåtkomst till uppgifter som görs eller har gjorts gemensamt tillgängliga och till uppgifter i säkerhetsregistret. Direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter, inom ramen för den beviljade åtkomsten, som myndigheten vill ta del av. En myndighet kan därför inte tillåta en annan myndighet direktåtkomst till uppgifter som, vid en sekretessprövning, den senare myndigheten inte med säkerhet skulle ha rätt att ta del av. Det införs därför sekretessbrytande bestämmelser som möjliggör sådan direktåtkomst. Längsta tid som personuppgifter får behandlas Det regleras i lag hur länge personuppgifter får behandlas. Längsta tid för behandling av uppgifter regleras olika beroende på om de avser Kriminalvårdens klienter eller andra personer. Särskilda regler gäller för personer som inte ska verkställa en påföljd inom Kriminalvården, exempelvis en häktad person eller en person som varit föremål för personutredning men inte dömts för brott till sådan påföljd som Kriminalvården verkställer. Annan reglering gäller för uppgifter om dömda personer som verkställer fängelse och andra påföljder inom Kriminalvården och för övriga personuppgifter, exempelvis behandling av personuppgifter om anhöriga. I allt väsentligt innebär bestämmelserna att den yttersta tidsfrist som personuppgifter får behandlas är tre, fem eller tio år. Det införs en särskild bestämmelse för unga lagöverträdare som innebär att tiden för behandling av deras personuppgifter förkortas till fem år, utom i de fall där påföljden bestämts till fängelse. Personuppgifter får även behandlas i vissa fall trots att domen som ligger till grund för behandlingen inte har fått laga kraft. Samtidigt införs krav på radering om personen inte slutligen döms till en påföljd som ska verkställas inom Kriminalvården. Den yttersta tidsfristen begränsas av 2 kap. 17 § första stycket brottsdatalagen, som anger att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det innebär att behovet av att fortsätta behandla personuppgifter måste prövas kontinuerligt och att uppgifterna ska avidentifieras eller tas bort när de inte längre behövs för det ändamål för vilket de samlades in. Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades eller ett år efter det att de behandlades automatiserat första gången, om uppgifterna inte behandlas i ett ärende. Bestämmelserna reglerar inte hur länge personuppgifter får behandlas för arkivändamål, utan styr endast i vilken form det är tillåtet att arkivera personuppgifter. Säkerhetsregistret breddas Säkerhetsförhållandena inom Kriminalvårdens verksamhet har förändrats. Det beror bl.a. på de senaste årens allvarliga utveckling av gängkriminaliteten och den svåra beläggningssituationen. För att ha möjligheter att upprätthålla en fortsatt säker kriminalvård föreslås därför ändringar som ger Kriminalvården stöd att behandla personuppgifter i säkerhetsregistret för fler syften och om fler personkategorier. Det tydliggörs att uppgifter om den som verkställer fängelsestraff utanför anstalt får behandlas i säkerhetsregistret. Även uppgifter om en person som uppfyller kraven för registrering i säkerhetsregistret och som har dömts till fängelse, men ännu inte har påbörjat verkställigheten, får registreras. Det införs vidare en möjlighet att behandla uppgifter om häktade om det finns risk för otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. För frivårdsklienter införs stöd för att, om det finns särskilda skäl, behandla uppgifter i säkerhetsregistret om det finns risk för att klienten utsätts för hot eller våld i lokaler där Kriminalvården bedriver verksamhet. Detsamma gäller om det finns risk för att klienten bidrar till att allvarligt störa ordningen eller säkerheten i sådana lokaler. Om det är absolut nödvändigt för att Kriminalvården ska kunna upprätthålla säkerheten på häkten eller i kriminalvårdsanstalter får myndigheten i säkerhetsregistret även behandla uppgifter om personer som tillsammans med andra kan antas ägna sig åt organiserad brottslig verksamhet. Det innebär en möjlighet att i vissa fall behandla uppgifter om personer som varken är häktade eller dömda för brott, om de kan antas ägna sig åt organiserad brottslig verksamhet. Det förutsätter att personerna ingår i eller har kopplingar till kriminella nätverk eller gäng eller liknande grupperingar som gemensamt ägnar sig åt brottslig verksamhet. Vilka personuppgifter som får behandlas för denna kategori framgår av den nya förordningen. Ändringar i andra lagar Vid verkställighet av ett fängelsestraff utanför anstalt enligt lagen (1994:451) om intensivövervakning med elektronisk kontroll får Kriminalvården ta en digital bild av den dömdes ansikte i syfte att underlätta identifieringen av honom eller henne. Fotografi får redan i dag tas av en person som verkställer ett fängelsestraff i kriminalvårdsanstalt enligt 8 kap. 1 § fängelselagen (2010:610). I såväl lagen om intensivövervakning med elektronisk kontroll som fängelselagen införs en möjlighet att använda sådana ansiktsbilder för biometrisk autentisering, dvs. ansiktsigenkänning. En helt ny förordning Det införs en ny, modern och kapitelindelad förordning som ersätter Kriminalvårdens nuvarande brottsdataförordning. Förordningen möter på ett bättre sätt Kriminalvårdens behov, förutsättningar och utmaningar. Den nya förordningen är mer generellt