Post 4 av 732 träffar
Nya uppgifter för centrum mot våldsbejakande extremism
Ansvarig myndighet: Justitiedepartementet
Dokument: Prop. 46
Regeringens proposition
2024/25:46
Nya uppgifter för centrum mot våldsbejakande extremism
Prop.
2024/25:46
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 31 oktober 2024
Ulf Kristersson
Gunnar Strömmer
(Justitiedepartementet)
Propositionens huvudsakliga innehåll
Inom Brottsförebyggande rådet (Brå) finns ett nationellt centrum mot våldsbejakande extremism (CVE). Från den 1 mars 2025 ansvarar CVE för två nya uppgifter. Den första uppgiften är att vara kontaktpunkt för myndigheter och andra som fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter. Inom ramen för uppgiften som kontaktpunkt ska CVE kunna bistå med fördjupade granskningar av verksamheter som kan antas ha kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer. Den andra uppgiften är att ge behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar ärenden där det finns en oro för att en eller flera personer ska genomföra en skolattack.
Vid utförandet av de nya uppgifterna kommer mer information än i dag att behöva hanteras. För att möjliggöra en ändamålsenlig informationshantering som samtidigt så långt som möjligt skyddar den personliga integriteten, föreslår regeringen
en ny lag om viss personuppgiftsbehandling vid Brå
en ny bestämmelse om sekretess till skydd för enskilda vid Brå
en ny bestämmelse som möjliggör att få ut uppgifter från viss brottsbekämpande verksamhet, om de behövs i ett ärende om fördjupad granskning.
Den nya lagen och lagändringarna föreslås träda i kraft den 1 mars 2025.
Innehållsförteckning
1Förslag till riksdagsbeslut4
2Lagtext5
2.1Förslag till lag om viss personuppgiftsbehandling vid Brottsförebyggande rådet5
2.2Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)8
3Ärendet och dess beredning10
4Nationellt centrum mot våldsbejakande extremism får nya uppgifter11
4.1Nationellt centrum mot våldsbejakande extremism11
4.2Uppgiften att vara kontaktpunkt för den som fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter12
4.3Uppgiften att ge stöd till den som hanterar oro för en skolattack14
5Nya bestämmelser om sekretess vid Brottsförebyggande rådet14
5.1En ny sekretessbestämmelse vid Brottsförebyggande rådet15
5.2En ny sekretessbrytande bestämmelse21
6Nya bestämmelser om personuppgiftsbehandling vid Brottsförebyggande rådet28
6.1En ny lag om viss personuppgiftsbehandling vid Brottförebyggande rådet28
6.2Lagens tillämpningsområde och förhållandet till det allmänna dataskyddsregelverket29
6.3Personuppgiftsansvar31
6.4Ändamålsbestämmelser och finalitetsprincipen32
6.5Tillgången till personuppgifter34
6.6Känsliga personuppgifter och sökbegränsningar35
6.7Längsta tid för behandling av personuppgifter39
6.8Rätten att göra invändningar41
6.9Rätt att meddela föreskrifter42
6.10Andra aktörers personuppgiftsbehandling43
7Ikraftträdande- och övergångsbestämmelser46
8Konsekvenser47
9Författningskommentar51
9.1Förslaget till lag om viss personuppgiftsbehandling vid Brottsförebyggande rådet51
9.2Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)56
Sammanfattning av betänkandet Rätt mottagare – Granskning och integritet (SOU 2021:99)59
Betänkandets lagförslag67
Förteckning över remissinstanserna70
Sammanfattning av betänkandet Samhället mot skolattacker (SOU 2023:28)71
Betänkandets lagförslag74
Förteckning över remissinstanserna78
Lagrådets yttrande79
Utdrag ur protokoll vid regeringssammanträde den 31 oktober 202480
Förslag till riksdagsbeslut
Regeringens förslag:
Riksdagen antar regeringens förslag till lag om viss personuppgiftsbehandling vid Brottsförebyggande rådet.
Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).
Lagtext
Regeringen har följande förslag till lagtext.
Förslag till lag om viss personuppgiftsbehandling vid Brottsförebyggande rådet
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Brottsförebyggande rådet möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter vid Brottsförebyggande rådet när myndigheten
1. utför uppgiften att vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, och
2. ger behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar ärenden i vilka det finns en oro för att en eller flera personer ska genomföra en skolattack.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Förhållandet till annan reglering
3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till lagen.
Personuppgiftsansvar
5 § Brottsförebyggande rådet är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt denna lag.
Ändamål med personuppgiftsbehandlingen
6 § Personuppgifter får behandlas om det är nödvändigt för att Brottsförebyggande rådet ska kunna utföra någon av de uppgifter som anges i 2 §.
7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Personuppgifterna får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Tillgången till personuppgifter
8 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Behandling av känsliga personuppgifter
9 § Personuppgifter som avses i artikel 9.1 (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g i EU:s dataskyddsförordning endast om uppgifterna är nödvändiga för fullgörandet av någon av de uppgifter som anges i 2 §.
Sökbegränsningar
10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter som avses i artikel 10 i EU:s dataskyddsförordning.
Längsta tid som personuppgifter får behandlas
11 § Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
Personuppgifter som behandlas när Brottsförebyggande rådet utför den uppgift som anges i 2 § första stycket 2 får dock inte behandlas under längre tid än två år efter utgången av det kalenderår då uppgifterna behandlas första gången. Om nya uppgifter om oro för en skolattack rörande samma person behandlas före utgången av tidsfristen får de personuppgifter som redan finns om personen, om det är nödvändigt, fortsätta att behandlas så länge någon av uppgifterna får behandlas.
Första och andra styckena hindrar inte att Brottsförebyggande rådet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.
Rätten att göra invändningar
12 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Denna lag träder i kraft den 1 mars 2025.
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att det i offentlighets- och sekretesslagen (2009:400) ska införas två nya paragrafer, 35 kap. 10 e § och 40 kap. 7 f §, och närmast före 40 kap. 7 f § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
35 kap.
10 e §
Sekretessen enligt 1 § hindrar inte att en uppgift lämnas till Brottsförebyggande rådet när myndigheten utför uppgiften att vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive uppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, om uppgiften behövs i ett ärende om fördjupad granskning.
En uppgift får lämnas endast om intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
40 kap.
Viss verksamhet vid Brottsförebyggande rådet
7 f §
Sekretess gäller i verksamhet hos Brottsförebyggande rådet som avser uppgifterna att
1. vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive uppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, och
2. ge råd och annat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar en oro för skolattacker.
Sekretessen enligt första stycket gäller för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Denna lag träder i kraft den 1 mars 2025.
Ärendet och dess beredning
Regeringen beslutade i oktober 2020 att ge en särskild utredare i uppdrag att analysera frågor om personuppgiftsbehandling och sekretess i ärenden om stöd till det civila samhället, inklusive trossamfunden (dir. 2020:113). Genom tilläggsdirektiv i november samma år fick utredaren i uppdrag att även analysera och ta ställning till inrättande av en stödfunktion som ska kunna bistå myndigheter vid en fördjupad granskning av en bidragssökande organisation eller av annan offentligt finansierad verksamhet. I uppdraget ingick bl.a. att analysera behovet av bestämmelser om personuppgiftsbehandling för att en sådan stödfunktion ska kunna utföra sitt uppdrag samt behovet av bestämmelser som rör sekretess (dir. 2020:117).
Utredningen, som tog namnet Utredningen om granskning av stöd till civilsamhället, överlämnade i augusti 2021 delbetänkandet Rätt mottagare – Demokrativillkor och integritet (SOU 2021:66). Delbetänkandets lagförslag har lett till lagstiftning (prop. 2023/24:119, bet. 2023/24:KrU7, rskr. 2023/24:271). I december 2021 överlämnade utredningen slutbetänkandet Rätt mottagare – Granskning och integritet (SOU 2021:99). En sammanfattning av slutbetänkandet finns i bilaga 1. Betänkandets lagförslag finns i bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena finns tillgängliga på regeringens webbplats (regeringen.se) och i lagstiftningsärendet (Ju2022/03414).
Vidare beslutade regeringen i juni 2022 att ge en annan särskild utredare i uppdrag att utreda och lämna förslag till åtgärder för att förbättra arbetet med säkerhet i skolväsendet. I uppdraget ingick bl.a. att lämna förslag på hur det förebyggande arbetet mot våldsdåd i skolväsendet kan stärkas genom såväl nationella som lokala åtgärder samt att föreslå en lämplig organisering av lokala eller regionala operativa samverkansorgan (dir. 2022:86).
Utredningen, som tog namnet Skolsäkerhetsutredningen, överlämnade i juni 2023 delbetänkandet Samhället mot skolattacker (SOU 2023:28). En sammanfattning av betänkandet finns i bilaga 4. Betänkandets lagförslag finns i bilaga 5. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 6. Remissyttrandena finns tillgängliga på regeringens webbplats (regeringen.se) och i lagstiftningsärendet (Ju2023/02777).
I denna proposition behandlas lagförslagen i SOU 2021:99 och SOU 2023:28.
Lagrådet
Regeringen beslutade den 3 oktober 2024 att inhämta Lagrådets yttrande över lagförslag som överensstämmer med lagförslagen i denna proposition. Lagrådets yttrande finns i bilaga 7. Lagrådet lämnar förslagen utan erinran.
Nationellt centrum mot våldsbejakande extremism får nya uppgifter
Nationellt centrum mot våldsbejakande extremism
Inom Brottsförebyggande rådet (Brå) finns sedan den 1 januari 2018 ett nationellt centrum mot våldsbejakande extremism (CVE). CVE ska från i huvudsak kriminalpolitiska utgångspunkter stärka och utveckla det förebyggande arbetet mot våldsbejakande extremism. Detta sker genom att främja utvecklingen av förebyggande arbete på nationell, regional och lokal nivå, verka för en högre grad av samordning och effektivitet i det förebyggande arbetet, ge behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar frågor om förebyggande av våldsbejakande extremism, samla och sprida kunskap om förebyggande av våldsbejakande extremism baserad på forskning och beprövad erfarenhet samt verka för en kunskapsbaserad praktik (hittillsvarande 7 § förordningen [2016:1201] med instruktion för Brottsförebyggande rådet, fortsättningsvis instruktionen för Brå).
Utöver dessa uppgifter föreslås i betänkandet Rätt mottagare – Granskning och integritet (SOU 2021:99) att CVE ska vara kontaktpunkt för myndigheter och andra beslutsfattare som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter. I detta ingår bl.a. att i vissa fall bistå med fördjupade granskningar av verksamheter som kan antas ha kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer. Vidare föreslås i betänkandet Samhället mot skolattacker (SOU 2023:28) att CVE i vissa fall ska ge stöd till kommuner, myndigheter och andra aktörer som hanterar oro för att en eller flera personer ska genomföra en skolattack. Regeringen beslutade den 3 oktober 2024 om ändringar i instruktionen för Brå som innebär att CVE fr.o.m. den 1 mars 2025 både ska vara en sådan kontaktpunkt och ge sådant stöd gällande skolattacker som föreslagits i betänkandena (se 7 b och 7 c §§). Ändringarna innebär också att det är CVE som ansvarar för att, i samarbete med myndigheten i övrigt, utföra dessa uppgifter (se 7 § i den lydelse som träder i kraft den 1 mars 2025).
För att kunna utföra de nya uppgifterna på ett effektivt sätt bedömer utredningarna att CVE kommer att behöva hantera mer information än i dag. Det innebär både att det kan behövas ökade möjligheter att få del av uppgifter som i vissa fall kan vara sekretessbelagda och att det kan behövas nya bestämmelser om sekretess. Dessutom kommer den behandlade informationen regelmässigt innehålla personuppgifter, varför det även måste säkerställas att det finns en ändamålsenlig personuppgiftsreglering när de nya uppgifterna utförs.
Som en bakgrund till överväganden om sekretess och personuppgiftsbehandling i denna proposition redogörs inledningsvis för innebörden av de båda nya uppgifterna.
Uppgiften att vara kontaktpunkt för den som fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter
En av de nya uppgifter som CVE ansvarar för fr.o.m. den 1 mars 2025 rör stöd vid fördelning av offentliga medel eller annan granskning av offentligt finansierade verksamheter. I instruktionen för Brå anges att CVE ska vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter. Inom ramen för denna uppgift ska myndigheten, i fall som regleras särskilt, bistå med fördjupade granskningar av verksamheter som kan antas ha kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer (7 c §). När det i propositionen refereras till kontaktpunktsuppgiften eller kontaktpunktsverksamheten är det denna uppgift som avses.
De aktörer som CVE är kontaktpunkt för är alltså både myndigheter (såväl statliga som kommunala) och andra aktörer, under förutsättning att dessa har ett myndighetsuppdrag att antingen fördela offentliga medel eller på annat sätt granska offentligt finansierade verksamheter. Ett exempel på en annan sådan aktör med ett relevant myndighetsuppdrag är Folkbildningsrådet, som bl.a. beslutar om statsbidrag och fördelar tillgängliga medel till folkhögskolor, studieförbund och studerandeorganisationer inom folkhögskolan enligt förordningen (2015:218) om statsbidrag till folkbildningen. Den som tar emot ett sådant statsbidrag och sedan fördelar vidare medlen kan däremot inte få bistånd med fördjupade granskningar av bidragssökande organisationer, om vidarefördelningen inte görs i enlighet med ett myndighetsuppdrag. Det innebär t.ex. att de studieförbund som tar emot statsbidrag efter beslut av Folkbildningsrådet inte kan vända sig till CVE för stöd om dessa i sin tur avser att fördela vidare statsbidragen. Att aktörer som har i uppdrag att på annat sätt (än för fördelning av offentliga medel) granska offentligt finansierade verksamheter anges, innebär att även myndigheter som t.ex. ger tillstånd eller godkännanden till enskilda att bedriva viss verksamhet som berättigar till offentlig finansiering, eller bedriver tillsyn över sådan verksamhet, kan vända sig till CVE. Det gäller exempelvis Statens skolinspektion som handlägger ärenden om godkännande av enskild som skolhuvudman och också bedriver tillsyn över dessa.
Huvuduppgiften för CVE inom ramen för kontaktpunktsuppgiften är att bistå med fördjupade granskningar av verksamheter som kan antas ha kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer. I förordningen om vissa fördjupade granskningar som utförs av Brottsförebyggande rådet – som träder i kraft samtidigt som ändringarna i instruktionen för Brå – regleras i vilka fall sådana granskningar ska utföras. Bestämmelserna innebär att CVE, på begäran av en sådan myndighet eller ett sådant annat beslutsorgan som avses i 7 c § instruktionen för Brå, ska göra en fördjupad granskning av en verksamhet som ansöker om, tar del av eller kan komma att ta del av, offentliga medel. Detta gäller om det i ett ärende finns anledning att anta att den aktuella verksamheten förhåller sig till våldsbejakande extremism eller andra antidemokratiska miljöer på ett sätt som ger myndigheten eller beslutsorganet skäl att vidta åtgärder. Av förordningen följer även att begäran om bistånd ska vara motiverad och innehålla de konkreta omständigheter som medför att myndigheten eller beslutsorganet begär bistånd, att den fördjupade granskningen ska avse de omständigheter som är relevanta för bedömningen av ärendet och att CVE ska lämna ett yttrande över utförd granskning.
Granskningen kan alltså avse verksamheter som ansöker om eller tar del av offentliga medel. Det innebär att exempelvis en civilsamhällesorganisation kan granskas både då den ansöker om bidrag från det allmänna och i ett senare skede, även efter att utbetalningen av medel är avslutad. Dessutom kan den som tar del av offentliga medel för drivande av viss verksamhet granskas. Att granskningen även kan avse verksamheter som kan komma att ta del av offentliga medel innebär att granskningen också kan avse den som ansöker om exempelvis ett tillstånd eller godkännande att bedriva viss verksamhet som, när den startats, kommer att berättiga till offentlig finansiering, såsom ett godkännande som enskild skolhuvudman.
Det är alltså fråga om ett stort antal olika verksamheter som kan bli föremål för granskning. Att det är en verksamhet som ska granskas innebär att CVE inte ska utreda ärenden som avser enskilda personer, men inom ramen för granskningen av en verksamhet kommer det i många fall bli aktuellt att bedöma enskilda och deras agerande och kopplingar. Det kan t.ex. gälla företrädare för verksamheten eller dess ägare. Det betyder att CVE även inom ramen för kontaktpunktsuppgiften regelmässigt kommer att behöva hantera personuppgifter och dessutom känsliga sådana.
Uppgifterna kan komma till CVE från flera håll. De kan inledningsvis komma från det beslutsorgan som begär bistånd med fördjupad granskning. Om det i begäran inte kan visas att det finns anledning att anta att den aktuella verksamheten förhåller sig till våldsbejakande extremism eller andra antidemokratiska miljöer på ett sätt som ger beslutsorganet skäl att vidta särskilda åtgärder, så har CVE ingen skyldighet att inleda någon fördjupad granskning. Inom ramen för granskningen kan det vara så att CVE behöver inhämta uppgifterna från andra myndigheter, utöver den inhämtning som sker genom öppna källor. Det måste därför säkerställas att beslutsorganen och andra myndigheter har tillräckliga möjligheter att lämna uppgifter, i vissa fall även sekretessbelagda sådana, till CVE.
Granskningen avslutas med att CVE lämnar ett yttrande. Det är inte CVE som beslutar i de ärenden som föranlett begäran om särskild granskning, utan det ansvaret ligger helt och hållet på respektive beslutsorgan. Det är också så att yttrandet bara är en del av det samlade beslutsunderlaget. Den granskade verksamheten ska i regel av beslutsorganet ges möjlighet att bemöta de uppgifter som framkommer i yttrandet. CVE kommer i sina yttranden därför inte att lämna några rekommendationer om hur beslutsorganet exempelvis bör bedöma frågan om en granskad verksamhet uppfyller ett demokrativillkor. I stället ska yttrandet innehålla de uppgifter som är relevanta för beslutsorganets bedömning. Den informationen kan behöva innehålla både personuppgifter och uppgifter som kan omfattas av sekretess. Det behöver alltså i propositionen göras överväganden även i fråga om CVE:s möjligheter att lämna ut information som innehåller personuppgifter eller i övrigt känsliga uppgifter.
Uppgiften att ge stöd till den som hanterar oro för en skolattack
Den andra av de nya uppgifter som CVE ansvarar för rör stöd vid oro för skolattacker. I instruktionen för Brå anges att myndigheten ska ge behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar ärenden i vilka det finns en oro för att en eller flera personer ska utföra en skolattack (7 b §).
Alla typer av aktörer som i sin verksamhet hanterar ärenden i vilka det finns en oro för skolattacker kan alltså vända sig till CVE för stöd. Det kan t.ex. handla om kommunala eller fristående skolor, socialtjänsten eller hälso- och sjukvården. En förutsättning är att det rör sig om en oro för att någon ska utföra just en skolattack. Även om begreppet skolattack inte har någon entydig definition står det klart att det endast avser det allvarligaste av det våld som kan äga rum inom skolans område (se SOU 2023:28 s. 39–41). Med skola avses här hela skolväsendet.
Något krav på att oron ska ha uppnått viss grad av konkretion ställs inte. Det innebär att stödet i vissa fall kommer att kunna ges utan att CVE behöver hantera uppgifter om någon identifierad person, t.ex. i form av mer allmänna kunskaper och erfarenheter eller mer allmänt processtöd. I andra fall, exempelvis då uppgifter om en viss persons historik är relevant eller då CVE medverkar vid samverkansmöten mellan flera aktörer gällande en viss person, kommer CVE för att kunna utföra sin uppgift på ett effektivt sätt behöva hantera personuppgifter och dessutom känsliga sådana.
Det kan alltså röra sig om flera olika typer av stöd som CVE bidrar med och någon uttömmande uppräkning kan inte göras. Det bör dock framhållas att det under alla förhållanden handlar om just stöd – CVE kan aldrig överta ansvar eller myndighetsutövning från någon annan aktör. Inrättandet av stödverksamheten innebär inte att man tar över någon uppgift från Polismyndigheten eller Säkerhetspolisen, eller att behovet, eller skyldigheten, för de berörda aktörerna att kontakta Polismyndigheten eller Säkerhetspolisen vid oro för skolattacker minskar. En annan sak är att det i många fall kan finnas anledning för CVE att samverka även med Polismyndigheten eller Säkerhetspolisen, som en av flera inblandade aktörer i ett ärende.
Nya bestämmelser om sekretess vid Brottsförebyggande rådet
I avsnitt 4 redogörs för de två nya uppgifter som CVE ansvarar för – att vara kontaktpunkt för den som fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter och att ge stöd till den som hanterar oro för en skolattack. För att kunna utföra uppgifterna kommer information som i vissa fall kan innehålla känsliga uppgifter att behöva behandlas. Det bör därför övervägas om det finns skäl att införa en ny sekretessbestämmelse för sådana uppgifter.
Delar av informationen som kommer att behandlas är sådana som kan inhämtas från öppna källor. För att kunna utföra sina nya uppgifter kommer CVE emellertid även att behöva ta emot eller inhämta uppgifter från andra myndigheter och från enskilda aktörer som utför myndighetsuppdrag. Uppgifterna kan vara sekretessbelagda och det bör därför även övervägas om det finns skäl att införa en ny sekretessbrytande bestämmelse som möjliggör mottagandet av sådana uppgifter.
En ny sekretessbestämmelse vid Brottsförebyggande rådet
Regeringens förslag: Sekretess ska gälla i verksamhet hos Brå som avser uppgifterna att
1. vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive uppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, och
2. ge råd och annat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar en oro för skolattacker.
Sekretessen ska gälla för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. För uppgift i en allmän handling ska sekretessen gälla i högst sjuttio år.
Regeringens bedömning: Rätten att meddela och offentliggöra uppgifter bör ha företräde framför den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen.
Det behövs inte någon ny sekretessbestämmelse till skydd för allmänna intressen.
Utredningen om stöd till civilsamhällets förslag och bedömning överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för kontaktpunktsuppgiften. Utredningens förslag har dock en annan redaktionell och språklig utformning.
Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det.
Tidningsutgivarna avstyrker i första hand förslaget om en ny sekretessbestämmelse till skydd för enskilda och förordar i andra hand en sekretessbestämmelse med rakt skaderekvisit. Brottsförebyggande rådet ställer frågan om inte den föreslagna bestämmelsen i hög grad kommer att försvåra innehållet i de yttranden som CVE ska lämna till beslutsorganet, och Länsstyrelsen i Stockholms län efterfrågar en sekretessbrytande bestämmelse mellan CVE och beslutsorganen. Flera remissinstanser lyfter frågor om hur beslutsorganen ska omhänderta CVE:s yttranden över utförda granskningar, däribland Helsingborgs stad och Sveriges Kommuner och Regioner som särskilt anser att uppgifter som är sekretessbelagda hos CVE och som ingår i ett yttrande bör vara sekretessbelagda även hos det beslutsorgan som tar emot detta. Kammarrätten i Jönköping anser att det bör övervägas om sekretessen även ska gälla till skydd för närstående till den enskilde. Statens skolinspektion påpekar att CVE:s yttrande kan komma att ligga till grund för en inspektion och att det är av vikt att uppgifterna i yttrandet kan omfattas av sekretess även hos CVE för att inte påverka förutsättningarna för en sådan inspektion negativt.
