Regeringskansliets rättsdatabaser

Regeringens proposition 2007/08:132 Godkännande av rådets beslut om åtkomst till informationssystemet för viseringar (VIS) i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott Prop. 2007/08:132 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 17 april 2008 Maud Olofsson Beatrice Ask (Justitiedepartementet) Propositionens huvudsakliga innehåll I propositionen föreslås att riksdagen ska godkänna ett inom EU upprättat utkast till rådsbeslut om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Informationssystemet för viseringar (VIS), som kommer att regleras i en EG-förordning, är avsett att bli ett gemensamt system inom EU för utbyte av uppgifter om viseringar mellan medlemsstaterna. Huvudsyftet med VIS är att förbättra genomförandet av den gemensamma viseringspolitiken. Genom att underlätta utbytet av viseringsuppgifter mellan medlemsstaterna ska förfarandet vid viseringsansökningar och gränskontroller underlättas. VIS syftar också till att bidra till att förebygga hot mot medlemsstaternas inre säkerhet. Utkastet till rådsbeslut innebär att utsedda brottsbekämpande myndigheter i medlemsstaterna samt Europol under vissa förutsättningar ska få tillgång till VIS i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. I propositionen föreslås att riksdagen ska godkänna utkastet till rådsbeslut. Det övervägs också vilka lagändringar som kan bli nödvändiga med anledning av rådsbeslutet. Propositionen innehåller dock inga lagförslag. Regeringen avser att senare återkomma till riksdagen i denna del. Innehållsförteckning 1 Förslag till riksdagsbeslut 3 2 Ärendet och dess beredning 4 3 VIS-förordningen 5 4 Innehållet i utkastet till rådsbeslut 6 5 Behovet av lagändringar 9 5.1 Tillgång till VIS 10 5.1.1 Myndigheter som ska få tillgång till VIS 10 5.1.2 Förutsättningar för tillgång och förfarandet 11 5.2 Skydd av personuppgifter 11 5.2.1 Begränsad rätt att använda uppgifter som har inhämtats från VIS 11 5.2.2 Dataskyddsnivå 13 5.3 Gallring 13 5.4 Enskildas rättigheter 15 5.5 Datasäkerhet och registerföring 16 5.5.1 Datasäkerhet 16 5.5.2 Registerföring 16 5.6 Skadestånd 17 5.7 Sanktioner 17 6 Godkännande av utkastet till rådsbeslut 18 7 Ekonomiska konsekvenser 24 Bilaga 1 Utkast till rådets beslut om åtkomst till informations-systemet för viseringar (VIS) för sökningar för med-lemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott 25 Bilaga 2 Sammanfattning av utkastet till proposition 53 Bilaga 3 Förteckning över deltagare vid remissmöte den 18 mars 2008 samt de remissinstanser som har lämnat skriftliga synpunkter över utkastet till proposition 54 Utdrag ur protokoll vid regeringssammanträde den 17 april 2008 55 1 Förslag till riksdagsbeslut Regeringen föreslår att riksdagen godkänner det inom Europeiska unionen upprättade utkastet till rådsbeslut om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. 2 Ärendet och dess beredning Rådet för rättsliga och inrikes frågor antog den 19 februari 2004 slutsatser om utveckling av ett informationssystem för viseringar. Den 8 juni 2004 beslutade rådet att inrätta informationssystemet för viseringar (VIS) som ett system för utbyte av viseringsuppgifter mellan medlemsstaterna. Kommissionen presenterade den 28 december 2004 ett förslag till Europaparlamentets och rådets förordning om informationssystemet för viseringar (VIS) och utbytet av uppgifter mellan medlemsstater om viseringar för kortare vistelser ("VIS-förordningen"), 3630/1/07 VISA 186 COMIX 544 CODEC 644. VIS-förordningen ska antas av Europaparlamentet och rådet gemensamt genom s.k. medbeslutandeförfarande. Medlemsstaterna nådde en politisk överenskommelse om förordningsförslaget i maj 2007. Europaparlamentet har därefter antagit ett betänkande med förslag till ändringar i kommissionens förordningsförslag. Enligt nuvarande planering (april 2008) ska VIS vara klart för driftssättning den 29 maj 2009. Om denna tidsplan håller, kan medlemsstaterna börja tillämpa förordningen tidigast den dagen. Efter bombdåden i Madrid 2004 och i London 2005 har arbetet inom EU med att finna effektiva metoder att bekämpa terrorism intensifierats. I slutsatser som rådet antog i mars 2005 angavs att det skulle förbättra den inre säkerheten och kampen mot terrorism om myndigheter med ansvar för inre säkerhet ges tillgång till VIS för att "förhindra och upptäcka straffbara gärningar och utreda sådana, inbegripet terroristdåd eller terroristhot". Kommissionen presenterade i november 2005 ett förslag till rådsbeslut om brottsbekämpande myndigheters och Europols tillgång till VIS i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. En faktapromemoria har upprättats och överlämnats till riksdagen (2005/2006:FPM38). En politisk överenskommelse om innehållet i rådsbeslutet nåddes vid möte med rådet för rättsliga och inrikes frågor den 12 och 13 juni 2007. Sverige lämnade i samband med det en parlamentarisk granskningsreservation. Rådsbeslutet ska tillämpas först efter det att VIS-förordningen har trätt i kraft och är fullt tillämplig, dvs. sannolikt tidigast från den 29 maj 2009. Under förhandlingsarbetet har regeringen fortlöpande informerat och samrått med riksdagen. Företrädare för Justitiedepartementet har sammanträtt med Justitieutskottet den 15 mars 2007. Vidare har justitieministern redogjort för förhandlingsarbetet och den svenska positionen vid sammanträden i EU-nämnden den 13 april och den 8 juni 2007. I denna proposition lämnas en beskrivning av innehållet i utkastet till rådsbeslut och en översiktlig redogörelse för hur detta förhåller sig till svensk rätt. I propositionen föreslås att riksdagen ska godkänna utkastet. Några lagförslag presenteras inte. Skälen för det redovisas i avsnitt 6. Däremot innehåller propositionen en beskrivning av i vilka avseenden ett beslut i enlighet med utkastet till rådsbeslut bedöms föranleda lagändringar. Vi avser att senare återkomma till riksdagen med förslag till lagändringar. Utkastet till rådsbeslut i dess senaste lydelse på svenska finns i bilaga 1 till denna proposition. Den språkliga utformningen har ännu inte slutligt granskats av EU:s s.k. juristlingvister. Inom Justitiedepartementet har utarbetats ett utkast till proposition (dnr Ju2008/1931/PO). I utkastet övervägs om riksdagen ska godkänna utkastet till rådsbeslut samt i vilken utsträckning ett kommande rådsbeslut föranleder lagändringar. En sammanfattning av utkastet till proposition finns i bilaga 2. Utkastet har remitterats och diskuterats vid ett remissmöte den 18 mars 2008. En förteckning över de remissinstanser som deltog vid mötet och de som har lämnat skriftliga synpunkter över utkastet till proposition finns i bilaga 3. De skriftliga synpunkter som har lämnats finns tillgängliga i ärendet, liksom anteckningar från remissmötet (dnr Ju2008/1931/PO). 3 VIS-förordningen VIS är avsett att bli ett gemensamt informationssystem för viseringar inom EU. Det centrala systemet ska ligga i Strasbourg i Frankrike. Det ska vara anslutet till de nationella systemen i varje medlemsstat via s.k. nationella gränssnitt. Ändamålet, funktionen och ansvarsfördelningen för VIS regleras av VIS-förordningen. Enligt förordningen ska VIS ha till syfte att förbättra genomförandet av den gemensamma viseringspolitiken, det konsulära samarbetet och samrådet mellan medlemsstaternas centrala viseringsmyndigheter genom att underlätta utbytet av viseringsuppgifter mellan medlemsstaterna. Ett förenklat utbyte av uppgifter ska bl.a. underlätta hanteringen av viseringsansökningar, gränskontroller och inre utlänningskontroll men också bidra till att förebygga hot mot medlemsstaternas inre säkerhet. I VIS ska uppgifter om viseringsansökningar registreras. I förordningen fastställs att endast vissa kategorier av uppgifter får registreras. Förutom alfanumeriska uppgifter (dvs. uppgifter som återges med bokstäver, siffror, särskilda tecken, mellanslag och skiljetecken) får endast fotografier, fingeravtryck och länkar till andra ansökningar registreras. Vid mottagandet av en viseringsansökan ska viseringsmyndigheten upprätta en ansökningsakt. Akten upprättas genom att viseringsmyndigheten registrerar ett antal uppgifter i VIS. Utöver uppgifter om sökanden, inklusive fotografier och fingeravtryck, ska uppgifter om den som har bjudit in sökanden eller som har åtagit sig att stå för hans eller hennes levnadsomkostnader under vistelsen