utformad och anpassad till den nya teknikneutrala reglering som föreslås i Kriminalvårdens brottsdatalag. Vissa bestämmelser överförs från den nuvarande förordningen, t.ex. skyldigheten för andra myndigheter att lämna uppgifter till Kriminalvården. De allmänna domstolarnas skyldighet att lämna uppgifter till Kriminalvården utökas dock något. Ikraftträdande och övergångsbestämmelser Ändringarna föreslås träda i kraft den 1 juli 2024. Det införs en särskild övergångsbestämmelse för hur länge personuppgifter om unga lagöverträdare får behandlas. Äldre bestämmelser ska vidare fortsätta att gälla för andra myndigheters skyldighet att lämna uppgifter om domar och beslut och för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet. Konsekvenser Förslagen berör så gott som bara Kriminalvården. När förslagen har utformats har särskild vikt lagts vid skyddet för enskildas integritet. I stor utsträckning ger förslagen ett starkare skydd för den personliga integriteten, bl.a. genom att vissa bestämmelser flyttas från förordning till lag. Förslaget om att förkorta tiden som uppgifter om unga lagöverträdare får behandlas innebär ett starkare skydd för barns integritet. Förslagen bedöms samtidigt ge Kriminalvården rättsligt stöd för att i större utsträckning behandla de personuppgifter som krävs för att upprätthålla en säker kriminalvård och förhindra att brott begås under straffverkställigheten. De ger också bättre förutsättningar för Kriminalvården att samarbeta med brottsbekämpande myndigheter. Förslagen ger Kriminalvården möjlighet att fortsätta att använda befintliga it-system. De förutsätter dock utbildningsinsatser inom Kriminalvården och att myndigheten tar fram handböcker och fastställer rutiner för myndighetens personuppgiftsbehandling. Utredningens förslag bedöms rymmas inom befintliga anslag för Kriminalvården. Förslagen bedöms inte heller föranleda några ökade kostnader för andra myndigheter, för enskilda eller för företag. Promemorians lagförslag Förslag till lag om ändring i lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område Härigenom föreskrivs i fråga om lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område dels att 2 kap. 5 § ska upphöra att gälla och att rubriken närmast före 2 kap. 5 § ska utgå, dels att nuvarande 2 kap. 6 § ska betecknas 2 kap. 7 § och att rubriken närmast före nuvarande 2 kap. 6 § ska placeras närmast före den nya 2 kap. 7 §, dels att nuvarande 3 kap. 1–5 §§ ska betecknas 4 kap. 1–5 §§, att nuvarande 3 kap. 6 § ska betecknas 4 kap. 7 § och att rubriken närmast före nuvarande 3 kap. 6 § ska placeras närmast före nya 4 kap. 7 §, att nuvarande 3 kap. 7 § ska betecknas 4 kap. 8 § och att rubriken närmast före nuvarande 3 kap. 7 § ska placeras närmast före nya 4 kap. 8 §, att nuvarande 3 kap. 8 § ska betecknas 4 kap. 10 § och att rubriken närmast före nuvarande 3 kap. 8 § ska placeras närmast före nya 4 kap. 10 §, dels att nuvarande 4 kap. 1–3 §§ ska betecknas 6 kap. 1–3 §§, dels att det i lagen ska införas två nya kapitel, 3 och 5 kap., av följande lydelse, dels att 2 kap. 3 § och de nya 2 kap. 7 §, 4 kap. 2, 3, 4 och 8 §§ och 6 kap. 1 § ska ha följande lydelse, dels att det ska införas fem nya paragrafer, 2 kap. 5 och 6 §§ och 4 kap. 3 a, 6 och 9 §§ och nya rubriker närmast före de nya 2 kap. 5 och 6 §§ och 4 kap. 6 § av följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. 3 § Kriminalvården får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Kriminalvården får med hjälp av biometrisk autentisering bekräfta en persons identitet när han eller hon verkställer ett fängelsestraff, i eller utanför anstalt. Sekretessbrytande bestämmelse 5 § Polismyndigheten, Säkerhetspolisen, Tullverket och Regeringskansliet har, trots sekretess enligt 18 kap. 11 §, 21 kap. 3 § och 35 kap. 15 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177). Första stycket gäller inte uppgifter som behandlas i säkerhetsregistret. Direktåtkomst 6 § Regeringskansliet, Polismyndigheten, Säkerhetspolisen och Tullverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) medges direktåtkomst till personuppgifter som görs eller har gjorts gemensamt tillgängliga. För säkerhetsregistret finns särskilda bestämmelser i 4 kap. 7 §. För Regeringskansliet får endast sådana uppgifter som behövs i ärenden om nåd göras tillgängliga. 7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. vilka personuppgifter som får behandlas enligt 1 §, 2. utlämnande av personuppgifter i andra fall än som anges i 4 §, 2. utlämnande av personuppgifter i andra fall än som anges i 4 och 6 §§, och 3. frågor som rör elektroniskt utlämnande genom direktåtkomst, 3. frågor som rör elektroniskt utlämnande genom direktåtkomst. 4. längsta tid som personuppgifter får behandlas, och 5. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 5 §. 3 kap. Gemensamt tillgängliga uppgifter Allmän bestämmelse 1 §     Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2–5 §§. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:1177). Personuppgifter som får göras gemensamt tillgängliga 2 §     Personuppgifter som behandlas för syften som anges i 2 kap. 1 § får göras gemensamt tillgängliga om de avser en person som 1. är häktad, anhållen eller gripen med anledning av misstanke om brott eller verkställighet av påföljd eller utvisning, 2. är dömd till en påföljd som ska verkställas inom Kriminalvården eller till förvandlingsstraff för böter eller viten, 3. på grund av en utländsk dom är dömd till en sådan påföljd som avses i 2, eller annan påföljd som avses i lagen (2015:96) om erkännande och verkställighet av frihetsberövande påföljder inom Europeiska unionen, och som kan komma att verkställas i Sverige, 4. på grund av en svensk dom eller beslut annars är föremål för överföring av straffverkställighet till ett annat land, 5. på grund av ett utländskt beslut eller en utländsk dom är frihetsberövad och ska transiteras genom Sverige för fortsatt verkställighet eller en annan åtgärd i ett annat land, 6. annars är frihetsberövad inom Kriminalvården för syften som anges i 2 kap. 1 §, eller 7. är föremål för personutredning eller annan åtgärd enligt 1 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. 3 §     Uppgifter om en dömd person som tas fram genom elektronisk övervakning som ett led i verkställighet av en påföljd får göras gemensamt tillgängliga. Uppgifterna får behandlas i högst tre månader. När uppgifterna inte längre får behandlas, ska de omedelbart raderas. 4 §     När Kriminalvården behandlar uppgifter om en person som anges i 2 § får myndigheten även göra personuppgifter om följande personer gemensamt tillgängliga: 1. närstående till den registrerade, 2. andra personer som har nära förbindelse till den registrerade, 3. personer som i tjänst eller uppdrag har kontakter med den registrerade, 4. andra personer som besöker eller har kontakter med intagna eller 5. målsägande. Det som sägs i första stycket gäller även uppgifter om juridiska personer som avses i första stycket 2–5. Regeringen meddelar föreskrifter om vilka uppgifter om en person som anges i första och andra styckena som får göras gemensamt tillgängliga. 5 §     Om det av särskilda skäl krävs för planering av framtida verkställighet av ett fängelsestraff eller av säkerhetsskäl, eller om det behövs för verkställighet av övervakning enligt 28 kap. 5 § brottsbalken, får personuppgifter som anges i 2 § 2 behandlas oberoende av att domen inte har fått laga kraft. Uppgifter som behandlas med stöd av första stycket ska raderas senast tre månader efter att domen eller beslutet fick laga kraft om personen inte slutligt döms till en påföljd som ska verkställas inom Kriminalvården. Om verkställigheten har påbörjats tillämpas i stället 5 kap. 6 eller 7 §. Särskild upplysning 6 §     Om det inte framgår av sammanhanget eller på annat sätt att en personuppgift som görs eller har gjorts gemensamt tillgänglig avser en person som inte är häktad för något av de syften som anges i 2 § 1 eller verkställer en påföljd inom Kriminalvården, ska det tydliggöras genom en särskild upplysning. Journaler 7 §    Kriminalvården ska föra journal över den som är häktad för något av de syften som anges i 2 § 1, dömd till en påföljd som ska verkställas inom Kriminalvården, villkorligt frigiven eller transporteras av Kriminalvården för något av de syften som anges i 2 § 1. Personuppgifter i en journal får göras gemensamt tillgängliga. Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om journaler. Känsliga personuppgifter 8 §    Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:1177) hindrar inte sökning på personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1–3 eller 6 i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Rätt att meddela föreskrifter 9 §    Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om uppgifter som får göras gemensamt tillgängliga, uppgiftsskyldighet och om utlämnande av personuppgifter som har gjorts gemensamt tillgängliga. 3 kap. 4 kap. 2 § I säkerhetsregistret får uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff och som är eller har varit placerad på en säkerhetsavdelning. I säkerhetsregistret får uppgifter behandlas om en person som är häktad för något av de syften som anges i 2 kap. 1 § 1 eller verkställer ett fängelsestraff, i eller utanför anstalt, och som är eller har varit placerad på eller uppfyller kraven för att placeras på en säkerhetsavdelning. I registret får även uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff, om det finns risk för att han eller hon I registret får även uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff, i eller utanför anstalt, om det finns risk för att han eller hon 1. under häktning eller verkställighet av fängelsestraff begår brott som inte är ringa eller utövar brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer, 2. förbereder rymning eller försöker rymma, 3. blir föremål för fritagning, 4. bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt, eller 4. bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte, i en kriminalvårdsanstalt eller i andra lokaler där Kriminalvården bedriver verksamhet, 5. under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot. 5. under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot, eller 6. utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. 