Skolsäkerhetsutredningens förslag och bedömning överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningens förslag har dock en annan redaktionell och språklig utformning.
Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det.
Idéburna skolors riksförbund och Integritetsskyddsmyndigheten delar bedömningen att meddelarfrihet inte ska gälla vid CVE. Journalistförbundet och Tidningsutgivarna anser att skaderekvisitet bör vara rakt samt tillstyrker att meddelarfrihet ska gälla. Tidningsutgivarna ifrågasätter vidare att sekretessen ska omfatta ekonomiska förhållanden. Sveriges elevkårer och Sveriges elevråd, som tillstyrker förslaget, betonar särskilt vikten av ett omvänt skaderekvisit. Kammarrätten i Stockholm anser att det bör övervägas om sekretessen även ska gälla till skydd för närstående till den enskilde.
Skälen för regeringens förslag och bedömning
CVE kommer utifrån sina nya uppgifter att behöva hantera integritetskänsliga uppgifter om enskilda
CVE kommer inom ramen för uppgiften som kontaktpunkt att bistå myndigheter och vissa andra beslutsorgan med fördjupade granskningar av verksamheter för att utreda om dessa har för beslutsorganet relevanta kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer. För att CVE ska kunna utföra sådana granskningar kommer centrumet behöva hantera uppgifter om de verksamheter som ska granskas. Det kan röra sig om uppgifter om verksamhetens regelbundna arbete eller arrangemang som den har anordnat, eller om andra organisationer som verksamheten samarbetar med eller stöder. Uppgifterna kan även komma att gälla verksamhetens ekonomiska förhållanden, exempelvis uppgifter om kostnader för verksamheten eller att den har stött någon annan organisation ekonomiskt. Eftersom de verksamheter som blir aktuella att granska i många fall kommer att bedriva verksamheter som är politiskt eller religiöst motiverade kommer även uppgifter om politiska och religiösa inriktningar och samarbeten att behöva behandlas.
Även om de fördjupade granskningarna avser verksamheterna så kommer CVE regelmässigt att behöva hantera uppgifter om enskilda personer som är verksamma i dessa. Det kan gälla ägare eller företrädare när beslutsorganet genomför ägar- och ledningsprövningar av offentligt finansierade verksamheter, men även företrädare eller andra enskilda vid prövningar av verksamheter som ansöker om eller tar del av t.ex. offentligt stöd till civilsamhället. Förutom att uppgifterna kan avse en enskilds kopplingar till våldsbejakande extremism kan det också vara fråga om uppgifter som avslöjar personens åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Dessutom kan uppgifter om begångna eller misstänkta brott behöva behandlas.
Vid sidan av de fördjupade granskningarna kan det också förväntas att CVE som kontaktpunkt kommer att få in uppgifter som saknar koppling till ett konkret ärende – t.ex. från allmänheten, medier eller andra myndigheter – men som kan innehålla uppgifter om enskildas personliga förhållanden av integritetskänslig karaktär.
Även inom ramen för sin uppgift att ge stöd vid oro för skolattacker kommer CVE att behöva hantera uppgifter om enskilda personer som kan vara mycket integritetskänsliga. Det kan t.ex. röra sig om information om grupperingar, uttryck för våldsfascination, bilder eller inlägg i sociala medier och videomaterial som kan innehålla hot om brottslighet, men också om uppgifter av ytterst personlig karaktär såsom uppgifter om psykisk ohälsa, skolgång, hemförhållanden eller insatser från socialtjänsten. Även här kan det vara fråga om uppgifter om en enskilds kopplingar till våldsbejakande extremism och uppgifter som exempelvis avslöjar en persons religiösa eller politiska övertygelse.
Det behövs en ny sekretessbestämmelse till skydd för vissa uppgifter om enskilda
Åtskilliga av de uppgifter som CVE kommer att behöva behandla inom ramen för uppgifterna att vara kontaktpunkt och att ge stöd vid oro för skolattacker är alltså sådana att ett utlämnande kan få konsekvenser för enskilda, både fysiska personer och de verksamheter som granskas. Den gällande sekretessbestämmelse som skulle kunna tillämpas är den generella bestämmelsen om sekretess till skydd för uppgift om enskilds personliga förhållanden i 21 kap. 1 § offentlighets- och sekretesslagen, förkortad OSL, men den är begränsad till uppgifter som rör en enskilds hälsa eller sexualliv och är dessutom enbart tillämplig om det kan antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. Regeringen delar utredningarnas bedömning att detta skydd inte är tillräckligt. Någon befintlig sekretessbestämmelse som tar sikte på uppgifter i CVE:s verksamhet finns alltså inte. Det behövs därför en ny sekretessbestämmelse som skyddar vissa uppgifter om enskilda i sådan verksamhet som sker inom ramen för uppgifterna att vara kontaktpunkt och att ge stöd vid oro för skolattacker.
Att det, som Tidningsutgivarna påtalar, finns ett tydligt intresse av transparens och insyn i vilka verksamheter som får del av offentliga medel och att medlen fördelas i enlighet med de villkor som följer av gällande reglering, påverkar inte denna bedömning. CVE fattar inte några beslut i de ärenden som föranlett särskilda granskningar, utan det är en uppgift för de beslutsorgan som tar emot ett yttrande. I vilken utsträckning insyn är möjlig i beslutsorganens verksamhet är inte något som påverkas av den föreslagna sekretessbestämmelsen. Regeringen anser nämligen, till skillnad från Helsingborgs stad och Sveriges Kommuner och Regioner, att det inte finns tillräckliga skäl att nu föreslå en reglering som också skulle innebära att uppgifter som är sekretessbelagda hos CVE och som ingår i ett yttrande blir sekretessbelagda även hos det beslutsorgan som tar emot detta. Sekretessintresset måste i varje sammanhang vägas mot intresset av insyn hos myndigheterna och offentlighetsintresset kan kräva att uppgifter som är hemliga hos en myndighet är offentliga hos en annan (prop. 1979/80:2 del A s. 75–76). Att CVE har fått i uppgift att bistå med fördjupade granskningar innebär i sig inte att de beslutsorgan som kan vända sig till CVE har ålagts några nya uppgifter eller att de ska tillämpa några nya eller ändrade villkor för fördelning av offentliga medel eller beviljande av sådana tillstånd eller godkännanden som i förlängningen berättigar till offentlig finansiering. I de fall som en verksamhets koppling till våldsbejakande extremism eller andra antidemokratiska miljöer kan ha betydelse för beslutsorganets hantering är det alltså redan i dag beslutsorganets uppgift att utreda sådana eventuella kopplingar. I vilken utsträckning de uppgifter som beslutsorganet behöver hantera inom ramen för ett sådant ärende – oavsett om de kommit beslutsorganet till del genom CVE:s yttrande eller på annat sätt – bör kunna sekretessbeläggas bedöms lämpligen i samband med att den reglering som respektive beslutsorgan har att tillämpa är föremål för ändringar eller andra överväganden, alternativt när ett beslutsorgan åläggs en ny sådan uppgift som innebär att man kan begära bistånd från CVE. Det kan t.ex. noteras att regeringen i propositionen Statens stöd till trossamfund och civilsamhället – enhetliga och rättssäkra villkor (prop. 2023/24:119) bedömde att ett demokrativillkor bör gälla för statlig bidragsgivning som riktar sig till civilsamhället, om det inte är obehövligt, och som en följd av detta också föreslog en ny sekretessbestämmelse till skydd för uppgifter om enskildas personliga förhållanden i ärenden om statligt reglerat stöd till civilsamhället som omfattas av ett demokrativillkor. Riksdagen har beslutat i enlighet med regeringens förslag (bet. 2023/24:KrU7, rskr. 2023/24:271) och reglerna träder i kraft den 1 januari 2025.
Det bör även nämnas att regeringen i avsnitt 5.2 föreslår en sekretessbrytande bestämmelse som möjliggör för CVE att få uppgifter från vissa brottsbekämpande verksamheter. Den innebär att CVE:s yttranden kan komma att innehålla uppgifter som det mottagande beslutsorganet annars inte hade kunnat få del av, vilket kan väcka frågan om i vart fall inte sådana uppgifter bör vara sekretessbelagda hos beslutsorganet i samma utsträckning som hos CVE. Som framgår i avsnitt 5.2 anser regeringen emellertid att det faktum att uppgifterna kan komma att tas in i CVE:s yttrande i stället är något som den utlämnande myndigheten ska beakta vid den intresseavvägning som ska göras enligt den sekretessbrytande bestämmelsen.
Utformningen av den nya sekretessbestämmelsen
Den givna utgångspunkten när en sekretessbestämmelse utformas är att en begränsning av rätten att ta del av allmänna handlingar inte ska gå utöver vad som är motiverat med hänsyn till de intressen som sekretessen avser att skydda. Dessutom ska sekretessbestämmelser utformas så specifikt som möjligt när det gäller både sekretessens föremål och dess räckvidd, dvs. vilka uppgifter som bestämmelsen skyddar och vilken typ av ärenden eller verksamheter som den är tillämplig i.
Det kan vara fråga om en stor mängd uppgifter av varierande slag som kommer att behandlas i kontaktpunktsverksamheten och inom ramen för uppgiften att ge stöd vid oro för skolattacker. Detta innebär att det är svårt att på förhand avgränsa sekretessens föremål alltför mycket utan att samtidigt riskera att skyddsvärda uppgifter faller utanför bestämmelsens tillämpningsområde. Som utredningarna föreslår bör bestämmelsen därför gälla uppgifter om en enskilds personliga och ekonomiska förhållanden. Även om, som Tidningsutgivarna påtalar, uppgiftshanteringen inom ramen för stödverksamheten vid oro för skolattacker inte i första hand kommer att omfatta ekonomiska förhållanden delar regeringen nämligen Skolsäkerhetsutredningens bedömning att en begränsning av sekretessen i dessa fall till enbart personliga förhållanden skulle innebära en risk för att uppgifter av känslig natur faller utanför bestämmelsens tillämpningsområde. Det är angeläget att sådana uppgifter ges ett tillräckligt skydd. Däremot har det enligt regeringens mening inte framkommit tillräckliga skäl för att låta bestämmelsen gälla även till skydd för närstående till den enskilde, vilket Kammarrätten i Jönköping och Kammarrätten i Stockholm anser bör övervägas.
Något skäl för att låta bestämmelsen vara tillämplig utanför verksamhet som sker inom ramen för uppgifterna att vara kontaktpunkt och att ge stöd vid oro för skolattacker har inte framkommit. Den bör därför begränsas till att gälla uppgifter i dessa specifika verksamheter, och eftersom CVE ansvarar för att utföra uppgifterna i samarbete med myndigheten i övrigt bör det anges att den gäller i sådan verksamhet hos Brå. Det kan i detta sammanhang noteras att sekretessbestämmelsens tillämpningsområde och det sätt på vilket Brå i dag är organiserat enligt regeringens bedömning innebär att CVE inte kan anses utgöra en i offentlighets- och sekretesslagens mening självständig verksamhetsgren.
Både Tidningsutgivarna och Journalistförbundet anser att sekretessbestämmelsen bör ha ett s.k. rakt skaderekvisit, dvs. att sekretess endast ska gälla om det kan antas att den enskilde lider men eller skada om uppgiften röjs. En sådan utformning med presumtion för offentlighet är den vanliga när det gäller sekretessbestämmelser till skydd för uppgifter om enskilda i verksamheter som avser myndighetsutövning. CVE kommer emellertid inte att ägna sig åt myndighetsutövning inom ramen för någon av de nya uppgifterna då det rör sig om rena stöduppgifter. Med detta i särskilt beaktande, och med hänsyn till de mycket integritetskänsliga uppgifter som det regelmässigt kommer att röra sig om, delar regeringen utredningarnas bedömning att sekretess i stället bör gälla om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. Däremot anser regeringen att det inte framkommit tillräckligt starka skäl för att inskränka rätten att meddela och offentliggöra uppgifter, såsom Idéburna skolors riksförbund och Integritetsskyddsmyndigheten förespråkar. Någon ändring i 40 kap. 8 § OSL behöver alltså inte göras.
Brottsförebyggande rådet ställer frågan om inte en presumtion för sekretess kommer att försvåra innehållet i de yttranden som CVE ska lämna till beslutsorganet efter en fördjupad granskning, och Länsstyrelsen i Stockholms län efterfrågar av samma skäl en sekretessbrytande bestämmelse mellan CVE och beslutsorganen. Sekretess hindrar inte att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet (se 10 kap. 2 § OSL). Enligt 3 § förordningen om vissa fördjupade granskningar som utförs av Brottsförebyggande rådet ska en fördjupad granskning innehålla den utredning som är relevant för bedömningen av ärendet och CVE ska lämna ett yttrande över granskningen. Detta innebär att CVE (dvs. myndigheten Brå) inte kommer att kunna fullgöra sin verksamhet om sekretessbelagda uppgifter som är relevanta för bedömningen av ärendet vid beslutsorganet inte kan tas in i yttrandet över granskningen. Som Utredningen om granskning av stöd till civilsamhället anger bör därför relevanta uppgifter som är sekretessbelagda kunna tas in i yttrandet över granskningen med stöd av 10 kap. 2 § OSL. Regeringen gör därför bedömningen att en presumtion för sekretess inte kommer att försvåra innehållet i de yttranden som CVE ska lämna och att det därmed inte heller finns skäl att införa någon sekretessbrytande bestämmelse mellan CVE och beslutsorganen.
En sekretessbestämmelse bör innehålla en yttersta begränsning i tid. När det gäller sekretess till skydd för enskildas personliga förhållanden är sekretesstiden i regel bestämd till högst sjuttio år med utgångspunkt i att sekretessen bör gälla under större delen av den enskildes livstid (se prop. 1979/80:2 del A s. 459–460 och 493–494). Detta gör sig gällande även för uppgifter om personliga förhållanden i nu aktuella verksamheter. Inom ramen för uppgiften att ge stöd vid oro för skolattackerna kommer de känsliga uppgifterna i de allra flesta fall att röra barn och unga och i verksamheten som kontaktpunkt kommer regelmässigt civilsamhällesorganisationer som helt eller delvis bedriver verksamhet som riktar sig mot barn och unga att granskas. Sekretesstiden för uppgifter om enskildas personliga förhållanden bör därför bestämmas till sjuttio år. Som Skolsäkerhetsutredningen föreslår bör sekretesstiden vara densamma för uppgifter om enskildas ekonomiska förhållanden.
Sekretessbestämmelsen bör införas i 40 kap. OSL som reglerar sekretess till skydd för enskild hos övriga myndigheter och i övriga verksamheter.
Det behövs ingen sekretessreglering till skydd för allmänna intressen
Statens skolinspektion påpekar att CVE:s yttrande över en fördjupad granskning kan komma att ligga till grund för en inspektion och att det därför är av vikt att uppgifterna i yttrandet kan omfattas av sekretess även hos CVE. I 17 kap. 1 § OSL finns en bestämmelse om sekretess vid förberedelser för inspektion, revision eller annan granskning. Regeringen utesluter inte att den bestämmelsen skulle kunna bli tillämplig på uppgifter i CVE:s yttrande. Oavsett hur det förhåller sig med detta kan det konstateras att CVE:s skyldighet att lämna ett yttrande över sin granskning endast gäller i förhållande till det begärande beslutsorganet. I den mån yttrandet innehåller sekretessbelagda uppgifter kan CVE alltså endast lämna ut dessa till beslutsorganet, inte till den verksamhet som granskats. Det saknas dessutom skäl för CVE att i samband med att yttrandet lämnas expediera detta till den granskade verksamheten – som inte är part i något ärende vid CVE – även om yttrandet inte innehåller några sekretessbelagda uppgifter eller om sekretessen gäller till förmån enbart för verksamheten. Om ett yttrande från CVE föranleder åtgärder från beslutsorganet som bör vidtas innan den granskade verksamheten tagit del av innehållet i yttrandet, finns i praktiken alltså sådana möjligheter om beslutsorganet agerar skyndsamt. Det kan dessutom förväntas att denna situation uppkommer endast i begränsad utsträckning. Det finns därför enligt regeringen inte tillräckliga skäl för att nu motivera en ny sekretessbestämmelse med syfte att underlätta beslutsorganens eventuella efterföljande inspektioner. Inte heller i övrigt finns behov av sekretess vid CVE till skydd för allmänna intressen.
En ny sekretessbrytande bestämmelse
Regeringens förslag: Sekretess för uppgift om en enskilds personliga och ekonomiska förhållanden enligt 35 kap. 1 § OSL ska inte hindra att en uppgift lämnas till Brå om uppgiften behövs i ett ärende om fördjupad granskning.
En uppgift ska få lämnas endast om intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Regeringens bedömning: Det finns i övrigt inte skäl att införa några nya sekretessbrytande bestämmelser.
Utredningen om stöd till civilsamhällets förslag och bedömning överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för kontaktpunktsuppgiften. Utredningens förslag har dock en annan redaktionell och språklig utformning.
Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det. Tidningsutgivarna, som tillstyrker förslaget, anser att den intresseavvägning som anges är densamma som redan finns i den sekretessbrytande bestämmelsen i 10 kap. 27 § OSL och ställer sig därför frågande till om förslaget innebär någon skillnad jämfört med vad som redan gäller. Flera remissinstanser, såsom Lunds kommun och Statens skolinspektion, lyfter vikten av att CVE kan dela med sig av relevant information som antingen framkommit i en granskning eller som annars kommit CVE till del i dess kontaktpunktsverksamhet, till fler beslutsorgan än det som begärt en specifik granskning. Inspektionen för vård och omsorg efterfrågar bl.a. en skyldighet för CVE och/eller Säkerhetspolisen att på eget initiativ underrätta inspektionen när de upptäcker närvaro av eller koppling till våldsbejakande extremism eller andra antidemokratiska miljöer i verksamheter som står under inspektionens tillståndsprövning och tillsyn.
Skolsäkerhetsutredningens bedömning överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningens förslag har dock en annan redaktionell och språklig utformning.
Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det.
Flera remissinstanser lämnar synpunkter som rör möjligheterna för berörda aktörer att lämna relevanta sekretessbelagda uppgifter om enskilda till CVE. Nacka kommun och Region Kronoberg lyfter svårigheterna för socialtjänsten och hälso- och sjukvården att vända sig till stödverksamheten i individärenden, eftersom dessa inte kan inte kan använda sig av den sekretessbrytande bestämmelsen i 10 kap. 27 § OSL. Även Riksföreningen för skolsköterskor och Statens skolverk anser att det finns en osäkerhet kring sekretessfrågan och att det därför behövs ett förtydligande av lagstiftningen, och Göteborgs stad betonar vikten av att informationsdelning inte hindras av att det råder osäkerhet kring vilken information som kan lämnas ut och inte.
Även frågor om möjligheterna för CVE att dela med sig av sekretessbelagda uppgifter lyfts av flera remissinstanser. Kammarrätten i Stockholm anser att det bör utvecklas om, och i så fall med vilket rättsligt stöd, CVE ska utbyta information med exempelvis den uppgiftslämnande myndigheten eller andra aktörer. Ystads kommun påtalar att olika funktioner och myndigheter kan söka stöd av CVE utan varandras vetskap och att CVE behöver ges ett mandat att avgöra när uppgiftsdelning mellan t.ex. olika myndigheter är nödvändigt. Även Polismyndigheten anser att det behövs lättnader i sekretesslagstiftningen för att nå en effektiv samverkan kring enskilda individer. Idéburna skolors riksförbund anser att frågan om CVE:s möjligheter att göra polisanmälan eller anmälan till socialnämnden, vid misstanke eller kännedom om brott respektive att ett barn far illa, bör övervägas.
Några remissinstanser resonerar om den särskilda frågan om tystnadsplikten vid enskild skolverksamhet. Friskolornas riksförbund anser att det råder osäkerhet om fristående skolors möjligheter att dela uppgifter med stöd av analogier från sekretessbrytande bestämmelser i OSL och efterfrågar förtydliganden i lagstiftningen. Statens skolverk anser att tystnadsplikten i princip är densamma inom såväl enskilt som offentligt bedriven skolverksamhet.
Skälen för regeringens förslag och bedömning
Det behövs en ny sekretessbrytande bestämmelse för att CVE ska kunna utföra fördjupade granskningar
Som framgår av avsnitt 5.1 kommer CVE i sin roll som kontaktpunkt att behöva ha tillgång till viss information. När en särskild granskning ska göras kommer de första uppgifterna att komma från det beslutsorgan som begärt granskningen. I regel kommer det att vara uppgifter från ett grundärende vid beslutsorganet, framför allt uppgifter ur ansökningshandlingar samt de uppgifter som har gjort att beslutsorganet bedömer att det finns anledning att anta att den aktuella verksamheten förhåller sig till våldsbejakande extremism eller andra antidemokratiska miljöer på ett sådant sätt som ger skäl att vidta särskilda åtgärder. Som Utredningen om granskning av stöd till civilsamhället konstaterar kommer sannolikt en stor del av dessa uppgifter att vara offentliga. I de fall det ändå rör sig om uppgifter som är sekretessbelagda vid beslutsorganet kommer, enligt regeringens bedömning, den sekretessbrytande bestämmelsen i 10 kap. 2 § OSL att kunna användas för att inkludera även sekretessbelagda uppgifter i begäran. Sekretess hindrar nämligen inte att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. I förarbetena till bestämmelsen nämns t.ex. att en myndighet kan vara tvungen att lämna hemlig information till en annan myndighet som grund för ett remissyttrande och att det i vissa fall kan vara nödvändigt för en tjänsteman att lämna sekretesskyddade uppgifter till en utomstående expert (prop. 1979/80:2 del A s. 122). Dessa situationer liknar den då ett beslutsorgan – som i regel kommer att ha begränsad egen kompetens i frågor om våldsbejakande extremism och andra antidemokratiska miljöer – behöver stöd från CVE med en fördjupad granskning. Skulle bestämmelsen inte kunna användas, kan frågan om utlämnande av sekretessbelagda uppgifter från beslutsorganet även prövas enligt den s.k. generalklausulen i 10 kap. 27 § OSL. Generalklausulen möjliggör utlämnanden av sekretessbelagda uppgifter till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Sammantaget finns därför inte skäl att föreslå någon sekretessbrytande bestämmelse som tar sikte på uppgiftslämnande mellan beslutsorganen och CVE.