registreras. Även uppgifter om den planerade vistelsen, däribland destination, varaktighet, bosättning och sysselsättning samt planerad gräns för första inresa eller transitväg, ska registreras. Om en viseringsmyndighet fattar beslut om att t.ex. återkalla, bevilja eller avslå en viseringsansökan, ska vissa kompletterande uppgifter, inklusive skälen för beslutet, registreras. Om exempelvis en ansökan avslås på grund av att resehandlingar saknas eller är förfalskade eller därför att sökanden har ansetts utgöra ett hot mot en medlemsstats allmänna ordning eller inre säkerhet, ska ansökningsakten kompletteras med uppgift om detta. VIS-förordningen, som förhandlas inom ramen för första pelaren, innehåller en s.k. broklausul som tillåter att uppgifter i VIS används för frågor inom ramen för tredje pelaren (polissamarbete och straffrättsligt samarbete). Enligt artikel 3 i förordningen ska de myndigheter som utses av medlemsstaterna i särskilda fall få inhämta uppgifter från VIS i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Även Europol ska, inom gränserna för sitt uppdrag, få inhämta uppgifter från VIS när det är nödvändigt för att Europol ska kunna fullgöra sina uppgifter. I förordningen förutsätts att ett rådsbeslut antas som reglerar villkoren för dessa myndigheters tillgång till VIS. 4 Innehållet i utkastet till rådsbeslut Detta avsnitt ger en översiktlig beskrivning av bestämmelserna i utkastet till rådsbeslut. Utkastet fastställer de villkor som ska gälla för att utsedda brottsbekämpande myndigheter och Europol ska få tillgång till uppgifter i VIS i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott. Syftet med flertalet av bestämmelserna kan sägas vara att utesluta rutinsökningar och att skydda inhämtade uppgifter från missbruk av olika slag (se punkterna 6-8 i preambeln). Utkastet innehåller bestämmelser som reglerar vilka myndigheter som är behöriga att inhämta uppgifter från VIS, hur sökningar i VIS ska gå till, under vilka förutsättningar sökningar får ske, hur inhämtade uppgifter får användas och hur länge de får sparas. Utkastet innehåller vidare bestämmelser om skadestånd och sanktioner, bestämmelser om enskildas rätt till insyn och rättelse samt bestämmelser om övervakning och kontroll. Uppgifter får inhämtas endast i syfte att bekämpa allvarlig brottslighet Av utkastet till rådsbeslut följer att utsedda myndigheter endast ska få tillgång till uppgifter i VIS i syfte att bekämpa terroristbrott och andra grova brott (artikel 1). Terroristbrott definieras i artikel 2 som brott enligt nationell rätt som motsvarar brott enligt artiklarna 1-4 i rådets rambeslut av den 13 juni 2002 om bekämpande av terrorism (2002/475/RIF). Med grova brott avses brottstyper som motsvarar de brottstyper som avses i artikel 2.2 i rådets rambeslut av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna (2002/584/RIF). Myndigheter som kan få tillgång till VIS I artikel 3 föreskrivs vilka myndigheter som ska ha tillgång till uppgifter i VIS. Varje medlemsstat ska utse de nationella brottsbekämpande myndigheter som ska ha tillgång till VIS (i utkastet benämnda utsedda myndigheter) samt en eller flera s.k. centrala åtkomstpunkter genom vilken eller vilka åtkomsten ska ske. Varje medlemsstat ska föra en förteckning över de driftsenheter inom de utsedda myndigheterna som ska ha åtkomst till VIS genom de centrala åtkomstpunkterna. Medlemsstaterna ska också se till att det endast är särskilt utsedd personal vid dessa driftsenheter och de centrala åtkomstpunkterna som har direkt eller indirekt tillgång till VIS. Förfarandet för att få tillgång till uppgifter i VIS En utsedd myndighet som vill få tillgång till uppgifter i VIS måste lämna en motiverad, skriftlig eller elektronisk, begäran till en central åtkomstpunkt (artikel 4). Den centrala åtkomstpunkten ska därefter kontrollera att samtliga villkor för tillgång till VIS är uppfyllda. Hur denna kontroll ska gå till regleras inte närmare. Om villkoren är uppfyllda, ska den centrala åtkomstpunkten behandla begäran, dvs. söka i VIS och föra över de begärda uppgifterna till den myndighet som har begärt dem. I brådskande undantagsfall ska den centrala åtkomstpunkten omedelbart behandla en begäran och först i efterhand kontrollera att villkoren är uppfyllda. I sådana situationer kan en begäran också framställas muntligen. Villkor för tillgång till uppgifter i VIS I artikel 5 finns de villkor som ska vara uppfyllda för att en utsedd myndighet ska få tillgång till uppgifter i VIS. Följande villkor ställs upp: 1. sökningarna ska vara nödvändiga för att förebygga, upptäcka eller utreda terroristbrott eller andra grova brott, 2. sökningarna ska vara nödvändiga i ett specifikt ärende, och 3. det ska finnas rimliga skäl att anse att inhämtandet av VIS-uppgifter väsentligen kommer att bidra till att brotten i fråga förebyggs, upptäcks eller utreds. Vad den centrala åtkomstpunkten ska kontrollera innan den behandlar en begäran från en utsedd myndighet är alltså att dessa villkor är uppfyllda. I detta sammanhang kan noteras att utkastet till rådsbeslut inte innehåller någon definition av begreppet specifikt ärende. Artikeln innehåller också bestämmelser om sökbegränsningar, dvs. att sökningar i VIS endast får ske på särskilt angivna uppgifter i ansökningsakten, och bestämmelser som reglerar vilka uppgifter som ska lämnas ut om det uppstår en träff vid sökningen. Av artikel 6 framgår under vilka förutsättningar som utsedda myndigheter i en medlemsstat där VIS-förordningen ännu inte har fått verkan kan få tillgång till uppgifter i VIS. I artikel 7 behandlas villkoren för Europols tillgång till VIS. Där framgår bl.a. att Europols behandling av VIS-uppgifter förutsätter samtycke från den medlemsstat som har fört in uppgifterna i VIS. Skydd av personuppgifter som inhämtas från VIS Artikel 8 föreskriver en lägsta nivå för det dataskydd som ska gälla för behandlingen av personuppgifter som inhämtas med stöd av rådsbeslutet. Av preambeln till utkastet till rådsbeslut framgår att så snart det förslag till dataskyddsrambeslut som just nu förhandlas inom EU har trätt i kraft, bör det tillämpas på personuppgifter som behandlas enligt rådsbeslutet. Fram till dess ska varje medlemsstat säkerställa en skyddsnivå i sin nationella lagstiftning som minst motsvarar den nivå som fastställs i Europarådets konvention från den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter och i tilläggsprotokollet från den 8 november 2001. Medlemsstaterna ska också beakta Europarådets ministerkommittés rekommendation nr R (87) 15 från den 17 september 1987 om polisens användning av personuppgifter. Europols behandling av personuppgifter som inhämtas med stöd av rådsbeslutet ska överensstämma med Europolkonventionen. Utkastet innehåller uttryckliga bestämmelser som begränsar rätten till användning av de personuppgifter som har inhämtats från VIS med stöd av beslutet. Behandling får ske endast för att förhindra, upptäcka, utreda och åtala för terroristbrott eller andra grova brott. Vidare föreskrivs att personuppgifter som har inhämtats från VIS med stöd av beslutet inte får överföras till eller göras tillgängliga för ett tredje land eller en internationell organisation. Undantag gäller under vissa förutsättningar i brådskande fall. I utkastet föreskrivs att den behandling av personuppgifter som grundar sig på rådsbeslutet ska övervakas av nationella tillsynsmyndigheter. Det finns också en uttrycklig skyldighet för de myndigheter som har tillgång till VIS att samarbeta med tillsynsmyndigheterna (artikel 11). Datasäkerhet Varje medlemsstat ska enligt artikel 9 garantera säkerheten för VIS-uppgifter under och efter överföringen till de utsedda myndigheterna. I det ingår att besluta om nödvändiga säkerhetsåtgärder för att skydda inhämtade uppgifter. Syftet med säkerhetsåtgärderna ska bl.a. vara att hindra obehöriga personer från att få tillgång till VIS-uppgifter samt att garantera att det finns möjlighet att kontrollera vilka uppgifter som har inhämtats, vem som har inhämtat dem och för vilket ändamål de har inhämtats. Ansvar och sanktioner Enligt artikel 10 ska varje person eller medlemsstat som har lidit skada till följd av otillåten behandling eller något annat handlande som är oförenligt med bestämmelserna i rådsbeslutet som huvudregel ha rätt till ersättning av den medlemsstat som är ansvarig för den uppkomna skadan. Medlemsstaterna