Post 5513 av 7212 träffar
Propositionsnummer ·
2000/01:126 ·
Hämta Doc ·
Behandling av personuppgifter inom kriminalvården Prop. 2000/01:126
Ansvarig myndighet: Justitiedepartementet
Dokument: Prop. 126
Regeringens proposition
2000/01:126
Behandling av personuppgifter inom kriminalvården
Prop.
2000/01:126
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 26 april 2001
Göran Persson
Thomas Bodström
(Justitiedepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås en lag om behandling av personuppgifter inom kriminalvården. Lagen skall innehålla de bestämmelser som utöver personuppgiftslagen (1998:204) är nödvändiga för kriminalvårdens verksamhet. Regleringen kommer att ersätta de tillstånd från Datainspektionen på vilka huvuddelen av den nuvarande registerföringen vilar.
Personuppgifter får enligt lagen behandlas om det behövs för att kriminalvården skall kunna fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning. Uppgifter skall vidare få behandlas för att tillgodose rättsväsendets myndigheters behov av information om verkställighet av påföljd och häktning samt för att upprätthålla säkerheten och förebygga brott under den tid som en person är föremål för en kriminalvårdsåtgärd. Dessutom får dessa personuppgifter också användas för tillsyn, planering, uppföljning och kvalitetssäkring av verksamheten.
Författningsförslaget innebär att kriminalvården ges utökade möjligheter att behandla uppgifter om intagna som utgör särskilda risker i t.ex. hot- eller våldshänseende.
Sådana känsliga uppgifter som avses i 13 § personuppgiftslagen skall få behandlas tillsammans med andra uppgifter om det är oundgängligen nödvändigt för syftet med behandlingen. Sådana uppgifter får dock som huvudregel inte användas som sökbegrepp.
Vidare införs en bestämmelse om att personuppgifter som behandlats av kriminalvården skall gallras senast tio år efter det att den senaste registrerade påföljden eller åtgärden helt har verkställts eller upphört.
Lagen innehåller bestämmelser om att regeringen meddelar föreskrifter om vilka andra myndigheter som skall få tillgång till personuppgifter som behandlas inom kriminalvården samt vem som därvid skall få ha direktåtkomst till sådana uppgifter.
Den nya lagen föreslås träda i kraft den 1 oktober 2001.
Innehållsförteckning
1 Förslag till riksdagsbeslut 5
2 Lagtext 6
2.1 Förslag till lag om behandling av personuppgifter inom kriminalvården 6
3 Ärendet och dess beredning 9
4 Allmänt om kriminalvården 9
4.1 Kriminalvårdens organisation 9
4.2 Kriminalvårdslagstiftningens uppbyggnad 10
4.3 Akthantering och journalföring 11
5 Nuvarande register inom kriminalvården 11
5.1 Allmänt 11
5.2 Centrala register 11
5.3 Register i KLAS-systemet 13
5.4 Vissa övriga register 15
5.5 Den framtida utvecklingen 16
6 Behandling av personuppgifter inom kriminalvården - utgångspunkter för en reform 17
6.1 Kriminalvårdens datorisering 17
6.2 Tidigare reformförslag 18
6.3 En ny utgångspunkt för behandling av personuppgifter 18
7 Behandling av personuppgifter inom kriminalvården - överväganden och förslag 20
7.1 En författningsreglering behövs 20
7.2 Författningsteknisk lösning 21
7.3 Lagens tillämpningsområde 23
7.4 Ändamålet med behandlingen 25
7.4.1 Behandling för att kriminalvården skall kunna fullgöra sina uppgifter 25
7.4.2 Behandling för att underlätta tillgången till sådana uppgifter som behövs inom rättsväsendet 26
7.4.3 Behandling för att upprätthålla säkerheten och förebygga brott 26
7.4.4 Behandling för tillsyn m.m. 28
7.5 Vilka personuppgifter får behandlas? 29
7.5.1 Ändamålet avgör vilka uppgifter som får behandlas 29
7.5.2 Känsliga uppgifter 30
7.6 Personuppgiftsansvar 33
7.7 Sambearbetning 33
7.8 Direktåtkomst 34
7.9 Utlämnande av uppgifter 35
7.9.1 Utlämnande av uppgifter för statistik 35
7.9.2 Utlämnande av uppgifter till myndigheter
m.m. 36
7.10 Gallring 38
7.11 Information 40
7.12 Säkerhet och tillsyn 41
7.13 Rättelse och skadestånd 42
7.14 Sekretessfrågor 43
7.15 Utgångspunkter för det fortsatta författningsarbetet 44
8 Kostnader och ikraftträdande 47
9 Författningskommentar 48
Bilaga 1 Lagförslagen i departementspromemorian Behandling av personuppgifter inom kriminalvården (Ds 2000:50) 53
Bilaga 2 Remissinstanser som yttrat sig över departements-promemorian Behandling av personuppgifter inom kriminalvården 55
Bilaga 3 Lagrådsremissens lagtext 56
Bilaga 4 Lagrådets yttrande 59
Utdrag ur protokoll vid regeringssammanträde den 26 april 2001 61
1 Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till lag om behandling av personuppgifter inom kriminalvården.
1
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till lag om behandling av personuppgifter inom kriminalvården
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter i kriminalvårdens verksamhet i fråga om personer
1. som är föremål för personutredning,
2. som är häktade,
3. som är dömda till fängelse,
4. som är dömda till skyddstillsyn,
5. som är dömda till villkorlig dom med föreskrift om samhällstjänst,
6. som är ålagda fängelse som förvandlingsstraff för böter eller vite,
7. som på grund av utländsk dom skall verkställa en sådan påföljd som avses i 3-6 i Sverige,
8. som på annan grund är intagna i häkte eller kriminalvårdsanstalt, eller
9. som annars transporteras av kriminalvårdens transporttjänst.
Lagen gäller endast om behandlingen av personuppgifterna är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning efter särskilda kriterier.
Förhållandet till personuppgiftslagen
2 § Om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter inom kriminalvården.
Ändamål med behandlingen
3 § En myndighet inom kriminalvården får behandla personuppgifter bara om det behövs för att
1. myndigheten skall kunna fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning,
2. underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver, eller
3. upprätthålla säkerheten och förebygga brott under den tid som en åtgärd enligt 1 § första stycket 2-9 pågår.
Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för tillsyn, planering, uppföljning och kvalitetssäkring av verksamheten.
Personuppgiftsansvar
4 § Den myndighet som utför en behandling av personuppgifter är personuppgiftsansvarig. Kriminalvårdsstyrelsen är dock personuppgifts-ansvarig för behandling av uppgifter som sker gemensamt för myndigheterna inom kriminalvården.
Behandling av känsliga uppgifter
5 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexuell läggning.
Om uppgifter om en person behandlas på annan grund får uppgifterna kompletteras med sådana uppgifter som avses i första stycket, om det är oundgängligen nödvändigt för syftet med behandlingen.
Personuppgifter enligt första stycket får inte användas som sökbegrepp om inte regeringen har föreskrivit det. Sådana föreskrifter får meddelas endast för det ändamål som anges i 3 § första stycket 3.
Direktåtkomst
6 § Direktåtkomst till de personuppgifter som behandlas enligt denna lag skall vara förbehållen de personer som på grund av sina arbetsuppgifter inom kriminalvården behöver tillgång till uppgifterna.
I fråga om direktåtkomst till uppgifter som får lämnas ut till en annan myndighet gäller 10 §.
Gallring
7 § Personuppgifter som behandlas enligt denna lag skall gallras så snart de inte behövs för de ändamål de insamlats för, dock senast tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört.
Trots vad som föreskrivs i första stycket får uppgifter bevaras för historiska, statistiska eller vetenskapliga ändamål.
Rättelse och skadestånd
8 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till denna lag.
Utlämnande av uppgifter
9 § Uppgifter som är nödvändiga för att framställa rättsstatistiken skall lämnas till den myndighet som ansvarar för att framställa sådan statistik.
Ytterligare föreskrifter
10 § Regeringen meddelar föreskrifter om
1. att personuppgifter skall lämnas ut till myndighet även i andra fall än som sägs i 9 §, och
2. vilka myndigheter som därvid får ha direktåtkomst till personuppgifter.
Direktåtkomst till personuppgifter enligt första stycket skall vara förbehållen de personer vid myndigheten som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.
11 § Regeringen, eller den myndighet regeringen bestämmer, meddelar föreskrifter om
1. begränsningar av de i 3 § angivna ändamålen,
2. begränsningar av de uppgifter som får behandlas för ett visst ändamål,
3. direktåtkomst enligt 6 § första stycket,
4. när gallring skall ske, samt
5. utlämnande av uppgifter enligt 9 §.
Överklagande
12 § En myndighets beslut om rättelse och om information enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 1 oktober 2001.
2
3 Ärendet och dess beredning
Personuppgiftslagen (1998:204) trädde i kraft den 24 oktober 1998 och ersatte då datalagen (1973:289). Om en behandling av personuppgifter för ett visst ändamål har påbörjats före den dag då personuppgiftslagen trädde i kraft gäller, enligt en övergångsbestämmelse till lagen, fortfarande datalagen fram till och med den 30 september 2001. Det innebär att datalagen fortfarande tillämpas på flertalet av de register som förs inom kriminalvården. Det har mot den bakgrunden blivit nödvändigt att överväga om det behövs någon särskild lagstiftning för att reglera kriminalvårdens möjligheter att i fortsättningen behandla personuppgifter. Inom Justitiedepartementet har utarbetats en departementspromemoria Behandling av personuppgifter inom kriminalvården (Ds 2000:50) med förslag till en lag om behandling av personuppgifter inom kriminalvården.
Promemorians lagförslag finns i bilaga 1. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 2. En sammanställning av remissvaren finns tillgänglig i ärendet (dnr Ju 2000/3820).
Lagrådet
Regeringen beslutade den 5 april 2001 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 3. Lagrådets yttrande finns i bilaga 4. Lagrådet har i huvudsak godtagit förslagen, men har lämnat synpunkter på förslaget om sambearbetning. I övrigt har Lagrådet haft synpunkter av lagteknisk karaktär. Regeringen har justerat lagförslagen efter Lagrådets synpunkter. Vidare har vissa redaktionella ändringar gjorts. Regeringen återkommer till lagrådets synpunkter i avsnitten 7.5.2 och 7.7.
4 Allmänt om kriminalvården
4.1 Kriminalvårdens organisation
Kriminalvårdens huvuduppgift är att verkställa påföljderna fängelse och skyddstillsyn, att ansvara för övervakningen av villkorligt frigivna, verkställa föreskrifter om samhällstjänst och utföra särskilda personutredningar i brottmål. Kriminalvården ansvarar dessutom för verksamheten vid häktena och ombesörjer transporter såväl för den egna verksamheten som för vissa andra myndigheters räkning.
Kriminalvårdsstyrelsen är central förvaltningsmyndighet för kriminalvården och chefsmyndighet för de lokala kriminalvårdsmyndigheterna och Transporttjänsten. Vidare är styrelsen i administrativt hänseende chefsmyndighet för Kriminalvårdsnämnden och övervaknings-nämnderna.
Kriminalvårdsnämndens främsta uppgift är att besluta i fråga om vistelse utanför anstalt enligt 34 § lagen (1974:201) om kriminalvård i anstalt beträffande den som är dömd till fängelse i lägst två år. En övervakningsnämnd fattar de övergripande besluten om personer dömda till frivård, t.ex. om förlängning av övervakningstid eller varning vid misskötsamhet och om eventuella föreskrifter som skall gälla under övervakningstiden.
4.2 Kriminalvårdslagstiftningens uppbyggnad
Den centrala regleringen av kriminalvården är uppbyggd efter i huvudsak följande mönster. De viktigaste frågorna regleras i lag. Detta gäller t.ex. grundläggande frågor om kroppsbesiktning, kontakter med omvärlden och utevistelser. I lag anges vidare att vissa frågor delegeras till regeringen eller den myndighet som regeringen bestämmer. I förordning regleras sedan vilka frågor som Kriminalvårdsstyrelsen kan reglera genom föreskrifter. Sådana föreskrifter kungörs och publiceras i Kriminalvårdsverkets författningssamling (KVVFS).
Det finns ett stort antal författningar som har betydelse för kriminalvårdens verksamhet. Beträffande de personer som är häktade eller annars intagna i häkte gäller lagen (1976:371) och förordningen (1976:376) om behandlingen av häktade och anhållna m.fl. Kriminalvårdsstyrelsen har också utfärdat häktesföreskrifter (KVVFS 1997:15)
För personer som har dömts till fängelse eller som har ålagts fängelse som förvandlingsstraff för böter gäller lagen (1974:203) och förordningen (1974:248) om kriminalvård i anstalt samt lagen (1994:451) och förordningen (1994:1060) om intensivövervakning med elektronisk kontroll. I anslutning till dessa författningar har Kriminalvårdsstyrelsen utfärdat ett flertal föreskrifter, bl.a. anstaltsföreskrifter (KVVFS 1998:8), föreskrifter om permissioner och föreskrifter om intensivövervakning med elektronisk kontroll (KVVFS 1999:2).
27 och 28 kap. brottsbalken respektive förordningen (1998:642) om verkställighet av frivårdspåföljder innehåller de huvudsakliga bestämmelserna om personer som har dömts till villkorlig dom eller skyddstillsyn. Kriminalvårdsstyrelsen har i anslutning härtill utfärdat frivårdsföreskrifter (KVVFS 1986:7) och föreskrifter om samhällstjänst (1998:79).
I brottsbalken finns regler om bl.a. strafftidsberäkning och villkorlig frigivning som också har betydelse för kriminalvårdens verksamhet. Bestämmelserna kompletteras av lagen (1974:202) och förordningen (1974:286) om beräkning av strafftid m.m. I detta sammanhang bör också nämnas de av Kriminalvårdsstyrelsen utfärdade verkställighetsföreskrifterna (KVVFS 1998:10).
Transporttjänstens verksamhet regleras i de av Kriminalvårdsstyrelsen utfärdade föreskrifterna (KVVFS 1995:1) om transportverksamhet m.m.
Det kan också nämnas att det finns lagstiftning om verkställighet av utländska domar som föranleder åtgärder inom kriminalvården.
4.3 Akthantering och journalföring
Med stöd av förordningarna om kriminalvård i anstalt och behandlingen av häktade och anhållna samt frivårdsförordningen har Kriminalvårdsstyrelsen utfärdat föreskrifter om akthantering och journalföring (KVVFS 1995:3). Enligt dessa föreskrifter skall det finnas en personakt för varje person som står under övervakning, är intagen i kriminalvårdsanstalt eller är häktad.
Personakten skall bestå av behandlingsjournal och domsakt. Den skall förvaras hos den myndighet som ansvarar för klienten. När personakten under pågående kriminalvård skickas till en annan myndighet inom kriminalvården skall endast de handlingar som är aktuella för den mottagande myndigheten följa med. Beslut och viktiga händelser under verkställighetstiden skall dokumenteras i behandlingsjournalen.
Varje uppgift som förs in i en behandlingsjournal skall enligt föreskrifterna utformas så att klientens integritet respekteras. En anteckning som har gjorts i journalen får inte tas bort; vid rättelse skall den gamla, felaktiga anteckningen fortfarande vara läslig. En anteckning skall vara daterad och det skall framgå vem som har gjort den.
Alla beslut som fattas eller åtgärder som vidtas angående klienten med stöd av lag eller annan författning skall antecknas i behandlings-journalen. Av anteckningen skall framgå bl.a. beslutets innehåll, skälen för beslutet, de villkor som kan vara förenade med beslutet och vem som har fattat beslutet. Om det införs en uppgift som är så känslig att det kan finnas anledning att sekretessbelägga den även gentemot klienten, skall en särskild notering om detta göras i journalen.
I föreskrifterna om akthantering och journalföring finns särskilt reglerat vad som gäller vid en myndighet, som använder kriminalvårdens klientadministrativa ADB-register (KLAS), se närmare om registret i avsnitt 5.3. Av dessa bestämmelser framgår bl.a. att delar av daganteckningarna i behandlingsjournalen inte förs i registret utan skall antecknas manuellt.
5 Nuvarande register inom kriminalvården
5.1 Allmänt
Inom kriminalvården finns ett antal olika databaserade personregister som avser klientadministration. Vissa register förs centralt av Kriminalvårdsstyrelsen med stöd av förordningen (1970:517) om rättsväsendets informationssystem (RI-förordningen). Andra register förs av de olika myndigheterna efter särskilda tillstånd av Datainspektionen.
5.2 Centrala register
De centrala klientadministrativa registren som används inom kriminalvården förs med stöd av i RI-förordningen. Enligt den förordningen skall det finnas ett delsystem för handlingar med uppgifter över personer som har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst, ålagts förvandlingsstraff för böter eller på grund av utländsk brottmålsdom skall verkställa en påföljd i Sverige (2 § 3). Systemet skall användas för att förse myndigheterna inom rättsväsendet med de uppgifter de behöver om kriminalvårdens verksamhet. RI-förordningen innehåller inga närmare bestämmelser om vilka uppgifter systemet skall innehålla.
Det s.k. kumulativregistret (KUM)
Sedan år 1972 förs av Kriminalvårdsstyrelsen det s.k. kumulativregistret (KUM). För närvarande omfattar registret cirka 92 000 personer som inom en femårsperiod är eller har varit föremål för någon kriminalvårdspåföljd. Uppgifter om domar läses in från magnetband som skickas från Rikspolisstyrelsen fem gånger per vecka. I övrigt lämnas uppgifter i huvudsak från häkten, anstalter och frivård. Uppgifterna registreras i kronologisk ordning. KUM är inte tillgängligt via terminal men man kan få utskrifter från registret. Som huvudregel gallras uppgifterna fem år efter att den senaste påföljden har upphört. Samtliga uppgifter om en person sparas till ett gallringstillfälle. Detta innebär att om en ny påföljd registreras inom femårsfristen sparas de äldre uppgifterna till dess fem år har förflutit från den senaste registreringen. Särskilda gallringsregler gäller vid dödsfall, påföljdspreskription och ändring i högre instans (jfr 30 § RI-förordningen). Efter gallringen registreras vissa uppgifter i ett avställningsregister varefter personakten arkiveras.
