Regeringskansliets rättsdatabaser

Regeringskansliets rättsdatabaser innehåller lagar, förordningar, kommittédirektiv och kommittéregistret.

Testa betasidan för Regeringskansliets rättsdatabaser

Söker du efter lagar och förordningar? Testa gärna betasidan för den nya webbplatsen för Regeringskansliets rättsdatabaser.

Klicka här för att komma dit

 
Post 1302 av 7186 träffar
Propositionsnummer · 2017/18:269 · Hämta Doc · Hämta Pdf
Brottsdatalag - kompletterande lagstiftning Prop. 2017/18:269
Ansvarig myndighet: Justitiedepartementet
Dokument: Prop. 269
Regeringens proposition 2017/18:269 Brottsdatalag - kompletterande lagstiftning Prop. 2017/18:269 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 14 juni 2018 Stefan Löfven Morgan Johansson (Justitiedepartementet) Propositionens huvudsakliga innehåll EU:s nya dataskyddsdirektiv kommer i huvudsak att genomföras genom brottsdatalagen. Den lagen kommer att vara generellt tillämplig inom det område som direktivet reglerar men subsidiär i förhållande till annan lag eller förordning. För myndigheterna i rättskedjan krävs viss särreglering som även i fortsättningen kommer att finnas i särskilda registerförfattningar. Regeringen föreslår nya lagar om personuppgiftsbehandling på brottsdatalagens område för polisen, Tullverket, Kustbevakningen, Skatteverket, åklagarväsendet, domstolarna och kriminalvården. Lagarna ska gälla utöver brottsdatalagen och enbart innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från den lagen. Regeringen föreslår också ändringar i andra lagar som en följd av att de nya registerförfattningarna beslutas. De nya lagarna och lagändringarna föreslås träda i kraft den 1 januari 2019. Innehållsförteckning 1 Förslag till riksdagsbeslut 10 2 Lagtext 11 2.1 Förslag till lag om polisens behandling av personuppgifter inom brottsdatalagens område 11 2.2 Förslag till lag om Tullverkets behandling av personuppgifter inom brottsdatalagens område 28 2.3 Förslag till lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område 36 2.4 Förslag till lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område 43 2.5 Förslag till lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område 50 2.6 Förslag till lag om domstolarnas behandling av personuppgifter inom brottsdatalagens område 55 2.7 Förslag till lag om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område 58 2.8 Förslag till lag om ändring i rättegångsbalken 62 2.9 Förslag till lag om ändring i polislagen (1984:387) 63 2.10 Förslag till lag om ändring i säkerhetsskyddslagen (1996:627) 64 2.11 Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen 65 2.12 Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem 66 2.13 Förslag till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet 67 2.14 Förslag till lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang 69 2.15 Förslag till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet 70 2.16 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) 72 2.17 Förslag till lag om ändring i lagen (2014:400) om Polismyndighetens elimineringsdatabas 77 2.18 Förslag till lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang 80 2.19 Förslag till lag om ändring i domstolsdatalagen (2015:728) 83 2.20 Förslag till lag om ändring i utlänningsdatalagen (2016:27) 84 2.21 Förslag till lag om ändring i tullagen (2016:253) 85 2.22 Förslag till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete 86 2.23 Förslag till lag om ändring i säkerhetsskyddslagen (2018:585) 90 2.24 Förslag till lag om ändring i lagen (2018:591) om ändring i offentlighets- och sekretesslagen (2009:400) 92 3 Ärendet och dess beredning 94 4 Befintlig lagstiftning måste anpassas 95 4.1 Dataskyddsreformen 95 4.2 Utgångspunkter för anpassningen till brottsdatalagen 96 4.3 Merparten av bestämmelserna är förenliga med dataskyddsdirektivet 96 4.4 Ändringslagar eller nya lagar? 97 4.5 Lagarnas tillämpningsområden 98 4.6 Ska registerförfattningarna reglera vissa frågor som inte rör dataskydd? 100 5 Generella förändringar 101 5.1 Liknande behov av förändringar 101 5.2 En ny lagteknisk struktur 101 5.3 Bestämmelser som inte längre behövs 103 5.3.1 Undantag från viss informationsskyldighet 103 5.3.2 Syftet med lagarna 104 5.3.3 Behandling av känsliga personuppgifter 105 5.3.4 Särskilda upplysningar 107 5.3.5 Hänvisningar till offentlighets- och sekretesslagen 112 5.4 Behov av nya bestämmelser och anpassningar 112 5.4.1 Uppgifter om juridiska personer 112 5.4.2 Administrativa sanktionsavgifter 113 5.4.3 Skadestånd 116 5.4.4 Överklagande 116 5.4.5 Uppgifter till rättsstatistiken 118 5.4.6 Terminologin anpassas 118 5.5 Särskilt om längsta tid för behandling av personuppgifter 119 5.5.1 Struktur och terminologi 119 5.5.2 Bestämmelser som innebär att behandling inte längre får ske för något ändamål 122 5.5.3 Bestämmelser som innebär att behandling inte längre får ske för ändamål inom registerförfattningens tillämpningsområde 125 5.5.4 Omständigheter som påverkar längsta tid för behandling i underrättelseverksamhet 128 5.6 Särskilt om elektroniskt utlämnande 129 5.6.1 Olika former av elektroniskt utlämnande 129 5.6.2 Behovet av att kommunicera elektroniskt 130 5.6.3 Utlämnande genom direktåtkomst 132 5.6.4 Annat elektroniskt utlämnande tillåts i större utsträckning 133 5.7 Rätt att meddela föreskrifter 137 6 Behandling för nya ändamål 138 6.1 Bestämmelser om rättslig grund och ändamål 138 6.2 En ny ordning i brottsdatalagen 139 6.3 Bör sekundära ändamålsbestämmelser behållas? 139 7 Polisens brottsdatalag 143 7.1 Behovet av anpassning till brottsdatalagen 143 7.1.1 Nuvarande reglering 143 7.1.2 Lagens namn 143 7.2 Allmänna bestämmelser 144 7.2.1 Tillämpningsområdet 144 7.2.2 Personuppgiftsansvar 149 7.2.3 En bestämmelse om hur lagen är uppbyggd 150 7.3 Grundläggande bestämmelser om behandling 151 7.3.1 Rättsliga grunder och behandling för nya ändamål 151 7.3.2 Behandling av biometriska och genetiska uppgifter 153 7.3.3 Sökning på känsliga personuppgifter 154 7.4 Personuppgifter från transportföretag 157 7.4.1 Personuppgiftsbehandlingen bör regleras i polisens brottsdatalag 157 7.4.2 Begränsningar i möjligheterna att behandla personuppgifter 159 7.4.3 Uppgifter från transportföretag får göras gemensamt tillgängliga 161 7.4.4 Hur länge personuppgifterna får behandlas 161 7.5 Gemensamt tillgängliga uppgifter 162 7.5.1 Nya kategorier av personuppgifter får göras gemensamt tillgängliga 162 7.5.2 Sökning i gemensamt tillgängliga uppgifter 163 7.6 Längsta tid för behandling av uppgifter i viss underrättelseverksamhet 167 7.7 Personuppgiftsbehandling i särskilda register 168 7.7.1 Dna-register 168 7.7.2 Fingeravtrycks- och signalementsregister 168 7.8 Personuppgiftsbehandling för forensiska ändamål 169 7.8.1 Vad är forensiska ändamål? 169 7.8.2 Regleringen av forensiska ändamål behålls 170 7.8.3 Behandling för nya ändamål 170 7.8.4 Behandling av känsliga personuppgifter 172 8 Tullverkets brottsdatalag 173 8.1 Behovet av anpassning till brottsdatalagen 173 8.1.1 Nuvarande reglering 173 8.1.2 Lagens namn 173 8.2 Tillämpningsområdet 174 8.3 Grundläggande bestämmelser om behandling 175 8.3.1 Rättsliga grunder och behandling för nya ändamål 175 8.3.2 Behandling av biometriska och genetiska uppgifter 177 8.3.3 Sökning på känsliga personuppgifter 177 8.4 Personuppgifter från transportföretag 180 8.4.1 Reglerna om personuppgiftsbehandling för uppgifter från transportföretag samlas 180 8.4.2 En i huvudsak oförändrad reglering 182 8.5 Gemensamt tillgängliga uppgifter 184 8.5.1 Sökning i gemensamt tillgängliga uppgifter 184 8.5.2 Uppgifter från transportföretag får göras gemensamt tillgängliga i vissa fall 186 8.6 Längsta tid för behandling av uppgifter i viss underrättelseverksamhet 187 9 Kustbevakningens brottsdatalag 187 9.1 Behovet av anpassning till brottsdatalagen 187 9.1.1 Nuvarande reglering 187 9.1.2 Kustbevakningsdatalagen delas upp 188 9.2 Tillämpningsområdet 189 9.3 Grundläggande bestämmelser om behandling 191 9.3.1 Rättsliga grunder och behandling för nya ändamål 191 9.3.2 Behandling av biometriska och genetiska uppgifter 193 9.3.3 Sökning på känsliga personuppgifter 193 9.4 Gemensamt tillgängliga uppgifter 195 9.4.1 Behandling för diarieföring ska undantas 195 9.4.2 En ny kategori av personuppgifter får göras gemensamt tillgängliga 195 9.4.3 Sökning i gemensamt tillgängliga uppgifter 196 10 Skatteverkets brottsdatalag 197 10.1 Behovet av anpassning till brottsdatalagen 197 10.1.1 Nuvarande reglering 197 10.1.2 Lagens namn 197 10.2 Tillämpningsområdet 198 10.3 Grundläggande bestämmelser om behandling 199 10.3.1 Rättsliga grunder och behandling för nya ändamål 199 10.3.2 Behandling av biometriska och genetiska uppgifter 200 10.3.3 Sökning på känsliga personuppgifter 201 10.4 Gemensamt tillgängliga uppgifter 202 11 Åklagarväsendets brottsdatalag 203 11.1 Behovet av anpassning till brottsdatalagen 203 11.1.1 Nuvarande reglering 203 11.1.2 En särskild registerlagstiftning inom brottsdatalagens tillämpningsområde 204 11.2 Tillämpningsområdet 205 11.3 Grundläggande bestämmelser om behandling 209 11.3.1 Rättsliga grunder och behandling för nya ändamål 209 11.3.2 Behandling av biometriska och genetiska uppgifter 211 11.3.3 Sökning på känsliga personuppgifter 212 11.4 Gemensamt tillgängliga uppgifter 213 12 Domstolarnas brottsdatalag 214 12.1 Behovet av en ny ordning 214 12.1.1 Nuvarande ordning 214 12.1.2 En särskild registerlagstiftning inom brottsdatalagens tillämpningsområde 215 12.2 Utgångspunkter för regleringen 217 12.2.1 Förhållandet till brottsdatalagen 217 12.2.2 Vissa bestämmelser i domstolsdatalagen har sin motsvarighet i ramlagen 218 12.3 Allmänna bestämmelser 219 12.3.1 Den nya lagens tillämpningsområde 219 12.3.2 Domstolsdatalagens tillämpningsområde 223 12.3.3 Varje domstol är personuppgiftsansvarig 223 12.3.4 Dataskyddsombud även i den dömande verksamheten 224 12.3.5 Uppgifter om juridiska personer bör inte omfattas 225 12.4 Grundläggande bestämmelser om behandling 226 12.4.1 Rättsliga grunder för behandling 226 12.4.2 Behandling för nya ändamål 229 12.4.3 Särskilda upplysningar 232 12.4.4 Behandling av personnummer 233 12.4.5 Biometriska och genetiska uppgifter 234 12.5 Sökbegränsningar 235 12.5.1 Sökförbudet i brottsdatalagen ska inte gälla 235 12.5.2 Sökförbuden i den nya lagen 236 12.6 Utlämnande av personuppgifter 239 12.6.1 Direktåtkomst 239 12.6.2 Elektroniskt utlämnande av personuppgifter 240 12.7 Personuppgifter i avgjorda mål och ärenden 241 12.8 Administrativa sanktionsavgifter 242 12.9 Skadestånd och överklagande 243 12.9.1 Skadestånd 243 12.9.2 Överklagande 244 13 Kriminalvårdens brottsdatalag 245 13.1 Behovet av anpassning till brottsdatalagen 245 13.1.1 Nuvarande reglering 245 13.1.2 Behovet av en uppdaterad lagstiftning 246 13.1.3 Lagens namn 247 13.2 Allmänna bestämmelser 248 13.2.1 Tillämpningsområdet 248 13.2.2 Personuppgiftsansvar 250 13.3 Grundläggande bestämmelser om behandling av personuppgifter 251 13.3.1 Rättsliga grunder och behandling för nya ändamål 251 13.3.2 Behandling av biometriska och genetiska uppgifter 254 13.3.3 Utlämnande av personuppgifter 255 13.4 Kriminalvårdens register 256 13.4.1 Nuvarande reglering 256 13.4.2 Hur bör den framtida regleringen se ut? 257 13.5 Säkerhetsregistret 258 13.5.1 Reglering i lag 258 13.5.2 Registrering av häktade och intagna 259 13.5.3 Registrering när det finns risk för att en person utövar våld eller hot 262 13.5.4 Registrering av andra 263 13.5.5 Sökning i känsliga personuppgifter 264 13.5.6 Direktåtkomst och annat utlämnande 265 13.5.7 Längsta tid som personuppgifter får behandlas 266 13.5.8 Rätt att meddela föreskrifter 267 13.6 Bestämmelser som inte längre behöver regleras i kriminalvårdens sektoranpassade registerlagstiftning 267 14 Register över tillträdesförbud vid idrottsarrangemang 270 14.1 Nuvarande reglering 270 14.1.1 Tillträdesförbudsregistret 270 14.1.2 Polismyndighetens roll 271 14.1.3 Idrottsorganisationernas roll 271 14.2 Två olika regleringar 272 14.3 Regleringen för Polismyndigheten 275 14.4 Regleringen för idrottsorganisationerna 276 14.5 Följdändringar 276 15 Övriga författningsändringar 277 15.1 Följdändringar i offentlighets- och sekretesslagen 277 15.2 Lagen om internationellt polisiärt samarbete 278 15.3 Lagen om Polismyndighetens elimineringsdatabas 279 15.4 Lagen om tillsyn över viss brottsbekämpande verksamhet 280 15.5 Säkerhetsskyddslagen 282 16 Ikraftträdande- och övergångsbestämmelser 283 17 Konsekvenser 285 17.1 Allmänt om konsekvenserna 285 17.1.1 Nya registerförfattningar 285 17.1.2 En ny lag för domstolarna men inga nya arbetsuppgifter 286 17.1.3 Modernisering av vissa författningar 286 17.2 Ekonomiska konsekvenser 287 17.3 Konsekvenser för det brottsförebyggande arbetet 289 17.4 Konsekvenser i övrigt 289 18 Författningskommentar 291 18.1 Förslaget till lag om polisens behandling av personuppgifter inom brottsdatalagens område 291 18.2 Förslaget till lag om Tullverkets behandling av personuppgifter inom brottsdatalagens område 316 18.3 Förslaget till lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område 331 18.4 Förslaget till lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område 343 18.5 Förslaget till lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område 354 18.6 Förslaget till lag om domstolarnas behandling av personuppgifter inom brottsdatalagens område 364 18.7 Förslaget till lag om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område 372 18.8 Förslaget till lag om ändring i rättegångsbalken 383 18.9 Förslaget till lag om ändring i polislagen (1984:387) 383 18.10 Förslaget till lag om ändring i säkerhetsskyddslagen (1996:627) 383 18.11 Förslaget till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen 384 18.12 Förslaget till lag om ändring i lagen (2000:344) om Schengens informationssystem 384 18.13 Förslaget till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet 385 18.14 Förslaget till lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang 385 18.15 Förslaget till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet 385 18.16 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400) 387 18.17 Förslaget till lag om ändring i lagen (2014:400) om Polismyndighetens elimineringsdatabas 388 18.18 Förslaget till lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang 389 18.19 Förslaget till lag om ändring i domstolsdatalagen (2015:728) 391 18.20 Förslaget till lag om ändring i utlänningsdatalagen (2016:27) 391 18.21 Förslaget till lag om ändring i tullagen (2016:253) 391 18.22 Förslaget till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete 392 18.23 Förslaget till lag om ändring i säkerhetsskyddslagen (2018:585) 394 18.24 Förslaget till lag om ändring i lagen (2018:591) om ändring offentlighets- och sekretesslagen (2009:400) 394 Bilaga 1 Sammanfattning SOU 2017:74 396 Bilaga 2 Lagförslag i SOU 2017:74 402 Bilaga 3 Förteckning över remissinstanserna (SOU 2017:74) 496 Bilaga 4 Sammanfattning av departementspromemorian En omarbetad domstolsdatalag - anpassning till EU:s dataskyddsförordning (Ds 2017:41) 497 Bilaga 5 Promemorians lagförslag 498 Bilaga 6 Förteckning över remissinstanserna (Ds 2017:41) 500 Bilaga 7 Lagrådsremissens lagförslag 501 Bilaga 8 Lagrådets yttrande 599 Utdrag ur protokoll vid regeringssammanträde den 14 juni 2018 603 1 Förslag till riksdagsbeslut Regeringen föreslår att riksdagen antar regeringens förslag till 1. lag om polisens behandling av personuppgifter inom brottsdatalagens område, 2. lag om Tullverkets behandling av personuppgifter inom brottsdatalagens område, 3. lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område, 4. lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område, 5. lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område, 6. lag om domstolarnas behandling av personuppgifter inom brottsdatalagens område, 7. lag om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område, 8. lag om ändring i rättegångsbalken, 9. lag om ändring i polislagen (1984:387), 10. lag om ändring i säkerhetsskyddslagen (1996:627), 11. lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen, 12. lag om ändring i lagen (2000:344) om Schengens informationssystem, 13. lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, 14. lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang, 15. lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet, 16. lag om ändring i offentlighets- och sekretesslagen (2009:400), 17. lag om ändring i lagen (2014:400) om Polismyndighetens elimineringsdatabas, 18. lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang, 19. lag om ändring i domstolsdatalagen (2015:728), 20. lag om ändring i utlänningsdatalagen (2016:27), 21. lag om ändring i tullagen (2016:253), 22. lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete, 23. lag om ändring i säkerhetsskyddslagen (2018:585), 24. lag om ändring i lagen (2018:591) om ändring i offentlighets- och sekretesslagen (2009:400). 2 Lagtext Regeringen har följande förslag till lagtext. 2.1 Förslag till lag om polisens behandling av personuppgifter inom brottsdatalagens område Härigenom föreskrivs följande. 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av följande myndigheter i egenskap av behöriga myndigheter behandlar personuppgifter: 1. Polismyndigheten, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet, 2. Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet, och 3. Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. För Ekobrottsmyndigheten och Säkerhetspolisen gäller endast 1-4 och 7 kap. 2 § Denna lag gäller inte vid behandling av personuppgifter enligt 1. vapenlagen (1996:67), 2. lagen (1998:620) om belastningsregister, 3. lagen (1998:621) om misstankeregister, 4. lagen (2000:344) om Schengens informationssystem, 5. lagen (2006:444) om passagerarregister, eller 6. lagen (2014:400) om Polismyndighetens elimineringsdatabas. 3 § I lagen (2017:496) om internationellt polisiärt samarbete och i lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar, finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag. Personuppgiftsansvar 4 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid myndigheten och för den behandling som myndigheten utför vid Ekobrottsmyndigheten, som inte är åklagarverksamhet, i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet. Ekobrottsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför i syfte att utreda brott. Säkerhetspolisen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Definitioner 5 § I denna lag avses med dna-analys: varje förfarande som kan användas för analys av deoxyribonukleinsyra i humant material, dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver, och fingeravtryck: avtryck av finger eller hand. Behandling av uppgifter om juridiska personer 6 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 4 § om personuppgiftsansvar, 2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, 4. 4 kap. 1-4 och 6-11 §§ om längsta tid som personuppgifter får behandlas, 5. 5 kap. 18-20 §§ om behandling av personuppgifter i penningtvättsregister, och 6. 5 kap. 21 och 22 §§ om behandling av personuppgifter i det internationella registret. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. Lagens uppbyggnad 7 § I detta kapitel och i 2 kap. finns allmänna bestämmelser om behandling av personuppgifter. I 4 kap. finns bestämmelser om längsta tid för behandling av personuppgifter. För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap. För personuppgifter som behandlas i register över dna-profiler, fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret och tillträdesförbudsregistret, gäller 5 kap. i stället för 3 och 4 kap. I 6 kap. finns bestämmelser om Polismyndighetens behandling av personuppgifter för forensiska ändamål. Vid sådan behandling gäller 6 kap. i stället för 2-4 kap. I 7 kap. finns bestämmelser om administrativa sanktionsavgifter, skadestånd och överklagande. 2 kap. Grundläggande bestämmelser om behandling av personuppgifter Rättsliga grunder 1 § Personuppgifter får behandlas om det är nödvändigt för att en myndighet som nämns i 1 kap. 1 § ska kunna utföra följande uppgifter: 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. upprätthålla allmän ordning och säkerhet, eller 4. fullgöra förpliktelser som följer av internationella åtaganden. Behandling för nya ändamål 2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Särskilda upplysningar 3 § Bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Känsliga personuppgifter 4 § Polismyndigheten och Säkerhetspolisen får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott, uppgifter om verkställighet av påföljd eller uppgifter som beskriver en persons utseende används som sökbegrepp. 6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Utlämnande av personuppgifter 7 § Om det är förenligt med svenska intressen får personuppgifter lämnas ut till 1. Interpol, 2. Europol, eller 3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol. Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för att utföra en uppgift som avses i 1 §. Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000). Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 5 kap. 9 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av uppgifter om huruvida personer förekommer i sådana register över dna-profiler som regleras i 5 kap., om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000). 10 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 5 kap., om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000). Migrationsverket har motsvarande rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister, om verket behöver uppgifterna för att kontrollera fingeravtryck som tagits där. 11 § En idrottsorganisation har, trots sekretess enligt 35 kap. 4 a § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i tillträdesförbudsregistret enligt 5 kap., om organisationen behöver uppgifterna för de syften som anges i 5 § lagen (2015:51) om idrottsorganisationers behandling av uppgifter om tillträdesförbud. 12 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 7 § och 5 kap. 10 och 17 §§. Personuppgifter från transportföretag 13 § Personuppgifter som tillhandahålls av transportföretag enligt 25 § polislagen (1984:387) får behandlas för att utföra en uppgift som anges i 1 § 1 och 2. Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen (2018:000). 14 § Vid terminalåtkomst enligt 26 § polislagen (1984:387) får personuppgifterna inte ändras eller bearbetas på annat sätt. Rätt att meddela föreskrifter 15 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 7-11 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 12 § första stycket. 3 kap. Gemensamt tillgängliga uppgifter Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000). Personuppgifter som får göras gemensamt tillgängliga 2 § Följande personuppgifter får göras gemensamt tillgängliga: 1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller b) sker systematiskt. 2. Uppgifter som behövs för övervakningen av en person som a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och b) är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet. 3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott. 4. Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd. 5. Uppgifter som har rapporterats till Polismyndighetens ledningscentraler. 6. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet. 7. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. Dna-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 5 kap. Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra. Särskilda upplysningar 3 § Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5. 4 § Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § första stycket 1 eller som övervakas med stöd av 2 § första stycket 2 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt. Sökning 5 § Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 2. är eller har varit misstänkt för brott, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, 4. övervakas enligt 2 § första stycket 2, 5. har anmält ett brott, 6. är målsägande i ett ärende som rör ansvar för brott, 7. berörs av ett kontaktförbud eller av åtgärder i ett personskyddsärende, 8. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 9. har gett in eller tillhandahållits en handling, 10. är anmäld som försvunnen, 11. har bedömts kunna komma att möta ett polisingripande med grovt våld, eller 12. är efterlyst. 6 § Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende. Bestämmelserna i 5 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän 1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede, 2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 1 eller 2 och som enbart dessa tjänstemän har tillgång till, 3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer, eller 4. i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer. Bestämmelserna i 5 § gäller inte heller vid sökning som en tjänsteman vid någon av Polismyndighetens ledningscentraler utför på begäran av en polisman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild. Direktåtkomst 7 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. Rätt att meddela föreskrifter 8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §, utöver vad som framgår av 6 §. 9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. begränsning av tillgången till sådana personuppgifter som avses i 5 §, 2. under vilka förutsättningar sökning får utföras med stöd av 6 §, och 3. omfattningen av direktåtkomst enligt 7 § och om behörighet och säkerhet vid sådan åtkomst. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Detta kapitel gäller bara för automatiserad behandling. Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I följande bestämmelser anges hur länge uppgifter som behandlas i särskilda register och i forensisk verksamhet får behandlas: 1. 5 kap. 7 § om uppgifter i register över dna-profiler, 2. 5 kap. 15 och 16 §§ om uppgifter i fingeravtrycks- och signalementsregister, 3. 5 kap. 20 § om uppgifter i penningtvättsregister, 4. 5 kap. 22 § om uppgifter i det internationella registret, 5. 5 kap. 26 § om uppgifter i tillträdesförbudsregistret, och 6. 6 kap. 6 § om uppgifter om sådana uppslag som anges i 6 kap. 1 § första stycket 5. Personuppgifter som inte har gjorts gemensamt tillgängliga 2 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än 1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller 2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf. Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott. Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott 3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifter som finns i anmälan och som har gjorts gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifter som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet. 4 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifter som finns i förundersökningen och som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft. Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. 5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt. Övriga gemensamt tillgängliga uppgifter 6 § Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2 eller 4-7 får som längst behandlas under den tid som anges i 7-11 §§. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av 7-11 §§. 7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 får, om de behandlas i ett ärende, inte behandlas längre än ett år efter det att ärendet avslutades. Om personuppgifterna inte behandlas i ett ärende får de inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas. Den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de tidsfrister som anges i andra stycket. 8 § Personuppgifter som behandlas i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Den tid då en övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av den tidsfrist som anges i första stycket. 9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades. 10 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 eller 6 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. 11 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 7 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Rätt att meddela föreskrifter 12 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 eller 7-11 §. 13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 7-11 §, och 2. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 5 kap. Register Register över dna-profiler Rätten att föra register 1 § Polismyndigheten får föra register över dna-profiler (dna-registret, utredningsregistret och spårregistret) i syfte att 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. fullgöra förpliktelser som följer av internationella åtaganden, och 4. underlätta identifiering av avlidna personer. I lagen (2014:400) om Polismyndighetens elimineringsdatabas finns bestämmelser om elimineringsdatabasen. Dna-registret 2 § Dna-registret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som 1. genom en dom som fått laga kraft har dömts till annan påföljd än böter, eller 2. har godkänt strafföreläggande som avser villkorlig dom. 3 § En dna-profil som registreras får endast ge information om identitet och inte om personliga egenskaper. Utöver dna-profiler får dna-registret innehålla uppgifter om vem analysen avser, i vilket ärende profilen har tagits fram och brottskod. Utredningsregistret 4 § Utredningsregistret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som är skäligen misstänkta för brott på vilket det kan följa fängelse. Bestämmelserna i 3 § gäller också vid registrering i utredningsregistret. Spårregistret 5 § Spårregistret får innehålla dna-profiler som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person. Utöver dna-profiler får spårregistret innehålla upplysningar som visar i vilket ärende profilen har tagits fram och brottskod. 6 § Dna-profiler i spårregistret får jämföras med dna-profiler 1. som inte kan hänföras till en identifierbar person, 2. som finns i dna-registret, eller 3. som kan hänföras till en person som är skäligen misstänkt för brott. Dna-profiler i spårregistret får också jämföras i andra fall om det är nödvändigt för att fullgöra en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande eller om det följer av en unionsrättsakt. Längsta tid som personuppgifter får behandlas 7 § Uppgifter får inte längre behandlas i dna-registret när uppgifterna om den registrerade tagits bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister. Uppgifter får inte längre behandlas i utredningsregistret när uppgifterna om den registrerade får föras in i dna-registret eller när förundersökning eller åtal läggs ner, åtal ogillas, åtal bifalls men påföljden bestäms till enbart böter eller när den registrerade har godkänt ett strafföreläggande som avser enbart böter. Uppgifter får inte behandlas i spårregistret längre än trettio år efter registreringen. Uppgifter i registret får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om brott som anges i 35 kap. 2 § första stycket brottsbalken. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf. Prover för dna-analys 8 § Om det i samband med utredning av ett brott har tagits ett prov för dna-analys, får provet inte användas för något annat ändamål än det som provet togs för. 9 § Ett prov för dna-analys som har tagits med stöd av 28 kap. rättegångsbalken, eller på begäran av en annan stat, ska förstöras senast sex månader efter det att provet togs. Direktåtkomst 10 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till register över dna-profiler som regleras i detta kapitel. Fingeravtrycks- och signalementsregister Rätten att föra register 11 § Polismyndigheten får föra fingeravtrycks- och signalementsregister i syfte att 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. fullgöra förpliktelser som följer av internationella åtaganden, 4. underlätta identifiering av okända personer, och 5. kontrollera fingeravtryck som Migrationsverket har tagit enligt 9 kap. 8 § utlänningslagen (2005:716). Innehåll i registren 12 § I fingeravtrycks- och signalementsregister får uppgifter behandlas om en person som 1. är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken, eller 2. har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll. Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgifterna kommit fram i en utredning om brott. Personuppgifter som har inhämtats med stöd av 36 § första stycket 2 lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare får inte behandlas i fingeravtrycks- och signalementsregister. 13 § Utöver vad som anges i 12 § får i fingeravtrycks- och signalementsregister uppgifter behandlas om en person som har dömts för brott i en annan medlemsstat inom Europeiska unionen och vars fingeravtrycks- eller signalementsuppgifter har överförts hit med stöd av artikel 4.2 i rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll. Sådana uppgifter får dock endast behandlas om det för motsvarande gärning i Sverige är föreskrivet fängelse i ett år eller mer och den som uppgifterna avser vid tidpunkten för gärningen hade fyllt femton år. 14 § Fingeravtrycks- och signalementsregister får innehålla uppgifter om 1. fingeravtryck, 2. signalement, 3. fotografi, 4. videoupptagning, 5. identifieringsuppgifter, 6. ärendenummer, och 7. brottskod. Längsta tid som personuppgifter får behandlas 15 § Uppgifter i fingeravtrycks- och signalementsregister om en misstänkt person får inte behandlas längre än tre månader efter det att uppgifterna om den registrerade tagits bort ur misstankeregistret som förs enligt lagen (1998:621) om misstankeregister och ur belastningsregistret som förs enligt lagen (1998:620) om belastningsregister. Uppgifter som inte kan hänföras till en identifierbar person får inte behandlas längre än trettio år efter registreringen. Sådana uppgifter får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om brott som anges i 35 kap. 2 § första stycket brottsbalken. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf. 16 § Uppgifter i fingeravtrycks- och signalementsregister som behandlas för att fullgöra ett internationellt åtagande får inte behandlas längre än vad som behövs för det ändamålet. Uppgifter om personer som har lämnat fingeravtryck med stöd av lagen (1991:572) om särskild utlänningskontroll får inte behandlas längre än tio år efter registreringen. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf. Direktåtkomst 17 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter i fingeravtrycks- och signalementsregister. Penningtvättsregister Rätten att föra register 18 § Polismyndigheten får föra penningtvättsregister. Personuppgifter får behandlas i penningtvättsregister om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet 1. där penningtvätt är ett led för att dölja vinning av brott eller brottslig verksamhet, eller 2. som innefattar finansiering av terrorism. 19 § I penningtvättsregister får personuppgifter behandlas som 1. kan antas ha samband med sådan brottslig verksamhet som avses i 18 §, 2. har rapporterats till Polismyndigheten med stöd av lag eller annan författning, eller 3. har lämnats av en utländsk myndighet som i sin stat ansvarar för arbetet med att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som avses i 18 §. Längsta tid som personuppgifter får behandlas 20 § Personuppgifter i penningtvättsregister får inte behandlas längre än fem år efter utgången av det kalenderår då den senaste registreringen avseende personens anknytning till brottslig verksamhet gjordes. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf. Det internationella registret Rätten att föra register 21 § Polismyndigheten får föra ett internationellt register. Personuppgifter i det internationella registret får behandlas om det behövs för handläggningen av ärenden som rör internationellt polisiärt samarbete eller internationellt straffrättsligt samarbete. Uppgifter om dödsfall, olyckshändelser eller andra liknande händelser i utlandet får också behandlas i det internationella registret, om ärendet rör en fråga som ska handläggas av Polismyndigheten. Längsta tid som personuppgifter får behandlas 22 § Personuppgifter i det internationella registret får inte behandlas längre än tre år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf. Tillträdesförbudsregistret Rätten att föra register 23 § Polismyndigheten får föra ett register med uppgifter om personer som meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang (tillträdesförbudsregistret) i syfte att förebygga, förhindra eller upptäcka överträdelser av tillträdesförbud. Innehåll i registret 24 § Tillträdesförbudsregistret får innehålla följande uppgifter om en person som har meddelats tillträdesförbud: 1. namn, 2. personnummer eller samordningsnummer, 3. folkbokföringsadress och annan stadigvarande adress, 4. alias, 5. fotografi, 6. anknytning till idrott och idrottsorganisation, 7. omfattningen och giltighetstiden av beslut om tillträdesförbud, och 8. överträdelse av gällande tillträdesförbud. 25 § Polismyndigheten får behandla uppgifter i tillträdesförbudsregistret i syfte att tillhandahålla idrottsorganisationer den information som behövs för att upprätthålla gällande beslut om tillträdesförbud. Längsta tid som personuppgifter får behandlas 26 § Uppgifter i tillträdesförbudsregistret får endast behandlas så länge tillträdesförbudet gäller. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf. Rätt att meddela föreskrifter 27 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. omfattningen av direktåtkomst till dna-register och fingeravtrycks- och signalementsregister och om behörighet och säkerhet vid sådan åtkomst, 2. tillgången till personuppgifter i penningtvättsregister och det internationella registret, och 3. att personuppgifter i fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret och tillträdesförbudsregistret får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 15, 16, 20, 22 och 26 §§. 