Under den särskilda granskningen kommer CVE sedan att behöva ytterligare information om den granskade verksamheten. Sådana uppgifter kommer i stor utsträckning att kunna inhämtas från öppna källor, men CVE kan även behöva vända sig till andra myndigheter. De fördjupade granskningarna kan gälla ett brett spektrum av verksamheter och de eventuella kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer som ska utredas kommer att skilja sig från ett ärende till ett annat. Det är därför inte möjligt att med säkerhet uttala sig om vilka myndigheter som CVE kan behöva inhämta uppgifter från eller i vilken omfattning sådana uppgifter kommer att omfattas av sekretess. Som utredningen redogör för är det dock framför allt de begränsade möjligheterna att inhämta uppgifter från brottsbekämpande myndigheter som kan förväntas hindra att CVE får del av uppgifter som kan vara relevanta för granskningarna, och då främst sekretessen enligt 35 kap. 1 § OSL. Denna gäller för uppgifter om enskildas personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men, om uppgifterna förekommer i exempelvis en förundersökning, en angelägenhet som avser användning av tvångsmedel i brottmål eller annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott. Uppgifter som omfattas av sekretess enligt 35 kap. 1 § OSL kan i vissa fall lämnas ut med stöd av generalklausulen i 10 kap. 27 § OSL. Med hänsyn till det typiskt sett starka intresse som sekretessen i dessa fall ska skydda och generalklausulens krav på att det ska vara uppenbart att intresset av att en uppgift lämnas har företräde, bedömer regeringen emellertid att CVE:s möjligheter att inhämta uppgifter från de brottsbekämpande myndigheterna inte kommer att vara tillräckliga. I likhet med Utredningen om granskning av stöd till civilsamhället anser regeringen att det därför finns behov av en ny bestämmelse som kan bryta sekretessen enligt 35 kap. 1 § OSL i förhållande till kontaktspunktsuppgiften. I övrigt bör CVE:s behov av att inhämta uppgifter som är sekretessbelagda, antingen vid andra myndigheter eller enligt andra bestämmelser, enligt regeringen kunna hanteras med stöd av 10 kap. 27 § OSL. Det finns därför inte skäl att nu föreslå någon bredare sekretessbrytande bestämmelse. I sammanhanget kan noteras att frågor om informationsutbyte mellan myndigheter behandlas i delbetänkandet Ökat informationsutbyte mellan myndigheter – Behov och föreslagna förändringar (SOU 2024:63) som överlämnades till regeringen den 2 september 2024. I betänkandet föreslås en ny generell sekretessbrytande bestämmelse i OSL som under vissa förutsättningar möjliggör för myndigheter att lämna uppgifter som omfattas av sekretess till skydd för enskilda till en annan myndighet, såväl på begäran som på eget initiativ, om uppgifterna t.ex. behövs för att förhindra eller upptäcka att ett ekonomiskt stöd betalas ut felaktigt. Förslaget bereds för närvarande i Regeringskansliet.
En fördjupad granskning avslutas med att CVE lämnar ett yttrande till beslutsorganet. Även detta kan behöva innehålla uppgifter som är sekretessbelagda vid CVE, men som regeringen konstaterar i avsnitt 5.1 är detta möjligt utan införande av någon ny sekretessbrytande bestämmelse mellan CVE och beslutsorganen.
Utformningen av den nya sekretessbrytande bestämmelsen
Den sekretessbrytande bestämmelse som nu föreslås syftar inte till att möjliggöra något bredare informationsutbyte mellan de brottsbekämpande myndigheterna och CVE, utan enbart till att göra det möjligt för CVE att genomföra fördjupade granskningar. Bestämmelsen bör därför utformas så att utlämnande med stöd av den endast kan ske om uppgiften behövs i ett ärende om fördjupad granskning. Det krävs alltså att de uppgifter som ska lämnas ut har någon koppling till en pågående granskning. Eftersom CVE är organisatoriskt inordnat i Brå och CVE dessutom kommer att utföra uppgifterna med myndigheten i övrigt bör den sekretessbrytande bestämmelsen, liksom den i avsnitt 5.1 föreslagna sekretessbestämmelsen, gälla till förmån för Brå.
De uppgifter som omfattas av sekretessen enligt 35 kap. 1 § OSL är av varierande slag och i vissa fall är de av sådan karaktär att sekretessintresset gör sig särskilt starkt gällande. Det kan t.ex. vara fallet då ett utlämnande skulle kunna äventyra säkerheten för en person inom en verksamhet som granskas eller då uppgiften lämnats av en anhörig och ett utlämnande skulle kunna utsätta den personen för risker. Den i avsnitt 5.1 föreslagna sekretessbestämmelsen innebär att motsvarande sekretess kommer att gälla för de utlämnade uppgifterna vid Brå. Den bestämmelsen hindrar emellertid inte att uppgifter som är relevanta för bedömningen av ärendet vid beslutsorganet tas in i yttrandet över en fördjupad granskning. I sådana fall kan uppgifterna komma att bli offentliga eller i vart fall delas med den granskade verksamhet som är part i grundärendet vid beslutsorganet.
Detta innebär att det kan uppstå situationer där det är olämpligt att en brottsbekämpande myndighet lämnar ut uppgifter som är sekretessbelagda enligt 35 kap. 1 § OSL till CVE, även om de i och för sig skulle behövas i ett ärende om fördjupad granskning. Det är alltså nödvändigt att en avvägning kan göras mellan intresset av att uppgiften lämnas och det intresse som sekretessen ska skydda. Regeringen anser därför att den nya bestämmelsen bör möjliggöra utlämnanden endast om intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Till skillnad från den intresseavvägning som ska göras enligt den s.k. generalklausulen i 10 kap. 27 § OSL – som Tidningsutgivarna pekar på, och som skulle kunna bli tillämplig om det i något fall finns skäl att lämna uppgifter om personer i extremistmiljöer till CVE trots att det saknas koppling till en fördjupad granskning – ställs alltså inget krav på att det ska vara uppenbart att utlämnandeintresset har företräde.
Den nya bestämmelsen bör införas i 35 kap. OSL, i anslutning till övriga sekretessbrytande bestämmelser som avser sekretess enligt det kapitlet.
Det finns inte skäl att nu föreslå någon ny sekretessbrytande bestämmelse om uppgiftslämnande från kontaktpunktsverksamheten
CVE kommer både inom ramen för de fördjupade granskningarna och i sin allmänna roll som kontaktpunkt att få in uppgifter som kan vara av intresse även för beslutsorgan som inte begärt någon fördjupad granskning av en viss verksamhet. Lunds kommun och Statens skolinspektion framhåller båda vikten av att CVE kan dela med sig av sådana uppgifter.
Att vid sidan av arbetet med fördjupade granskningar dela med sig av relevant information om våldsbejakande extremism och andra antidemokratiska miljöer till berörda beslutsorgan är något som faller inom ramen för CVE:s kontaktpunktsuppgift. Så länge de relevanta uppgifterna inte är sekretessbelagda vid CVE finns alltså inga hinder för detta (se också avsnitt 6.4 för motsvarande bedömning i dataskyddshänseende). Är uppgifterna sekretessbelagda krävs för ett utlämnande att en sekretessbrytande bestämmelse är tillämplig. Bestämmelsen i 10 kap. 2 § OSL kräver att utlämnandet ska vara nödvändigt för att CVE ska kunna fullgöra sin verksamhet, vilket i regel inte kommer att vara fallet. Däremot kan generalklausulen i 10 kap. 27 § OSL tillämpas i de fall det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Generalklausulen är tillämplig då beslutsorganet är en myndighet. Av 2 kap. 4 § OSL följer emellertid att de organ som anges i bilagan till lagen ska jämställas med myndigheter vid tillämpningen av dess bestämmelser. De organ som anges i bilagan är sådana där det i deras ärenden finns ett starkt intresse av offentlighet eftersom de på olika vis handhar myndighetsutövning mot enskilda, bl.a. i form av att fördela statligt stöd i olika former (se prop. 1986/87:151 s. 150–154). I bilagan anges exempelvis Folkbildningsrådet i dess verksamhet med fördelning av statsbidrag mellan folkhögskolor och studieförbund. I många av de fall då ett beslutsorgan som kan ha intresse för uppgifter som finns hos CVE inte är en myndighet kommer 10 kap. 27 § OSL alltså ändå att kunna användas. Regeringen anser att detta innebär en lämplig avvägning och att det därför inte finns skäl att nu föreslå någon mer långtgående sekretessbrytande bestämmelse för att möjliggöra för CVE att dela med sig av uppgifter till beslutsorganen. I linje med detta finns inte heller skäl att införa sådana bestämmelser om uppgiftsskyldighet för CVE, eller Säkerhetspolisen, som Inspektionen för vård och omsorg efterfrågar.
Det finns inte heller skäl att nu föreslå någon ny sekretessbrytande bestämmelse kopplad till stöduppgiften vid oro för skolattacker
För att CVE på ett effektivt sätt ska kunna utföra uppgiften att ge stöd till aktörer som i sin verksamhet hanterar ärenden i vilka det finns en oro för att en eller flera personer ska genomföra en skolattack, behöver CVE kunna få uppgifter om den oro som finns. Det kan t.ex. gälla uppgifter om vem det rör, vilka aktiviteter personen utfört, vilka uttalanden personen har gjort, hur personen mår, och varför oro uppkommit. Mycket integritetskänsliga personuppgifter, t.ex. om en persons psykiatriska problem eller om en persons politiska eller religiösa åsikter, uttryckta online, i skolmiljön eller i annat sammanhang, kan alltså behöva behandlas. Sådana uppgifter om en person kommer många gånger omfattas av sekretess till skydd för den enskilde hos de relevanta aktörerna, exempelvis skola, socialtjänst eller hälso- och sjukvård.
Skolsäkerhetsutredningen redogör för att informationsutbytet vid lokal samverkan i dag sker i huvudsak med stöd av den enskildes samtycke. Sekretess till skydd för en enskild hindrar inte att en uppgift lämnas ut, om den enskilde samtycker till detta (12 kap. 2 § OSL). Om uppgifterna gäller ett barn kan det, beroende på barnets ålder och mognad, i stället vara vårdnadshavaren, eller vårdnadshavaren tillsammans med barnet, som kan lämna ett sådant samtycke (12 kap. 3 § OSL). I de fall samtycke finns hindrar eventuell sekretess alltså inte att en aktör som söker stöd från CVE i samband med detta också lämnar ut relevanta uppgifter om den person som oron gäller.
I ärenden som rör oro för skolattacker är det dock inte säkert att det går eller är lämpligt att inhämta samtycke. Som flera remissinstanser, däribland Nacka kommun och Region Kronoberg, påtalar är möjligheterna att lämna ut sekretessbelagda uppgifter till CVE när samtycke saknas både mer svårbedömda och, särskilt gällande socialtjänst och hälso- och sjukvård, mer begränsade. Skolsäkerhetsutredningen lyfter i sammanhanget den sekretessbrytande bestämmelsen i 10 kap. 2 § OSL. Regeringen konstaterar emellertid att det i regel kommer vara tveksamt om ett utlämnande till CVE verkligen är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Prövningen av om en sekretessbelagd uppgift kan lämnas till CVE får då i stället göras enligt generalklausulen i 10 kap. 27 § OSL, dvs. uppgiften kan lämnas till CVE om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Vid denna bedömning kan det vägas in att uppgifterna kommer att omfattas av sekretess även vid CVE, i enlighet med den i avsnitt 5.1 föreslagna sekretessbestämmelsen.
Generalklausulen kan dock inte användas när den sekretessbelagda uppgiften finns inom socialtjänst eller hälso- och sjukvård, inklusive elevhälsans medicinska gren (se bestämmelsens andra stycke med hänvisningar till 25 och 26 kap. OSL). När någon aktör inom dessa sektorer vill ta stöd av CVE kommer möjligheterna att lämna uppgifter om den person som oron rör alltså att vara begränsade, om samtycke saknas. Detta kan, i vissa fall, förväntas försvåra CVE:s möjligheter att ge ett effektivt stöd.
Bestämmelser om utlämnande av uppgifter från socialtjänst och hälso- och sjukvård är emellertid sådana att de måste föregås av en noggrann prövning. Skolsäkerhetsutredningen har inte närmare övervägt en sådan reglering och det saknas därför förutsättningar att nu föreslå någon sekretessbrytande bestämmelse som tar sikte på uppgiftslämnande till CVE. Som konstateras ovan bereds i Regeringskansliet för närvarande betänkandet Ökat informationsutbyte mellan myndigheter – Behov och föreslagna förändringar (SOU 2024:63) som innehåller förslag på en ny generell sekretessbrytande bestämmelse som möjliggör för myndigheter att under vissa förutsättningar lämna uppgifter som omfattas av sekretess till skydd för enskilda till andra myndigheter. Enligt förslaget gäller detta bl.a. om uppgifterna behövs för att motverka brottslig verksamhet. Det kan dock noteras att hälso- och sjukvårdssekretess enligt 25 kap. 1–5 och 8 §§ OSL föreslås undantas från tillämpningsområdet.
Regeringens bedömning gäller även i förhållande till enskilt bedrivna skolor, aktörer som både Friskolornas riksförbund och Statens skolverk har uppmärksammat särskilt. För dessa gäller inte offentlighets- och sekretesslagen, men för den som är eller har varit verksam där råder viss tystnadsplikt enligt 29 kap. 14 § skollagen (2010:800). Detsamma gäller för den som tillhör eller har tillhört elevhälsans medicinska gren i en sådan skola (6 kap. 12–16 §§ patientsäkerhetslagen [2010:659]). Tystnadsplikten innebär att dessa personer inte får obehörigen röja vissa uppgifter om enskildas personliga förhållanden. Vid tillämpningen av dessa bestämmelser, och då särskilt i fråga om vilka röjanden av uppgifter som är tillåtna, anses bestämmelserna i OSL vara vägledande (se prop. 1979/80:2 del A s. 167, prop. 1980/81:28 s. 22–23 och prop. 1995/96:200 s. 67). Något skäl att inom ramen för detta lagstiftningsärende göra förtydliganden eller andra ändringar i dessa regleringar finns inte.
Flera remissinstanser, bl.a. Kammarrätten i Stockholm och Ystads kommun, lyfter frågor om CVE:s möjligheter att dela med sig av sekretessbelagda uppgifter till andra aktörer. Regeringen konstaterar att det kommer vara fråga om flera olika typer av stöd, av mycket olika omfattning, som CVE ger och att behovet av att lämna ut uppgifter därför kommer att variera. Generellt kan emellertid konstateras att merparten av de uppgifter om en viss person som CVE kommer att inneha och som kan vara sekretessbelagda där, kommer att ha lämnats av den aktör som sökt stöd. I dessa fall finns naturligtvis inget behov av att ”återlämna” uppgifterna till stödsökaren. När flera aktörer berörs, exempelvis då CVE medverkar vid samverkansmöten eller annars kommunicerar med andra berörda än stödsökaren, kan informationsdelning vara av större vikt. I den mån det finns ett behov av att CVE i dessa sammanhang lämnar uppgifter kan en prövning göras enligt generalklausulen i 10 kap. 27 § OSL. Samtidigt finns det också möjligheter för de övriga aktörerna att lämna uppgifter sinsemellan. Hur stora dessa möjligheter är beror naturligtvis på vilka aktörer och vilka uppgifter det gäller. Det är alltså inte givet att uppgifter måste lämnas ut just från CVE. Med hänsyn till de möjligheter till informationsdelning som finns och till att det inte framkommit något konkret behov av kompletteringar, anser regeringen att det inte finns skäl att nu föreslå någon sekretessbrytande bestämmelse som tar sikte på uppgiftslämnande från CVE.
Idéburna skolors riksförbund har slutligen lyft frågan om CVE:s möjligheter att göra en polisanmälan eller anmälan till socialnämnden vid misstanke eller kännedom om brott respektive att ett barn far illa. Regeringen konstaterar att bestämmelsen i 10 kap. 24 § OSL, som ger myndigheter möjlighet att trots sekretess lämna uppgifter som angår misstanke om ett begånget brott av visst allvar till bl.a. Polismyndigheten, är tillämplig. När det gäller möjligheterna att göra en anmälan till socialnämnden kan CVE, om det krävs att sekretess bryts, göra en prövning med stöd av generalklausulen i 10 kap. 27 § OSL. Samtidigt kommer de uppgifter som skulle aktualisera en anmälan till socialnämnden i princip alltid att ha lämnats till CVE från en sådan myndighet eller yrkesverksam som omfattas av skyldigheten i 14 kap. 1 § första stycket socialtjänstlagen (2001:453) att anmäla misstanke om att ett barn far illa till socialnämnden. Även om CVE inte skulle ha möjlighet att göra en anmälan med stöd av generalklausulen kan det alltså förutsättas att någon annan berörd aktör i stället kommer att vara skyldig att göra detta.
Nya bestämmelser om personuppgiftsbehandling vid Brottsförebyggande rådet
Som framgår av de båda föregående avsnitten kommer Brå vid utförandet av de två nya uppgifter som tilldelats CVE – att vara kontaktpunkt för den som fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter och att ge stöd till den som hanterar oro för en skolattack – att behöva behandla personuppgifter i relativt stor utsträckning. I många fall kommer det dessutom att röra sig om känsliga personuppgifter. Detta innebär en förändring i förhållande till nuvarande uppdrag. Det bör därför övervägas om det finns skäl att införa särskilda regler för personuppgiftsbehandlingen och hur dessa i så fall ska utformas.
En ny lag om viss personuppgiftsbehandling vid Brottförebyggande rådet
Regeringens förslag: Det ska införas en ny lag om viss personuppgiftsbehandling vid Brottsförebyggande rådet.
Syftet med den nya lagen ska vara att ge Brå möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Utredningen om stöd till civilsamhällets förslag överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för kontaktpunktsuppgiften. Utredningens förslag har dock en annan redaktionell och språklig utformning.
Remissinstanserna instämmer i förslaget eller har inga invändningar mot det.
Skolsäkerhetsutredningens förslag överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningens förslag har dock en annan redaktionell och språklig utformning.
Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det.
Göteborgs universitet (Utbildningsvetenskapliga fakulteten), Länsstyrelsen i Västra Götalands län och Socialstyrelsen anser att det inte finns tillräckliga skäl för att tillåta behandling av personuppgifter inom ramen för CVE:s uppgift att ge stöd vid oro för skolattacker.
Skälen för regeringens förslag: CVE har tilldelats de nya uppgifterna att, i samarbete med myndigheten i övrigt, vara kontaktpunkt för myndigheter och andra beslutsorgan som fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter och att ge stöd till den som hanterar oro för en skolattack. Som anges i avsnitt 5.1 och 5.2 kommer CVE för utförandet av båda dessa uppgifter att i vissa fall behöva behandla personuppgifter – vilken typ av personuppgifter och varifrån de kan komma framgår av nämnda avsnitt samt, vad gäller kontaktpunktsuppgiften, avsnitt 4.2. Att granska vilka kopplingar en företrädare för en viss verksamhet kan ha till våldsbejakande extremism är t.ex. inte möjligt utan att behandla uppgifter om personen, och dessutom sannolikt även känsliga sådana. Vidare är det svårt att på ett effektivt sätt ge stöd vid oro för skolattacker utan att behandla personuppgifter. Oron kommer i många fall röra en viss person och det kan exempelvis krävas att dennes agerande och uttalanden bedöms eller att uppgifter kopplade till personen diskuteras vid ett samverkansmöte. Till skillnad från bl.a. Socialstyrelsen, men i likhet med den stora majoriteten av remissinstanserna, anser regeringen därför att det finns starka skäl att tillåta behandling av personuppgifter när de båda nya uppgifterna utförs.
CVE har i dag ingen särskild personuppgiftsreglering utan använder, i den mån personuppgifter alls behandlas, de generellt tillämpliga dataskyddsreglerna. När CVE, i samarbete med myndigheten i övrigt, nu kommer att behöva behandla personuppgifter i relativt stor utsträckning, och i många fall dessutom känsliga personuppgifter, är detta inte tillräckligt vare sig ur effektivitets- eller integritetssynpunkt. I avsnitt 8 gör regeringen bedömningen att de samlade förslag som lämnas kan innebära en sådan begränsning av skyddet i 2 kap. 6 § andra stycket regeringsformen mot intrång som innebär kartläggning av den enskildes personliga förhållanden som enbart får göras genom lag. Det bör därför införas en ny lag om viss personuppgiftsbehandling vid Brå, som syftar både till att ge myndigheten möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde och förhållandet till det allmänna dataskyddsregelverket
Regeringens förslag: Den nya lagen ska gälla vid behandling av personuppgifter vid Brå när myndigheten
1. utför uppgiften att vara kontaktpunkt, och
2. ger stöd vid oro för skolattacker.
Lagen ska endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Lagen ska innehålla upplysande bestämmelser som anger att den kompletterar EU:s dataskyddsförordning samt att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt den nya lagen, om inte något annat följer av den nya lagen eller föreskrifter som meddelats i anslutning till denna.
Utredningen om stöd till civilsamhällets förslag överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för kontaktpunktsuppgiften. Utredningens förslag har dock en annan redaktionell och språklig utformning, och innehåller ingen uttrycklig bestämmelse om att lagen endast gäller om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Remissinstanserna instämmer i förslaget eller har inga invändningar mot det.
Skolsäkerhetsutredningens förslag överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningens förslag har dock en annan redaktionell och språklig utformning.
Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det.
Integritetsskyddsmyndigheten efterfrågar en djupare analys av om brottsdatalagen är tillämplig på den personuppgiftsbehandling som sker inom ramen för CVE:s stödverksamhet vid oro för skolattacker.
Skälen för regeringens förslag: Ingen av utredningarna har haft i uppdrag att föreslå en personuppgiftsreglering som är tillämplig vid all verksamhet inom Brå, eller ens inom CVE. De utformar därför sina respektive förslag till ny personuppgiftslag helt och hållet utifrån de behov och risker som följer av CVE:s båda nya uppgifter. Det finns därför inte underlag för att inom ramen för detta lagstiftningsärende föreslå en personuppgiftslag som är tillämplig vid all verksamhet inom Brå eller CVE. Den nya lagen bör i stället gälla vid behandling av personuppgifter inom ramen för uppgifterna att vara kontaktpunkt och att ge stöd vid oro för skolattacker, och eftersom CVE ansvarar för att utföra uppgifterna i samarbete med myndigheten i övrigt kan lagen inte begränsas till att enbart gälla behandling vid CVE.
När en myndighet behandlar personuppgifter gäller antingen EU:s dataskyddsförordning, med den tillhörande lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen), eller brottsdatalagen (2018:1177). Brottsdatalagen är tillämplig vid behandling som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder (1 kap. 2 § brottsdatalagen). Ligger syftet med behandlingen utanför detta så är i stället dataskyddsförordningen och dataskyddslagen tillämpliga (artikel 2.2 d i dataskyddsförordningen).