Sökregistret (SÖK)
Sökregistret (SÖK) är ett särskilt terminalsystem kopplat till KUM. Registret har en egen databas och innehåller de senaste uppgifterna i KUM. Det går inte att registrera uppgifter i registret utan registrets ändamål är att göra vissa uppgifter i KUM tillgängliga via terminal. Uppgifterna gallras fem år efter det att påföljden upphört under förutsättning att ingen ny påföljd dessförinnan har påbörjats. För tiden från det att kriminalvården har upphört tills gallring sker visas endast den registrerades namn och personnummer, typ av tidigare kriminalvård med datum för dess upphörande samt uppgift om vid vilken myndighet den har upphört. Sökmöjligheterna i SÖK är obegränsade, dvs. man kan använda vilka sökbegrepp som helst. De vanligaste sökbegreppen är namn och personnummer.
Övervakarregistret (ÖR)
Övervakarregistret (ÖR) har som huvudfunktion att vara ett arvoderingssystem för kriminalvårdens övervakare. De uppgifter som lagras i registret är i huvudsak persondata om övervakarna såsom personnummer, namn och adress. Även vissa uppgifter som gäller klienterna lagras i registret. Det är här fråga om uppgifter om typ av påföljd, frivårdsmyndighet, prövo- och övervakningstid. Uppgifterna om övervakare och klienter tillförs KUM och SÖK vid varje uppdateringstillfälle.
5.3 Register i KLAS-systemet
Under början av 1990-talet startade ett arbete med att bygga upp lokala klientadministrativa system, det s.k. KLAS-projektet. Systemen används också för att följa upp verksamheten på lokal, regional och central nivå. De register som ingår i systemet förs med stöd av Datainspektionens tillstånd.
Häktesregistret (KLAS-HÄK)
Datainspektionen gav den 3 september 1993 tillstånd till inrättandet av ett "Klientregister (KLAS-HÄK)". Registret utgör underlag för klientadministration, verksamhetsplanering samt statistikframställning. Registret får innehålla uppgifter om den som är intagen i häkte. Förutom uppgifter som namn, adress, personnummer och medborgarskap registreras uppgifter om bl.a. domstols beslut, anledning till intagning och restriktioner för den häktade. Registret får även innehålla uppgifter om den intagnes offentlige försvarare och förhörsledare. Anhörig till den intagne får registreras med namn, adress och telefonnummer. Beträffande besökare i häktet får även personnummer registreras.
Registeransvaret ligger hos den myndighet som för registret. Uppgifterna i registret skall gallras mellan två och tre månader efter att den intagne har lämnat häktet. Vad gäller informationsskyldighet har föreskrivits att den registeransvarige på lämpligt sätt skall underrätta inskrivna, anhöriga och besökare om förekomsten av registret. Beträffande ADB-säkerhet har Datainspektionen gett föreskrifter om bl.a. åtkomstskydd, behörighetskontroll och loggning.
Anstaltsregistret (KLAS-KVA)
Datainspektionen gav den 17 december 1993 tillstånd till personregistret "KLAS-KVA". Ändamålet med registret är att det skall utgöra underlag för klientadministration, verksamhetsplanering samt framställning av statistik.
Registret får innehålla uppgifter om den intagne såsom personnummer, nationalitet, yrke och utbildning. Vidare registreras uppgifter om bl.a. påföljd, permissioner, misskötsamhet, sysselsättning och transporter. Andra personer som registreras är olika tjänstemän som har anknytning till den intagne. Vidare får anhöriga registreras med uppgifter om namn, adress och relation till den intagne. Vad gäller besökare får dessutom personnummer registreras.
Den myndighet som för registret är registeransvarig. Uppgifterna i registret skall gallras mellan två och tre månader efter utskrivning. Datainspektionen har beträffande informationsskyldighet föreskrivit att den registeransvarige skall, i den mån sekretesslagen (1980:100) medger det, på lämpligt sätt underrätta såväl intagna som övriga registrerade om vem som för registret, registrets ändamål och innehåll samt den registrerades rätt enligt 10 § datalagen att få utdrag ur registret. Vad gäller ADB-säkerhet har inspektionen gett likalydande föreskrifter som gäller för häktesregistret.
Regeringen har efter överklagande av Kriminalvårdsstyrelsen beslutat att utvidga tillståndet för registret så att det också får omfatta registrering av uppgifter om narkotikaklass, som är en kodbeteckning baserad på den samlade bedömningen av den intagnes drogmissbruk, och missbrukskontroll. Vidare innebar regeringens beslut att informationsskyldigheten inte omfattar den som registrerats på grund av sin tjänsteutövning.
Register för platsplanering m.m.
Datainspektionen gav den 31 mars 1995 tillstånd till två personregister; "KLAS-Platsplanering" och "KLAS centrala bokningsregister". Det förstnämnda förs av respektive registeransvarig myndighet medan det centrala bokningsregistret förs gemensamt för myndigheterna.
Platsplaneringsregistret skall vara ett hjälpmedel för anstaltsplacering av fängelsedömda personer samt underlätta verksamhetsuppföljning och framställning av statistik som inte avslöjar enskilda personers identitet. Det centrala bokningsregistret skall ge information om tillgängliga platser som motsvarar en klients s.k. profil.
Platsplaneringssystemet innehåller uppgifter om personer som har dömts till fängelse och registreringen sker då klienten skall placeras på anstalt. Registret får innehålla uppgifter om bl.a. personnummer, huvudbrott och strafftid. Vidare får också olika s.k. skyddsfaktorer såsom våldsbenägenhet och droghantering i anstalt, narkotikamissbruk, rymning och organiserad brottslighet registreras. På grundval av dessa uppgifter görs bedömningen av på vilken slags anstalt den dömde bör placeras. Även uppgifter om behov av t.ex. alkohol-, narkotika- eller våldsprogram, s.k. behovsfaktorer, får registreras. Genom dessa uppgifter tillsammans kan en s.k. klientprofil bestämmas. Det bör också nämnas att det finns möjlighet att registrera ytterligare uppgifter om dessa bedöms vara av väsentlig betydelse för placeringen. Som exempel på sådana uppgifter har angetts handikapp, etnisk tillhörighet och medlemskap i vissa motorcykelklubbar. Förutom om personer som har dömts till fängelse registreras uppgifter om andra personer endast i begränsad omfattning, bl.a. om kontaktperson inom kriminalvården och om den person som har upprättat klientprofilen.
Det centrala bokningsregistret innehåller uppgifter om anstalter och noteringar om bokade platser med uppgifter om den dömde såsom namn, personnummer och verkställighetstider. Den person inom kriminalvården som har gjort bokningen registreras också med namn och anstaltstillhörighet. Registeransvarig är respektive myndighet för de uppgifter som lagras i respektive delsystem. Beträffande gallring i platsplaneringsregistret gäller i den del av det lokala systemet som förs hos regionmyndigheten att uppgifterna gallras senast tre månader efter inskrivning i anstalt. I anstalts- och häktessystemen gallras uppgifterna senast tre månader efter utskrivning samtidigt som övriga uppgifter i KLAS-systemet gallras. I det centrala bokningsregistret kan ingå flera bokningsuppgifter som relateras till samma person men till olika myndigheter. Högst tre månader efter utskrivning från anstalt eller häkte avidentifieras de bokningsuppgifter som inte längre är aktuella. När den registrerade slutligen fullgjort verkställigheten avidentifieras även den senaste bokningsuppgiften enligt samma gallringsprincip. Data-inspektionen har beträffande informationsskyldigheten föreskrivit att den registrerade på lämpligt sätt skall informeras om registret vad avser registeransvaret, registrets ändamål och innehåll samt rätten för den registrerade att enligt 10 § datalagen få utdrag ur registret. Vad gäller ADB-säkerhet gäller likalydande föreskrifter som för häktes- och anstaltsregistren.
Förelägganderegistret (KLAS-FÖR)
KLAS-FÖR ersatte år 1998 det förelägganderegister som funnits sedan år 1981. Registret fungerar som ett hjälpmedel för att Kriminalvårdsstyrelsen skall kunna fullgöra sin skyldighet att bevaka att personer som dömts till frihetsberövande påföljd verkställer sina straff. De uppgifter som registreras ur en dom eller ett beslut är bl.a. personnummer, namn, påföljd, förverkande av villkorligt medgiven frihet och reseförbud. Vidare registreras föreläggande, uppskov, överklagande, nåd och uppgifter om förpassning. Registret fungerar som ett bevakningssystem och används även för att framställa förelägganden och förpassningar.
Kriminalvårdsstyrelsen delar registeransvaret med lokal kriminal-vårdsmyndighet.
5.4 Vissa övriga register
Frivårdens register (FRAS)
Den 8 mars 1994 gav Datainspektionen tillstånd till personregistret "Klientregister för frivården". Registrets ändamål är att utgöra underlag för administration av mellanhavande med klienter, verksamhets-planering, framtagande av prognoser och bevakning av händelser vid verkställighet av frivårdspåföljd. Ändamålet med registret är vidare att framställa statistik och att underlätta myndighetens skyldighet enligt RI-förordningen att lämna uppgifter till Kriminalvårdsstyrelsen.
Registret får innehålla uppgifter om den dömde såsom personnummer, medborgarskap och socialdistriktstillhörighet. Vidare får registret innehålla uppgifter om den övervakningsgrundande domen liksom vissa uppräknade uppgifter om ärendet. Begränsade uppgifter om övervakare, handläggare och arbetsgivare får också registreras. Registeransvaret har den myndighet som för registret. Gallring av klient- och verkställighetsuppgifter sker ett år efter prövotidens utgång.
Datainspektionen har i sina föreskrifter angett att den registeransvarige på lämpligt sätt skall informera den registrerade om förekomsten av registret. ADB-säkerhetsföreskrifterna är desamma som för de register som har redovisats i avsnitt 5.3.
Register avseende intensivövervakning
Datainspektionen gav under år 1994 tillstånd till personregistren "ELOV-system för elektronisk övervakning". Ett register får användas för den kontroll som avses i lagen (1994:451) om intensivövervakning med elektronisk kontroll och för utvärdering av verksamheten.
Ändamålet med registret är även att utgöra underlag för kriminalvårdens administration av intensivövervakning och för uppföljning av intensivövervakning som påföljd. Dessutom får registret utgöra ett hjälpmedel för att kontrollera att den dömde avhåller sig från alkohol. Registret får innehålla bl.a. följande om den dömde: uppgifter om personnummer, bostadssituation, misskötsamhet, typ och frekvens av missbruk, alkoholkoncentration samt vissa doms- och verkställighetsuppgifter. Andra personer som registreras är personal inom kriminalvården, övervakare och kontaktperson hos arbetsgivare; det är dock i dessa fall endast frågan om vissa begränsade uppgifter.
Den myndighet som för registret är registeransvarig. Datainspektionen har vad gäller den registeransvariges informationsskyldighet föreskrivit att de registrerade på lämpligt sätt skall underrättas om vem som för registret, registrets ändamål och innehåll samt den registrerades rätt enligt 10 § datalagen att få utdrag ur registret. Inspektionens föreskrifter om ADB-säkerhet stämmer överens med vad som redovisats ovan under avsnitt 5.3.
Kriminalvårdsnämndens register
Datainspektionen gav den 7 augusti 1990 tillstånd att inrätta och föra personregistret "Ärendebevakning vid Kriminalvårdsnämnden". Ända-målet för registret är att utgöra underlag för Kriminalvårdsnämndens ärendebevakning och statistikrutiner avseende intagna som dömts till fängelse i lägst två år. Registret får innehålla uppgifter om bl.a. personnummer, strafftid, brottstyp och beslut.
Registeransvarig för registret är Kriminalvårdsstyrelsen. Uppgifterna i registret gallras tre månader efter att ärendet har avskrivits vid nämnden. Beträffande informationsskyldigheten har inspektionen föreskrivit att den registeransvarige på lämpligt sätt skall informera de registrerade om registrets innehåll och ändamål. Vad gäller ADB-säkerhet har Datainspektionen föreskrivit bl.a. att det skall finnas ett tekniskt system för behörighetskontroll och att behandlingshistorik skall bevaras i minst två år och kontrolleras stickprovsvis.
5.5 Den framtida utvecklingen
Systemen för klientadministration inom kriminalvården är fortfarande inne i en uppbyggnadsfas. Slutmålet är att utveckla ett komplett klientinformationssystem för kriminalvården med system som står i förbindelse med varandra. Det pågår vidare en försöksverksamhet med att pröva olika databaserade klientanalyssystem (t.ex. ASI och MAPS) vid ett antal kriminalvårdsmyndigheter i landet. Syftet är att skapa ett system som kan ge underlag för planering av verkställigheten utifrån en gemensam struktur och underlätta formuleringen av individuella mål. Genom ett sådant system blir det också möjligt att följa upp klientens förändringar i olika avseenden under verkställighetstiden.
6 Behandling av personuppgifter inom kriminalvården - utgångspunkter för en reform
6.1 Kriminalvårdens datorisering
Informationstekniken har under det senaste årtiondet utvecklats mycket snabbt. Tekniken erbjuder möjligheter att effektivisera och rationalisera verksamheter av skilda slag. På alla samhällsområden pågår en utveckling mot en allt mer intensifierad datorisering.
Under början av 1970-talet växte rättsväsendets informationssystem fram. I förordningen (1970:517) om rättsväsendets informationssystem (RI-förordningen) reglerades systemet. Ett av syftena med RI-förordningen var att genom ADB förenkla och förbättra informationsutbytet mellan myndigheterna inom rättsväsendet. Ett annat syfte var att skapa underlag för planeringen inom myndigheterna och för den övergripande planeringen inom rättsväsendet i stort.
Enligt RI-förordningen skulle det finnas ett informationssystem grundat på ADB för att samla in, lagra, bearbeta och lämna uppgifter som har samband med verksamheten inom polis-, åklagar-, och domstolsväsendet samt kriminalvården. Informationssystemet skulle bestå av olika delsystem.
Den ursprungliga regleringen i RI-förordningen har till en stor del ersatts av ny lagstiftning, dels den nya lagstiftningen om polisens register, dvs. främst lagen (1998:620) och förordningen (1999:1134) om belastningsregister och lagen (1998:621) och förordningen (1999:1135) om misstankeregister, dels förordningarna om register över strafföreläggande resp. föreläggande av ordningsbot. Av det ursprungliga systemet återstår bl.a. systemet för brottsanmälningar (det s.k. RAR-registret) och systemet för förfarandet inom kriminalvården där kriminalvårdens centrala register ingår.
Först under slutet av 1980-talet inleddes arbetet med att utveckla databaserade klientadministrativa system inom kriminalvården. På andra håll inom svensk statsförvaltning hade datoriseringsprocessen redan under 1970-talet hunnit relativt långt. Kriminalvården var vid denna tidpunkt emellertid ett av de områden där datorn ännu inte kommit till sådan användning att den gjort mera påtagligt avtryck i verksamheten. Det innebär att kriminalvården har väsentligt kortare erfarenhet av datoriseringen än många andra större myndigheter.
6.2 Tidigare reformförslag
Inom Justitiedepartementet upprättades år 1996 departements-promemorian Lag om kriminalvårdsregister (Ds 1996:19). I promemorian föreslogs en författningsreglering för de klient-administrativa personregister på ADB-medium som fördes eller höll på att utvecklas inom kriminalvården. Författningsförslaget var utformat så att de register som var under utveckling skulle kunna inrättas utan att någon lagändring krävdes. I den föreslagna lagen angavs de ur integritetssynpunkt grundläggande och mest betydelsefulla reglerna för registren. Den närmare reglering som krävdes föreslogs ske i förordning med en detaljerad bilaga för varje register.
Regleringen var tänkt att ersätta de tillstånd från Datainspektionen på vilka registreringen fortfarande vilar. Vidare skulle författningsförslagen på sikt komma att reglera sådana register som för närvarande förs med stöd av förordningen (1970:517) om rättsväsendets informationssystem (RI-förordningen). Förslaget i promemorian byggde på datalagens (1973:289) bestämmelser.
I den föreslagna lagen - lagen om vissa personregister inom kriminalvården - reglerades gränserna för registrets ändamål och innehåll. Lagen föreslogs också innehålla vissa bestämmelser om sambearbetning, registeransvar, terminalåtkomst, utlämnande av uppgifter, sökbegrepp, gallring och informationsskyldighet.
Promemorian remissbehandlades. Remissinstanserna var i princip positiva till en författningsreglering. När det gäller den författningsteknik som valts tyckte några remissinstanser att flera bestämmelser var för allmänt hållna och att delegeringen till Kriminalvårdsstyrelsen var för långtgående. Datainspektionen var däremot av motsatt uppfattning och ansåg att den lösning som valts var onödigt krånglig. Enligt inspektionen borde det räcka med en generell reglering i lagen utan detalj-bestämmelser för varje register. Promemorian har inte lett till något förslag från regeringen om lagstiftning.
6.3 En ny utgångspunkt för behandling av personuppgifter
Personuppgiftslagen
Den 24 oktober 1998 trädde personuppgiftslagen (1998:204) i kraft. Lagen ersätter datalagen (1973:289) och syftar till att hindra att den personliga integriteten kränks genom behandling av personuppgifter.
Personuppgiftslagen genomför Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Lagen omfattar all automatiserad behandling av personuppgifter. Den omfattar vidare manuell behandling av uppgifter i personregister. Rent privat användning av personuppgifter är dock undantagen.
Personuppgiftslagen är generellt tillämplig och omfattar även sådana verksamheter som faller utanför direktivets tillämpningsområde, dvs. bl.a. statens ansvar på straffrättens område. Avvikande bestämmelser i lag eller förordning gäller dock framför personuppgiftslagen.