6 kap. Behandling av personuppgifter vid Polismyndigheten för forensiska ändamål Ändamål 1 § Vid Nationellt forensiskt centrum får personuppgifter behandlas om det behövs för att 1. sammanställa det underlag i form av insamlade spår eller annat som krävs för att sådana forensiska åtgärder som anges i 2 ska kunna utföras, 2. utföra forensiska analyser, undersökningar eller jämförelser åt den egna myndigheten eller åt Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen, Skatteverket eller allmän domstol, 3. begära forensiska analyser, undersökningar eller jämförelser av eller utföra sådana åtgärder åt a) Rättsmedicinalverket, b) ett utländskt forensiskt laboratorium, eller c) en utländsk brottsbekämpande myndighet eller en mellanfolklig organisation eller ett EU-organ med brottsbekämpande uppgifter, 4. begära forensiska analyser eller undersökningar av andra svenska expertorgan, eller 5. ta fram uppslag i syfte att underlätta arbetet med att förhindra eller upptäcka brottslig verksamhet eller utreda och beivra brott, genom att använda resultat från sådana åtgärder som anges i 2 eller i 2 § andra stycket. Personuppgifter får också behandlas vid Nationellt forensiskt centrum om det behövs för 1. forskning och statistik, eller 2. kvaliteten i den forensiska verksamheten. 2 § Vid en annan enhet inom Polismyndigheten än Nationellt forensiskt centrum får personuppgifter behandlas om enheten behöver det för att sammanställa det underlag i form av insamlade spår eller annat som krävs för att sådana forensiska åtgärder som anges i 1 § första stycket 2 ska kunna utföras av centrumet. Personuppgifter får även behandlas vid en sådan annan enhet om enheten behöver det för att utföra forensiska analyser, undersökningar eller jämförelser. 3 § Personuppgifter som behandlas enligt 1 § första stycket 2 eller 5 eller andra stycket 2 eller 2 § andra stycket får även behandlas för nya ändamål inom tillämpningsområdet för brottsdatalagen (2018:000). I ett enskilt fall får personuppgifter som behandlas enligt 1 eller 2 § även behandlas för nya ändamål med stöd av 2 kap. 4 och 22 §§ brottsdatalagen. Känsliga personuppgifter 4 § Biometriska och genetiska uppgifter får behandlas enligt 1 § om det är absolut nödvändigt för ändamålet med behandlingen. 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i personuppgifter som behandlas i registren över dna-profiler eller fingeravtrycks- och signalementsregistren, i syfte att få fram ett urval av personer grundat på uppgifter som rör hälsa eller biometriska eller genetiska uppgifter. Längsta tid som personuppgifter får behandlas 6 § Nationellt forensiskt centrum får inte behandla personuppgifter för det ändamål som anges i 1 § första stycket 5 längre än fem år efter utgången av det kalenderår då ärendet där uppgifterna förekommer registrerades. Utlämnande av personuppgifter 7 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretess-lagen (2009:400), rätt att ta del av personuppgifter som behandlas enligt 1 § första stycket 5, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000). Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 5 kap. 8 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Rätt att meddela föreskrifter 9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 8 §. 10 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av behandlingen av personuppgifter enligt detta kapitel vid digital arkivering. 7 kap. Övriga bestämmelser Administrativa sanktionsavgifter 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller 3. 4 kap. 2-4 eller 7-11 §, 5 kap. 7, 15, 16, 20, 22 eller 26 § eller 6 kap. 6 § om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Överklagande 3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 januari 2019. 2. Genom lagen upphävs polisdatalagen (2010:361). 3. En sanktionsavgift enligt 7 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet. 4. Den upphävda lagen gäller fortfarande för Säkerhetspolisens behandling av personuppgifter i frågor som rör nationell säkerhet. 2.2 Förslag till lag om Tullverkets behandling av personuppgifter inom brottsdatalagens område Härigenom föreskrivs följande. 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. 2 § I lagen (2017:496) om internationellt polisiärt samarbete och i lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar, finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag. Personuppgiftsansvar 3 § Tullverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför. Behandling av uppgifter om juridiska personer 4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 3 § om personuppgiftsansvar, 2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och 4. 4 kap. 1-5 och 8-11 §§ om längsta tid som personuppgifter får behandlas. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. 2 kap. Grundläggande bestämmelser om behandling Rättsliga grunder 1 § Tullverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter: 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, eller 3. fullgöra förpliktelser som följer av internationella åtaganden. Behandling för nya ändamål 2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Särskilda upplysningar 3 § Bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Känsliga personuppgifter 4 § Tullverket får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används som sökbegrepp. 6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga. Utlämnande av personuppgifter 7 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till 1. Interpol, 2. Europol, 3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller 4. en tullmyndighet eller kustbevakningsmyndighet inom Europeiska ekonomiska samarbetsområdet (EES). Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för att utföra en uppgift som avses i 1 §. Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000). 9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 7 §. Personuppgifter från transportföretag 10 § Personuppgifter som lämnas till Tullverket enligt 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 6 § tullagen (2016:253) får behandlas för att planera kontroller och välja ut kontrollobjekt för att utföra en uppgift som anges i 1 § 1 eller 2. Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen (2018:000). 11 § Vid terminalåtkomst enligt 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 8 § tullagen (2016:253) får Tullverket inte ändra eller på annat sätt bearbeta personuppgifterna. 12 § Vid sökning i personuppgifter som avses i 10 § första stycket får namn, personnummer, samordningsnummer och andra liknande identitetsbeteckningar användas som sökbegrepp endast om uppgifterna avser en person som 1. är eller har varit misstänkt för brott, 2. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 3 kap. 2 § första stycket 1, eller 3. övervakas under de förutsättningar som anges i 3 kap. 2 § första stycket 2. Rätt att meddela föreskrifter 13 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 9 § första stycket. 3 kap. Gemensamt tillgängliga uppgifter Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000). Personuppgifter som får göras gemensamt tillgängliga 2 § Följande personuppgifter får göras gemensamt tillgängliga: 1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller b) sker systematiskt. 2. Uppgifter som behövs för övervakningen av en person som a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och b) är allvarligt kriminellt belastad. 3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott. 4. Uppgifter som har rapporterats till Tullverkets ledningscentraler. 5. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. Personuppgifter från transportföretag som behandlas enligt 2 kap. 10 § första stycket får göras gemensamt tillgängliga endast om det behövs i ett enskilt fall. Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra. Särskilda upplysningar 3 § Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2. 4 § Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § första stycket 1 eller som övervakas med stöd av 2 § första stycket 2, ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt. Sökning 5 § Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 2. är eller har varit misstänkt för brott, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, 4. övervakas enligt 2 § första stycket 2, 5. har anmält ett brott, 6. är målsägande i ett ärende som rör ansvar för brott, 7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 8. har gett in eller tillhandahållits en handling, 9. har bedömts kunna komma att möta ett ingripande med grovt våld, eller 10. är efterlyst. 6 § Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende. Bestämmelserna i 5 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän 1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede, 2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 1 eller 2 och som enbart dessa tjänstemän har tillgång till, 3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer, eller 4. i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer. Bestämmelserna i 5 § gäller inte heller vid sökning som en tjänsteman vid någon av Tullverkets ledningscentraler utför på begäran av en tulltjänsteman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild. Direktåtkomst 7 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. Rätt att meddela föreskrifter 8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §, utöver vad som framgår av 6 §. 9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. begränsning av tillgången till sådana personuppgifter som avses i 5 §, 2. under vilka förutsättningar sökning får utföras med stöd av 6 §, och 3. omfattningen av direktåtkomst enligt 7 § och om behörighet och säkerhet vid sådan åtkomst. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Detta kapitel gäller, om inte annat sägs, bara för automatiserad behandling av personuppgifter. Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Personuppgifter som inte har gjorts gemensamt tillgängliga 2 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än 1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller 2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf. Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott. 3 § Personuppgifter som med stöd av 15 § lagen (1996:701) om Tull-verkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 6 § tullagen (2016:253) tillhandahålls på annat sätt än genom terminalåtkomst, ska omedelbart förstöras om de visar sig sakna betydelse för att utföra en uppgift som anges i 2 kap. 1 § 1 eller 2. Det som sägs i första stycket gäller också vid behandling av personuppgifter som ingår i en strukturerad samling personuppgifter. Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott 4 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör ett brott, får personuppgifter som finns i anmälan och som har gjorts gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet. 5 § Om en förundersökning har lett till åtal eller annan dom-stolsprövning, får personuppgifter som finns i förundersökningen och som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft. Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. 6 § Om en förundersökning mot en person har lagts ned, om ett åtal har lagts ned eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt. Övriga gemensamt tillgängliga uppgifter 7 § Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2, 4 eller 5 får som längst behandlas under den tid som anges i 8-11 §§. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av 8-11 §§. 8 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 får, om de behandlas i ett ärende, inte behandlas längre än ett år efter det att ärendet avslutades. Om personuppgifterna inte behandlas i ett ärende får de inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de uppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas. Den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de tidsfrister som anges i andra stycket. 9 § Personuppgifter som behandlas i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Den tid då en övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av den tidsfrist som anges i första stycket. 10 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. 11 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Rätt att meddela föreskrifter 12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 4, 5 eller 8-11 §, 2. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 8-11 §, och 3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 5 kap. Övriga bestämmelser Administrativa sanktionsavgifter 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller 3. 4 kap. 2-5 eller 8-11 § om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Överklagande 3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 januari 2019. 2. Genom lagen upphävs tullbrottsdatalagen (2017:447). 2. En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet. 2.3 Förslag till lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område Härigenom föreskrivs följande. 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Kustbevakningen i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. 2 § I lagen (2017:496) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag. Personuppgiftsansvar 3 § Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Behandling av uppgifter om juridiska personer 4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 3 § om personuppgiftsansvar, 2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och 4. 4 kap. 1-4 och 6-9 §§ om längsta tid som personuppgifter får behandlas. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. 2 kap. Grundläggande bestämmelser om behandling av personuppgifter Rättsliga grunder 1 § Kustbevakningen får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter: 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. upprätthålla allmän ordning och säkerhet, eller 4. fullgöra förpliktelser som följer av internationella åtaganden. Behandling för nya ändamål 2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Särskilda upplysningar 3 § Bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Känsliga personuppgifter 4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används som sökbegrepp. 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Utlämnande av personuppgifter 6 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till 1. Interpol, 2. Europol, 3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller 4. en kustbevakningsmyndighet eller tullmyndighet inom Europeiska ekonomiska samarbetsområdet (EES). Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för att utföra en uppgift som avses i 1 §. Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 7 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000). 8 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 §. Rätt att meddela föreskrifter 9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 6 och 7 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 8 § första stycket. 3 kap. Gemensamt tillgängliga uppgifter Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000). Personuppgifter som får göras gemensamt tillgängliga 2 § Följande personuppgifter får göras gemensamt tillgängliga: 1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller b) sker systematiskt. 2. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott. 3. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet. 4. Uppgifter som har rapporterats till Kustbevakningens ledningscentral. 5. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. Särskilda upplysningar 3 § Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § 1 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt. Sökning 4 § Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 2. är eller har varit misstänkt för brott, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, 4. har anmält ett brott, 5. är målsägande i ett ärende som rör ansvar för brott, 6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 7. har gett in eller tillhandahållits en handling, 8. är anmäld som försvunnen, 9. har bedömts kunna komma att möta ett ingripande med grovt våld, eller 10. är efterlyst. 5 § Bestämmelserna i 4 § gäller inte vid sökning i en viss handling eller i ett visst ärende. Bestämmelserna i 4 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1 och som enbart dessa tjänstemän har tillgång till. Direktåtkomst 6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. Rätt att meddela föreskrifter 7 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 4 §, utöver vad som framgår av 5 §. 8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. begränsning av tillgången till sådana personuppgifter som avses i 4 §, 2. under vilka förutsättningar sökning får utföras med stöd av 5 §, och 3. omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Detta kapitel gäller bara för automatiserad behandling. Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Personuppgifter som inte har gjorts gemensamt tillgängliga 2 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än 1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller 2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf. Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott. Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott 3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör ett brott, får personuppgifter som finns i anmälan och som har gjorts gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet. 4 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifter som finns i förundersökningen och som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft. Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Första och andra styckena gäller även personuppgifter som finns i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. 5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt. Övriga gemensamt tillgängliga uppgifter 6 § Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § 1 eller 3-5 får som längst behandlas under den tid som anges i 7-9 §§. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av 7-9 §§. 7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 får inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas. 8 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 eller 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. 9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Rätt att meddela föreskrifter 10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 eller 7-9 §, och 2. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 7-9 §. 5 kap. Övriga bestämmelser Administrativa sanktionsavgifter 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 3 § om särskilda upplysningar, eller 3. 4 kap. 2-4 eller 7-9 § om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Överklagande 3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 januari 2019. 2. Genom denna lag upphävs kustbevakningsdatalagen (2012:145). 3. En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet. 4. Den upphävda lagen gäller fortfarande vid sådan behandling av personuppgifter som inte utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. 2.4 Förslag till lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område Härigenom föreskrivs följande. 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Skatteverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott. Personuppgiftsansvar 2 § Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför. Behandling av uppgifter om juridiska personer 3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 2 § om personuppgiftsansvar, 2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och 4. 4 kap. 1-4, 7 och 8 §§ om längsta tid som personuppgifter får behandlas. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. 2 kap. Grundläggande bestämmelser om behandling Rättsliga grunder 1 § Skatteverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter: 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda brott, eller 3. fullgöra förpliktelser som följer av internationella åtaganden. Behandling för nya ändamål 2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Särskilda upplysningar 3 § Bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Sökning Känsliga personuppgifter 4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp. 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökning i syfte att få fram ett urval av personer grundat på etniskt ursprung, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga. Beskattningsdatabasen 6 § I lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns bestämmelser om beskattningsdatabasen. Vid sökning i beskattningsdatabasen som görs för att utföra en uppgift som anges i 1 § får endast uppgift om namn, personnummer eller samordningsnummer användas. Utlämnande av personuppgifter 7 § Personuppgifter får lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Tullverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000). 9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 §. Rätt att meddela föreskrifter 10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 9 § första stycket. 3 kap. Gemensamt tillgängliga uppgifter Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000). Personuppgifter som får göras gemensamt tillgängliga 2 § Följande personuppgifter får göras gemensamt tillgängliga: 1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller b) sker systematiskt. 2. Uppgifter som förekommer i ett ärende om utredning av brott. 3. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. Särskilda upplysningar 3 § Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § 1 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt. Sökning 4 § Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 2. är eller har varit misstänkt för brott, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, 4. har anmält ett brott, 5. är målsägande i ett ärende som rör ansvar för brott, 6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 7. har gett in eller tillhandahållits en handling, 8. har bedömts kunna komma att möta ett ingripande med grovt våld, eller 9. är eller har varit registrerad som funktionär i en eller flera juridiska personer vilka kan antas ha samband med brottslig verksamhet. 5 § Bestämmelserna i 4 § gäller inte vid sökning i en viss handling eller i ett visst ärende. Bestämmelserna i 4 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän 1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede, 2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1 eller 2 och som enbart dessa tjänstemän har tillgång till, eller 3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer. Direktåtkomst 6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. Rätt att meddela föreskrifter 7 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 4 §, utöver vad som framgår av 5 §. 8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. begränsning av tillgången till sådana personuppgifter som avses i 4 §, 2. under vilka förutsättningar sökning får utföras med stöd av 5 §, och 3. omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Detta kapitel gäller bara för automatiserad behandling. Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Personuppgifter som inte har gjorts gemensamt tillgängliga 2 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte behandlas längre än 1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller 2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf. Första stycket gäller inte personuppgifter i ärenden om utredning av brott. Gemensamt tillgängliga uppgifter i ärenden om utredning av brott 3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör ett brott, får personuppgifter som finns i anmälan och som har gjorts gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet. 4 § Om en förundersökning har lett till åtal eller annan domstols-prövning, får personuppgifter som finns i förundersökningen och som har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft. Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. 5 § Om en förundersökning mot en person har lagts ned, om ett åtal har lagts ned eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt. Övriga gemensamt tillgängliga uppgifter 6 § Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § 1 eller 3 får som längst behandlas under den tid som anges i 7 och 8 §§. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av 7 och 8 §§. 7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 får inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de uppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas. 8 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Rätt att meddela föreskrifter 9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att vissa kategorier av personuppgifter får fortsätta behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4, 7 och 8 §§, 2. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket, 7 och 8 §§, och 3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 5 kap. Övriga bestämmelser Administrativa sanktionsavgifter 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 3 § om särskilda upplysningar, eller 3. 4 kap. 2-4, 7 eller 8 § om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Överklagande 3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 januari 2019. 2. Genom lagen upphävs skattebrottsdatalagen (2017:452). 3. En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet. 2.5 Förslag till lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område Härigenom föreskrivs följande. 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Åklagar-myndigheten eller Ekobrottsmyndigheten i egenskap av behörig myndighet behandlar personuppgifter i åklagarverksamhet i syfte att 1. förebygga eller förhindra brottslig verksamhet, 2. utreda eller lagföra brott, 3. handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder, eller 4. handlägga frågor som rör upprätthållande av allmän ordning och säkerhet. Personuppgiftsansvar 2 § Åklagarmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Ekobrottsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Behandling av uppgifter om juridiska personer 3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 2 § om personuppgiftsansvar, 2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och 4. 4 kap. 1, 2 och 4 §§ om längsta tid som personuppgifter får behandlas. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. 2 kap. Grundläggande bestämmelser om behandling Rättsliga grunder 1 § Personuppgifter får behandlas om det är nödvändigt för att Åklagarmyndigheten eller Ekobrottsmyndigheten ska kunna utföra följande uppgifter: 1. förebygga eller förhindra brottslig verksamhet, 2. utreda eller lagföra brott, 3. handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder, 4. handlägga frågor som rör upprätthållande av allmän ordning och säkerhet, eller 5. fullgöra förpliktelser som följer av internationella åtaganden. Behandling för nya ändamål 2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Särskilda upplysningar 3 § Bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Känsliga personuppgifter 4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp. Utlämnande av personuppgifter 5 § Om det är förenligt med svenska intressen får personuppgifter lämnas ut till 1. Eurojust, 2. Interpol, 3. Europol, eller 4. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol. Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för att utföra en uppgift som avses i 1 §. Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 6 § Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000). 7 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 5 §. Rätt att meddela föreskrifter 8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 5 och 6 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 7 § första stycket. 3 kap. Gemensamt tillgängliga uppgifter Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000). Personuppgifter som får göras gemensamt tillgängliga 2 § Alla personuppgifter som behandlas för syften som omfattas av denna lags tillämpningsområde får göras gemensamt tillgängliga. Sökning 3 § Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga, får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 2. är eller har varit misstänkt för brott, 3. är misstänkt för att ha utövat eller komma att utöva brottslig verksamhet, 4. har anmält ett brott, 5. är målsägande i ett ärende som rör ansvar för brott, 6. är sökande, motpart eller annan part eller kan jämställas med part i ett ärende, 7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 8. är eller har varit åklagare i ett ärende eller är eller har varit offentlig försvarare eller målsägandebiträde eller kan jämställas med sådana, eller 9. har gett in eller tillhandahållits en handling. 4 § Bestämmelserna i 3 § gäller inte vid sökning i en viss handling eller i ett visst ärende. Direktåtkomst 5 § Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. Rätt att meddela föreskrifter 6 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 3 §, utöver vad som framgår av 4 §. 7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. gemensamt tillgängliga uppgifter, och 2. omfattningen av direktåtkomst enligt 5 § och om behörighet och säkerhet vid sådan åtkomst. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Detta kapitel gäller bara för automatiserad behandling. Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Personuppgifter i ärenden 2 § Personuppgifter i ett ärende får inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då ärendet avslutades av åklagaren eller, om frågan prövats av domstol, från utgången av det kalenderår då domstolens avgörande fick laga kraft. 3 § Om en förundersökning mot en person inte har inletts eller har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt. Övriga personuppgifter 4 § Personuppgifter som inte kan hänföras till ett ärende får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf. Rätt att meddela föreskrifter 5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att uppgifter i vissa ärendetyper eller vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 2 §, 2. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 4 §, och 3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 5 kap. Övriga bestämmelser Administrativa sanktionsavgifter 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, eller 2. 4 kap. 2 eller 4 § om den längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Överklagande 3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 januari 2019. 2. Genom lagen upphävs åklagardatalagen (2015:433). 3. En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet. 2.6 Förslag till lag om domstolarnas behandling av personuppgifter inom brottsdatalagens område Härigenom föreskrivs följande. Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när följande domstolar i egenskap av behöriga myndigheter behandlar personuppgifter: 1. allmän domstol, om uppgifterna behandlas i syfte att handlägga mål och ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet, och 2. allmän förvaltningsdomstol, om uppgifterna behandlas i syfte att handlägga mål om verkställighet av häktning eller straffrättsliga påföljder. Personuppgiftsansvar 2 § En domstol är personuppgiftsansvarig för den behandling av personuppgifter som den utför. Rättsliga grunder 3 § Personuppgifter får behandlas om det är nödvändigt för handläggning av mål och ärenden om utredning av eller lagföring för brott, om verkställighet av häktning eller ändring eller verkställighet av straffrättsliga påföljder eller om upprätthållande av allmän ordning och säkerhet. Behandling för nya ändamål 4 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 3 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Behandling av personnummer 5 § Personnummer och samordningsnummer får behandlas endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Sökbegränsningar 6 § Vid sökning i personuppgifter är det förbjudet att använda sökbegrepp som avslöjar sådana personuppgifter som avses i 2 kap. 11 och 12 §§ brottsdatalagen (2018:000) eller uppgifter om nationell anknytning. Användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp som sökbegrepp omfattas inte av förbudet. Förbudet gäller inte heller vid sökning i en viss handling eller i ett visst mål eller ärende. 7 § Förbudet i 6 § första stycket gäller inte användning i allmän förvaltningsdomstol av sökbegrepp som avslöjar hälsa. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att använda sökbegrepp som avslöjar hälsa. 8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att använda sökbegrepp som avslöjar brott eller misstanke om brott. Elektroniskt utlämnande av personuppgifter 9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. 10 § Direktåtkomst får endast medges 1. en allmän domstol, 2. en allmän förvaltningsdomstol, eller 3. en part eller partens ombud, biträde eller försvarare. Direktåtkomst enligt första stycket 3 får endast avse personuppgifter i partens mål eller ärende. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av direktåtkomst enligt första stycket och om behörighet och säkerhet vid sådan åtkomst. Personuppgifter i avgjorda mål och ärenden 11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar för behandling av personuppgifter som hänför sig till ett mål eller ärende som har avgjorts genom en dom eller ett beslut som har fått laga kraft. Administrativa sanktionsavgifter 12 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i - 3 § om rättsliga grunder för behandling av personuppgifter, eller - 6 § första stycket om sökförbud. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 13 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Överklagande 14 § Beslut i sådana frågor som avses i 7 kap. 2 § brottsdatalagen (2018:000) som har meddelats av en hovrätt, tingsrätt eller förvaltningsrätt i egenskap av personuppgiftsansvarig, får överklagas till kammarrätten. En kammarrätts beslut i sådana frågor får överklagas till Högsta förvaltningsdomstolen. Högsta domstolens och Högsta förvaltningsdomstolens beslut i frågor som avses i första stycket får inte överklagas. 1. Denna lag träder i kraft den 1 januari 2019. 2. Domstolsdatalagen (2015:728) i lydelsen före den 25 maj 2018 gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet. 3. En sanktionsavgift enligt 12 § får beslutas endast för överträdelser som har skett efter ikraftträdandet. 2.7 Förslag till lag om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område Härigenom föreskrivs följande. 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av myndigheterna inom kriminalvården i egenskap av behörig myndighet enligt den lagen behandlar personuppgifter i syfte att verkställa häktning eller straffrättsliga påföljder eller biträda en annan behörig myndighet när den utför uppgifter för ett syfte som anges i 1 kap. 2 § brottsdatalagen. Personuppgiftsansvar 2 § Kriminalvården är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. En övervakningsnämnd är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför. 2 kap. Grundläggande bestämmelser om behandling av personuppgifter Rättsliga grunder 1 § Personuppgifter får behandlas om det är nödvändigt för att en myndighet som nämns i 1 kap. 1 § ska kunna utföra följande uppgifter: 1. verkställa häktning eller straffrättsliga påföljder, 2. förebygga, förhindra eller upptäcka brottslig verksamhet i samband med sådan verkställighet som anges i 1, 3. biträda andra myndigheter när de fullgör uppgifter för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000), eller 4. fullgöra förpliktelser som följer av internationella åtaganden. Behandling för nya ändamål 2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Känsliga personuppgifter 3 § Kriminalvården får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Utlämnande av personuppgifter 4 § Kriminalvården får till en utländsk myndighet eller internationell organisation lämna ut de personuppgifter som behövs för 1. prövning och genomförande av överflyttning av straffverkställighet, 2. transitering och förvaring av en person som är frihetsberövad för utredning av eller lagföring för brott eller straffverkställighet, eller 3. tillfällig överflyttning av en frihetsberövad person för utredning av eller lagföring för brott eller straffverkställighet. Längsta tid som personuppgifter får behandlas 5 § Personuppgifter som behandlas automatiserat får inte behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf. I 3 kap. 7 § finns bestämmelser om hur länge personuppgifter i säkerhetsregistret får behandlas. Rätt att meddela föreskrifter 6 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. vilka personuppgifter som får behandlas enligt 1 §, 2. utlämnande av personuppgifter i andra fall än som anges i 4 §, 3. frågor som rör elektroniskt utlämnande genom direktåtkomst, 4. längsta tid som personuppgifter får behandlas, och 5. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 5 §. 3 kap. Säkerhetsregistret Rätten att föra register 1 § Kriminalvården får föra ett säkerhetsregister. I säkerhetsregistret får personuppgifter behandlas i syfte att 1. förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straffverkställighet, och 2. säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstalter och i annan verksamhet som Kriminalvården bedriver. Säkerhetsregistrets innehåll 2 § I säkerhetsregistret får uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff och som är eller har varit placerad på en säkerhetsavdelning. I registret får även uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff, om det finns risk för att han eller hon 1. under häktning eller verkställighet av fängelsestraff begår brott som inte är ringa eller utövar brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer, 2. förbereder rymning eller försöker rymma, 3. blir föremål för fritagning, 4. bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt, eller 5. under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot. 3 § I säkerhetsregistret får även uppgifter behandlas om en person som verkställer en påföljd inom kriminalvården, om det finns risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i kriminalvårdens lokaler. 