3 § I säkerhetsregistret får även uppgifter behandlas om en person som verkställer en påföljd inom kriminalvården, om det finns risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i kriminalvårdens lokaler. I säkerhetsregistret får även uppgifter behandlas om en person som verkställer en annan påföljd än fängelse inom Kriminalvården, om det finns risk för att han eller hon 1. utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler, 2. bidrar till att allvarligt störa ordningen eller säkerheten i Kriminalvårdens lokaler, eller 3. under verkställighet av en påföljd utsätts för våld eller hot. Behandling i säkerhetsregistret enligt första stycket 2 och 3 får endast ske om det finns särskilda skäl. 3 a § Om det är absolut nödvändigt för att Kriminalvården ska kunna upprätthålla säkerheten på häkten och i kriminalvårdsanstalter får myndigheten i säkerhetsregistret behandla uppgifter om personer som tillsammans med andra kan antas ägna sig åt organiserad brottslig verksamhet. 4 § Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som anges i 2 §. Om den personen inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning. Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla uppgifter om en person som är närstående till eller har annan nära förbindelse med en person som anges i 2 §. Om den personen inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning. Sekretessbrytande bestämmelse 6 § Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Åklagarmyndigheten har, trots sekretess enligt 18 kap. 11 §, 21 kap. 3 § och 35 kap. 15 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter i säkerhetsregistret, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177). 8 § Personuppgifter i säkerhetsregistret får inte behandlas längre än fem år efter det att 1. den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte, 2. den registrerade helt har verkställt en sådan påföljd som avses i 3 §, eller 3. den person som en registrerad har personlig anknytning till eller annan nära förbindelse med enligt 4 §, har blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte. 3. den person som en registrerad är närstående till eller har annan nära förbindelse med enligt 4 §, har blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av denna paragraf. 9 § Om uppgifter behandlas enligt 2 § första stycket med stöd av en dom som inte har fått laga kraft och grunden för behandling sedan bortfaller, ska uppgifter om den registrerade och en person som anges i 4 § raderas senast tre månader efter det att domen fick laga kraft. Om verkställigheten har påbörjats tillämpas i stället 8 §. 5 kap. Längsta tid som personuppgifter får behandlas Allmänna bestämmelser 1 §     Personuppgifter som behandlas automatiserat får, om inte annat sägs, inte behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört. Av 2 kap. 17 § första stycket brottsdatalagen (2018:1177) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I följande paragrafer finns särskilda bestämmelser om hur länge vissa personuppgifter får behandlas: – 3 kap. 3 § om positionsuppgifter, – 3 kap. 5 § och 4 kap. 9 § om personuppgifter som behandlas med stöd av en dom som inte har fått laga kraft, och – 4 kap. 8 § om uppgifter i säkerhetsregistret. 2 §     Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av detta kapitel. Personuppgifter som inte har gjorts gemensamt tillgängliga 3 §     Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än 1. ett år efter det att ärendet avslutades, om uppgifterna behandlades i ett ärende, eller 2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Personuppgifter som har gjorts gemensamt tillgängliga Personer som inte ska verkställa en påföljd inom Kriminalvården 4 §    Personuppgifter om en häktad person, som inte har dömts för brott till en påföljd som ska verkställas inom Kriminalvården, får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än fem år efter det att den häktade frigavs från häktet. 5 §    Personuppgifter om en person som varit föremål för handläggning enligt lagen (1991:2041) om särskild personutredning i brottmål, m.m., men som varken har varit häktad eller har dömts för brott till en påföljd som ska verkställas inom Kriminalvården, får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än tre år efter det att det mål, i vilket personutredningen gjordes, slutligt har avgjorts. Uppgifter om dömda personer 6 §    Personuppgifter om den som har dömts för brott till en påföljd som ska verkställas inom Kriminalvården och som var 18 år eller äldre vid tiden för brottet, får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än tio år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl. 7 §    Personuppgifter om den som har dömts för brott till någon annan påföljd än fängelse som ska verkställas inom Kriminalvården och som var under 18 år vid tiden för brottet, får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än fem år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl. För den som har dömts till fängelse gäller 6 §. Övriga personuppgifter 8 §    Behandlingen av uppgifter om en person som anges i 3 kap. 4 § ska upphöra senast när uppgifterna om den registrerade upphör att behandlas. Rätt att meddela föreskrifter 9 §     Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. längsta tid som personuppgifter får behandlas, 2. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i detta kapitel, och 3. begränsning av behandlingen av personuppgifter för ändamål vid digital arkivering. Nuvarande lydelse Föreslagen lydelse 4 kap. 6 kap. 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 4 § om särskild upplysning, eller 2. 3 kap. 6 § och 4 kap. 4 § om särskild upplysning, eller 3. 