Datalagen
Grundläggande regler om inrättande och förande av personregister med hjälp av automatisk databehandling fanns tidigare i datalagen (1973:289). Varje sammanställning av personuppgifter med hjälp av automatisk databehandling ansågs innebära att ett personregister hade inrättats. Bara den som anmält sig till Datainspektionen och fått licens fick inrätta och föra personregister. För att få inrätta och föra känsliga register krävdes dessutom ett särskilt tillstånd från Datainspektionen. Ett sådant tillstånd behövdes t.ex. i regel för att inrätta och föra register med uppgifter om brott och brottsmisstankar, uppgifter om hälsotillstånd eller sexualliv, omdömen om den registrerade eller personuppgifter som hämtats från något annat register. Om ett personregister beslutats av riksdagen eller regeringen krävdes inget tillstånd.
Behandling av personuppgifter är tillåten i de fall och på de villkor personuppgiftslagen anger
Genom personuppgiftslagen har det tidigare licens- och tillstånds-förfarandet avskaffats. Utgångspunkten för personuppgiftslagen är i stället att behandling av personuppgifter är tillåten i de fall och på de villkor lagen anger.
Personuppgiftslagen innehåller vissa grundläggande krav på hur uppgifter får behandlas. Dessa krav innebär bl.a. att personuppgifter får behandlas endast för särskilda, uttryckligt angivna och berättigade ändamål. Lagen innehåller vidare bestämmelser om information till den registrerade, om korrigering av uppgifter och om säkerheten vid behandlingen. Enligt huvudregeln får behandling av uppgifter endast ske med samtycke från den registrerade. Från den regeln finns det dock flera undantag, t.ex. om det är nödvändigt att behandla personuppgifter för att en arbetsuppgift av allmänt intresse skall kunna utföras eller för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet.
Personuppgiftslagen innehåller vidare ett förbud mot att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller uppgifter som rör hälsa eller sexualliv. Sådana uppgifter betecknas i lagen som känsliga personuppgifter.
Automatiserad behandling av personuppgifter måste i princip anmälas till tillsynsmyndigheten, men det finns omfattande undantag från denna anmälningsskyldighet, t.ex. när den ansvariga för behandlingen har anmält till tillsynsmyndigheten att ett personuppgiftsombud har utsetts.
Behovet av en reform
Om en behandling av personuppgifter för ett visst ändamål har påbörjats före den 24 oktober 1998 gäller, enligt en övergångsbestämmelse till personuppgiftslagen, fortfarande datalagen fram till och med den 30 september 2001. Det innebär att datalagen fortfarande tillämpas på flertalet av de register som förs inom kriminalvården. Det är nödvändigt att nu överväga om det behövs någon särskild lagstiftning för att reglera kriminalvårdens möjligheter att behandla personuppgifter i fortsättningen. I det sammanhanget måste självklart också analyseras om det behövs några från personuppgiftslagen avvikande bestämmelser eller förtydligande.
7 Behandling av personuppgifter inom kriminalvården - överväganden och förslag
7.1 En författningsreglering behövs
Regeringens förslag: Kriminalvårdens rätt att behandla uppgifter automatiserat och i manuella register författningsregleras. Regleringen bör ske i lag.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Remissinstanserna tillstyrker förslaget eller lämnar det utan erinran.
Skälen för regeringens förslag
Behövs en författningsreglering?
Kriminalvården behöver även i fortsättningen föra register av de slag som för närvarande görs. Ett modernt IT-stöd är nödvändigt för att kriminalvården skall kunna leva upp till de krav som ställs på en rättssäker och effektiv verksamhet.
Personuppgiftslagens (1998:204) bestämmelser innebär i och för sig att kriminalvården kan behandla uppgifter helt eller delvis automatiserat, om det är nödvändigt för att uppgifter av ett allmänt intresse skall kunna utföras eller för att arbetsuppgifter i samband med myndighetsutövning skall kunna utövas. Det innebär att kriminalvården även utan särskilt lagstöd skulle kunna föra register av i allt väsentligt det slag som i dag förekommer.
De senaste årens målsättning har dock varit att myndighetsregister med ett stort antal registrerade personer och ett särskilt känsligt innehåll skall lagregleras (prop. 1990/91:60 s. 50, bet. 1990/91:Ku11 s. 11). I förarbetena till personuppgiftslagen uttalas att det inte finns någon anledning att avvika från denna målsättning (prop. 1997/98:44 s. 41). Redan mot bakgrund av nämnda förarbetsuttalanden finns det anledning att ifrågasätta om de register som förs inom kriminalvården inte är av sådan karaktär att de bör lagregleras.
Riksrevisionsverket, som på regeringens uppdrag har granskat kriminalvårdens resursutnyttjande, har funnit att det på lokal nivå finns en osäkerhet om vad som enligt gällande rätt får registreras. Verket konstaterar att oklara regler om vad som får registreras gör att potentiellt värdefull information för bl.a. uppföljning aldrig registreras (Informationsförsörjning och IT-användning inom kriminalvården, RRV 1999:19). Även detta talar för en författningsreglering av kriminalvårdens rätt att automatiserat behandla uppgifter.
De senaste årens utveckling mot tyngre och organiserad brottslighet innebär att det finns behov av att bygga upp speciella informationssystem över intagna som utgör särskilda risker i t.ex. hot- eller våldshänseende. I det sammanhanget finns det särskild anledning att överväga om det finns behov av någon i förhållande till personuppgiftslagen avvikande reglering, t.ex. när det gäller möjligheterna att behandla känsliga uppgifter.
Med hänsyn till vad som nu anförts finns det anledning att särskilt författningsreglera kriminalvårdens rätt att behandla personuppgifter automatiserat. Karaktären av de uppgifter som behandlas av kriminal-vården är sådana att regleringen bör ske i lag.
Bör regleringen avse vissa register eller personuppgifter i stort?
I personuppgiftslagen förekommer inte längre begreppet dataregister. I förarbetena till lagen konstateras att registerbegreppet med fog kritiserats för att vara otidsenligt eftersom det på grund av den tekniska utvecklingen blivit allt svårare att fastställa vad som är ett register i förhållande till ett annat och det dessutom har vuxit fram allt flexiblare och kraftfullare metoder för att med hjälp av datorer söka och hantera uppgifter som inte finns i någon registerstruktur (prop. 1997/98:44 s. 39).
Personuppgiftslagen omfattar därför all automatiserad behandling av personuppgifter. Dessutom omfattar den manuella register. Den reglering som nu föreslås bör ha samma tillämpningsområde. Den nya lagstiftningen bör alltså ta sikte på behandling av personuppgifter.
7.2 Författningsteknisk lösning
Regeringens förslag: En ny lag om behandling av personuppgifter inom kriminalvården införs. Den nya lagen skall bygga på personuppgiftslagen och innehålla de särbestämmelser som är nödvändiga för kriminalvården. Lagen skall ge ramarna för när behandling av personuppgifter är tillåten och skall kompletteras av författningar på lägre nivå.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Merparten av remissinstanserna tillstyrker promemorians förslag eller lämnar det utan erinran. Länsrätten i Östergötlands län och Datainspektionen anser dock att det i den föreslagna lagen närmare bör anges vilka bestämmelser i personuppgiftslagen som är tillämpliga.
Skälen för regeringens förslag: Det är ofrånkomligt att behandling av personuppgifter kan innebära ett intrång i den enskildes personliga integritet. Detta gäller särskilt om uppgifterna behandlas automatiserat. Personuppgiftslagen (1998:204) syftar till att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen innehåller vissa grundläggande krav på när behandling av personuppgifter är tillåten. Den ställer även vissa krav på den som behandlar sådana uppgifter. I lagen finns det vidare bestämmelser om information till den registrerade, om säkerheten vid behandlingen samt om rättelse av felaktiga uppgifter och skadestånd.
Personuppgiftslagen bör gälla även för behandling av personuppgifter inom kriminalvården. Den reglering som nu föreslås bör därför endast innehålla de särbestämmelser som behövs för kriminalvården. Ramarna för när behandling av uppgifter är tillåten bör framgå av lag. En lagreglering bör dock inte vara alltför detaljerad utan endast innehålla de ur integritetssynpunkt viktigaste bestämmelserna. Lagen bör därför kompletteras av mer detaljerade författningar på lägre nivå. Det innebär att närmare avvägningar kring bl.a. integritetsskyddet kommer att ske i samband med att sådana författningar utarbetas. Regeringen återkommer till vilka utgångspunkter som därvid bör gälla (se avsnitt 7.15).
Det finns inte någon lag som täcker hela kriminalvårdens verksamhet. Det kan därför övervägas om regleringen av behandlingen av person-uppgifter skall tas in i de olika författningarna som styr de olika verksamheterna inom kriminalvården eller om regleringen bör göras i en särskild författning. Riksrevisionsverket har vid sin granskning av kriminalvården funnit att det förekommer onödigt arbete genom att uppgifter dubbelregistreras vid klienternas övergång från ett verksamhetsställe till ett annat (Informationsförsörjning och IT-användning inom kriminalvården, RRV 1999:19, s. 23 och 40). Detta talar för en sammanhållen reglering. Lagtekniskt är det inte heller helt lätt att placera in bestämmelser om behandling av personuppgifter på ett bra sätt i de befintliga lagarna. En ny lag om behandling av personuppgifter inom kriminalvården bör därför införas.
Några remissinstanser har ansett att det i den föreslagna lagen närmare bör anges vilka bestämmelser i personuppgiftslagen som är tillämpliga. De förordar denna lagtekniska modell med hänvisning till att det ger tillämparen vägledning när det gäller tolkningen av vilka bestämmelser i personuppgiftslagen som är tillämpliga. Regeringen vill för sin del framhålla att en nackdel med att direkt skriva ut bestämmelser som finns i personuppgiftslagen är att man därigenom inför en onödig form av dubbelreglering, eftersom personuppgiftslagens bestämmelser ändå gäller om inget annat anges. Inte heller när det gäller regleringen av polisens och andra myndigheters behandling av personuppgifter i brottsutredande verksamhet har man valt en sådan ordning som de nu aktuella remissinstanserna förordar. Vid tillkomsten av lagen (1999:90) om behandling av personuppgifter vid skattemyndigheternas medverkan i brottsutredningar uttalade regeringen att "regleringen av förhållandet till personuppgiftslagen bör vara enhetlig i fråga om behandling av personuppgifter i brottsutredande verksamhet" (prop. 1998/99:34 s. 31). Samma bedömning har regeringen gjort i förslaget till lag om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet i vilken också endast anges de särbestämmelser som är nödvändiga i förhållande till personuppgiftslagen (prop. 2000/01:54 s. 16-17).
Den lösning som remissinstanserna förordat har i och för sig valts för lagarna om behandling av personuppgifter inom skatt, tull och exekution (prop. 2000/01:33). Lagrådet har dock ansett att det inte är en lämplig lagstiftningsteknik.
Den föreslagna lagen om behandling av personuppgifter inom kriminalvården avser till stor del behandling av personuppgifter med anknytning till brott vilka dessutom är av den arten att rättsväsendets myndigheter kan komma att efterfråga dessa i sin brottsutredande och brottsförebyggande verksamhet. Mot bakgrund av detta anser regeringen att det inte finns skäl att välja en annan lagteknisk modell än den som valts för behandlingen av personuppgifter inom den brottsutredande verksamheten i övrigt.
7.3 Lagens tillämpningsområde
Regeringens förslag: Den nya lagen skall gälla vid behandling av personuppgifter i kriminalvårdens verksamhet i fråga om personer
1. som är föremål för personutredning,
2. som är häktade,
3. som är dömda till fängelse,
4. som är dömda till skyddstillsyn,
5. som är dömda till villkorlig dom med föreskrift om samhällstjänst,
6. som är ålagda fängelse som förvandlingsstraff för böter eller vite,
7. som på grund av utländsk dom skall verkställa en sådan påföljd som avses i 3-6 i Sverige,
8. som på annan grund är intagna i häkte eller kriminalvårdsanstalt, eller
9. som annars transporteras av kriminalvårdens transporttjänst.
Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag med den skillnaden att personer som annars transporteras av kriminalvårdens transporttjänst ej omfattas.
Remissinstanserna: Flera remissinstanser tillstyrker förslaget eller lämnar det utan erinran. Kriminalvårdsstyrelsen anser att lagen även bör omfatta personer som kriminalvårdens transporttjänst transporterar till institutioner utanför kriminalvården. Hovrätten för Övre Norrland anser att det inte är rimligt att alla de kategorier som på annan grund än brott eller misstanke om brott är intagna i anstalt eller häkte omfattas av den föreslagna lagen. Den anser att bl.a. personer som är omhändertagna enligt lagen (1990:52) om vård av unga och lagen (1988:870) om vård av missbrukare eller som tagits i förvar enligt utlänningslagen (1989:529) bör inta en särställning. Sveriges Advokatsamfund anser att utformningen av den föreslagna lagen inger betänkligheter eftersom den avser även personer som inte har dömts för brott. Nacka tingsrätt och Domstolsverket efterlyser ett förtydligande av huruvida andra personer än de som finns uppräknade omfattas av lagförslaget, såsom t.ex. advokater och anhöriga till den som registreringen avser.
Bakgrund: Under senare år har verksamheten inom kriminalvården utvecklats positivt på flera vitala områden. Samtidigt har besparings- och rationaliseringskrav medfört omfattande organisationsförändringar. Kriminalvården står nu inför ett fortsatt rationaliseringsarbete samtidigt som kraven på att nuvarande nivåer och kvalitet inom verksamheterna skall upprätthållas.
Ett modernt IT-stöd är helt nödvändigt för att kriminalvården skall kunna leva upp till de krav som ställs på en rättssäker och effektiv verksamhet och en nödvändig förutsättning för det fortsatta rationaliseringsarbetet inom kriminalvården. Verksamheten måste utvecklas både för att underlätta de intagnas anpassning i samhället och för att öka säkerheten. Den automatiserade behandlingen av personuppgifter möjliggör ett effektivare utnyttjande av anstaltsorganistationen och underlättar anpassningen av verksamhetens innehåll till klientpopulationens samlade behov och förutsättningar. Samtidigt gör den det möjligt att bygga upp informationssystem över intagna som utgör särskilda risker i t.ex. hot- eller våldshänseende.
Skälen för regeringens förslag: De informationssystem som finns eller är under utveckling inom kriminalvården skall i första hand utgöra ett stöd för att administrera verksamheten. Enligt regeringens uppfattning framstår det därför som en självklar utgångspunkt att kriminalvården skall ha rätt att behandla personuppgifter avseende personer som ådöms påföljder som innebär frihetsberövande eller övervakning. Det sagda innebär att uppgifter bör få behandlas om personer som är dömda till fängelse, dömda till skyddstillsyn, dömda till villkorlig dom med föreskrift om samhällstjänst, ålagda fängelse som förvandlingsstraff för böter eller vite samt personer som på grund av utländsk dom skall verkställa påföljd.
I promemorian föreslås att kriminalvården även skall få behandla personuppgifter avseende personer som är föremål för personutredning eller häktade. Några remissinstanser har ansett att förslaget i denna del är för långtgående eftersom det omfattar även personer som inte är dömda för brott. Regeringen har svårt att se hur kriminalvården skulle kunna bedriva en verksamhet och uppfylla de krav som kan ställas på en modern myndighet om uppgifter om icke dömda inte fick behandlas automatiserat. Det är däremot självfallet så att inte fler uppgifter än de som är nödvändiga för ändamålet får behandlas. Detta följer redan av personuppgiftslagen.
Det förekommer vidare att personer är intagna i häkte eller kriminalvårdsanstalt på annan grund än brott eller misstanke om brott. Det kan t.ex. gälla personer som förvaras i häkte för att de är anhållna, omhändertagna enligt lagen (1990:52) om vård av unga, lagen (1988:870) om vård av missbrukare eller lagen (1976:511) om berusade personer m.m. eller personer som är intagna i anstalt för att de tagits i förvar enligt utlänningslagen (1989:529) eller personer som är dömda till sluten psykiatrisk vård men ännu inte överlämnats. Kriminalvården ansvarar för dem under den tid de befinner sig i kriminalvårdens förvar. Mot bakgrund av detta och av de skäl som har angetts ovan anser regeringen att även dessa personer bör omfattas av den föreslagna lagen.
Kriminalvårdens transporttjänst transporterar för andra samhälls-organs räkning personer till institutioner utanför kriminalvården. Polisen ansvarar t.ex. för verkställande av avvisningsbeslut i asylärenden, men förpassningen sker oftast genom kriminalvårdens försorg. En liknande uppgiftsfördelning råder när polisen skall lämna handräckning vid transporter som genomförs med stöd av bl.a. lagen om vård av missbrukare, lagen med särskilda bestämmelser om vård av unga, lagen om psykiatrisk tvångsvård och lagen om rättspsykiatrisk vård. Regeringen anser i likhet med Kriminalvårdsstyrelsen att lagen även bör omfatta personer som kriminalvårdens transporttjänst transporterar för vissa andra samhällsorgans räkning. Även i dessa fall rör det sig om en uppgift som fullgörs inom kriminalvården. Det är av rättsäkerhetsskäl viktigt att de uppgifter som behandlas i samband med dessa transporter dokumenteras. Det är en förutsättning för att såväl den enskilde som tillsynsmyndigheten skall kunna kontrollera att hanteringen av person-uppgifter skett på ett riktigt sätt.
7.4 Ändamålet med behandlingen
En utgångspunkt för personuppgiftslagen (1998:204) är att behandlingen av personuppgifter skall ske för ett visst ändamål. Den person-uppgiftsansvarige skall bl.a. se till att uppgifter bara samlas in för uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in samt att de uppgifter som behandlas är adekvata och relevanta i förhållande till ändamålet med behandlingen (9 §). Beskrivningen i lagen av det ändamål för vilket uppgifterna får behandlas kommer alltså att utgöra ramen för vilka uppgifter som får behandlas och hur de får användas. Det ligger därför i sakens natur att ändamålsbestämmelser ofta måste formuleras tämligen generellt (jfr prop. 1997/98: 97 s. 121).