Som Utredningen om granskning av stöd till civilsamhället konstaterar så kommer CVE inom ramen för kontaktpunkten närmast att ägna sig åt en form av kontrollverksamhet som primärt syftar till att säkerställa en korrekt tillämpning av reglerna för fördelning av offentliga medel och drivande av offentligt finansierade verksamheter. Behandling av personuppgifter i sådan verksamhet ligger utanför brottsdatalagens tillämpningsområde, även om kontrollen i och för sig skulle kunna leda till att brott upptäcks (prop. 2017/18:232 s. 113 och SOU 2017:29 s. 198–199). När det gäller stödet vid oro för skolattacker är, som Integritetsskyddsmyndigheten påpekar, syftet ytterst att förebygga och förhindra allvarliga våldsdåd riktade mot skolor. Det direkta syftet med stöduppgiften är emellertid, som Skolsäkerhetsutredningen påpekar, snarast att tillse att de lokala aktörerna, dvs. exempelvis skolor och socialtjänst, har förutsättningar att utföra sina respektive uppdrag utifrån ett gott kunskapsunderlag och i effektiv samverkan med varandra. Det handlar alltså närmast om att CVE ska samverka med bl.a. den stödsökande aktören. Myndigheter som, utan att ha vare sig anmälningsskyldighet eller uppgiftsskyldighet, samverkar med brottsbekämpande myndigheter – vilket de stödsökande aktörerna i regel inte ens kommer att vara – anses inte enbart på grund av sådan samverkan bli behöriga myndigheter i brottsdatalagens mening (SOU 2017:29 s. 196). Regeringens bedömning är därför att inte heller den personuppgiftsbehandling som kommer ske inom ramen för stödverksamheten till någon del faller inom brottsdatalagens område.
Detta innebär sammantaget att all behandling av personuppgifter inom ramen för uppgifterna att vara kontaktpunkt och att ge stöd vid oro för skolattacker faller inom dataskyddsförordningens och dataskyddslagens tillämpningsområde. I den nya lagen bör det därför upplysas om att den kompletterar dataskyddsförordningen samt att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt den nya lagen, om inte något annat följer av den nya lagen eller föreskrifter som meddelats i anslutning till denna.
Slutligen bör den nya lagens tillämpningsområde, liksom vad gäller för dataskyddsförordningen, dataskyddslagen och flertalet registerförfattningar, begränsas till att endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Personuppgiftsansvar
Regeringens förslag: Det ska framgå av den nya lagen att Brottsförebyggande rådet är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt lagen.
Utredningen om stöd till civilsamhällets förslag överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för kontaktpunktsuppgiften. Utredningen föreslår dock att bestämmelsen uttryckligen ska hänvisa till behandling av personuppgifter som utförs inom ramen för kontaktpunktsuppgiften.
Remissinstanserna instämmer i förslaget eller har inga invändningar mot det.
Skolsäkerhetsutredningens förslag överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningen föreslår dock att bestämmelsen uttryckligen ska hänvisa till behandling av personuppgifter som utförs inom ramen för uppgiften att ge stöd vid oro för skolattacker.
Remissinstanserna instämmer i förslaget eller har inga invändningar mot det.
Skälen för regeringens förslag: Av definitionen i artikel 4.7 i dataskyddsförordningen framgår att en personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Det är alltså Brå som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten, framför allt inom ramen för CVE, utför enligt den nya lagen. Av tydlighetsskäl bör detta förhållande framgå direkt av lagen.
Ändamålsbestämmelser och finalitetsprincipen
Regeringens förslag: Brå ska få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra uppgiften som kontaktpunkt eller uppgiften att ge stöd vid oro för skolattacker.
Sådana personuppgifter ska även få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, eller för andra ändamål under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in.
Utredningen om stöd till civilsamhällets förslag överensstämmer delvis med regeringens när det gäller verksamhet inom ramen för kontaktpunktsuppgiften. Utredningen föreslår inte någon bestämmelse om att personuppgifter även ska få behandlas för visst uppgiftslämnande och inte heller någon upplysning om att den s.k. finalitetsprincipen gäller.
Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det.
Integritetsskyddsmyndigheten påpekar att det redan framgår av dataskyddsförordningen att behandling av personuppgifter ska vara nödvändig i förhållande till den rättsliga grunden och att den föreslagna bestämmelsen därför inte tillför något. Region Halland efterfrågar ett förtydligande av vilka ändamål i kontaktpunktsverksamheten som personuppgifter får hanteras för.
Skolsäkerhetsutredningens förslag överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningen föreslår dock att den primära ändamålsbestämmelsen ska innehålla en uttrycklig hänvisning till uppgiften att ge stöd vid oro för skolattacker.
Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det.
Integritetsskyddsmyndigheten för fram samma synpunkter som i remissvaret till Utredningen om stöd till civilsamhället och efterfrågar ett förtydligande av vilka ändamål i stödverksamheten som personuppgifter får hanteras för.
Skälen för regeringens förslag: Av 2 kap. 2 § 1 dataskyddslagen följer att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning. Sådana uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra anses generellt vara uppgifter av allmänt intresse (prop. 2017/18:105 s. 56–57). CVE:s uppgifter att vara kontaktpunkt och att ge stöd vid oro för skolattacker är alltså uppgifter av allmänt intresse och det finns därför rättslig grund enligt artikel 6.1 e i dataskyddsförordningen för sådan behandling av personuppgifter som är nödvändig för att utföra någon av dessa uppgifter. Därutöver krävs att personuppgiftsbehandlingen uppfyller de grundläggande principerna i artikel 5 i dataskyddsförordningen. Dessa innebär bl.a. att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b).
Som Integritetsskyddsmyndigheten och Region Halland påpekar tillför de av utredningarna föreslagna bestämmelserna inte något utöver vad som redan följer av 2 kap. 2 § 1 dataskyddslagen och dataskyddsförordningen. Myndigheterna anser att bestämmelserna i stället bör innehålla ett förtydligande av vilka konkreta ändamål i CVE:s verksamhet som personuppgifter – i enlighet med artikel 5.1 b i dataskyddsförordningen – får behandlas för. Det är inte ovanligt att registerförfattningar innehåller ändamålsbestämmelser av sådant slag. Inom ramen för kontaktpunktsuppgiften kommer CVE t.ex. att behöva behandla personuppgifter för att kunna bedöma om en begäran om fördjupad granskning ska leda till att en sådan inleds eller för att utreda en viss verksamhetsföreträdares kopplingar till antidemokratiska eller extremistiska organisationer eller miljöer. Inom ramen för uppgiften att ge stöd vid oro för skolattacker kan personuppgiftsbehandling behövas för att exempelvis bedöma behovet av åtgärder kopplat till en viss person eller för att samordna insatser. Regeringen konstaterar emellertid att uppgifterna som kontaktpunkt och, i än högre grad, att ge stöd vid oro för skolattacker har ett så situationsstyrt och varierande innehåll att det är svårt att i lagtext uttömmande ange de ändamål som personuppgifter kan behöva behandlas för.
Frågan är då om en bestämmelse om ändamål, som i sak inte tillför något utöver 2 kap. 2 § 1 dataskyddslagen och dataskyddsförordningen, alls bör införas i den nya lagen. Regeringen anser emellertid att en sådan bestämmelse har ett värde genom att den tydliggör vad som gäller. Det bör därför införas en bestämmelse som anger att personuppgifter får behandlas om det är nödvändigt för att CVE ska kunna utföra någon av sina nya uppgifter.
Som framgår av avsnitt 5.2 kommer CVE i vissa fall ha anledning att till andra aktörer än den som sökt stödet dela med sig av personuppgifter som behandlas för att kunna utföra uppgiften att ge stöd vid oro för skolattacker. Det skulle i sådana situationer kunna ifrågasättas om behandlingen av personuppgifterna för att lämna ut dem till sådana andra aktörer är nödvändig för att utföra stöduppgiften. För att säkerställa att det finns dataskyddsrättsligt stöd för behandlingen bör det därför uttryckligen framgå av den nya lagen att personuppgifter som behandlas för att uppgiften att ge stöd vid oro för skolattacker ska kunna utföras även får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Den föreslagna utformningen, som har förlagor i ett flertal registerförfattningar, innebär att bestämmelsen omfattar både fall då det finns en skyldighet att lämna uppgifter och fall då det finns en möjlighet att lämna uppgifter, t.ex. med stöd av 10 kap. 27 § OSL.
Behovet av att låta bestämmelsen även omfatta personuppgifter som behandlas för att CVE ska kunna utföra uppgiften som kontaktpunkt är mer begränsat, eftersom eventuellt uppgiftslämnande även till andra aktörer än sådana som begärt en fördjupad granskning normalt kommer att ligga inom den allmänna kontaktpunktsuppgiften. Även här är det dock tänkbart att osäkerhet kan uppkomma, samtidigt som det inte finns några starka skäl för att undanta personuppgifter som behandlas för utförande av uppgiften som kontaktpunkt. Den föreslagna bestämmelsen bör alltså omfatta personuppgifter som behandlas för att någon av de nya uppgifterna ska kunna utföras. Eftersom CVE ansvarar för att utföra uppgifterna i samarbete med myndigheten i övrigt bör bestämmelsen avse Brå.
Skolsäkerhetsutredningen föreslår att även den s.k. finalitetsprincipen bör framgå av den nya lagen. Principen, som kommer till uttryck i artikel 5.1 b och artikel 6.4 i dataskyddsförordningen, innebär att personuppgifter som samlas in för ett visst ändamål inte senare får behandlas på ett sätt som är oförenligt med detta ändamål. Principen gäller enligt dataskyddsförordningen oavsett om den uttrycks i svensk författning eller inte, men i registerförfattningar finns det av tydlighetsskäl ofta en bestämmelse med motsvarande innehåll. Regeringen anser att en sådan bör föras in även i den nya lagen, inte minst för att undvika att den föreslagna regleringen av behandling av personuppgifter för fullgörande av uppgiftslämnande ska framstå som en uttömmande reglering av möjligheterna att vidarebehandla personuppgifter som samlats in för att kunna utföra uppgifterna att vara kontaktpunkt eller att ge stöd vid oro för skolattacker.
Tillgången till personuppgifter
Regeringens förslag: Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Utredningen om stöd till civilsamhällets förslag överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för kontaktpunktsuppgiften. Utredningen föreslår en något annorlunda språklig utformning av bestämmelsen.
Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det.
Region Halland anser att det bör införas bestämmelser om behovs- och riskanalyser gällande vilka personer som ska ha åtkomst till personuppgifterna samt tydliggöras att det kommer krävas kontroller av om någon obehörig berett sig åtkomst till personuppgifterna.
Skolsäkerhetsutredningens förslag överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningen föreslår en något annorlunda språklig utformning av bestämmelsen.
Remissinstanserna instämmer i förslaget eller har inga invändningar mot det.
Skälen för regeringens förslag: Dataskyddsförordningen innehåller inte någon uttrycklig bestämmelse som begränsar tillgången till personuppgifter. I artikel 5.1 c uttrycks dock den grundläggande principen att personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen om uppgiftsminimering). Enligt artikel 25.2 ska den personuppgiftsansvarige också genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet.
Vilka möjligheter till spridning av personuppgifter som en viss behandling innebär påverkar i stor utsträckning integritetsriskerna med behandlingen. Om personuppgifter sprids ökar risken för att uppgifterna används på ett sätt som inte är avsett. Utan en begränsning av spridningen av personuppgifterna kan också personuppgiftsbehandling komma att ske som det inte finns behov av. Det är därför vanligt att registerförfattningar innehåller bestämmelser som reglerar tillgången till personuppgifter. För skyddet av den personliga integriteten är det viktigt att det vid Brå säkerställs att personuppgifter i de aktuella verksamheterna endast görs tillgängliga för de medarbetare som behöver uppgifterna i sitt arbete. En bestämmelse med en sådan innebörd bör därför införas i den nya lagen.
Att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter innebär i sig att en behovsbedömning måste göras innan tillgång ges och är dessutom en ur risksynpunkt rimlig avvägning. Till skillnad från Region Halland anser regeringen därför att det inte utöver den nu föreslagna bestämmelsen även bör införas bestämmelser om behovs- och riskanalyser när det gäller vilka personer som ska ha åtkomst till personuppgifterna.
I några registerförfattningar finns uttryckliga bestämmelser om att åtkomsten till personuppgifter regelbundet ska kontrolleras och följas upp. Den personuppgiftsansvarige ska emellertid enligt artiklarna 24 och 32 i EU:s dataskyddsförordning bl.a. säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning. I detta får anses ligga en skyldighet att regelbundet kontrollera och följa upp åtkomsten av personuppgifter. Med hänsyn till detta och till den trots allt relativt begränsade verksamhet som bedrivs vid CVE anser regeringen inte heller att det, såsom Region Halland föreslår, behöver införas någon uttrycklig bestämmelse om kontroller av om någon obehörig berett sig åtkomst till personuppgifterna.
Känsliga personuppgifter och sökbegränsningar
Regeringens förslag: Känsliga personuppgifter får behandlas med stöd av artikel 9.2 g i EU:s dataskyddsförordning endast om uppgifterna är nödvändiga för fullgörandet av uppgiften att vara kontaktpunkt eller uppgiften att ge stöd vid oro för skolattacker.
Det ska inte vara tillåtet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter som avser fällande domar i brottmål och lagöverträdelser som innefattar brott.
Utredningen om stöd till civilsamhällets förslag överensstämmer delvis med regeringens när det gäller verksamhet inom ramen för kontaktpunktsuppgiften. Utredningens förslag innehåller ingen hänvisning till artikel 9.2 g i dataskyddsförordningen och dessutom föreslås att även personuppgifter som avses i artikel 10 i dataskyddsförordningen samt uppgifter om misstanke om brott ska inkluderas i bestämmelsen om behandling av känsliga personuppgifter.
Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det.
Integritetsskyddsmyndigheten påpekar att behandling av känsliga personuppgifter i stor omfattning kräver tydligt stöd i författning och anser därför att det är nödvändigt med en bestämmelse som utredningen föreslår, även om den i praktiken inte inskränker CVE:s möjligheter att behandla känsliga personuppgifter. Myndigheten anser att det bör framgå av bestämmelsen att behandlingen sker med stöd av artikel 9.2 g i dataskyddsförordningen. Kammarrätten i Jönköping anser att det är angeläget att det tydliggörs hur behandlingen av känsliga personuppgifter som inte är ärendeanknutna kommer att se ut i kontaktpunktsverksamheten. Flera remissinstanser, bl.a. Brå, CVE och Folkets hus och parker, pekar på behovet av en analys av hur förslagen förhåller sig till förbudet mot åsiktsregistrering och hur de påverkar yttrandefriheten.
Skolsäkerhetsutredningens förslag överensstämmer delvis med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningens förslag innehåller ingen hänvisning till artikel 9.2 g i dataskyddsförordningen och dessutom föreslås att även personuppgifter som avses i artikel 10 i dataskyddsförordningen ska inkluderas i bestämmelsen om behandling av känsliga personuppgifter.
Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det.
Integritetsskyddsmyndigheten framför samma synpunkter som i remissvaret till Utredningen om stöd till civilsamhällets förslag. Specialpedagogiska skolmyndigheten påpekar vikten av att känsliga personuppgifter om enskilda som rör hälsa inte delas slentrianmässigt eller tas ur sitt sammanhang.
Skälen för regeringens förslag
Behandling av känsliga personuppgifter och uppgifter om brott
Dataskyddsförordningen innehåller som utgångspunkt ett förbud mot att behandla känsliga personuppgifter. Med detta avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). CVE kommer i många fall, både inom ramen för uppgiften att vara kontaktpunkt och inom ramen för uppgiften att ge stöd vid oro för skolattacker, emellertid att behöva behandla känsliga personuppgifter av olika slag.
Förbudet i dataskyddsförordningen kompletteras av ett antal undantag, t.ex. om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Artikel 9.2 g är direkt tillämplig, men det är möjligt för medlemsstaterna att i nationell rätt införa mer specifika bestämmelser avseende känsliga personuppgifter (se artikel 6.2 och skäl 10). Så har också skett i 3 kap. 3 § dataskyddslagen, som bl.a. anger att känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och den inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Att en myndighet ska utföra en av riksdag eller regering tilldelad uppgift på ett korrekt, rättssäkert och effektivt sätt är ett viktigt allmänt intresse (prop. 2017/18:105 s. 85). Både uppgiften som kontaktpunkt och uppgiften att ge stöd vid oro för skolattacker regleras i förordning. Genom den lag om personuppgiftsbehandling som föreslås i detta kapitel och den sekretessbestämmelse som föreslås i avsnitt 5.1 säkerställs dessutom att det finns lämpliga och särskilda skyddsåtgärder. CVE har därför i och för sig rättsligt stöd för behandling av känsliga personuppgifter direkt med stöd av artikel 9.2 g. Som Integritetsskyddsmyndigheten påpekar bör det emellertid finnas tydligt stöd i författning för behandling av känsliga personuppgifter i den omfattning som kommer att vara aktuell vid CVE. Även om den i praktiken inte inskränker möjligheterna att behandla känsliga personuppgifter i förhållande till vad som annars gäller enligt dataskyddsförordningen eller den i avsnitt 6.4 föreslagna ändamålsbestämmelsen, bör det införas en särskild bestämmelse i den nya lagen som innebär att känsliga personuppgifter får behandlas endast om uppgifterna är nödvändiga för fullgörandet av uppgiften att vara kontaktpunkt eller uppgiften att ge stöd vid oro för skolattacker. En sådan bestämmelse inskärper också, som Specialpedagogiska skolmyndigheten framhåller, vikten av att känsliga personuppgifter inte behandlas slentrianmässigt. Som Integritetsskyddsmyndigheten påpekar bör det av bestämmelsen även framgå att behandlingen sker med stöd av artikel 9.2 g i dataskyddsförordningen. Bestämmelsens hänvisningar till dataskyddsförordningen är dynamiska, vilket innebär att hänvisningarna avser dataskyddsförordningen i den vid varje tidpunkt gällande lydelsen. På det sättet säkerställs att ändringar i EU-regleringen får omedelbart genomslag.
Kammarrätten i Jönköping efterfrågar ett tydliggörande av hur behandlingen av känsliga personuppgifter som inte är ärendeanknutna – dvs. sådana uppgifter som kan inkomma utan koppling till någon pågående fördjupad granskning – kommer att se ut i kontaktpunktsverksamheten. Det gäller t.ex. hur de kommer att diarieföras, hur länge de kommer att behandlas och hur de kommer att användas. När det gäller frågan om diarieföring blir de allmänna reglerna i 5 kap. OSL, om bl.a. registrering av allmänna handlingar (1 §), tillämpliga. När det gäller längsta tid för behandling föreslås inte någon särskild reglering för just känsliga personuppgifter, se vidare avsnitt 6.7 om längsta tid för behandling. När det gäller hur uppgifterna kommer att användas blir detta en bedömning som kommer att göras från fall till fall, beroende på vad uppgifterna avser. Som konstateras i avsnitt 5.1 och 6.4 faller det t.ex. inom ramen för kontaktpunktsuppgiften att dela med sig av relevant information om våldsbejakande extremism och andra antidemokratiska miljöer till berörda beslutsorgan.
Utredningarna föreslår att bestämmelsen om behandling av känsliga personuppgifter även ska omfatta sådana uppgifter som avses i artikel 10 i EU:s dataskyddsförordning (uppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott) samt uppgifter om misstanke om brott. Av 3 kap. 8 § dataskyddslagen följer att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning – vilket vanligen även innefattar uppgifter om misstanke om brott (se IMYRS 2021:1) – får behandlas av myndigheter. CVE har alltså redan genom den bestämmelsen rättslig grund för behandling av sådana uppgifter. Eftersom den föreslagna bestämmelsen inte heller skulle inskränka möjligheterna att behandla uppgifterna i förhållande till vad som annars gäller enligt den i avsnitt 6.4 föreslagna ändamålsbestämmelsen, finns det därför inte skäl att låta bestämmelsen om behandling av känsliga personuppgifter även omfatta sådana uppgifter som avses i artikel 10 i EU:s dataskyddsförordning.
Sökbegränsningar
Sökningar som tar sikte på känsliga personuppgifter är typiskt sett förknippade med särskilda risker i integritetshänseende. I 3 kap. 3 § andra stycket dataskyddslagen finns därför ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Den bestämmelsen är emellertid avsedd att gälla för offentlig verksamhet där sektorsspecifik reglering avseende känsliga personuppgifter saknas. Eftersom det inte framkommit något behov att utföra sådana sökningar för uppgiften att vara kontaktpunkt eller för uppgiften att ge stöd vid oro för skolattacker, bör därför ett motsvarande sökförbud införas i den nya lagen. Som utredningarna föreslår bör det dessutom omfatta sökningar i syfte att få fram ett urval av personer grundat på sådana uppgifter som avses i artikel 10 i EU:s dataskyddsförordning. Bestämmelsens hänvisning till dataskyddsförordningen bör vara dynamisk för att säkerställa att ändringar i EU-regleringen får omedelbart genomslag.
Förbudet mot åsiktsregistrering och yttrandefriheten
Vissa remissinstanser, bl.a. Brå, CVE och Folkets hus och parker, pekar på behovet av en analys av hur förslagen förhåller sig till förbudet mot åsiktsregistrering och hur de påverkar yttrandefriheten. Enligt 2 kap. 3 § regeringsformen får ingen svensk medborgare utan samtycke antecknas i ett allmänt register enbart på grund av sin politiska åskådning. Bestämmelsen innebär bl.a. att ett register där en person finns antecknad på någon grund som saknar varje samband med politisk åskådning inte får kompletteras med en anteckning om den registrerades åskådning i sådant hänseende. Bestämmelsen utgör däremot inte något hinder mot att anteckningar t.ex. om partitillhörighet tillförs ett register över personer som på andra grunder än enbart sin politiska åskådning kan betraktas som säkerhetsrisker. Grunden för anteckningen är i det fallet att vederbörande med hänsyn till samtliga förekommande omständigheter anses utgöra en sådan risk (prop. 1975/76:209 s. 118).
Något reglerat register föreslås inte i propositionen. Skulle behandlingen av uppgifter ändå vara sådan – exempelvis när personuppgifter behandlas i kontaktpunktsverksamheten under en viss period för att de behövs i en pågående fördjupad granskning och även kan vara relevanta för beslutsorgan som inte begärt någon granskning – att det skulle kunna anses vara fråga om registerföring, så är grunden för registreringen att det antingen finns en oro för att personen ska begå en skolattack eller att personen har stark anknytning till en verksamhet som ansöker om offentliga medel eller om ett tillstånd eller godkännande att bedriva viss verksamhet som berättigar till offentlig finansiering. En anteckning av den registrerades politiska åskådning utgör en behandling av en känslig personuppgift som enligt förslaget bara får ske om det är nödvändigt för fullgörandet av någon av de nu aktuella uppgifterna. Det kan alltså aldrig vara fråga om att registrera någon enbart på grund av dennes politiska åskådning och förslagen är därför förenliga med 2 kap. 3 § regeringsformen.