4 § Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som anges i 2 §. Om den personen inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning. Känsliga personuppgifter 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Direktåtkomst 6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten får för ett syfte som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter i säkerhetsregistret. Längsta tid som personuppgifter får behandlas 7 § Personuppgifter i säkerhetsregistret får inte behandlas längre än fem år efter det att 1. den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte, 2. den registrerade helt har verkställt en sådan påföljd som avses i 3 §, eller 3. den person som en registrerad har personlig anknytning till eller annan nära förbindelse med enligt 4 §, har blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf. Rätt att meddela föreskrifter 8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om innehållet i säkerhetsregistret och om utlämnande av personuppgifter ur registret. 4 kap. Övriga bestämmelser Administrativa sanktionsavgifter 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 4 § om särskild upplysning, eller 3. 2 kap. 5 § eller 3 kap. 7 § om den längsta tid som personuppgifter får behandlas. En sanktionsavgift får också tas ut vid överträdelse av föreskrifter som har meddelats i anslutning till denna lag om särskild upplysning eller om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Överklagande 3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 januari 2019. 2. Genom lagen upphävs lagen (2001:617) om behandling av personuppgifter inom kriminalvården. 3. En sanktionsavgift enligt 4 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet. 4. Den upphävda lagen gäller fortfarande för överträdelser som har skett före ikraftträdandet. 5. Den upphävda lagen gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av personuppgifter vid verkställighet av häktning eller straffrättsliga påföljder eller biträde till andra behöriga myndigheter. 2.8 Förslag till lag om ändring i rättegångsbalken Härigenom föreskrivs att 28 kap. 12 a och b §§ rättegångsbalken ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 28 kap. 12 a § Kroppsbesiktning genom tagande av salivprov får göras på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en DNA-analys av provet och registrera DNA-profilen i det DNA-register eller det utredningsregister som förs enligt polisdatalagen (2010:361). Kroppsbesiktning genom tagande av salivprov får göras på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en dna-analys av provet och registrera dna-profilen i det dna-register eller det utredningsregister som förs enligt lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område. 12 b § Kroppsbesiktning genom tagande av salivprov får göras på annan än den som skäligen kan misstänkas för ett brott, om 1. syftet är att genom en DNA-analys av provet underlätta identifiering vid utredning av ett brott på vilket fängelse kan följa, och 1. syftet är att genom en dna-analys av provet underlätta identifiering vid utredning av ett brott på vilket fängelse kan följa, och 2. det finns synnerlig anledning att anta att det är av betydelse för utredningen av brottet. Analysresultatet får inte jämföras med de DNA-profiler som finns registrerade i register över DNA-profiler som förs enligt polisdatalagen (2010:361) eller i övrigt användas för annat ändamål än det för vilket provet har tagits. Analysresultatet får inte jämföras med de dna-profiler som finns registrerade i register över dna-profiler som förs enligt lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område eller i övrigt användas för annat ändamål än det för vilket provet har tagits. Första stycket gäller inte den som är under 15 år. Denna lag träder i kraft den 1 januari 2019. 2.9 Förslag till lag om ändring i polislagen (1984:387) Härigenom föreskrivs att 26 § polislagen (1984:387) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 26 § Transportföretag får lämna uppgifter enligt 25 § på så sätt att de görs läsbara för Polismyndigheten eller Säkerhetspolisen genom terminalåtkomst. Polismyndigheten och Säkerhetspolisen får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter som hålls tillgängliga på detta sätt får inte ändras eller på annat sätt bearbetas eller lagras av Polismyndigheten eller Säkerhetspolisen. Polismyndigheten och Säkerhetspolisen får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst, ska omedelbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott. Denna lag träder i kraft den 1 januari 2019. 2.10 Förslag till lag om ändring i säkerhetsskyddslagen (1996:627) Härigenom föreskrivs att 12 § säkerhetsskyddslagen (1996:627) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 12 § Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller lagen (2010:362) om polisens allmänna spaningsregister. Med registerkontroll avses också att uppgifter hämtas som behandlas med stöd av polisdatalagen (2010:361). Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter som behandlas med stöd av lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område hämtas. 1. Denna lag träder i kraft den 1 januari 2019. 2. Äldre föreskrifter gäller fortfarande för uppgifter som hämtas från Säkerhetspolisen och som behandlas med stöd av polisdatalagen (2010:361). 2.11 Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen Härigenom föreskrivs att 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 16 § Transportföretag får lämna uppgifter enligt 15 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst. Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Tullverket får inte ändra eller på annat sätt bearbeta eller lagra uppgifter som hålls tillgängliga på detta sätt. Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst, skall omedelbart förstöras, om de visar sig sakna betydelse för utredning och lagföring av brott. Denna lag träder i kraft den 1 januari 2019. 2.12 Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem Härigenom föreskrivs att 5 § lagen (2000:344) om Schengens informationssystem ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 § Registret ska endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna, i enlighet med respektive stats nationella lagstiftning. Polismyndigheten får föra in uppgifter i registret endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen (1998:204), polisdatalagen (2010:361) eller annan svensk författning. Polismyndigheten får föra in uppgifter i registret endast om behandling av motsvarande slag av uppgifter är tillåten enligt brottsdatalagen (2018:000), lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område eller någon annan författning. Denna lag träder i kraft den 1 januari 2019. 2.13 Förslag till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet Härigenom föreskrivs att 1 kap. 1 och 5 §§ lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 kap. 1 § Denna lag tillämpas vid behandling av personuppgifter i Tullverkets verksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Bestämmelserna i 4-6 och 8 §§ samt 2 kap. gäller även vid behandling av uppgifter om juridiska personer. Bestämmelserna i denna lag gäller inte behandling av uppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. För sådan behandling finns det särskilda bestämmelser i tullbrottsdatalagen (2017:447). Bestämmelserna i denna lag gäller inte vid behandling av personuppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. 5 § Uppgifter som behandlas enligt 4 § får även behandlas för 1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för a) fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter eller avgifter, b) revision och annan analys- eller kontrollverksamhet, c) tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, och d) utsökning och indrivning, 2. att tillhandahålla information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 5 § tullbrottsdatalagen (2017:447), 2. att tillhandahålla information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 1 § lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område, 3. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och 4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Denna lag träder i kraft den 1 januari 2019. 2.14 Förslag till lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang Härigenom föreskrivs att 8 a § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 a § En polisman eller annan anställd vid Polismyndigheten får fotografera en person som har eller skäligen kan antas få tillträdesförbud enligt denna lag i syfte att fotografiet ska kunna tillföras det register som Polismyndigheten får föra enligt lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang. En polisman eller annan anställd vid Polismyndigheten får fotografera en person som har eller skäligen kan antas få tillträdesförbud enligt denna lag i syfte att fotografiet ska kunna tillföras det register som Polismyndigheten får föra enligt 5 kap. lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område. Denna lag träder i kraft den 1 januari 2019. 1.1 2.15 Förslag till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet Härigenom föreskrivs att 1, 3 och 4 §§ lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet. Nämnden ska även utöva tillsyn över den behandling av personuppgifter enligt polisdatalagen (2010:361) och lagen (2010:362) om polisens allmänna spaningsregister som utförs av Polismyndigheten, Säkerhetspolisen och Ekobrottsmyndigheten. När det gäller Säkerhetspolisen ska tillsynen även avse behandling enligt polisdatalagen (1998:622). Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 10 § polisdatalagen (2010:361) och 5 § polisdatalagen (1998:622) samt 12 § lagen om polisens allmänna spaningsregister. Nämnden ska även utöva tillsyn över den behandling av personuppgifter som utförs av Polismyndigheten, Säkerhetspolisen och Ekobrottsmyndigheten enligt brottsdatalagen (2018:000) och lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område för de syften som anges i 1 kap. 1 § i den sistnämnda lagen. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 11 § brottsdatalagen. Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första och andra styckena bedrivs i enlighet med lag eller annan författning. 3 § Nämnden är skyldig att på begäran av en enskild kontrollera om han eller hon har utsatts för sådana tvångsmedel eller varit föremål för sådan personuppgiftsbehandling som avses i 1 § och om användningen av tvångsmedel och därmed sammanhängande verksamhet eller behandlingen av personuppgifter har skett i enlighet med lag eller annan författning. Nämnden skall underrätta den enskilde om att kontrollen har utförts. Nämnden är skyldig att på begäran av en enskild kontrollera om han eller hon 1. har utsatts för sådana tvångsmedel som avses i 1 § och om användningen av dem och verksamhet som hänger samman med dem har varit i enlighet med lag eller annan författning, eller 2. varit föremål för sådan personuppgiftsbehandling som avses i 1 § och om den har utförts i enlighet med lag eller annan författning. Nämnden ska underrätta den enskilde om att kontrollen har utförts. Nämnden får vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad. 4 § Nämnden har rätt att av förvaltningsmyndigheter som omfattas av tillsynen få de uppgifter och det biträde som nämnden begär. Även domstolar samt de förvaltningsmyndigheter som inte omfattas av tillsynen är skyldiga att lämna nämnden de uppgifter som den begär. Nämnden har rätt att av förvaltningsmyndigheter som omfattas av tillsynen få de uppgifter och upplysningar, den information och det biträde som nämnden begär. Även domstolar och de förvaltningsmyndigheter som inte omfattas av tillsynen är skyldiga att lämna nämnden de uppgifter som den begär. 1. Denna lag träder i kraft den 1 januari 2019. 2. Äldre föreskrifter gäller fortfarande för nämndens tillsyn över Säkerhetspolisens behandling av uppgifter i frågor som rör nationell säkerhet med stöd av polisdatalagen (2010:361) eller polisdatalagen (1998:622). 3. Äldre föreskrifter gäller fortfarande för nämndens tillsyn över annan personuppgiftsbehandling än den som anges i punkten 2 som utförts före ikraftträdandet. 2.16 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) Härigenom föreskrivs att 18 kap. 2 och 18 §§, 35 kap. 1, 4 a, 10 och 10 b §§ och 37 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 18 kap. 2 § Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 7 § 1 eller 6 kap. 1 § 1 polisdatalagen (2010:361), om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 1 § 1 lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till sådan verksamhet som avses i 1. sådan verksamhet som avses i 2 kap. 5 § 1 skattebrottsdatalagen (2017:452), 1. 2 kap. 1 § 1 lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område 2 kap. 1 § 1, 2. sådan verksamhet som avses i 2 kap. 5 § 1 tullbrottsdatalagen (2017:447), eller 2. 2 kap. 1 § 1 lagen (2018:000) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område, eller 3. sådan verksamhet som avses i 3 kap. 2 § 1 kustbevakningsdatalagen (2012:145). 3. lagen (2018:000) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän handling före år 1949. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. 18 § Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisdatalagen (2010:361). Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område. 35 kap. 1 § Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i 1. utredning enligt bestämmelserna om förundersökning i brottmål, 2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott, 3. angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627), 4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen, 5. register som förs av Polismyndigheten enligt 4 kap. polisdatalagen (2010:361) eller som annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 6 kap. samma lag, 5. register som förs av Polismyndigheten enligt 5 kap. lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas med stöd av de bestämmelserna, 6. register som förs enligt lagen (1998:621) om misstankeregister, 7. register som förs av Skatteverket enligt skattebrottsdatalagen (2017:452) eller som annars behandlas där med stöd av samma lag, 7. register som förs av Skatteverket enligt lagen (2018:000) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag, 8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, 8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller 9. register som förs av Tullverket enligt tullbrottsdatalagen (2017:447) eller som annars behandlas där med stöd av samma lag, eller 9. register som förs av Tullverket enligt lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag. 10. register som förs enligt lagen (2010:362) om polisens allmänna spaningsregister. Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs. Första stycket gäller inte om annat följer av 2, 6 eller 7 §. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. 4 a § Sekretess gäller i verksamhet som avser förande av register enligt lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretess gäller i verksamhet som avser förande av tillträdesförbudsregistret enligt 5 kap. lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider men. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. 10 § Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut 1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, 2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har meddelats med stöd i den lagen, 2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) och i förordning som har meddelats med stöd i den lagen, 3. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken, 3. enligt vad som föreskrivs i 4. enligt vad som föreskrivs i - lagen (1998:621) om misstankeregister, - polisdatalagen (2010:361), - lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område, - skattebrottsdatalagen (2017:452), - lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område, - tullbrottsdatalagen (2017:447), - lagen (2018:000) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område, - kustbevakningsdatalagen (2012:145), - lagen (2018:000) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område, - åklagardatalagen (2015:433), - lagen (2018:000) om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område, eller - förordningar som har stöd i dessa lagar, eller - förordningar som har stöd i dessa lagar. 4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken. 10 b § Sekretessen enligt 4 a § hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang. Sekretessen enligt 4 a § hindrar inte att en uppgift lämnas ut till en idrottsorganisation enligt vad som föreskrivs i 2 kap. 14 § lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område. 37 kap. 7 § Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisdatalagen (2010:361). Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område. 1. Denna lag träder i kraft den 1 januari 2019. 2. Äldre föreskrifter gäller fortfarande för sådan verksamhet som avses i 6 kap. 1 § 1 polisdatalagen (2010:361). 3. Äldre föreskrifter gäller fortfarande för uppgifter som behandlas av Säkerhetspolisen med stöd av polisdatalagen. 4. Äldre föreskrifter gäller fortfarande för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet. 2.17 Förslag till lag om ändring i lagen (2014:400) om Polismyndighetens elimineringsdatabas Härigenom föreskrivs i fråga om lagen (2014:400) om Polismyndighetens elimineringsdatabas dels att 6 och 7 §§ ska upphöra att gälla, dels att rubriken närmast före 7 § ska utgå, dels att 1, 2, 4, 11 och 12 §§ och rubrikerna närmast före 2, 11 och 12 §§ ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § Polismyndigheten får föra ett register över DNA-profiler i syfte att stärka kvaliteten i den forensiska verksamheten med DNA-analyser (elimineringsdatabasen) i enlighet med denna lag. Polismyndigheten får föra ett register över dna-profiler i syfte att stärka kvaliteten i den forensiska verksamheten med dna-analyser (elimineringsdatabasen) i enlighet med denna lag. Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar vid DNA-analyser och hanteringen av DNA-spår. Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar vid dna-analyser och hanteringen av dna-spår. Begreppen DNA-profil och DNA-analys som används i lagen har samma betydelse som i polisdatalagen (2010:361). Begreppen dna-profil och dna-analys som används i lagen har samma betydelse som i lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område. Förhållandet till personuppgiftslagen Förhållandet till annan reglering 2 § Denna lag gäller utöver personuppgiftslagen (1998:204). Denna lag gäller utöver brottsdatalagen (2018:000). 4 § En DNA-profil som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person får vid ett tillfälle jämföras med DNA-profiler i elimineringsdatabasen. Jämförelsen ska göras innan jämförelse görs med andra DNA-profiler i de DNA-register som regleras i 4 kap. polisdatalagen (2010:361). En dna-profil som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person får vid ett tillfälle jämföras med dna-profiler i elimineringsdatabasen. Jämförelsen ska göras innan jämförelse görs med andra dna-profiler i de dna-register som regleras i 5 kap. lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område. En DNA-profil från prov som har tagits med stöd av 28 kap. rättegångsbalken får vid ett tillfälle jämföras med DNA-profiler i elimineringsdatabasen. Avser DNA-profilen en misstänkt ska jämförelsen göras innan profilen läggs in i det utredningsregister eller det DNA-register som regleras i 4 kap. polisdatalagen. En dna-profil från prov som har tagits med stöd av 28 kap. rättegångsbalken får vid ett tillfälle jämföras med dna-profiler i elimineringsdatabasen. Om dna-profilen avser en misstänkt ska jämförelsen göras innan profilen läggs in i det utredningsregister eller det dna-register som regleras i 5 kap. lagen om polisens behandling av personuppgifter inom brottsdatalagens område. En DNA-profil som har tagits fram för att kvalitetssäkra den forensiska verksamheten med DNA-analyser och som inte hänför sig till brottsutredande verksamhet får jämföras med DNA-profiler i elimineringsdatabasen. En dna-profil som har tagits fram för att kvalitetssäkra den forensiska verksamheten med dna-analyser och som inte hänför sig till brottsutredande verksamhet får jämföras med dna-profiler i elimineringsdatabasen. Gallring Längsta tid för behandling 11 § Uppgifter i elimineringsdatabasen ska gallras när de inte längre behövs för att utreda om en persons DNA kan ha kontaminerat material, prover eller lokaler. Uppgifter i elimineringsdatabasen får inte behandlas när de inte längre behövs för att utreda om en persons dna kan ha kontaminerat material, prover eller lokaler. Uppgifter som rör anställda vid Polismyndigheten ska gallras senast två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde. Uppgifter som rör anställda vid Polismyndigheten får inte behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde. Uppgifter som har registrerats med stöd av 9 § ska gallras senast ett år efter det att uppgifterna registrerades. Uppgifter som har registrerats med stöd av 9 § får inte behandlas längre än ett år efter det att uppgifterna registrerades. Uppgifter som rör andra än de som anges i andra och tredje styckena ska gallras senast ett år efter det att det förhållande som grundade skyldigheten upphörde. Uppgifter som rör andra än de som anges i andra och tredje styckena får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten upphörde. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) gäller inte vid tillämpningen av denna paragraf. Rättelse och skadestånd Skadestånd 12 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som avses i 13 eller 14 §. Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som avses i 13 eller 14 §. Denna lag träder i kraft den 1 januari 2019. 2.18 Förslag till lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang Härigenom föreskrivs i fråga om lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang dels att 2, 4, 6, 8-10, 12 och 15 §§ ska upphöra att gälla, dels att rubrikerna närmast före 2, 4, 8-10, 12 och 15 §§ ska utgå, dels att nuvarande 3, 5, 7, 11, 13 och 14 §§ ska betecknas 2, 4, 5, 6, 7 och 8 §§, dels att rubriken till lagen samt 1 §, de nya 2, 4, 6 och 7 §§, dels att rubrikerna närmast före nuvarande 3, 5, 6, 11 och 14 §§ ska sättas närmast före de nya 2, 4, 5, 6 och 8 §§, dels att det ska införas en ny paragraf, 3 §, och närmast före de nya 3 och 7 §§ nya rubriker med följande lydelse. Nuvarande lydelse Föreslagen lydelse Lag om register över tillträdesförbud vid idrottsarrangemang Lag om idrottsorganisationers behandling av uppgifter om tillträdesförbud 1 § Syftet med denna lag är att göra det möjligt för Polismyndigheten och idrottsorganisationer som anordnar idrottsarrangemang att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut om tillträdesförbud vid idrottsarrangemang och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Syftet med denna lag är att göra det möjligt för idrottsorganisationer som anordnar idrottsarrangemang att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. 2 § Denna lag gäller behandling av personuppgifter för att upprätthålla gällande beslut om tillträdesförbud. Lagen gäller vid 1. Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret, och 2. idrottsorganisationers behandling av personuppgifter från tillträdesförbudsregistret. Denna lag gäller vid idrottsorganisationers behandling av personuppgifter från det tillträdesförbudsregister som förs enligt lagen (2018:218) om polisens behandling av personuppgifter inom brottsdatalagens område för att upprätthålla gällande beslut om tillträdesförbud. Lagen gäller behandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen gäller även för annan behandling i fall som avses i 14 §. Lagen gäller för behandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen gäller även för annan behandling i fall som avses i 8 §. Förhållandet till annan reglering 3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 4 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag. Varje idrottsorganisation är personuppgiftsansvarig för den behandling av personuppgifter som organisationen utför. 6 § Tillgången till personuppgifter ska begränsas till vad den som arbetar vid Polismyndigheten eller som arbetar eller utför uppdrag åt en idrottsorganisation behöver för att kunna fullgöra arbetsuppgifterna eller uppdraget. Tillgången till personuppgifter ska begränsas till vad den som arbetar eller utför uppdrag åt en idrottsorganisation behöver för att kunna fullgöra arbetsuppgifterna eller uppdraget. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om tillgången till personuppgifter. Längsta tid som personuppgifter får behandlas 7 § En uppgift som en idrottsorganisation har fått tillgång till från tillträdesförbudsregistret ska tas bort om uppgiften inte längre behövs för de ändamål som anges i 7 §, dock senast när tillträdesförbudets giltighetstid löper ut eller om tillträdesförbudet dessförinnan upphävs. Personuppgifter som en idrottsorganisation har fått tillgång till från tillträdesförbudsregistret får inte behandlas efter det att tillträdesförbudets giltighetstid löpt ut eller om tillträdesförbudet dessförinnan upphävts. Denna lag träder i kraft den 1 januari 2019. 2.19 Förslag till lag om ändring i domstolsdatalagen (2015:728) Härigenom föreskrivs i fråga om domstolsdatalagen (2015:728) dels att punkt 3 i ikraftträdande- och övergångsbestämmelserna till lagen (2018:250) om ändring i den lagen ska upphöra att gälla, dels att 2 och 16 §§ ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 § Denna lag gäller vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet. Lagen gäller också när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran. Lagen gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:000) om domstolarnas behandling av personuppgifter inom brottsdatalagens område. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. 16 § Personuppgifter får lämnas ut på medium för automatiserad behandling om det inte är olämpligt. Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. Denna lag träder i kraft den 1 januari 2019. 2.20 Förslag till lag om ändring i utlänningsdatalagen (2016:27) Härigenom föreskrivs att 15 § utlänningsdatalagen (2016:27) ska ha följande lydelse. Lydelse enligt prop. 2017/18:254 Föreslagen lydelse 15 § Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Med begränsning av de ändamål som annars gäller enligt 11 och 13 §§ får uppgifter om fingeravtryck eller fotografier i registren användas endast 1. vid prövning av ansökningar om uppehållstillstånd där skäl som anges i 4 kap. 1-2 a §§ utlänningslagen åberopas, 2. i ärenden om avvisning och utvisning, 3. i testverksamhet, 4. om det behövs för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket, eller 5. om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot det fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 4 kap. 11 § polisdatalagen (2010:361). 5. om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 5 kap. 11 § lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela 1. ytterligare föreskrifter om vilka uppgifter som får behandlas i registren över fingeravtryck och fotografier, och 2. föreskrifter om gallring. Denna lag träder i kraft den 1 januari 2019. 2.21 Förslag till lag om ändring i tullagen (2016:253) Härigenom föreskrivs att 4 kap. 8 § tullagen (2016:253) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 8 § Ett transportföretag får lämna uppgifter enligt 6 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst. Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter som hålls tillgängliga på detta sätt får inte ändras eller på annat sätt bearbetas eller lagras av Tullverket. Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst ska omedelbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott. Denna lag träder i kraft den 1 januari 2019. 2.22 Förslag till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete Härigenom föreskrivs att 6 kap. 1 §, 7 kap. 1, 3, 4 och 7 §§, 8 kap. 3 §, 9 kap. 4 och 5 §§, 10 kap. 1-3 §§ och rubriken närmast före 7 kap. 7 § lagen (2017:496) om internationellt polisiärt samarbete ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 kap. 1 § Om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till lagen gäller Om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till lagen gäller brottsdatalagen (2018:000) och följande författningar för respektive myndighet för behandling av personuppgifter vid internationellt polisiärt samarbete: - polisdatalagen (2010:361) för polisens behandling av personuppgifter vid internationellt polisiärt samarbete, - lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område, - kustbevakningsdatalagen (2012:145) för Kustbevakningens behandling av personuppgifter vid internationellt polisiärt samarbete, och - lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område, eller - tullbrottsdatalagen (2017:447) för Tullverkets behandling av personuppgifter vid internationellt polisiärt samarbete. - lagen (2018:000) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område. 7 kap. 1 § Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i de svenska registren över dna-profiler. Efter en överenskommelse mellan Sverige och en annan stat får kontaktstället i den andra staten göra en automatisk jämförelse mellan sina oidentifierade dna-profiler och referensuppgifter i de svenska registren över dna-profiler. Första och andra styckena gäller endast de register över dna-profiler som regleras i polisdatalagen (2010:361). Första och andra styckena gäller endast de register över dna-profiler som regleras i lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område. 3 § Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361). Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område. 4 § I syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott får det svenska kontaktstället i enskilda fall genom direktåtkomst söka uppgifter i en annan stats fingeravtrycksregister. Uppgifter får behandlas endast i den utsträckning den andra staten tillåter det och om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361). I syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott får det svenska kontaktstället i enskilda fall genom direktåtkomst söka uppgifter i en annan stats fingeravtrycksregister. Uppgifter får behandlas endast i den utsträckning den andra staten tillåter det och om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område. Det svenska kontaktstället ansvarar för att kontrollera om det mottagna fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg. Rättelse och skadestånd Skadestånd 7 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet. Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet. 8 kap. 3 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet. Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet. 9 kap. 4 § Det är förbjudet att till tredjeland eller en internationell organisation överföra eller göra tillgängliga sådana personuppgifter som har hämtats från VIS och som har lagts in i systemet av en annan stat. Detta är dock tillåtet i brådskande fall om 1. de villkor för sökning som anges i 1 § andra stycket är uppfyllda, 2. det är förenligt med svenska intressen att uppgifterna lämnas ut, 3. den stat som har lagt in uppgifterna i systemet samtycker till det, och 4. förutsättningarna i 33 och 34 §§ personuppgiftslagen (1998:204) är uppfyllda. 4. förutsättningarna i 8 kap. 1 § brottsdatalagen (2018:000) är uppfyllda. 5 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet. Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet. 10 kap. 1 § Vid samarbete enligt avtalet med USA får ett amerikanskt kontaktställe trots 33 § personuppgiftslagen (1998:204) medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361). Vid samarbete enligt avtalet med USA får ett amerikanskt kontaktställe medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område. 2 § På begäran av behöriga myndigheter får ett svenskt kontaktställe i enskilda fall genom direktåtkomst söka uppgifter i amerikanska fingeravtrycksregister i syfte att utreda ett brott för vilket det enligt svensk lag är föreskrivet fängelse i mer än ett år. Detsamma gäller om sökningen görs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar ett sådant brott. Uppgifter får behandlas endast om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361). Uppgifter får behandlas endast om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område. Det svenska kontaktstället ansvarar för att kontrollera om det mottagna fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg. 3 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet. Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet. 1. Denna lag träder i kraft den 1 januari 2019. 2. Äldre föreskrifter gäller fortfarande för uppgifter som behandlas av Säkerhetspolisen med stöd av polisdatalagen (2010:361). 2.23 Förslag till lag om ändring i säkerhetsskyddslagen (2018:585) Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585) dels att 3 kap. 13 och 14 §§ ska ha följande lydelse, dels att det i ikraftträdande- och övergångsbestämmelserna ska införas en ny punkt, 5, av följande lydelse. Lydelse enligt SFS 2018:585 Föreslagen lydelse 3 kap. 13 § Med registerkontroll avses i denna lag att uppgifter hämtas från register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter som behandlas med stöd av polisdatalagen (2010:361) hämtas. Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter som behandlas med stöd av lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område hämtas. 14 § Registerkontroll ska göras om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass. Uppgifter ska löpande hämtas under den tid deltagandet i den säkerhetskänsliga verksamheten pågår. För säkerhetsklass 1 eller 2 får uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas med stöd av polisdatalagen (2010:361) hämtas. Motsvarande uppgifter får även hämtas om den kontrollerades make eller sambo. För säkerhetsklass 3 får sådana uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas hos Säkerhetspolisen med stöd av polisdatalagen hämtas. För säkerhetsklass 1 eller 2 får uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas med stöd av lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område hämtas. Motsvarande uppgifter får även hämtas om den kontrollerades make eller sambo. För säkerhetsklass 3 får sådana uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas hos Säkerhetspolisen med stöd av lagen om polisens behandling av personuppgifter inom brottsdatalagens område hämtas. Om det finns synnerliga skäl får även andra uppgifter än sådana som anges i andra och tredje styckena hämtas. 5. Äldre föreskrifter gäller fortfarande för uppgifter som hämtas från Säkerhetspolisen och som behandlas med stöd av polisdatalagen (2010:361). 2.24 Förslag till lag om ändring i lagen (2018:591) om ändring i offentlighets- och sekretesslagen (2009:400) Härigenom föreskrivs att 35 kap. 1 och 10 §§ offentlighets- och sekretesslagen (2009:400) i stället för lydelsen enligt lagen (2018:591) om ändring i den lagen ska ha följande lydelse. Lydelse enligt SFS 2018:591 Föreslagen lydelse 35 kap. 1 § Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i 1. utredning enligt bestämmelserna om förundersökning i brottmål, 2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott, 3. angelägenhet som avser säkerhetsprövning enligt säkerhetsskydds-lagen (2018:585), 4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen, 5. register som förs av Polismyndigheten enligt 4 kap. polisdatalagen (2010:361) eller som annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 6 kap. samma lag, 5. register som förs av Polismyndigheten enligt 5 kap. lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas med stöd av de bestämmelserna, 6. register som förs enligt lagen (1998:621) om misstankeregister, 7. register som förs av Skatteverket enligt skattebrottsdatalagen (2017:452) eller som annars behandlas där med stöd av samma lag, 7. register som förs av Skatteverket enligt lagen (2018:000) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag, 8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, 8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller 9. register som förs av Tullverket enligt tullbrottsdatalagen (2017:447) eller som annars behandlas där med stöd av samma lag, eller 9. register som förs av Tullverket enligt lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag. 10. register som förs enligt lagen (2010:362) om polisens allmänna spaningsregister. Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs. Första stycket gäller inte om annat följer av 2, 6 eller 7 §. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. 10 § Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut 1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, 2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (2018:585) samt i förordning som har meddelats med stöd i den lagen, 2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (2018:585) och i förordning som har meddelats med stöd i den lagen, 3. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken, 3. enligt vad som föreskrivs i 4. enligt vad som föreskrivs i - lagen (1998:621) om misstankeregister, - polisdatalagen (2010:361), - lagen (2018:000) om polisens behandling av personuppgifter inom brottsdatalagens område, - skattebrottsdatalagen (2017:452), - lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område, - tullbrottsdatalagen (2017:447), - lagen (2018:000) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område, - kustbevakningsdatalagen (2012:145), - lagen (2018:000) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område, - åklagardatalagen (2015:433), - lagen (2018:000) om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område, eller - förordningar som har stöd i dessa lagar, eller - förordningar som har stöd i dessa lagar. 4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken. 3 Ärendet och dess beredning Europeiska unionen har enats om en genomgripande dataskyddsreform som ska vara genomförd under våren 2018. Reformen omfattar dels Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad dataskyddsförordningen, dels Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här kallat dataskyddsdirektivet. Regeringen beslutade den 17 mars 2016 kommittédirektiv om genomförande av dataskyddsdirektivet (dir. 2016:21). Utredningen om 2016 års dataskyddsdirektiv redovisade den 5 april 2017 delbetänkandet Brottsdatalag (SOU 2017:29). I delbetänkandet föreslås att direktivet i huvudsak ska genomföras genom en ny ramlag, brottsdatalagen. Regeringen beslutade den 19 april 2018 propositionen Brottsdatalag (prop. 2017/18:232). Utredningens slutbetänkande Brottsdatalag - kompletterande lagstiftning (SOU 2017:74) redovisades den 4 oktober 2017. Slutbetänkandets lagförslag, utom förslaget som gäller en särskild lag för Säkerhetspolisens behandling av personuppgifter, behandlas i denna proposition. Förslaget om Säkerhetspolisens behandling av personuppgifter kommer att behandlas i en kommande lagrådsremiss. En sammanfattning av betänkandet finns i bilaga 1. Betänkandets lagförslag i relevanta delar finns i bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2017/07698/L4). Vissa remissinstanser har framfört förslag till ändringar av andra författningar än de som är föremål för översyn inom ramen för detta lagstiftningsärende. Dessa förslag lämnas utan åtgärd. Chefen för Justitiedepartementet gav i september 2016 en utredare i uppdrag att biträda departementet med att lämna förslag på de författningsändringar som behövs i domstolsdatalagen (2015:728) och domstolsdataförordningen (2015:729) med anledning av dataskyddsförordningen (Ju2016/06265/LP). Uppdraget redovisades i augusti 2017 i departementspromemorian En omarbetad domstolsdatalag - anpassning till EU:s dataskyddsförordning (Ds 2017:41). En sammanfattning av promemorian i relevanta delar finns i bilaga 4, och promemorians lagförslag i relevanta delar finns i bilaga 5. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 6. Remissyttrandena finns tillgängliga i Justitiedepartementet (Ju2017/06965/DOM). Promemorians förslag om anpassning av domstolsdatalagen till dataskyddsförordningen behandlas i propositionen Anpassning av domstolsdatalagen till EU:s dataskyddsförordning (prop. 2017/18:113). I denna proposition behandlar regeringen promemorians förslag om avgränsning av domstolsdatalagens tillämpningsområde och komplettering av lagens ändamålsbestämmelser. Regeringen avser inte att gå vidare med promemorians övriga förslag. Lagrådet Regeringen beslutade den 5 april 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga 8. Regeringen följer i allt väsentligt Lagrådets förslag. En följd av detta är att lagförslagen i avsnitt 2.1-2.5 och 2.7 har utformats som nya lagar i stället för ändringslagar. Lagrådets synpunkter och förslag behandlas i avsnitt 4.4, 5.2, 5.7, 7.1.2, 8.1.2, 9.1.2, 10.1.2, 11.1.2, 13.1.3 och 14.2 samt i författningskommentaren. I förhållande till lagrådsremissens lagförslag har dessutom författningstekniska, språkliga och redaktionella ändringar gjorts. Förslagen i den del som avser ändringar i säkerhetsskyddslagen (2018:585) och lagen (2018:591) om ändring i offentlighets- och sekretesslagen (2009:400) är författningstekniskt och även i övrigt av sådan beskaffenhet att Lagrådets hörande skulle sakna betydelse. Regeringen har därför inte inhämtat Lagrådets yttrande över de förslagen. 4 Befintlig lagstiftning måste anpassas 4.1 Dataskyddsreformen Europeiska unionens nya dataskyddsreglering består av två rättsliga instrument. Det ena är dataskyddsförordningen och det andra är dataskyddsdirektivet. Reformen innebär att reglerna om personuppgiftsbehandling i framtiden kommer att finnas i två parallella regelverk. Personuppgiftslagen (1998:204) upphörde att gälla när dataskyddsförordningen började tillämpas den 25 maj 2018. Den nya lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, i fortsättningen dataskyddslagen, trädde i kraft samma dag, se prop. 2017/18:105. Dataskyddslagen innehåller bestämmelser av generell karaktär på förordningens område. Dataskyddsförordningen och dataskyddslagen gäller inte när dataskyddsdirektivet är tillämpligt. Direktivet ska vara genomfört senast den 6 maj 2018. Regeringen föreslår i prop. 2017/18:232 att direktivet i huvudsak ska genomföras genom en ny brottsdatalag. I brottsdatalagen, som ska gälla generellt inom direktivets tillämpningsområde, dras gränsen mot förordningens tillämpningsområde. Där regleras också vilka behöriga myndigheter som ska tillämpa lagen och andra frågor som är gemensamma för alla behöriga myndigheter. Brottsdatalagen kommer därmed, inom lagens tillämpningsområde, att fylla i stort sett samma funktion som personuppgiftslagen tidigare har gjort. Brottsdatalagen kommer att vara subsidiär till annan lag eller förordning som innehåller bestämmelser som avviker från lagen. På samma sätt som i dag kommer det även i fortsättningen att finnas särskilda registerförfattningar för flertalet av de myndigheter som ska tillämpa brottsdatalagen. Dessa författningar behöver anpassas till brottsdatalagen och den nya EU-regleringen. 4.2 Utgångspunkter för anpassningen till brottsdatalagen Brottsdatalagen kommer att fylla ungefär samma funktion som personuppgiftslagen har gjort i verksamhet som rör brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet. Det kommer dock fortfarande att krävas ytterligare reglering som tar hänsyn till de särskilda behov som vissa myndigheter har av att kunna behandla personuppgifter för att utföra sina arbetsuppgifter. Sådan särreglering bör finnas i myndigheternas registerförfattningar. Regleringen i registerförfattningarna utgår i dag från personupp-giftslagen på så sätt att författningen antingen gäller i stället för personuppgiftslagen, men hänvisar till vissa bestämmelser i den lagen, eller att författningen gäller utöver personuppgiftslagen. Personuppgiftslagen var allmänt hållen och tog bara begränsad hänsyn till de särskilda behov som vissa samhällssektorer har. Genom att brottsdatalagen i stället innehåller bestämmelser som är skräddarsydda för brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet minskar behovet av att ha särregler i registerförfattningarna. En utgångspunkt för den nya regleringen är därför att de generella bestämmelserna i brottsdatalagen i så stor utsträckning som möjligt ska ersätta motsvarande bestämmelser i registerförfattningarna. En annan utgångspunkt är att regleringen i de olika registerförfattningarna bör vara densamma, om det inte finns några sakliga skäl för särlösningar. En mer enhetlig reglering underlättar informationsutbytet, vilket är ett övergripande syfte med direktivet. Med dessa utgångspunkter behandlas i detta avsnitt vissa övergripande frågor om den kommande utformningen av registerförfattningarna. 4.3 Merparten av bestämmelserna är förenliga med dataskyddsdirektivet Regeringens bedömning: Merparten av bestämmelserna i registerförfattningarna är förenliga med dataskyddsdirektivet. Många bestämmelser behöver dock ändras för att få en enhetlig terminologi i registerförfattningarna. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens bedömning: Med undantag för kriminalvårdens lagstiftning har samtliga aktuella registerförfattningar tillkommit under de senaste åren. Det innebär att de uppfyller kraven som ställs i dataskyddsrambeslutet. Direktivet bygger vidare på regleringen i dataskyddsrambeslutet och registerförfattningarna är därmed till stor del redan anpassade till de krav som ställs i direktivet. Det stora flertalet av bestämmelserna i registerförfattningarna uppfyller alltså direktivets krav och behöver inte ändras i sak. Det kan dock även i dessa registerförfattningar finnas enskilda bestämmelser som måste ändras för att stå i överensstämmelse med hur brottsdatalagen genomför direktivet. Vissa bestämmelser bör dessutom ändras för att skapa en mer enhetlig utformning av registerförfattningarna eller en terminologi som är anpassad till brottsdatalagen. Kriminalvårdens registerförfattning avviker i många avseenden från den modernare reglering som gäller för övriga behöriga myndigheter. Kriminalvårdens reglering kräver därför särskilda överväganden. 4.4 Ändringslagar eller nya lagar? Regeringens förslag: Lagen om behandling av personuppgifter inom kriminalvården, polisdatalagen, kustbevakningsdatalagen, åklagardatalagen, tullbrottsdatalagen och skattebrottsdatalagen ska upphävas och nya lagar om myndigheternas behandling av personuppgifter inom brottsdatalagens område ska införas. Utredningen föreslår att anpassningarna till brottsdatalagen ska ske genom ändringar i befintliga registerförfattningar. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Anpassningen av myndigheternas registerförfattningar till brottsdatalagen innebär omfattande strukturella och redaktionella ändringar i lagen om behandling av personuppgifter inom kriminalvården, polisdatalagen, kustbevakningsdatalagen, åklagardatalagen, tullbrottsdatalagen och skattebrottsdatalagen, vilket även Lagrådet konstaterar. Lagrådet framhåller att om ändringarna sker i de befintliga lagarna så kommer de att framstå som helt omarbetade eftersom i princip alla paragrafer kommer att vara försedda med ett SFS-nummer från 2018 i de konsoliderade versionerna. Vidare får lagarna nya namn som innehåller orden "behandling av personuppgifter inom brottsdatalagens område" samtidigt som brottsdatalagen utfärdas 2018. Enligt Lagrådet blir det förvirrande när registerlagarna behåller sina gamla SFS-nummer. Mot den bakgrunden kan Lagrådet inte tillstyrka att lagändringarna sker genom ändringslagar utan förordar att samtliga lagar upphävs och ersätts med nya lagar. Att lagarna därmed kan komma att innehålla några bestämmelser som efter en mer ingående analys skulle ha fått en annan utformning kan enligt Lagrådet accepteras med hänsyn till att det är fråga om bestämmelser som överförs från nu gällande lag. Utredningen framhåller å sin sida att det krävs en total översyn av kriminalvårdens registerlagstiftning för att kriminalvården ska kunna behandlas på ett ändamålsenligt sätt. Utredningen, som inte haft utrymme att göra en sådan total översyn, föreslår därför ingen ny lag, trots att alla bestämmelser ändras och lagen får en ny utformning (SOU 2017:74 s. 547). Även regeringen anser att det kan finnas behov av att i framtiden göra en översyn av kriminalvårdens registerlagstiftning (se avsnitt 13.1.2). För övriga myndigheters befintliga registerförfattningar finns inte motsvarande behov av en översyn men även beträffande dessa lagar har det i detta lagstiftningsärende saknats utrymme att göra en sådan analys och granskning av befintliga bestämmelser som normalt sett sker när en ny lag beslutas. Av de skäl som Lagrådet anför anser regeringen dock att nackdelarna med att låta anpassningen till brottsdatalagen ske genom ändringslagar är så stora att myndigheternas registerförfattningar i stället bör upphävas och ersättas med nya lagar, trots att en fullständig översyn av registerförfattningarnas bestämmelser inte har kunnat genomföras. De nya lagförslagen (avsnitt 2.1-2.5 och 2.7) innebär att myndigheternas registerförfattningar omarbetas författningstekniskt och redaktionellt i förhållande till lagrådsremissens förslag, bl.a. flyttas två paragrafer i polisdatalagen (5 kap. 1 och 2 §§) helt oförändrade till polisens nya registerförfattning. Dessutom behöver övergångsbestämmelserna delvis formuleras om med anledning av att nya lagar föreslås i stället för ändringslagar. Även i övriga delar av propositionen görs redaktionella och språkliga ändringar i förhållande till lagrådsremissen som en följd av de nya lagförslagen. Innehållet i lagförslagen påverkas dock inte i sak av att anpassningen till brottsdatalagen görs i nya lagar i stället för i befintliga registerförfattningar. De bestämmelser i registerförfattningarna som inte kräver någon saklig ändring i förhållande till dagens reglering kommer inte att kommenteras när respektive författning behandlas. Bestämmelser som enbart blir föremål för mindre ändringar av språklig eller redaktionell karaktär kommer inte heller att tas upp särskilt. Frågan om de nya lagarnas namn behandlas nedan (se t.ex. avsnitt 7.1.2). 4.5 Lagarnas tillämpningsområden Regeringens förslag: De nya registerförfattningarna ska innehålla bestämmelser om tillämpningsområdet. Regleringen ska i likhet med tillämpningsområdet för brottsdatalagen utgå från syftet med personuppgiftsbehandlingen. Det ska också framgå att registerförfattningarna endast är tillämpliga när en myndighet agerar i egenskap av behörig myndighet. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens förslag Bestämmelser om tillämpningsområdet bör finnas kvar Brottsdatalagen kommer att innehålla bestämmelser om lagens tillämpningsområde och det kan därför ifrågasättas om det i fortsättningen behövs några bestämmelser om detta i registerförfattningarna. Dataskyddsreformen innebär dock att de behöriga myndigheterna kommer att få tillämpa ett flertal författningar vid behandlingen av personuppgifter och det är ofrånkomligt att regleringen blir förhållandevis svåröverskådlig. Redan detta talar för att tillämpningsområdet för varje registerförfattning bör anges så tydligt som möjligt. Inte minst bör det underlätta för myndigheterna om gränsdragningen mot dataskyddsförordningens tillämpningsområde kan klargöras i respektive författning. Vidare finns i dag vissa mer specifika bestämmelser om registerförfattningarnas tillämpningsområde som kommer att behövas även i fortsättningen. Som exempel kan nämnas bestämmelser om att en viss registerförfattning gäller för flera myndigheter (se t.ex. 1 kap. 2 § polisdatalagen). Mot den bakgrunden instämmer regeringen i utredningens bedömning att det även fortsättningsvis bör finnas bestämmelser om tillämpningsområdet i registerförfattningarna. Från verksamhet till syfte Den nuvarande regleringen i registerförfattningarna utgår från den verksamhet där behandlingen av personuppgifter utförs. I brottsdatalagen, som har sin grund i direktivets reglering, är i stället syftet med personuppgiftsbehandlingen avgörande för om lagen är tillämplig eller inte. Det är därför inte möjligt att i de nya lagarna införa bestämmelser som knyts till den verksamhet där behandlingen utförs. Eftersom regleringen ska utgå från syftet med behandlingen av personuppgifter bör uttrycket brottsbekämpande verksamhet utmönstras. I stället bör tillämpningsområdet utgå från hur 1 kap. 2 § brottsdatalagen är formulerad. Det innebär att tillämpningsområdet bör knytas till att personuppgifter behandlas i något av de syften som anges i brottsdatalagen, nämligen förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Ändringen innebär att tillämpningsområdet för registerförfattningarna kommer att bli något snävare än i dag, eftersom personuppgiftsbehandling som sker i den brottsbekämpande verksamheten men som har syften som ligger utanför brottsdatalagens tillämpningsområde inte kommer att omfattas av regleringen. Ett sådant exempel är när Polismyndigheten lämnar uppgifter från den brottsbekämpande verksamheten till tillståndsverksamheten. Då kommer i stället dataskyddsförordningens regelverk att bli tillämpligt. Myndigheten ska agera i egenskap av behörig myndighet Det är inte enbart syftet med personuppgiftsbehandlingen som avgör om brottsdatalagen är tillämplig. Det krävs också att myndigheten agerar i egenskap av behörig myndighet enligt den lagen. Behörig myndighet definieras som en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Det bör av bestämmelserna om tillämpningsområdet i respektive registerförfattning framgå att författningen endast är tillämplig när myndigheten agerar i egenskap av behörig myndighet. Hur förhåller sig brottsdatalagens och registerförfattningarnas tillämpningsområden till varandra? Den nya regleringens struktur innebär att brottsdatalagen, som ska tillämpas i hela rättskedjan, bildar den yttre ramen för regleringen och att registerförfattningarna inskränker rätten att behandla personuppgifter till behandling i vissa syften i respektive verksamhet. Registerförfattningarnas tillämpningsområden kommer alltså att vara snävare än brottsdatalagens. Som exempel kan nämnas att tillämpningsområdet för flertalet registerförfattningar inte omfattar behandling av personuppgifter i syfte att verkställa påföljder eller upprätthålla allmän ordning och säkerhet. Registerförfattningarna kommer inom sitt respektive tillämpningsområde att gälla utöver brottsdatalagen. Det innebär att de kommer att innehålla undantag, avvikelser och preciseringar i förhållande till brottsdatalagen. Regleringens struktur medför att registerförfattningarna måste läsas tillsammans med brottsdatalagen. En annan utgångspunkt bör vara att en myndighets registerförfattning ska reglera all myndighetens personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. I dag regleras dock framför allt Polismyndighetens personuppgiftsbehandling inom brottsdatalagens tillämpningsområde i flera olika författningar, vilket framgår av 1 kap. 3 § polisdatalagen. Det kommer inte heller i fortsättningen alltid att vara möjligt att i en och samma författning reglera all myndighetens personuppgiftsbehandling. Det bör i så stor utsträckning som möjligt framgå av respektive registerförfattning när det finns annan sådan reglering inom brottsdatalagens tillämpningsområde som ersätter bestämmelserna i registerförfattningen. 4.6 Ska registerförfattningarna reglera vissa frågor som inte rör dataskydd? Regeringens förslag: De nya registerförfattningarna ska innehålla sekretessbrytande bestämmelser. De ska också reglera på vilket sätt personuppgifter får lämnas ut och stadga en viss föreskriftsrätt som inte direkt rör tillämpningsområdet. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens förslag: Registerförfattningarna innehåller i dag inte bara dataskyddsbestämmelser utan också vissa andra bestämmelser som har nära samband med dataskyddsregleringen. En första kategori är de sekretessbrytande bestämmelser som finns i flertalet registerförfattningar. Vissa sekretessbrytande bestämmelser har tillkommit för att det ska vara möjligt att medge direktåtkomst till personuppgifter medan andra har till syfte att bryta sekretessen för visst informationsutbyte, t.ex. med Interpol och Europol. De sekretessbrytande bestämmelserna har ett så nära samband med personuppgiftsbehandlingen att de har en naturlig plats i registerförfattningarna. Det är också svårt att se att de skulle kunna placeras i någon annan författning. De bör därför föras över till de nya lagarna. Sekretessbrytande bestämmelser finns också i offentlighets- och sekretesslagen (2009:400) och i andra författningar som ska tillämpas av de behöriga myndigheterna. Bestämmelserna i registerförfattningarna reglerar alltså inte uttömmande när sekretessen bryts. Den andra kategorin är de bestämmelser som reglerar på vilket sätt som personuppgifter får lämnas ut. Exempelvis finns det i flertalet registerförfattningar en bestämmelse som föreskriver att endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling. Även dessa bestämmelser måste anses ha sin naturliga plats i registerförfattningarna. De medverkar dessutom indirekt till dataskyddet, eftersom de begränsar möjligheten att lämna ut personuppgifter elektroniskt. Den tredje kategorin är de bestämmelser som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål och om digital arkivering. Även sådana bestämmelser bör föras över till de nya lagarna. Genom att dessa frågor även i fortsättningen regleras i registerförfattningarna kan också den nuvarande strukturen behållas så långt möjligt. 5 Generella förändringar 5.1 Liknande behov av förändringar Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Kustbevakningen, Tullverket och Skatteverket har registerförfattningar som är uppbyggda på samma sätt. Det är framför allt de inledande kapitlen i registerförfattningarna som har ett till stor del likartat innehåll. Eftersom registerförfattningarna har betydande likheter är behovet av förändringar i de nya registerförfattningarna i stor utsträckning desamma. Det finns därför anledning att i detta avsnitt behandla de förändringar som är desamma för alla eller ett flertal av registerförfattningarna. Kriminalvårdens registerlagstiftning skiljer sig till stora delar från övriga registerförfattningar, men även den innehåller vissa bestämmelser som liknar dem som finns i de övriga registerförfattningarna. När så är fallet behandlas även kriminalvårdens bestämmelser i detta avsnitt. Domstolarnas registerlagstiftning behandlas i avsnitt 12. 5.2 En ny lagteknisk struktur Regeringens förslag: De nya registerförfattningarna ska gälla utöver brottsdatalagen. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten tillstyrker förslaget att registerförfattningarna bör gälla utöver brottsdatalagen. Sveriges advokatsamfund ansluter sig till bedömningen att vald lagteknisk modell ställer särskilda krav på tillämparen. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Polisdatalagen, kustbevakningsdatalagen, åklagardatalagen, tullbrottsdatalagen och skattebrottsdatalagen gäller i stället för personuppgiftslagen (se exempelvis 2 kap. 1 § polisdatalagen). Lagen om behandling av personuppgifter inom kriminalvården har en annan struktur. I 2 § föreskrivs att om inte annat följer av lagen eller föreskrifter som har meddelats med stöd av den så tillämpas personuppgiftslagen. Brottsdatalagen är till skillnad från personuppgiftslagen anpassad till de brottsbekämpande myndigheternas verksamhet. I förhållande till brottsdatalagen bör de nya registerförfattningarna endast innehålla de bestämmelser som krävs för att regleringen ska passa för respektive myndighets verksamhet. Registerförfattningarna bör därför utformas så att de gäller utöver brottsdatalagen. I brottsdatalagen finns alla grundläggande bestämmelser om hur personuppgifter får behandlas. Där regleras också den personuppgiftsansvariges skyldigheter, enskildas rättigheter och tillsynen över personuppgiftsbehandling. Brottsdatalagen innehåller vidare bestämmelser om administrativa sanktionsavgifter, skadestånd och överklagande. Där anges också vad som gäller för överföring av personuppgifter till tredjeland. Att de nya registerförfattningarna föreslås gälla utöver brottsdatalagen innebär att de framför allt bör innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från bestämmelserna i brottsdatalagen. I den mån en fråga regleras i brottsdatalagen men inte i registerförfattningen ska alltså brottsdatalagen tillämpas. Det innebär vidare att de bestämmelser som finns i registerförfattningarna ska läsas tillsammans med regleringen i brottsdatalagen. Det kan vara fråga om bestämmelser som t.ex. preciserar vilka särskilda krav som gäller vid behandling av en viss typ av personuppgifter eller hur länge en viss typ av personuppgifter får behandlas. Det kan även finnas bestämmelser som inskränker möjligheten att behandla vissa personuppgifter. En konsekvens av att en registerförfattning gäller utöver brottsdatalagen är att tillämparen inte kan nöja sig med att ta del av registerförfattningens reglering utan också måste tolka bestämmelserna i registerförfattningen i ljuset av regleringen i brottsdatalagen. Om formuleringen av en bestämmelse i en registerförfattning t.ex. medger två olika tolkningar, men bara den ena av dem är förenlig med regleringen i brottsdatalagen, så är det den tolkningen som gäller. I en författning som gäller utöver en annan upprepas inte bestämmelserna i den överordnade författningen, utom i de fall där det är nödvändigt för förståelsen av en bestämmelse i den förstnämnda författningen. Inte heller görs det hänvisningar till bestämmelserna i den överordnade författningen om det inte är absolut nödvändigt för sammanhanget. En författning som gäller utöver en annan ställer därför särskilda krav på tillämparen. Lagrådet anför att regelverket är svåröverskådligt eftersom vissa rättsregler utgör preciseringar av ramlagarna, andra är undantag från eller kompletterar dessa. Enligt Lagrådet framstår det som önskvärt att i framtiden försöka åtgärda regelverkets strukturella utformning så att det blir klarare och mer överskådligt. Regeringen delar Lagrådets uppfattning att regelverket framstår som svåröverskådligt men konstaterar att förklaringen till detta till stor del ligger i utformningen av de EU-rättsakter angående personuppgiftsbehandling som Sverige har att förhålla sig till. 5.3 Bestämmelser som inte längre behövs 5.3.1 Undantag från viss informationsskyldighet Regeringens bedömning: Det behövs inga undantag från informationsskyldigheten vid behandling av personuppgifter i ljud- eller bildupptagningar eller i samband med larm i de nya registerförfattningarna. Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Sveriges advokatsamfund påpekar att det finns situationer då en fotograferad person, som förekommer i en upptagning som har tillkommit i annat syfte än att samla in personuppgifter om honom eller henne, är så pass utpekad eller i en sådan utsatt situation att det kan finnas en skyldighet att informera enligt 4 kap. 2 § brottsdatalagen. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens bedömning: Enligt 23 § personuppgiftslagen ska den personuppgiftsansvarige självmant informera den registrerade om behandling av personuppgifter som samlas in från den registrerade själv. I 2 kap. 2 § tredje stycket polisdatalagen, 2 kap. 2 § tredje stycket kustbevakningsdatalagen och 2 kap. 2 § tredje stycket tullbrottsdatalagen görs undantag från den informationsskyldigheten vid behandling av personuppgifter genom bilder eller ljud och i samband med larm, om det med hänsyn till omständigheterna inte finns tid att informera. Motsvarande undantag för behandling genom bilder eller ljud görs i 2 kap. 2 § tredje stycket skattebrottsdatalagen. I brottsdatalagen finns ingen skyldighet att självmant informera den registrerade som helt motsvarar 23 § personuppgiftslagen. I 4 kap. 1 § brottsdatalagen föreskrivs att den personuppgiftsansvarige ska göra viss allmän information tillgänglig, exempelvis via den personuppgiftsansvariges webbplats. I 4 kap. 2 § samma lag föreskrivs att den registrerade i specifika fall ska informeras om det behövs för att han eller hon ska kunna ta tillvara sina rättigheter. Därutöver ska den personuppgiftsansvarige enligt 4 kap. 3 § brottsdatalagen till den som begär det utan onödigt dröjsmål lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Den enda bestämmelse i brottsdatalagen som föreskriver en direkt skyldighet att självmant informera den registrerade är alltså 4 kap. 2 § som rör information i specifika fall. Sådana specifika fall kan exempelvis föreligga om den enskilde riskerar att lida någon rättsförlust, t.ex. om känsliga personuppgifter har behandlats på ett otillåtet sätt (se prop. 2017/18:232 s 226 f.). Informationsskyldigheten enligt 4 kap. 2 och 3 §§ brottsdatalagen begränsas i 4 kap. 5 § brottsdatalagen. I den sistnämnda paragrafen anges att informationsskyldigheten inte gäller i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att t.ex. förebygga brott. När det gäller informationsskyldighet vid behandling av personuppgifter vid ljud- och bildupptagningar kan inledningsvis konstateras att om en person t.ex. fångas på bild som en följd av att han eller hon kameraövervakas enligt bestämmelser i rättegångsbalken eller i underrättelseverksamhet gäller normalt sett sekretess enligt 18 kap. 1 eller 2 §§ offentlighets- och sekretesslagen. Någon skyldighet finns då inte enligt brottsdatalagen att informera personen om att uppgifterna behandlas. Det kan emellertid uppstå situationer då en person fångas på en ljud- eller bildupptagning som inte i sin helhet omfattas av sekretess, exempelvis då en förbipasserande person syns på bilder från en brottsplats eller då polisen öppet dokumenterar ett visst händelseförlopp på grund av oroligheter i samband med en fotbollsmatch eller en demonstration. I dessa fall rör det sig om upptagningar som har tillkommit i annat syfte än att samla in personuppgifter om den berörda personen och personens identitet är som regel okänd. För det fall identiteten är känd, och personen därmed i och för sig skulle kunna informeras om att hans eller hennes personuppgifter behandlas på aktuellt sätt, kan det ifrågasättas vilket värde informationen skulle ha för den enskilde. Under angivna förutsättningar är det svårt att se att personen i fråga skulle riskera att lida någon rättsförlust av behandlingen och alltså föreligger inte heller något sådant specifikt fall som aktualiserar informationsskyldighet. Som Sveriges advokatsamfund har påpekat skulle det kunna uppkomma situationer då en fotograferad eller filmad person, som förekommer i en upptagning som har tillkommit i annat syfte än att samla in personuppgifter om honom eller henne, är så pass utpekad eller utsatt att det finns en skyldighet att informera enligt 4 kap. 2 § brottsdatalagen. Sådana situationer bör dock endast komma att uppstå undantagsvis. Utgångspunkten måste i stället vara att någon informationsskyldighet som regel inte uppkommer gentemot exempelvis förbipasserande på ljud- och bildupptagningar. Även i fråga om information som lämnas av registrerade i samband med larm är det svårt att se att de som larmar skulle lida någon rättsförlust av behandlingen och att det skulle föreligga något sådant specifikt fall som aktualiserar informationsskyldighet. De som larmar får anses känna till att deras personuppgifter registreras genom ljudupptagning. Det innebär att det inte behövs någon information för att de registrerade ska kunna ta tillvara sina rättigheter. Mot bakgrund av vad som anförts ovan bedöms att några undantag från informationsskyldigheten vid behandling av personuppgifter i ljud- eller bildupptagningar och i samband med larm inte behöver införas i de nya registerförfattningarna. 5.3.2 Syftet med lagarna Regeringens bedömning: Det behövs inga bestämmelser som beskriver syftet med de nya registerförfattningarna. Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten har inget emot att bestämmelserna tas bort men betonar att det är viktigt att det framgår att intresset av att skydda den enskildes integritet och intresset av effektiviteten i polisens verksamhet är jämbördiga intressen. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens bedömning: Enligt 1 kap. 1 § första stycket brottsdatalagen är syftet med lagen dels att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt. Regleringen ger uttryck för att det ska gälla en väl avvägd balans mellan, å ena sidan, skyddet för den personliga integriteten, och, å andra sidan, samhällets behov av att myndigheter kan behandla personuppgifter i den verksamhet som omfattas av direktivets tillämpningsområde (se prop. 2017/18:232 s. 82). I 1 kap. 1 § polisdatalagen, 1 kap. 1 § kustbevakningsdatalagen, 1 kap. 1 § åklagardatalagen, 1 kap. 1 § tullbrottsdatalagen och 1 kap. 1 § skattebrottsdatalagen anges det övergripande syftet med respektive lag. Exempelvis anges i 1 kap. 1 § polisdatalagen att syftet med lagen är att ge bl.a. Polismyndigheten möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och skydda människor mot att deras personliga integritet kränks vid sådan behandling. Brottsdatalagen kommer att tillämpas av alla myndigheter som behandlar personuppgifter inom lagens tillämpningsområde och registerförfattningarna ska läsas tillsammans med brottsdatalagen. Den dubbla målsättningen med brottsdatalagen - att stärka integritetsskyddet och att samtidigt värna om att behöriga myndigheter kan behandla personuppgifter på ett ändamålsenligt sätt - gäller således oavsett om det är t.ex. Polismyndigheten eller Kustbevakningen som behandlar personuppgifter. Det finns då inte skäl att införa bestämmelser i de nya registerförfattningarna som anger att syftet med lagen i stort sett är detsamma som det övergripande syftet med brottsdatalagen. Det finns inte heller skäl att väga eller särskilt ange förhållandet mellan de dubbla syftena i registerförfattningarna utöver vad som framgår av brottsdatalagen. Att syftet inte framgår direkt av var och en av registerförfattningarna innebär inte att integritetsskyddet försvagas. 5.3.3 Behandling av känsliga personuppgifter Regeringens bedömning: Det behövs inga generella bestämmelser i de nya registerförfattningarna om behandling av känsliga personuppgifter och användning av känsliga personuppgifter som sökbegrepp. Det behövs inte heller bestämmelser om att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Datainspektionen tillstyrker utredningens förslag till systematik men framhåller att det är viktigt att förslaget inte innebär en försämring av skyddet för den personliga integriteten vid behandling av känsliga personuppgifter. Inspektionen påpekar bl.a. att de generella bestämmelserna i brottsdatalagen om behandling av känsliga personuppgifter därför måste analyseras tillsammans med de eventuella avvikelser, t.ex. avseende sökförbudet, som föreslås för respektive registerförfattning. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens bedömning Känsliga personuppgifter I 2 kap. 11 och 12 §§ brottsdatalagen finns det bestämmelser om känsliga personuppgifter. I 2 kap. 11 § föreskrivs att personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning inte får behandlas. Om uppgifter om en person behandlas får de dock kompletteras med känsliga personuppgifter när det är absolut nödvändigt för ändamålet med behandlingen. Enligt 2 kap. 12 § brottsdatalagen får biometriska uppgifter som används för att identifiera en person och genetiska uppgifter behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. Att biometriska uppgifter som används för att identifiera en person och genetiska uppgifter ingår i uppräkningen av känsliga personuppgifter har sin grund i direktivet. Detsamma gäller uppgifter om sexuell läggning, även om de redan tidigare som regel har betraktats som känsliga personuppgifter. Enligt 2 kap. 13 § brottsdatalagen, som hänvisar till 2 kap. 2 §, får känsliga personuppgifter behandlas om det är nödvändigt för diarieföring. Detsamma gäller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning. I 5 § lagen om behandling av personuppgifter inom kriminalvården, 2 kap. 10 § polisdatalagen, 2 kap. 8 § åklagardatalagen, 2 kap. 7 § kustbevakningsdatalagen, 2 kap. 10 § tullbrottsdatalagen och 2 kap. 8 § skattebrottsdatalagen finns det bestämmelser om behandling av känsliga personuppgifter. Eftersom behandling av känsliga personuppgifter regleras i brottsdatalagen, finns det inte skäl att införa motsvarande generella regler i de nya registerförfattningarna. Uppgifter som beskriver en persons utseende I 2 kap. 7 § andra stycket brottsdatalagen föreskrivs att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Bestämmelsen har placerats tillsammans med reglerna om personuppgifters kvalitet i stället för i anslutning till bestämmelserna om behandling av känsliga personuppgifter, eftersom den gäller oberoende av om uppgifterna om utseende är känsliga personuppgifter eller inte. I 2 kap. 10 § tredje stycket polisdatalagen, 2 kap. 7 § tredje stycket kustbevakningsdatalagen, 2 kap. 8 § tredje stycket åklagardatalagen, 2 kap. 10 § tredje stycket tullbrottsdatalagen och 2 kap. 8 § tredje stycket skattebrottsdatalagen finns bestämmelser med motsvarande innehåll. Eftersom det i brottsdatalagen finns en bestämmelse om hur uppgifter om personers utseende ska utformas behöver det inte regleras i registerförfattningarna. Registerförfattningarna ska inte längre innehålla sökförbud I 2 kap. 14 § brottsdatalagen föreskrivs ett generellt förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Enligt 3 kap. 5 § polisdatalagen, 4 kap. 4 § kustbevakningsdatalagen, 3 kap. 4 § åklagardatalagen, 3 kap. 5 § tullbrottsdatalagen och 3 kap. 5 § skattebrottsdatalagen får känsliga personuppgifter inte användas som sökbegrepp vid sökning i personuppgifter som gjorts gemensamt tillgängliga. Något motsvarande sökförbud finns inte för uppgifter som endast ett fåtal har tillgång till. Enligt 5 § tredje stycket lagen om behandling av personuppgifter inom kriminalvården får känsliga personuppgifter inte användas som sökbegrepp om inte regeringen har föreskrivit det. Mot bakgrund av att brottsdatalagen innehåller ett generellt sökförbud behövs inte bestämmelserna i de nya registerförfattningarna om användning av känsliga personuppgifter som sökbegrepp. Bestämmelser som innebär undantag från det generella sökförbudet behandlas närmare i bl.a. avsnitt 7.3.3. Som Datainspektionen framhåller är det av vikt att det samlade förslaget om behandling av känsliga personuppgifter inte innebär någon försämring av skyddet för den personliga integriteten. Mot bakgrund av det som anförts i nämnda avsnitt och i prop. 2017/18:232 s. 155 f., bedömer regeringen inte att förslagen i sin helhet får någon sådan effekt. 