7.4.1 Behandling för att kriminalvården skall kunna fullgöra sina uppgifter
Regeringens förslag: Personuppgifter får behandlas om det behövs för att en myndighet inom kriminalvården skall kunna fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Remissinstanserna har tillstyrkt förslaget eller lämnat det utan erinran. Nacka tingsrätt anser dock att den föreslagna ändamålsbestämmelsen ger föga vägledning om när en behandling är tillåten.
Skälen för regeringens förslag: De informationssystem som finns eller är under utveckling inom kriminalvården skall utgöra ett stöd för kriminalvårdens verksamhet. En myndighet inom kriminalvården måste därför få behandla de uppgifter som behövs för att den skall kunna administrera verkställigheten och fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning.
I avsnitt 4.2 redogörs översiktligt för de viktigaste av de författningar som reglerar kriminalvårdens verksamhet. Det finns enligt regeringens mening inte anledning att, som en remissinstans synes förorda, i detalj i den nya lagen ange vilka uppgifter kriminalvården har att utföra i enlighet med dessa bestämmelser och vilka behov som därmed kan föreligga att behandla personuppgifter. Sådana behov torde förekomma i merparten av kriminalvårdens verksamhet. Några exempel på berörd verksamhet lämnas i författningskommentaren.
7.4.2 Behandling för att underlätta tillgången till sådana uppgifter som behövs inom rättsväsendet
Regeringens förslag: Personuppgifter får behandlas för att underlätta tillgången till sådana uppgifter om verkställighet av påföljd och häktning som rättsväsendets myndigheter behöver.
Promemorians förslag: I promemorian föreslås att personuppgifter om verkställighet av straff får behandlas för att underlätta tillgången till sådana uppgifter som rättsväsendets myndigheter behöver.
Remissinstanserna: Flertalet av remissinstanserna har inget att erinra mot förslaget. Riksåklagaren och Åklagarmyndigheten i Stockholm anser dock att bestämmelsens utformning kan innebära att åklagare inte kan få tillgång till uppgifter som behövs för undanröjande av en villkorlig dom i förening med samhällstjänst eller undanröjande av dom på skyddstillsyn.
Skälen för regeringens förslag: Kriminalvårdsstyrelsen ansvarar för närvarande enligt förordningen (1970:517) om rättsväsendets informationssystem (RI-förordningen) för vissa centrala register som innehåller sådana uppgifter som behövs hos rättsväsendets myndigheter (se 2 §). Regleringen i RI-förordningen har till en stor del ersatts av nya regler, dels den nya lagstiftningen om polisens register, dels förordningarna om register över strafföreläggande resp. föreläggande av ordningsbot (se avsnitt 6.1). Regeringen avser att på sikt upphäva RI-förordningen.
Kriminalvårdsstyrelsen behöver även i fortsättningen kunna föra centrala register över sådana uppgifter om verkställigheten som behövs inom rättsväsendet. Av den nya lagens ändamålsbestämmelse bör det därför framgå att kriminalvården får behandla uppgifter för att underlätta tillgången till de uppgifter om verkställighet av fängelse, skyddstillsyn, villkorlig dom med föreskrift om samhällstjänst, förvandlingsstraff för böter, verkställighet av utländsk dom samt häktning som rättsväsendets myndigheter behöver. I förordning kommer närmare att regleras vilka uppgifter olika myndigheter skall få ha tillgång till. De utgångspunkter som därvid bör gälla behandlas i avsnitt 7.15.
7.4.3 Behandling för att upprätthålla säkerheten och förebygga brott
Regeringens förslag: Personuppgifter får behandlas om det behövs för att upprätthålla säkerheten och förebygga brott under den tid som en kriminalvårdsåtgärd pågår.
Promemorians förslag: Överensstämmer i allt väsentligt med regeringens förslag.
Remissinstanserna: Merparten av remissinstanserna tillstyrker förslaget eller har inget att erinra. Hovrätten för Övre Norrland och Domstolsverket menar dock att bestämmelsen förutom att upprätthålla säkerheten endast bör omfatta att förebygga allvarliga brott. Datainspektionen anser de behandlingar som har till ändamål att upprätthålla säkerheten och förebygga brott under den tid som verkställighet pågår bör regleras närmare i lagen. Kriminalvårdsstyrelsen anser att behandling av uppgifter för att upprätthålla säkerheten och förebygga brott även bör avse häktade personer.
Skälen för regeringens förslag: De senaste årens utveckling mot tyngre och organiserad brottslighet innebär att det finns behov av att bygga upp speciella informationssystem över intagna som utgör särskilda risker i t.ex. hot- eller våldshänseende.
I rapporten för översyn av Risk-, skydds- och säkerhetsarbete vid kriminalvårdsanstalterna Hall, Kumla och Tidaholm (RSS-rapporten, utgiven av kriminalvården) konstateras att den samlade informationen om de intagna avseende hot- och våldsrisker är undermålig och ibland närmast obefintlig.
Framväxten av olika typer av kriminella sammanslutningar och nätverk, t.ex. med anknytning till olika motorcykelklubbar eller med sympatier för nazistiska eller därmed besläktade ideologier, förutsätter ett väl fungerande samarbete mellan kriminalvård och polis. Ett sådant samarbete förutsätter väl utarbetade rutiner för dokumentation om de intagna. För att förhindra att brott begås eller planeras under verkställigheten och för att skydda såväl intagna och personal som samhället i stort är det nödvändigt att kriminalvården använder befintlig teknik för att samla, bearbeta och analysera all tillgänglig information om de intagna som kan anses utgöra en säkerhetsrisk. Den kunskap som ett sådant system ger om de intagna kan t.ex. användas för att styra valet av anstalt eller avdelning. Informationen kan också användas vid fastställande av de särskilda villkor som skall gälla för de långtidsdömda liksom vid beviljandet av permissioner och andra utevistelser.
Mot denna bakgrund bör det av lagen framgå att uppgifter får behandlas om det behövs för att upprätthålla säkerheten. Det är också angeläget att behandling av personuppgifter får ske för att förebygga brott. Några av remissinstanserna har ansett att sådan behandling endast bör komma i fråga för att förebygga allvarliga brott. Enligt regeringen är det mot bakgrund av kriminalvårdens övergripande mål att förebygga brott och öka tryggheten i samhället självklart att kriminalvården även skall få behandla personuppgifter för att förebygga mindre allvarliga brott under den tid som en person är föremål för en kriminalvårdsåtgärd.
Att förebygga brott är också en uppgift för polisen. Den kunskap om de intagna som ett särskilt informationssystem inom kriminalvården innebär bör därför i viss utsträckning även kunna komma polisen till godo. Uppgifterna kan få betydelse för polisen, särskilt i kriminal-underrättelseverksamheten.
Av integritetsskäl bör polisen dock endast ges tillgång till uppgifter som avser allvarlig brottslig verksamhet, dvs. verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver. Motsvarande begränsning finns också i polisdatalagen (1998:622). Regeringen avser att i sitt fortsatta arbete överväga i vilken närmare utsträckning och under vilka förutsättningar polisen skall få tillgång till uppgifter från kriminalvården.
Regeringen delar Kriminalvårdsstyrelsens uppfattning att det för att upprätthålla säkerheten och förebygga brott även bör vara möjligt att behandla personuppgifter som rör häktade. Den nu aktuella ändamåls-bestämmelsen bör lagtekniskt därför konstrueras på sådant sätt att det tydligt framgår att den inte bara tar sikte på verkställigheten av påföljd. Utöver uppgifter om den som är häktad eller som verkställer påföljd bör det för att upprätthålla säkerheten och förebygga brott också vara tillåtet att behandla personuppgifter bl.a. för den som annars transporteras av kriminalvårdens transporttjänst.
Behandling av personuppgifter för den nu aktuella ändamålsbestämmelsen bör av integritetsskäl inte få fortgå under längre tid än under den då personen i fråga är föremål för en kriminalvårdsåtgärd. Frågan behandlas närmare i författningskommentaren.
7.4.4 Behandling för tillsyn m.m.
Regeringens förslag: Personuppgifter som behandlas för något av de ändamål som anges i lagen får också behandlas om det behövs för tillsyn, planering, uppföljning och kvalitetssäkring.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Remissinstanserna har inte haft något att erinra i sak. Riksrevisionsverket anser dock att det bör framgå av bestämmelsen att behandling av personuppgifter även skall få ske för en effektiv och ändamålsenlig vård.
Skälen för regeringens förslag: Tillsyn, uppföljning och utvärdering av vidtagna åtgärder är enligt regeringens mening en självklar förutsättning för att kvaliteten i kriminalvårdens verksamhet skall kunna förbättras. En viktig uppgift för kriminalvården är att förhindra återfall i brott. För att kriminalvården skall kunna analysera vilka åtgärder som bäst bidrar till att den intagne inte återfaller i brott efter det att påföljden har verkställts krävs det att det utvecklas metoder för att följa upp och utvärdera återfallsfrekvensen.
Redan av personuppgiftslagen följer visserligen att uppgifter som samlats in för ett bestämt ändamål även får användas för historiska, statistiska eller vetenskapliga ändamål (9 § andra stycket). För att undvika tveksamheter om vad som omfattas av dessa begrepp bör det i den föreslagna lagens ändamålsbestämmelse särskilt anges att de uppgifter som behandlas för något av de primära ändamål som tidigare har angetts (se avsnitt 7.4.1-7.4.3) också får användas för tillsyn, planering, uppföljning och kvalitetssäkring av verksamheten.
Att behandling av personuppgifter också skall få ske för att få en effektiv och ändamålsenlig vård får anses inrymmas av det ändamål som har föreslagits i avsnitt 7.4.1.
7.5 Vilka personuppgifter får behandlas?
7.5.1 Ändamålet avgör vilka uppgifter som får behandlas
Regeringens förslag: Alla personuppgifter som är nödvändiga för det ändamål för vilket behandlingen utförs får behandlas.
Regeringen, eller den myndighet regeringen bestämmer, kan meddela föreskrifter om att begränsa såväl de ändamål för vilka behandlingen är tillåten som de uppgifter som får behandlas för ett bestämt ändamål.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Av remissinstanserna är det endast Nacka tingsrätt som har haft något att i sak invända mot förslaget. Den anser att de bemyndiganden som ges är alltför långtgående i konstitutionellt hänseende.
Skälen för regeringens förslag: Personuppgiftslagens krav på behandling av uppgifter bör gälla även inom kriminalvården. Det innebär att beskrivningen i lagen av det ändamål för vilket uppgifterna får behandlas kommer att utgöra ramen för vilka uppgifter som får behandlas och hur de får användas.
De uppgifter som behandlas av kriminalvården är ofta särskilt integritetskänsliga eftersom det rör sig om uppgifter om begångna brott, ådömda och verkställda påföljder, missbruk, händelser under verk-ställighetstiden etc. Det är i sammanhanget emellertid viktigt att understryka att det framför allt är uppgifter om häktade eller dömda personer som behandlas. En person som blir föremål för denna typ av samhällsingripande måste enligt regeringens uppfattning rimligen få tåla att även ganska känsliga personuppgifter får behandlas inom ramen för verkställigheten och att behandlingen får avse alla uppgifter som behövs för att kriminalvården skall kunna bedriva en effektiv och rättssäker verksamhet och upprätthålla de säkerhetskrav som är motiverade.
Av personuppgiftslagen följer att inte fler uppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (9 § f). Detta är en viktig begränsning. I de fall en behandling av personuppgifterna avser andra personer än de som är föremål för en kriminalvårdsåtgärd, t.ex. advokater, besökare och anhöriga, bör de uppgifter som behandlas därför begränsas så mycket det är möjligt inom ramen för ändamålet med behandlingen av uppgifterna. Det är däremot självklart att det i en personundersökning eller utredning inför en behandlingsplan måste få förekomma relativt omfattande uppgifter om närstående etc. för att syftet med behandlingen inte skall gå förlorat.
Nacka tingsrätt ifrågasätter det lämpliga att behandla sådana uppgifter i register. Regeringen vill i klargörande syfte åter framhålla att lagen inte endast gäller för register utan för all automatiserad behandling av personuppgifter. Det är regeringens bedömning att inom en inte allt för avlägsen framtid kommer all behandling av personuppgifter inom kriminalvården ske automatiserat. Den lagstiftning regeringen nu föreslår bör självfallet därför även gälla för behandling som inte rör register. Utgångspunkten måste vara att alla uppgifter som är nödvändiga för det ändamål för vilket behandlingen utförs får behandlas. Det innebär naturligtvis inte att varje uppgift hos kriminalvården skall få behandlas automatiserat och vara sökbar av vem som helst. Personuppgiftslagens krav på att den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de uppgifter som behandlas är avsedda att förebygga ett missbruk (jfr 31 § personuppgiftslagen).
Riksrevisionsverket har vid sin granskning av kriminalvården konstaterat att det inom kriminalvården finns olika uppfattningar om vad som får registreras t.ex. när det gäller journalanteckningar (jfr rapporten Informationsförsörjning och IT-användning inom kriminalvården, RRV 1999:19).
Enligt regeringens mening visar detta att det kan behövas detaljerade bestämmelser om vilka uppgifter som får behandlas. Det kan också finnas ett behov att av integritetsskäl begränsa rätten att behandla uppgifter för ett visst ändamål. Det gäller särskilt i fråga om uppgifter om personer som inte själva är föremål för en kriminalvårdsåtgärd, t.ex. anhöriga till en intagen. Den föreslagna lagen kommer ju indirekt att vara tillämplig även gentemot sådana personer. Det är emellertid inte praktiskt möjligt att i lag närmare reglera vilka uppgifter som härvidlag får behandlas.
Regeringen anser mot denna bakgrund att regeringen, eller den myndighet regeringen föreskriver, bör meddela föreskrifter om begränsning av såväl de ändamål för vilka behandlingen är tillåten som de uppgifter som får behandlas för ett bestämt ändamål. Regeringen kan inte se att det föreligger några konstitutionella hinder för detta i enlighet med vad Nacka tingsrätt anfört. De föreskrifter som kan komma i fråga - vilka ju rör behandling av personuppgifter hos myndighet - avser inte ämnen som måste regleras i lag. Bestämmelserna i 8 kap. regeringsformen om riksdagens rätt att delegera normgivning är således inte direkt tillämpliga på de föreslagna bestämmelserna om att regeringen, eller den myndighet bestämmer, meddelar ytterligare föreskrifter. Något krav på att dessa skall vara förenliga med exempelvis bestämmelserna i 8 kap. 7 § regeringsformen kan följaktligen inte uppställas (jfr Lagrådets yttrande i prop. 1997/98:97 Bilaga 7 s. 262-263).
7.5.2 Känsliga uppgifter
Regeringens förslag: En särreglering i förhållande till personuppgiftslagen behövs beträffande behandling av uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller sexuell läggning. Sådana känsliga uppgifter skall om det är oundgängligen nödvändigt få behandlas tillsammans med andra uppgifter.
Känsliga personuppgifter skall som huvudregel inte få användas som sökbegrepp.
Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag med den skillnaden att bestämmelsen lagtekniskt har utformats på ett annat sätt i promemorians förslag.
Remissinstanserna: Hovrätten för Övre Norrland anser att en avgränsning bör övervägas av innebörd att bestämmelsen endast bör omfatta personer som verkställer straff på anstalt för allvarliga brott. Nacka tingsrätt vill att bestämmelsen endast skall omfatta personer som genom lagakraftvunna avgöranden dömts för grövre våldsbrott till fängelse. Riksåklagaren vill att bestämmelsen avgränsas till att avse ändamålet att upprätthålla säkerheten för intagna och personal på anstalter under den tid som verkställigheten pågår. Åklagarmyndigheten i Göteborg anser att behandlingen av känsliga uppgifter endast torde få ske för ändamålet att upprätthålla säkerheten och förebygga brott. Kammarrätten i Sundsvall anser att det bör övervägas huruvida bestämmelsen kan komma i konflikt med 2 kap. regeringsformen.
Skälen för regeringens förslag: Av personuppgiftslagen framgår att det i princip är förbjudet att behandla vissa känsliga uppgifter; nämligen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser eller medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv (se 13 §).
Från förbudet finns några undantag (se 15-19 §§). Känsliga uppgifter får t.ex. under vissa förutsättningar behandlas för hälso- och sjukvårdsändamål.
Regeringen delar promemorians bedömning att kriminalvården undantagsvis kan ha ett befogat intresse av att behandla känsliga personuppgifter för att kunna bedriva en effektiv och rättssäker verksamhet och upprätthålla de säkerhetskrav som är motiverade. Mot bakgrund av att flera remissinstanser ansett att promemorians förslag är för vidsträckt finns det anledning att ännu en gång understryka att ändamålet med behandlingen av personuppgifterna avgör vilka personuppgifter som får behandlas och att det måste bedömas från fall till fall. En ordning där känsliga personuppgifter får behandlas endast för något av de specifika ändamål som lagen anvisar bör därför undvikas.
Med hänsyn till den dömde, andra intagna och kriminalvårdens personal är det helt nödvändigt att kriminalvården vid placeringen av den dömde får behandla alla uppgifter av betydelse för säkerheten. Det kan då vara nödvändigt att behandla känsliga uppgifter, t.ex. om etnisk tillhörighet, sexuell läggning och medlemskap i vissa extrema organisationer eller anknytning till sådana rörelser. Redan för närvarande är det för övrigt tillåtet att under vissa förutsättningar registrera sådana uppgifter i de platsplaneringsregister som förs med Datainspektionens tillstånd.