ansvarar också i vissa fall för skador på VIS. Skadeståndsanspråk mot en medlemsstat för de skador som avses i den aktuella artikeln ska regleras genom nationell lagstiftning. Av artikel 12 följer att en medlemsstat ska vidta nödvändiga åtgärder för att se till att all användning av VIS-uppgifter som strider mot bestämmelserna i rådsbeslutet föranleder effektiva, proportionerliga och avskräckande sanktioner. Dessa kan vara av administrativ eller straffrättslig karaktär. Gallring av uppgifter som har inhämtats från VIS Artikel 13 innehåller bestämmelser om bevarande av VIS-uppgifter i nationella register. Sådana uppgifter får bevaras i nationella register endast om det är nödvändigt i ett enskilt fall och i enlighet med de ändamål som fastställs i rådsbeslutet. De får inte bevaras längre än vad som är nödvändigt i det enskilda fallet. Enskildas rätt till tillgång, rättelse och radering När det gäller enskildas rätt att få tillgång till uppgifter som har inhämtats från VIS och som avser dem själva hänvisar utkastet till rådsbeslut till nationell rätt (artikel 14). En medlemsstat får dock lämna ut information om sådana uppgifter först efter det att den medlemsstat som har lagt in uppgifterna i VIS har beretts tillfälle att yttra sig. Om genomförandet av det rättsliga uppdrag som uppgifterna avser eller skyddet av tredje mans rättigheter och frihet kräver det, ska information inte lämnas till den registrerade. Enskilda ska också ha rätt att få oriktiga uppgifter om sig själv rättade, liksom olagligt lagrade uppgifter raderade. En utsedd myndighet som tar emot en sådan begäran eller som får andra indikationer på att uppgifter som behandlas i VIS är oriktiga, ska omedelbart underrätta den viseringsmyndighet som har lagt in uppgifterna i VIS. När det gäller rättelse och radering av uppgifter i VIS hänvisar utkastet till VIS-förordningen. Artikel 14 innehåller också bestämmelser om skyldighet att inom vissa tidsfrister informera en berörd person om vilka åtgärder som har vidtagits med anledning av t.ex. en ansökan om rättelse. Vidare föreskrivs att var och en som har vägrats rätt till tillgång, rättelse eller radering ska ha rätt att väcka talan eller överklaga till en behörig myndighet eller domstol. Register över uppgiftsinhämtning från VIS Artikel 16 innehåller detaljerade bestämmelser om registerföring av uppgiftsbehandling i enlighet med utkastet till rådsbeslut. Av bestämmelserna framgår att det ska finnas nationella register som visar varför och hur uppgifter har inhämtats från VIS, liksom hur uppgifterna har behandlats. Bestämmelserna syftar till att göra det möjligt att i efterhand kontrollera att all databehandling är laglig och säker. Personuppgifter som finns i sådana register får användas endast för övervakning av att behandlingen av personuppgifter är laglig och för att trygga datasäkerheten. Det finns också särskilda gallringsfrister för uppgifter i registren. 5 Behovet av lagändringar Utkastet till rådsbeslut innehåller bestämmelser om hur uppgifter som har inhämtats från VIS med stöd av beslutet ska behandlas. Generella bestämmelser om personuppgiftsbehandling för svensk del finns i personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191). Personuppgiftslagen är central för all behandling av personuppgifter som sker i Sverige. Syftet med lagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (1 §). I den mån det i en annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen gäller de bestämmelserna i stället (2 §). För uppgifter som behandlas i polisens verksamhet finns bestämmelser som avviker från personuppgiftslagen och personuppgiftsförordningen i bl.a. polisdatalagen (1998:622). Polisdatalagen är under omarbetning och Justitiedepartementet har hösten 2007 remitterat ett förslag till en ny lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43). En sådan ny lag kan förväntas träda i kraft tidigast den 1 januari 2009. Polisdatalagen gäller även i polisverksamhet som bedrivs vid Ekobrottsmyndigheten. När det gäller andra brottsbekämpande myndigheters personuppgiftsbehandling finns bestämmelser i bl.a. lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen. Det kan noteras att bestämmelserna i personuppgiftslagen är tillämpliga vid personuppgiftsbehandling i Tullverkets brottsbekämpande verksamhet endast när det särskilt anges genom hänvisningar (5 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet). Regleringen av Kustbevakningens behandling av personuppgifter är, i likhet med polisdatalagen, föremål för översyn. Ett betänkande med förslag till ny lagstiftning (SOU 2006:18) bereds för närvarande i Regeringskansliet. Beredningen samordnas med arbetet med en ny lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet. Vilka författningar som kommer att bli tillämpliga på behandlingen av de personuppgifter som inhämtas med stöd av det kommande rådsbeslutet beror givetvis på vilka myndigheter som utses som behöriga att få tillgång till uppgifter i VIS. Det är i dag inte klart vilka svenska myndigheter som kommer att ges tillgång till uppgifter i VIS om rådsbeslutet antas. Det torde dock i vart fall bli fråga om Rikspolisstyrelsen (inklusive Säkerhetspolisen), polismyndigheterna, Tullverket och Kustbevakningen. Våra bedömningar av vilka författningsändringar som behöver göras har därför skett med utgångspunkt främst i de bestämmelser som gäller för dessa myndigheter. 5.1 Tillgång till VIS 5.1.1 Myndigheter som ska få tillgång till VIS Utkastet till rådsbeslut innebär för medlemsstaternas del att de brottsbekämpande myndigheter som staterna själva utser ska få tillgång till VIS under vissa förutsättningar. Det är också medlemsstaterna som bestämmer vilka nationella myndigheter som ska fungera som centrala åtkomstpunkter, dvs. ha direktåtkomst till VIS. De myndigheter som torde komma i fråga för Sveriges del är Rikspolisstyrelsen, polismyndigheterna, Tullverket och Kustbevakningen. Även andra brottsbekämpande myndigheter kan dock komma i fråga. Vilka myndigheter som ska ha tillgång till uppgifter i VIS och vilka som ska vara centrala åtkomstpunkter bör kunna regleras på förordningsnivå. Något hinder mot att en enhet inom en utsedd myndighet utses till central åtkomstpunkt torde inte föreligga. Det bör i sammanhanget påpekas att ett antagande av rådsbeslutet medför att även brottsbekämpande myndigheter i andra medlemsstater kan få tillgång till uppgifter i VIS, däribland uppgifter som svenska myndigheter har lagt in. Skyldigheten att registrera uppgifter i VIS kommer att följa direkt av VIS-förordningen. Den tillgång till svenska viseringsuppgifter i VIS som VIS-förordningen och rådsbeslutet medför för andra medlemsstater styrs alltså inte av svensk rätt. Sammanfattningsvis bedöms utkastets bestämmelser i denna del inte föranleda några lagändringar. 5.1.2 Förutsättningar för tillgång och förfarandet De i artikel 5 angivna förutsättningarna för när en myndighet ska få tillgång till uppgifter i VIS, dvs. behov av uppgifter och förväntat resultat, saknar av naturliga skäl motsvarighet i svensk rätt. Författningsbestämmelser som genomför rådsbeslutet i denna del bör dock kunna införas på förordningsnivå. Detsamma gäller de i utkastet föreskrivna begränsningarna avseende vilka uppgifter som får användas som sökbegrepp. Utkastet till rådsbeslut innehåller detaljerade bestämmelser om hur själva förfarandet för att få tillgång till VIS ska gå till (artikel 4). Dessa innebär bl.a. att en central åtkomstpunkt ska kontrollera om villkoren för att få tillgång till VIS är uppfyllda innan den söker i VIS. Hur denna kontroll ska gå till, t.ex. om den ska skötas manuellt eller tekniskt, framgår inte. Närmast till hands torde vara att förstå bestämmelserna så att den centrala åtkomstpunkten normalt ska godta de uppgifter som en utsedd myndighet lämnar och lägga dem till grund för sin bedömning av om villkoren är uppfyllda. Under alla förhållanden torde utkastets bestämmelser i dessa avseenden kunna genomföras genom förordning. 