5.3.4 Särskilda upplysningar Regeringens förslag: Registerförfattningarna ska enbart innehålla bestämmelser om särskilda upplysningar i fråga om uppgifter som behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet. Bestämmelserna om särskilda upplysningar ska liksom i dag gälla vid behandling av personuppgifter som har gjorts gemensamt tillgängliga. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten ansluter sig till utredningens bedömningar om att även fortsatt använda uttrycket misstänkt och rörande särskilda upplysningar om uppgiftslämnarens trovärdighet och riktighet i sak. Säkerhets- och integritetsskyddsnämnden efterfrågar ett förtydligande av om utredningens förslag till bestämmelse i 3 kap. 4 § polisens brottsdatalag är avsedd att utgöra ett komplement till eller avvikelse från kraven i 2 kap. 9 och 10 §§ brottsdatalagen. Nämnden efterfrågar också ett förtydligande av om kravet på särskild upplysning avseende personer som inte är misstänkta för att ha utövat eller kommer att utöva brottslig verksamhet tar sikte på personer som över huvud taget inte är misstänkta för någon brottslighet eller personer som inte är misstänkta för den brottsliga verksamhet som undersöks. Datainspektionen avstyrker utredningens förslag att kravet på särskilda upplysningar enbart ska gälla om personuppgifterna har gjorts gemensamt tillgängliga. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Bestämmelser om särskilda upplysningar Enligt 2 kap. 3 § andra stycket brottsdatalagen ska det ändamål som personuppgifter behandlas för tydliggöras genom en särskild upplysning, om det inte framgår av sammanhanget eller på annat sätt. I 2 kap. 9 § brottsdatalagen föreskrivs att personuppgifter som rör olika kategorier av registrerade så långt det är möjligt ska särskiljas, t.ex. personer som är misstänkta eller dömda för brott, brottsoffer eller andra som berörs av ett brott. Om det inte framgår av sammanhanget eller på annat sätt vilken kategori personen tillhör, ska det tydliggöras genom en särskild upplysning. Enligt 2 kap. 10 § brottsdatalagen ska vidare personuppgifter som grundar sig på fakta så långt det är möjligt skiljas från personuppgifter som grundar sig på personliga bedömningar. Om grunden inte framgår av sammanhanget eller på något annat sätt ska den tydliggöras genom en särskild upplysning. I flera av registerförfattningarna föreskrivs att det i vissa fall ska lämnas särskilda upplysningar. Bestämmelser om särskilda upplysningar, med något olika innehåll, finns i 3 kap. 3 och 4 §§ polisdatalagen, 4 kap. 2 och 3 §§ kustbevakningsdatalagen, 3 kap. 3 § åklagardatalagen, 3 kap. 3 och 4 §§ tullbrottsdatalagen och 3 kap. 3 och 4 §§ skattebrottsdatalagen. De särskilda upplysningarna ska avse att personen i fråga inte är misstänkt vare sig för brott eller för att utöva brottslig verksamhet. I fråga om den som är misstänkt för att utöva eller att komma att utöva brottslig verksamhet ska de särskilda upplysningarna belysa uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Det ska också finnas en särskild upplysning om ändamålet med behandlingen, om det inte framgår på annat sätt. Bestämmelserna om särskilda upplysningar gäller endast för personuppgifter som har gjorts gemensamt tillgängliga. Upplysningar om ändamålet med behandlingen Registerförfattningarna bör inte innehålla bestämmelser som motsvarar brottsdatalagens krav på att ändamålet med behandlingen ska framgå. Särskilda upplysningar bara om uppgifterna är gemensamt tillgängliga Kraven på särskilda upplysningar i de brottsbekämpande myndigheternas registerförfattningar gäller alltså enligt nuvarande reglering endast uppgifter som har gjorts gemensamt tillgängliga. Frågan är om det finns skäl att i de nya registerförfattningarna göra undantag från bestämmelserna om särskilda upplysningar för personuppgifter som inte har gjorts gemensamt tillgängliga. Såväl direktivet som brottsdatalagen ger utrymme för att göra undantag från kravet på särskilda upplysningar i aktuellt fall. Direktivets krav på särskilda upplysningar beträffande vilken kategori en person tillhör och beträffande att fakta ska skiljas från personliga bedömningar gäller bara så långt det är möjligt att lämna sådan information. Kravet i 2 kap. 3 § andra stycket brottsdatalagen, om att ändamålet med behandlingen ska framgå, följer inte av direktivet utan skapar ett sådant extra skydd för enskildas integritet som direktivet medger att nationell rätt får innehålla. Behovet av särskilda upplysningar gör sig framför allt gällande om personuppgifter behandlas utanför sitt ursprungliga sammanhang. I förarbetena till polisdatalagen diskuteras ingående skälen för att ha sådana bestämmelser och när särskilda upplysningar inte behövs (se prop. 2009/10:85 s. 145 f.). När ett fåtal personer behandlar uppgifterna och är införstådda med varför det görs finns det inget behov av särskilda upplysningar. I dessa fall tillgodoses integritetsskyddet som de särskilda upplysningarna syftar till att skapa på annat sätt. Regeringen anser därför, till skillnad från Datainspektionen, att kravet på särskilda upplysningar på samma sätt som i dag enbart ska gälla vid behandling av personuppgifter som har gjorts gemensamt tillgängliga. För de behöriga myndigheter som inte har en reglering som gör skillnad mellan uppgifter som har gjorts gemensamt tillgängliga och andra uppgifter kommer bestämmelserna i brottsdatalagen om särskilda upplysningar att gälla utan undantag. Det kan förefalla som om det därmed ställs högre krav på de myndigheter som i dag överhuvudtaget inte behöver förse personuppgifter med särskilda upplysningar, medan de myndigheter som har en sådan reglering får undantag från kraven i brottsdatalagen i vissa fall. Enligt brottsdatalagen ska personuppgifter förses med särskilda upplysningar bara om det förhållande som upplysningen skulle avse inte framgår av sammanhanget eller på något annat sätt. Det är framför allt i det inledande skedet av en förundersökning och i underrättelseverksamhet som det kan vara otydligt vilken roll en person har och varför uppgifter om honom eller henne behandlas. När det gäller andra myndigheter än de brottsbekämpande kommer det därför normalt inte att krävas några särskilda upplysningar och då finns det inte heller skäl att ha något undantag. Upplysningar om vilken kategori en person tillhör I brottsdatalagen ställs det delvis andra krav på särskilda upplysningar än i registerförfattningarna. Sådana bestämmelser i registerförfattningarna som innebär att det genom en särskild upplysning ska framgå att en viss person inte är misstänkt täcks, såvitt gäller brottsutredande och lagförande verksamhet, av regleringen i 2 kap. 9 § brottsdatalagen. Det finns därför inte skäl att i registerförfattningarna ha bestämmelser som föreskriver att det ska framgå att en person inte är misstänkt för brott i brottsutredande och lagförande verksamhet. Underrättelseverksamheten är emellertid i stor utsträckning oreglerad och i den reglering som finns gör man ingen tydlig uppdelning mellan olika kategorier av personer. Det generella krav som uppställs i 2 kap. 9 § brottsdatalagen är därför språkligt mindre väl lämpat att tillämpas i underrättelseverksamhet. Det är än viktigare ur integritetssynpunkt att det i underrättelseverksamheten görs tydlig skillnad mellan personer som har ett direkt samband med den brottsliga verksamheten och andra personer. Mot den bakgrunden bör bestämmelser motsvarande det nuvarande kravet i registerförfattningarna på särskilda upplysningar föras in i de nya registerförfattningarna. Säkerhets- och integritetsskyddsnämnden efterfrågar ett förtydligande av om sådana bestämmelser är avsedda att utgöra ett komplement till eller avvikelse från kraven i brottsdatalagen. Konsekvensen av de föreslagna särreglerna för underrättelseverksamheten i detta avseende är att det preciserade kravet när det gäller särskilda upplysningar om personer som inte är misstänkta gäller istället för det mer generellt hållna kravet på åtskillnad mellan olika kategorier av registrerade. Det väcker frågan hur man ska se på det förhållandet att begreppet misstänkt används i registerförfattningarna även om personer vilkas uppgifter behandlas i underrättelseverksamhet, trots att regelverket i övrigt förutsätter att ett konkret brott har begåtts för att någon ska kunna betecknas som misstänkt. Misstänkt används i detta sammanhang för att skilja ut personer som kan ha direkt samband med den brottsliga verksamheten från andra (se t.ex. 3 kap. 4 § polisdatalagen och 3 kap. 4 § tullbrottsdatalagen). Användningen av begreppet misstänkt kritiserades av Lagrådet när polisdatalagen infördes. Regeringen valde att behålla det under hänvisning till tidigare lagstiftning på området (se prop. 2009/10:85 s. 150 och 522). Begreppet är så inarbetat att det inte heller bör ändras nu. Säkerhets- och integritetsskyddsnämnden menar att det bör förtydligas om kravet på särskilda upplysningar avseende personer som inte är misstänkta för att ha utövat eller kommer att utöva brottslig verksamhet tar sikte på personer som över huvud taget inte är misstänkta för någon brottslighet eller personer som inte är misstänkta för den brottsliga verksamhet som undersöks. Kravet på särskild upplysning avseende personer som inte är misstänkta tar sikte på personer som inte är misstänkta för den brottsliga verksamhet som undersöks. Den alternativa tolkning som Säkerhets- och integritetsskyddsnämnden tar upp skulle enligt regeringens mening leda till att det eftersträvade integritetsskyddet inte får avsedd effekt. Exempelvis bör uppgifter om en person som är misstänkt för ett trafikbrott i många fall kunna förses med särskild upplysning om att han eller hon inte är misstänkt då uppgifterna behandlas för ändamålet att förebygga, förhindra eller upptäcka sexualbrott. Särskilda upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak När det gäller bestämmelsen i 2 kap. 10 § brottsdatalagen, som föreskriver att fakta ska skiljas från personliga bedömningar och att det ska anges genom en särskild upplysning om det inte framgår på annat sätt, kan det ifrågasättas om det går att dra en parallell med de bestämmelser som i dag finns i registerförfattningarna. Det är framför allt beträffande uppgifter som behandlas i underrättelseverksamhet som det enligt 3 kap. 4 § polisdatalagen, 4 kap. 3 § kustbevakningsdatalagen, 3 kap. 4 § tullbrottsdatalagen och 3 kap. 4 § skattebrottsdatalagen krävs särskilda upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Ovan nämnda bestämmelser preciserar vilka upplysningar som krävs i fråga om personuppgifter som behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet. En förundersökning rör ett konkret brott och det framgår då som regel direkt av sammanhanget varför det har ansetts finnas fog för att behandla uppgifter, t.ex. av förhörsprotokoll eller vittneslistor. Risken för missuppfattningar inom ramen för handläggningen av en sådan utredning är därför liten (se prop. 2009/10:85, s. 151). När det gäller uppgifter som behandlas i underrättelsesyfte är det särskilt angeläget av integritetsskyddskäl att det går att utläsa om den som har lämnat uppgifterna kan anses vara tillförlitlig samt graden av riktighet i sak. Det är t.ex. viktigt att veta om informationen består av kontrollerade fakta eller endast icke styrkta påståenden. Det bör därför även i de nya registerförfattningarna finnas sådana, i förhållande till 2 kap. 10 § brottsdatalagen mer preciserade, bestämmelser som föreskriver att uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet. Säkerhets- och integritetsskyddsnämnden efterfrågar ett förtydligande av om bestämmelserna är avsedda att utgöra ett komplement till eller avvikelse från kraven i brottsdatalagen. Konsekvensen av de föreslagna särreglerna för underrättelseverksamheten är att det mer preciserade kravet när det gäller särskilda upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak gäller istället för det allmänna kravet att fakta ska skiljas från bedömningar i 2 kap. 10 § brottsdatalagen. Kravet på upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak bör endast avse uppgifter om den som antas utöva eller komma att utöva den brottsliga verksamheten. Eftersom det krav som gäller för anknytningen till den brottsliga verksamheten således är lågt ställt träffar regleringen en relativt vid personkrets. Så snart det finns något som stöder ett antagande om att en person har direkt samband med brottslig verksamhet och det är fråga om uppgifter som görs gemensamt tillgängliga bör således uppgifterna om personen förses med en särskild upplysning. Det är vidare endast sådana uppgifter som belyser på vilket sätt personen är knuten till brottsligheten som bör förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Det kan, förutom anknytningen till den brottsliga verksamheten, t.ex. röra sig om uppgifter om brottslighetens art och omfattning. Uppgifter av det slaget kan behöva förses med särskilda upplysningar för att personens anknytning till brottsligheten ska kunna bedömas. På samma sätt som i dag bör det göras undantag från kravet på särskild upplysning om det inte finns något behov av en sådan, därför att det framgår av sammanhanget vem som är uppgiftslämnare och hur trovärdig uppgiften är eller det av annat skäl är onödigt med en sådan upplysning. Om det t.ex. är fråga om uppgifter som hämtas från förundersökningar eller domar är en särskild upplysning som regel onödig om källan framgår. Enligt förarbetena till polisdatalagen anses det vara onödigt att bedöma trovärdigheten om uppgiftslämnaren är en polisman. Detsamma bör gälla andra tjänstemän med brottsbekämpande uppgifter. Däremot kan det även i ett sådant fall behövas en upplysning om uppgiftens riktighet i sak, eftersom förutsättningarna för att göra en viss iakttagelse kan behöva belysas (se prop. 2009/10:85 s. 341). Den nuvarande formuleringen av bestämmelserna innebär att det krävs särskild upplysning om det inte på grund av särskilda omständigheter är onödigt. Det har framkommit att det anses vara oklart vilka särskilda omständigheter som kan föranleda avsteg från huvudregeln och att detta har lett till en omotiverat restriktiv tillämpning. Regleringen bör därför ändras så att det ställs krav på särskilda upplysningar om det inte på grund av omständigheterna är onödigt. Med en sådan formulering undviker man den osäkerhet som kan finnas om vilken typ av omständigheter som kan göra behovet av särskilda upplysningar överflödigt. Om de samlade omständigheterna gör att trovärdigheten och riktigheten kan bedömas bör det vara tillräckligt. 5.3.5 Hänvisningar till offentlighets- och sekretesslagen Regeringens bedömning: Det behövs inga hänvisningar i de nya registerförfattningarna till att det finns bestämmelser om utlämnande i offentlighets- och sekretesslagen. Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Umeå universitet, juridiska institutionen, ansluter sig till utredningens bedömning att hänvisningarna bör upphävas. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens bedömning: I 2 kap. 19 § andra stycket och 5 kap. 9 § andra stycket polisdatalagen, 3 kap. 8 § andra stycket kustbevakningsdatalagen, 2 kap. 15 § andra stycket åklagardatalagen, 2 kap. 14 § andra stycket tullbrottsdatalagen och 2 kap. 13 § andra stycket skattebrottsdatalagen, som alla reglerar viss föreskriftsrätt, finns det hänvisningar till regleringen om utlämnande i offentlighets- och sekretesslagen. Bestämmelserna erinrar om att det även i offentlighets- och sekretesslagen finns bestämmelser om utlämnande. Syftet med bestämmelserna är enbart att klargöra att det i den lagen finns bestämmelser om utlämnande. Eftersom det finns bestämmelser om utlämnande också i andra författningar, exempelvis i tryckfrihetsförordningen, och hänvisningen är så generellt utformad fyller bestämmelserna i de nuvarande registerförfattningarna inte någon funktion. Bestämmelserna innehåller inte heller någon materiell reglering. Några motsvarande bestämmelser bör därför inte införas i de nya registerlagarna. 5.4 Behov av nya bestämmelser och anpassningar 5.4.1 Uppgifter om juridiska personer Regeringens förslag: Det ska finnas bestämmelser i de nya registerförfattningarna som rör behandling av uppgifter om juridiska personer, motsvarande de som finns i nuvarande reglering. Hänvisningar ska också göras till de bestämmelser i brottsdatalagen som motsvarar dem som i dag finns i registerförfattningarna och som är tillämpliga vid behandling av uppgifter om juridiska personer. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I 1 kap. 6 § polisdatalagen, 1 kap. 3 § kustbevakningsdatalagen, 1 kap. 4 § åklagardatalagen, 1 kap. 4 § tullbrottsdatalagen och 1 kap. 4 § skattebrottsdatalagen föreskrivs att vissa bestämmelser i författningarna även ska tillämpas på uppgifter om juridiska personer. Direktivet gäller enbart till skydd för fysiska personer och tillämpningsområdet för brottsdatalagen har utformats med det som grund. Bestämmelserna i registerförfattningarna om att de i vissa delar ska tillämpas på uppgifter om juridiska personer behöver inte utmönstras ur regleringen med anledning av dataskyddsreformen. Det är visserligen allmänt sett inte lika angeläget att skydda uppgifter om juridiska personer som uppgifter om fysiska personer. Eftersom uppgifter om juridiska personer i många fall samtidigt är indirekta personuppgifter kan behovet av särskilda skyddsregler för uppgifter om juridiska personer diskuteras. I de fall där man tidigare har ansett att det finns goda skäl att ge visst skydd även för uppgifter om juridiska personer finns det emellertid inte skäl att nu göra en annan bedömning. Bestämmelser om skydd för uppgifter om juridiska personer som motsvarar befintliga bestämmelser bör därför införas. Frågan är då om bestämmelserna enbart bör ta sikte på frågor som regleras i respektive registerförfattning, trots att vissa frågor som i dag regleras i registerförfattningarna och som ska tillämpas även på uppgifter om juridiska personer regleras i brottsdatalagen. Mot bakgrund av förslaget om att införa bestämmelser som motsvarar dagens reglering bör en hänvisning göras till de bestämmelser i brottsdatalagen som motsvarar dem som i dag finns i registerförfattningarna och som är tillämpliga vid behandling av uppgifter om juridiska personer. 5.4.2 Administrativa sanktionsavgifter Regeringens förslag: En sanktionsavgift ska få tas ut av den personuppgiftsansvarige vid överträdelse av vissa bestämmelser i registerförfattningarna. Det gäller överträdelse av bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter, om särskilda upplysningar och om längsta tid för behandling av personuppgifter. Sanktionsavgiften ska vara högst 10 000 000 kronor. Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att sanktionsavgiften bör vara minst 50 000 kr och högst 20 000 000 kr. Remissinstanserna: Polismyndigheten ifrågasätter att överträdelser av bestämmelser om särskilda upplysningar och längsta tid för behandling av personuppgifter, särskilt inom ramen för sådan komplex verksamhet som brottsbekämpning, ska kunna föranleda sanktionsavgift eftersom det i dessa fall är fråga om tillämpning av bestämmelser som kräver bedömningar. Datainspektionen tillstyrker att det ska vara möjligt att utdöma sanktionsavgifter vid överträdelse av registerförfattningarna. Försvarets radioanstalt ifrågasätter om det är lämpligt att sanktionsavgifter ska kunna tas ut av myndigheter eftersom tjänstemannaansvar kan utkrävas, det finns möjlighet att utkräva skadestånd vid överträdelser av t.ex. den föreslagna brottsdatalagen och eftersom regeringen också har möjlighet att ställa krav på myndigheter för att komma till rätta med överträdelser. Sala kommun har anfört att beloppet synes vara väl högt och kan bli betungande för en liten myndighet. Sveriges advokatsamfund ställer sig tveksam till att ett sanktionssystem som består av sanktionsavgifter i kombination med skadestånd är det mest effektiva sättet att se till att den nya lagregleringen följs. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Vilka överträdelser ska kunna leda till sanktionsavgift? Bestämmelser om möjlighet att ta ut administrativa sanktionsavgifter vid överträdelser av bestämmelser i brottsdatalagen har tagits in i 6 kap. den lagen. Sanktionsavgift kan enligt brottsdatalagen tas ut vid överträdelse av bestämmelser i den lagen. Sanktionsavgifter har bedömts kunna säkerställa efterlevnaden av bestämmelser i brottsdatalagen på nödvändigt sätt och har ansetts vara den lämpligaste reaktionen på överträdelser av regleringen även för myndigheternas del (se prop. 2017/18:232 s. 313 f.). Vissa bestämmelser i brottsdatalagen har visserligen ansetts vara av sådan art att någon sanktionsavgift inte bör komma i fråga vid överträdelser av dem, men det har inte ansetts motiverat att generellt undanta överträdelser av alla sådana bestämmelser som i någon mån kräver eller ger utrymme för olika bedömningar. Det finns inte skäl att välja någon annan lösning i fråga om sanktioner vid överträdelser av bestämmelser i de nya registerförfattningarna än den som har valts för överträdelser av bestämmelserna i brottsdatalagen. De synpunkter som har lämnats av Polismyndigheten, Försvarets radioanstalt, Sveriges advokatsamfund och Sala kommun i fråga om sanktionsavgifter föranleder inte någon annan bedömning. Om en bestämmelse i en registerförfattning ersätter, preciserar eller på annat sätt kompletterar en bestämmelse i brottsdatalagen som kan föranleda sanktionsavgift, bör alltså även överträdelse av bestämmelsen i registerförfattningen kunna föranleda sanktionsavgift. Med dessa utgångspunkter ska överträdelse av bestämmelser i de brottsbekämpande myndigheternas och kriminalvårdens registerförfattningar om tillåtna rättsliga grunder för behandling av personuppgifter och om längsta tid för behandling av personuppgifter kunna föranleda sanktionsavgift. Detsamma ska gälla bestämmelser om särskilda upplysningar. Det bör i respektive registerförfattning anges vilka överträdelser som kan föranleda sanktionsavgift. Ska en sanktionsavgift kunna tas ut även vid behandling av uppgifter om juridiska personer? Sanktionsavgift är främst tänkt att utgöra en reaktion på sådan otillåten behandling av personuppgifter som riskerar att kränka den personliga integriteten, vilket talar för att inskränka tillämpningen till uppgifter om fysiska personer. Eftersom direktivet enbart skyddar uppgifter om fysiska personer och bestämmelserna om sanktionsavgift har införts som en konsekvens av kravet på sanktioner i direktivet finns det inte skäl att utsträcka möjligheten att ta ut sanktionsavgift till överträdelser som gäller behandling av uppgifter om juridiska personer. Omfattar behandlingen även uppgifter om fysiska personer kan sanktionsavgift tas ut för den överträdelsen om förutsättningarna för det är uppfyllda. Hur hög bör sanktionsavgiften vara? Enligt 6 kap. 3 § första och andra styckena brottsdatalagen ska sanktionsavgift tas ut med ett lägre belopp vid mindre allvarliga överträdelser och med ett högre belopp vid allvarligare överträdelser. Det framgår av paragrafen vilka överträdelser som är mindre allvarliga respektive allvarliga. Överträdelse av brottsdatalagens bestämmelser om tillåtna rättsliga grunder för behandling, särskilda upplysningar och längsta tid för behandling av personuppgifter är enligt paragrafen allvarliga överträdelser. Det bör gälla även vid överträdelse av motsvarande bestämmelser i registerförfattningarna. Det finns inte anledning att i registerförfattningarna avvika från de belopp som fastställs i brottsdatalagen. En bestämmelse som anger det högsta belopp som kan komma i fråga bör finnas i var och en av registerförfattningarna. Vem ska betala sanktionsavgift? Den som är personuppgiftsansvarig ansvarar även för den behandling som ett personuppgiftsbiträde utför. En sanktionsavgift ska bara kunna tas ut av ett personuppgiftsbiträde i de fall där biträdet brutit mot uttryckliga skyldigheter enligt brottsdatalagen. Eftersom registerförfattningarna inte innehåller några sådana skyldigheter för personuppgiftsbiträden bör sanktionsavgift för överträdelser av bestämmelser i registerförfattningarna endast kunna tas ut av personuppgiftsansvariga. Om ett personuppgiftsbiträde i strid med brottsdatalagen har bestämt ändamålen med och medlen för behandlingen är biträdet att anse som personuppgiftsansvarig för den behandlingen och sanktionsavgift kan då tas ut i samma utsträckning som av en personuppgiftsansvarig (se 3 kap. 19 § andra stycket brottsdatalagen). Det kommer då att gälla även vid överträdelse av bestämmelser i en registerförfattning. Brottsdatalagens handläggningsbestämmelser gäller I brottsdatalagen finns det bestämmelser i 6 kap. 3 § tredje stycket, 4 och 5 §§ om hur sanktionsavgiften ska bestämmas och i 6 kap. 6 och 7 §§ om vad som gäller i fråga om beslut om sanktionsavgift. Att registerförfattningarna föreslås gälla utöver brottsdatalagen innebär att de handläggnings- och verkställighetsregler som finns i brottsdatalagen även gäller i de fall där sanktionsavgift tas ut för överträdelser av bestämmelser i registerförfattningarna. Några bestämmelser om handläggningen behövs därför inte i registerförfattningarna. 5.4.3 Skadestånd Regeringens förslag: I registerförfattningarna ska det anges att bestämmelsen om skadestånd i brottsdatalagen ska tillämpas när personuppgifter behandlas i strid med registerförfattningarna eller föreskrifter som har meddelats i anslutning till dem. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker att rätten till skadestånd i brottsdatalagen även ska tillämpas på motsvarande sätt när personuppgifter behandlas i strid med registerförfattningarna. Sveriges advokatsamfund ställer sig tveksam till att ett sanktionssystem som består av sanktionsavgifter i kombination med skadestånd är det mest effektiva sättet att se till att den nya lagregleringen följs. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Enligt 7 kap. 1 § brottsdatalagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integriteten som personuppgiftsbehandling i strid med brottsdatalagen, eller föreskrifter som har meddelats i anslutning till den, har orsakat. I de nuvarande registerförfattningarna finns det inte några bestämmelser om skadestånd. I stället hänvisas det i 2 kap. 2 § första stycket 12 polisdatalagen, 2 kap. 2 § första stycket 12 kustbevakningsdatalagen, 2 kap. 2 § första stycket 12 åklagardatalagen, 2 kap. 2 § första stycket 12 tullbrottsdatalagen och 2 kap. 2 § första stycket 12 skattebrottsdatalagen till 48 § personuppgiftslagen när det gäller skadestånd. Enligt 8 § lagen om behandling av personuppgifter inom kriminalvården gäller personuppgiftslagens bestämmelser om skadestånd vid behandling av personuppgifter enligt den lagen eller föreskrifter som har meddelats i anslutning till den. Rätten till skadestånd vid skada och kränkning bör vara densamma när personuppgifter behandlas i strid med bestämmelser i registerförfattningarna som vid behandling i strid med brottsdatalagen. Det finns inte skäl att välja någon annan lösning vid överträdelser av bestämmelser i de nya registerförfattningarna än den som har valts i brottsdatalagen. Det bör framgå genom att det i registerförfattningarna föreskrivs att 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med registerförfattningarna eller föreskrifter som har meddelats i anslutning till dem. Den synpunkt som har lämnats av Sveriges advokatsamfund leder inte till någon annan bedömning. 5.4.4 Överklagande Regeringens förslag: Det ska finnas hänvisningar i registerförfattningarna till bestämmelser om överklagande i brottsdatalagen. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Brottsdatalagen innehåller generella bestämmelser om överklagande. I 7 kap. 2 § brottsdatalagen föreskrivs att beslut i fråga om rättelse eller komplettering, radering eller begränsning av behandlingen av personuppgifter, som har meddelats av en myndighet i egenskap av personuppgiftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information på begäran av en registrerad, att ta ut avgift för att lämna information eller att inte medge omprövning av ett automatiserat beslut. Enligt 7 kap. 3 § får tillsynsmyndighetens beslut enligt lagen överklagas till allmän förvaltningsdomstol. I 7 kap. 4 § föreskrivs att andra beslut enligt lagen än de nu nämnda inte får överklagas I 2 kap. 2 § första stycket 13 polisdatalagen, 2 kap. 2 § första stycket 13 kustbevakningsdatalagen, 2 kap. 2 § första stycket 13 åklagardatalagen, 2 kap. 2 § första stycket 13 tullbrottsdatalagen och 2 kap. 2 § första stycket 13 skattebrottsdatalagen hänvisas det till överklagandereglerna i 51 § första stycket, 52 § första stycket och 53 § personuppgiftslagen. I 51 § första stycket regleras rätten att överklaga tillsynsmyndighetens beslut om annat än föreskrifter. Enligt 52 § första stycket får en myndighets beslut i fråga om information efter ansökan, om rättelse och underrättelse till tredje man, om information vid automatiserade beslut och om upplysningar till allmänheten om personuppgiftsbehandlingar som inte har anmälts till tillsynsmyndigheten överklagas. Enligt 53 § personuppgiftslagen får andra beslut inte överklagas. I 12-16 §§ lagen om behandling av personuppgifter inom kriminalvården finns det särskilda överklagandebestämmelser. I brottsdatalagen anges uttömmande vilka beslut av behöriga myndigheter som får överklagas. Rätten att överklaga omfattar enbart sådana beslut som en myndighet har fattat i egenskap av personuppgiftsansvarig och som berör den enskilde och går honom eller henne emot. Några andra beslut av en behörig myndighet får inte överklagas. Myndigheterna kommer att fatta beslut om exempelvis rättelse, radering eller begränsning av behandlingen med stöd av brottsdatalagen. Det blir alltså inte aktuellt att med stöd av någon av registerförfattningarna fatta sådana beslut som rör enskilda som de bör ha rätt att överklaga. I enlighet med regeringens ställningstagande i avsnitt 5.4.2 bör det i respektive registerförfattning anges vilka överträdelser som kan föranleda sanktionsavgift. Tillsynsmyndigheten beslutar om sanktionsavgift med stöd av 5 kap. 7 § och 6 kap. 6 § brottsdatalagen även när det gäller överträdelser av bestämmelserna i registerförfattningarna. Tillsynsmyndighetens beslut om sanktionsavgifter vid dessa överträdelser får därför överklagas enligt brottsdatalagen och någon särskild reglering avseende rätten att överklaga sådana beslut behövs således inte. Mot bakgrund av vad som anförts ovan finns det alltså inte skäl att särskilt reglera frågan om överklagande i registerförfattningarna. Det bör däremot framgå av registerförfattningarna att överklagande regleras i brottsdatalagen. 5.4.5 Uppgifter till rättsstatistiken Regeringens bedömning: Det behövs inga bestämmelser i de nya registerförfattningarna om överlämnande av personuppgifter för att framställa rättsstatistik. Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens bedömning: I 9 § lagen om behandling av personuppgifter inom kriminalvården, 2 kap. 14 § polisdatalagen, 2 kap. 12 § åklagardatalagen, 2 kap. 15 § tullbrottsdatalagen och 2 kap. 14 § skattebrottsdatalagen föreskrivs att personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik. En bestämmelse av motsvarande betydelse finns i 2 kap. 21 § brottsdatalagen. Det behövs därför inga motsvarande bestämmelser i registerförfattningarna. Kustbevakningen har idag ingen sådan uppgiftsskyldighet som gäller för ovan uppräknade myndigheter. Det finns emellertid inte skäl att undanta myndigheten från tillämpningsområdet av 2 kap. 21 § brottsdatalagen. Brottsdatalagens reglering innebär alltså att även Kustbevakningen får motsvarande uppgiftsskyldighet som övriga brottsbekämpande myndigheter och kriminalvården. 5.4.6 Terminologin anpassas Regeringens förslag: Terminologin i de nya registerförfattningarna ska vara anpassad till brottsdatalagen och i viss utsträckning till dataskyddsförordningen. Uttrycken brottsbekämpande verksamhet och beivra brott bör inte användas i de nya registerförfattningarna. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Uttrycket brottsbekämpning Uttrycket brottsbekämpande verksamhet bör inte användas i de nya registerförfattningarna. I stället bör som i brottsdatalagen utgångspunkten vara att personuppgifter behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Brottsbekämpande verksamhet anses i dag omfatta både att förebygga, förhindra och upptäcka brottslig verksamhet och att utreda och beivra brott. I brottsdatalagen görs dock, i linje med hur direktivet är utformat, skillnad mellan brottsbekämpning och lagföring. Uppgiften att beivra brott hänförs till lagföring. Uttrycket brottsbekämpning kommer därmed att ha en snävare innebörd än i dag. Det blir emellertid ingen saklig skillnad för de myndigheter som har till uppgift att både utreda och beivra brott, eftersom både brottsbekämpning och lagföring omfattas av registerförfattningens tillämpningsområde. För Skatteverket, som i motsats till övriga myndigheter inte har några lagförande uppgifter, innebär det inte heller någon ändring i sak att terminologin ändras på detta sätt. Uttrycket "beivra brott" Brottsdatalagen gäller för behandling av personuppgifter som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Uttrycket lagföra brott används i brottsdatalagen i stället för beivra brott. I flera av registerförfattningarna används i dag uttrycket beivra brott. Det förekommer bl.a. i 2 kap. 7 § polisdatalagen, 3 kap. 2 § kustbevakningsdatalagen, 2 kap. 5 § åklagardatalagen och 2 kap. 5 § tullbrottsdatalagen. I de nya registerförfattningarna bör terminologin stämma överens med hur tillämpningsområdet anges i 1 kap. 2 § brottsdatalagen. Det innebär att uttrycket beivra brott bör ersättas av lagföra brott. 5.5 Särskilt om längsta tid för behandling av personuppgifter 5.5.1 Struktur och terminologi Regeringens bedömning: Bestämmelser som motsvarar befintliga bestämmelser om bevarande och gallring bör införas i registerförfattningarna, men de bör formuleras så att det tydligt framgår att det är fråga om dataskyddsbestämmelser. Regler om hur länge uppgifter får behandlas ska som huvudregel samlas i särskilda kapitel i registerförfattningarna. Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Kammarrätten i Stockholm påpekar att de olika tidsfristerna för hur länge personuppgifter får behandlas är mycket svåröverskådliga och att det skulle vara bra om det gick att hitta ett mer enhetligt system. Polismyndigheten, Datainspektionen och Riksarkivet ser positivt på att terminologin på området renodlas så att begreppen bevarande och gallring endast används i arkivlagens (1990:782) mening. Riksarkivet välkomnar att det slås fast att regleringen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens bedömning Olika typer av bestämmelser I registerförfattningarna finns bestämmelser om bevarande och gallring av personuppgifter. Regleringen gäller enbart personuppgifter som behandlas automatiserat. Den styr således inte hur länge uppgifter som behandlas på papper får bevaras, varken i den brottsbekämpande verksamheten eller för arkivändamål. När det i detta avsnitt talas om hur länge personuppgifter får behandlas eller i vilken utsträckning behandling för arkivändamål är tillåten avses enbart automatiserad behandling. Enligt de brottsbekämpande myndigheternas registerförfattningar gäller som huvudregel att personuppgifter inte får behandlas under längre tid än vad som behövs för något av de ändamål som omfattas av respektive lags tillämpningsområde. Sådana bestämmelser behövs inte i de nya registerförfattningarna eftersom motsvarande reglering finns i brottsdatalagen. Därutöver finns det två olika typer av bestämmelser om bevarande och gallring av personuppgifter. Tullbrottsdatalagen kan tas som exempel, men motsvarande bestämmelser finns i de övriga brottsbekämpande myndigheternas registerförfattningar. Den ena typen är bestämmelser om gallring (se 4 kap. 3, 9 och 10 §§ tullbrottsdatalagen) som gäller för personuppgifter som inte förekommer i ärenden om utredning av eller lagföring för brott. Regleringen innebär att personuppgifterna inte får behandlas automatiserat efter vissa i lagen angivna tidsfrister. De får alltså inte heller som utgångspunkt arkiveras digitalt (jfr prop. 2016/17:91 s. 218). Det följer av att det i 2 kap. 2 § andra stycket tullbrottsdatalagen görs undantag från 8 § andra stycket personuppgiftslagen, som föreskriver att arkivlagstiftningen har företräde framför personuppgiftslagstiftningen. Behandling för arkivändamål är dock tillåten om det med stöd av 4 kap. 2 § 2 har meddelats föreskrifter om att personuppgifterna får bevaras för historiska, statistiska eller vetenskapliga ändamål. Sådana föreskrifter får enligt 17 § tullbrottsdataförordningen (2017:450) meddelas av Riksarkivet. Den andra typen av bestämmelser begränsar möjligheten att behandla personuppgifter som har gjorts gemensamt tillgängliga och som rör ärenden om utredning av eller lagföring för brott (se 4 kap. 6 och 7 §§ tullbrottsdatalagen och se vidare avsnitt 5.5.3). De reglerar hur länge personuppgifter får behandlas i den brottsbekämpande verksamheten men hindrar inte, till skillnad från bestämmelserna om gallring, att handlingar arkiveras digitalt enligt arkivlagens (1990:782) bestämmelser. När behandling inte längre är tillåten för brottsbekämpande ändamål kan bevarande således ske för arkivändamål utan att det krävs särskilda föreskrifter om det. I 4 kap. 2 § 1 och 3 tullbrottsdatalagen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om digital arkivering och om att vissa kategorier av personuppgifter får behandlas i den brottsbekämpande verksamheten under längre tid än vad som annars är föreskrivet. Sådana föreskrifter finns i 11-16 §§ tullbrottsdataförordningen. Av 11 § framgår att personuppgifter som arkiveras digitalt ska avskiljas från den brottsbekämpande verksamheten och att åtkomst till uppgifterna ska begränsas på visst sätt. Bestämmelserna om bevarande och gallring är dataskyddsbestämmelser Utgångspunkten i det arkivrättsliga regelverket är att uppgifter ska bevaras, medan presumtionen i regelverk som skyddar personuppgifter är den omvända. Gallring enligt det arkivrättsliga regelverket syftar till att begränsa arkivens omfattning bland annat för att därmed öka deras tillgänglighet, medan gallring enligt registerförfattningarna syftar till att skydda enskildas personliga integritet (se exempelvis prop. 2009/10:85 s. 207 f. och prop. 2016/17:91 s. 169). Orden bevarande och gallring bör i de nya registerförfattningarna enbart användas i den betydelse de har i arkivlagstiftningen, för att så långt som möjligt skilja mellan arkivrättsliga regler och regler om dataskydd. När syftet med bestämmelserna som i detta fall är att skydda den personliga integriteten bör regleringen därför i stället ange den yttersta gränsen för hur länge personuppgifterna får behandlas. Det gäller både i bestämmelser som motsvarar de nuvarande gallringsbestämmelserna och i bestämmelser som begränsar möjligheten att behandla personuppgifter i den brottsbekämpande verksamheten. Bestämmelserna bör därför formuleras så att de genomgående anger den längsta tid uppgifterna får behandlas. Avsikten är dock inte att den ändrade terminologin ska föranleda några ändringar i sak. Regeringens vidare överväganden gällande bestämmelser som motsvarar de nuvarande gallringsbestämmelserna och om föreskriftsrätt i anslutning till dessa behandlas nedan i avsnitt 5.5.2. Övervägandena gällande bestämmelser som motsvarar de nuvarande bestämmelserna om bevarande av uppgifter i ärenden om utredning eller beivrande av brott och om föreskriftsrätt i anslutning till dessa finns i avsnitt 5.5.3. En samlad reglering I tullbrottsdatalagen och skattebrottsdatalagen har bestämmelserna om bevarande och gallring samlats i ett särskilt kapitel. Den lösningen ger tillämparen en bättre överblick över hur länge personuppgifter får behandlas enligt lagen och bör så långt möjligt väljas i de övriga registerförfattningarna. I de fall där behandling av personuppgifter i särskilda register eller viss specifik verksamhet regleras särskilt bör dock bestämmelser som reglerar hur länge personuppgifter får behandlas i registret eller verksamheten hållas samman med regleringen i övrigt. Som Kammarrätten i Stockholm anser kan regleringen om hur länge personuppgifter får behandlas framstå som svåröverskådlig. Regleringen måste delas upp i flera olika bestämmelser, eftersom att det inte är lämpligt att låta samma tidsfrist gälla för all personuppgiftsbehandling. Med dessa förutsättningar är det svårt att skapa en reglering som är överskådlig och lättillgänglig. Genom att i stor utsträckning samla regleringen i varje registerförfattning och välja samma lagtekniska lösning för samtliga berörda registerförfattningar skapas dock enhetlighet i den utsträckning som det är möjligt. 