Flera händelser under senare år visar att det inte råder någon tvekan om att högerextremister har utvecklat sina kontaktnät på fängelserna. Kriminalvården måste därför utveckla sin förmåga att motverka att fängelsetiden används till att bygga upp nätverk med nazistiska förtecken. Det sagda kan gälla även andra grupperingar som är beredda att använda våld eller tvång för politiska syften. Den information kriminalvården har om de intagna måste användas för att kartlägga de intagna och förhindra att de förbereder brott. Intagna med t.ex. nazistiska sympatier eller med anknytning till t.ex. mc-klubbar som ägnar sig åt brottslig verksamhet måste spridas på olika anstalter eller avdelningar och hållas åtskilda från varandra. För att förhindra att brott begås eller planeras under verkställigheten och för att skydda såväl intagna och personal som samhället i stort måste kriminalvården få använda befintlig teknik för att samla, bearbeta och analysera information om de intagna som kan anses utgöra en säkerhetsrisk. I det sammanhanget kan det också vara helt nödvändigt att behandla uppgifter om nazistiska sympatier eller medlemskap i extrema organisationer eller anknytning till sådana rörelser.
Samma intressen gör sig gällande när det gäller behandling av personuppgifter för häktade. Att det rör sig om ännu inte dömda personer motiverar knappast någon annorlunda bedömning när det gäller kriminalvårdens tillgång till uppgifter eftersom det rör sig om en av domstol beslutad tvångsåtgärd där det föreligger relativt stark bevisning. Många sitter dessutom häktade långa tider. Det finns då ett intresse av att undantagsvis kunna behandla känsliga uppgifter för att upprätthålla säkerheten och förebygga brott.
Även i andra fall kan det finnas behov för kriminalvården att behandla känsliga personuppgifter. Bl.a. kan det vid personundersökningar i vissa fall vara ofrånkomligt att behandla sådana uppgifter. Det faktum att en person t.ex. är aktiv i ett nazistiskt eller rasistiskt nätverk som förespråkar våldsanvändning och tidigare begått brott med rasistiska förtecken kan vara en faktor som domstolen kommer att väga in vid val av påföljd eller vid straffmätningen. Det kan även finnas ett behov för en lokal kriminalvårdsmyndighet att behandla liknande känsliga personuppgifter i samband med upprättandet av en plan för fullgörande av samhällstjänst.
Även vid sådana transporter som ombesörjs av kriminalvårdens transporttjänst kan det av säkerhetsskäl eller annars för att åtgärden skall kunna fullgöras vara av betydelse att kriminalvården kan få tillgång till en känslig personuppgift.
När det gäller personer som är intagna i häkte eller anstalt på annan grund än att de är häktade, dömda till fängelse eller ålagda fängelse som förvandlingsstraff för böter eller vite torde det normalt inte finnas behov för kriminalvården att behandla andra känsliga personuppgifter än de som rör hälsa. Det faktum att en person t.ex. har diabetes, gulsot eller HIV kan även här vara av betydelse för hur personalen skall hantera dessa personer. Det kan emellertid inte heller i dessa fall uteslutas att det kan finnas ett behov att behandla andra känsliga personuppgifter.
Det sagda innebär att kriminalvården har ett behov av att behandla sådana uppgifter som i personuppgiftslagen benämns känsliga personuppgifter och att detta behov inte kan begränsas till att avse bara ett av de flera specifika ändamål som lagen anvisar. Sådana uppgifter bör därför undantagsvis få behandlas, men bara om det är oundgängligen nödvändigt för syftet med behandlingen. En ytterligare förutsättning måste vara att det finns andra uppgifter som gör att det finns anledning att behandla uppgifter av sådan art.
Lagrådet har anfört att denna förutsättning tydligare framgår om bestämmelsen lagtekniskt utformas i enlighet med motsvarande bestämmelse i polisdatalagen. Bestämmelsen kommer härigenom i bättre samklang med föreskriften i 2 kap. 3 § första stycket regeringsformen som förbjuder s.k. åsiktsregistrering. Regeringen kan ansluta sig till denna bedömning.
För att ytterligare värna den personliga integriteten anser regeringen att det i bestämmelsen även bör anges att känsliga personuppgifter inte får användas som sökbegrepp om inte regeringen har föreskrivit annat. Vidare bör i lagen anges att sådana föreskrifter bara får meddelas för att upprätthålla säkerheten och förebygga brott.
7.6 Personuppgiftsansvar
Regeringens förslag: Den myndighet som utför behandlingen skall vara personuppgiftsansvarig. Kriminalvårdsstyrelsen skall dock vara personuppgiftsansvarig för behandling av personuppgifter som sker gemensamt för myndigheterna inom kriminalvården.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Lämnar förslaget utan erinran.
Skälen för regeringens förslag: Enligt 3 § personuppgiftslagen är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter personuppgiftsansvarig.
Det är naturligt att den myndighet som utför behandlingen av personuppgifter ansvarar för att behandlingen sker i enlighet med vad som är föreskrivet. Den myndighet som behandlar uppgifterna bör därför också vara personuppgiftsansvarig. Mot bakgrund av att de ändamål för vilka behandling får ske är lagreglerade och regeringen, eller den myndighet regeringen föreskriver, dessutom kan meddela föreskrifter som inskränker ändamålen, kan det förefalla tveksamt om den myndighet som utför behandlingen kan anses ha ett sådant inflytande över ändamålen med behandlingen att myndigheten blir att anse som personuppgiftsansvarig (jfr Lagrådets yttrande över förslaget till lag om hälsodataregister, prop. 1997/98:108 s. 125). För att undanröja all osäkerhet på denna punkt bör det av lagen framgå att den myndighet som utför behandlingen är personuppgiftsansvarig.
I departementspromemorian Lag om kriminalvårdsregister (Ds 1996:19) föreslogs ett delat registeransvar för register som fördes gemensamt för myndigheterna inom verket. Varje myndighet skulle ansvara för sin del av behandlingen. För den enskilde är det emellertid en klar fördel att ha en myndighet att vända sig till. För behandlingar som sker gemensamt för hela kriminalvården bör därför Kriminalvårds-styrelsen vara personuppgiftsansvarig.
7.7 Sambearbetning
Regeringens bedömning: Någon särskild bestämmelse om sambearbetning behövs inte i den föreslagna lagen.
Promemorians förslag: I promemorian föreslås att en bestämmelse införs om att personuppgifter som behandlas för olika ändamål får sambearbetas.
Remissinstanserna: Merparten av remissinstanserna lämnar förslaget utan erinran. Hovrätten för Övre Norrland anser dock att det är oklart vilka närmare konsekvenser bestämmelsen kan medföra. Nacka tingsrätt menar att berättigade ändamål för sambearbetning bör kunna anges i lagtexten. Kammarrätten i Sundsvall vill att det tydliggörs att ändamålen med behandlingen vid sambearbetning måste vara förenlig med de ändamål som anges i den föreslagna lagen. Övervakningsnämnden i Malmö Norr anser att bestämmelsen är överflödig.
Skälen för regeringens bedömning: Personuppgiftslagen innehåller inte något förbud mot sambearbetning av uppgifter. Däremot får en uppgift inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (9 § d). Ändamålsbestämmelsen anger alltså inte bara ramen för vilka uppgifter som får behandlas utan också när sambearbetning av uppgifterna får ske.
För att kriminalvården skall kunna bedriva en rättssäker och effektiv verksamhet måste viss sambearbetning av uppgifterna få ske. I lagrådsremissen föreslogs mot denna bakgrund att det i lagen borde anges att uppgifter som behandlas automatiserat för olika ändamål får sambearbetas.
Lagrådet har avstyrkt en sådan reglering och har pekat på att vissa bestämmelser i personuppgiftslagen (9 § första stycket c) och d)), ger uttryck för den s.k. finalitetsprincipen och att denna princip förmodligen är den viktigaste i personuppgiftslagen. Lagrådet har framhållit att en sådan princip inte bör frångås utan tvingande skäl. Vidare har Lagrådet påpekat att någon liknande bestämmelse som den i promemorian och lagrådsremissen föreslagna inte tidigare införts under den omfattande följdlagstiftning som personuppgiftslagen har givit anledning till. Lagrådet har dessutom anfört att det är tveksamt om bestämmelsen egentligen behövs eftersom det i lagrådsremissen gavs uttryck för att det inte finns anledning att befara att sambearbetning kan komma att innebära att behandlingar sker för oförenliga ändamål. Mot denna bakgrund har Lagrådet förordat att bestämmelsen om sambearbetning utgår.
Regeringen kan ansluta sig till Lagrådets bedömning att en bestämmelse om sambearbetning inte är nödvändig och att bestämmelsen därför bör utgå. Regeringen vill peka på att många uppgifter kommer att behandlas för fler än ett av de ändamål som utpekas i lagen. Ändamålsbestämmelserna är så utformade att de till stor del överlappar varandra. Ändamålen kan därför normalt inte ses som oförenliga med varandra. De möjligheter till sambearbetning som då följer av personuppgiftslagen torde i de flesta fall täcka kriminalvårdens behov.
7.8 Direktåtkomst
Regeringens förslag: Direktåtkomsten till de personuppgifter som behandlas enligt den föreslagna lagen skall vara förbehållen de personer som på grund av sina arbetsuppgifter inom kriminalvården behöver tillgång till uppgifterna.
Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag med den skillnaden att det inte uttryckligen anges att det handlar om arbetsuppgifter inom kriminalvården.
Remissinstanserna: Remissinstanserna har inget att erinra i sak mot förslaget. Nacka tingsrätt och Domstolsverket anser dock att det bör klargöras huruvida bestämmelsen endast avser personal inom kriminal-vården eller inte.
Skälen för regeringens förslag: Med direktåtkomst inom en myndighetsorganisation avses i detta sammanhang att en person inom myndigheten via en direktuppkopplad terminal kan gå in och söka uppgifter från den egna myndigheten och/eller från annan myndighet inom myndighetsorganisationen (jfr SOU 1999:105 s. 259-261). Enligt personuppgiftslagen skall den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de uppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av uppgifterna och hur pass känsliga de behandlade personuppgifterna är. En skyddsåtgärd kan vara att begränsa tillgången till de uppgifter som behandlas. Personuppgiftslagen innehåller däremot inga särskilda bestämmelser om direktåtkomst.
Ur integritetssynpunkt är det angeläget att åtkomsten till de uppgifter som behandlas inte är vidare än nödvändigt. Detta gäller i synnerhet vid direktåtkomst där det, till skillnad från annan användning, saknas möjlighet för den personuppgiftsansvarige att kontrollera nyttjandet. Endast de personer som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna bör därför ha direktåtkomst till dem. Detta bör särskilt framgå av den föreslagna lagen. Den närmare avgränsningen bör överlämnas till regeringen eller till den myndighet som regeringen bestämmer.
En utgångspunkt är att personuppgifter också skall kunna lämnas ut till andra myndigheter och att det i de föreskrifter som reglerar detta kommer att anges vilka myndigheter som får ha direktåtkomst och till vilka uppgifter (se avsnitt 7.9.2).
7.9 Utlämnande av uppgifter
7.9.1 Utlämnande av uppgifter för statistik
Regeringens förslag: Uppgifter som är nödvändiga för att framställa rättsstatistiken skall lämnas till den myndighet som ansvarar för att framställa statistik.
Promemorians förslag: Promemorian föreslår ingen särskild bestämmelse om utlämnande av uppgifter till myndighet som svarar för rättsstatistiken.
Remissinstanserna: Kriminalvårdsstyrelsen anser att en bestämmelse om att den vetenskapliga forskningen skall ha tillgång till de uppgifter som behandlas i kriminalvårdens register införs i den föreslagna lagen.
Skälen för regeringens förslag: Rättsstatistiken används på olika sätt och för varierande syften. Den används för forskningsändamål och i utredningar för att belysa vissa fenomen, som underlag för beslut om åtgärder, resursfördelning, lagstiftningsförändringar m.m. och av massmedier.
Kriminalvårdstyrelsen producerar själv en del statistik. Av förordningen (2001:100) om den officiella statistiken framgår det att Brottsförebyggande rådet ansvarar för den officiella statistiken på rättsväsendets område. Rådet för statistik över anmälda brott, uppklarade brott, personer misstänkta för brott, personer lagförda för brott, kriminalvård och återfall i brott. Kriminalvårdsstyrelsen skall enligt 28 § förordningen (1970:517) om rättsväsendets informationssystem lämna underlag till rättsstatistiken enligt anvisningar som Brottsförebyggande rådet meddelar i samråd med Kriminalvårdsstyrelsen.
Av det sagda framgår det att rättsstatistiken är av stort samhällsintresse. En bestämmelse om att uppgifter som är nödvändiga för att framställa rättsstatistiken skall lämnas till den myndighet som ansvarar för att framställa statistik bör därför införas i den föreslagna lagen. Regeringen bedömer att den föreslagna bestämmelsen torde tillgodose det behov som den vetenskapliga forskningen kan ha. Närmare bestämmelser om uppgiftslämnandet avser regeringen att meddela i förordning.
7.9.2 Utlämnande av uppgifter till myndigheter m.m.
Regeringens förslag: Regeringen meddelar närmare föreskrifter om i vilken utsträckning uppgifter som behandlas enligt lagen skall lämnas ut till andra myndigheter samt vilka myndigheter som skall ha direktåtkomst.
Promemorians förslag: Promemorians föreslår inte att någon särskild bestämmelse skall införas.
Remissinstanserna: Riksåklagaren är tveksam till om känsliga uppgifter överhuvudtaget bör kunna överföras till andra myndigheter. Vidare anser Riksåklagaren att känsliga personuppgifter inte bör få lämnas ut till tredje land. Åklagarmyndigheten i Stockholm anser att det närmare måste regleras när personuppgifter får utlämnas till tredje land.
Bakgrund: Ett ändamål för att behandla uppgifter skall enligt den föreslagna lagen vara att underlätta tillgången till sådana uppgifter om verkställigheten av påföljd eller om häktning som behövs hos rättsväsendets myndigheter. I gällande författningar finns det bestämmelser som ålägger myndigheterna inom kriminalvården att lämna uppgifter till andra myndigheter. Kriminalvården skall enligt förordningen (1999:1135) om belastningsregistret lämna vissa uppgifter till belastningsregistret. I förordningen (1970:517) om rättsväsendets informationssystem finns vidare bestämmelser om att vissa uppgifter ur de register som förs av Kriminalvårdsstyrelsen enligt RI-förordningen skall lämnas ut till Totalförsvarets pliktverk, Riksförsäkringsverket och polismyndighet (26 §). Det föreskrivs vidare att uppgifter skall lämnas ut till rättsstatistiken (28 §) samt på framställning av en domstol, Riks-åklagaren, en åklagarmyndighet, Justitiekanslern, Justitieombudsmannen, Rikspolisstyrelsen, en polismyndighet, Datainspektionen, en myndighet inom Kriminalvårdsverket eller en myndighet som äger besluta om frihetsberövande åtgärd enligt lagarna om utlämning för brott eller utlänningslagen (1989:529). Det anges vidare att Regeringskansliet, Rikspolisstyrelsen, polismyndigheter och myndigheter inom Kriminalvårdsverket får ha direktåtkomst till ett sådant register (29 §). Till Regeringskansliet får dock endast sådana uppgifter föras över som behövs i ärenden om nåd i brottmål.
Utlämnande av uppgifter till andra myndigheter avser uppgifter om personer som har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst, har ålagts förvandlingsstraff för böter, eller på grund av utländsk brottmålsdom skall verkställa påföljd i Sverige. Dessa uppgifter rör således huvudsakligen själva verkställigheten av påföljden. Uppgifterna tar inte sikte på förhållanden som är särskilt känsliga för den dömde.
Skälen för regeringens förslag: Regeringen anser att det även i fortsättningen finns ett behov att kunna utlämna sådana uppgifter som har beskrivits ovan.
Det är knappast ändamålsenligt att i lag ställa upp mer detaljerade bestämmelser om utlämnandet. Regeringen anser dock frågan vara av sådan vikt att den lämpligen bör regleras i förordning. För full-ständighetens skull bör det därför av den föreslagna lagen framgå att regeringen meddelar närmare föreskrifter om i vilken utsträckning uppgifter som behandlas skall lämnas ut till andra myndigheter och i vilken utsträckning befattningshavare vid dessa myndigheter skall ha direktåtkomst till personuppgifter inom kriminalvården. I det samman-hanget kommer även andra myndigheters, än de ovan uppräknande, behov att få ut personuppgifter från kriminalvården att övervägas.
Av avsnitt 7.4.3 har det framgått att polisen enligt regeringens mening i viss utsträckning bör få del av sådana uppgifter som behandlas för att upprätthålla säkerheten och förebygga allvarlig brottslig verksamhet. Sådana uppgifter kan vara av betydelse för polisens kriminalunder-rättelseverksamhet. Tillgången till sådana uppgifter måste dock förbehållas endast ett fåtal nyckelpersoner inom polisen.
Utlämnade av personuppgifter till tredje land regleras i 33-35 §§ personuppgiftslagen. Med tredje land avses länder som inte är medlemmar i EU och inte heller är anslutna till EES. Av 33 § personuppgiftslagen framgår att det är förbjudet att till tredje land föra över personuppgifter som är under behandling eller skall behandlas i tredje land om inte det aktuella landet har en adekvat skyddsnivå för uppgifterna. Vid bedömningen av om skyddsnivån är adekvat skall särskild vikt läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmandelandet och de regler som finns för behandlingen i det tredje landet (33 § 2 st.). Har landet tillträtt Europarådets konvention den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter skall det anses att landet har en adekvat skyddsnivå. Vissa ytterligare undantag från förbudet finns angivna i 34 §. Regeringen eller myndighet som regeringen bestämmer får också meddela föreskrifter om undantag från förbudet i 33 § i vissa fall (35 §).
Regeringen bedömer att bestämmelserna i personuppgiftslagen om när utlämnade av personuppgifter till tredje land får ske är tillräckliga för kriminalvårdens behov. I samband med utarbetandet av förordnings-föreskrifterna kommer en analys göras av vilka uppgifter som bör kunna lämnas ut till tredje land. Det finns som Riksåklagaren påtalat anledning att iaktta stor restriktivitet när det gäller utlämnande av känsliga uppgifter till tredje land. Det kommer att beaktas då förordningarna utarbetas.