5.2 Skydd av personuppgifter 5.2.1 Begränsad rätt att använda uppgifter som har inhämtats från VIS Utkastet till rådsbeslut innehåller bestämmelser som begränsar rätten att behandla personuppgifter som har inhämtats från VIS med stöd av beslutet. Till att börja med får uppgifterna behandlas endast i syfte att förhindra, upptäcka, utreda och åtala för terroristbrott eller andra grova brott (artikel 8.3). Vidare innebär artikel 8.4 att rätten att behandla uppgifter begränsas eftersom den - med vissa undantag - förbjuder att uppgifter överförs till eller görs tillgängliga för tredje land eller internationella organisationer. Skälet för en svensk myndighet att inhämta uppgifter från VIS torde vara att uppgifterna behövs i underrättelseverksamhet eller i en förundersökning. I polisdatalagen finns bestämmelser som anger för vilka syften uppgifter får behandlas inom ramen för specifika verksamheter, t.ex. kriminalunderrättelseverksamhet (14 §). Polisdatalagen innehåller dock av naturliga skäl inte några bestämmelser som innebär att uppgifter som inhämtas från VIS inte får behandlas för andra ändamål än de som anges i utkastet till rådsbeslut. Polisdatalagen innehåller inte heller några bestämmelser som förbjuder att uppgifter överförs eller görs tillgängliga för myndigheter i andra stater eller för internationella organisationer. Varken lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller förordningen om behandling av personuppgifter inom Kustbevakningen innehåller några bestämmelser som uppfyller de krav som uppställs i dessa avseenden. I personuppgiftslagen finns bestämmelser som förbjuder överföring av personuppgifter till tredje land (33 §). Bestämmelserna, som är tillämpliga på personuppgiftsbehandling i polisens verksamhet och i Kustbevakningens brottsbekämpande verksamhet, omfattar dock endast överföring av uppgifter till stater som inte har en adekvat nivå för skyddet av personuppgifter. I 3 § lagen (2000:343) om internationellt polisiärt samarbete och 4 kap. 2 § lagen (2000:1219) om internationellt tullsamarbete finns bestämmelser om skyldighet för svenska myndigheter att följa sådana villkor som har överenskommits med en främmande stat om hur uppgifter som har överlämnats från den andra staten får användas. Bestämmelserna infördes för att göra det möjligt för svenska myndigheter att frångå myndighetens principiella skyldighet enligt svensk rätt att se till att frågor som uppkommer inom myndighetsområdet blir så utredda som deras beskaffenhet kräver (prop.1990/91:131 s. 22). I 3 § lagen om internationellt polisiärt samarbete föreskrivs att om en svensk myndighet har fått upplysningar eller bevismaterial från en annan stat för att användas i underrättelseverksamhet om brott eller vid utredning av brott och det på grund av en överenskommelse med den andra staten gäller villkor som begränsar möjligheten att utnyttja materialet, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning. Systemet med en EU-gemensam databas för utbyte av uppgifter skiljer sig från sådant informationsutbyte som sker direkt mellan stater. Frågan är om 3 § lagen om internationellt polisiärt samarbete kan bli tillämplig på uppgifter som svenska myndigheter inhämtar från VIS med stöd av rådsbeslutet. Detta förutsätter att Sverige kan anses ha fått uppgifterna från en annan stat. Även om paragrafen blir tillämplig vad gäller uppgifter som en annan medlemsstat har fört in i VIS är det tveksamt om den blir tillämplig på uppgifter som Sverige själv har fört in och som erhålls vid en sökning. Samma oklarhet torde råda vad gäller tillämpligheten av bestämmelserna i 4 kap. 2 § lagen om internationellt tullsamarbete. Sammanfattningsvis är det tveksamt om svensk rätt kan anses leva upp till kraven i utkastet till rådsbeslut när det gäller begränsningar i rätten att behandla personuppgifter. Bestämmelser som innebär att en svensk myndighet inte får behandla uppgifter som den har tillgång till annat än för vissa ändamål bör regleras i lag. Detta sammanhänger med att sådana begränsningar kan komma i konflikt med bestämmelser i lag om en myndighets skyldighet att utreda eller vidta andra åtgärder inom sitt verksamhetsområde för att fullgöra sina uppgifter. Som exempel kan nämnas att en polismyndighet eller en åklagare enligt 23 kap. 1 § rättegångsbalken i princip är skyldig att inleda förundersökning så snart det finns anledning att anta att ett brott som hör under allmänt åtal har begåtts (jfr prop. 1990/91:131 s. 14 f.). Mot denna bakgrund bör det i det fortsatta lagstiftningsärendet övervägas om det behövs särskilda lagbestämmelser för att genomföra utkastets bestämmelser i denna del. 5.2.2 Dataskyddsnivå Av artikel 8 i utkastet till rådsbeslut följer en skyldighet för varje medlemsstat att i sin nationella rätt säkerställa en viss skyddsnivå när det gäller behandling av personuppgifter som inhämtas med stöd av utkastet. Skyddsnivån ska minst motsvara den som följer av Europarådets konvention från den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter jämte tilläggsprotokollet från den 8 november 2001. Medlemsstaterna ska också beakta Europarådets ministerkommittés rekommendation nr R (87) 15 från den 17 september 1987 om polisens användning av personuppgifter. Konventionen innehåller grundläggande skyddsbestämmelser som ska tillämpas av de undertecknande parterna vid automatisk behandling av personuppgifter inom såväl allmän som privat verksamhet. Rådets rekommendation innehåller bestämmelser om automatisk behandling av personuppgifter inom polisens verksamhet. Personuppgiftslagen innehåller grundläggande skyddsregler som bl.a. innebär att en personuppgiftsansvarig ska se till att personuppgifter behandlas endast om det är lagligt, att uppgifterna alltid behandlas på ett korrekt sätt, att uppgifter samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och att de inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in. Av lagen följer också att rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna uppgifter som är felaktiga eller ofullständiga i förhållande till ändamålen. I det lagstiftningsärende som behandlade polissamarbete m.m. med anledning av Sveriges anslutning till Schengen gjordes bedömningen att de allmänna bestämmelserna i personuppgiftslagen uppfyller den skyddsnivå som följer av konventionen och rekommendationen (prop. 1999/2000:64 s. 147 f.). Polisdatalagen, lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och förordningen om behandling av personuppgifter inom Kustbevakningen innehåller vissa specialbestämmelser avseende dataskydd. Dessa bestämmelser kan i vart fall inte anses ställa lägre krav på dataskydd än vad som följer av personuppgiftslagens grundläggande bestämmelser. Svensk rätt bedöms därför leva upp till kraven i utkastet till rådsbeslut i denna del. I den mån de skyldigheter som medlemsstaterna åläggs enligt artiklarna 8.5-8.8 behöver regleras i författning bör detta kunna ske genom förordning. 5.3 Gallring Utkastet till rådsbeslut innehåller i artikel 13 bestämmelser om bevarande av VIS-uppgifter i nationella register. Bestämmelserna innebär en skyldighet för medlemsstaterna att gallra sådana VIS-uppgifter i sina nationella register som inte längre är nödvändiga i ett enskilt fall i enlighet med de ändamål som fastställs i rådsbeslutet. För de uppgifter som behandlas med stöd av polisdatalagen finns gallringsbestämmelser i den lagen. Enligt 13 § gäller som huvudregel att uppgifter som inte längre behövs för sitt ändamål ska gallras. Polisdatalagens bestämmelser om gallring omfattar dock inte uppgifter i förundersökningar. Sådana uppgifter ska gallras i den utsträckning som följer av arkivlagen (1990:782). De bestämmelser om gallring som finns i eller följer av arkivlagen anger endast när gallring får ske och nödvändiggör alltså inte gallring. Polisdatalagen innehåller vidare särskilda gallringsfrister för uppgifter i vissa register som förs med hjälp av automatiserad behandling samt för uppgifter som behandlas i kriminalunderrättelseverksamhet (se t.ex. 16, 21 och 35 §§ polisdatalagen). Enligt polisdatalagen finns också en möjlighet för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om bevarande av uppgifter för historiska, statistiska och vetenskapliga ändamål (se bl.a. 13 § andra stycket polisdatalagen och 4 § polisförordningen). Utkastet till rådsbeslut innebär en skyldighet att gallra även sådana VIS-uppgifter som har förts in i ett nationellt register inom ramen för en förundersökning när uppgifterna inte längre är nödvändiga för de ändamål som fastställs i rådsbeslutet. Detsamma gäller sådana VIS-uppgifter som finns i de register som förs med stöd av polisdatalagen eller som behandlas i kriminalunderrättelseverksamhet. Detta innebär att det torde krävas vissa författningsändringar