När myndigheten inhämtar och behandlar personuppgifter, inklusive känsliga sådana, inom ramen för uppgiften att vara kontaktpunkt görs detta för att ytterst granska om verksamheter som frivilligt ansöker om offentliga medel, eller om ett tillstånd eller godkännande att bedriva viss verksamhet, uppfyller villkoren för erhållande av sådana medel eller tillstånd. Detta innebär inte någon inskränkning av yttrandefriheten. Detsamma gäller inom ramen för uppgiften att ge stöd vid oro för skolattacker.
Längsta tid för behandling av personuppgifter
Regeringens förslag: Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
Personuppgifter som behandlas när Brå utför uppgiften att ge stöd vid oro för skolattacker får dock inte behandlas under längre tid än två år efter utgången av det kalenderår då uppgifterna behandlas första gången. Om nya uppgifter om oro för en skolattack rörande samma person behandlas före utgången av tidsfristen ska de personuppgifter som redan finns om personen, om det är nödvändigt, få fortsätta att behandlas så länge någon av uppgifterna får behandlas.
Bestämmelserna om längsta tid för behandling ska inte hindra att Brå arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.
Utredningen om stöd till civilsamhällets förslag överensstämmer i sak med regeringens när det gäller verksamhet inom ramen för kontaktpunktsuppgiften. Utredningen föreslår dock att bestämmelsen om arkivering och bevarande ska hänvisa till behörig myndighet i stället för till Brå.
Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det.
Brå anser att en effektiv kontaktpunktsverksamhet borde förutsätta en viss lagring av personuppgifter som i praktiken kan utgöra ett register, och undrar om det därför behövs en tydligare reglering.
Skolsäkerhetsutredningens förslag överensstämmer delvis med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. I utredningens förslag har den bortre gränsen för hur länge personuppgifter får behandlas bestämts till ett år efter utgången av det kalenderår då uppgifterna behandlades första gången.
Remissinstanserna: De flesta remissinstanser instämmer i förslaget eller har inga invändningar mot det.
Idéburna skolors riksförbund, Nacka kommun och Göteborgs stad anser att den bortre tidsgränsen för behandling av personuppgifter bör vara längre än ett år, Idéburna skolors riksförbund föreslår två år.
Skälen för regeringens förslag: En av de grundläggande principerna för dataskydd är principen om lagringsminimering. Enligt denna princip får personuppgifter inte lagras under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (artikel 5.1 e i EU:s dataskyddsförordning). Genom att minimera lagringstiden minskar den risk för den personliga integriteten som en viss behandling av personuppgifter innebär. Bestämmelser som tydliggör hur länge personuppgifter får behandlas inom en verksamhet innebär därmed en form av skyddsåtgärd. Regeringen anser därför att det bör införas bestämmelser om längsta tid för personuppgiftsbehandling i den nya lagen.
I kontaktpunktsverksamheten kommer personuppgifter framför allt att behandlas för att utföra fördjupade granskningar, vilka kan skilja sig mycket åt beroende på vilken verksamhet och vilka typer av kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer de avser. Dessutom kommer personuppgifter att behandlas som saknar koppling till någon pågående fördjupad granskning, men som kan vara relevanta för ett eller flera beslutsorgan. Det är därför svårt att på ett generellt plan uttala sig om hur länge det kan vara nödvändigt att lagra uppgifter som behandlas i kontaktpunktsverksamheten. Även om det, som Brå framhåller, kan finnas ett värde i en uttrycklig reglering av en registerhantering, saknas i detta lagstiftningsärende underlag för att föreslå en sådan reglering. Regeringen ansluter sig därför till utredningens slutsats att den lämpligaste lösningen är en ändamålsrelaterad bestämmelse om längsta tid för behandling som innebär att personuppgifter inte får behandlas längre än vad som är nödvändigt med hänsyn till ändamålet.
Den föreslagna bestämmelsen bör även gälla personuppgifter som behandlas inom ramen för uppgiften att ge stöd vid oro för skolattacker. Som Skolsäkerhetsutredningen konstaterar är emellertid behandlingen av personuppgifter i den verksamheten särskilt integritetskänslig. Det bör därför även införas en översta gräns för hur länge personuppgifter får behandlas där. Oron kring exempelvis en elev kan vara aktuell under en längre period och stöd kan då komma att påkallas vid flera tillfällen under denna tid. För att säkerställa en kontinuitet i arbetet i en sådan situation är det, som bl.a. Idéburna skolors riksförbund framhåller, angeläget att tidsgränsen för tillåten behandling inte blir alltför kort. CVE ansvarar för att utföra uppgifterna i samarbete med myndigheten Brå i övrigt. Regeringen anser därför att bestämmelsen bör utformas så att personuppgifter som behandlas när Brå utför uppgiften att ge stöd vid oro för skolattacker inte får behandlas under längre tid än två år efter utgången av det kalenderår då uppgifterna behandlas första gången. Dessutom bör bestämmelsen, som Skolsäkerhetsutredningen föreslår, förses med en ventil om nya uppgifter om oro för en skolattack rörande samma person behandlas före utgången av tidsfristen. De personuppgifter som redan finns om personen ska då, om det är nödvändigt, få fortsätta att behandlas så länge någon av uppgifterna får behandlas.
Dataskyddsförordningen innehåller ett undantag från principen om lagringsminimering, som innebär att personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål (artikel 5.1 e i förordningen). För att tydliggöra att personuppgifter som utgör en del av en allmän handling får arkiveras bör det därför uttryckligen framgå att det som anges när det gäller längsta tid för behandling av personuppgifter inte hindrar att sådana uppgifter arkiveras i enlighet med gällande arkivlagstiftning. I vilken utsträckning personuppgifter ska gallras i samband med arkivering regleras i det arkivrättsliga regelverket.
Rätten att göra invändningar
Regeringens förslag: Rätten för registrerade att göra invändningar enligt dataskyddsförordningen ska inte gälla vid sådan behandling som är tillåten enligt den nya lagen eller föreskrifter som har meddelats i anslutning till lagen.
Utredningen om stöd till civilsamhällets bedömning överensstämmer inte med regeringens förslag när det gäller verksamhet inom ramen för kontaktpunktsuppgiften. Utredningen föreslår inte någon begränsning av rätten att göra invändningar.
Remissinstanserna instämmer i bedömningen eller har inga invändningar mot den.
Skolsäkerhetsutredningens förslag överensstämmer med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker.
Remissinstanserna instämmer i förslaget eller har inga invändningar mot det.
Skälen för regeringens förslag: Vid behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (dvs. behandling enligt artikel 6.1 e i dataskyddsförordningen) ska den registrerade ha rätt att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot behandlingen. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Detta följer av artikel 21.1 i dataskyddsförordningen.
Rätten att göra invändningar innebär att den registrerade har möjlighet att få till stånd en kontroll av om uppgifterna får behandlas. Under tiden som en sådan prövning pågår har den registrerade rätt att kräva att behandlingen av personuppgifterna begränsas (se artikel 18.1 d i dataskyddsförordningen). Om det bedöms saknas berättigade skäl för behandlingen har den registrerade rätt att få personuppgifterna raderade (se artikel 17.1 c i dataskyddsförordningen).
Medlemsstaterna har enligt artikel 23 i dataskyddsförordningen möjlighet att genom lagstiftningsåtgärder begränsa vissa av de skyldigheter och rättigheter som följer av förordningen, däribland rätten att göra invändningar mot behandlingen av personuppgifter. En sådan begränsning får göras om den sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna. Begränsningen måste vidare utgöra en nödvändig och proportionell åtgärd i syfte att säkerställa olika uppräknade intressen, bl.a. den allmänna säkerheten, förebyggande eller förhindrande av brott eller andra viktiga mål av generellt allmänt intresse (artikel 23.1). Sådana lagstiftningsåtgärder ska enligt artikeln innehålla specifika bestämmelser när så är relevant, avseende bl.a. ändamålen med behandlingen, lagringstiden samt tillgängliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål (artikel 23.2).
Rätten att göra invändningar har begränsats i ett flertal myndigheters registerförfattningar (se prop. 2022/23:34 s. 122–123 med hänvisningar). Det har i dessa fall ansetts vara av stor betydelse att personuppgifter får behandlas i myndigheternas verksamheter, oberoende av den registrerades inställning, samtidigt som regeringen bedömt att den personuppgiftsansvarige närmast undantagslöst skulle kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet (se t.ex. prop. 2017/18:254 s. 45). Detta bedöms gälla även inom de nu aktuella verksamheterna vid Brå. För att säkerställa förutsättningarna att behandla relevanta personuppgifter i dessa verksamheter anser regeringen därför att det bör införas en bestämmelse i den nya lagen som innebär att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte gäller vid sådan behandling som är tillåten enligt lagen eller enligt föreskrifter som har meddelats i anslutning till lagen. En sådan begränsning får anses utgöra en nödvändig och proportionerlig åtgärd i syfte att säkerställa sådana viktiga mål av generellt allmänt intresse som krävs enligt artikel 23.1 i dataskyddsförordningen. Den föreslagna nya lagen innehåller dessutom bestämmelser om bl.a. ändamålen med behandlingen, behandling av känsliga personuppgifter, sökbegränsningar och längsta tid för behandling, och minimerar på så vis risken för kränkning av den registrerades rättigheter och friheter. Den får därför anses uppfylla även de krav som uppställs i artikel 23.2 i dataskyddsförordningen. Den föreslagna bestämmelsens hänvisning till dataskyddsförordningen bör vara dynamisk för att säkerställa att ändringar i EU-regleringen får omedelbart genomslag.
Rätt att meddela föreskrifter
Regeringens bedömning: Det finns inte skäl att införa en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter som kompletterar den nya lagen.
Utredningen om stöd till civilsamhällets förslag överensstämmer inte med regeringens bedömning när det gäller verksamhet inom ramen för uppgiften att vara kontaktpunkt. Utredningen föreslår att det ska införas en upplysningsbestämmelse om rätt att meddela föreskrifter.
Remissinstanserna instämmer i förslaget eller har inga invändningar mot det.
Skolsäkerhetsutredningens förslag överensstämmer inte med regeringens bedömning när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningen föreslår att det ska införas en upplysningsbestämmelse om rätt att meddela föreskrifter.
Remissinstanserna instämmer i förslaget eller har inga invändningar mot det.
Skälen för regeringens bedömning: Ingen av utredningarna redogör för något konkret behov av att komplettera den nya lagen genom bestämmelser i förordning eller föreskrifter. Det kan emellertid inte uteslutas att ett sådant behov kan uppkomma. Bestämmelser om myndigheters personuppgiftsbehandling anses normalt falla in under regeringens s.k. restkompetens i 8 kap. 7 § regeringsformen. Regeringen eller den myndighet som regeringen bestämmer har alltså möjlighet att meddela kompletterande bestämmelser till den föreslagna lagen, så länge de inte är sådana som avses i 2 kap. 6 § andra stycket regeringsformen (jfr prop. 2017/18:105 s. 26). Regeringen anser, till skillnad från utredningarna, att det dock inte finns skäl att införa en upplysningsbestämmelse om regeringens normgivningskompetens i lagen.
Andra aktörers personuppgiftsbehandling
Regeringens bedömning: Det finns inte skäl att införa några bestämmelser som tar sikte på andra aktörers personuppgiftsbehandling.
Utredningen om stöd till civilsamhällets bedömning överensstämmer med regeringens när det gäller verksamhet inom ramen för kontaktpunktsuppgiften.
Remissinstanserna: De flesta remissinstanser instämmer i bedömningen eller har inga invändningar mot den.
Integritetsskyddsmyndigheten ifrågasätter att verksamheter som ansöker om att få del av offentliga medel eller beviljas tillstånd att bedriva viss verksamhet som finansieras av offentliga medel ska anses ha ett rättsligt anspråk i dataskyddsförordningens mening, om anspråket inte kan bli föremål för domstolsprövning. Även bl.a. Civilsamhällets organisationer i samverkan lyfter frågor om vilken personuppgiftsbehandling som ansökande verksamheter har stöd för.
Skolsäkerhetsutredningens bedömning överensstämmer med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker.
Remissinstanserna: De flesta remissinstanser instämmer i bedömningen eller har inga invändningar mot den.
Göteborgs stad påtalar att dataskyddsförordningens regler om information kan innebära en skyldighet för exempelvis en skolhuvudman att upplysa den registrerade om att dennes personuppgifter kommer att lämnas till CVE och syftet med detta.
Skälen för regeringens bedömning
Personuppgiftsbehandling med koppling till kontaktpunktsverksamheten
När CVE har genomfört en fördjupad granskning kommer ett yttrande att lämnas till det beslutsorgan som har begärt granskningen. Yttrandet kan innehålla personuppgifter och dessa kan vara känsliga eller röra lagöverträdelser. Uppgifterna i yttrandet kommer därefter i regel att delas med den granskade verksamhet som är part i grundärendet vid beslutsorganet. Både beslutsorganen och de granskade parterna kommer alltså att behöva behandla personuppgifter som kommer från CVE:s fördjupade granskningar.
Att CVE har fått i uppgift att bistå med fördjupade granskningar innebär emellertid inte i sig att de beslutsorgan som kan vända sig till CVE har ålagts några nya uppgifter eller att de ska tillämpa några nya eller ändrade villkor för fördelning av offentliga medel eller beviljande av sådana tillstånd eller godkännanden som i förlängningen berättigar till offentlig finansiering. I de fall som en verksamhets koppling till våldsbejakande extremism eller andra antidemokratiska miljöer kan ha betydelse för beslutsorganets hantering är det alltså redan i dag beslutsorganets uppgift att utreda sådana eventuella kopplingar, vilket kan kräva att känsliga personuppgifter eller uppgifter om lagöverträdelser behandlas. Eventuella behov av bestämmelser om personuppgiftsbehandling vid beslutsorganen bör därför i första hand bedömas i samband med att den reglering som respektive beslutsorgan ska tillämpa är föremål för ändringar eller andra överväganden. Det kan t.ex. noteras att regeringen i propositionen Statens stöd till trossamfund och civilsamhället – enhetliga och rättssäkra villkor (prop. 2023/24:119) gör bedömningen att ett demokrativillkor bör gälla för statlig bidragsgivning riktad till civilsamhället, om det inte är obehövligt, och som en följd av detta också analyserar beslutsorganens möjligheter att behandla personuppgifter. Regeringens bedömning i det lagstiftningsärendet är att beslutsorganen utför uppgifter av viktigt allmänt intresse och att de därför redan enligt dataskyddsförordningen har stöd för att behandla personuppgifter, inklusive känsliga sådana – men att det ändå finns skäl att införa särskilda lagbestämmelser om detta. När det gäller uppgifter om brott konstateras att de beslutsorgan som är myndigheter har stöd för sådan behandling, men att det av tydlighetsskäl bör införas en uttrycklig bestämmelse som ger även enskilda organ rätt att behandla sådana uppgifter (se samma prop. s. 127–128 och 146–149).
När det gäller de granskade verksamheterna är situationen i grunden densamma. Om beslutsorganen utreder kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer måste sådana uppgifter redan i dag delas med de granskade verksamheterna, om de har betydelse för beslutsorganets hantering. Även eventuella behov av bestämmelser om personuppgiftsbehandling vid de granskade verksamheterna bör därför i första hand bedömas i samband med att den reglering som verksamheternas ansökningar prövas enligt är föremål för ändringar eller andra överväganden. Det finns därför inte skäl för någon mer djupgående behandling av verksamheternas personuppgiftsbehandling, såsom Civilsamhällets organisationer i samverkan efterfrågar. Det kan dock noteras att regeringen i prop. 2023/24:119 även analyserar de granskade verksamheternas möjligheter att behandla personuppgifter. Regeringens bedömning i det lagstiftningsärendet är att intresset av att ansöka om och ta del av ett statligt stöd får anses utgöra ett berättigat intresse och att verksamheterna därmed har en rättslig grund för nödvändig behandling av personuppgifter i ärenden om stöd. Regeringen anser dessutom, till skillnad från Integritetsskyddsmyndigheten, att en verksamhet som ansöker om att få ta del av statligt stöd bör anses ha ett rättsligt anspråk i dataskyddsförordningens mening och därmed kan behandla även känsliga personuppgifter och uppgifter om lagöverträdelser vid en prövning av en fråga om rätt till stöd (se samma prop. s. 128–135). Regeringen, som konstaterar att motsvarande får anses gälla verksamheter som ansöker om godkännande eller tillstånd att driva offentligt finansierad verksamhet, ser inga skäl att nu göra någon annan bedömning i den frågan.
Sammantaget innebär detta, i likhet med Utredningen om granskning av stöd till civilsamhällets bedömning, att det inte finns skäl att i det här lagstiftningsärendet föreslå några bestämmelser om beslutsorgans eller granskade verksamheters personuppgiftsbehandling.
Personuppgiftsbehandling med koppling till stödverksamheten vid oro för skolattacker
När CVE ger stöd till kommuner, myndigheter och andra aktörer som hanterar ärenden i vilka det finns en oro för skolattacker kan personuppgifter, även känsliga personuppgifter eller sådana som rör lagöverträdelser, komma att behöva lämnas till den som begärt stödet eller till andra berörda aktörer. De aktörer som på så vis kan komma att ta emot, och behöva behandla, personuppgifter från CVE behandlar emellertid redan i dag personuppgifter av motsvarande slag. Den nya uppgiften för CVE innebär alltså inte någon egentlig ändring i det avseendet och det finns därför inte något närmare behov av att analysera berörda aktörers möjligheter att behandla personuppgifter.
När en aktör begär stöd från CVE kommer aktören i många fall att lämna information till CVE som innehåller personuppgifter, och CVE kan även komma att få sådan information från andra berörda aktörer inom ramen för ett ärende om stöd. En särskild fråga som då uppkommer är vilka dataskyddsrättsliga skyldigheter de aktörer som lämnar uppgifter till CVE har att informera den person som uppgifterna rör om att dessa har överlämnats. I vissa fall kan det nämligen tänkas att syftet med stödbegäran riskerar att förfelas om den person som oron avser får kännedom om att begäran har gjorts.
Som Skolsäkerhetsutredningen konstaterar finns i artikel 14.5 c i dataskyddsförordningen ett undantag från skyldigheterna enligt artikel 14.1–4 att lämna information till den registrerade när personuppgifter erhållits från annan än den registrerade (se SOU 2023:28 s. 179–181). Detta kan tillämpas både av CVE och av de aktörer som lämnar uppgifter till CVE när dessa har erhållits av någon annan än den person som oron avser, t.ex. vårdnadshavare eller andra myndigheter. I vissa fall kommer emellertid, som Göteborgs stad påtalar, uppgifterna som överlämnas till CVE att ha erhållits från den registrerade. Skyldigheterna att lämna information till honom eller henne regleras då i stället i artikel 13 i dataskyddsförordningen. Av artikel 13.3 följer att om en personuppgiftsansvarig avser att ytterligare behandla personuppgifter för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte. I den mån utlämnandet av personuppgifter till CVE kan anses göras för ett nytt syfte, är den aktör som lämnar ut personuppgifterna alltså skyldig att informera den registrerade om detta. 5 kap. 1 § dataskyddslagen innehåller undantag från denna skyldighet när uppgifterna inte får lämnas ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Är den personuppgiftsansvarige inte en myndighet, gäller undantaget även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda. De personuppgifter det gäller kommer ofta att vara sekretessbelagda hos den aktör som lämnar dem till CVE (eller skulle ha varit det hos en myndighet), men i regel gäller sekretessen inte i förhållande till den person som uppgifterna avser och sekretessreglerna innebär då inte att uppgifterna inte får lämnas ut till den registrerade. Det betyder att det kan förekomma situationer då en aktör som lämnar uppgifter till CVE har en skyldighet att upplysa den person som oron avser om detta. I enskilda fall kan detta, utifrån syftet med regleringen, vara problematiskt. Det saknas emellertid underlag för att i detta lagstiftningsärende föreslå en reglering med undantag från informationsskyldigheten i artikel 13.3. Det kan i sammanhanget noteras att om ett tydligt behov framkommer kan frågan regleras på förordningsnivå, med stöd av 5 kap. 1 § dataskyddslagen.
Sammantaget innebär detta, i likhet med Skolsäkerhetsutredningens bedömning, att det inte finns skäl att i det här lagstiftningsärendet föreslå några bestämmelser om andra aktörers personuppgiftsbehandling med koppling till stödverksamheten vid oro för skolattacker.
Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Den nya lagen om viss personuppgiftsbehandling vid Brå och ändringarna i offentlighets- och sekretesslagen ska träda i kraft den 1 mars 2025.
Regeringens bedömning: Det finns inget behov av övergångsbestämmelser.
Utredningen om stöd till civilsamhällets förslag och bedömning överensstämmer delvis med regeringens när det gäller verksamhet inom ramen för kontaktpunktsuppgiften. Utredningen föreslår att lagarna ska träda i kraft den 1 januari 2023.
Remissinstanserna har inga synpunkter på förslaget eller bedömningen.
Skolsäkerhetsutredningens förslag och bedömning överensstämmer i huvudsak med regeringens när det gäller verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningen föreslår att lagarna ska träda i kraft den 1 januari 2025.
Remissinstanserna har inga synpunkter på förslaget eller bedömningen.
Skälen för regeringens förslag: Uppgifterna att vara kontaktpunkt respektive att ge stöd vid oro för skolattacker gäller fr.o.m. den 1 mars 2025. Den föreslagna lagen om viss personuppgiftsbehandling vid Brå och de föreslagna ändringarna i offentlighets- och sekretesslagen syftar till att myndigheten ska kunna utföra dessa uppgifter på ett effektivt sätt och bör därför träda i kraft samma dag. Det finns inte något behov av övergångsbestämmelser.
Konsekvenser
Regeringens bedömning: Förslagen innebär inga kostnadsökningar för Brå eller några andra myndigheter eller för kommunerna. Förslagen innebär inte heller några ekonomiska konsekvenser för enskilda.
Förslagen innebär ett intrång i den personliga integriteten, men detta är motiverat av intressena att förhindra skolattacker respektive att offentliga medel utnyttjas av verksamheter med kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer. Sammantaget bedöms förslagen vara proportionerliga och förenliga med regeringsformen, Europakonventionen, EU:s rättighetsstadga och barnkonventionen.
Det finns inte skäl att föreslå någon extern tillsyn av verksamheten vid CVE.