2 kap. 5 § eller 3 kap. 7 § om den längsta tid som personuppgifter får behandlas. 3. 3 kap. 3 och 5 §§, 4 kap. 8 och 9 §§ eller 5 kap. 1 och 3–11 §§ om den längsta tid som personuppgifter får behandlas. En sanktionsavgift får också tas ut vid överträdelse av föreskrifter som har meddelats i anslutning till denna lag om särskild upplysning eller om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. 1. Denna lag träder i kraft den 1 juli 2024. 2. Bestämmelsen i 5 kap. 7 § ska endast tillämpas på påföljder som beslutas efter ikraftträdandet. 3. Äldre bestämmelser gäller fortfarande för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet. Förslag till lag om ändring i lagen (1994:451) om intensivövervakning med elektronisk kontroll Härigenom föreskrivs i fråga om lagen (1994:451) om intensivövervakning med elektronisk kontroll dels att rubriken närmast före 8 a § ska lyda ”Fingeravtryck och ansiktsbild”, dels att det i lagen ska införas två nya paragrafer, 8 b och 8 c §§, av följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 b § Vid verkställighet av dom på fängelse enligt denna lag får Kriminalvården ta en digital bild av den dömdes ansikte (ansiktsbild), i syfte att underlätta identifieringen av honom eller henne. Ansiktsbilden får endast användas för jämförelse vid automatisk autentisering eller vid annan identifiering eller kontroll av den dömde enligt denna lag. 8 c § En ansiktsbild som tagits enligt 8 b § får inte behandlas längre än två år efter det att den senaste domen på fängelse helt har verkställts eller upphört av annat skäl. Ansiktsbilder och biometriska data som skapats vid en automatisk autentisering enligt 8 b § ska raderas senast en vecka efter autentiseringstillfället eller, vid prövning enligt 14 § andra stycket 1 eller 15 eller 16 §, så snart beslutet har fått laga kraft. Denna lag träder i kraft den 1 juli 2024. Förslag till lag om ändring i fängelselagen (2010:610) Härigenom föreskrivs i fråga om fängelselagen (2010:610) dels att 8 kap. 1 § ska ha följande lydelse, dels att det ska införas en ny paragraf, 8 kap. 1 a §, av följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 kap. 1 § För att underlätta identifieringen av en intagen får fotografi tas av honom eller henne. Ett digitalt fotografi av en intagens ansikte (ansiktsbild) som tagits enligt första stycket får användas för jämförelse vid automatisk autentisering eller annan identifiering eller kontroll av den dömde enligt denna lag. 1 a § En ansiktsbild får inte behandlas längre än två år efter det att den senaste domen på fängelse helt har verkställts eller upphört av annat skäl. Ansiktsbilder och biometriska data som skapats vid en automatisk autentisering enligt 1 § andra stycket ska raderas senast en vecka efter autentiseringstillfället eller, vid prövning enligt 11 kap. 6 § eller 8 § 2, 12 kap. 1 § eller 13 kap. 3 eller 4 §, så snart beslutet fått laga kraft. Denna lag träder i kraft den 1 juli 2024. Förslag till lag om ändring i kriminalvårdsdatalagen (2018:1235) Härigenom föreskrivs att 3 § kriminalvårdsdatalagen (2018:1235) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 3 § Personuppgifter får behandlas om det är nödvändigt för att verkställa frihetsberövanden eller genomföra transporter. Uppgifter i Kriminalvårdens säkerhetsregister får dock endast behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Uppgifter från Kriminalvårdens säkerhetsregister får dock endast behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Denna lag träder i kraft den 1 juli 2024. Förteckning över remissinstanserna Efter remiss har yttrande över departementspromemorian En modern lagstiftning för Kriminalvårdens personuppgiftsbehandling (Ds 2023:21) lämnats av Barnombudsmannen, Brottsförebyggande rådet, Brottsoffermyndigheten, Domstolsverket, Förvaltningsrätten i Falun, Förvaltningsrätten i Stockholm, Integritetsskyddsmyndigheten, Justitiekanslern, Kammarrätten i Göteborg, Kriminalvården, Malmö tingsrätt, Polismyndigheten, Riksarkivet, Statens institutionsstyrelse, Svea hovrätt, Sveriges advokatsamfund, Säkerhetspolisen, Tullverket, Umeå tingsrätt, Uppsala universitet, Åklagarmyndigheten, Övervakningsnämnden Stockholms Centrums första, Övervakningsnämnden Visby och Övervakningsnämnden Örebro. Riksdagens ombudsmän och Sveriges Kommuner och Regioner har angett att de avstår från att yttra sig. Lagrådsremissens lagförslag Förslag till lag om ändring i lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område Härigenom föreskrivs i fråga om lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område dels att 2 kap. 5 § ska upphöra att gälla, dels att rubriken närmast före 2 kap. 5 § ska utgå, dels att nuvarande 2 kap. 6 § ska betecknas 2 kap. 8 §, nuvarande 3 kap. 1–8 §§ ska betecknas 4 kap. 1–8 §§ och nuvarande 4 kap. 1–3 §§ ska betecknas 6 kap. 1–3 §§, dels att de nya 2 kap. 8 §, 4 kap. 2–4 och 6–8 §§ och 6 kap. 1 § och rubrikerna till 3 och 6 kap. ska ha följande lydelse, dels att rubriken till 4 kap. ska lyda ”Säkerhetsregistret”, dels att rubriken närmast före 2 kap. 6 § ska sättas närmast före 2 kap. 8 §, rubrikerna närmast före 3 kap. 1, 2 och 5–8 §§ ska sättas närmast före 4 kap. 1, 2, 5, 6, 7 respektive 8 § och rubrikerna närmast före 4 kap. 1–3 §§ ska sättas närmast före 6 kap. 1, 2 respektive 3 §, dels att det ska införas ett nytt kapitel, 5 kap., och elva nya paragrafer, 2 kap. 5–7 §§, 3 kap. 1–7 §§ och 4 kap. 4 a §, och närmast före 3 kap. 1, 2 och 4–7 §§ nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. 