för att svensk rätt ska leva upp till de krav som utkastet ställer i denna del. Regleringen bör ske på lagnivå (jfr 2 kap. 18 § tryckfrihetsförordningen). I det fortsatta lagstiftningsarbetet bör också göras en närmare analys av huruvida huvudregeln i polisdatalagen står i överensstämmelse med rådsbeslutets krav på gallring. För Kustbevakningens brottsbekämpande verksamhet finns gallringsbestämmelser i 24 § förordningen om behandling av personuppgifter inom Kustbevakningen. Som huvudregel gäller även här att uppgifter ska gallras när de inte längre behövs med hänsyn till ändamålen med behandlingen. Förordningen innehåller inte något undantag för uppgifter i förundersökningar. Som har framgått bör en närmare analys göras av huruvida bestämmelserna står i överensstämmelse med rådsbeslutets krav på gallring. När det gäller Tullverket finns gallringsbestämmelser i 27 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Uppgifter som behandlas automatiserat i ett ärende ska som huvudregel gallras senast ett år efter det att ärendet avslutades. Tullverkets gallringsregler har alltså inte samma koppling till behovet av uppgifterna som gallringsbestämmelserna i utkastet till rådsbeslut. Vidare gäller, liksom enligt polisdatalagen, bestämmelserna om gallring inte uppgifter i förundersökningar. Detta kan innebära att det krävs ändringar i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet för att kravet på gallring ska anses uppfyllt i fråga om de uppgifter som Tullverket inhämtar från VIS. 5.4 Enskildas rättigheter Utkastet till rådsbeslut innehåller i artikel 14 bestämmelser som ger enskilda rätt att få ut uppgifter som har inhämtats från VIS med stöd av beslutet och som avser dem själva. Vidare innehåller utkastet bestämmelser om rätt för enskilda att få sådana uppgifter rättade eller raderade. Enligt utkastet styrs en enskilds rätt att få ut uppgifter om sig själv som huvudregel av nationell rätt i den stat i vilken den enskilde åberopar denna rätt. Varken polisdatalagen eller förordningen om behandling av personuppgifter inom Kustbevakningen innehåller någon specialreglering i detta avseende. Det innebär att bestämmelserna i 25-27 §§ personuppgiftslagen om information till den registrerade blir tillämpliga. Dessa bestämmelser gäller även för personuppgiftsbehandling i Tullverkets brottsbekämpande verksamhet (jfr 6 § 4 lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet). Enligt utkastet till rådsbeslut får en medlemsstat lämna ut uppgifter till en enskild först efter det att den medlemsstat som har registrerat uppgifterna i VIS har beretts tillfälle att yttra sig. Bestämmelsen, som saknar motsvarighet i personuppgiftslagen, bör inte tolkas på så sätt att svenska myndigheter skulle vara bundna av vad den andra staten har för uppfattning i frågan. Emellertid kan den statens ståndpunkt komma att spela roll för bedömningen av om uppgifterna omfattas av utrikessekretess enligt 2 kap. 1 § sekretesslagen (1980:100), jfr prop. 1999/2000:64 s. 144. Bestämmelsen i artikel 14.4 om att information i vissa fall inte ska lämnas ut till den enskilde torde inte kräva några författningsändringar. Bestämmelsen innebär nämligen att nationell lag ska tillämpas på rätten att få ut uppgifter (jfr prop. 1997/98:42 s. 115 f.). Med undantag för att skyldigheten att inhämta yttrande från den medlemsstat som har registrerat uppgifterna i VIS bör regleras särskilt, bedömer vi att utkastets bestämmelser i denna del inte kräver några författningsändringar. Skyldigheten att inhämta yttrande bör kunna regleras i förordning. I utkastet till rådsbeslut föreskrivs vidare att en enskild ska ha rätt att få oriktiga uppgifter om sig själv rättade eller raderade. Rättelse och radering ska ske i enlighet med nationell rätt. Det innebär för svensk del att bestämmelserna i 28 § personuppgiftslagen blir tillämpliga (jfr 9 § polisdatalagen, 6 § 5 lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och 23 § förordningen om behandling av personuppgifter inom Kustbevakningen). Bestämmelserna innebär att den personuppgiftsansvarige är skyldig att rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med respektive författning. Under förutsättning att all behandling av personuppgifter som inhämtas med stöd av rådsbeslutet kommer att regleras i de nämnda författningarna torde några kompletterande svenska bestämmelser inte bli nödvändiga. Vidare bör utkastets bestämmelser om skyldighet att underrätta den viseringsmyndighet som har registrerat uppgifterna i VIS samt bestämmelserna i artiklarna 14.6 och 14.7 om skyldighet att lämna viss information till den enskilde kunna genomföras genom förordningsbestämmelser. I utkastet till rådsbeslut föreskrivs också att var och en som har vägrats rätt att få ut uppgifter om sig själv, eller rättelse eller radering av uppgifter, ska ha rätt att väcka talan eller överklaga till behörig myndighet eller domstol. Enligt 52 § personuppgiftslagen, som ska tillämpas i fråga om personuppgiftsbehandling i polisens verksamhet och i Kustbevakningens brottsbekämpande verksamhet, får en myndighets beslut om information enligt 26 § och om rättelse enligt 28 § överklagas till allmän förvaltningsdomstol. Enligt 30 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet får Tullverkets beslut om rättelse och om information överklagas till allmän förvaltningsdomstol. Vi bedömer därför att bestämmelserna i utkastet till rådsbeslut i denna del inte kräver några författningsändringar. 5.5 Datasäkerhet och registerföring 5.5.1 Datasäkerhet Artikel 9 i utkastet till rådsbeslut innebär en skyldighet för medlemsstaterna att i olika avseenden garantera säkerheten för de uppgifter som inhämtas från VIS. Bestämmelserna överensstämmer i allt väsentligt med artikel 118 i Schengenkonventionen som reglerar datasäkerhet för uppgifter inom ramen för Schengens informationssystem (SIS). När Schengenkonventionen genomfördes i svensk rätt, gjordes bedömningen att Sverige genom de allmänna skyddsreglerna i personuppgiftslagen, och de möjligheter som finns för regeringen eller den myndighet som regeringen bestämmer att meddela kompletterande bestämmelser i förordning eller myndighetsföreskrifter, uppfyllde de säkerhetskrav som konventionen uppställde (jfr prop. 1999/2000:64 s. 147 f.). När det gäller motsvarande bestämmelser i det rådsbeslut som kommer att ersätta Schengenkonventionens bestämmelser om Schengens informationssystem har vi gjort den preliminära bedömningen att det inte krävs några författningsändringar (prop. 2006/07:33 s. 11 f.). Mot den bakgrunden bedömer vi att utkastets bestämmelser om datasäkerhet inte torde föranleda några lagstiftningsåtgärder. I den mån de skyldigheter som medlemsstaterna åläggs enligt artikel 9 behöver regleras i författning bör detta kunna ske genom förordning. 5.5.2 Registerföring De bestämmelser i utkastet till rådsbeslut (artikel 16) som innebär att medlemsstaterna är skyldiga att föra register som visar hur inhämtade uppgifter behandlas syftar till att göra det möjligt att i efterhand kontrollera att sökningar i VIS och övrig databehandling sker säkert och lagligt. Skyldigheten att föra sådana register, som torde komma att åvila de myndigheter som utses till centrala åtkomstpunkter, bör regleras. Det förhållandet att särskilda gallringsfrister kommer att gälla för uppgifterna talar för att bestämmelserna bör genomföras i lag (jfr 2 kap. 18 § tryckfrihetsförordningen). 5.6 Skadestånd Enligt artikel 10 i utkastet till rådsbeslut är medlemsstaterna skyldiga att i sin nationella lagstiftning reglera skadeståndsansvar för staten i vissa fall. Enskilda personer och medlemsstater ska ha möjlighet att kräva ersättning av en medlemsstat för skada till följd av otillåten behandling eller något annat handlade i strid med bestämmelserna i rådsbeslutet. I 48 § personuppgiftslagen finns bestämmelser om skadestånd vid personuppgiftsbehandling. Paragrafen är tillämplig på den personuppgiftsbehandling som sker i polisens verksamhet samt i Tullverkets och Kustbevakningens brottsbekämpande verksamheter (jfr 9 § polisdatalagen, 6 § 10 lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och 23 § förordningen om behandling av personuppgifter inom Kustbevakningen). Bestämmelserna innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med respektive författning har orsakat. När det gäller övriga ersättningsfrågor är allmänna skadeståndsrättsliga bestämmelser i skadeståndslagen tillämpliga, liksom vad som följer av allmänna skadeståndsrättsliga principer. Under förutsättning att all behandling av personuppgifter som inhämtas med stöd av rådsbeslutet kommer att regleras i de författningar som gäller för personuppgiftsbehandling i polisens verksamhet samt i Tullverkets och Kustbevakningens brottsbekämpande verksamheter torde några kompletterande svenska bestämmelser inte bli nödvändiga. 