5.5.2 Bestämmelser som innebär att behandling inte längre får ske för något ändamål Regeringens förslag: Bestämmelser som motsvarar befintliga bestämmelser om gallring ska införas i de nya registerförfattningarna men formuleras så att de anger den längsta tid som personuppgifterna får behandlas. Det ska även i de nya registerförfattningarna finnas bestämmelser om föreskriftsrätt avseende behandling av personuppgifter för vetenskapliga, statistiska eller historiska ändamål. Bestämmelserna ska formuleras så att det framgår att föreskriftsrätten även omfattar behandling för arkivändamål av allmänt intresse. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten anser att det, när begreppet gallring tas bort, är oklart om uttrycket längsta tid för behandling ändå ska tolkas som avvikande bestämmelser om gallring i arkivlagens mening. Den fråga som då inställer sig enligt myndigheten är om uppgifterna ska gallras med stöd av polisens brottsdatalag eller om gallringsföreskrifter från Riksarkivet behövs. Polismyndigheten anför vidare att det framstår som mer ändamålsenligt att i brottsdatalagen och i polisens registerförfattning - om ambitionen är att dessa lagar ska vara renodlade dataskyddslagar - endast reglera hur länge personuppgifterna får behandlas för syften inom lagens tillämpningsområde. Polismyndigheten vill i sammanhanget också framhålla att arkivering av handlingar från brottsbekämpande verksamhet på papper inte längre är ett möjligt alternativ utifrån den omfattande och komplicerade arkivbildning som myndigheten hanterar. Polismyndigheten anser att det utifrån ett rättssäkerhets- och handlingsoffentlighetsperspektiv inte är ändamålsenligt att ange pappersarkivering som ett alternativ för behandling för arkivändamål. Riksarkivet har framfört att det i fråga om lämplig skyddsåtgärd för att skydda den enskildes integritet vid arkivering inte alltid är säkrare med arkivering på papper än elektronisk sådan. Riksarkivet bedömer också att integritetskänsliga personuppgifter som huvudregel inte bör gallras och att sådana uppgifter i stället bör skyddas genom bestämmelser om sekretess och informationssäker behandling av uppgifterna. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Från gallring till längsta tid för behandling Behandling av personuppgifter för arkivändamål omfattas av dataskyddsförordningens tillämpningsområde (se prop. 2017/18:232 s. 167). Det kan mot den bakgrunden ifrågasättas om bestämmelser om gallring bör finnas i registerförfattningar som reglerar personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. Som nyss konstaterats är syftet med gallringsbestämmelserna att skydda enskildas personliga integritet genom att det föreskrivs när den automatiserade behandlingen av personuppgifter ska upphöra. Om informationen överförs från elektronisk form till pappersform och därefter inte finns kvar elektroniskt, anses detta skydd ha tillgodosetts (se t.ex. prop. 2016/17:91 s. 171). Bestämmelserna reglerar således inte fullt ut i vilken utsträckning det är tillåtet att behandla personuppgifterna för arkivändamål, utan styr endast i vilken form det får göras genom att ange att automatiserad behandling för arkivändamål inte är tillåten. De hindrar alltså inte arkivering på papper. Om det inte längre skulle finns några bestämmelser i registerförfattningarna som föreskriver när den automatiserade behandlingen av personuppgifter ska upphöra, skulle arkivlagens huvudregel om bevarande behöva tillämpas om uppgifterna finns i allmänna handlingar. En del av dagens integritetsskydd går då förlorat. Bestämmelser som reglerar hur länge personuppgifter får behandlas automatiserat och vara digitalt tillgängliga är därför även fortsatt nödvändiga för att tillgodose skyddet för enskildas personliga integritet. Sådana bestämmelser bör därför införas i de nya registerförfattningarna. I enlighet med regeringens bedömning i föregående avsnitt bör bestämmelser som motsvarar dagens bestämmelser om gallring emellertid formuleras om så att det framgår att de är dataskyddsbestämmelser. De bör utgå från hur länge personuppgifterna får behandlas automatiserat. Det gäller bestämmelserna i 7 § första stycket lagen om behandling av personuppgifter inom kriminalvården och de gallringsbestämmelser som finns i tillhörande förordning, 2 kap. 13 §, 3 kap. 14 §, 4 kap. 7, 14, 15, 20 och 22 §§ polisdatalagen, 3 kap. 5 § och 4 kap. 13 § kustbevakningsdatalagen, 2 kap. 10 § tredje stycket åklagardatalagen, 4 kap. 3, 9 och 10 §§ tullbrottsdatalagen och 4 kap. 3 och 8 §§ skattebrottsdatalagen. Som huvudregel bör den nu aktuella översynen inte föranleda någon annan bedömning av hur länge personuppgifterna får behandlas. Polismyndigheten anser att det är oklart om uttrycket längsta tid för behandling ska tolkas som sådana avvikande bestämmelser om gallring som avses i 10 § arkivlagen. Myndighetens synpunkt rör de uppgifter för vilka bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen inte gäller, dvs. de uppgifter som omfattas av de nuvarande bestämmelserna om gallring. Riksarkivet har definierat gallring som förstöring av allmänna handlingar eller förstöring av uppgifter i allmänna handlingar. Det är också fråga om gallring när andra åtgärder vidtas med allmänna handlingar som medför förlust av t.ex. betydelsebärande data eller sökmöjligheter. När det gäller gallring av elektroniska upptagningar avses normalt att viss information raderas från databäraren (se exempelvis RA-FS 2009:1 och betänkandet Myndighetsdatalag, SOU 2015:39, s. 526). Reglerna om längsta tid för behandling innebär att man inte längre får behandla uppgifterna automatiserat för något ändamål. De får därmed samma verkan som en åtgärd för gallring av elektroniska upptagningar. Att behandlingen av personuppgifterna upphör får därmed i praktiken till följd att det inte kan bli aktuellt för Riksarkivet att meddela gallringsföreskrifter avseende automatiserad behandling av samma uppgifter. Det ska även i fortsättningen vara tydligt att arkivlagstiftning inte har företräde Enligt 2 kap. 17 § första stycket brottsdatalagen får personuppgifter inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det hindrar enligt andra stycket inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet. Av registerförfattningarna följer att arkivlagstiftningen inte har företräde när gallringsbestämmelser är tillämpliga (se t.ex. 2 kap. 2 § andra stycket polisdatalagen). Syftet med regleringen är som nyss nämnts att förtydliga att personuppgifter i dessa fall inte får behandlas automatiserat för arkivändamål, det vill säga att uppgifterna inte får arkiveras digitalt. Uppgifterna får dock behandlas för arkivändamål om de överförs till pappersform. För att tydliggöra att ingen förändring i det avseendet är avsedd, trots den ändrade terminologin, bör det i registerförfattningarna göras undantag från 2 kap. 17 § andra stycket brottsdatalagen i ovan nämnda paragrafer. Såväl Polismyndigheten som Riksarkivet framför synpunkter gällande arkivering på papper och framhållit fördelarna med elektronisk sådan. Riksarkivet bedömer vidare att integritetskänsliga personuppgifter som huvudregel inte borde gallras. Med anledning av dessa synpunkter finns det skäl att framhålla att syftet med förslaget i denna del inte har varit att åstadkomma någon förändring i sak utan främst att göra vissa förtydliganden avseende skillnaden mellan regler om dataskydd och arkivrättsliga regler. Det pågår en bred översyn av den arkivrättsliga regleringen (dir. 2017:106). Något utrymme att se över förutsättningarna för digital arkivering finns inte inom ramen för detta lagstiftningsärende. Det finns dock anledning att peka på att registerförfattningarna även fortsättningsvis föreslås innehålla bestämmelser om föreskriftsrätt som ger utrymme för digital arkivering (se vidare avsnittet nedan). Bestämmelser om föreskriftsrätt avseende behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål I flertalet av registerförfattningarna upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Sådana bestämmelser finns bl.a. i 2 kap. 13 § tredje stycket polisdatalagen, 3 kap. 5 § tredje stycket och 4 kap. 14 § andra stycket kustbevakningsdatalagen, 2 kap. 11 § 2 åklagardatalagen, 4 kap. 2 § 2 tullbrottsdatalagen och 4 kap. 2 § 2 skattebrottsdatalagen (se vidare exempelvis 17 § tullbrottsdataförordningen och 3 § RA-MS 2010:68). I 9 § tredje stycket personuppgiftslagen användes samma uttryck, det vill säga historiska, statistiska eller vetenskapliga ändamål. I dataskyddsförordningen används i stället uttrycken arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Historiska ändamål delas alltså upp i arkivändamål av allmänt intresse och historiska forskningsändamål. Avsikten med uppdelningen är att förtydliga vad som avses med historiska ändamål. Även i direktivet görs i artikel 4.3 skillnad mellan behandling för arkivändamål av allmänt intresse och vetenskaplig, statistisk och historisk användning för ändamål som omfattas av direktivets tillämpningsområde. Det finns även fortsättningsvis behov av att kunna meddela föreskrifter om att personuppgifter som behandlas med stöd av registerförfattningarna får fortsätta att behandlas automatiserat för historiska, statistiska eller vetenskapliga ändamål när den längsta tillåtna tiden för behandling som anges i registerförfattningen löper ut. Sådana föreskrifter ger möjlighet att tillgodose dels rätten att ta del av allmänna handlingar, dels rättskipningens, förvaltningens och forskningens behov och bör föras in i de nya registerförfattningarna. Bestämmelserna bör dock formuleras om så att föreskriftsrätten avser hur länge personuppgifterna får behandlas. För att terminologin ska motsvara dataskyddsförordningens och dataskyddsdirektivets bör det vidare framgå att föreskriftsrätten även omfattar behandling för arkivändamål av allmänt intresse. I lagen om behandling av personuppgifter inom kriminalvården har man valt en annan lösning än föreskriftsrätt för att tillgodose myndighetens behov av att kunna behandla personuppgifter för historiska, statistiska och vetenskapliga ändamål. I 7 § andra stycket den lagen föreskrivs en generell möjlighet för myndigheten att behandla personuppgifter för angivna ändamål. Kriminalvården har även i fortsättningen behov av att kunna behandla personuppgifter för historiska, statistiska eller vetenskapliga ändamål. Detta behov bör dock, i likhet med vad som föreslås i övriga registerförfattningar, tillgodoses genom föreskrifter meddelade av regeringen eller den myndighet som regeringen bestämmer. Den nuvarande regleringen bör därför ersättas av en bestämmelse om föreskriftsrätt i den nya registerförfattningen. Det kan även här ifrågasättas om bestämmelser om föreskriftsrätt som möjliggör fortsatt behandling av personuppgifter för arkivändamål av allmänt intresse och för historiska, statistiska eller vetenskapliga ändamål bör finnas i registerförfattningar som endast reglerar personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. Eftersom föreskriftsrätten gäller enbart personuppgifter som behandlas för ändamål som omfattas av registerförfattningens tillämpningsområde kan föreskriftsrätten inte regleras i den generellt tillämpliga arkivlagstiftningen. Det finns inte heller någon annan naturlig plats för sådana bestämmelser. Föreskriftsrätten bör därför även fortsättningsvis regleras i registerförfattningarna även om det, som Polismyndigheten framför, skulle kunna framstå som mer ändamålsenligt att endast låta dem innehålla bestämmelser som reglerar personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. 5.5.3 Bestämmelser som innebär att behandling inte längre får ske för ändamål inom registerförfattningens tillämpningsområde Regeringens förslag: Bestämmelser som motsvarar befintliga bestämmelser om hur länge personuppgifter får behandlas i den brottsbekämpande verksamheten ska införas även i de nya registerförfattningarna, men formuleras om så att det framgår att de bara begränsar behandling för ändamål inom registerförfattningens tillämpningsområde. Bestämmelser som motsvarar befintliga bestämmelser om föreskriftsrätt avseende fortsatt behandling av vissa kategorier av personuppgifter ska införas även i de nya registerförfattningarna, men det ska förtydligas att de endast omfattar behandling av personuppgifter för ändamål inom tillämpningsområdet. Bestämmelser som motsvarar befintliga bestämmelser om föreskriftsrätt avseende digitalt arkiverade uppgifter ska införas även i de nya registerförfattningarna. Det ska dock förtydligas att de bestämmelserna endast omfattar behandling av personuppgifter för ändamål inom tillämpningsområdet och att föreskriftsrätten avser begränsning av behandlingen av arkiverade uppgifter. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten menar att utredningen antyder att myndigheternas arkivhantering omfattas av tillämpningsområdet för polisens brottsdatalag och att det inte är ett lämpligt angreppssätt eftersom behandling för arkivändamål endast ska regleras av dataskyddsförordningen. Myndigheten har även redogjort för vad som krävs enligt dataskyddsförordningen för att på nytt få behandla personuppgifter som har arkiverats och efterfrågar, i likhet med Kriminalvården, ett förtydligande av vad som krävs för återförande av personuppgifter för något av de ändamål som anges i en registerförfattning. Enligt Polismyndigheten föreligger det vidare ett starkt behov av att frågor som rör förhållandet mellan dataskyddsregler och arkivregler utreds närmare. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Det är bara behandlingen för ändamål inom registerförfattningens tillämpningsområde som begränsas I 3 kap. 10 och 11 §§ polisdatalagen, 4 kap. 9 och 10 §§ kustbevakningsdatalagen, 4 kap. 6 och 7 §§ tullbrottsdatalagen och 4 kap. 5 och 6 §§ skattebrottsdatalagen anges hur länge vissa personuppgifter får behandlas automatiserat i den brottsbekämpande verksamheten. Enligt 2 kap. 10 § andra stycket åklagardatalagen gäller motsvarande vid behandling för ändamål i den operativa verksamheten. Bestämmelserna hindrar inte att uppgifterna fortsätter att behandlas automatiserat för andra ändamål under längre tid än vad som anges i dem, vilket innebär att personuppgifterna bl.a. får behandlas automatiserat för arkivändamål. Bestämmelserna begränsar alltså enbart möjligheten till fortsatt behandling i den verksamhet som regleras i respektive registerförfattning. Motsvarande bestämmelser bör införas i de nya registerförfattningarna men det bör förtydligas att bestämmelserna enbart reglerar hur länge personuppgifter får behandlas för ändamål inom respektive registerförfattnings tillämpningsområde. Bestämmelser om föreskriftsrätt avseende fortsatt behandling inom tillämpningsområdet Av registerförfattningarna framgår att regeringen, i några fall också den myndighet som regeringen bestämmer, kan meddela föreskrifter om att vissa kategorier av personuppgifter får behandlas under längre tid i den brottsbekämpande verksamheten än vad som framgår av lag, se exempelvis 4 kap. 2 § 1 tullbrottsdatalagen och 3 kap. 12 § polisdatalagen. Det finns även fortsättningsvis behov av att kunna meddela sådana föreskrifter. Upplysningsbestämmelser om sådana föreskrifter bör därför finnas även i de nya registerförfattningarna, men det bör förtydligas att de endast omfattar behandling av personuppgifter för ändamål inom registerförfattningarnas tillämpningsområde. Konsekvenserna av att uppgifter har arkiverats Att uppgifter har arkiverats, oavsett om det görs digitalt eller i pappersform, innebär inte att det är förbjudet att på nytt behandla personuppgifterna för något av de ändamål som anges i en registerförfattning. Polismyndigheten har efterfrågat ett förtydligande av vad som krävs för återförande av personuppgifter för något av de ändamål som anges i en registerförfattning, mot bakgrund av skillnader i tolkning av finalitetsprincipens tillämplighet på dataskyddsförordningen respektive dataskyddsdirektivets område. Även Kriminalvården efterfrågar ett klargörande om hur frågor om bevarande av personuppgifter ska hanteras när uppgifter som behandlats under ett regelverk övergår till att behandlas under ett annat regelverk. När uppgifter avskiljs och behandlas uteslutande för arkivändamål behandlas de inte längre enligt brottsdatalagen och omfattas inte av dataskyddsdirektivets reglering, utan behandlingen styrs av dataskyddsförordningen och dataskyddslagen. Om uppgifter därefter återförs till den operativa verksamheten sker en ny insamling av uppgifter på brottsdatalagens område, och någon bedömning enligt finalitetsprincipen ska därför inte göras. Insamlingen förutsätter dock att det finns en tillåten rättslig grund och att regleringen i övrigt tillåter den nya behandlingen. Ett typiskt exempel kan vara att det kommer fram uppgifter som gör att en nedlagd förundersökning som har arkiverats bör återupptas eller att fråga om resning eller annat extraordinärt rättsmedel aktualiseras beträffande en dom eller ett beslut som har fått laga kraft. Ny behandling av de arkiverade uppgifterna kan då påbörjas för det ändamålet. Bestämmelser om föreskriftsrätt avseende fortsatt användning av digitalt arkiverade uppgifter Som nämnts tidigare framgår av registerförfattningarna att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela föreskrifter om digital arkivering, se exempelvis 4 kap. 2 § 3 tullbrottsdatalagen och 2 kap. 12 § andra stycket polisdatalagen. I de brottsbekämpande myndigheternas registerförordningar föreskrivs det att personuppgifterna ska avskiljas från myndighetens brottsbekämpande eller operativa verksamhet vid digital arkivering, se exempelvis 11 § tullbrottsdataförordningen och 19 § polisdataförordningen. Syftet är att uppgifterna inte ska vara digitalt åtkomliga i den verksamheten. Det ska alltså inte vara möjligt för vem som helst att enkelt söka fram de digitalt arkiverade personuppgifterna. Normalt bör det bara vara arkivarier som förfogar över uppgifterna och kan göra sökningar i dem. Med hänsyn till att arkivlagen inte hindrar eller ställer upp några begränsningar för fortsatt automatiserad behandling av arkiverade uppgifter finns det även i fortsättningen behov av att kunna meddela föreskrifter till skydd för den personliga integriteten vid digital arkivering. Bestämmelserna om föreskriftsrätt avseende fortsatt behandling av digitalt arkiverade uppgifter bör därför finnas kvar. Frågan är dock om bestämmelserna ska finnas kvar i registerförfattningarna eller placeras i annan reglering. Behandling av uppgifter som görs för arkivändamål styrs av dataskyddsförordningen. Det kan därför ifrågasättas, så som Polismyndigheten gör, om bestämmelser om föreskriftsrätt avseende fortsatt behandling av uppgifter som har arkiverats digitalt bör placeras i registerförfattningar som reglerar personuppgiftsbehandlingen inom brottsdatalagens tillämpningsområde. Syftet med föreskrifterna om digital arkivering är att förhindra att uppgifterna fortsätter att behandlas på samma sätt som tidigare trots att bevarandet inte längre sker för verksamhetsändamål utan för arkivändamål. Föreskrifterna utgör därmed en del av det skydd för enskildas integritet som övriga bestämmelser i registerförfattningarna för med sig. Dessa omständigheter, i kombination med att det inte finns någon annan mer naturlig placering av bestämmelserna, ger tillräckliga skäl för att placera bestämmelserna i registerförfattningarna. Det bör dock tydliggöras att föreskriftsrätten avser begränsningar av den behandling som sker av arkiverade uppgifter inom registerförfattningarnas tillämpningsområde. Med anledning av Polismyndighetens invändning om att det finns ett behov av att närmare utreda frågor som rör förhållandet mellan dataskyddsregler och arkivrättsliga regler finns det skäl att återigen nämna att det pågår en utredning med uppdrag att se över arkivområdet (se avsnitt 5.5.2). 5.5.4 Omständigheter som påverkar längsta tid för behandling i underrättelseverksamhet Regeringens förslag: Det är bara uppgifter om en persons anknytning till brottslig verksamhet som ska påverka längsta tid för behandling av personuppgifter i underrättelseverksamhet. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker utredningens förslag att endast uppgifter om en persons anknytning till brottslig verksamhet ska påverka längsta tid för behandling av personuppgifter i underrättelseverksamhet och bedömningen att tiden för hur länge personuppgifter får behandlas inte ska kunna påverkas av vilka uppgifter som helst. Säkerhets- och integritetsskyddsnämnden och Polismyndigheten bedömer att det är angeläget att det tydliggörs om en ny registrering avseende en person förlänger tiden för behandling enbart avseende den personen, eller om registreringen även påverkar tiden för behandling avseende personer som har anknytning till samma brottsliga verksamhet. Polismyndigheten ser positivt på att det förtydligas vilka omständigheter som kan påverka längsta tid för behandling i underrättelseverksamhet. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I dag föreskrivs det i vissa bestämmelser att den tid som personuppgifter får behandlas i underrättelseverksamhet kan förlängas om en ny registrering avseende personen i fråga görs. Sådana bestämmelser finns bl.a. i 3 kap. 14 §, 4 kap. 20 § och 6 kap. 12 § polisdatalagen, 4 kap. 13 § kustbevakningsdatalagen och 4 kap. 9 § tullbrottsdatalagen. Det framgår emellertid inte av bestämmelserna vad den registrering som kan föranleda att personuppgifter får fortsätta att behandlas ska avse. Tiden för hur länge personuppgifter får behandlas ska inte kunna påverkas av vilka uppgifter som helst. En uppgift i form av en anteckning om att någon begärt ut en allmän handling som innehåller personuppgifter är ett exempel på en sådan uppgift som inte ska kunna föranleda förlängning av den tid som personuppgifterna får behandlas. Vidare saknar normalt t.ex. ny folkbokföringsadress, nytt registreringsnummer på fordon som personen disponerar eller någon annan sådan uppgift betydelse för frågan om personen utövar eller kan komma att utöva brottslig verksamhet. Det bör därför tydliggöras att endast sådana omständigheter som har betydelse för personens anknytning till brottslig verksamhet ska påverka hur länge personuppgifterna får behandlas. En sådan omständighet kan vara att personen har begått brott, men det bör då vara fråga om ett brott som har någon anknytning till den brottsliga verksamheten. Att en person gör sig skyldig till en helt annan typ av brottslighet torde sällan ha en sådan betydelse. Säkerhets- och integritetsskyddsnämnden och Polismyndigheten efterfrågar ett tydliggörande av om en ny registrering avseende en person kan förlänga tiden för behandling även för andra personer med anknytning till samma brottsliga verksamhet. Det är inte uteslutet att så kan vara fallet. Till exempel kan ett brott begånget av en person innebära att misstankarna mot en annan person stärks eftersom det tydliggör att båda har starka kopplingar till en viss plats, en viss annan person eller en viss företeelse. I vilka fall en ny registrering avseende en person ska påverka tiden för behandling avseende personer som har anknytning till samma brottsliga verksamhet måste dock avgöras från fall till fall. 5.6 Särskilt om elektroniskt utlämnande 5.6.1 Olika former av elektroniskt utlämnande Direktåtkomst Det finns inte någon legaldefinition av uttrycket direktåtkomst. Det som vanligtvis avses med direktåtkomst är att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. Enligt Informationshanteringsutredningen bör direktåtkomst anses föreligga om en myndighet hos en annan myndighet har sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen, dvs. om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (se Myndighetsdatalag, SOU 2015:39, s. 390 f.). Högsta förvaltningsdomstolen använde i avgörandet HFD 2015 ref. 61, som avsåg utlämnande av uppgifter i form av upptagning mellan myndigheter, samma definition av direktåtkomst. I begreppet direktåtkomst ligger också att den som är personuppgiftsansvarig för registret eller databasen saknar kontroll över vilka uppgifter som den som har direktåtkomst vid ett visst tillfälle tar del av. Från integritetssynpunkt har det därför ansetts viktigt att frågor om tillgång till uppgifter genom direktåtkomst regleras särskilt i registerlagstiftningarna (se Ökat informationsutbyte mellan arbetslöshetsförsäkringen, socialförsäkringen och studiestödet, prop. 2000/01:129, s. 74, Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, prop. 2001/02:144, s. 35 f. och Elektronisk informationsöverföring hos arbetslöshetskassorna och inom Arbetsmarknadsverket, prop. 2005/06:52, s. 8). Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av mottagaren. Den faktiska begränsningen av direktåtkomsten görs med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet. Utlämnande på medium för automatiserad behandling I princip anses allt elektroniskt utlämnande som inte sker genom direktåtkomst ske genom utlämnande på medium för automatiserad behandling. Som nämnts ovan har Högsta förvaltningsdomstolen ansett att gränsdragningen mellan vad som är direktåtkomst och annat utlämnande på medium för automatiserad behandling beror på om den aktuella uppgiften kan anses förvarad hos den mottagande myndigheten enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen (HFD 2015 ref. 61). Utlämnande av personuppgifter på medium för automatiserad behandling kan alltså göras på många olika sätt. Det kan vara fråga om att personuppgifter lämnas t.ex. via upptagningar mellan myndigheter, e-post eller USB-minne. Begreppet anses omfatta överlämnande av elektroniskt lagrade uppgifter via alla slags medium för lagring och överföring (se Överskottsinformation vid direktåtkomst, SOU 2012:90, s. 198). 5.6.2 Behovet av att kommunicera elektroniskt Dagens kommunikationsbehov Myndigheter som sysslar med brottsbekämpning, lagföring och straffverkställighet har stora behov av att kommunicera med såväl andra myndigheter som enskilda. Det kan röra sig om att begära eller utbyta information, att begära eller lämna yttranden, att ge insyn i en förundersökning, att delge handlingar under förundersökningsförfarandet eller brottmålsprocessen eller att expediera strafförelägganden och andra beslut. Tyngdpunkten ligger på kommunikation mellan behöriga myndigheter, men det rör sig också om kommunikation med andra. När det gäller andra myndigheter kan det exempelvis vara fråga om kontakter med Transportstyrelsen (trafikutredningar, expediering av strafförelägganden och beslut), Arbetsförmedlingen (brottsutredningar, personutredning och straffverkställighet) eller Försäkringskassan (brottsutredningar, personutredning och straffverkställighet). När det gäller kommunikation med enskilda kan som exempel nämnas att Polismyndigheten i sin brottsbekämpande verksamhet har stort behov av att kunna kommunicera med bl.a. banker och försäkringsbolag och att Ekobrottsmyndigheten ofta har kontakt med finansiella aktörer. Behovet av kommunikation utanför ordinarie kontorstid är betydande, eftersom brottsbekämpande verksamhet pågår även på annan tid. Det kan då vara nödvändigt att t.ex. kunna förse offentliga försvarare med handlingar elektroniskt. Under lång tid sköttes kommunikationsbehovet i huvudsak på papper, bl.a. därför att regelverket i rättegångsbalken förutsatte sådan hantering. Både i Sverige och inom EU uppmuntras myndigheter att i så stor utsträckning som möjligt dra nytta av de effektivitetsvinster som modern teknik kan ge. Det pågår sedan länge ett utvecklingsarbete som syftar till att myndigheterna i rättskedjan i ökande utsträckning ska kunna dra nytta av personuppgifter som har lagrats elektroniskt av de myndigheter som ligger tidigare i kedjan. Genom registerförfattningarna har myndigheterna i rättskedjan lagstöd för att kunna utbyta personuppgifter elektroniskt med varandra och att medge övriga myndigheter tillgång till vissa uppgifter genom direktåtkomst. Av effektivitetsskäl kan de emellertid behöva lämna ut personuppgifter i elektronisk form även till andra. Den möjligheten begränsas i dag genom reglerna om utlämnande på medium för automatiserad behandling. Risker med elektroniskt utlämnande När det gäller elektroniskt utlämnande brukar utlämnande genom direktåtkomst förknippas med särskilda risker för den personliga integriteten. En sådan risk är att uppgifterna sprids som en följd av att de upptagningar som direktåtkomsten avser blir allmänna handlingar hos den mottagande myndigheten (se SOU 2012:90 s. 64 f. och 123 f. och SOU 2015:39 s. 134 f.). Sammanställningar av uppgifter som i samband med direktåtkomst görs tekniskt tillgängliga för den mottagande myndigheten anses enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen förvarade hos den mottagande myndigheten och utgör således allmänna handlingar där. Ju fler myndigheter som har direktåtkomst till uppgifter i ett datasystem, desto större blir allmänhetens möjlighet att få tillgång till uppgifterna (se Utlänningsdatalag, SOU 2003:40, s. 201 och Personuppgiftsbehandling på utlännings- och medborgarskapsområdet, SOU 2015:73, s. 304). Det innebär också att direktåtkomst typiskt sett innebär att uppgifter blir tillgängliga för fler personer i de verksamheter som har åtkomst och att den utlämnande myndighetens möjligheter att kontrollera användningen av uppgifterna minskar (se Utlänningsdatalag, prop. 2015/16:65, s. 89 f.). Det förhållandet att en myndighet får tillgång till uppgifter genom direktåtkomst ger dock inte mottagaren rätt att behandla personuppgifterna. Mottagaren måste ha rättsligt stöd i dataskyddsförordningen, dataskyddslagen eller i sin egen registerförfattning för personuppgiftsbehandlingen och även i övrigt uppfylla alla skyldigheter som är förenade med den. Inte bara direktåtkomst utan även utlämnande av personuppgifter på medium för automatiserad behandling anses medföra risker från integritetssynpunkt. Sådant utlämnande innebär nämligen som regel att mottagaren kan bearbeta informationen, t.ex. genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Det ökar risken för att uppgifterna behandlas i strid med de grundläggande kraven på dataskydd. Viss sekretessreglering har införts för att minska de risker som ökat elektroniskt utlämnande medför. Enligt 11 kap. 4 § offentlighets- och sekretesslagen gäller att om en myndighet har elektronisk tillgång till en upptagning för automatiserad behandling hos en annan myndighet och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Vidare gäller enligt 21 kap. 7 § offentlighets- och sekretesslagen sekretess för personuppgifter, om det kan antas att utlämnande skulle medföra att uppgifterna behandlas i strid med personuppgiftslagen. Syftet med bestämmelsen är att det ska vara möjligt att hindra s.k. massuttag, om det finns skäl att anta att uppgifterna skulle missbrukas. 5.6.3 Utlämnande genom direktåtkomst Regeringens förslag: Registerförfattningarna ska ge samma möjligheter att tillhandahålla personuppgifter genom direktåtkomst som dagens reglering. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Säkerhetspolisen bedömer att hänvisningen i bestämmelserna om sekretessgenombrott och direktåtkomst, t.ex. hänvisningarna i 2 kap. 8 § och 3 kap. 7 § i polisens registerförfattning, till 1 kap. 2 § brottsdatalagen, läst tillsammans med 1 kap. 4 § brottsdatalagen, kan tolkas som att direktåtkomst och brytande av sekretess inte är möjlig då Säkerhetspolisen ska behandla personuppgifter som rör nationell säkerhet. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Av 2 kap. 21 § polisdatalagen framgår att utlämnande genom direktåtkomst bara är tillåtet i den utsträckning som följer av lagen. Sådana bestämmelser finns bl.a. i 4 kap., där vissa register särregleras. I 3 kap. 8 § polisdatalagen anges vilka myndigheter som får medges direktåtkomst till andra personuppgifter än de som behandlas i särskilda register. Där föreskrivs också att direktåtkomst endast får avse personuppgifter som gjorts gemensamt tillgängliga. Liknande bestämmelser finns i 2 kap. 9 § kustbevakningsdatalagen, 2 kap. 17 § åklagardatalagen, 2 kap. 17 § och 3 kap. 8 § tullbrottsdatalagen och 2 kap. 16 § och 3 kap. 8 § skattebrottsdatalagen. Även i Kriminalvårdens registerlagstiftning finns det bestämmelser om direktåtkomst, men de finns i huvudsak i förordning (se 10 § första stycket 2 lagen om behandling av personuppgifter inom kriminalvården och 37, 43 och 44 §§ förordningen om behandling av personuppgifter inom kriminalvården). Direktåtkomst kräver alltså i dag lagstöd enligt samtliga registerförfattningar med undantag av Kriminalvårdens. Riksdagen ska således i de flesta fall ta ställning till om en viss myndighet kan tillåtas att få direktåtkomst. Med något enstaka undantag är det endast myndigheter som tillämpar brottsdatalagen som enligt registerförfattningarna får medges direktåtkomst. De nuvarande bestämmelserna om direktåtkomst ger därmed ett tillräckligt skydd för den personliga integriteten. De är även i övrigt förenliga med direktivet. Det bör därför finnas bestämmelser även i de nya registerförfattningarna som ger samma möjligheter att tillhandahålla personuppgifter genom direktåtkomst som dagens reglering. Säkerhetspolisen bedömer att hänvisningen i bestämmelserna om sekretessgenombrott och direktåtkomst till 1 kap. 2 § brottsdatalagen, läst tillsammans med 1 kap. 4 § brottsdatalagen, skulle kunna tolkas som att sekretessgenombrott och direktåtkomst inte är möjlig då Säkerhetspolisen ska behandla personuppgifter som rör nationell säkerhet. Hänvisningen till 1 kap. 2 § brottsdatalagen sker dock för att tydliggöra för vilka syften som sekretess får brytas respektive för vilka syften som myndigheten får medges direktåtkomst. Den omständigheten att brottsdatalagens tillämpningsområde är begränsat på sätt som anges i bestämmelsen i 1 kap. 4 § samma lag innebär inte att möjligheterna till sekretessgenombrott och direktåtkomst är begränsade. Hänvisningen i bestämmelserna ska därmed inte tolkas på det sätt som Säkerhetspolisen redogjort för. 5.6.4 Annat elektroniskt utlämnande tillåts i större utsträckning Regeringens förslag: Personuppgifter ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Polismyndigheten välkomnar förslaget. Datainspektionen avstyrker förslaget eftersom att det utan närmare analyser om vilka effekter på den personliga integriteten som utvidgningen får eller kan få inte går att avgöra om utvidgningen kan anses proportionerlig i förhållande till enskildas personliga integritet. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Nuvarande reglering Registerförfattningarna för de brottsbekämpande myndigheterna innehåller bestämmelser om elektroniskt utlämnande. I 2 kap. 20 § polisdatalagen, 2 kap. 8 § kustbevakningsdatalagen, 2 kap. 16 § åklagardatalagen, 2 kap. 16 § tullbrottsdatalagen och 2 kap. 15 § skattebrottsdatalagen föreskrivs att enstaka personuppgifter får lämnas ut på medium för automatiserad behandling. Registerförfattningarna innehåller dessutom bestämmelser om att regeringen kan meddela föreskrifter om att uppgifter får lämnas ut på medium för automatiserad behandling även i andra fall. I de förordningar som kompletterar registerlagarna finns det i varierande utsträckning bestämmelser om att uppgifter får lämnas ut på medium för automatiserad behandling i större utsträckning än vad som anges i respektive lag. Begränsningen till enstaka personuppgifter gäller t.ex. inte i förhållande till de myndigheter som får medges direktåtkomst. Det innebär att begränsningen inte gäller i förhållande till andra brottsbekämpande myndigheter. I domstolsdatalagen har en delvis annan reglering valts. Enligt 16 § domstolsdatalagen får personuppgifter lämnas ut på medium för automatiserad behandling om det inte är olämpligt. Dataskyddsdirektivet reglerar inte hur personuppgifter tillhandahålls Varken dataskyddsdirektivet eller dataskyddsförordningen innehåller några bestämmelser som specifikt reglerar frågan om elektroniskt utlämnande av personuppgifter. Det gör inte heller det nu gällande dataskyddsdirektivet. Att lämna ut personuppgifter elektroniskt innebär behandling av personuppgifter och ett utlämnande förutsätter därmed att reglerna om behandling av personuppgifter följs och att inte annan lagstiftning hindrar utlämnandet. Eftersom dataskyddsdirektivet inte särskilt reglerar på vilket sätt personuppgifter får lämnas ut, finns det inget som hindrar att bestämmelser som motsvarar de nuvarande reglerna om elektroniskt utlämnande behålls. Kritik mot reglerna om utlämnande av enstaka personuppgifter Bestämmelserna om att bara enstaka personuppgifter får lämnas ut på medium för automatiserad behandling har kritiserats. Redan när de infördes framförde vissa remissinstanser invändningar mot att begränsa det elektroniska utlämnandet till enstaka uppgifter. Det ansågs otidsenligt att i alltför hög grad begränsa myndigheternas möjlighet att utnyttja de fördelar som elektronisk kommunikation kunde ge (se bl.a. prop. 2009/10:85 s. 184 f.). Det var också omfattande kritik mot begränsningen till enstaka uppgifter som ledde till att en annan lösning valdes i domstolsdatalagen (se Domstolsdatalag, prop. 2014/15:148, s. 75 f.) Till kritikerna hör Informationshanteringsutredningen, som föreslår att det i myndighetsdatalagen tas in en bestämmelse som medger elektroniskt utlämnande till enskilda om det inte är olämpligt med hänsyn till skyddet för personuppgiften. Däremot bör det enligt den utredningen inte gälla några lagliga begränsningar för att tillhandahålla myndigheter personuppgifter i elektronisk form (se SOU 2015:39 s. 447). Även uttrycket "utlämnande på medium för automatiserad behandling" har kritiserats, bl.a. på den grunden att det är otydligt (se SOU 2012:90 s. 198 f. och SOU 2015:39 s. 442). Bör regleringen ändras? Numera förväntar sig både myndigheter och enskilda att handlingar i stor utsträckning kan förmedlas elektroniskt. Frågan är om den utvecklingen bör mötas med bestämmelser som förenklar för myndigheterna i rättskedjan att kunna kommunicera elektroniskt. Elektronisk kommunikation är som regel kostnadseffektiv om man jämför med postbefordran. I vissa avseenden är elektronisk kommunikation säkrare än traditionell befordran, eftersom spårbarheten är större. Elektronisk kommunikation gör det också enkelt att sända större informationsmängder. För mottagaren är skillnaden mellan att få uppgifter på papper och i elektronisk form inte heller så stor i dag. Med modern teknik kan nämligen text på papper enkelt omvandlas till elektroniska uppgifter. I förarbetena till bl.a. polisdatalagen och kustbevakningsdatalagen framhålls att när ordet enstaka används i bestämmelsen om utlämnande av uppgifter på medium för automatiserad behandling har ordet en annan innebörd än i vanligt språkbruk. När personuppgifter förekommer i en eller ett fåtal handlingar är bestämmelsen inte avsedd att utgöra ett hinder mot att handlingen lämnas ut t.ex. via e-post. Det förhållandet att en handling, t.ex. en lista över telefonnummer, innehåller ett stort antal personuppgifter hindrar inte att handlingen lämnas ut med stöd av bestämmelsen. Bestämmelsen ger också stöd för utlämnande av t.ex. ett ärende eller delar av ett ärende där personuppgifter förekommer. Ett förundersökningsprotokoll kan således ofta lämnas ut elektroniskt. Däremot får inte en större mängd uppgifter, t.ex. ett helt register eller delar av ett register, lämnas ut med stöd av en sådan bestämmelse (se prop. 2009/10:85 s. 333 och prop. 2011/12:45 s. 98). Det finns risk att bestämmelser som enligt sin ordalydelse talar för en mer restriktiv tillämpning av elektroniskt utlämnade än vad som förefaller vara avsedd, kan motverka strävanden efter att myndigheterna ska dra nytta av effektivitetsvinsterna med ny teknik. Det är också olyckligt om förarbetena ger uttryck för att lagregler ska tolkas annorlunda än sin ordalydelse. En annan risk med hur bestämmelserna är formulerade i dag är att de ger sken av att ge ett starkare integritetsskydd än vad som i praktiken är fallet. Mot den nu angivna bakgrunden bör bestämmelser om utlämnande av personuppgifter på medium för automatiserad behandling utformas på ett annat sätt i de nya registerförfattningarna. Samma reglering som för domstolarna För Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Kustbevakningen, Tullverket och Skatteverket har regeringen redan i förordning öppnat för elektroniskt uppgiftslämnande på annat sätt än genom direktåtkomst om det inte är olämpligt. Det gäller dock enbart i förhållande till vissa i förordningarna uppräknade kategorier av mottagare, framför allt sådana till vilka det förekommer frekvent uppgiftslämnande. Det finns anledning att lämna större utrymme för utlämnande i elektronisk form för de brottsbekämpande myndigheterna. Även om det i relativt stor utsträckning förekommer integritetskänsliga personuppgifter i framför allt brottsbekämpande verksamhet och vid straffverkställighet måste riskerna med att överföra sådana uppgifter elektroniskt vägas mot behovet av snabb och effektiv kommunikation. Sekretessbestämmelserna tillsammans med regleringen av personuppgiftsbehandling skyddar vidare enskilda mot att möjligheten att lämna ut personuppgifter elektroniskt missbrukas. Den som överväger att lämna ut personuppgifter, oavsett i vilken form det görs, måste alltid överväga om sekretessregleringen lägger hinder i vägen och, om så inte är fallet, om regelverket för personuppgiftsbehandling gör det möjligt att lämna uppgifterna i elektronisk form. Mottagaren måste dessutom alltid ha rättslig grund för behandlingen och är även i övrigt skyldig att leva upp till de krav som finns i reglerna om personuppgiftsbehandling. Regeringen anser att regleringen, med dess krav för utlämnande och mottagande, är utformad på ett sätt som ger ett gott skydd för den personliga integriteten. Det finns inte skäl att vidare analysera utvidgningens effekter på sätt som Datainspektionen efterfrågar. Mot den bakgrunden bör samma lagtekniska lösning som i domstolsdatalagen väljas i de berörda myndigheternas registerförfattningar. Bestämmelserna bör därför ändras på det sättet att personuppgifter ska få lämnas ut elektroniskt om det inte är olämpligt. Informationshanteringsutredningen anser att uttrycket "utlämnande på medium för automatiserad behandling" bör utmönstras och föreslår att uttrycket "utlämnande i elektronisk form" ska användas i stället (se SOU 2015:39 s. 442). Ett modernare uttryckssätt är att föredra. Eftersom registerförfattningarna ses över är det lämpligt att göra den förändringen nu. Även fortsättningsvis bör det i registerförfattningarna göras tydlig skillnad mellan elektroniskt utlämnande i form av direktåtkomst och elektroniskt utlämnande på annat sätt (se även avsnitt 5.6.1 avseende avgörandet HFD 2015 ref. 61). När kan elektroniskt utlämnande komma i fråga? I fråga om elektroniskt utlämnande på annat sätt än genom direktåtkomst bör skillnad göras mellan utlämnande till myndigheter och utlämnande till enskilda. Det bör normalt inte anses olämpligt att lämna personuppgifter elektroniskt till myndigheter (jfr SOU 2015:39 s. 447 f.). Om det i ett enskilt fall skulle bedömas vara olämpligt bör emellertid personuppgifterna lämnas på annat sätt. Även när det gäller utlämnande till enskilda har lagstiftaren redan tagit ställning till att sådant utlämnande är godtagbart till vissa kategorier av mottagare, om det inte är olämpligt. Det gäller t.ex. uppgifter som lämnas till konkursförvaltare i vissa fall. Personuppgifter bör kunna lämnas ut elektroniskt till sådana kategorier i samma utsträckning som i dag. När det gäller andra enskilda än de som i dag pekas ut i förordning kan det krävas närmare överväganden bl.a. med hänsyn till vem mottagaren är och vilken säkerhet mottagaren har för sin personuppgiftsbehandling. I de fallen är det svårare att göra en generell bedömning av om elektroniskt utlämnande kan vara lämpligt. Det bör därför finnas utrymme för regeringen att meddela föreskrifter som begränsar möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. Den närmare innebörden av vad som ska anses vara ett sådant olämpligt utlämnande får dock utvecklas genom tillsynsmyndighetens arbete och i domstolspraxis. 5.7 Rätt att meddela föreskrifter Regeringens förslag: Bestämmelser som motsvarar den befintliga regleringen om föreskriftsrätt ska införas i de nya registerförfattningarna, förutom i de fall där de inte längre fyller någon funktion. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I registerförfattningarna finns det ett flertal bestämmelser där det upplyses att regeringen kan meddela föreskrifter i en viss fråga, eller delegera den uppgiften till en myndighet. Vissa befintliga bestämmelser om föreskriftsrätt behöver inte införas i de nya registerförfattningarna eftersom de är knutna till bestämmelser som inte längre kommer att finnas kvar. Det finns också vissa bestämmelser om vidaredelegation av föreskriftsrätt som inte bör behållas därför att det som regleringen avser enbart rör myndighetsinterna frågor eller därför att det är uppgifter som följer med rollen som personuppgiftsansvarig. Myndigheterna bör alltså inte ha någon föreskriftsrätt om det är fråga om interna förhållanden som kan regleras på annat sätt än i föreskrifter. Det gäller exempelvis föreskriftsrätten i 3 § polisdataförordningen om tillgången till personuppgifter, i 5 § andra stycket om begränsning av tillgången till vissa uppgifter och i 8 § om sökning. Motsvarande bestämmelser i övriga registerförordningar bör också upphävas. Lagrådet framhåller att förslagen innebär att regeringen förutsätts att - såsom redan gäller i dag - i förordning ange bl.a. vissa fall när det är tillåtet att behandla personuppgifter under längre tid än vad som medges i lag. Lagrådet ifrågasätter om föreskrifter vars sakliga innebörd är en försämring av ett i lag stadgat skydd verkligen kan anses som gynnande eller neutrala i förhållande till enskilda. Lagrådet konstaterar att om så inte är fallet får regeringen inte meddela föreskrifterna med stöd av sin restkompetens och anser att frågan bör övervägas ytterligare under den fortsatta beredningen. Vidare ställer Lagrådet frågan om regeringens mer allmänna bedömning angående förhållandet till den formella lagkraftens princip (8 kap. 18 § regeringsformen) i propositionen till den nya dataskyddslagen också har bärkraft här (prop. 2017/18:105 s.26 f.). Även denna fråga bör enligt Lagrådet föranleda ytterligare överväganden. När det gäller sektorspecifika registerförfattningar som enbart rör behandling av personuppgifter som utförs av statliga myndigheter som lyder under regeringen anser regeringen, i linje med vad som har anförts i bl.a. förarbetena till dataskyddslagen (prop. 2017/18:105 s. 26 f.) att föreskrifter som direkt eller indirekt rör behandling av personuppgifter kan meddelas av regeringen med stöd av dess restkompetens enligt 8 kap. 7 § första stycket 2 regeringsformen. Sådana föreskrifter finns i dag i bl.a. 21-26 §§ polisdataförordningen (2010:1155), där det föreskrivs att vissa kategorier av uppgifter får behandlas i polisens brottsbekämpande verksamhet efter utgången av den tid som anges i polisdatalagen. Med hänsyn till att bestämmelser om längsta tid för behandling finns i lag tydliggörs genom en upplysningsbestämmelse i 3 kap. 12 § polisdatalagen att sådana föreskrifter kan meddelas av regeringen. Motsvarande upplysningsbestämmelser finns i bl.a. 4 kap. 14 § kustbevakningsdatalagen och 4 kap. 2 § skattebrottsdatalagen. Regeringen gör inte nu någon annan bedömning av omfattningen av regeringens restkompetens än den som har kommit till uttryck i tidigare lagstiftningsärenden avseende regleringen av behandling av personuppgifter. Bestämmelser som gäller längsta tid för behandling av personuppgifter i de nu aktuella registerförfattningarna måste alltså anses falla under regeringens restkompetens enligt 8 kap. 7 § första stycket 2 regeringsformen. Eftersom sådana bestämmelser även kommer att finnas i lag bör det dock även fortsättningsvis finnas upplysningsbestämmelser i de aktuella registerförfattningarna som klargör att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom lagens tillämpningsområde under längre tid än vad som anges i lagen. Även de andra bestämmelser i lagförslagen som gäller regeringens föreskriftsrätt omfattas av regeringens kompetens enligt 8 kap. 7 § regeringsformen. 6 Behandling för nya ändamål 6.1 Bestämmelser om rättslig grund och ändamål Dataskyddsregleringen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund för att vara laglig. Det är alltså bara om det finns en rättslig grund som personuppgifter överhuvudtaget får behandlas. En annan grundläggande princip för all personuppgiftsbehandling är att personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Det finns därför normalt även bestämmelser om tillåtna ändamål för personuppgiftsbehandling i olika registerförfattningar. I de brottsbekämpande myndigheternas nuvarande registerförfattningar delas ändamålen upp i primära och sekundära, se bl.a. 2 kap. 7 och 8 §§ polisdatalagen, 2 kap. 5 och 6 §§ åklagardatalagen samt 2 kap. 5 och 6 §§ tullbrottsdatalagen. Bestämmelserna har samma utformning och liknande innehåll. De primära ändamålen reglerar behandlingen av de personuppgifter som behövs i den berörda myndighetens egen brottsbekämpande verksamhet. Polismyndigheten får t.ex. enligt 2 kap. 7 § polisdatalagen behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden. De sekundära ändamålen reglerar i vilken utsträckning personuppgifter som behandlas för något av de primära ändamålen får behandlas för att lämnas ut till andra myndigheter eller verksamheter eller till enskilda för att tillgodose deras behov. Syftet med uppdelningen i primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels får användas i myndighetens egen brottsbekämpande verksamhet, dels får behandlas för att lämnas ut till andra. 6.2 En ny ordning i brottsdatalagen Gränsen mellan bestämmelser om rättslig grund i dataskyddsrättslig mening och bestämmelser om ändamål för behandlingen av personuppgifter är inte helt klar. I propositionen Brottsdatalag konstateras att vad som är bestämmelser om rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman. Det anses därför vara lämpligt att göra tydligare skillnad mellan dessa typer av bestämmelser (se prop. 2017/18:232 s. 114 f.). I den nämnda propositionen behandlas ingående hur kravet på rättslig grund förhåller sig till de primära och sekundära ändamålen i registerförfattningarna. Övervägandena leder till bedömningen att de primära och sekundära ändamålsbestämmelserna i de brottsbekämpande myndigheternas registerförfattningar är så allmänt hållna att de bör ses som en del av den rättsliga grunden för behandlingen av personuppgifter och inte som ändamålsbestämmelser. Framöver kommer de generella bestämmelserna om rättslig grund på direktivets område att finnas i brottsdatalagen. Där anges att lagen gäller för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. I brottsdatalagen kommer det även att stadgas att personuppgifter bara får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Därutöver föreslås en ny ordning i brottsdatalagen när det gäller behandling av personuppgifter för nya ändamål. Innan personuppgifter får behandlas för ett nytt ändamål inom brottsdatalagens tillämpningsområde, ska det säkerställas att det finns en tillåten rättslig grund för den nya behandlingen och att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. I den utsträckning en skyldighet att lämna uppgifter följer av lag eller förordning behöver dock någon sådan prövning inte göras (2 kap. 4 § brottsdatalagen). Det föreslås också en motsvarande bestämmelse i brottsdatalagen som gäller vid ny behandling av uppgifter för ändamål utanför lagens tillämpningsområde (2 kap. 22 § brottsdatalagen). 6.3 Bör sekundära ändamålsbestämmelser behållas? Regeringens bedömning: De nya registerförfattningarna bör inte innehålla bestämmelser som motsvarar de sekundära ändamålsbestämmelserna i polisdatalagen, kustbevakningsdatalagen, åklagardatalagen, tullbrottsdatalagen och skattebrottsdatalagen. Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Datainspektionen anser i likhet med utredningen att de sekundära ändamålsbestämmelser som gäller behandling för ändamål inom brottsdatalagens tillämpningsområde inte bör behållas. Övriga remissinstanser yttrar sig inte särskilt över bedömningen. Skälen för regeringens bedömning Nuvarande reglering Enligt de sekundära ändamålsbestämmelserna i registerförfattningarna får myndigheterna lämna ut personuppgifter som redan behandlas i vissa uppräknade situationer, t.ex. när personuppgifterna behövs i en brottsbekämpande verksamhet hos någon annan svensk eller utländsk myndighet. De sekundära ändamålsbestämmelserna reglerar inte bara utlämnande på direktivets område. Polismyndigheten och Tullverket får exempelvis tillhandahålla information som behövs i annan verksamhet som respektive myndighet ansvarar för, om det finns särskilda skäl för det. Motsvarande men mer preciserade bestämmelser finns för Kustbevakningen och Skatteverket. Vidare finns det, efter modell från polisdatalagen, en generell bestämmelse i flertalet registerförfattningar som innebär att personuppgifter i enskilda fall även får behandlas för att tillhandahålla information för något annat ändamål än de uttryckligt angivna, om ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in. De nuvarande sekundära ändamålsbestämmelserna omfattar alltså utlämnande av uppgifter för syften som ligger både inom och utanför tillämpningsområdet för brottsdatalagen. Behandling för nya ändamål på direktivets område Behandling för nya ändamål kan leda till ökad spridning av personuppgifter genom att fler får tillgång till dem. Det kan också leda till att uppgifterna behandlas under längre tid än vad som var avsett från början. Behandling för nya ändamål kan därmed medföra ett ökat intrång i enskildas personliga integritet. Det är därför viktigt att en noggrann prövning görs innan personuppgifter behandlas för ett nytt ändamål. Som nyss nämnts innebär den nya regleringen i brottsdatalagen att det, innan personuppgifter behandlas för ett nytt ändamål inom lagens tillämpningsområde, ska säkerställas dels att det finns en tillåten rättslig grund för behandlingen, dels att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Bestämmelsen genomför artikel 4.2 i direktivet om behandling för nya ändamål. Om de sekundära ändamålsbestämmelserna med den nuvarande utformningen införs i de nya registerförfattningarna, skulle prövningen enligt 2 kap. 4 § brottsdatalagen inte få fullt genomslag. Ett åsidosättande av prövningen enligt brottsdatalagen kan inte heller anses vara förenligt med artikel 4.2 i direktivet. De sekundära ändamålsbestämmelser som faller inom direktivets tillämpningsområde bör därför inte överföras till de nya registerförfattningarna med den nuvarande utformningen. Behövs en reglering i de nya registerförfattningarna? Direktivet hindrar inte att den nationella rätten sätter gränser för i vilken utsträckning som personuppgifter får lämnas mellan myndigheter. Sådana begränsningar kan bidra till att skydda enskildas personliga integritet och göra det tydligt och förutsebart i vilken utsträckning som behöriga myndigheter får lämna personuppgifter till andra. Det skulle därför på den grunden vara möjligt att ersätta dagens sekundära ändamålsbestämmelser med bestämmelser som innehåller begränsningar av möjligheten att lämna uppgifter myndigheter emellan. I förarbetena till flera av registerförfattningarna har det dock framhållits att det ur ett brottsbekämpningsperspektiv är angeläget att samhällets samlade resurser används på ett så rationellt och effektivt sätt som möjligt. Som nämnts där verkar brottsligheten över såväl geografiska gränser som myndighetsgränser och de brottsbekämpande myndigheterna måste samverka med varandra för att brottsbekämpning ska vara effektiv. Sådan samverkan förutsätter möjligheter till effektivt utbyte av information (se bl.a. prop. 2009/10:85 s. 166 f. och prop. 2016/17:91 s. 96 f.). Ett av syftena med brottsdatalagen är också att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt. Enligt brottsdatalagen ska ändå alltid en prövning göras innan personuppgifter behandlas för ett nytt ändamål. Regeringen instämmer i utredningens mening att den prövningen är tillräcklig för att skydda enskildas integritet. Det finns därför inte skäl för att i registerförfattningarna föreslå någon annan begränsning än den som följer av brottsdatalagen när det gäller möjligheterna att tillhandahålla uppgifter för nya ändamål inom brottsdatalagens område. Behandling för ändamål utanför direktivets tillämpningsområde När en behörig myndighet behandlar personuppgifter för ändamål utanför brottsdatalagens tillämpningsområde ska dataskyddsförordningen tillämpas i stället för brottsdatalagen. Förordningen ska tillämpas även när en behörig myndighet tillhandahåller personuppgifter till andra, om ändamålet med behandlingen där ligger utanför brottsdatalagens tillämpningsområde. Den ordningen skiljer sig från vad som gäller idag. Som exempel kan nämnas att Kustbevakningen lämnar personuppgifter till Sjöfartsverket efter en fartygskollision. Personuppgifter som en behörig myndighet behandlar enligt brottsdatalagen kan också behöva lämnas till en enhet inom samma myndighet som bedriver verksamhet utanför lagens tillämpningsområde. Personuppgifter som behandlas i Polismyndighetens brottsbekämpande verksamhet kan exempelvis behöva lämnas till den verksamhet inom myndigheten där frågor om pass eller olika typer av tillstånd behandlas. Dataskyddsförordningen utgår, på samma sätt som direktivet, från att varje behandling av personuppgifter ska vila på en rättslig grund. De rättsliga grunderna räknas uttömmande upp i artikel 6.1 i förordningen. Dit hör enligt punkten e) att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Det är främst den punkten som aktualiseras när behöriga myndigheter lämnar ut personuppgifter för ändamål utanför brottsdatalagens tillämpningsområde. Till skillnad från vad som gäller vid behandling för nya ändamål inom brottsdatalagens tillämpningsområde hindrar varken direktivet eller förordningen att innehållet i de sekundära ändamålsbestämmelserna behålls när det gäller behandling för ändamål utanför brottsdatalagens område. I 2 kap. 22 § brottsdatalagen finns dock en bestämmelse som innebär att innan personuppgifter som behandlas med stöd av lagen, behandlas för ändamål utanför lagens tillämpningsområde, ska det säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. I den utsträckning som en skyldighet att lämna uppgifter följer av lag eller förordning behöver dock någon sådan prövning inte göras. Med hänsyn till innehållet i den nya bestämmelsen i brottsdatalagen är det inte heller på förordningens område lämpligt att föra över de sekundära ändamålsbestämmelserna till de nya registerförfattningarna. De nya registerförfattningarna bör alltså inte innehålla några sådana bestämmelser. Konsekvenser av att de nya registerförfattningarna saknar sekundära ändamålsbestämmelser Avsaknaden av sekundära ändamålsbestämmelser i de nya registerförfattningarna innebär inte att de brottsbekämpande myndigheterna förlorar möjligheten att behandla personuppgifter för nya ändamål i motsvarande utsträckning framöver. Till att börja med anges det uttryckligen i brottsdatalagen att en prövning av nödvändighet och proportionalitet inte behöver göras om en skyldighet att lämna uppgifter följer av lag eller förordning. Detta undantag från prövningen motsvarar vissa av de situationer som anges i bestämmelserna om sekundära ändamål i myndigheternas nuvarande registerförfattningar, se t.ex. 2 kap. 8 § första stycket 7 polisdatalagen. I de övriga situationer som anges i dagens bestämmelser om sekundära ändamål måste en behandling för nya ändamål i fortsättningen som regel anses vara nödvändig och proportionerlig enligt brottsdatalagens bestämmelser (se prop. 2017/18:232 s. 130 och 136). Exempelvis bör det alltid anses vara nödvändigt och proportionerligt att behandla personuppgifter för att tillhandahålla information som behövs i andra behöriga myndigheters brottsbekämpande verksamhet, jfr t.ex. 2 kap. 8 § första stycket 1 polisdatalagen. 7 Polisens brottsdatalag 7.1 Behovet av anpassning till brottsdatalagen 7.1.1 Nuvarande reglering Polisdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i brottsbekämpande verksamhet vid Polismyndigheten och Säkerhetspolisen och i polisiär verksamhet vid Ekobrottsmyndigheten. Den gäller enligt 1 kap. 3 § däremot inte vid behandling av personuppgifter enligt vapenlagen (1996:67), lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister, lagen (2010:362) om polisens allmänna spaningsregister (numera upphävd) och lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang. I 2 kap. finns allmänna bestämmelser om behandling av personuppgifter. För personuppgifter som har gjorts gemensamt tillgängliga gäller även 3 kap. Vid behandling av personuppgifter i särskilda register gäller 4 kap. i stället för 3 kap. Behandling för forensiska ändamål regleras i 5 kap. Slutligen finns bestämmelser om behandling av personuppgifter i Säkerhetspolisens verksamhet i 6 kap. Innehållet i många bestämmelser i polisdatalagen behöver inte anpassas alls eller endast ändras redaktionellt med anledning av brottsdatalagen. De anpassningar och ändringar som är gemensamma för registerförfattningarna har behandlats i avsnitt 4, 5 och 6. De anpassningar som är specifika för polisdatalagen behandlas däremot i detta avsnitt. Regleringen av Säkerhetspolisens personuppgiftsbehandling i frågor som rör nationell säkerhet behandlas inte i denna proposition, se avsnitt 7.2.1. För den behandlingen kommer 6 kap. polisdatalagen tillfälligt att fortsätta gälla genom en övergångsbestämmelse, se avsnitt 16. 7.1.2 Lagens namn Regeringens förslag: Den nya lagen ska benämnas lag om polisens behandling av personuppgifter inom brottsdatalagens område. Hänvisningar till polisdatalagen i andra författningar ska ändras till lagen om polisens behandling av personuppgifter inom brottsdatalagens område. Utredningen föreslår att lagen ska benämnas polisens brottsdatalag. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: De registerförfattningar som ska gälla utöver brottsdatalagen bör ha enhetliga benämningar som knyter an till brottsdatalagen. Utredningen föreslår att lagen ska benämnas polisens brottsdatalag. Även Lagrådet förordar att lagen ges detta namn. Det föreslagna namnet avviker dock från den systematik som gäller för författningars rubriker (se Ds 2014:1 s. 17 f.). Det vore visserligen önskvärt om namnet kunde vara kort, men samtidigt bör namnet ange för vem författningen gäller, vad den handlar om och signalera en tydlig koppling till brottsdatalagen. Gemensamt för de myndigheter som ska tillämpa lagen är att den ska gälla i deras polisiära verksamhet. Regeringen anser mot den bakgrunden, trots Lagrådets invändning, att lagen ska benämnas lag om polisens behandling av personuppgifter inom brottsdatalagens område. Lagen kan dock mycket väl få en kortare informell benämning. I det följande kallas den nya lagen för polisens brottsdatalag. Alla hänvisningar till polisdatalagen i andra författningar, med undantag för hänvisningen i 1 kap. 3 § dataskyddslagen, ska ändras till lagen om polisens behandling av personuppgifter inom brottsdatalagens område. 7.2 Allmänna bestämmelser 7.2.1 Tillämpningsområdet Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när någon av följande myndigheter i egenskap av behörig myndighet behandlar personuppgifter: 1. Polismyndigheten, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet, 2. Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet, 3. Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott. Säkerhetspolisens personuppgiftsbehandling i frågor som rör nationell säkerhet ska inte regleras i lagen. Lagen ska inte heller gälla vid personuppgiftsbehandling enligt vapenlagen, lagen om belastningsregister, lagen om misstankeregister, lagen om Schengens informationssystem, lagen om passagerarregister eller lagen om Polismyndighetens elimineringsdatabas. Om det i lagen om internationellt polisiärt samarbete eller lagen om flygpassageraruppgifter i brottsbekämpningen eller föreskrifter som har meddelats i anslutning till dessa lagar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i polisens brottsdatalag. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten förordar att uttrycket "övervaka allmän ordning och säkerhet" används i stället för "upprätthålla allmän ordning och säkerhet". Övriga remissinstanser tillstyrker eller yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Den nuvarande regleringen behöver anpassas Polisdatalagen gäller enligt 1 kap. 2 § för behandling av personuppgifter i brottsbekämpande verksamhet vid Polismyndigheten och Säkerhetspolisen och i polisiär verksamhet vid Ekobrottsmyndigheten. Tillämpningsområdet för den nya lagen måste dock anpassas till brottsdatalagens tillämpningsområde, så att det dels utgår från syftet med behandlingen, dels omfattar den personuppgiftsbehandling som myndigheterna utför inom brottsdatalagens tillämpningsområde och som inte regleras i någon annan lag. Det bör också framgå att lagen endast gäller när myndigheterna agerar i egenskap av behöriga myndigheter. Tillämpningsområdet för Polismyndigheten För att tillämpningsområdet för lagen ska täcka det som i dag omfattas av regleringen föreslår utredningen att tillämpningsområdet bör inkludera personuppgiftsbehandling i syfte att bl.a. bekämpa brott. I bestämmelsen om brottsdatalagens tillämpningsområde används dock inte uttrycket bekämpa brott. I stället anges att lagen gäller för behandling av personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott. Regeringen anser att motsvarande begrepp bör användas i polisens brottsdatalag. Ändringen innebär inte någon förändring i sak i förhållande till utredningens förslag. Brottsdatalagens tillämpningsområde omfattar även personuppgiftsbehandling i syfte att upprätthålla allmän ordning och säkerhet. Polismyndigheten har enligt 2 § polislagen (1984:387) i uppdrag att förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten, att övervaka den allmänna ordningen och säkerheten och att ingripa när störningar har inträffat. För att polisens brottsdatalag så långt möjligt ska täcka all Polismyndighetens behandling av personuppgifter som omfattas av brottsdatalagens tillämpningsområde bör myndighetens behandling av personuppgifter vid upprätthållande av allmän ordning och säkerhet omfattas av tillämpningsområdet. Polismyndigheten förordar att uttrycket "övervaka allmän ordning och säkerhet" används i stället för "upprätthålla allmän ordning och säkerhet". Den sistnämnda formuleringen har dock valts i brottsdatalagen och bör därför användas även här, se prop. 2017/18:232 s. 97. Där diskuteras också var gränsen för tillämpningsområdet bör gå. Brottsdatalagens tillämpningsområde omfattar även personuppgiftsbehandling i syfte att verkställa straffrättsliga påföljder. För Polismyndighetens del blir sådan personuppgiftsbehandling framför allt aktuell i myndighetens uppbördsverksamhet. För närvarande bereds en departementspromemoria som innehåller förslag till hur Polismyndighetens behandling av personuppgifter vid uppbörd av böter bör regleras (Ds 2018:3). Mot den bakgrunden lämnas inte nu några förslag när det gäller Polismyndighetens personuppgiftsbehandling i syfte att verkställa straff. Tillämpningsområdet för Ekobrottsmyndigheten Ekobrottsmyndigheten är en åklagarmyndighet med ett utökat uppdrag. I myndigheten integreras åklagarverksamheten med den polisiära verksamhet som krävs för att utreda de brott som Ekobrottsmyndigheten har i uppdrag att bekämpa (se prop. 2014/15:63 s. 21 f.). Den operativa verksamheten kan delas in i tre verksamhetsområden: underrättelseverksamhet, utrednings- och lagföringsverksamhet och brottsförebyggande verksamhet. Huvuddelen av Ekobrottsmyndighetens verksamhet består i att utreda brott. Åklagare är alltid förundersökningsledare i förundersökningar vid myndigheten och fattar beslut om lagföring. Personuppgiftsbehandlingen vid Ekobrottsmyndigheten regleras i dag i både åklagardatalagen och polisdatalagen. Polisdatalagen gäller i den polisiära verksamheten medan åklagardatalagen gäller i den övriga operativa verksamheten. Det har framkommit att det finns osäkerhet om vilket regelverk som ska tillämpas. Utgångspunkten för vilket regelverk som ska tillämpas bör vara densamma för Ekobrottsmyndigheten som för Åklagarmyndigheten och Polismyndigheten. Den personuppgiftsbehandling som utförs för att fullgöra åklagaruppgifter i utredningsverksamheten bör därför styras av den registerförfattning som gäller för åklagarväsendet. Den personuppgiftsbehandling som utförs i den övriga utredningsverksamheten vid Ekobrottsmyndigheten bör däremot regleras i polisens brottsdatalag I dag används uttrycket polisiär verksamhet för att avgränsa tillämpningsområdet för polisdatalagen. Det finns ingen definition av vad som är polisiär verksamhet. Sådan verksamhet är vittomfattande och berör många sektorer av samhället. Regeringen instämmer därför i utredningens bedömning att det är bättre att utgå från åklagarverksamheten än den polisiära verksamheten vid avgränsningen av tillämpningsområdet. Åklagarverksamhet består av två huvuddelar, brottsutredning och lagföring, men åklagare har även vissa andra författningsreglerade uppgifter inom brottsdatalagens tillämpningsområde. Brottsutredning avser först och främst att åklagare fattar beslut i fråga om huruvida förundersökning ska inledas eller begränsas, läggas ned eller avslutas på annat sätt. Det innefattar också alla beslut som åklagare fattar om åtgärder under en förundersökning, exempelvis om straffprocessuella tvångsmedel eller framställningar till domstol. Beslut i samband med att förundersökningar läggs ned eller avslutas på annat sätt, t.ex. genom åtalsunderlåtelse, och uppgifter i samband med besluten ingår således i åklagarverksamheten. Åklagare är enligt 22 kap. rättegångsbalken skyldiga att biträda målsägande. Åklagarverksamhet inkluderar även att förbereda och föra olika former av talan som kan föras i ett brottmål i samband med ansvarstalan, t.ex. talan om enskilt anspråk, näringsförbud, rådgivningsförbud eller skattetillägg. Lagföring avser för åklagarnas del huvudsakligen att utfärda strafförelägganden och besluta om åtal, att föra ansvarstalan och att företräda staten i andra frågor i brottmål. På samma sätt som domstol har åklagare även omfattande skyldigheter att expediera beslut. Det är dock inte längre möjligt att låta regleringen om personuppgiftsbehandling utgå från den verksamhet som personuppgifterna behandlas i, eftersom syftet med personuppgiftsbehandlingen är avgörande för lagens tillämpningsområde. Polisens brottsdatalag bör därför gälla vid personuppgiftsbehandling hos Ekobrottsmyndigheten i syfte att utreda brott, om det inte är fråga om åklagarverksamhet. Vid Ekobrottsmyndigheten är det enbart åklagare som fattar beslut om lagföring. Därför bör myndighetens personuppgiftsbehandling i det syftet inte regleras i polisens brottsdatalag. Det bedrivs även underrättelseverksamhet vid Ekobrottsmyndigheten. Den verksamheten leds och utförs dock av Polismyndigheten. Polisens brottsdatalag bör tillämpas på den behandlingen, på samma sätt som vid annan personuppgiftsbehandling som Polismyndigheten utför. Tillämpningsområdet för Säkerhetspolisen Polisdatalagen gäller i dag även i Säkerhetspolisens brottsbekämpande verksamhet. Säkerhetspolisens personuppgiftsbehandling som rör nationell säkerhet omfattas dock inte av dataskyddsdirektivet och brottsdatalagen kommer inte att vara tillämplig på den verksamheten. Polisens brottsdatalag kommer att gälla utöver brottsdatalagen. Många frågor som tidigare reglerades i polisdatalagen regleras i dag i brottsdatalagen. Eftersom brottsdatalagen inte kommer att vara tillämplig i större delen av Säkerhetspolisens verksamhet och polisens brottsdatalag anpassas till brottsdatalagen blir det komplicerat att reglera Säkerhetspolisens personuppgiftsbehandling i polisens brottsdatalag. Regeringen delar därför utredningens uppfattning att det finns starka lagtekniska skäl för att Säkerhetspolisens behandling av personuppgifter bör regleras på annat sätt än i polisens brottsdatalag. Hur den regleringen bör utformas återkommer regeringen till ett annat lagstiftningsärende. Vad som ska gälla under mellantiden behandlas i avsnitt 16. Säkerhetspolisen ska enligt 13 § förordningen (2014:1103) med instruktion för Säkerhetspolisen bistå vid polisverksamhet som leds av Polismyndigheten om myndigheten i ett enskilt fall begär det och det inte finns särskilda skäl mot det. Säkerhetspolisen ska också lämna tekniskt biträde och annan hjälp till Polismyndigheten i den utsträckning som myndigheterna kommer överens om. När Säkerhetspolisen lämnar sådant biträde omfattas personuppgiftsbehandlingen av brottsdatalagens tillämpningsområde, om den inte rör nationell säkerhet (se prop. 2017/18:232 s. 105). Enligt 30 § förordningen (2014:1102) med instruktion för Polismyndigheten får chefen för Nationella operativa avdelningen i samråd med biträdande säkerhetspolischefen i ett enskilt fall bestämma att en förundersökning eller annan liknande uppgift i den brottsbekämpande verksamheten ska lämnas över till Säkerhetspolisen för fortsatt handläggning. Syftet med bestämmelsen är bl.a. att jävssituationer ska kunna undvikas (se prop. 2013/14:110 s. 400). När Säkerhetspolisen med stöd av ett beslut enligt den paragrafen genomför en förundersökning eller utför någon annan uppgift som normalt skulle utföras av Polismyndigheten och som omfattas av brottsdatalagens tillämpningsområde bör Säkerhetspolisen tillämpa den lagen. För Polismyndighetens del kompletteras brottsdatalagen av polisens brottsdatalag. När Säkerhetspolisen biträder eller övertar en arbetsuppgift från Polismyndigheten bör Säkerhetspolisen tillämpa samma reglering. Säkerhetspolisen bör således tillämpa polisens brottsdatalag i frågor som inte rör nationell säkerhet, om personuppgifter behandlas i syfte att bekämpa eller lagföra brott. Lagen ska inte gälla vid behandling i vissa register Enligt 1 kap. 3 § polisdatalagen gäller lagen inte vid behandling enligt vapenlagen, lagen om belastningsregister, lagen om misstankeregister, lagen om Schengens informationssystem, lagen om passagerarregister, lagen om polisens allmänna spaningsregister (numera upphävd) och lagen om register över tillträdesförbud vid idrottsarrangemang. Det är inte möjligt att reglera all Polismyndighetens personuppgiftsbehandling inom brottsdatalagens tillämpningsområde i polisens brottsdatalag. Lagen bör därför inte gälla vid behandling av personuppgifter som regleras särskilt i vissa andra uppräknade författningar. Till skillnad från utredningen anser regeringen att vapenlagen uttryckligen bör undantas från tillämpningsområdet. I vilken utsträckning vapenlagen omfattas av brottsdatalagens tillämpningsområde övervägs för närvarande i ett annat lagstiftningsärende. Eftersom lagen (2010:362) om polisens allmänna spaningsregister har upphört att gälla bör hänvisningen till den lagen inte införas i polisens brottsdatalag. Regeringen anser vidare, i likhet med utredningen, att Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret bör regleras i polisens brottsdatalag (se avsnitt 14.2) och hänvisningen till den lagen bör därför inte heller införas i den nya lagen. Enligt lagen om Polismyndighetens elimineringsdatabas får Polismyndigheten föra ett register över dna-profiler i syfte att stärka kvaliteten i den forensiska verksamheten med dna-analyser. Både dna-profiler som inte kan hänföras till en identifierbar person och dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken från en misstänkt jämförs med dna-profilerna i elimineringsdatabasen innan de läggs in i spårregistret respektive utredningsregistret eller dna-registret. Syftet med det är att säkerställa att sökningar i registren inte ger felaktiga resultat på grund av att kontaminerade dna-profiler har registrerats. Regeringen instämmer i utredningens bedömning att behandling av dna-profiler i elimineringsdatabasen är en verksamhet som är oupplösligt förbunden med Polismyndighetens hantering av de övriga dna-registren och därför bör omfattas av brottsdatalagens tillämpningsområde. Med hänsyn till att elimineringsdatabasen inte får användas för att utreda brott ansåg regeringen dock tidigare att regleringen av den inte passade in i polisdatalagen, eftersom den lagen gäller i den brottsbekämpande verksamheten (se prop. 2013/14:110 s. 456). Det finns fortfarande goda skäl att reglera databasen särskilt. Behandling som utförs enligt lagen om Polismyndighetens elimineringsdatabas bör därför undantas från tillämpningsområdet. Lagen om flygpassageraruppgifter i brottsbekämpningen En ny lag om flygpassageraruppgifter i brottsbekämpningen föreslås träda i kraft den 1 augusti 2018, dvs. före polisens brottsdatalag (se prop. 2017/18:234). Lagen genomför Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (PNR-direktivet). Lagen kommer bl.a. att innehålla regler om behandling av personuppgifter. I samma proposition föreslås ändringar i polisdatalagen som innebär att om det i den nya lagen finns bestämmelser som avviker från polisdatalagen, ska dessa bestämmelser tillämpas i stället för polisdatalagens reglering. Polisdatalagen kommer alltså att vara subsidiär i förhållande till lagen om flygpassageraruppgifter i brottsbekämpningen. En motsvarande bestämmelse bör införas i den nya lagen. Polisdatalagen är sedan tidigare subsidiär även i förhållande till lagen (2017:496) om internationellt polisiärt samarbete (1 kap. 4 § polisdatalagen). Även en sådan motsvarande bestämmelse bör finnas i den nya lagen. 