5 § Regeringskansliet, Polismyndigheten, Säkerhetspolisen och Tullverket har, trots sekretess enligt 18 kap. 11 §, 21 kap. 3 § första stycket och 35 kap. 15 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården med stöd av 3 kap. 2 eller 3 §, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177). 6 § Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Åklagarmyndigheten har, trots sekretess enligt 18 kap. 11 §, 21 kap. 3 § första stycket och 35 kap. 15 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter i säkerhetsregistret som förs enligt 4 kap., om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177). 7 § Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 § och 4 kap. 6 §. 6 § 8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. vilka personuppgifter som får behandlas enligt 1 §, 1. vilka personuppgifter som får behandlas enligt 1 §, och 2. utlämnande av personuppgifter i andra fall än som anges i 4 §, 2. utlämnande av personuppgifter i andra fall än som anges i 4–6 §§. 3. frågor som rör elektroniskt utlämnande genom direktåtkomst, 4. längsta tid som personuppgifter får behandlas, och 5. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 5 §. 3 kap. Gemensamt tillgängliga uppgifter Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 eller 3 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:1177). Personuppgifter som får göras gemensamt tillgängliga 2 § Personuppgifter får göras gemensamt tillgängliga om uppgifterna avser en person som 1. är häktad, anhållen eller gripen med anledning av misstanke om brott eller verkställighet av påföljd eller utvisning, 2. är dömd till en påföljd som ska verkställas inom Kriminalvården, 3. genom en utländsk dom eller ett utländskt beslut är dömd till en påföljd som kan komma att verkställas i Sverige, 4. genom en svensk dom eller ett svenskt beslut är dömd till en annan påföljd än som avses i 2 som kan komma att verkställas i ett annat land, 5. annars är frihetsberövad inom Kriminalvården för något av de syften som anges i 2 kap. 1 §, eller 6. är föremål för personutredning enligt 1 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. 3 § När personuppgifter om en person som anges i 2 § behandlas, får uppgifter om följande personer göras gemensamt tillgängliga: 1. närstående och andra som har nära förbindelse med den registrerade, 2. personer som på grund av tjänst eller uppdrag eller av annan anledning har kontakt med den registrerade, och 3. målsägande. Särskild upplysning 4 § Om det inte framgår av sammanhanget eller på annat sätt att personuppgifter som har gjorts gemensamt tillgängliga avser en person som inte är häktad eller avtjänar en påföljd inom Kriminalvården, ska det tydliggöras genom en särskild upplysning. Känsliga personuppgifter 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:1177) hindrar inte sökning i personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården med stöd av 2 § 1, 2, 3 eller 5 i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Direktåtkomst 6 § Regeringskansliet, Polismyndigheten, Säkerhetspolisen och Tullverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga hos Kriminalvården. Regeringskansliet får dock medges direktåtkomst endast till sådana uppgifter som behövs i ärenden om nåd. Rätt att meddela föreskrifter 7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. vilka personuppgifter som får göras gemensamt tillgängliga, och 2. omfattningen av direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga och om behörighet och säkerhet vid sådan åtkomst. 3 kap. 4 kap. 2 § I säkerhetsregistret får uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff och som är eller har varit placerad på en säkerhetsavdelning. I säkerhetsregistret får personuppgifter behandlas om en person som är häktad eller dömd till fängelse och som är eller har varit placerad på eller uppfyller kraven för att placeras på en säkerhetsavdelning. I registret får även uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff, om det finns risk för att han eller hon I registret får även personuppgifter behandlas om en person som är häktad eller avtjänar ett fängelsestraff, om det finns risk för att han eller hon 1. under häktning eller verkställighet av fängelsestraff begår brott som inte är ringa eller utövar brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer, 2. förbereder rymning eller försöker rymma, 3. blir föremål för fritagning, 4. bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt, eller 4. bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte, i en kriminalvårdsanstalt eller i en annan lokal där Kriminalvården bedriver verksamhet, 5. under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot. 5. under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot, eller 6. utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. 