5.7 Sanktioner Som har framgått ovan kräver utkastet till rådsbeslut att det i medlemsstaternas nationella rätt finns sanktioner mot överträdelser av de bestämmelser i utkastet som reglerar hur VIS-uppgifter får användas (jfr artikel 12). Medlemsstaterna får själva bestämma om det ska röra sig om administrativa eller straffrättsliga sanktioner eller både och. När det gäller administrativa sanktioner innehåller varken polisdatalagen, lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller förordningen om behandling av personuppgifter inom Kustbevakningen några sådana bestämmelser. I 44-46 §§ personuppgiftslagen finns bestämmelser om vite. Bestämmelserna innebär att tillsynsmyndigheten (dvs. Datainspektionen) kan förelägga vite i en rad olika situationer. Även om uttalanden i förarbetena till polisdatalagen antyder motsatsen (prop. 1997/98:97 s. 108) torde dessa bestämmelser dock inte kunna tillämpas på personuppgiftsbehandling som sker i polisens och Kustbevakningens brottsbekämpande verksamheter. Regeringen har i flera propositioner valt att inte ge tillsynsmyndigheten möjlighet att förelägga en statlig myndighet vite. Detta har motiverats med att regler om vite inte bör tillämpas mellan statliga myndigheter (prop. 2004/05:164 s. 54 och 2006/07:46 s. 105). Vidare har i den remitterade promemorian med förslag till en ny lag om behandling av personuppgifter i polisen brottsbekämpande verksamhet föreslagits att personuppgiftslagens bestämmelser om vite inte ska vara tillämpliga (Ds 2007:43 s. 121). Till detta kommer att bestämmelserna i personuppgiftslagen om vite inte gäller för Tullverket (prop. 2004/05: 164 s. 54). Sammanfattningsvis torde inte de krav på sanktioner som uppställs i utkastet till rådsbeslut anses uppfyllda i och med de bestämmelser om administrativa sanktioner som finns i svensk rätt. Vad gäller straffrättsliga sanktioner saknas bestämmelser av det slaget såväl i polisdatalagen som i förordningen om behandling av personuppgifter inom Kustbevakningen. Det förhållandet att dessa författningar gäller utöver personuppgiftslagen skulle kunna tolkas så att straffbestämmelserna i 49 § personuppgiftslagen därmed blir tillämpliga. Detta motsägs dock av uttalanden i förarbetena till polisdatalagen. Av uttalandena framgår att eftersom det är Rikspolisstyrelsen eller någon annan myndighet som är personuppgiftsansvarig för den behandling som sker torde det inte bli aktuellt att tillämpa straffbestämmelsen i personuppgiftslagen (prop. 1997/98:97 s. 109). Vi bedömer därför att personuppgiftslagens straffbestämmelser inte blir tillämpliga på den personuppgiftsbehandling som sker i polisens eller Kustbevakningens brottsbekämpande verksamhet. Inte heller lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet innehåller några straffbestämmelser. Bestämmelserna i personuppgiftslagen är tillämpliga vid personuppgiftsbehandling i Tullverkets brottsbekämpande verksamhet endast när det särskilt anges genom hänvisningar (5 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet). Någon hänvisning till 49 § personuppgiftslagen finns inte. Av förarbetsuttalanden framgår att det inte har ansetts finnas något behov av straffbestämmelser (prop. 2004/05:164 s. 55). Straffansvar kan dock komma i fråga enligt andra bestämmelser. Den som använder VIS-uppgifter på ett sätt som strider mot bestämmelserna i rådsbeslutet kan t.ex. göra sig skyldig till tjänstefel (20 kap. 1 § brottsbalken). Vidare kan en person som olovligen bereder sig tillgång till VIS dömas för dataintrång (4 kap. 9 c § brottsbalken). Beroende på omständigheterna kan också ansvar för brott mot tystnadsplikt aktualiseras (20 kap. 3 § brottsbalken). Det finns alltså tillämpliga straffbestämmelser. Mot denna bakgrund torde svensk rätt anses uppfylla rådsbeslutets krav på sanktioner. 6 Godkännande av utkastet till rådsbeslut Regeringens förslag: Riksdagen godkänner det inom Europeiska unionen upprättade utkastet till beslut om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Förslaget i utkastet till proposition: Överensstämmer med regeringens förslag. Remissinstanserna: Justitieombudsmannen, Riksarkivet, Juridiska fakultetsstyrelsen vid Lunds universitet och Datainspektionen har framfört synpunkter på några av bestämmelserna i utkastet till rådsbeslut (se nedan) och Kammarrätten i Jönköping har uttalat att följderna av förslaget är svåra att förutse. Ingen av remissinstanserna har dock avstyrkt förslaget. De brottbekämpande myndigheter som har yttrat sig är positiva till förslaget och bedömer att det kommer att bidra till en effektivare brottsbekämpning. Justitiekanslern har konstaterat att utkastet till rådsbeslut innehåller väl gjorda avvägningar mellan å ena sidan intresset av att inom EU kunna bekämpa terrorism och annan grov brottslighet och å andra sidan intresset av skydd för den personliga integriteten. Skälen för regeringens förslag Antagande av rådsbeslutet Terrorism är ett hot mot människors liv och hälsa, orsakar stora ekonomiska förluster och minskar öppenheten och toleransen i vårt samhälle. Redan i anslutning till terrorattacken i New York den 11 september 2001 togs det flera initiativ inom EU för att bekämpa terrorism. Efter bombattentaten i Madrid i mars 2004, som krävde nästan 200 människoliv, och attackerna i Londons tunnelbana i juli 2005, där fler än 50 personer dog, har insikten om att terrorismen är ett växande hot mot hela Europa ökat ytterligare. Redan den 21 september 2001 antog Europeiska rådet en handlingsplan mot terrorism. Handlingsplanen, som ses över regelbundet, har uppdaterats vid flera tillfällen. Planen omfattar bl.a. ett utökat polisiärt samarbete och informationsutbyte mellan medlemsstaterna. En av de konkreta åtgärder som anges i handlingsplanen är att ge nationella myndigheter som ansvarar för inre säkerhet och Europol tillgång till VIS. I takt med att gränskontrollen mellan medlemsstaterna avskaffas och det blir allt lättare att resa mellan staterna ökar också möjligheterna för den gränsöverskridande brottsligheten att breda ut sig och få fäste. Effektiv bekämpning av gränsöverskridande brottslighet samt annan allvarlig brottslighet kräver - liksom kampen mot terrorism - samarbete mellan medlemsstaternas polis- och tullmyndigheter. I detta arbete är ett förbättrat informationsutbyte mellan medlemsstaterna, liksom förbättrad tillgång till relevant information i befintliga EU-databaser, av central betydelse. Europol har en nyckelroll i samarbetet mellan medlemsstaternas myndigheter när det gäller utredningar av gränsöverskridande brottslighet i frågor om brottsförebyggande åtgärder samt analyser och utredningar av brottslighet i hela unionen. Det är därför av stor vikt att Europol ges samma möjligheter att få tillgång till relevant information som de nationella brottsbekämpande myndigheterna inom EU. Som har framgått ovan är en viktig faktor i det gemensamma arbetet inom EU med att bekämpa terrorism och annan grov brottslighet att öka informationsutbytet mellan medlemsstaterna. En av metoderna för informationsutbyte är att ge brottsbekämpande myndigheter tillgång till befintliga centrala EU-databaser som innehåller information som kan ha betydelse för brottsbekämpningen. Det finns i dag inte något gemensamt system eller någon rättsakt som särskilt tar sikte på utbyte av viseringsuppgifter mellan brottsbekämpande myndigheter. Det innebär att sådana myndigheters möjligheter att få tillgång till viseringsuppgifter styrs av den nationella rätten i den stat som förfogar över uppgifterna. Även möjligheterna att få tillgång till den egna statens viseringsuppgifter kan variera. Svenska brottsbekämpande myndigheters möjligheter att få tillgång till svenska viseringsuppgifter är begränsade. Sådana uppgifter finns i Migrationsverkets verksamhetsregister (Wilma). Såväl Rikspolisstyrelsen som polismyndigheterna har visserligen direktåtkomst till Wilma. Denna direktåtkomst gäller dock