7.10 Gallring
Regeringens förslag: Personuppgifter som behandlas enligt den nya lagen skall gallras senast tio år efter det att den registrerade påföljden eller åtgärden helt har verkställts eller upphört. Uppgifter får alltid bevaras för historiska, statistiska eller vetenskapliga ändamål.
Regeringen, eller den myndighet regeringen bestämmer, meddelar närmare föreskrifter om när gallring skall ske.
Promemorians förslag: Föreslår att huvudregeln skall vara att gallring av uppgifter som behandlas i register skall ske efter fem år och att uppgifter som behövs för uppföljning och kvalitetssäkring av verksamheten får behandlas under ytterligare fem år.
Remissinstanserna: Flera av remissinstanserna, däribland Kammarrätten i Sundsvall, anser att begreppet register bör undvikas i bestämmelsen. Nacka tingsrätt och Sveriges Advokatsamfund menar att uppgifter som endast behövs för uppföljning och kvalitetssäkring av verksamheten av integritetshänsyn bör avidentifieras. Datainspektionen anser att det ur tillämpningssynpunkt bör klargöras vad som avses med gallring och hur den föreskrivna regeln förhåller sig till automatiserad behandling i informationssystem såsom exempelvis klientinformations-systemet.
Skälen för regeringens förslag: Enligt bestämmelserna i arkivlagen (1990:782) skall allmänna handlingar bevaras så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt forskningens behov (3 § arkiv-lagen). Vidare föreskrivs att allmänna handlingar får gallras, varvid hänsyn skall tas till dessa ändamål samt till att arkiven är en del av kulturarvet (10 §).
I 9 § personuppgiftslagen (1998:204) läggs det fast vissa grundläggande krav på behandlingen av personuppgifter. Bland annat anges att personuppgifter inte skall bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Person-uppgifter får dock bevaras för historiska, statistiska eller vetenskapliga ändamål under en längre tid än vad som nu sagts. Av 8 § andra stycket personuppgiftslagen följer vidare uttryckligen att lagen inte hindrar att en myndighet bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
Med gallring avses traditionellt att vissa handlingar sorteras ut ur sitt sammanhang och sedan förstörs. När det gäller gallring av ADB-material innebär detta normalt att viss information raderas från databäraren, dvs. det fysiska underlaget. Det är alltså inte egentligen fråga om att databäraren skall förstöras, utan den kan efter raderingen av informationen i vissa fall återanvändas. Det är inte heller nödvändigt att den egentliga information som finns på ett ADB-medium verkligen förstörs för att det skall vara fråga om gallring. Tvärtom kan ett visst material gallras genom att den elektroniskt lagrade informationen först överförs till en pappersutskrift innan den raderas från ADB-mediet. Även om alla uppgifter då fortfarande kan tyckas finnas kvar på papper, så har olika sökmöjligheter eller möjligheter att göra sammanställningar eller kontroller av handlingars autencitet - t.ex. elektroniska signaturer - gått förlorade, vilket medför att materialet har gallrats (se Riksarkivets föreskrifter och allmänna råd [RA-FS 1994:2] om framställning och hantering av upptagningar för automatisk databehandling). Innebörden av att ett visst material har gallrats är alltså att möjligheten att få fram information ur materialet på något sätt har försämrats.
När det gäller bestämmelser om bevarande och gallring måste en avvägning göras mellan å ena sidan integritetsskyddsintressen och å andra sidan insyns- och rättssäkerhetsaspekter, myndigheternas informationsbehov samt forskningsintresset (se prop. 1989/90:72 s. 51 ff och prop. 1997/98:108 s. 80). Med hänsyn till vikten av att skydda den personliga integriteten anser regeringen att det är angeläget att den nya lagen innehåller en särskild gallringsbestämmelse. Som flera remissinstanser har påpekat bör denna bestämmelse utformas så att den tar sikte på behandling av personuppgifter i stället för register.
För närvarande gallras uppgifterna i det centrala kriminalvårdsregistret (KUM) som huvudregel fem år efter den senaste påföljdens upphörande (30 § RI-förordningen). Denna tid har varit densamma sedan i början av 1970-talet.
Under senare år har dock intresset för att utvärdera kriminalvårdens verksamhet ökat. Statsmakterna ställer allt högre krav på att verksamheten skall kunna utvärderas i syfte att höja kvaliteten. Med hänsyn härtill är det av värde att sådana uppgifter som behövs för uppföljning och kvalitetssäkring av verksamheten får behandlas under längre tid än vad de hittills fått göra.
Mot denna bakgrund anser regeringen att uppgifter som behandlas enligt den nya lagen skall gallras senast tio år efter det att den senaste registrerade påföljden eller åtgärden helt har verkställts eller upphört. Detta motsvarar också vad som enligt lagen (1998:620) om belastningsregister gäller för uppgifter om fängelsedömda i belastningsregistret.
I den föreslagna lagen anges den tid då uppgifter senast skall gallras. Många uppgifter bör kunna gallras betydligt tidigare. Regeringen, eller den myndighet regeringen bestämmer, bör därför i anslutning till den i propositionen föreslagna lagen meddela föreskrifter om kortare gallringstider. I det fortsatta förordnings- och föreskriftsarbetet kommer avsevärt kortare gallringstider att övervägas, t.ex. i fråga om särskilt känsliga personuppgifter och uppgifter om andra personer än dem som är föremål för tvångsbehandling eller misstänkta för brott. Exempelvis torde det som regel saknas anledning att annat än för en kortare tid behandla uppgifter om någon som endast transporteras genom kriminalvårdens försorg med anledning av ett avvisningsbeslut.
Slutligen anser regeringen att en bestämmelse bör införas i lagen om att undantag från huvudregeln om gallring får göras för att bevara uppgifter för historiska, statistiska eller vetenskapliga ändamål.
7.11 Information
Regeringens bedömning: Personuppgiftslagens bestämmelser om information bör gälla även för kriminalvården. Några särskilda bestämmelser behövs inte i den föreslagna lagen.
Promemorians bedömning: Överensstämmer med regeringens.
Remissinstanserna: Merparten av remissinstanserna har inte haft något att erinra mot förslaget. Nacka tingsrätt anser att av integritetsskäl såväl informationsskyldigheten som hur informationen skall lämnas bör framgå av lagen. Kriminalvårdsstyrelsen anser att information inte skall behöva lämnas om en registrering sker enbart på grund av en persons tjänsteutövning. Övriga remissinstanser har inget att erinra mot promemorians bedömning.
Skälen för regeringens bedömning: Personuppgiftslagen innehåller särskilda bestämmelser om den personuppgiftsansvariges skyldighet att lämna information till den registrerade (23-27 §§). Om uppgifter samlas in från personen själv skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna. Om uppgifterna samlats in från någon annan än den registrerade själv skall den personuppgiftsansvarige i regel också självmant lämna den registrerade information om uppgifterna när de registreras. Informationen skall omfatta uppgifter om den person-uppgiftsansvariges identitet, uppgifter om ändamålet med behandlingen och övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldigheten att lämna uppgifter och rätten att ansöka om information och få rättelse.
Informationsskyldigheten är förenad med flera undantag t.ex. om det gäller sekretess eller tystnadsplikt för en uppgift. Information behöver inte heller lämnas om det visar sig omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Enligt regeringens mening finns det inte anledning att, som Kriminalvårdsstyrelsen har förordat, reglera informationsskyldigheten inom kriminalvården på annat sätt. I departementspromemorian Lag om kriminalvårdsregister (Ds 1996:19) föreslogs visserligen att information inte skulle behöva lämnas om en registrering sker enbart på grund av en persons tjänsteutövning. Något sådant undantag har inte gjorts vare sig i den lagstiftning som reglerar polisens rätt att behandla personuppgifter (prop. 1997/98:97) eller i lagstiftningen om hälsodata och vårdregister (prop. 1997/98:108). I sammanhanget bör också framhållas att det inte är reglerat hur informationen skall lämnas. Regeringen anser inte heller att en detaljreglering av denna fråga är ändamålsenlig. Informations-skyldigheten bör därför kunna ske genom anslag i besökslokalen, genom en broschyr, muntligen eller på annat lämpligt sätt. Det innebär att det inte bör bli särskilt betungande för kriminalvården att informera de personer som kommer att registreras på grund av sin tjänsteutövning.
Regeringen bedömer alltså att det inte behövs några särskilda bestämmelser om information utöver de som finns i personuppgiftslagen. Regeringen vill dock i sammanhanget hänvisa till att polisregister-utredningen (Dir.1999:99) särskilt skall uppmärksamma hur person-uppgiftslagens bestämmelser om information tillämpas. Den väntas komma med ett betänkande senast vid utgången av år 2001.
7.12 Säkerhet och tillsyn
Regeringens bedömning: Några särskilda bestämmelser om säkerheten vid behandling behövs inte.
Promemorians bedömning: Överensstämmer med regeringens.
Remissinstanserna: Riksåklagaren anser att säkerhetsföreskrifterna måste ges i form av lag. Länsrätten i Östergötlands län förutsätter dock att närmare föreskrifter angående sökningsmöjligheterna kommer att meddelas. Övriga remissinstanser har inget att erinra.
Skälen för regeringens bedömning: De uppgifter som behandlas inom kriminalvården är känsliga ur integritetssynpunkt. Det är därför viktigt att säkerhetsfrågorna får en tillfredställande lösning innan en behandling inleds.
Personuppgiftslagen innehåller särskilda bestämmelser om säkerhet vid behandling av personuppgifter (31 §). Av dessa följer att den personuppgiftsansvarige är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av uppgifterna och hur pass känsliga de behandlade personuppgifterna är.
För att garantera att personuppgiftslagens bestämmelser efterlevs finns det en tillsynsmyndighet som getts vissa befogenheter (43-47 §§). Tillsynsmyndigheten får utfärda närmare föreskrifter om vilka krav som skall ställas på den personuppgiftsansvarige. Tillsynsmyndigheten får vidare meddela beslut om skyddsåtgärder i enskilda fall. Till tillsynsmyndighet har regeringen utsett Datainspektionen.
Personuppgiftslagens bestämmelser om säkerheten vid behandlingen av personuppgifter och om tillsynsmyndighetens befogenheter bör gälla även för kriminalvården. Några särskilda bestämmelser, såsom Riksåklagaren föreslår, behövs inte i den föreslagna lagen. De kontrollmöjligheter som redan finns genom den tillsyn Datainspektionen, Justitieombudsmannen och Justitiekanslern utövar bör enligt regeringens bedömning vara en fullgod garanti för att någon behandling av personuppgifter inte förekommer annat än när det är nödvändigt och ändamålsenligt.
I departementspromemorian Lag om kriminalvårdsregister (Ds 1996:19) föreslogs en bestämmelse om att uppgifter endast skulle få användas som sökbegrepp om de var nödvändiga för kriminalvårdens verksamhet eller om det behövdes för att vidta rättelse i ett register. Begränsningar i sökmöjligheterna är ett sätt att vidta tekniska åtgärder för att skydda uppgifterna. Det bör därför i första hand vara den personuppgiftsansvarige som avgör vilka begränsningar i sökmöjlig-heterna som bör införas. Datainspektionen har, som nämnts, också möjlighet att meddela föreskrifter eller beslut i enskilda fall om vilka säkerhetsåtgärder som skall vidtas. Någon särskild bestämmelse, förutom vad gäller känsliga uppgifter (se avsnitt 7.5.2), som begränsar vilka sökbegrepp som får användas behövs därför inte.
7.13 Rättelse och skadestånd
Regeringens förslag: Personuppgiftslagens bestämmelser om rättelse av felaktiga uppgifter och om skadestånd skall gälla för behandling av uppgifter inom kriminalvården. En hänvisning till personuppgiftslagens regler om rättelse och skadestånd görs.
En bestämmelse införs i lagen om att en myndighets beslut om rättelse och om information enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol. Prövningstillstånd skall krävas vid överklagande till kammarrätten.
Promemorians förslag: Överensstämmer utom vad gäller överklagande med regeringens förslag.
Remissinstanserna: Remissinstanserna har inte haft något erinra mot förslaget. Riksåklagaren, Åklagarmyndigheten i Stockholm och Åklagarmyndigheten Malmö anser att det i den föreslagna lagen bör göras en hänvisning till personuppgiftslagens regler om straff. Länsrätten i Östergötlands län anser att en analys bör göras av hur promemorians förslag påverkar länsrätternas arbetsbelastning.
Skälen för regeringens förslag: Den personuppgiftsansvarige är enligt personuppgiftslagen (1998:204) skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen (28 §). Sker rättelse skall de tredje män till vilka uppgifter lämnats ut underrättas om rättelsen.
Av personuppgiftslagen följer vidare att den personuppgiftsansvarige skall ersätta den registrerade för den skada och den kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen orsakat (48 §).
Bestämmelserna i personuppgiftslagen om rättelse och skadestånd bör gälla även i frågor om behandling av personuppgifter inom kriminalvården.
Personuppgiftslagen innehåller också en straffbestämmelse (49 §). Enligt den bestämmelsen kan bl.a. den som uppsåtligen eller av oaktsamhet behandlar uppgifter i strid med vissa bestämmelser i lagen dömas till straff. Eftersom det är kriminalvårdsstyrelsen eller någon annan myndighet inom kriminalvården som är personuppgiftsansvarig för den behandling som sker torde det inte bli aktuellt att tillämpa straffbestämmelsen. Det ligger i stället närmare till hands att tillämpa brottsbalkens bestämmelser om tjänstefel m.m.
Personuppgiftslagen innehåller inte några regler om överklagande av beslut om rättelse eller om information enligt 26 §. Sådana beslut måste dock kunna överklagas. En bestämmelse om överklagande bör därför införas i den föreslagna lagen om behandling av personuppgifter inom kriminalvården.
Regeringen bedömer att förslaget inte kommer öka länsrätternas arbetsbelastning. Mål om rättelse enligt datalagen avgörs redan idag av länsrätterna.
7.14 Sekretessfrågor
Regeringens bedömning: Någon ändring i sekretesslagen behöver inte göras.
Promemorians bedömning: Överensstämmer med regeringens.
Remissinstanserna: Riksåklagaren anser att kriminalvårdens intresse av sekretess för känsliga uppgifter till skydd för den egna verksamheten bör behandlas i lagstiftningsarbetet. Övervakningsnämnden i Malmö Norr ifrågasätter om inte en hänvisning i den föreslagna lagen till sekretesslagen skulle kunna vara av värde. Övriga remissinstanser har inget att erinra.
Skälen för regeringens bedömning: De personuppgifter som behandlas inom kriminalvården omfattas i regel av någon bestämmelse om sekretess enligt sekretesslagen (1980:100). Sekretessen inom kriminalvårdens område innebär att en uppgift om enskilds personliga förhållanden inte får lämnas ut eller på annat sätt röjas om det kan antas att den enskilde eller någon närstående till honom eller henne lider men om uppgiften röjs (7 kap. 21 § sekretesslagen). Sekretessen gäller också om det kan befaras att någon annan än den uppgiften rör eller dennes närstående utsätts för våld eller annat allvarligt men om uppgiften röjs. Risken för skada är alltså inte enbart knuten till den enskilde eller hans eller hennes närstående utan gäller också andra personer, t.ex. andra intagna, vårdare eller andra personer vilkas personliga säkerhet skulle kunna sättas i fara om uppgiften lämnades ut. Vissa beslut inom kriminalvården är undantagna från sekretess.
Sekretess gäller även för uppgift som rör utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller annat allvarligt men som föranleds av förhållandet mellan utlänningen och utländsk stat eller myndighet eller organisation av utlänningar (7 kap. 14 § sekretesslagen). Bestämmelsen kan vara av betydelse i vissa fall då kriminalvårdens transporttjänst för verkställande av avvisningsbeslut i ett asylärende ombesörjer en transport till utlandet.
Sekretessen hindrar inte att uppgift lämnas ut till en myndighet om uppgiftsskyldighet är bestämd i lag eller förordning (14 kap. 1 § sekretesslagen). Exempel på en sådan uppgiftsskyldighet finns i förordningen (1999:1134) om belastningsregister och förordningen (1970:517) om rättsväsendets informationssystem. Vidare får enligt den s.k. generalklausulen i 14 kap. 3 § sekretesslagen en uppgift lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse sekretessen skall skydda.
Det finns vidare en särskild bestämmelse som reglerar uppgifter som behandlas enligt personuppgiftslagen. Enligt den bestämmelsen (7 kap. 16 § sekretesslagen) gäller sekretess för personuppgift om det kan antas att ett utlämnande skulle medföra att uppgifterna behandlas i strid med personuppgiftslagen.
Sekretess för en uppgift som behandlas inom kriminalvården kan också gälla enligt andra bestämmelser i sekretesslagen. Om kriminalvården t.ex. får en uppgift som hänför sig till polisens verksamhet för att förebygga, uppdaga, utreda eller beivra brott gäller den s.k. förundersökningssekretessen enligt 5 kap. 1 § sekretesslagen.
De personuppgifter som kommer att behandlas inom kriminalvården med stöd av den nya lagen omfattas alltså, med hänsyn till såväl integritets- som säkerhetsaspekter, redan av ett tillräckligt sekretesskydd. Någon ändring i sekretesslagen behöver därför inte göras.
Vad gäller Riksåklagarens påpekande om kriminalvårdens intresse av sekretess för känsliga uppgifter till skydd för den egna verksamheten bedömer regeringen att bestämmelserna i 7 kap. 21 § och 5 kap. 1 § sekretesslagen är tillräckliga för att täcka kriminalvårdens behov i detta hänseende. Regeringen delar Kriminalvårdsstyrelsens bedömning att uppgifter om t.ex. brottsmisstanke kan sekretessbeläggas gentemot en intagen redan innan uppgiften kommer till polisens eller åklagarens kännedom (se RÅ 1989 not.188).