Förslagen kan förväntas bidra till det brottsförebyggande arbetet.
Förslagen förväntas inte medföra några övriga konsekvenser.
Utredningen om stöd till civilsamhällets bedömning överensstämmer i huvudsak med regeringens när det gäller förslagen som rör verksamhet inom ramen för kontaktpunktsuppgiften. Utredningen uttalar sig dock inte specifikt över de ekonomiska konsekvenserna av lagförslagen.
Remissinstanserna: Flera remissinstanser, bl.a. Civilsamhällets organisationer i samverkan, Folkbildningsrådet och Borås Stad, menar att utredningens förslag kan komma att medföra ökad administration och merkostnader för både beslutsorganen och de granskade verksamheterna. Polismyndigheten påtalar att konsekvenserna för framför allt Finanspolissektionen inte har beaktats av utredningen. Brå och CVE anser att frågan om extern tillsyn av verksamheten vid CVE bör övervägas. Region Halland anser att om personuppgifter beträffande barn kommer att behandlas så behöver integritetsrisker för barns uppgifter analyseras särskilt.
Skolsäkerhetsutredningens bedömning överensstämmer i huvudsak med regeringens när det gäller förslagen som rör verksamhet inom ramen för uppgiften att ge stöd vid oro för skolattacker. Utredningen uttalar sig dock inte specifikt över de ekonomiska konsekvenserna av lagförslagen.
Remissinstanserna: Eskilstuna kommun anser att utredningens förslag kommer att innebära kostnadsökningar för kommunerna. Region Kronoberg efterfrågar en analys av förslagen utifrån barnkonventionen.
Skälen för regeringens bedömning
Ekonomiska konsekvenser
I propositionen föreslås en ny personuppgiftslag för Brå samt två nya bestämmelser i offentlighets- och sekretesslagen. Förslagen föranleds av de två nya uppgifter som CVE tilldelats, dvs. att vara kontaktpunkt respektive att ge stöd vid oro för skolattacker, och syftar till att möjliggöra en både ändamålsenlig och integritetssäker behandling av personuppgifter vid myndigheten. Lagförslagen medför inte i sig några beaktansvärda kostnader för Brå. Även om säkerhetsåtgärderna i personuppgiftslagen och den föreslagna sekretessbestämmelsen kan innebära viss administration, så kan samtidigt den tydliga personuppgiftsregleringen och den föreslagna sekretessbrytande bestämmelsen förenkla annan hantering. En annan sak är att de två nya uppgifterna kommer att innebära kostnadsökningar. Konsekvenserna av dessa behandlas av utredningarna. Brå har också i budgetpropositionen för 2024 tillförts medel för att ge myndigheten förutsättningar att bedriva kontaktpunktsverksamheten och från och med 2025 beräknas anslaget höjas ytterligare.
Flera remissinstanser, bl.a. Civilsamhällets organisationer i samverkan, Folkbildningsrådet och Borås Stad, lyfter farhågor om ökad administration och merkostnader för de beslutsorgan som kan begära fördjupade granskningar och för de granskade verksamheterna. De nu föreslagna lagändringarna medför emellertid i sig inte någon ökad administration eller några merkostnader för vare sig beslutsorgan, oavsett om dessa är myndigheter eller enskilda, eller granskade verksamheter. Detsamma gäller för aktörer som kan begära stöd vid oro för skolattacker, oavsett om det rör sig om sådana kommunala aktörer som Eskilstuna kommun berör eller enskilda.
Den föreslagna sekretessbrytande bestämmelsen kan medföra att framför allt Polismyndigheten, inklusive Finanspolissektionen, måste hantera något fler förfrågningar om uppgifter från CVE. Bedömningen är dock att det rör sig om en så marginell ökning att kostnaderna ryms inom myndighetens befintliga ekonomiska ramar.
Konsekvenser för den personliga integriteten
Den föreslagna lagen om viss personuppgiftsbehandling vid Brå tillsammans med den föreslagna sekretessbrytande bestämmelsen, ger ökade möjligheter att behandla personuppgifter. Särskilt gäller detta känsliga personuppgifter. Både i kontaktpunktsverksamheten och inom ramen för uppgiften att ge stöd vid oro för skolattacker möjliggör lagförslagen att Brå – i praktiken framför allt CVE – i relativt stor omfattning får behandla uppgifter om enskilda personer som exempelvis rör deras kopplingar till våldsbejakande extremism eller som annars avslöjar personernas åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Det kan också röra sig om uppgifter om begångna eller misstänkta brott, och särskilt inom ramen för uppgiften att ge stöd vid oro för skolattacker kan det även röra sig om uppgifter om exempelvis psykisk ohälsa, skolgång, hemförhållanden eller insatser från socialtjänsten. Att sådana uppgifter om enskilda behandlas av en myndighet innebär risker för de enskildas integritet, särskilt när det sker i relativt stor omfattning. Behandlingen med stöd av den nu föreslagna regleringen kan, inom ramen för båda de nya uppgifterna, dessutom komma att avse personer som visar sig sakna kopplingar till våldsbejakande extremism respektive intentioner att begå en skolattack. Som framgår i det följande anser regeringen emellertid att risken är acceptabel i förhållande till samhällsintresset av att förhindra skolattacker och att offentliga medel utnyttjas av verksamheter med kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer.
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Regeringen gör bedömningen att de nämnda lagförslagen i enskilda fall kan möjliggöra ett sådant betydande intrång i den personliga integriteten, som dessutom kan ske utan samtycke. Men hänsyn till den behandling av uppgifterna som CVE kan behöva göra, i både kontaktspunktsverksamheten och inom ramen för uppgiften att ge stöd vid oro för skolattacker, kan det inte heller uteslutas att intrånget i vissa fall skulle kunna anses innebära en kartläggning av den enskildes personliga förhållanden. Förslagen kan alltså innebära en begränsning av skyddet mot intrång som innebär kartläggning av den enskildes personliga förhållanden. Sådana begränsningar får göras genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får heller aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Dessutom får begränsningen inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap. 20 § första stycket 2 och 21 § regeringsformen).
Förslagen i propositionen innebär att begränsningen görs genom lag och ändamålen – dvs. att förhindra skolattacker och att offentliga medel utnyttjas av verksamheter med kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer – är godtagbara i ett demokratiskt samhälle. Lagförslagen begränsas vidare på sådant sätt att Brå kan inhämta och behandla personuppgifter endast i den utsträckning som är nödvändig för att utföra sina båda uppgifter. Dessutom föreslås en rad säkerhetsåtgärder, såsom bestämmelser om sökbegränsningar och begränsad tillgång till personuppgifterna inom Brå samt en ny sekretessbestämmelse till skydd för enskilda vid myndigheten. Regeringen bedömer därför att begränsningen av skyddet för den enskilde inte går utöver vad som är nödvändigt med hänsyn till ändamålen och att den inte heller sträcker sig så långt att den utgör ett hot mot den fria åsiktsbildningen. De uppgifter om en enskild som behandlas kan vara sådana att de i och för sig avslöjar personens åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Anledningen till att de behandlas är emellertid att det antingen finns en oro för att personen ska begå en skolattack eller att personen har stark anknytning, såsom t.ex. företrädare eller ägare, till en verksamhet som ansöker om offentliga medel eller om ett tillstånd eller godkännande att bedriva viss verksamhet som berättigar till offentlig finansiering. Begränsningen av skyddet för den enskilde görs alltså inte enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Sammantaget innebär detta att förslagen i propositionen är förenliga med 2 kap. 6 § andra stycket regeringsformen.
Rätten till respekt för privatlivet enligt den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) får inskränkas med stöd av lag om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Med hänvisning till den gjorda proportionalitetsbedömningen konstaterar regeringen att förslagen måste anses förenliga med Europakonventionen. Att förhindra skolattacker och att offentliga medel utnyttjas av verksamheter med kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer är mål av allmänt samhällsintresse, och möjligheten att effektivt bidra till dessa begränsas om Brå inte har möjlighet att behandla personuppgifter i den utsträckning som lagförslagen innebär. Den inskränkning som förslagen innebär av rätten till integritet och respekt för privat- och familjeliv samt skydd av personuppgifter enligt EU:s stadga om de grundläggande rättigheterna är därför nödvändig. Eftersom förslagen dessutom får anses vara proportionerliga är de förenliga även med rättighetsstadgan och uppfyller dessutom proportionalitetskraven i EU:s dataskyddsförordning. Av samma skäl är förslagen även förenliga med bestämmelserna om rätt till privat- och familjeliv i barnkonventionen, som uppmärksammas av Region Halland och Region Kronoberg. Vad gäller barnkonventionens krav i övrigt, som främst blir aktuella i verksamheten med stöd vid oro för skolattacker, konstaterar regeringen att Barnombudsmannen utifrån bl.a. artiklarna 3, 6, 19 och 28 är positiv till förslaget att CVE får ansvar för den uppgiften, eftersom det bidrar till att barn och elever ska ha en säker och trygg utbildnings- och arbetsmiljö. Detsamma gäller, enligt regeringen, förslagen i propositionen, som syftar till att möjliggöra en både ändamålsenlig och integritetssäker behandling av personuppgifter när CVE utför sin stöduppgift. Regeringen gör därför bedömningen att förslagen är förenliga med barnkonventionen.
Brå och CVE anser att frågan om extern tillsyn av verksamheten vid CVE bör övervägas. Regeringen konstaterar att Integritetsskyddmyndigheten är tillsynsmyndighet enligt EU:s dataskyddsförordning och dataskyddslagen (2 a § andra stycket förordningen [2007:975] med instruktion för Integritetsskyddsmyndigheten) och alltså utövar tillsyn över den personuppgiftsbehandling som sker vid Brå, inklusive CVE. Dessutom omfattas verksamheten vid myndigheten av Justitiekanslerns och Riksdagens ombudsmäns tillsyn, vilket bl.a. innebär att enskilda kan ge in klagomål till dessa. Regeringen anser att det inte finns skäl att föreslå någon ytterligare extern tillsyn av den nu aktuella verksamheten.
Övriga konsekvenser
Lagförslagen ger CVE möjlighet att arbeta mer effektivt inom ramen för kontaktpunktsuppgiften och uppgiften att ge stöd vid oro för skolattacker. Förslagen kan på så vis förväntas bidra till det brottsförebyggande arbetet. Regeringen bedömer att lagförslagen inte får några konsekvenser för den kommunala självstyrelsen eller för sysselsättning och offentlig service i olika delar av landet. Förslagen bedöms inte heller ha någon inverkan på jämställdheten mellan kvinnor och män eller möjligheterna att nå de integrationspolitiska målen.
Författningskommentar
Förslaget till lag om viss personuppgiftsbehandling vid Brottsförebyggande rådet
Lagens syfte
1 § Syftet med denna lag är att ge Brottsförebyggande rådet möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Paragrafen anger det övergripande syftet med lagen. Övervägandena finns i avsnitt 6.1.
Syftet med lagen är dubbelt. Lagen ska dels göra det möjligt för Brottsförebyggande rådet att behandla personuppgifter på ett ändamålsenligt sätt, dels skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter vid Brottsförebyggande rådet när myndigheten
1. utför uppgiften att vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, och
2. ger behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar ärenden i vilka det finns en oro för att en eller flera personer ska genomföra en skolattack.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Paragrafen anger lagens tillämpningsområde. Övervägandena finns i avsnitt 6.2.
Av första stycket framgår att lagen gäller vid behandling av personuppgifter i viss verksamhet vid Brottsförebyggande rådet. Av punkt 1 följer att lagen gäller inom ramen för Brottsförebyggande rådets uppgift att vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter. Punkt 2 anger att lagen gäller även inom ramen för uppgiften att ge behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar ärenden i vilka det finns en oro för att en eller flera personer ska genomföra en skolattack. Definitioner av begreppen behandling och personuppgifter finns i artikel 4 i EU:s dataskyddsförordning.
I andra stycket begränsas lagens tillämpningsområde till att avse helt eller delvis automatiserad behandling av personuppgifter och behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Den föreslagna lagens tillämpningsområde motsvarar i denna del helt dataskyddsförordningens tillämpningsområde. Av artikel 2.1 i dataskyddsförordningen framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Ett register är enligt definitionen i artikel 4.6 i dataskyddsförordningen en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Det innebär att manuell behandling av personuppgifter som inte ingår eller kommer att ingå i ett register faller utanför lagens tillämpningsområde.
Förhållandet till annan reglering
3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Paragrafen anger lagens förhållande till EU:s dataskyddsförordning. Övervägandena finns i avsnitt 6.2.
I paragrafen upplyses om att lagen kompletterar dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig men förutsätter och tillåter i vissa avseenden nationella bestämmelser som kompletterar förordningen. Denna lag innehåller de kompletterande bestämmelser som gäller i den verksamhet som anges i 2 §.
4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till lagen.
Paragrafen anger lagens förhållande till dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen. Övervägandena finns i avsnitt 6.2.
Dataskyddslagen, som kompletterar EU:s dataskyddsförordning på nationell generell nivå, är subsidiär i förhållande till denna lag. Bestämmelsen innebär att om inte något annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen, gäller dataskyddslagen och föreskrifter som har meddelats i anslutning till den.
Personuppgiftsansvar
5 § Brottsförebyggande rådet är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför enligt denna lag.
Paragrafen reglerar personuppgiftsansvaret vid behandling av personuppgifter enligt lagen. Övervägandena finns i avsnitt 6.3.
Brottsförebyggande rådet är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten, inom ramen för de uppgifter som det nationella centrumet mot våldsbejakande extremism ansvarar för, utför enligt lagen. Brottsförebyggande rådet ansvarar därmed för att behandlingen utförs i enlighet med gällande dataskyddsreglering.
Ändamål med personuppgiftsbehandlingen
6 § Personuppgifter får behandlas om det är nödvändigt för att Brottsförebyggande rådet ska kunna utföra någon av de uppgifter som anges i 2 §.
Paragrafen anger de primära ändamålen för vilka personuppgifter får behandlas. Övervägandena finns i avsnitt 6.4.
Personuppgifter får behandlas om det är nödvändigt för att Brottsförebyggande rådet ska kunna utföra antingen sin uppgift som kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, eller sin uppgift att ge behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar ärenden i vilka det finns en oro för att en eller flera personer ska genomföra en skolattack. Ändamålen är brett formulerade och Brottsförebyggande rådet måste därför normalt precisera ändamålet när uppgifter samlas in, för att leva upp till kravet på särskilda, uttryckligt angivna och berättigade ändamål i artikel 5.1 b i EU:s dataskyddsförordning. Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig om den leder till effektivitetsvinster (prop. 2017/18:105 s. 189). Kravet på nödvändighet innebär dock att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna (prop. 2017/18:232 s. 117).
7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Personuppgifterna får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Paragrafen anger de ytterligare ändamål för vilka personuppgifter får behandlas. Övervägandena finns i avsnitt 6.4.
Av första stycket framgår att personuppgifter som behandlas enligt 6 § även får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Behandlingen förutsätter således att uppgifterna redan är föremål för behandling enligt den primära ändamålsbestämmelsen. Behandling får då ske både för uppgiftslämnande som görs på grund av en skyldighet att lämna ut uppgifter och för uppgiftslämnande som görs med stöd av bestämmelser som innebär att uppgifter får lämnas ut, t.ex. den s.k. generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen (2009:400). Bestämmelsen omfattar uppgiftslämnande både till andra myndigheter och till andra aktörer, t.ex. en skola med enskild huvudman, så länge uppgiftslämnandet sker med stöd av lag eller förordning.
Andra stycket tydliggör att den s.k. finalitetsprincipen gäller vid behandling av personuppgifter enligt lagen. Bestämmelsen är utformad i nära anslutning till artikel 5.1 b i EU:s dataskyddsförordning och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 i dataskyddsförordningen ska beaktas vid bedömningen av om behandlingen är förenlig med finalitetsprincipen.
Tillgången till personuppgifter
8 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Paragrafen reglerar tillgången till personuppgifter. Övervägandena finns
i avsnitt 6.5.
Uttrycket var och en inkluderar tillsvidareanställd personal men även t.ex. personer med en tidsbegränsad anställning eller uppdragstagare. Brottsförebyggande rådet ska aktivt ta ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag medför och tilldela den behörighet som behövs utifrån det. Tillgången kan begränsas genom tekniska och organisatoriska åtgärder (jfr artikel 32 i EU:s dataskyddsförordning).
Behandling av känsliga personuppgifter
9 § Personuppgifter som avses i artikel 9.1 (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g i EU:s dataskyddsförordning endast om uppgifterna är nödvändiga för fullgörandet av någon av de uppgifter som anges i 2 §.
Paragrafen reglerar behandlingen av känsliga personuppgifter. Övervägandena finns i avsnitt 6.6.
Känsliga personuppgifter är sådana särskilda kategorier av uppgifter som räknas upp i artikel 9.1 i EU:s dataskyddsförordning, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Av paragrafen framgår att Brottsförebyggande rådet får behandla sådana uppgifter, med stöd av artikel 9.2 g i dataskyddsförordningen, endast om de är nödvändiga för fullgörandet av antingen uppgiften som kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, eller uppgiften att ge behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar ärenden i vilka det finns en oro för att en eller flera personer ska genomföra en skolattack. Nödvändighetsrekvisitet har samma innebörd som i 6 § (jfr prop. 2017/18:105 s. 75 och 76), se vidare kommentaren till den paragrafen. Hänvisningarna till dataskyddsförordningen är dynamiska och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen.
Sökbegränsningar
10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter som avses i artikel 10 i EU:s dataskyddsförordning.
Paragrafen förbjuder vissa integritetskänsliga sökningar. Övervägandena finns i avsnitt 6.6.
Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på sådana uppgifter. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har en viss politisk åsikt, religiös åskådning eller som har begått viss typ av brott. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, t.ex. för att utöva tillsyn, för att ta fram verksamhetsstatistik eller för registervård. Hänvisningen till dataskyddsförordningen är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen.
Längsta tid som personuppgifter får behandlas
11 § Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
Personuppgifter som behandlas när Brottsförebyggande rådet utför den uppgift som anges i 2 § första stycket 2 får dock inte behandlas under längre tid än två år efter utgången av det kalenderår då uppgifterna behandlas första gången. Om nya uppgifter om oro för en skolattack rörande samma person behandlas före utgången av tidsfristen får de personuppgifter som redan finns om personen, om det är nödvändigt, fortsätta att behandlas så länge någon av uppgifterna får behandlas.
Första och andra styckena hindrar inte att Brottsförebyggande rådet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.
Paragrafen reglerar hur länge personuppgifter får behandlas. Övervägandena finns i avsnitt 6.7.
I första stycket föreskrivs att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det handlar om vad som är nödvändigt för att Brottsförebyggande rådet ska kunna utföra antingen sin uppgift som kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, eller sin uppgift att ge behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar ärenden där det finns en oro för att en eller flera personer ska genomföra en skolattack. Det som avses är ändamålet i det enskilda fallet. Om uppgiften behandlas för flera olika ändamål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av behandling kvarstår för dessa.
Andra stycket innehåller en särskild begränsning för personuppgifter som behandlas när Brottsförebyggande rådet utför sin uppgift att ge stöd vid oro för en skolattack. Sådana uppgifter får inte, även om första stycket skulle tillåta det, behandlas längre än två år efter utgången av det kalenderår då uppgifterna behandlas första gången. Med första behandlingen avses den första åtgärd som vidtas avseende en personuppgift inom ramen för stödverksamheten. Begränsningen innehåller en ventil som innebär att om en ny uppgift beträffande samma person behandlas före utgången av tidsfristen får de personuppgifter som redan finns om personen, om det är nödvändigt, fortsätta att behandlas så länge någon av uppgifterna får behandlas.
Av tredje stycket framgår att bestämmelserna om längsta tid för behandling inte hindrar att personuppgifterna arkiveras av Brottsförebyggande rådet eller att arkivmaterial lämnas till en arkivmyndighet.
Rätten att göra invändningar
12 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen innehåller ett undantag från den registrerades rätt att göra invändningar enligt EU:s dataskyddsförordning. Övervägandena finns i avsnitt 6.8.
Av artikel 21.1 följer att den registrerade har rätt att när som helst invända mot myndigheters behandling av personuppgifter avseende honom eller henne som grundar sig på sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6.1 e). Undantaget utgör en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i dataskyddsförordningen. Hänvisningen till dataskyddsförordningen är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen.
Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
35 kap.
10 e § Sekretessen enligt 1 § hindrar inte att en uppgift lämnas till Brottsförebyggande rådet när myndigheten utför uppgiften att vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive uppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, om uppgiften behövs i ett ärende om fördjupad granskning.
En uppgift får lämnas endast om intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Paragrafen, som är ny, innebär att det under vissa förutsättningar är möjligt för brottsbekämpande myndigheter att lämna ut uppgifter som omfattas av sekretess enligt 1 § till Brottsförebyggande rådet. Övervägandena finns i avsnitt 5.2.
I första stycket föreskrivs att en uppgift får lämnas ut till Brottsförebyggande rådet när det utför uppgiften att vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive uppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, om uppgiften behövs i ett ärende om fördjupad granskning (jfr 7 c § förordningen [2016:1201] med instruktion för Brottsförebyggande rådet). En uppgift som lämnas ut måste alltså ha betydelse för ett pågående ärende om fördjupad granskning vid Brottsförebyggande rådet. Det kan inte röra sig om mer allmän information om t.ex. enskilda som förekommer inom vissa extremistmiljöer, även om sådana uppgifter skulle kunna användas i kontaktpunktsverksamheten för att informera berörda beslutsorgan som inte har begärt någon fördjupad granskning eller för framtida granskningar. Det är myndigheten som innehar uppgiften som ytterst avgör om en uppgift kan lämnas ut med stöd av paragrafen och en prövning ska göras i varje enskilt fall.
I andra stycket föreskrivs att en ytterligare förutsättning för att en uppgift ska kunna lämnas ut är att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Det ska alltså ske en intresseavvägning. Vid denna avvägning kan hänsyn tas till den enskildes eller dennes närståendes behov i det konkreta fallet. Den myndighet som innehar uppgiften kan t.ex. ta hänsyn till om ett utlämnande skulle kunna äventyra säkerheten för någon av dessa.
Behovet av skydd för den brottsbekämpande verksamheten vid den myndighet som innehar en uppgift ingår inte i prövningen av om intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Sekretess till skydd för intresset av att förebygga eller beivra brott finns i 18 kap. Bestämmelsen är endast sekretessbrytande i förhållande till 35 kap. 1 § och därmed inte i förhållande till t.ex. 18 kap. 1 eller 2 §, som alltså tillämpas parallellt med den föreslagna bestämmelsen. För det fall ett utlämnande bedöms kunna skada den brottsbekämpande verksamheten medför således inte den här bestämmelsen att ett utlämnande kan ske.