3 § I säkerhetsregistret får även uppgifter behandlas om en person som verkställer en påföljd inom kriminalvården, om det finns risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i kriminalvårdens lokaler. I säkerhetsregistret får även personuppgifter behandlas om en person som avtjänar en annan påföljd än fängelse inom Kriminalvården, om det finns risk för att han eller hon 1. bidrar till att allvarligt störa ordningen eller säkerheten i Kriminalvårdens lokaler, 2. under verkställighet utsätts för våld eller hot, eller 3. utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i Kriminalvårdens lokaler. 4 § Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som anges i 2 §. Om den personen inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning. Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla personuppgifter om en person som är närstående till eller har annan nära förbindelse med en person som anges i 2 §. Om personen inte är häktad eller avtjänar en påföljd inom Kriminalvården ska det framgå genom en särskild upplysning. 4 a § Om det är absolut nödvändigt för att Kriminalvården ska kunna upprätthålla säkerheten på ett häkte eller i en kriminalvårdsanstalt, får myndigheten i säkerhetsregistret behandla personuppgifter om en person som kan antas tillhöra eller verka för en organisation eller grupp som utövar allvarlig brottslig verksamhet. Om personen inte är häktad eller avtjänar en påföljd inom Kriminalvården ska det framgå genom en särskild upplysning. 6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) medges direktåtkomst till personuppgifter i säkerhetsregistret. Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Åklagarmyndigheten får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:1177) medges direktåtkomst till personuppgifter i säkerhetsregistret. 7 § Personuppgifter i säkerhetsregistret får inte behandlas längre än fem år efter det att 1. den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte, 1. den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har avtjänat straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte, 2. den registrerade helt har verkställt en sådan påföljd som avses i 3 §, eller 2. den registrerade helt har avtjänat en sådan påföljd som avses i 3 §, 3. den person som en registrerad har personlig anknytning till eller annan nära förbindelse med enligt 4 §, har blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte. 3.  den person som en registrerad är närstående till eller har annan nära förbindelse med enligt 4 §, har blivit villkorligt frigiven från ett fängelsestraff eller annars helt har avtjänat straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte, eller 4. den senaste registreringen om en persons anknytning till brottslig verksamhet enligt 4 a § gjordes. Om personuppgifter om en person som dömts till fängelse behandlas enligt 2 § första stycket och personen inte slutligt döms till fängelse och inte har påbörjat verkställigheten, får uppgifterna inte behandlas längre än tre månader efter det att domen eller beslutet fick laga kraft. Detsamma gäller personuppgifter om en person som den registrerade är närstående till eller har annan nära förbindelse med enligt 4 §. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av denna paragraf. 8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om innehållet i säkerhetsregistret och om utlämnande av personuppgifter ur registret. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. innehållet i säkerhetsregistret, och 2. omfattningen av direktåtkomst till uppgifter i registret och om behörighet och säkerhet vid sådan åtkomst. 5 kap. Längsta tid som personuppgifter får behandlas Allmänna bestämmelser 1 §    Detta kapitel gäller bara för automatiserad behandling. Av 2 kap. 17 § första stycket brottsdatalagen (2018:1177) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I 4 kap. 7 § finns bestämmelser om hur länge personuppgifter i säkerhetsregistret får behandlas. 2 §    Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av detta kapitel. Personuppgifter som inte har gjorts gemensamt tillgängliga 3 §    Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än 1. ett år efter det att ärendet avslutades, om uppgifterna behandlades i ett ärende, eller 2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Personuppgifter som har gjorts gemensamt tillgängliga 4 §    Personuppgifter om en person som har varit häktad och som inte har dömts till en påföljd som ska verkställas inom Kriminalvården får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än fem år efter det att häktningen hävdes. 5 §    Personuppgifter om en person som har varit föremål för personutredning enligt lagen (1991:2041) om särskild personutredning i brottmål, m.m. och som inte har varit häktad eller dömts till en påföljd som ska verkställas inom Kriminalvården får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än två år efter att det mål i vilket personutredningen gjordes har avgjorts genom en dom eller ett beslut som har fått laga kraft. 6 §    Personuppgifter om en person som har dömts till en påföljd som ska verkställas inom Kriminalvården får, om uppgifterna har gjorts gemensamt tillgängliga, inte behandlas längre än tio år efter det att den senaste påföljden helt har verkställts eller upphört av annat skäl. Om personen inte slutligt döms till en påföljd som ska verkställas inom Kriminalvården, får uppgifter som behandlas med anledning av den tidigare utdömda påföljden inte behandlas längre än tre månader efter det att domen eller beslutet fick laga kraft. Om verkställigheten har påbörjats tillämpas i stället första stycket. 