7.15 Utgångspunkter för det fortsatta författningsarbetet
Regeringens bedömning: I det fortsatta författningsarbetet kommer integritetsaspekterna att särskilt uppmärksammas. Då bör följande utgångspunkter gälla.
- Särskild restriktivitet bör gälla avseende rätten att behandla uppgifter angående personer som inte själva är misstänkta för brott.
- Utlämnande till andra myndigheter bör medges endast i de fall där det finns ett klart behov av det.
- Stor restriktivitet måste iakttas när det gäller användningen av känsliga uppgifter.
- Det måste noga anvisas vilka personer som skall få ha direktåtkomst till personuppgifter och denna personkrets måste begränsas till dem som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.
- Gallringstiderna bör minimeras.
Systemet skall bygga på en hög grad av säkerhet och förutsätter att det finns behörighetskoder för användarna. Kriminalvårdsstyrelsen eller berörd kriminalvårdsmyndighet måste alltså som personuppgiftsansvarig se till att lämpliga åtgärder vidtas för att skydda de personuppgifter som behandlas.
De samlade konsekvenserna från integritetssynpunkt av de nya författningarna bör följas upp och analyseras.
Skälen för regeringens bedömning: Som tidigare har framgått kommer den nya lagen att ge ramarna för när behandling av personuppgifter är tillåten (se avsnitt 7.2.). Lagregleringen bör dock inte vara alltför detaljerad utan endast innehålla de ur integritetssynpunkt viktigaste bestämmelserna. Lagen måste därför kompletteras av författningar på lägre nivå.
De uppgifter som behandlas av kriminalvården är ofta särskilt integritetskänsliga eftersom det rör sig om uppgifter om begångna brott, ådömda och verkställda påföljder, missbruk etc. Det är därför av stor vikt att behandlingen blir omgärdad av bestämmelser som värnar om den personliga integriteten. Vid utformningen av det nya regelverket måste utgångspunkten vara att skyddet för de enskildas integritet stärks.
I dag är den manuella hanteringen av uppgifter till stora delar oreglerad. Den nya lagen och de föreskrifter som utfärdas i anslutning till den kommer emellertid att omfatta även sådan hantering såvida den utförs i registerform. I det avseendet innebär det nya regelverket en förbättring av integritetsskyddet.
Redan av personuppgiftslagen (1998:204) framgår viktiga begränsningar i möjligheterna att behandla personuppgifter. Exempelvis får personuppgifter behandlas endast för särskilda, uttryckligt angivna och berättigade ändamål och fler uppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Den nya lagen innehåller en bestämmelse som anger de specifika ändamål för användningen som skall gälla inom kriminalvården.
Det kan emellertid finnas behov att av integritetsskäl överväga ytterligare begränsningar av rätten att behandla uppgifter för ett visst ändamål. Detta gäller särskilt i fråga om uppgifter om personer som inte själva är misstänkta för brott. I de fall behandling av personuppgifter avser andra personer än dem som är föremål för kriminalvårdsåtgärder, t.ex. advokater, besökare och anhöriga, bör de uppgifter som behandlas begränsas så mycket som det är möjligt inom ramen för ändamålet med behandlingen av uppgifterna. Exempelvis torde det inte finnas anledning att behandla mer än ett mycket begränsat antal uppgifter avseende advokater. Som regel bör vidare t.ex. behandling av uppgifter avseende en anhörig till en intagen normalt kunna begränsas till att avse endast namn, adress, telefonnummer samt relation till den intagne.
Regeringen har enligt den föreslagna lagen att exklusivt föreskriva i vilka situationer personuppgifter skall få lämnas ut till annan myndighet i andra fall än som avser statistik. Redan i dag kan vissa av rättsväsendets myndigheter, t.ex. åklagarmyndigheter och polismyndigheter, få ta del av uppgifter från kriminalvården i enlighet med förordningen (1970:517) om rättsväsendets informationssystem. Utlämnandet avser uppgifter om personer som har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst, har ålagts förvandlingsstraff för böter, eller på grund av en utländsk brottmålsdom skall verkställa påföljd i Sverige. Dessa uppgifter rör således huvudsakligen själva verkställigheten av påföljden. Uppgifterna tar inte sikte på förhållanden som är särskilt känsliga för den dömde. Enligt regeringens bedömning måste den typen av information även i fortsättningen kunna lämnas ut till andra myndigheter. Vid utformningen av föreskrifterna i denna del avser emellertid regeringen att pröva om några uppgifter som i dag lämnas ut trots allt kan undantas från utlämnande.
I det fortsatta förordningsarbetet blir det en viktig uppgift att överväga i vilken utsträckning myndigheter i övrigt skall få tillgång till information från kriminalvården och om någon myndighet därvid skall få ha direktåtkomst till personuppgifter. Utgångspunkten måste vara att utlämnande till andra myndigheter skall medges endast i de fall där det finns ett klart behov av det. Myndigheters intresse av att få del av uppgifter måste vägas mot intresset av att skydda enskildas personliga integritet. Därvid måste hänsyn tas till reglerna i sekretesslagen. Det bör närmare övervägas om utlämnande som regel endast bör få ske i de fall där det är uppenbart att en sekretessprövning i det enskilda fallet skulle ha inneburit att uppgifterna skulle komma att lämnas ut. En viktig begränsning som har angivits direkt i lagen är att direktåtkomst vid utlämnande till andra myndigheter måste vara förbehållen de personer vid myndigheten som behöver tillgång till uppgifterna. Under det fortsatta förordningsarbetet kommer regeringen att överväga i vilken utsträckning t.ex. polisen skall ha viss tillgång till sådana uppgifter som behandlas för att upprätthålla säkerheten och förebygga allvarlig brottslig verksamhet. Sådana uppgifter kan vara av betydelse för polisens kriminalunderrättelseverksamhet (se avsnitt 7.4.3). En förutsättning är dock att tillgången till sådana uppgifter då måste förbehållas endast ett fåtal nyckelpersoner inom polisen. Behandlingen får givetvis inte heller gå utöver vad som är föreskrivet för sådan verksamhet enligt polisdatalagen (1998:622).
Enligt personuppgiftslagen är det som huvudregel förbjudet att behandla vissa känsliga uppgifter. Kriminalvården kan dock undantagsvis ha ett befogat intresse av att få behandla känsliga personuppgifter för att kunna bedriva en effektiv och rättssäker verksamhet och upprätthålla de säkerhetskrav som är motiverade. De närmare förutsättningarna härför kan ytterligare behöva begränsas och preciseras under det kommande förordningsarbetet. Av den föreslagna lagen följer att endast om regeringen föreskriver det får känsliga personuppgifter användas som sökbegrepp. Ytterligare en begränsning är att detta får ske endast för ett av de annars tillåtna ändamålen, nämligen för att upprätthålla säkerheten och förebygga brott. Utgångspunkten måste vara att medgivande till sådan användning endast kan övervägas för vissa mycket väldefinierade behov där kriminalvården annars inte skulle kunna fullgöra sin skyldighet att upprätthålla säkerheten och förebygga brott.
De i lagen angivna ändamålen med behandling av personuppgifter begränsar antalet myndigheter inom kriminalvården som kan få tillgång till uppgifterna till de som har ett uttalat behov av att behandla sådana. Av den föreslagna lagen framgår vidare att direktåtkomst till personuppgifter skall vara förbehållen de personer som på grund av sina arbetsuppgifter inom kriminalvården behöver få tillgång till uppgifterna. Redan i dag begränsas t.ex. åtkomst till journaluppgifter i anstalts-registret till personal som är engagerad i behandlingen av klienten och till vad denna personal behöver för att kunna fullgöra sitt arbete. I det fortsatta förordnings- och föreskriftsarbetet bör det på samma sätt anvisas vilka personer som skall ha behörighet att få direktåtkomst till personuppgifter. Därvid bör övervägas om antalet personer som bör ha tillgång till uppgifterna ytterligare kan begränsas.
Ur integritetssynpunkt viktiga begränsningar som också bör nämnas i detta sammanhang är personuppgiftslagens krav på att den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de uppgifter som behandlas mot missbruk (31 § personuppgiftslagen). Det nya systemet för behandling av personuppgifter inom kriminalvården måste enligt regeringens uppfattning bygga på en hög grad av säkerhet och förutsätta att det finns behörighetskoder för användarna. I efterhand skall det alltid gå att se vilka som har varit inne i databaserna. Även andra tekniska begränsningar i åtkomsten måste övervägas.
När det gäller gallring anges i den föreslagna lagen den tid då uppgifter senast skall gallras. Många uppgifter bör kunna gallras betydligt tidigare. Regeringen, eller den myndighet som regeringen bestämmer, skall därför kunna meddela föreskrifter om kortare gallringstider. I det fortsatta förordnings- och föreskriftsarbetet kommer särskilt övervägas kortare gallringstider, t.ex. i fråga om särskilt känsliga personuppgifter och uppgifter om andra personer än de som är föremål för tvångsbehandling eller misstänkta för brott. Exempelvis torde det som regel saknas anledning att annat än för en kortare tid behandla uppgifter om någon som endast transporteras genom kriminalvårdens försorg med anledning av ett avvisningsbeslut. Redan i dag förekommer relativt korta gallringstider, t.ex. tre månader efter utskrivning beträffande häktesregistret, och det är även fortsättningsvis utgångspunkten att gallringstiderna skall minimeras.
Regeringen bedömer att den nya regleringen kommer att innebära att kriminalvården ges möjlighet att bedriva en mer effektiv och rättssäker verksamhet med ett rimligt beaktande av integritetsaspekter. Målsättningen med den nu föreslagna regleringen är att den skall svara mot de krav som IT-samhället ställer på en effektiv och rättssäker verksamhet. Genom en tydlig reglering får man en bättre kontroll över flödet av personuppgifter inom kriminalvården. Tillgängligheten till personuppgifter bör också minska eftersom uppgifter som nu förekommer i det manuella aktsystemet kommer att kunna behandlas automatiserat och det för åtkomst kommer att krävas behörighetskoder.
Regeringen vill också betona att möjligheterna att behandla personuppgifter inte bara är av intresse för kriminalvården utan även för den enskilde. Inom varje rättsstat är det en fundamental princip att en myndighets åtgärder mot en enskild skall kunna granskas i efterhand. I synnerhet gäller det sådan verksamhet som kriminalvården bedriver, där enskilda utsätts för tvångsbehandling från samhällets sida.
Slutligen vill regeringen framhålla vikten av att de nya författningarna om behandling av personuppgifter inom kriminalvården följs upp med en analys av dess samlade konsekvenser från integritetssynpunkt. Regeringen kommer att återkomma till frågan.
8 Kostnader och ikraftträdande
Den föreslagna regleringen kommer att ersätta de tillstånd från Datainspektionen på vilka delar av den nuvarande registerföringen vilar. Författningsförslaget kommer vidare att ersätta den reglering som för närvarande görs i förordningen (1970:517) om rättsväsendets informationssystem. I första hand är det alltså frågan om att reglera sådana register som redan nu förs inom kriminalvården. Det medför inga kostnader.
Avgränsningen av de ändamål för vilka uppgifter får behandlas innebär dock att det blir möjligt att effektivisera verksamheten genom att utöka den automatiserade behandlingen och ersätta vissa rutiner som för närvarande utförs manuellt. På sikt bör kriminalvården med den nya lagstiftningen kunna bygga upp ett datasystem som effektiviserar verksamheten avsevärt, t.ex. genom att vissa uppgifter om en person endast behöver registreras en gång och inte, som för närvarande, i varje register. Genom att det blir lättare att samla in, bearbeta och analysera den information som behövs för att upprätthålla säkerheten eller utvärdera verksamheten kan också vissa effektivitetsvinster göras. Regleringen ligger dessutom helt i linje med den pågående och planerade IT-utvecklingen inom kriminalvården. Lagförslaget kan därför inte anses medföra några nya kostnader.
Den lag som förslås bör lämpligen träda i kraft den 1 oktober 2001 när övergångsbestämmelserna till personuppgiftslagen upphör att gälla.
9 Författningskommentar
1 §
Paragrafen reglerar lagens tillämpningsområde. Lagen skall tillämpas i den egentliga kriminalvårdsverksamheten, dvs. i den verksamhet som rör klienterna samt vid transporter av andra frihetsberövade personer som kriminalvårdens transporttjänst ombesörjer. Kriminalvårdens interna administration faller således utanför tillämpningsområdet. Den föreslagna lagen omfattar, precis som personuppgiftslagen (1998:204), dels all automatiserad behandling av personuppgifter, dels behandling av personuppgifter i manuella register. Det framgår av paragrafens andra stycke.
I första stycket förekommer begreppet behandling av personuppgifter. Det definieras i 3 § personuppgiftslagen. Med behandling avses enligt personuppgiftslagen varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Punkterna 1-2 avser personer som ännu inte har dömts för brott, dvs. personer som är föremål för personundersökning och häktade.
Punkterna 3-7 avser personer som undergår kriminalvårdspåföljd, dvs. personer dömda till fängelse, skyddstillsyn, villkorlig dom med föreskrift om samhällstjänst samt personer som har ålagts fängelse som förvandlingsstraff för böter eller vite eller personer som på grund av utländsk dom skall verkställa sådan påföljd som avses i någon av punkterna 3-6 i Sverige.
Åttonde punkten tar sikte på personer som är intagna i häkte eller kriminalvårdsanstalt på annan grund än att de är häktade, dömda till fängelse eller ålagda fängelse som förvandlingsstraff för böter eller vite. Det kan t.ex. gälla personer som förvaras i häkte för att de är anhållna, omhändertagna enligt utlänningslagen (1989:529), lagen (1990:52) om vård av unga, lagen (1988:870) om vård av missbrukare, lagen (1976:511) om berusade personer m.m. eller personer som är intagna i kriminalvårdsanstalt för att de tagits i förvar enligt utlänningslagen eller personer som är dömda till sluten psykiatrisk vård men som ännu inte har överlämnats etc.
Nionde punkten avser personer som kriminalvårdens transporttjänst transporterar för andra samhällsorgans räkning. Polisen ansvarar t.ex. för verkställande av avvisningsbeslut i asylärenden, men förpassningen sker oftast genom kriminalvårdens försorg. En liknande uppgiftsfördelning råder när polisen skall lämna handräckning vid transporter som genomförs med stöd av bl.a. lagen om vård av missbrukare, lagen med särskilda bestämmelser om vård av unga, lagen om psykiatrisk tvångsvård och lagen om rättspsykiatrisk vård.
Andra personer än de som är föremål för tvångsbehandling enligt punkterna 1-8, t.ex. advokater, besökare och anhöriga, kan indirekt komma att omfattas av lagen i samband med behandling av personuppgifter rörande en person som är föremål för kriminalvård eller motsvarande. Vad gäller behandlingen av dessa personuppgifter, se avsnitt 7.5.1.
2 §
Paragrafen innehåller en erinran om att personuppgiftslagen (1998:204), gäller om inte annat är föreskrivet. Detta följer i och för sig redan av personuppgiftslagen. Bestämmelsen är således inte nödvändig för att reglera förhållandet mellan den föreslagna lagen och personuppgifts-lagen. Bestämmelsen har tillkommit i klarläggande syfte.
3 §
Paragrafen, som närmare motiveras i avsnitt 7.4, beskriver de ändamål för vilka en myndighet inom kriminalvården får behandla person-uppgifter.
För det första skall uppgifter få behandlas om det behövs för att en myndighet skall kunna fullgöra sina uppgifter i enlighet vad som föreskrivs i lag eller förordning (se punkten 1). Bestämmelsen innebär att de författningar som reglerar kriminalvården blir avgörande för när uppgifter får behandlas. En kortfattad redogörelse för kriminalvårdens uppgifter finns i avsnitt 4. Som exempel kan nämnas klient-administration, bevakning av att personer som dömts till frihets-berövande påföljd verkställer sina straff, bevakning av händelser vid verkställighet av frivårdspåföljd och utplacering på anstalt.
Uppgifter skall vidare få behandlas för att tillgodose rättsväsendets myndigheters behov av information om verkställighet av påföljd och häktning (se punkten 2).
Vidare skall behandling få ske för att upprätthålla säkerheten och förebygga brott (se punkten 3). Behandling av personuppgifter för att upprätthålla säkerhet eller för att förebygga brott får bara ske under den tid som vissa kriminalvårdsåtgärder pågår (åtgärder enligt 1 § första stycket 2-9). Detta innebär t.ex. att uppgifter om den som varit häktad men som senare försatts på fri fot eller om den som ådömts påföljd men till fullo har undergått denna inte får behandlas. Om den enskilde därefter åter blir föremål för kriminalvård får dock en tidigare uppgift om honom ånyo behandlas under förutsättning att behandlingen är förenlig med ändamålet och uppgiften ännu inte har gallrats (beträffande gallring se 7 §).
Av andra stycket framgår att de uppgifter som behandlas för något av de ändamål lagen anger också får användas för tillsyn, planering, uppföljning och kvalitetssäkring av verksamheten.
Lagen innehåller inga särskilda bestämmelser om vilka uppgifter som får behandlas för ett visst ändamål. De angivna ändamålen utgör ramen för vilka uppgifter som får behandlas. Av 11 § framgår att regeringen, eller den myndighet regeringen bestämmer, får meddela föreskrifter som begränsar såväl ändamålen som de uppgifter som får behandlas för ett visst ändamål. I fråga om känsliga uppgifter gäller särskilda begränsningar (se 5 §)
Med en myndighet inom kriminalvården avses Kriminalvårdsstyrelsen, de lokala kriminalvårdsmyndigheterna, Kriminalvårdens Transporttjänst, Kriminalvårdsnämnden och övervakningsnämnderna (jfr 1 § förordningen [1990:1018] med instruktion för Kriminalvårdsverket).