Bestämmelsen innebär en möjlighet för brottsbekämpande myndigheter att lämna ut uppgifter och således inte någon skyldighet att göra detta på eget initiativ. Inkommer Brottsförebyggande rådet med en begäran om utlämnande av uppgifter som enligt paragrafen får lämnas ut och ett uppgiftslämnande inte skulle hindra arbetets behöriga gång är dock den myndighet som innehar uppgifterna också skyldig att lämna ut dessa enligt 6 kap. 5 §.
40 kap.
Viss verksamhet vid Brottsförebyggande rådet
7 f § Sekretess gäller i verksamhet hos Brottsförebyggande rådet som avser uppgifterna att
1. vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive uppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter, och
2. ge råd och annat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar en oro för skolattacker.
Sekretessen enligt första stycket gäller för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Paragrafen, som är ny, reglerar sekretess i viss verksamhet vid Brottsförebyggande rådet. Övervägandena finns i avsnitt 5.1.
Av första stycket framgår att sekretess gäller i vissa verksamheter hos Brottsförebyggande rådet. Enligt punkt 1 gäller sekretessen i verksamhet som avser uppgiften att vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive uppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter (jfr 7 c § förordningen [2016:1201] med instruktion för Brottsförebyggande rådet). Enligt punkt 2 gäller sekretessen även i verksamhet som avser uppgiften att ge råd och annat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar en oro för skolattacker (jfr 7 b § förordningen med instruktion för Brottsförebyggande rådet).
Av andra stycket framgår att sekretessen gäller för uppgift om en enskilds personliga eller ekonomiska förhållanden. Förutom uppgifter om en enskilds kopplingar till våldsbejakande extremism kan det typiskt sett röra sig om uppgifter som annars avslöjar personens åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Även uppgifter om begångna eller misstänkta brott kan behöva behandlas. Särskilt inom ramen för uppgiften att ge stöd vid oro för en skolattack kan det även röra sig om uppgifter av ytterst personlig karaktär såsom uppgifter om psykisk ohälsa, skolgång, hemförhållanden eller insatser från socialtjänsten. Uppgifter om en enskilds ekonomiska förhållanden kommer framför allt att förekomma i verksamheten som kontaktpunkt. Skaderekvisitet i bestämmelsen är omvänt, dvs. sekretess gäller om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.
Av tredje stycket framgår att för uppgift i allmän handling gäller sekretessen i högst sjuttio år.
Sammanfattning av betänkandet Rätt mottagare – Granskning och integritet (SOU 2021:99)
Inledning
Årligen fördelar offentlig sektor stora belopp till organisationer inom civilsamhället och privata aktörer inom välfärdssektorn. På senare år har det dock kommit rapporter om att verksamheter med kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer tar del av offentliga medel. Säkerhetspolisen beskriver en institutionalisering inom våldsbejakande extremistmiljöer, där radikalisering, rekrytering och finansiering sker genom bolag, stiftelser och föreningar som omsätter många miljoner kronor i statliga medel. Säkerhetspolisen har i sitt arbete funnit att det finns individer med kopplingar till våldsbejakande extremism som är aktiva i verksamheter som tar emot offentliga medel i form av t.ex. bidrag. Dessa verksamheter kan på ytan framstå som legitima, men inom verksamheterna kan det t.ex. finnas individer som har återvänt från ett konfliktområde och som bedriver verksamhet som stödjer våldsbejakande extremism. Genom dessa organisationer kan pengar bl.a. skickas utomlands för att stötta terrororganisationer eller användas för radikalisering i Sverige.
Att offentliga medel fördelas till verksamheter med kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer kan bidra till en tillväxt av sådana miljöer i Sverige och riskerar att skada legitimiteten i de system som utnyttjas för att finansiera sådana miljöer. Det är därför viktigt att säkerställa att det finns mekanismer för att förhindra att offentliga medel fördelas till sådana miljöer.
Vårt uppdrag
Det är ytterst angeläget att offentliga medel inte betalas ut till organisationer inom det civila samhället eller till aktörer inom den offentliga sektorn som på olika sätt har kopplingar till våldsbejakande extremism eller annan antidemokratisk verksamhet.
Säkerhetspolisen har i sitt remissvar till betänkandet Demokrativillkor för bidrag till civilsamhället (SOU 2019:35) föreslagit att det inrättas en särskild funktion som ska ha särskild kompetens om aktörer, våldsbejakande extremism och antidemokratiska miljöer. Bidragsgivande myndigheter ska kunna vända sig dit för samråd vid en utökad granskning av bidragssökande organisationer och offentligt finansierade aktörer. I remissvaret till betänkandet Nya villkor för skolor med konfessionell inriktning (SOU 2019:64) framhåller Säkerhetspolisen att en sådan funktion även skulle kunna användas av andra myndigheter vid svåra bedömningar av om demokrativillkor eller liknande krav är uppfyllda för offentligt finansierad verksamhet.
Vi har i uppdrag att analysera och ta ställning till om en stödfunktion bör inrättas med uppgift att bistå med samråd vid en fördjupad granskning av bidragssökande organisationer eller annan offentligt finansierad verksamhet, och om inte, hur detta behov i stället ska tillgodoses. Om vi kommer fram till att en stödfunktion bör inrättas, omfattar uppdraget även att föreslå en placering för funktionen samt analysera dess uppgifter i relation till det uppdrag som i SOU 2019:35 föreslås ges till Myndigheten för ungdoms- och civilsamhällesfrågor (MUCF). I uppdraget ingår också att analysera vilka omständigheter som bör föranleda en fördjupad granskning och definiera vad en sådan granskning bör omfatta samt att analysera behovet av bestämmelser som rör sekretess och personuppgiftsbehandling.
Det förebyggande arbetet mot våldsbejakande extremism och andra antidemokratiska miljöer
I en demokrati har alla rätt att uttrycka sina åsikter, även sådana som kan uppfattas som obekväma. Detta innebär dock inte en absolut rätt att ta del av offentliga medel för att t.ex. sprida sina åsikter. För att motverka åsikter och ageranden som utgör våldsbejakande extremism och terrorism är det angeläget att förebygga bakomliggande faktorer och drivkrafter samt att på ett tidigt stadium identifiera risker. Arbetet sker i dag i två delar: förebyggande insatser mot våldsbejakande extremism, som framför allt Center mot våldsbejakande extremism (CVE) ansvarar för och brottsbekämpande insatser som framför allt Säkerhetspolisen och Polismyndigheten ansvarar för. Båda dessa delar är centrala i det förebyggande arbetet mot våldsbejakande extremism och andra antidemokratiska miljöer.
Enligt Säkerhetspolisens bedömning har de våldsbejakande extremistiska miljöerna i Sverige vuxit mycket kraftigt under de senaste åren. I dag betraktas våldsbejakande extremism som ett hot mot den svenska demokratiska samhällsordningen som bäst förebyggs, förhindras och försvåras genom tvärsektoriella insatser.
CVE inrättades den 1 januari 2018 och är placerat som en enhet inom Brottsförebyggande rådet (Brå). CVE arbetar utifrån i huvudsak kriminalpolitiska utgångspunkter och har till uppgift att stärka och utveckla det kunskapsbaserade och sektorsövergripande arbetet med förebyggande åtgärder mot våldsbejakande extremism. CVE har ett brett uppdrag att utveckla och stärka det förebyggande arbetet mot våldsbejakande extremism. Verksamheten vänder sig främst till de som söker kunskap och stöd i sin yrkesroll eller är intresserade av myndighetssamverkan.
Det är svårt att med säkerhet uppskatta i vilken omfattning offentliga medel utnyttjas av aktörer inom våldsbejakande extremism eller andra antidemokratiska miljöer. Säkerhetspolisen bedömer dock att totalt hundratals miljoner kronor har betalats ut till verksamheter som har kopplingar till våldsbejakande extremism.
Det finns en bred politisk enighet om att offentliga medel inte ska betalas ut till organisationer som tillhör eller har kopplingar till våldsbejakande extremism. Det har därför under de senaste åren vidtagits ett antal åtgärder för att förhindra att allmänna medel går till verksamheter som har kopplingar till våldsbejakande extremism. Som en del i detta arbete har regeringen tillsatt flera utredningar som har fått i uppdrag att se över och föreslå nya demokrativillkor för den statligt reglerade bidragsgivningen till civilsamhället, inklusive trossamfunden. Tre utredningar har också föreslagit nya förtydligade demokrativillkor i nämnda avseenden. Förslagen har remitterats, men har såvitt avser frågorna om demokrativillkor ännu inte lett till några författningsändringar. Även såvitt avser godkännande att som huvudman bedriva skola har det föreslagits ett nytt demokrativillkor i skollagen (2010:800). Detta förslag har också remitterats, men ännu inte lett till någon lagstiftning.
Utgångspunkter för behovet av en stödfunktion
Frågor om hur en verksamhet förhåller sig till våldsbejakande extremism eller andra antidemokratiska miljöer kan uppkomma i ärenden om stöd till civilsamhället och ärenden om tillstånd att bedriva verksamhet inom välfärdssektorn. Det finns t.ex. möjlighet att beakta sådana kopplingar vid prövning av demokrativillkor eller ägar- och ledningsprövningar. Så har också skett i ett antal ärenden som varit uppe till prövning de senaste åren. Frågorna är komplexa och hanteringen av dem är komplicerad för beslutsorganen.
Beslutsorganen vänder sig ofta till Säkerhetspolisen för stöd i frågor om verksamheters våldsbejakande extremism eller andra antidemokratiska miljöer. Efterfrågan av denna typ av stöd har ökat de senaste åren. En stor del av den information som Säkerhetspolisen har omfattas dock av sekretess. Till detta kommer att Säkerhetspolisens arbete mot våldsbejakande extremism är brottsbekämpande och frågor om att bedöma demokrativillkor eller göra andra lämplighetsbedömningar är en bredare uppgift som förutsätter tillgång till annan information som är mer anpassad för den uppgiften. Arbetet tar också resurser från mer centrala uppgifter i Säkerhetspolisens verksamhet. Frågan är dock viktig eftersom det kan ge långsiktiga effekter för det förebyggande arbetet mot våldsbejakande extremism. Av denna anledning har Säkerhetspolisen i två remissyttranden föreslagit att en särskild funktion inrättas med uppdrag att bistå beslutsorganen med stöd i frågor om våldsbejakande extremism och andra antidemokratiska miljöer.
Flera av de beslutsorgan som hanterar prövningar av frågor om bidragsgivning och annan offentligt finansierad verksamhet har uttryckt ett behov av ökade kunskaper och ytterligare utredningskapacitet i ärenden där det kan uppkomma frågor om våldsbejakande extremism eller andra antidemokratiska miljöer. Beslutsorganen saknar såväl kunskap som resurser till att hantera dessa frågor på ett adekvat sätt. Frågorna dyker också upp så pass sällan vid respektive beslutsorgan att det är svårt att upprätthålla kunskaperna på området. Ett centralt organ som samordnar hanteringen av frågorna innebär ett mer effektivt utnyttjande av beslutsorganens resurser. Merparten av de beslutsorgan som vi har haft kontakt med har uttryckt sig positiva till inrättandet av en stödfunktion.
Det bör inrättas en ny stödfunktion
Vi har kunnat konstatera att det hos beslutsorganen finns ett behov av stöd i ärenden där det kan uppkomma frågor om hur verksamheter som tar del av offentliga medel förhåller sig till våldsbejakande extremism och andra antidemokratiska miljöer. En effektiv granskning av en verksamhets rätt att ta del av offentliga medel förutsätter tillräcklig kompetens i dessa avseenden. Detta är av stor vikt för att förhindra att offentliga medel fördelas till verksamheter som inte uppfyller uppställda villkor och krav. Det har vidtagits ett antal åtgärder för att stärka och utveckla det förebyggande arbetet mot våldsbejakande extremism och andra antidemokratiska miljöer. Ett exempel på detta är inrättandet av CVE. Därutöver finns också viss samverkan mellan beslutsorgan. Trots dessa insatser finns det fortfarande behov av stöd i form av både ökade kunskaper och resurser till att utreda frågorna. Enligt vår bedömning kan dessa behov inte tillgodoses inom befintliga strukturer eller genom anlitandet av externa konsulter. Det är inte heller rimligt att varje beslutsorgan ska besitta de expertkunskaper och resurser som krävs. Av den anledningen föreslår vi att det bör inrättas en central stödfunktion som kan bistå beslutsorgan med fördjupade granskningar av hur verksamheter förhåller sig till våldsbejakande extremism och andra antidemokratiska miljöer.
Stödfunktionens uppdrag och omfattning
För att stödfunktionen på ett adekvat sätt ska kunna tillmötesgå beslutsorganens behov av stöd bedömer vi att funktionen bör ha kunskap om våldsbejakande extremism och andra antidemokratiska miljöer, förmåga att utföra fördjupade granskningar och avge yttranden i fråga om hur en verksamhet eller dess företrädare förhåller sig till våldsbejakande extremism och andra antidemokratiska miljöer, samt kunskap om gällande regelverk för att en verksamhet ska få del av offentliga medel.
Stödfunktionen ska som utgångspunkt vara öppen för alla beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter och som har ett behov av stöd i handläggningen av ärenden där det kan uppkomma frågor om hur en verksamhet förhåller sig till våldsbejakande extremism eller andra antidemokratiska miljöer.
Stödfunktionen ska vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter. Den huvudsakliga uppgiften för stödfunktionen ska vara att bistå beslutsorganen med fördjupade granskningar i de ärenden där ett beslutsorgan funnit anledning att anta att en verksamhet som ansöker om eller tar del av offentliga medel förhåller sig till våldsbejakande extremism eller andra antidemokratiska miljöer på ett sätt som ger myndigheten eller beslutsorganet skäl att vidta särskilda åtgärder. Att det ska finnas anledning att anta innebär att det i det enskilda ärendet måste finnas konkreta omständigheter som pekar på att verksamheten har kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer och som medför att ytterligare utredning krävs. Efter en avslutad fördjupad granskning ska stödfunktionen lämna ett yttrande till beslutsorganet. Av yttrandet ska framgå stödfunktionens slutsatser i fråga om hur en verksamhet förhåller sig till våldsbejakande extremism eller andra antidemokratiska miljöer. Stödfunktionen ska dock inte i något avseende vara delaktig i själva beslutsfattandet utan detta ska fortfarande ske vid respektive beslutsorgan. Stödfunktionens yttrande utgör då en del av det material som kan beaktas vid beslutsorganens bedömningar av ett ärende.
Utifrån de kontakter vi har haft med beslutsorganen bedömer vi att stödfunktionen årligen kommer att hantera ett hundratal ärenden om fördjupade granskningar. Den genomsnittliga handläggningstiden av ett ärende kommer enligt våra uppskattningar att vara fyra veckors effektiv arbetstid. För att tillgodose detta behov kommer det att krävas femton årsarbetskrafter.
Stödfunktionens placering
Vi bedömer att den avgörande frågan för stödfunktionens placering är kunskaper om frågor om våldsbejakande extremism och andra antidemokratiska miljöer. Dessa kunskaper finns i dag främst hos CVE och Säkerhetspolisen. Säkerhetspolisens uppdrag är dock brottsbekämpande och av den anledningen bedömer vi att myndigheten inte är en lämplig placering. Mot bakgrund av de omfattande erfarenheter inom frågor om våldsbejakande extremism och andra antidemokratiska miljöer som finns hos CVE anser vi att det är den mest lämpliga placeringen. Till detta kommer att CVE redan i dag bistår beslutsorgan med utbildning och stöd i dessa frågor, men i andra avseenden. Utgångspunkten för CVE:s arbete är också förebyggande, vilket stämmer överens med det syfte som stödfunktionen bör uppfylla.
CVE är en enhet inom Brottsförebyggande rådet (Brå) och det är också inom den myndigheten som stödfunktionen kommer att vara placerad. Vi anser att förordning (2016:1201) med instruktion för Brottsförebyggande rådet ska innehålla en bestämmelse som reglerar stödfunktionens verksamhet. I bestämmelsen ska anges att en särskild funktion för CVE är att vara kontaktpunkt för myndigheter och andra beslutsorgan som inom ramen för sina respektive myndighetsuppdrag fördelar offentliga medel eller på annat sätt granskar offentligt finansierade verksamheter. CVE ska på begäran av en myndighet eller ett annat beslutsorgan bistå med fördjupad granskning av en verksamhet som ansöker om eller tar del av offentliga medel, om det i ett ärende finns anledning att anta att den aktuella verksamheten förhåller sig till våldsbejakande extremism eller andra antidemokratiska miljöer på ett sätt som ger myndigheten eller beslutsorganet skäl att vidta särskilda åtgärder. En sådan begäran ska vara motiverad och innehålla de konkreta omständigheter som medför att myndigheten eller beslutsorganet begär centrumets bistånd. En fördjupad granskning ska innehålla den utredning som är relevant för bedömningen av ärendet och centrumet ska avge ett yttrande över utförd granskning.
CVE är redan i dag en av de största enheterna inom Brå. En placering av stödfunktionen inom CVE kommer att innebära en relativt stor utökning av verksamheten. Såväl CVE:s nuvarande verksamhet som den verksamhet som ska bedrivas inom ramen för stödfunktionen skiljer sig från Brås övriga verksamhet. Enligt vår mening talar dessa omständigheter för att CVE bör skiljas från Brå och i stället inordnas som en egen myndighet. Vi anser därför att detta är något som bör övervägas i det fortsatta arbetet med inrättande av stödfunktionen.
Sekretesskydd för uppgifter om enskildas personliga och ekonomiska förhållanden
Det uppdrag som vi anser att stödfunktionen bör ha medför att stödfunktionen kommer att behöva hantera uppgifter om de verksamheter som den ska granska. Uppdraget kommer också att medföra ett behov av att hantera uppgifter om enskildas personliga och ekonomiska förhållanden. Vi bedömer dock att den informationshantering som är nödvändig för att stödfunktionen ska kunna utföra sitt uppdrag är motiverad med beaktande av det allmänna intresset av att förhindra att offentliga medel betalas ut till verksamheter som har kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer. Informationshanteringen medför dock ett behov av ny sekretessreglering till skydd för uppgifter om enskildas personliga och ekonomiska förhållanden. Enligt vår bedömning överväger intresset av att skydda uppgifterna insynsintresset. Vi föreslår därför att sekretess ska gälla hos CVE i dess särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan för uppgift om enskilds personliga och ekonomiska förhållanden. Stödfunktionens verksamhet kan innebära en omfattande insamling av integritetskänsliga uppgifter och vi anser därför att det är motiverat att föreslå en sekretessbestämmelse med ett omvänt skaderekvisit. Det innebär att utgångspunkten är att de uppgifter som faller inom bestämmelsens område omfattas av sekretess. Endast i de fall där det står klart att uppgiften kan röjas utan att den enskilde lider skada eller men får uppgiften lämnas ut.
En ny sekretessbrytande bestämmelse
För att kunna fullgöra sitt uppdrag att utföra fördjupade granskningar på begäran av beslutsorgan behöver stödfunktionen kunna inhämta uppgifter från andra myndigheter. Vi bedömer att generalklausulen och övriga befintliga sekretessbrytande undantag inte är tillräckliga för att stödfunktionen ska kunna inhämta vissa uppgifter som omfattas av sekretess i den omfattning som är nödvändig för att stödfunktionen ska kunna utföra sitt uppdrag. Av den anledningen föreslår vi en ny sekretessbrytande bestämmelse som ger stödfunktionen möjlighet att, inom ramen för en fördjupad granskning, inhämta sådana sekretesskyddade uppgifter från andra myndigheter.
Enligt vår bedömning är det främst sekretessbelagda uppgifter från brottsbekämpande myndigheter som kan bli aktuella att hämta in inom ramen för stödfunktionens uppdrag. Vi föreslår därför en bestämmelse som bryter sekretessen enligt 35 kap. 1 § första stycket offentlighets- och sekretesslagen (2009:400). Bestämmelsen ska dock endast gälla för uppgifter som behövs i ett ärende om fördjupad granskning. Ett utlämnande ska också kunna nekas utifrån en intresseavvägning.
I övrigt bedömer vi att nödvändigt utlämnande kan ske med stöd av generellt tillämplig reglering enligt offentlighets- och sekretesslagen.
En ny lag om personuppgiftsbehandling inom ramen för stödfunktionens verksamhet
För att stödfunktionen ska kunna fullgöra sitt uppdrag på ett ändamålsenligt sätt behöver personuppgifter kunna behandlas. En stor del av behandlingen kommer att avse känsliga personuppgifter samt uppgifter om brott och misstanke om brott. Enligt vårt förslag till uppdrag för stödfunktionen kommer den att utföra en uppgift av allmänt intresse som har fastställts i svensk rätt. Det finns därmed rättslig grund för att behandla personuppgifter. Såvitt gäller behandling av känsliga personuppgifter samt uppgifter om brott och misstanke om brott bedömer vi att det utgör ett viktigt allmänt intresse att funktionen kan utföra sitt uppdrag att vara kontaktpunkt åt myndigheter och andra beslutsorgan. Det finns därför grund även för denna behandling. Vi bedömer att det även finns grund för nödvändig behandling av uppgifter om brott och misstanke om brott med stöd av den allmänna dataskyddsregleringen.
För att uppnå ett lämpligt skydd av personuppgifter och samtidigt möjliggöra en ändamålsenlig behandling av personuppgifter vid stödfunktionen bedömer vi dock att det krävs kompletterande dataskyddsreglering. Av den anledningen föreslår vi att en lag om personuppgiftsbehandling för stödfunktionens verksamhet bör införas. Genom en sådan lag möjliggörs en ändamålsenlig personuppgiftsbehandling vid utförandet av stödfunktionens uppdrag samtidigt som dataskyddsförordningens krav på proportionalitet samt lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen tillgodoses. Den nya lagen föreslås främst mot bakgrund av det utökade behovet av att behandla känsliga personuppgifter och uppgifter om brott samt misstanke om brott som förslaget om stödfunktionens uppdrag kan antas medföra. Vi föreslår bestämmelser till skydd för den personliga integriteten, såsom en bestämmelse om ändamålen med behandlingen, en sökbegränsning och reglering av stödfunktionens möjligheter att behandla känsliga personuppgifter och uppgifter om brott och misstanke om brott.
Ikraftträdande
Vi föreslår att föreslagna författningsändringar ska träda i kraft den 1 januari 2023.
Konsekvenser
Förslagen bedöms medföra kostnadsökningar för det allmänna. Det finns flera osäkerhetsvariabler i fråga om uppskattningar av kostnaderna. Utifrån tillgängligt underlag och våra uppskattningar av stödfunktionens omfattning bedömer vi att ett inrättande av en stödfunktion i enlighet med våra förslag medför en årlig kostnad om cirka 28 miljoner kronor från och med år 2023. Kostnaderna ryms inte inom befintliga anslag och bör enligt vår mening täckas genom ökade anslag för Brå. Denna kostnad kommer förutsätta att medel tas av reformutrymmet, vilket är motiverat med hänsyn till vikten av att förhindra att offentliga medel fördelas till verksamheter med kopplingar till våldsbejakande extremism eller andra antidemokratiska miljöer.