endast inom ramen för verksamhet som avser inre utlänningskontroll, dvs. kontroll av utlänningars rätt att vistas och arbeta i Sverige samt i polisens verksamhet med att verkställa utvisningar och avvisningar. Om polisen anser sig behöva uppgifter i Wilma för verksamhet som inte avser inre utlänningskontroll avgör Migrationsverket, efter en prövning i det enskilda fallet, om uppgifterna kan lämnas ut. Ett antagande av rådsbeslutet innebär för Sveriges del, liksom för övriga medlemsstater, att de brottsbekämpande myndigheternas möjligheter att få tillgång till viseringsuppgifter förenklas och utökas. När det gäller sådan kvalificerad brottslighet som utkastet till rådsbeslut tar sikte på kan det vara av särskilt intresse att få tillgång till den typ av information som VIS kommer att innehålla. Vid gränsöverskridande brottslighet som narkotikasmuggling och människohandel, liksom vid misstanke om förberedelse till terroristbrott, kan t.ex. uppgifter om hur misstänkta personer har rört sig över gränserna vara av avgörande betydelse både i brottsförebyggande och i brottsutredande syfte. Detsamma gäller uppgifter som gör det möjligt att se kopplingar mellan olika personer, t.ex. vem som har bjudit in en misstänkt person eller vilka personer en misstänkt person har bjudit in. Informationen i VIS kan vara nödvändig för att brottsbekämpande myndigheter ska kunna kartlägga ett händelseförlopp och därigenom upptäcka planerade allvarliga brott eller utreda ett redan begånget brott av allvarligt slag. Inte sällan torde sådan information också kunna leda till att en medlemsstat kan identifiera andra medlemsstater som har information av betydelse i ett ärende. Detta kan i sin tur medföra ett informationsutbyte som ytterligare förbättrar förutsättningarna för det brottsbekämpande och brottsutredande arbetet. En sådan utökad tillgång till personuppgifter som ett antagande av rådsbeslutet skulle innebära måste dock vägas mot intresset av skydd för enskildas integritet. Frågan är då vilka särskilda integritetsrisker som rådsbeslutet skulle ge upphov till. Utkastet till rådsbeslut innebär att de brottsbekämpande myndigheter som respektive medlemsstat har utsett ges möjlighet att inhämta information från ett redan befintligt informationssystem, VIS. Myndigheterna kommer inte att ha behörighet att föra in ytterligare uppgifter eller på något annat sätt påverka innehållet i VIS. Genom de villkor som utkastet uppställer inskränks de utsedda myndigheternas möjligheter att inhämta uppgifter från VIS högst väsentligt. För det första får informationssökning endast ske inom ramen för bekämpning av vissa kvalificerade brottstyper, nämligen terroristbrott och andra särskilt definierade grova brott. Som har framgått ovan sammanfaller definitionerna av dessa brott med de definitioner som återfinns i rambesluten om en europeisk arresteringsorder och om bekämpande av terrorism. Genom denna definition tydliggörs och begränsas förutsättningarna för informationssökning. Datainspektionen har i och för sig ifrågasatt om inte den brottskatalog som inryms i definitionen av grova brott är alltför omfattande i förhållande till de skäl som nämns för att bereda de brottsbekämpande myndigheterna tillgång till VIS. Även Juridiska fakultetsstyrelsen vid Lunds universitet har framfört synpunkter på definitionen av grova brott. Vi menar dock att avgränsningen av vilka brott som ska anses utgöra grova brott får anses väl avvägd. Sökningar får vidare ske endast när det är nödvändigt i ett särskilt ärende ("specifikt ärende") och då det finns rimliga skäl att anse att inhämtandet av uppgifter väsentligen kommer att bidra till att brotten i fråga förebyggs, upptäcks eller utreds. Som har berörts ovan saknar utkastet till rådsbeslut i och för sig en definition av begreppet specifikt ärende, något som Datainspektionen och Juridiska fakultetsstyrelsen vid Lunds universitet har påtalat som en brist. Av preambeln till utkastet till rådsbeslut (punkten 8) synes framgå att bestämmelsen syftar bl.a. på fall då sökningen har samband med en specifik händelse eller med en fara kopplad till grov brottslighet eller med personer beträffande vilka det finns starka skäl att förmoda att de kommer att begå eller har begått terroristbrott eller andra grova brott. Vi delar dock Datainspektionens och Juridiska fakultetsstyrelsens åsikt att begreppet specifikt ärende lämnar utrymme för olika tolkningar och därmed också för en viss osäkerhet vad gäller tillämpningsområdet. Även utformningen av kravet på att en sökning ska förväntas leda till ett visst resultat torde, såsom Juridiska fakultetsstyrelsen påpekat, lämna visst utrymme för tolkning. Vi bedömer dock att utformningen av de nu nämnda villkoren för tillgång till VIS-uppgifter inte torde komma att ge upphov till några väsentliga problem. I det fortsatta lagstiftningsarbetet får analyseras om bestämmelser om den närmare innebörden av vissa begrepp ska införas i svensk rätt. För att säkerställa att utsedda myndigheter inhämtar uppgifter från VIS endast när villkoren för detta är uppfyllda innehåller utkastet till rådsbeslut också utförliga bestämmelser om själva förfarandet för tillgång till VIS. Som har utvecklats ovan innebär bestämmelserna bl.a. att utsedda myndigheter endast kan få tillgång till uppgifter via en central åtkomstpunkt, som ska kontrollera att samtliga villkor för åtkomst verkligen är uppfyllda. Enligt Datainspektionen bör bestämmelserna om vilka myndigheter som ska ges tillgång till VIS, vilken eller vilka myndigheter som ska vara centrala åtkomstpunkter samt förfarandet och förutsättningarna för tillgång till VIS regleras i lag. Inspektionen har i detta sammanhang lyft fram att en samlad reglering avseende de brottsbekämpande myndigheternas tillgång till VIS är att föredra. Vi konstaterar att det i och för sig inte föreligger några formella hinder mot att rådsbeslutets bestämmelser i dessa avseenden genomförs i förordning. Huruvida bestämmelserna, av andra skäl, lämpligen bör tas in i lag är något som får övervägas i det fortsatta lagstiftningsarbetet. Som har framgått inskränks de utsedda myndigheternas möjligheter att inhämta uppgifter från VIS högst väsentligt genom de villkor som utkastet uppställer. I detta sammanhang kan också nämnas att medlemsstaterna och Europol är skyldiga att föra register över all uppgiftsbehandling som härrör från sökningar i VIS för att kunna kontrollera om sökningarna är tillåtna. Från integritetsskyddssynpunkt är det givetvis också angeläget att kretsen av tjänstemän som har tillgång till VIS är så begränsad som möjligt. Detta säkerställs genom bestämmelser om att endast utbildad och särskilt bemyndigad personal är berättigad till åtkomst till VIS. Utkastet till rådsbeslut innehåller sålunda ett flertal bestämmelser som syftar till att förhindra att utsedda myndigheter utför sökningar i VIS rutinmässigt. Mot bakgrund av de skyddsmekanismer som utkastet innehåller anser vi att det intrång i den personliga integriteten som en utökad tillgång till VIS innebär uppvägs av den betydelse som uppgifterna kan komma att få för medlemsstaternas och Europols arbete med att förebygga och bekämpa terrorism och andra grova brott. Den behandling av personuppgifter som utkastet till rådsbeslut ger möjlighet till bör givetvis omfattas av ett erforderligt dataskydd. Utkastet innehåller en generell hänvisning till Europarådets konvention från den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter jämte tilläggsprotokollet från den 8 november 2001. Medlemsstaterna ska också beakta Europarådets ministerkommittés rekommendation nr R (87) 15 från den 17 september 1987 om polisens användning av personuppgifter. Därutöver innehåller utkastet särskilda bestämmelser om bl.a. användning, gallring, registrering av uppgiftsbehandling, tillsyn samt sanktioner och skadestånd. Vad gäller frågan om gallring har JO, vars synpunkter delas av Riksarkivet, framfört att det inte kan accepteras att uppgifter som har tillförts en förundersökning, och som har betydelse för den brottsmisstanke som utreds, gallras när förundersökningen läggs ned eller leder till åtal och lagakraftvunnen dom. JO menar att en sådan ordning skulle försvåra en senare granskning av förundersökningen, t.ex. i samband med en fråga om resning. Vi delar JO:s uppfattning. Det kan dock noteras att det bestämmelserna i utkastet till rådsbeslut föreskriver är