7 §    Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 3 § får inte behandlas längre än vad uppgifterna om den registrerade behandlas. 8 §    Andra personuppgifter än sådana som avses i 4–7 §§, och som har gjorts gemensamt tillgängliga, får inte behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört. Särskilda bestämmelser om vissa uppgifter 9 §    Personuppgifter som har tagits fram genom elektronisk övervakning vid verkställighet av en påföljd får inte behandlas längre än tre månader efter det att de behandlades automatiserat första gången. Om uppgifterna behövs vid prövning av fråga om verkställighet får de dock behandlas till dess beslutet har fått laga kraft. 10 §    Biometriska uppgifter som har tagits fram för biometrisk autentisering av en person som dömts till fängelse, får inte behandlas längre än tre månader efter det att det senaste fängelsestraffet helt har verkställts eller upphört av annat skäl. Rätt att meddela föreskrifter 11 §    Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att vissa kategorier av personuppgifter får behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i lagen, 2. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i någon av 3–5 §§, 6 § första stycket eller 8 §, och 3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 4 kap. Övriga bestämmelser 6 kap. Övriga bestämmelser 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 4 § om särskild upplysning, eller 2. 3 kap. 4 § eller 4 kap. 4 eller 4 a § om särskilda upplysningar, eller 3. 2 kap. 5 § eller 3 kap. 7 § om den längsta tid som personuppgifter får behandlas. 3. 4 kap. 7 § eller någon av 5 kap. 3–10 §§ om den längsta tid som personuppgifter får behandlas. En sanktionsavgift får också tas ut vid överträdelse av föreskrifter som har meddelats i anslutning till denna lag om särskild upplysning eller om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Denna lag träder i kraft den 1 april 2026. Förslag till lag om ändring i fängelselagen (2010:610) Härigenom föreskrivs att 8 kap. 1 § fängelselagen (2010:610) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 kap. 1 § För att underlätta identifieringen av en intagen får fotografi tas av honom eller henne. Fotografi får tas av en intagen för biometrisk autentisering eller annan identifiering av honom eller henne. Denna lag träder i kraft den 1 april 2026. Förslag till lag om ändring i kriminalvårdsdatalagen (2018:1235) Härigenom föreskrivs att 3 § kriminalvårdsdatalagen (2018:1235) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 3 § Personuppgifter får behandlas om det är nödvändigt för att verkställa frihetsberövanden eller genomföra transporter. Uppgifter i Kriminalvårdens säkerhetsregister får dock endast behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Uppgifter från Kriminalvårdens säkerhetsregister får dock endast behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Denna lag träder i kraft den 1 april 2026. Förslag till lag om ändring i lagen (2025:000) om verkställighet av fängelsestraff med elektronisk övervakning Härigenom föreskrivs i fråga om lagen (2025:000) om verkställighet av fängelsestraff med elektronisk övervakning dels att 4 kap. 5 § ska ha följande lydelse, dels att det ska införas en ny paragraf, 2 kap. 7 §, av följande lydelse. Lydelse enligt prop. 2024/25:202 Föreslagen lydelse 2 kap. 7 § Fotografi får tas av den dömde för biometrisk autentisering eller annan identifiering av honom eller henne. 4 kap. 5 § Vid verkställighet i kontrollerat boende ska 1. 5 kap. fängelselagen (2010:610) tillämpas i fråga om personliga tillhörigheter, 2. 7 kap. 1–3 och 6–10 §§ fängelselagen tillämpas i fråga om besök och försändelser, och 3. 8 kap. 1–5, 7, 8–11 och 13 §§ fängelselagen tillämpas i fråga om kontroll- och tvångsåtgärder. 3. 8 kap. 2–5, 7, 8–11 och 13 §§ fängelselagen tillämpas i fråga om kontroll- och tvångsåtgärder. En kontroll- eller tvångsåtgärd enligt första stycket får endast användas om den står i rimlig proportion till syftet med åtgärden. Om en mindre ingripande åtgärd är tillräcklig ska den användas. Denna lag träder i kraft den 1 april 2026. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2025-10-27 Närvarande: F.d. justitierådet Mahmut Baran samt justitieråden Linda Haggren och Christine Lager En modern lagstiftning för Kriminalvårdens personuppgiftsbehandling Enligt en lagrådsremiss den 16 oktober 2025 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till 1. lag om ändring i lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område, 2. lag om ändring i fängelselagen (2010:610), 3. lag om ändring i kriminalvårdsdatalagen (2018:1235), 4. lag om ändring i lagen (2025:000) om verkställighet av fängelsestraff med elektronisk övervakning. Förslagen har inför Lagrådet föredragits av rättssakkunniga Victor Frost och Johanna Petersén Stark. Lagrådet lämnar förslagen utan erinran. Justitiedepartementet Utdrag ur protokoll vid regeringssammanträde den 13 november 2025 Närvarande: statsrådet Busch, ordförande, och statsråden Edholm, Strömmer, Forssmed, Tenje, Forssell, Wykman, Malmer Stenergard, Kullgren, Liljestrand, Carlson, Pourmokhtari, Rosencrantz, Larsson, Britz, Mohamsson, Lann Föredragande: statsrådet Strömmer Regeringen beslutar proposition En modern lagstiftning för Kriminalvårdens personuppgiftsbehandling