Vi bedömer att förslagen inte kommer att medföra några ökade kostnader för kommuner och regioner. För de kommuner och regioner som remitterar ärenden till stödfunktionen bedömer vi att det kan medföra vissa kostnadsbesparingar.
Inrättande av en stödfunktion med angivet uppdrag kan förväntas få positiva konsekvenser för det brottsförebyggande arbetet mot våldsbejakande extremism. Förslagen bidrar också till det brottsförebyggande arbetet och minskad brottslighet. Vår bedömning är vidare att förslagen kommer att bidra till ökad tilltro till det allmänna och de sektorer som tar emot offentliga medel.
Risken för ökat integritetsintrång som inrättandet av en stödfunktion kan innebära är enligt vår bedömning godtagbart i förhållande till samhällsintresset av att förhindra att offentliga medel fördelas till verksamheter med kopplingar till våldsbejakande extremism och andra antidemokratiska miljöer. Risken för intrång i den personliga integriteten motverkas av våra förslag med syfte att stärka skyddet för den personliga integriteten inom ramen för stödfunktionens verksamhet.
I övrigt bedöms förslagen i huvudsak inte få några konsekvenser som anges i 14–15 a §§ kommittéförordningen (1998:1474).
Betänkandets lagförslag
Förslag till lag (2023:000) om viss personuppgiftsbehandling vid nationellt centrum mot våldsbejakande extremism
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge nationellt centrum mot våldsbejakande extremism möjlighet att, inom dess särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan, behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter vid nationellt centrum mot våldsbejakande extremism i dess särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan.
Förhållandet till annan reglering
3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgiftsansvar
5 § Brottsförebyggande rådet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför inom ramen för nationellt centrum mot våldsbejakande extremisms särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan.
Ändamål med personuppgiftsbehandlingen
6 § Personuppgifter får behandlas om det är nödvändigt för att nationellt centrum mot våldsbejakande extremism ska kunna utföra sitt uppdrag i dess särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan.
Tillgången till personuppgifter
7 § Tillgången till personuppgifter ska begränsas till det som varje anställd eller uppdragstagare behöver för att kunna fullgöra sina arbetsuppgifter.
Behandling av personuppgifter som rör lagöverträdelser och känsliga personuppgifter
8 § Nationellt centrum mot våldsbejakande extremism får i dess särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan behandla personuppgifter som avses i artikel 9.1 (känsliga personuppgifter) och artikel 10 i EU:s dataskyddsförordning (uppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott) samt uppgifter om misstanke om brott, endast om uppgifterna är nödvändiga för fullgörandet av uppdraget som kontaktpunkt.
Sökbegränsningar
9 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott och misstanke om brott.
Längsta tid som personuppgifter får behandlas
10 § Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
Bestämmelsen i första stycket hindrar inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.
Rätt att meddela föreskrifter
11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter som kompletterar denna lag.
Denna lag träder i kraft den 1 januari 2023.
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att nuvarande 35 kap. 10 d § ska betecknas 35 kap. 10 e §,
dels att det ska införas en ny paragraf 32 kap. 6 c § och närmast före paragrafen en ny rubrik av följande lydelse,
dels att det ska införas en ny paragraf, 35 kap. 10 d §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
32 kap.
Verksamhet vid nationellt centrum mot våldsbejakande extremism
6 c §
Sekretess gäller hos nationellt centrum mot våldsbejakande extremism i dess särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.
För uppgift i en allmän handling gäller sekretess i högst sjuttio år.
35 kap.
10 d §
Sekretessen enligt 1 § första stycket hindrar inte att en uppgift lämnas till nationellt centrum mot våldsbejakande extremism i dess särskilda funktion som kontaktpunkt för myndigheter och andra beslutsorgan, om uppgiften behövs i ett ärende om fördjupad granskning.
En uppgift får lämnas endast om intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Denna lag träder i kraft den 1 januari 2023.
Förteckning över remissinstanserna
Efter remiss av betänkandet Rätt mottagare – Granskning och integritet (SOU 2021:99) har yttranden lämnats av Alingsås kommun, Allmänna arvsfonden, Borås kommun, Brottsförebyggande rådet, Brottsoffermyndigheten, Civilsamhällets organisationer i samverkan, Ekonomistyrningsverket, Folkbildningsrådet, Folkets hus och parker, Folkhälsomyndigheten, Forum – idéburna organisationer med social inriktning, Friskolornas riksförbund, Förvaltningsrätten i Växjö, Göteborgs stad, Hela Sverige ska leva, Helsingborgs kommun, Inspektionen för vård och omsorg, Integritetsskyddsmyndigheten, Justitiekanslern, Jämställdhetsmyndigheten, Kammarkollegiet, Kammarrätten i Jönköping, Konsumentverket, Landsrådet för Sveriges ungdomsorganisationer, Lunds kommun, Länsstyrelsen i Stockholms län, Malmö stad, Myndigheten för stöd till trossamfund, Myndigheten för ungdoms- och civilsamhällesfrågor, Nacka kommun, Region Halland, Region Kronoberg, Region Uppsala, Region Västernorrland, Riksförbundet för homosexuellas, bisexuellas, transpersoners, queeras och intersexpersoners rättigheter, Ronneby kommun, Rörelsefolkhögskolornas intresseorganisation, Sigtuna kommun, Skolinspektionen, Socialstyrelsen, SPF Seniorerna, Statens kulturråd, Statskontoret, Stiftelsen Svenska Filminstitutet, Stockholms stad, Studieförbunden i samverkan, Svenska Tornedalingars Riksförbund – Tornionlaaksolaiset, Sveriges Kommuner och Regioner, Sveriges kristna råd, Säkerhets- och integritetsskyddsnämnden, Säkerhetspolisen, TU Medier i Sverige AB, Umeå kommun, Varbergs kommun, Värmdö kommun, Västerviks kommun och Växjö kommun.
Därutöver har yttrande lämnats av Center mot våldsbejakande extremism, Diskrimineringsombudsmannen, Ibn Rushd Studieförbund, Famna, Fremia, Giva Sverige och Polismyndigheten
FAR, IOGT-NTO, Riksdagens ombudsmän, Svenska Journalistförbundet och Vårdföretagarna har avstått från att yttra sig.
Följande remissinstanser har inte hörts av: Amnesty, Borlänge kommun, Civil Rights Defenders, Funktionsrätt Sverige, Gislaveds kommun, Grums kommun, Gävle kommun, Islamiska samarbetsrådet, IV - Idéburen välfärd, Judiska centralrådet, Kalix kommun, Lessebo kommun, Ljusdals kommun, Malå kommun, Nora kommun, Nordanstigs kommun, Pensionärernas riksorganisation, Region Stockholm, Samarbetsorgan för etniska organisationer i Sverige, Salems kommun, Strängnäs kommun, Svenska Röda Korset, Sveriges konsumenter, Upplands-Bro kommun, Uppsala universitet, Älvdalens kommun och Övertorneå kommun.
Sammanfattning av betänkandet Samhället mot skolattacker (SOU 2023:28)
Kort om utredningens uppdrag
Ett antal fall av grövre våld har inträffat i grund- och gymnasieskolor under senare tid, i vissa fall med dödlig utgång. Regeringen bedömer att säkerhetsläget och hotbilden inom skolväsendet har förändrats i negativ riktning. Utredningen tillsattes med syftet att barn, elever, lärare, rektorer och annan personal ska ha en säker och trygg utbildnings- och arbetsmiljö (dir. 2022:86).
I detta delbetänkande behandlar vi frågan om lämplig organisering av lokala eller regionala operativa organ för samverkan i individärenden som rör oro för skolattacker. I betänkandet redovisas exempel på befintliga lokala samverkansformer och beskrivningar av hur dessa fungerar. Vi redogör även för erfarenheter och lärdomar efter inträffade skolattacker i Sverige och andra länder. Ytterligare en fråga som berörs är hur det förebyggande arbetet mot våldsdåd i skolväsendet kan stärkas.
Genom ett tilläggsdirektiv (dir. 2023:22) utvidgades utredningens uppdrag med nya frågor om att förebygga, förhindra eller försvåra brott i allmänhet inom skolväsendet, och inte enbart grövre våldsdåd eller skolattacker. I tilläggsdirektivet finns också nya deluppdrag som berör säkerhetsfrågor i skolan. Utredningen kommer i enlighet med direktiven att redovisa flera deluppdrag från det ursprungliga direktivet och samtliga deluppdrag från tilläggsdirektivet i slutbetänkandet, senast den 29 februari 2024.
Uppdraget att förhindra och försvåra våldssituationer i skolväsendet
Utredningen föreslår att Center mot våldsbejakande extremism (CVE) ska utgöra en central stödfunktion med uppdrag att bidra med kunskapsstöd i individärenden till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar oro för att en eller flera individer ska genomföra en skolattack. Vi bedömer att en central kunskapsstödjande funktion kommer att utgöra ett väsentligt bidrag till att stärka den lokala operativa samverkan som sker i individärenden om oro för skolattacker.
Vi föreslår vidare ny sekretessreglering för uppgifter om enskilds personliga och ekonomiska förhållanden samt ny personuppgiftsreglering, med koppling till CVE:s hantering av uppdraget att ge stöd i individärenden om oro för en skolattack.
Samverkan är en viktig komponent i såväl det bredare brottsförebyggande arbetet som i arbetet att förhindra och försvåra skolattacker. I individärenden om oro för skolattacker kan samverkan behöva ske mellan till exempel skolan, socialtjänsten, polisen och hälso- och sjukvården. För att samverkan ska fungera behövs styrning, struktur och samsyn. Det finns etablerade samverkansformer för brottsförebyggande arbete i många av landets kommuner, men samverkan sker på många olika sätt och enligt olika modeller. I detta betänkande identifierar vi olika typer av hinder och utmaningar för samverkan. Vi anger också ett antal utgångspunkter för en lämplig organisering av samverkansorgan för att förhindra skolattacker.
Vi konstaterar att det inte är ändamålsenligt att inrätta nya operativa samverkansorgan som täcker samtliga av landets kommuner enbart med syfte att samverka i individärenden om oro för skolattacker, eftersom dessa ärenden är ovanliga i många kommuner. Vår bedömning är att de nackdelar det skulle innebära att skapa ett nationellt system med nya organ för samverkan i individärenden som enbart gäller oro för skolattacker inte uppvägs av de fördelar som det kan innebära. Vi har för avsikt att återkomma till överväganden om behovet av organisering av samverkan i slutbetänkandet, med ett bredare brottsförebyggande perspektiv.
Enligt vår bedömning är en central stödfunktion ett ändamålsenligt sätt att tillgodose behovet av expertkunskap och praktiska erfarenheter i ett individärende rörande oro för en skolattack, vilket i sin tur kan förbättra förutsättningarna för samverkan på lokal och regional nivå. Vi föreslår att kunskapsstödet ska ges av CVE eftersom centret har den kompetens som krävs för att stötta lokala och regionala aktörer i frågor som rör oro för skolattacker. CVE arbetar redan i dag med att ge behovsanpassat stöd till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar frågor om förebyggande av våldsbejakande extremism. Inom ramen för det uppdraget arbetar CVE med stöd i ärenden om oro för skolattacker. Det stöd som i dag ges begränsas emellertid av att det endast kan ges i avidentifierade ärenden. Med vårt förslag kommer CVE att få ett tydligt uppdrag att ge stöd i individärenden i frågor som rör oro för skolattacker, utan att ärendena behöver avidentifieras, och oavsett om det finns kopplingar till våldsbejakande extremism eller inte. Uppdraget att ge stöd i individärenden aktualiserar frågor om sekretess och personuppgiftshantering. Individärenden om oro för skolattacker kan typiskt sett innehålla känsliga personuppgifter. Vi har bedömt att befintlig sekretesslagstiftning är otillräcklig för att tillgodose individens intresse av att känsliga uppgifter inte röjs. Vi föreslår därför att sekretess som utgångspunkt ska gälla i CVE:s stödverksamhet i dessa ärenden. Vi föreslår även en ny lag om personuppgiftsbehandling hos CVE som ska gälla för den personuppgiftsbehandling som till följd av det nya uppdraget kommer att ske hos CVE.
Uppdraget att lämna förslag på hur det förebyggande arbetet mot hot och våld i skolväsendet kan förbättras
Utredningen föreslår att CVE tillsammans med Skolverket och Specialpedagogiska skolmyndigheten (SPSM) ska få i uppdrag att ta fram ett metodstöd för skolväsendets förebyggande arbete mot skolattacker. CVE föreslås få en samordnade roll för uppdraget. Arbetet ska inriktas mot metoder för att tidigt upptäcka elever som uppvisar oroväckande beteenden som inte är begränsade till akademiska eller disciplinära svårigheter eller specifikt våldsamt beteende och för att hantera oro på ett strukturerat sätt. Metoder och arbetssätt kan tas fram efter kartläggning och analys av metoder som används i andra länder.
Vi föreslår att uppdraget ges till CVE eftersom centret enligt vårt förslag ska utgöra ett kunskapsstöd i skolattacksärenden. För att se till att åtgärder och metoder i möjligaste mån integreras på ett naturligt sätt i skolornas organisatoriska struktur och anpassas till de övriga förutsättningar som styr skolornas verksamhet föreslås att uppdraget ska utföras tillsammans med Skolverket och SPSM. Därigenom säkerställs också att metodstödet når ut till hela skolväsendet. Förslaget syftar till att stärka det förebyggande arbetet mot våldsdåd i skolväsendet.
Forskning om skolattacker i andra länder pekar på att hotbedömning är en framgångsrik strategi för att förhindra skolattacker. I flera länder har vägledningar tagits fram för att fånga upp och hantera varningssignaler.
Skolan intar en särställning i det förebyggande arbetet mot skolattacker, eftersom skolan har en unik daglig kontakt med eleverna. Skolan har därför också en särskild möjlighet att se tidiga och subtila varningssignaler. Skolpersonal ställs inte sällan inför situationer där en elevs beteende ger upphov till oro eller ”dålig magkänsla”. I vissa situationer kan skolpersonal behöva göra någon form av hot- eller riskbedömning. Det finns därför skäl att överväga åtgärder som syftar till att bättre rusta skolor och skolpersonal att känna igen och hantera varningssignaler.
Konsekvenser
Utredningens förslag får ekonomiska konsekvenser för staten, i huvudsak genom att CVE behöver förstärka sin bemanning med motsvarande två årsarbetskrafter för att kunna fullgöra det föreslagna uppdraget. Enligt vår uppskattning uppgår denna kostnad till 4 miljoner kronor år 2025. Uppdraget för CVE, Skolverket och SPSM att ta fram ett metodstöd kommer uppskattningsvis att kosta 2 miljoner kronor år 2024.
Utredningens förslag om att CVE ska ge stöd i individärenden om oro för skolattacker och i samband därmed hantera personuppgifter innebär ett intrång i den registrerades personliga integritet. Men vi bedömer att förslaget utgör en nödvändig och proportionell åtgärd i syfte att säkerställa att aktörer som hanterar oro för en skolattack kan få ett ändamålsenligt och effektivt stöd i arbetet för att förebygga och förhindra sådana våldsdåd. Att så sker är ett generellt allmänt intresse.
Ikraftträdande
Vi föreslår att de nya bestämmelserna ska träda i kraft den 1 januari 2025.
Betänkandets lagförslag
Förslag till lag (2023:000) om viss personuppgiftsbehandling vid det nationella centrumet mot våldsbejakande extremism
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är dels att ge det nationella centrumet mot våldsbejakande extremism möjlighet att behandla personuppgifter på ett ändamålsenligt sätt för uppdraget att ge stöd i individärenden till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar oro för att en eller flera individer ska genomföra en skolattack, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter vid det nationella centrumet mot våldsbejakande extremism inom ramen för uppdraget att ge stöd i individärenden till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar oro för att en eller flera individer ska genomföra en skolattack.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Förhållandet till annan reglering
3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgiftsansvar
5 § Brottsförebyggande rådet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför inom ramen för det nationella centrumet mot våldsbejakande extremisms uppdrag att ge stöd i individärenden till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar oro för att en eller flera individer ska genomföra en skolattack.
Ändamål med personuppgiftsbehandlingen
6 § Personuppgifter får behandlas om det är nödvändigt för att det nationella centrumet mot våldsbejakande extremism ska kunna utföra sitt uppdrag att ge stöd i individärenden till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar oro för att en eller flera individer ska genomföra en skolattack.
7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Personuppgifterna får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Tillgången till personuppgifter
8 § Tillgången till personuppgifter ska begränsas till det som varje anställd eller uppdragstagare behöver för att kunna fullgöra sina arbetsuppgifter.
Behandling av personuppgifter som rör lagöverträdelser och känsliga personuppgifter
9 § Det nationella centrumet mot våldsbejakande extremism får inom ramen för sitt uppdrag att ge stöd i individärenden till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar oro för att en eller flera individer ska genomföra en skolattack behandla personuppgifter som avses i artikel 9.1 (känsliga personuppgifter) och artikel 10 i EU:s dataskyddsförordning (uppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott) samt uppgifter om misstanke om brott, endast om uppgifterna är nödvändiga för fullgörandet av uppdraget.
Sökbegränsningar
10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott och misstanke om brott.
Längsta tid som personuppgifter får behandlas
11 § Personuppgifter som behandlas för ändamål som anges i 6 § får inte behandlas under längre tid än ett år efter utgången av det kalenderår då uppgifterna behandlades första gången. Om nya uppgifter angående oro för en skolattack rörande samma person behandlas före utgången av tidsfristen, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas.
Bestämmelsen i första stycket hindrar inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.
Rätten att göra invändningar
12 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rätt att meddela föreskrifter
11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter som kompletterar denna lag.
Denna lag träder i kraft den 1 januari 2025.
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) att det ska införas en ny paragraf 40 kap. 7 d § och närmast före paragrafen en ny rubrik av följande lydelse
.
Nuvarande lydelse
Föreslagen lydelse
40 kap.
Stödverksamhet vid det nationella centrumet mot våldsbejakande extremism
7 d §
Sekretess gäller i det nationella centrumet mot våldsbejakande extremisms verksamhet att ge stöd i individärenden till kommuner, myndigheter och andra aktörer som i sin verksamhet hanterar oro för att en eller flera individer ska genomföra en skolattack för uppgift som en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.
För uppgift i en allmän handling gäller sekretess i högst sjuttio år.
Denna lag träder i kraft den 1 januari 2025.
Förteckning över remissinstanserna
Efter remiss av betänkandet Samhället mot skolattacker (SOU 2023:28) har yttranden lämnats av Arjeplogs kommun, Autism Sverige, Barnombudsmannen, Botkyrka kommun, Brottsförebyggande rådet, Diskrimineringsombudsmannen, Eskilstuna kommun, Eslövs kommun, Friskolornas riksförbund, Förvaltningsrätten i Luleå, Göteborgs stad, Göteborgs universitet, Idéburna skolors riksförbund, Integritetsskyddsmyndigheten, Journalistförbundet, Justitiekanslern, Jämställdhetsmyndigheten, Kammarrätten i Jönköping, Kammarrätten i Stockholm, Karlskrona kommun, Kristinehamns kommun, Linköpings kommun, Linköpings universitet, Länsstyrelsen Gävleborg, Länsstyrelsen Halland, Länsstyrelsen Skåne, Länsstyrelsen Södermanland, Länsstyrelsen Västerbotten, Länsstyrelsen Västmanland, Länsstyrelsen Västra Götaland, Malmö stad, Myndigheten för delaktighet, Myndigheten för samhällsskydd och beredskap, Myndigheten för ungdoms- och civilsamhällesfrågor, Nacka kommun, Nyköpings kommun, Polismyndigheten, Region Kronoberg, Region Skåne, Riksföreningen för skolsköterskor, Sameskolstyrelsen, Socialstyrelsen, Sollentuna kommun, Specialpedagogiska skolmyndigheten, Staffanstorps kommun, Statens skolinspektion, Statens skolverk, Statskontoret, Stockholms stad, Sundsvalls kommun, Svenska skolläkarföreningen, Sveriges elevkårer, Sveriges Elevråd, Sveriges Kommuner och Regioner, Sveriges lärare, Säkerhets- och integritetsskyddsnämnden, Säkerhetspolisen, Sölvesborgs kommun, Tidningsutgivarna (TU), Totalförsvarets forskningsinstitut (FOI), Täby kommun, Uddevalla kommun, Ystads kommun och Örebro kommun.
Därutöver har yttrande lämnats av Akademin för polisiärt arbete, Friends, Föräldraalliansen Sverige och Kommunal.
Riksdagens ombudsmän och Östra Göinge kommun har avstått från att yttra sig.
Följande remissinstanser har inte hörts av: Bollebygds kommun, Elevernas riksförbund, Filipstads kommun, Folkhälsomyndigheten, Funktionsrätt Sverige, Föreningen Sveriges Socialchefer, Gnosjö kommun, Gotlands kommun, Judiska Centralrådet, Kristianstad kommun, LSU – Landsrådet för Sveriges barn- och ungdomsorganisationer, Nätverket unga för tillgänglighet (NUFT), Partille kommun, Riksförbundet Attention, Riksförbundet för barn, unga och vuxna med intellektuell funktionsnedsättning (FUB), Riksförbundet Vuxenutbildning i Samverkan (ViS), Skellefteå kommun, Stiftelsen Tryggare Sverige, Strömsunds kommun, Svenskt Näringsliv, Sveriges Psykologförbund, Sveriges Skolkuratorers Förening, Sveriges skolledare och Vännäs kommun.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2024-10-11
Närvarande: Justitieråden Svante O. Johansson, Johan Danelius och Linda Haggren
Nya uppgifter för centrum mot våldsbejakande extremism
Enligt en lagrådsremiss den 3 oktober 2024 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till
1. lag om viss personuppgiftsbehandling vid Brottsförebyggande rådet,
2. lag om ändring i offentlighets- och sekretesslagen (2009:400).
Förslagen har inför Lagrådet föreslagits av kanslirådet Max Stille.
Lagrådet lämnar förslagen utan erinran.
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 31 oktober 2024
Närvarande: statsminister Kristersson, ordförande, och statsråden Busch, Svantesson, Ankarberg Johansson, Edholm, J Pehrson, Waltersson Grönvall, Jonson, Strömmer, M Persson, Wykman, Liljestrand, Bohlin, Dousa
Föredragande: statsrådet Strömmer
Regeringen beslutar proposition Nya uppgifter för centrum mot våldsbejakande extremism