4 §
I paragrafen regleras vem som skall vara personuppgiftsansvarig. Detta utvecklas närmare i avsnitt 7.6. Innebörden av ansvaret framgår av personuppgiftslagen (1998:204). Den personuppgiftsansvarige ansvarar bl.a. för att de grundläggande kraven för när uppgifter får behandlas är uppfyllda, att information lämnas till den registrerade, att rättelse av felaktiga uppgifter sker och att lämpliga säkerhetsåtgärder vidtas.
5 §
Bestämmelsen har utformats i enlighet med Lagrådets förslag. Paragrafen, som behandlas i avsnitt 7.5.2, innebär ett undantag från det i personuppgiftslagen intagna förbudet mot att behandla vissa känsliga personuppgifter.
I första stycket slås det fast att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexuell läggning.
I andra stycket anges att om uppgifter behandlas på annan grund får uppgifterna kompletteras med sådana uppgifter som avses i första stycket, om det är oundgängligen nödvändigt för syftet med behandlingen.
Det innebär att behandlingen inte bara skall vara förenlig med något av de ändamål som anges i 3 § utan också att det skall föreligga en särskild avsikt med behandlingen. Denna avsikt, behandlingens syfte, skall dessutom inte kunna tillgodoses på annat sätt än genom behandling av den känsliga uppgiften och det skall härutöver framstå som oundgängligen nödvändigt att behandlingen av den känsliga uppgiften kommer till stånd. Möjligheten att behandla känsliga uppgifter bör följaktligen tolkas restriktivt.
I tredje stycket har angetts att personuppgifter enligt första stycket inte får användas som sökbegrepp om inte regeringen har föreskrivit annat. Sådana föreskrifter får meddelas endast för att upprätthålla säkerheten och förebygga brott.
6 §
I paragrafen behandlas direktåtkomst till de uppgifter som behandlas. Med direktåtkomst avses i detta sammanhang att någon på egen hand kan få tillgång till automatiserade uppgifter, dock utan att själv kunna bearbeta eller på annat sätt påverka uppgifterna. Användaren ställer frågor och får svar och kan ställa ytterligare frågor med anledning av svaren.
Endast den som på grund av sitt arbete inom kriminalvården behöver tillgång till uppgifterna får ha direktåtkomst till uppgifter som behandlas automatiserat. Det innebär att den personuppgiftsansvarige måste göra en bedömning av vilka personuppgifter som respektive befattningshavare behöver ha tillgång till för att kunna utföra sitt arbete. Åtkomsten kan avse sökningar från den egna myndigheten och/eller från annan myndighet inom kriminalvården.
Av paragrafens andra stycke framgår att frågan om direktåtkomst till uppgifter som får lämnas ut till annan myndighet regleras i 10 §.
7 §
Personuppgiftslagen (1998:204) innehåller inga uttryckliga bestämmelser om gallring. I paragrafen, som motiveras i avsnitt 7.10, har tagits in en bestämmelse om att uppgifter om en person som behandlas enligt denna lag skall gallras senast tio år efter det att den senaste registrerade påföljden eller åtgärden helt har verkställts eller upphört.
Lagen anger den längsta tid under vilken uppgifter om en person får behandlas. Det innebär inte att alla uppgifter får bevaras under så lång tid. Med hänsyn till vikten av att integritetskänsliga uppgifter inte bevaras längre än nödvändigt anger 11 § att regeringen, eller den myndighet regeringen bestämmer, meddelar närmare föreskrifter om gallring.
I andra stycket har angetts att uppgifter utan hinder av vad som föreskrivs i första stycket får bevaras för historiska, statistiska eller vetenskapliga ändamål.
8 §
Bestämmelsen har utformats i enlighet med Lagrådets förslag. Paragrafen behandlar rättelse och skadestånd och hänvisar till personuppgiftslagens bestämmelser. Bestämmelser om rättelse finns i 28 § personuppgiftslagen (1998:204) och bestämmelser om skadestånd i 48 §. Bestämmelsen motiveras i avsnitt 7.13.
9 §
Paragrafen, som behandlats i avsnitt 7.9.1, innehåller bestämmelser om utlämnande av uppgifter för att framställa rättsstatistik. Vilka uppgifter som behövs för rättsstatistiken kommer regeringen att föreskriva om i förordning. För närvarande framgår det av 28 § förordningen (1970:517) om rättsväsendets informationssystem.
10 §
Paragrafen innehåller en bestämmelse om att regeringen bl.a. meddelar föreskrifter om att personuppgifter får lämnas ut till myndighet även i andra fall än som sägs i 9 § samt vilka myndigheter som vid utlämnande får ha direktåtkomst till personuppgifter. Bestämmelsen behandlas i avsnitt 7.9.2.
I andra stycket anges att direktåtkomst till personuppgifter enligt första stycket skall vara förbehållen de personer som på grund av sina arbetsuppgifter behöver ha tillgång till uppgifterna (jfr 6 §).
11 §
Bestämmelsen har utformats i enlighet med Lagrådets förslag. Paragrafen innehåller en bestämmelse om att regeringen eller den myndighet regeringen bestämmer meddelar vissa föreskrifter. Regeringen, eller den myndighet regeringen föreskriver kan begränsa såväl de ändamål för vilka behandling är tillåten som de uppgifter som får behandlas för ett visst ändamål. Detta har närmare motiverats i avsnitt 7.5.
Regeringen, eller den myndighet regeringen föreskriver, får också meddela närmare föreskrifter om gallring och om utlämnande av uppgifter om rättsstatistik. Vidare får föreskrifter meddelas om direktåtkomst.
12 §
Paragrafen innehåller en bestämmelse om att en myndighets beslut om rättelse och om information enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol.
I lagens andra stycke har angetts att prövningstillstånd krävs vid överklagande till kammarrätt.
Lagförslagen i departementspromemorian Behandling av personuppgifter inom kriminalvården (Ds 2000:50)
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter i kriminalvårdens verksamhet avseende personer som är
1. föremål för personutredning,
2. häktade,
3. dömda till fängelse,
4. dömda till skyddstillsyn,
5. dömda till villkorlig dom med föreskrift om samhällstjänst,
6. ålagda förvandlingsstraff för böter, eller
7. personer som på grund av utländsk dom skall verkställa en sådan påföljd som avses i 1-6 i Sverige, eller
8. personer som på annan grund är intagna i häkte eller anstalt.
Lagen gäller endast om behandlingen av personuppgifterna är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning efter särskilda kriterier.
Förhållandet till personuppgiftslagen
2 § Om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter inom kriminalvården.
Ändamål med behandlingen
3 § En myndighet inom kriminalvården får behandla personuppgifter bara om det behövs för att
1. myndigheten skall kunna fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning,
2. underlätta tillgången till sådana uppgifter om verkställighet av straff som rättsväsendets myndigheter behöver, eller
3. upprätthålla säkerheten och förebygga brott under den tid som verkställigheten pågår.
Uppgifter som behandlas enligt första stycket får också användas för tillsyn, planering, uppföljning och kvalitetssäkring av verksamheten.
Personuppgiftsansvar
4 § Den myndighet som utför en behandling av personuppgifter är personuppgiftsansvarig. Kriminalvårdsstyrelsen är dock personuppgifts-ansvarig för behandling av uppgifter i centrala register som förs gemensamt för myndigheterna inom kriminalvården.
Behandling av känsliga uppgifter
5 § Sådana uppgifter som avses i 13 § personuppgiftslagen (1998:204) får behandlas om det är oundgängligen nödvändigt för syftet med behandlingen.
Sambearbetning
6 § Personuppgifter som behandlas för olika ändamål enligt denna lag får sambearbetas.
Direktåtkomst
7 § Direktåtkomst till de uppgifter som behandlas enligt denna lag skall vara förbehållen de personer som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.
Gallring
8 § Uppgifter om en person som behandlas i ett register skall gallras senast fem år efter det att den senaste registrerade påföljden om honom eller henne helt har verkställts eller upphört.
Sådana uppgifter som behövs för uppföljning och kvalitetssäkring av verksamheten får dock behandlas under ytterligare fem år.
Rättelse och skadestånd
9 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av denna lag.
Bemyndiganden
10 § Föreskrifter om i vilken utsträckning uppgifter som behandlas enligt denna lag skall lämnas ut till andra myndigheter meddelas av regeringen.
11 § Regeringen, eller den myndighet regeringen bestämmer, får meddela föreskrifter om
1. begränsningar av de i 3 § angivna ändamålen,
2. begränsningar av de uppgifter som får behandlas för ett visst ändamål,
3. när gallring skall ske,
4. att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Denna lag träder i kraft den 1 oktober 2001.
Remissinstanser som yttrat sig över departements-promemorian Behandling av personuppgifter inom kriminalvården
Riksdagens ombudsmän, Hovrätten för Övre Norrland, Nacka tingsrätt, Kammarrätten i Sundsvall, Länsrätten i Östergötlands län, Justitiekanslern, Domstolsverket, Riksåklagaren, Rikspolisstyrelsen, Kriminalvårdsstyrelsen, Kriminalvårdsnämnden, Övervakningsnämnden Malmö Norr, Brottsförebyggande rådet, Datainspektionen, Riksrevisionsverket, Riksskatteverket, Riksarkivet, Facket för Service och Kommunikation (SEKO), Sveriges Advokatsamfund och Svenska avdelningen av internationella juristkommissionen.
Akademikerförbundet SSR, Statstjänstemannaförbundet-OFR och Kriminellas revansch i samhället har beretts tillfälle att yttra sig men har avstått från det.
Lagrådsremissens lagtext
Förslag till lag om behandling av personuppgifter inom kriminalvården
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter i kriminalvårdens verksamhet för personer
1. som är föremål för personutredning,
2. som är häktade,
3. som är dömda till fängelse,
4. som är dömda till skyddstillsyn,
5. som är dömda till villkorlig dom med föreskrift om samhällstjänst,
6. som är ålagda förvandlingsstraff för böter,
7. som på grund av utländsk dom skall verkställa en sådan påföljd som avses i 3-6 i Sverige,
8. som på annan grund är intagna i häkte eller anstalt, eller
9. som annars transporteras av kriminalvårdens transporttjänst.
Lagen gäller endast om behandlingen av personuppgifterna är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning efter särskilda kriterier.
Förhållandet till personuppgiftslagen
2 § Om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter inom kriminalvården.
Ändamål med behandlingen
3 § En myndighet inom kriminalvården får behandla personuppgifter bara om det behövs för att
1. myndigheten skall kunna fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning,
2. underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver, eller
3. upprätthålla säkerheten och förebygga brott under den tid som en åtgärd enligt 1 § första stycket 2-9 pågår.
Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för tillsyn, planering, uppföljning och kvalitetssäkring av verksamheten.
Personuppgiftsansvar
4 § Den myndighet som utför en behandling av personuppgifter är personuppgiftsansvarig. Kriminalvårdsstyrelsen är dock personuppgifts-ansvarig för behandling av uppgifter som sker gemensamt för myndigheterna inom kriminalvården.
Behandling av känsliga uppgifter
5 § Personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får behandlas tillsammans med andra uppgifter om det är oundgängligen nödvändigt för syftet med behandlingen.
Personuppgifter enligt första stycket får inte användas som sökbegrepp om inte regeringen har föreskrivit det. Sådana föreskrifter får meddelas endast för det ändamål som anges i 3 § första stycket 3.
Sambearbetning
6 § Personuppgifter som behandlas för olika ändamål enligt denna lag får sambearbetas.
Direktåtkomst
7 § Direktåtkomst till de personuppgifter som behandlas enligt denna lag skall vara förbehållen de personer som på grund av sina arbetsuppgifter inom kriminalvården behöver tillgång till uppgifterna.
I fråga om direktåtkomst till uppgifter som får lämnas ut till en annan myndighet gäller 11§.
Gallring
8 § Personuppgifter som behandlas enligt denna lag skall gallras så snart de inte behövs för de ändamål de insamlats för, dock senast tio år efter det att den senaste registrerade påföljden eller åtgärden om honom eller henne helt har verkställts eller upphört.
Trots vad som föreskrivs i första stycket får uppgifter bevaras för historiska, statistiska eller vetenskapliga ändamål.
Rättelse och skadestånd
9 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av denna lag.
Utlämnande av uppgifter
10 § Uppgifter som är nödvändiga för att framställa rättsstatistiken skall lämnas till den myndighet som ansvarar för att framställa sådan statistik.
Ytterligare föreskrifter
11§ Regeringen meddelar föreskrifter om
1. att personuppgifter får lämnas ut till myndighet även i andra fall än som sägs i 10 §,
2. vilka myndigheter som därvid får ha direktåtkomst till personuppgifter, samt
3. användande av sökbegrepp enligt 5 § andra stycket.
Direktåtkomst till personuppgifter enligt första stycket skall vara förbehållen de personer vid myndigheten som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.
12 § Regeringen, eller den myndighet regeringen bestämmer, meddelar föreskrifter om
1. begränsningar av de i 3 § angivna ändamålen,
2. begränsningar av de uppgifter som får behandlas för ett visst ändamål,
3. när sambearbetning får ske,
4. direktåtkomst enligt 7 § första stycket,
5. när gallring skall ske, samt
6. utlämnande av uppgifter enligt 10 §.
Överklagande
13 § En myndighets beslut om rättelse och om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 1 oktober 2001.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2001-04-10
Närvarande: f.d. justitierådet Staffan Vängby, justitierådet Leif Thorsson, regeringsrådet Rune Lavin.
Enligt en lagrådsremiss den 5 april 2001 (Justitiedepartementet) har regeringen beslutat inhämta Lagrådets yttrande över förslag till lag om behandling av personuppgifter inom kriminalvården.
Förslaget har inför Lagrådet föredragits av departementsrådet Nils Cederstierna.
Förslaget föranleder följande yttrande av Lagrådet:
5 §
Bestämmelserna i första stycket har visst samband med förbudet mot åsiktsregistrering i 2 kap. 3 § första stycket regeringsformen. De har en motsvarighet i 5 § polisdatalagen. Utformningen av sistnämnda paragraf står emellertid i bättre samklang med grundlagsbestämmelsen än den här föreslagna lydelsen som dessutom språkligt är ägnad att föranleda missförstånd. Lagrådet förordar därför att det föreslagna första stycket i paragrafen ersätts av två nya stycken av följande lydelse.
"Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexuella läggning.
Om uppgifter om en person behandlas på annan grund får uppgifterna kompletteras med sådana uppgifter som avses i första stycket, om det är oundgängligen nödvändigt för syftet med behandlingen."
Det föreslagna andra stycket blir därmed tredje stycket. Hänvisningen till första stycket behöver inte ändras.
6 §
I paragrafen föreslås att personuppgifter som behandlas för olika än-damål enligt lagen får sambearbetas. Enligt EG:s dataskyddsdirektiv (artikel 6.1 b) skall personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål. Den föreslagna lagen torde kunna sägas angå statens verksamhet på straffrättens område och direktivet gäller inte behandlingen av personuppgifter i sådan verksamhet (artikel 3.2 första strecksatsen). Personuppgiftslagen gäller emellertid utan motsvarande begränsning. Enligt 9 § första stycket c) och d) nämnda lag får personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål och personuppgifter får inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. I lagkommentaren sägs att sistnämnda bestämmelse, som ger uttryck för den s.k. finalitetsprincipen, förmodligen är den viktigaste i personuppgiftslagen (Öman-Lindblom, Personuppgiftslagen. En kommentar, 1998 s. 59). En sådan princip bör uppenbarligen inte frångås utan tvingande skäl. Lagrådet känner inte till att en sådan bestämmelse som den föreslagna tidigare införts under den omfattande följdlagstiftning som personuppgiftslagen har givit anledning till. Regeringens motivuttalanden ger uttryck för att bestämmelsen egentligen inte behövs (det finns "inte anledning att befara att sambearbetning kan komma att innebära att behandlingar sker för oförenliga ändamål"). Onödiga varianter på personuppgiftlagens bestämmelser bör inte införas i följdlagstiftningen. Lagrådet förordar att paragrafen utgår.
9 §
I bestämmelsen används uttrycket "enligt föreskrifter som har meddelats med stöd av denna lag". Det sägs på flera ställen i motiveringen att regeringen eller den myndighet regeringen föreskriver bör "bemyndigas" att meddela föreskrifter av ett visst slag. Den föreslagna lagtexten (11 och 12 §§) innehåller dock inte några formliga bemyndiganden. I stället har bestämmelserna givits karaktären av informationsregler. Den sistnämnda konstruktionen är korrekt, eftersom regeringens rätt att meddela ifrågavarande föreskrifter faller inom ramen för den s.k. restkompetensen enligt 8 kap. 13 § första stycket 2 regeringsformen och således inte förutsätter något bemyndigande i lag. Däremot är uttrycket "enligt föreskrifter som har meddelats med stöd av denna lag" inte adekvat och bör därför bytas ut mot exempelvis formuleringen "enligt föreskrifter som har meddelats i anslutning till denna lag".
12 §
Enligt punkten 3 kan föreskrifter meddelas om när sambearbetning får ske. Bestämmelsen torde inte avse annan sambearbetning än sådan som behandlas i den föreslagna 6 §. Om denna såsom Lagrådet förordar får utgå bör därför även punkten 3 i förevarande paragraf utgå.
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 26 april 2001
Närvarande: statsministern Persson, ordförande, och statsråden Hjelm-Wallén, Thalén, Winberg, Ulvskog, Lindh, Sahlin, Östros, Messing, Engqvist, Rosengren, Larsson, Wärnersson, Lövdén, Ringholm, Bodström
Föredragande: statsrådet Bodström
Regeringen beslutar proposition 2000/01:126 Behandling av personuppgifter inom kriminalvården
1
Prop. 2000/01:126
58
Prop. 2000/01:126
58
59
Prop. 2000/01:126
Bilaga 1
Prop. 2000/01:126
Bilaga 1
Prop. 2000/01:126
Bilaga 2
Prop. 2000/01:126
Bilaga 3
Prop. 2000/01:126
Bilaga 3
Prop. 2000/01:126
Bilaga 4
Prop. 2000/01:126
61
58