att uppgifter som har inhämtats från VIS inte får bevaras längre än vad som är nödvändigt i det enskilda fallet. Detta utesluter inte att uppgifter bevaras under en viss tid även efter det att det ärende de hänför sig till har avslutats, t.ex. genom en dom eller ett beslut om att lägga ned en förundersökning. Därtill kommer att utkastet endast reglerar under vilka förutsättningar uppgifterna får bevaras i nationella register. Enligt vår uppfattning utesluter således bestämmelserna inte att uppgifter bevaras på annat sätt. Något hinder mot att bevara en utskriven VIS-uppgift i en akt torde alltså inte föreligga. Mot denna bakgrund menar vi att de synpunkter som JO har framfört inte medför att utkastet till rådsbeslut inte kan godkännas. Vad gäller bestämmelserna i utkastet till rådsbeslut om skadestånd har Datainspektionen anfört att det förhållandet att en person, för att tillvarata sin rätt, kan tvingas vända sig till en annan medlemsstat med krav på ersättning kan medföra betydande praktiska problem för denne. Problemen blir enligt inspektionen än större då skadeståndsanspråk enligt utkastet till rådsbeslut ska regleras av den nationella lagstiftningen i den medlemsstat som är svarande. Att en person får vända sig till den stat som åsamkat skadan samt att den statens nationella skadeståndsregler tillämpas är dock inte unikt för det nu aktuella samarbetet. Enligt vår mening är den valda lösningen också den som bäst garanterar en korrekt behandling av skadeståndsfrågan. I utkastet till rådsbeslut förutsätts att det dataskyddsrambeslut som för närvarande förhandlas inom EU ska tillämpas på de uppgifter som behandlas med stöd av utkastet när rambeslutet har antagits. Med hänsyn till de detaljerade dataskyddsbestämmelser som utkastet innehåller får skyddet för enskildas integritet anses vara väl tillgodosett. Det bör därmed inte föreligga något hinder mot att godkänna rådsbeslutet innan dataskyddsrambeslutet har antagits. Godkännandeproposition eller proposition med lagförslag? Givetvis är det önskvärt att riksdagen, när den beslutar i en fråga om godkännande av en överenskommelse, också har möjlighet att ta ställning till de lagändringar som blir aktuella till följd av överenskommelsen. Riksdagen har emellertid uttalat att det finns ett visst utrymme för att godkänna ett utkast till råds- eller rambeslut vid ett tillfälle och först vid ett senare tillfälle fatta beslut om aktuella lagstiftningsåtgärder. Att på detta sätt avvakta med lagstiftningsåtgärderna bör dock enligt riksdagens uttalande ske endast när det är nödvändigt på grund av de tidsramar som gäller för antagandet av beslutet (bet. 1999/2000:JuU20). Beträffande det nu aktuella utkastet till rådsbeslut har det inom rådet träffats en politisk överenskommelse om beslutets innehåll. Sverige kan lyfta sin parlamentariska granskningsreservation först efter det att riksdagens godkännande har inhämtats. VIS-förordningen och rådsbeslutet förutsätts antas samtidigt. En försening av antagandet av rådsbeslutet skulle alltså innebära att även antagandet av förordningen försenas. Med tanke på det omfattande förberedande arbete som redan har lagts ned och den betydelse VIS förväntas få för viseringssamarbetet inom EU vore detta olyckligt. Därtill kommer att polisdatalagen (1998:622), vars bestämmelser i stor utsträckning kan komma att beröras, för närvarande är under omfattande omarbetning. Nya bestämmelser om behandlingen av personuppgifter i polisens brottsbekämpande verksamhet kan förväntas träda i kraft tidigast år 2009. Det är därför inte lämpligt att nu föreslå ändringar i den gällande polisdatalagen. Att avvakta med ett godkännande av utkastet till rådsbeslut till dess att ett tillfredsställande beredningsunderlag avseende erforderliga lagändringar föreligger, skulle vidare innebära att rådsbeslutet inte kan antas innan EU:s nya reformfördrag, Lissabonfördraget, träder ikraft. Lissabonfördraget kommer att innebära nya förhållanden för beslutsfattandet på det aktuella området, varför det är angeläget att anta färdigförhandlade beslut enligt den nu gällande ordningen. Mot denna bakgrund finns det i detta fall goda skäl för regeringen att föreslå riksdagen att godkänna utkastet till rådsbeslut utan att samtidigt lägga fram konkreta förslag på de lagändringar som bedöms nödvändiga. Med hänvisning till vad som nu har sagts bör riksdagen godkänna utkastet till rådsbeslut. 7 Ekonomiska konsekvenser Som framgår av artikel 15 i utkastet till rådsbeslut ska varje medlemsstat och Europol ansvara för kostnaderna för inrättandet och underhåll av den tekniska infrastruktur som är nödvändig samt för kostnaderna för åtkomst till VIS. Genomförandet av rådsbeslutet kan förväntas medföra vissa ökade kostnader för berörda myndigheter. Detta gäller främst de myndigheter som utses till centrala åtkomstpunkter, dvs. de myndigheter som ska ha direktåtkomst till VIS och som ska utföra sökningar för andra myndigheters räkning. Det är i dagsläget inte möjligt att beräkna vilka kostnader som genomförandet av rådsbeslutet kan förväntas medföra totalt. Merparten av kostnaderna, t.ex. kostnader för att inrätta nya och anpassa befintliga datasystem, torde uppkomma initialt. Å andra sidan kan brottsbekämpande myndigheters tillgång till VIS förväntas leda till en effektivare brottsbekämpning såväl nationellt som inom EU. Även för Datainspektionens del kan genomförandet av rådsbeslutet medföra vissa ökade kostnader vad gäller inspektionens tillsynsverksamhet. Kostnaderna ska finansieras inom myndigheternas befintliga ramar. Utkast till rådets beslut om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott Sammanfattning av utkastet till proposition I propositionen föreslås att riksdagen ska godkänna ett inom EU upprättat utkast till rådsbeslut om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott. Informationssystemet för viseringar (VIS), som kommer att regleras i en EG-förordning, är avsett att bli ett gemensamt system inom EU för utbyte av uppgifter om viseringar mellan medlemsstaterna. Huvudsyftet med VIS är att förbättra genomförandet av den gemensamma viseringspolitiken. Genom att underlätta utbytet av viseringsuppgifter mellan medlemsstaterna ska förfarandet vid viseringsansökningar och gränskontroller underlättas. VIS syftar också till att bidra till att förebygga hot mot medlemsstaternas inre säkerhet. Utkastet till rådsbeslut innebär att utsedda brottsbekämpande myndigheter i medlemsstaterna samt Europol under vissa förutsättningar ska få tillgång till VIS i syfte att förhindra, upptäcka och utreda terroristbrott och andra särskilt definierade grova brott. I propositionen föreslås att riksdagen ska godkänna utkastet till rådsbeslut. Det övervägs också vilka lagändringar som kan bli nödvändiga med anledning av rådsbeslutet. Propositionen innehåller dock inga lagförslag. Regeringen avser att senare återkomma till riksdagen i denna del. Förteckning över deltagare vid remissmöte den 18 mars 2008 samt de remissinstanser som har lämnat skriftliga synpunkter över utkastet till proposition Vid remissmötet deltog Åklagarmyndigheten, Rikspolisstyrelsen, Säkerhetspolisen, Migrationsverket, Tullverket, Datainspektionen, Riksarkivet, Sveriges advokatsamfund, Svenska Journalistförbundet och Svenska polisförbundet. Skriftliga synpunkter över utkastet till proposition har getts in av Justitieombudsmannen, Göta hovrätt, Kammarrätten i Jönköping, Justitiekanslern, Ekobrottsmyndigheten, Säkerhetspolisen, Brottsförebyggande rådet, Kustbevakningen, Tullverket, Skatteverket, Datainspektionen, Juridiska fakultetsstyrelsen vid Lunds universitet och Riksarkivet. Justitiedepartementet Utdrag ur protokoll vid regeringssammanträde den 17 april 2008 Närvarande: Statsrådet Olofsson, ordförande, statsråden Bildt, Ask, Leijonborg, Erlandsson, Torstensson, Björklund, Littorin, Borg, Malmström, Billström, Adelsohn Liljeroth Föredragande: Statsrådet Ask Regeringen beslutar proposition 2007/08:132 Godkännande av rådets beslut om åtkomst till informationssystemet för viseringar (VIS) i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott Prop. 2007/08:XX Prop. 2007/08:XX 2 53 1 Prop. 2007/08:132 Prop. 2007/08:132 Prop. 2007/08:132 Bilaga 1 Prop. 2007/08:132 Bilaga 1 Prop. 2007/08:132 Bilaga 2 Prop. 2007/08:132 Bilaga 2 54 Prop. 2007/08:132 Bilaga 3 Prop. 2007/08:132 Bilaga 3 Prop. 2007/08:132 Prop. 2007/08:132 56 55 56