7.2.2 Personuppgiftsansvar Regeringens förslag: Polismyndigheten ska vara personuppgiftsansvarig för den behandling av personuppgifter som utförs vid myndigheten och för den behandling som myndigheten utför vid Ekobrottsmyndigheten i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet. Ekobrottsmyndigheten ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför i syfte att utreda brott. Säkerhetspolisen ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker förslaget men anför att det kommer att uppstå gränsdragningsproblem i den operativa verksamheten. Ekobrottsmyndigheten tillstyrker förslaget som tydliggör myndighetens personuppgiftsansvar. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Polismyndigheten är i dag enligt 2 kap. 4 § polisdatalagen personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför och den behandling som utförs i polisiär verksamhet vid Ekobrottsmyndigheten. Att Polismyndigheten även fortsättningsvis bör vara personuppgiftsansvarig för den behandling av personuppgifter som utförs vid den egna myndigheten är självklart, liksom att Säkerhetspolisen bör vara personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen. Vem som bör vara personuppgiftsansvarig för den behandling som utförs vid Ekobrottsmyndigheten är däremot inte lika givet. Frågan har länge varit föremål för diskussion. Ekobrottsmyndigheten har i olika lagstiftningsärenden framfört att myndigheten bör vara personuppgiftsansvarig för all den behandling av personuppgifter som utförs vid myndigheten, eftersom det inte är möjligt att dela upp personuppgiftsansvaret beroende på vem som hanterar personuppgifterna eller vilket it-system som används (se prop. 2009/10:85 s. 92 f. och prop. 2013/14:110 s. 447 f.). Ekobrottsmyndigheten är enligt 2 kap. 3 § åklagardatalagen personuppgiftsansvarig för den personuppgiftsbehandling som utförs vid myndigheten enligt åklagardatalagen. När Ekobrottsmyndigheten inrättades var myndigheten även personuppgiftsansvarig för personuppgiftsbehandlingen i den polisverksamhet som bedrevs vid myndigheten. Myndigheten omfattades däremot inte av den tidigare gällande polisdatalagens (1998:622) tillämpningsområde, eftersom den är en åklagarmyndighet. Myndighetens personuppgiftsbehandling reglerades, förutom i förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet, i personuppgiftslagen. För att Ekobrottsmyndigheten skulle kunna bedriva kriminalunderrättelseverksamhet ändrades den tidigare gällande polisdatalagen (1998:622) och gjordes från den 1 januari 2004 tillämplig på polisverksamheten i myndigheten (prop. 2002/03:144 s. 15 f.). Dåvarande Rikspolisstyrelsen blev personuppgiftsansvarig för den personuppgiftsbehandling vid Ekobrottsmyndigheten som utfördes med stöd av polisdatalagen. Personuppgiftsansvarig definieras i 1 kap. 6 § brottsdatalagen som den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Enligt förarbetena till den nu gällande polisdatalagen bör huvudregeln vara att den myndighet som utför själva behandlingen också ska ha personuppgiftsansvaret för den. Regeringen ansåg dock att någon förändring av personuppgiftsansvaret vid Ekobrottsmyndigheten inte var motiverad när polisdatalagen infördes (se prop. 2009/10:85 s. 93). Inte heller när åklagardatalagen infördes gjordes någon ändring (se prop. 2014/15:63 s. 45). Polismyndigheten leder underrättelse- och spaningsverksamheten vid de polisoperativa enheterna vid Ekobrottsmyndigheten. Även om personuppgiftsbehandlingen utförs vid Ekobrottsmyndigheten är det Polismyndigheten som leder den verksamheten och som därigenom bestämmer ändamålen med och medlen för behandlingen. Polismyndigheten bör därför även i fortsättningen vara personuppgiftsansvarig för den personuppgiftsbehandling som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet vid Ekobrottsmyndigheten. Däremot är det Ekobrottsmyndigheten som genomför brottsutredningarna och som därigenom bestämmer ändamålen med och medlen för behandlingen i den delen av verksamheten. Polismyndigheten har ingen praktisk möjlighet att fullgöra personuppgiftsansvaret i den verksamheten. Ekobrottsmyndigheten bör därför pekas ut som personuppgiftsansvarig för den behandling som myndigheten utför i syfte att utreda brott enligt lagen. Det är oundvikligt att, så som Datainspektionen påpekar, gränsdragningsproblem kan komma att uppstå i enskilda fall. Sådana gränsdragningsproblem förekommer även i dag, och får lösas med ledning av brottsdatalagens definition av personuppgiftsansvarig enligt 1 kap. 6 §. 7.2.3 En bestämmelse om hur lagen är uppbyggd Regeringens förslag: Lagen ska innehålla en bestämmelse om hur den är uppbyggd. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Samtliga kapitel i polisdatalagen gäller inte för all personuppgiftsbehandling inom tillämpningsområdet. Personuppgiftsbehandling i vissa register och i den forensiska verksamheten kommer även i den nya lagen att regleras i särskilda kapitel på grund av att bara delar av lagen ska vara tillämpliga vid den behandlingen. Vidare är det bara vissa kapitel som gäller för Ekobrottsmyndigheten och Säkerhetspolisen. Det behöver därför tydliggöras vad som gäller för dem och hur lagens kapitel förhåller sig till varandra. Bestämmelsen om lagens uppbyggnad bör således finnas även i den nya lagen. 7.3 Grundläggande bestämmelser om behandling 7.3.1 Rättsliga grunder och behandling för nya ändamål Regeringens förslag: Personuppgifter ska få behandlas om det är nödvändigt för att Polismyndigheten, Ekobrottsmyndigheten och Säkerhetspolisen ska kunna utföra följande uppgifter: 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. upprätthålla allmän ordning och säkerhet, eller 4. fullgöra förpliktelser som följer av internationella åtaganden. Det ska framgå genom en hänvisning att personuppgifter som behandlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen. Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår att regleringen i brottsdatalagen om att en arbetsuppgift ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften ska upprepas i den nu föreslagna lagen. Remissinstanserna: Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksamhet sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga grunder för behandling Registerförfattningarna bör innehålla bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter. En reglering som motsvarar 2 kap. 7 § polisdatalagen bör således införas, men det bör framgå att det inte är fråga om ändamålsbestämmelser i egentlig mening. Bestämmelserna är på samma sätt som 2 kap. 1 § brottsdatalagen en del av den rättsliga grunden och ger Polismyndigheten, Ekobrottsmyndigheten och Säkerhetspolisen rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina arbetsuppgifter. Polismyndigheten får i dag behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Polismyndigheten ska få fortsätta att behandla personuppgifter om det är nödvändigt för att fullgöra sådana arbetsuppgifter, men regleringen bör följa brottsdatalagens terminologi. Det bör i tillämpliga delar gälla även för övriga myndigheter som tillämpar polisens brottsdatalag. Som en följd av direktivets tillämpningsområde bör lagen tillämpas på Polismyndighetens personuppgiftsbehandling vid upprätthållande av allmän ordning och säkerhet. Upprätthållande av allmän ordning och säkerhet bör därför också anges som en tillåten rättslig grund i lagen. Polisens brottsdatalag föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rättsliga grunder i polisens brottsdatalag bör den senare helt ersätta bestämmelsen i brottsdatalagen. Det behöver inte, som utredningen föreslår, föreskrivas att den uppgift som ska utföras ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar. Datainspektionen efterfrågar en ytterligare analys av om direktivets krav på en tydlig, precis och förutsägbar rättslig grund är uppfyllt för respektive myndighets behandling av personuppgifter. I propositionen Brottsdatalag finns ett utvecklat resonemang kring vad som avses med kravet på rättslig grund (se avsnitt 7.2). Det konstateras där att genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna, är kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt. För Polismyndighetens del nämns bl.a. 2 § polislagen, där det anges att en av Polismyndighetens huvuduppgifter är att utreda och beivra brott. Den bestämmelsen, tillsammans med den föreslagna regleringen i 2 kap. 1 § polisens brottsdatalag, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara tydlig, precis och förutsägbar. Behandling för nya ändamål I dag regleras behandling för nya ändamål till viss del i den sekundära ändamålsbestämmelsen i 2 kap. 8 § polisdatalagen. Regeringen anser i likhet med utredningen att de sekundära ändamålsbestämmelserna inte bör finnas kvar i den nya regleringen. Förutsättningarna för behandling för nya ändamål regleras i stället i brottsdatalagen. Innan personuppgifter får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför tillämpningsområdet. Det bör införas en bestämmelse i polisens brottsdatalag som tydliggör att förutsättningarna för att behandla personuppgifter för nya ändamål regleras i brottsdatalagen. 7.3.2 Behandling av biometriska och genetiska uppgifter Regeringens förslag: Polismyndigheten och Säkerhetspolisen ska få behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Regeringens bedömning: Säkerhetspolisen och Ekobrottsmyndigheten bör inte få behandla genetiska uppgifter. Polismyndigheten bör endast få behandla genetiska uppgifter i den forensiska verksamheten. Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens. Remissinstanserna: Datainspektionen tillstyrker förslaget. Polismyndigheten välkomnar att möjligheterna i respektive verksamhet inte begränsas mer än att behandling av sådana uppgifter endast får ske när det är absolut nödvändigt för ändamålet med behandlingen. Övriga remissinstanser yttrar sig inte särskilt i denna del. Skälen för regeringens förslag och bedömning Förutsättningarna för att behandla biometriska och genetiska uppgifter Biometriska uppgifter är enligt 1 kap. 6 § brottsdatalagen personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga. Vanliga fotografier och filmer omfattas inte av definitionen om de inte bearbetas tekniskt på något sätt så att identifiering blir möjlig, t.ex. i ett ansiktsigenkänningsprogram (se prop. 2017/18:232 s. 85 f.). Genetiska uppgifter är enligt 1 kap. 6 § brottsdatalagen personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår eller ett prov av personen i fråga. Det är framför allt fråga om information som kan tas fram vid dna-analyser, men även motsvarande information som tas fram vid andra analyser omfattas (se prop. 2017/18:232 s. 86 f.). Enligt 2 kap. 12 och 13 §§ brottsdatalagen utgör biometriska uppgifter som används för att identifiera en person och genetiska uppgifter känsliga personuppgifter. Sådana uppgifter får endast behandlas om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. Det finns därför skäl att överväga myndigheternas behov av att behandla sådana uppgifter. Biometriska uppgifter Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd identitet är riktig. Den baseras på mätning av fysiska karaktärsdrag hos den som ska identifieras. Fingeravtryck, ansiktsgeometri, ögats iris eller nät- eller regnbågshinna, röst, hand, blodkärl, dna eller rörelsemönster kan användas. Fingeravtryck och dna har använts länge i den polisiära verksamheten, men den tekniska utvecklingen har förändrat förutsättningarna för att använda framför allt biometri. Det har under de senaste åren utvecklats helt nya möjligheter att använda exempelvis ansikts- och röstigenkänning. Som utredningen konstaterar går utvecklingen fort och det är svårt att förutse vad som kommer att vara möjligt inom några år. Polisen bör även i fortsättningen ha möjlighet att behandla biometriska uppgifter i brottsbekämpningen. Det är viktigt att den rättsliga regleringen inte hämmar eller hindrar utvecklingen och användningen av ny teknik. Enligt 2 kap. 12 § brottsdatalagen får biometriska uppgifter som används för att identifiera en person behandlas bara om det är absolut nödvändigt för ändamålet med behandlingen. Regeringen instämmer i utredningens bedömning att det för närvarande inte finns skäl att begränsa möjligheterna att använda biometriska uppgifter ytterligare. Polismyndigheten och Säkerhetspolisen har behov av att behandla biometriska uppgifter medan det är svårt att se att Ekobrottsmyndigheten har ett sådant behov. Det bör därför införas en bestämmelse i lagen som medger att Polismyndigheten och Säkerhetspolisen får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Det bör anmärkas att de personuppgifter som förekommer i ett utlåtande som baseras på en teknisk bearbetning av biometriska eller genetiska uppgifter inte i sig utgör sådana uppgifter. Det kommer alltså att vara möjligt att behandla personuppgifter i sådana utlåtanden i samma utsträckning som i dag. Genetiska uppgifter Genetiska uppgifter behandlas vid dna-analyser för att ta fram dna-profiler eller forensiska uppslag. Själva dna-profilen, som behandlas i Polismyndighetens dna-register, är endast en sifferkombination och är därmed ingen genetisk uppgift (se prop. 2017/18:232 s. 150). Vid sidan av den forensiska verksamheten hos Polismyndigheten har det inte framkommit något behov hos de behöriga myndigheterna att få behandla genetiska uppgifter. Någon allmän bestämmelse som medger sådan behandling bör följaktligen inte finnas i lagen. 7.3.3 Sökning på känsliga personuppgifter Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott, uppgifter om verkställighet av påföljd eller uppgifter som beskriver en persons utseende används som sökbegrepp. Sökförbudet ska inte heller hindra sökning i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte omfattas av de särskilda bestämmelserna om gemensamt tillgängliga uppgifter i polisens brottsdatalag. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Polismyndigheten tillstyrker förslaget men framhåller att den nya författningstekniska lösningen innebär att undantagsbestämmelser måste införas för penningtvättsregistret och det internationella registret för att sökmöjligheterna inte ska försämras i förhållande till vad som gäller i dag. Skälen för regeringens förslag Undantag från sökförbudet i brottsdatalagen vid sökning i alla slags personuppgifter I 2 kap. 14 § brottsdatalagen finns ett generellt sökförbud, vilket utgår från syftet med sökningen. Om syftet inte är att få fram ett urval av personer grundat på känsliga personuppgifter är sökningen tillåten, även om känsliga personuppgifter används vid sökningen (se prop. 2017/18:232 s. 155 f.). Detta skiljer sig från dagens reglering. Eftersom sökförbudet får en ny utformning är det nödvändigt att se över bestämmelserna om sökning. En utgångspunkt är att en effektiv underrättelse- och utredningsverksamhet kräver att vissa avsteg från förbudet tillåts, trots att detta i någon mån innebär en försvagning av integritetsskyddet. Enligt 3 kap. 5 § andra stycket i polisdatalagen är det tillåtet att använda brottsrubriceringar och uppgifter som beskriver en persons utseende som sökbegrepp vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Det finns även i fortsättningen behov av att kunna använda sådana uppgifter vid sökning, trots att det kan leda till att man får fram ett urval av personer grundat på känsliga personuppgifter. Det bör därför göras undantag från brottsdatalagens sökförbud för sådana sökningar. För att möjligheterna till sökning ska vara desamma som i dag bör undantaget omfatta sökningar i alla slags personuppgifter, dvs. oberoende av om uppgifterna har gjorts gemensamt tillgängliga eller inte. Polisen har även behov av att kunna göra sökningar på tillvägagångssätt vid brott. Sådana sökningar kan i vissa fall leda till ett urval av personer grundat på känsliga personuppgifter. Som exempel kan nämnas att tillvägagångssätt vid sexualbrott kan avslöja uppgifter om sexualliv eller sexuell läggning. Tillvägagångssätt vid både sexualbrott och andra brott kan avslöja skador som gärningsmannen ådragit sig, dvs. avslöja uppgifter om hälsa. Undantaget från sökförbudet bör därför omfatta tillvägagångssätt vid brott. Även sökningar på verkställighet av påföljd kan ibland vara nödvändiga. Polisen kan exempelvis vid vissa typer av brott ha intresse av att kartlägga om personer som genomgår rättspsykiatrisk vård haft frigång eller permission. Att någon är föremål för rättspsykiatrisk vård avslöjar en uppgift om hälsa. Även information om permissioner eller vårdvistelser inom ramen för fängelsestraff, t.ex. att någon vistas på en viss typ av behandlingshem, kan avslöja uppgifter om hälsa. Undantaget från sökförbudet i brottsdatalagen bör därför även omfatta sökning på uppgifter om verkställighet av påföljd. Undantag vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga Det nuvarande förbudet i polisdatalagen mot att använda känsliga personuppgifter som sökbegrepp gäller endast vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Det innebär att känsliga personuppgifter får användas vid sökning i uppgifter som enbart ett fåtal har tillgång till. Den enda begränsningen i dag är att behandling av känsliga personuppgifter ska vara absolut nödvändig. De behöriga myndigheternas möjligheter att använda känsliga personuppgifter vid sökningar bör inte försämras i förhållande till dagens reglering. För att effektivt kunna bekämpa brott kan polisen ha behov av att göra sammanställningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter vid sökningar i uppgifter som inte har gjorts gemensamt tillgängliga. Det finns därför skäl att göra vissa undantag från sökförbudet i brottsdatalagen även i sådana fall. Det är framför allt i polisens underrättelseverksamhet som det finns behov av sökningar som innebär att sammanställningar grundade på känsliga personuppgifter skapas. Bekämpningen av organiserad brottslighet kräver inte sällan kartläggning av misstänktas kontakter och vanor. Sådana kartläggningar kan leda till att känsliga personuppgifter avslöjas. Det kan t.ex. visa sig att en övervakad person regelbundet besöker en lokal där det förekommer religiösa ceremonier eller politisk eller facklig verksamhet. Ett annat exempel är att en övervakad person huvudsakligen umgås med personer som har ett visst etniskt ursprung. Polisen måste kunna göra sökningar i sådana underrättelseuppgifter för att förebygga, förhindra eller upptäcka brottslig verksamhet som begås av flera personer som förenas genom sitt etniska ursprung, sin religiösa eller filosofiska övertygelse eller sina politiska åsikter. Polisen måste även kunna göra sökningar i syfte att förebygga, förhindra och upptäcka brott som riktar sig mot personer av visst etniskt ursprung eller med viss religiös övertygelse. Det finns motsvarande behov av att kunna söka på känsliga personuppgifter i utredningsverksamheten. Behovet av att göra sammanställningar grundade på genetiska och biometriska uppgifter i den forensiska verksamheten vid Polismyndigheten behandlas senare (se avsnitt 7.8). Behandling av biometriska uppgifter i ett ansiktsigenkänningsprogram kan inte anses motsvara en sökning i syfte att få fram ett visst urval av personer, utan måste ses som en sådan normal behandling av biometriska uppgifter som är tillåten om den är absolut nödvändig för ändamålet med behandlingen. Det finns därför inte något behov av undantag för sökningar när det gäller biometriska uppgifter utanför den forensiska verksamheten. Det kan inte finnas behov av att göra sammanställningar grundade på ras, eftersom det inte finns någon vetenskaplig grund för att dela in människor i skilda raser (se prop. 2017/18:232 s. 151). Undantaget från sökförbudet i brottsdatalagen bör mot den bakgrunden utformas så att sökningar möjliggörs när det gäller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. För närvarande gäller inte något sökförbud vid sökningar i de särskilda register som regleras i 5 kap. polisdatalagen. Polismyndigheten invänder att den föreslagna regleringen skulle medföra att möjligheterna att söka i penningtvättsregistret och det internationella registret begränsas och att undantag från sökförbudet måste införas för dessa register för att upprätthålla dagens ordning. Någon ändring i sak bör inte göras i fråga om polisens möjligheter att söka i de aktuella registren. I förhållande till utredningens förslag bör det därför tydliggöras att sökförbudet inte gäller vid sökningar i personuppgifter som inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Av 1 kap. 7 § framgår att 3 kap. inte gäller för de register som avses i 5 kap. Personuppgifterna i dessa register har alltså inte gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Det blir därigenom tydligt att sökförbudet inte hindrar sökningar där. 7.4 Personuppgifter från transportföretag 7.4.1 Personuppgiftsbehandlingen bör regleras i polisens brottsdatalag Regeringens förslag: Bestämmelserna om behandling av personuppgifter som tillhandahålls av transportföretag enligt polislagen ska tas in i polisens brottsdatalag. Sådana personuppgifter ska få behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Nuvarande reglering Enligt 25 § polislagen är transportföretag skyldiga att på begäran skyndsamt lämna vissa personuppgifter till Polismyndigheten och Säkerhetspolisen. Det rör sig bl.a. om uppgifter om resenärers namn, medresenärers namn och transportmedel. Uppgifterna får endast begäras om de kan ha betydelse för myndighetens brottsbekämpande verksamhet. Personuppgifterna får tillhandahållas genom terminalåtkomst till transportföretagens bokningssystem där polisen får läsa uppgifterna men inte bearbeta eller lagra dem. Terminalåtkomst tillåts enligt 26 § bara i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifterna får även lämnas på annat sätt om transportföretaget anser att det är bättre. Uppgifterna lämnas ofta elektroniskt, men det förekommer även att de tillhandahålls på papper. Uppgifter om enskilda som lämnas på annat sätt än genom terminalåtkomst ska enligt 26 § tredje stycket polislagen omedelbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott. Syftet med bestämmelsen är att hindra att uppgifterna sprids, eftersom det till största delen är fråga om information om enskilda personer som inte är misstänkta för brottslig verksamhet. Personuppgiftsbehandlingen bör regleras i registerförfattningen I polislagen regleras inte bara transportföretagens uppgiftsskyldighet, utan även på vilket sätt och hur länge polisen får behandla personuppgifterna. Tullverket har motsvarande tillgång till uppgifter från transportföretag enligt bestämmelser i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen (inregränslagen) och tullagen (2016:253). För polisens del finns det i dag ingen reglering av behandlingen av personuppgifter från transportföretag i polisdatalagen. Tullverkets behandling av personuppgifter från transportföretag regleras däremot både i inregränslagen och tullagen och i 2 kap. 8 och 9 §§ tullbrottsdatalagen. Inom brottsdatalagens tillämpningsområde är utgångspunkten att myndigheternas personuppgiftsbehandling i så stor utsträckning som möjligt ska regleras i respektive registerförfattning. En annan ordning, med enstaka bestämmelser om personuppgiftsbehandling i andra lagar, skulle innebära att regleringen blir mer svåröverskådlig. Bestämmelserna om hur polisen får behandla personuppgifter från transportföretag bör därför föras över till polisens brottsdatalag. Transportföretagens skyldigheter bör dock fortfarande regleras i polislagen. Hur får uppgifterna behandlas? Enligt 26 § polislagen får transportföretagen tillhandahålla Polismyndigheten och Säkerhetspolisen passageraruppgifter genom att göra dem läsbara via terminalåtkomst. Uppgifter som hålls tillgängliga på det sättet får inte ändras eller på annat sätt bearbetas eller lagras av myndigheterna. Bestämmelsen kan uppfattas på det sättet att myndigheterna inte får hantera personuppgifterna på annat sätt än att läsa dem på en terminal. Det kan dock inte ha varit avsikten att regleringen ska tolkas så snävt, eftersom tillgången till sådana uppgifter skulle vara meningslös om uppgifter av betydelse för brottsbekämpningen inte skulle få tillföras den brottsbekämpande verksamheten. I förarbetena till Tullverkets motsvarande bestämmelse anges att uppgifterna kan behöva bevaras så länge de har betydelse för vidare åtgärder (se prop. 1995/96:166 s. 84). Det bör förtydligas att den nu aktuella bestämmelsen endast hindrar ändring eller bearbetning av uppgifterna i transportbolagens it-system. Om personuppgifter i ett enskilt fall ger upphov till ett underrättelseuppslag eller behövs i en brottsutredning kan de som regel behandlas enligt de generella bestämmelserna i brottsdatalagen och polisens brottsdatalag. Polismyndigheten har framför allt behov av att kunna behandla bokningsuppgifter för att kontrollera en viss persons resande eller vilka som vid ett visst tillfälle reser till en viss destination. Polismyndigheten kan ha behov av sådana uppgifter både i sin underrättelseverksamhet och för brottsutredning. I underrättelseverksamheten kan det t.ex. vara viktigt att kartlägga hur vissa varor förs in i landet. Vid s.k. kontrollerade leveranser av narkotika kan bokningsuppgifter vara av stor betydelse. Vidare kan det vid utredning av brott exempelvis vara av värde att kartlägga möjliga vägar att föra stöldgods ut ur landet eller att följa narkotikans väg till Sverige. Polismyndigheten bör därför i enskilda fall kunna dra nytta av uppgifter från transportföretagen både för att förebygga, förhindra eller upptäcka brottslig verksamhet och för att utreda eller lagföra brott. I avsnitt 7.4.4 behandlas frågan om det i lagen bör finnas en särskild bestämmelse om att personuppgifter från transportföretag ska förstöras om de visar sig sakna betydelse för brottsbekämpningen. Lagen om flygpassageraruppgifter i brottsbekämpningen Regeringen har nyligen beslutat en proposition med förslag till lag om flygpassageraruppgifter i brottsbekämpningen som bl.a. innehåller bestämmelser om personuppgiftsbehandling i enlighet med kraven i PNR-direktivet (se prop. 2017:18/234). Där regleras skyldigheten för flygbolag att överföra passageraruppgiftssamlingar till särskilda enheter för passagerarinformation i medlemsstaterna, för vilka ändamål personuppgifterna får behandlas, hur länge de får lagras och under vilka förutsättningar de får lämnas ut. Den nya lagen kommer att ha företräde framför bestämmelserna i polisdatalagen och polislagen. 7.4.2 Begränsningar i möjligheterna att behandla personuppgifter Regeringens förslag: Personuppgifter som transportföretag tillhandahåller ska endast i enskilda fall få behandlas för nya ändamål enligt brottsdatalagen. Regeringens bedömning: Det bör inte införas någon begränsning av Polismyndighetens möjligheter att söka i uppgifter från transportföretag. Utredningens förslag och bedömning överensstämmer delvis med regeringens förslag. Utredningen föreslår en begränsning av Polismyndighetens möjligheter att söka i uppgifter från transportföretag. Remissinstanserna: Polismyndigheten motsätter sig att en begränsning av myndighetens möjligheter att behandla uppgifter införs utan att konsekvenserna för polisens verksamhet och förmåga har analyserats grundligt. Hovrätten för Västra Sverige har inte något att erinra mot förslaget att inskränka polisens möjligheter att behandla personuppgifter, under förutsättning att det grundar sig på upplysningar från polisen. Datainspektionen ställer sig positiv till förslaget till begränsning av Polismyndighetens möjligheter att söka i uppgifter från transportföretag. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag och bedömning Det bör inte regleras vilka sökbegrepp som får användas I dag gäller inga begränsningar i polisens möjligheter att söka i uppgifter från transportföretag. Det gör det däremot om motsvarande uppgifter lämnas till Tullverket. Enligt 2 kap. 9 § tullbrottsdatalagen får vid sökning i uppgifter från transportföretag direkta personuppgifter som namn, personnummer och samordningsnummer användas som sökbegrepp bara om uppgifterna avser en person som är eller har varit misstänkt för brott eller viss brottslig verksamhet eller som övervakas på visst sätt. I förarbetena till bestämmelserna om hur Tullverket får behandla uppgifter från transportföretag konstateras att sökning på resenärers namn i uppgifter från transportföretag är förenade med särskilda integritetsrisker mot bakgrund av dels att transportföretagen är skyldiga att lämna ut uppgifterna, dels att de flesta uppgifterna avser personer som inte kan misstänkas för någon brottslighet (se prop. 1995/96:166 s. 79 f.). Även om det vore effektivt för brottsbekämpningen om Tullverket kunde samköra uppgifter som kommit in från transportföretag med andra uppgifter från den brottsbekämpande verksamheten och på så sätt få fram vilka som redan övervakas eller kan misstänkas ha samband med brottslig verksamhet, slås det fast i förarbetena till tullbrottsdatalagen att det inte bör tillåtas. Det anses vara tillräckligt att Tullverket har möjlighet att söka efter personer som redan är eller har varit misstänkta för brott eller kan antas ha samband med brottslig verksamhet eller personer som är föremål för viss övervakning (se prop. 2016/17:91 s. 107 f.). Det gäller alltså olika regler för samma typ av personuppgifter beroende på vilken myndighet som tar emot dem, vilket utredningen menar är otillfredsställande ur integritetssynpunkt. Utredningen föreslår därför att en sökbegränsning ska gälla även för Polismyndighetens del. Datainspektionen ställer sig positiv till förslaget. Polismyndigheten anser dock att myndigheten bör ha vidare möjligheter att behandla personuppgifter från transportföretag än vad Tullverket har, eftersom polisens uppdrag och behov i väsentliga delar skiljer sig från Tullverkets (se prop. 1995/96:166 s. 78). Polismyndigheten framhåller att utredningens förslag innebär att möjligheterna att bekämpa den organiserade gränsöverskridande tillgreppsbrottsligheten minskar och att förslaget riskerar att försämra det internationella polissamarbetet. Hovrätten för Västra Sverige tillstyrker endast förslaget om det grundar sig på uppgifter från Polismyndigheten. Tullverket och Polismyndigheten har olika ansvarsområden vid brottsbekämpningen, vilket kan motivera att reglerna för myndigheternas personuppgiftsbehandling i viss mån skiljer sig åt. Den sökbegränsning som nu föreslås för Polismyndighetens del kan riskera att försämra myndighetens möjligheter att bekämpa den organiserade gränsöverskridande brottsligheten. Trots att förslaget skulle innebära en viss förstärkning av integritetsskyddet, anser regeringen därför att en sökbegränsning motsvarande den som gäller för Tullverket inte bör genomföras för Polismyndighetens del. Behandling för nya ändamål I dag finns det inga bestämmelser om vidarebehandling av personuppgifter som transportföretag tillhandahåller. Det gör det däremot om motsvarande uppgifter lämnas till Tullverket. Enligt 2 kap. 8 § tullbrottsdatalagen får Tullverket endast om det behövs i ett enskilt fall behandla personuppgifter från transportföretag för något annat primärt ändamål. Det innebär att uppgifterna exempelvis får användas för att utreda brott. Behandling för nya ändamål såväl inom som utanför brottsdatalagens tillämpningsområde regleras i brottsdatalagen. Innan personuppgifter får behandlas för ett nytt ändamål inom lagens område ska det säkerställas dels att det finns en tillåten rättslig grund för behandlingen, dels att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Motsvarande prövning ska göras innan personuppgifter som behandlas med stöd av brottsdatalagen får behandlas för ett ändamål utanför lagens tillämpningsområde. Riksdagen har nyligen ställt sig bakom att Tullverket ska få behandla personuppgifter av nu aktuellt slag för nya ändamål endast om det behövs i enskilda fall (se prop. 2016/17:91 s. 107). Mot den bakgrunden bör polisens rätt att behandla personuppgifter som tillhandahålls av transportföretag för nya ändamål begränsas på motsvarande sätt. Behandling för nya ändamål bör därför vara tillåten endast i enskilda fall, t.ex. när ett brott upptäcks och personuppgifterna behövs för att utreda brottet. 7.4.3 Uppgifter från transportföretag får göras gemensamt tillgängliga Regeringens bedömning: Personuppgifter från transportföretag får göras gemensamt tillgängliga. Det kräver ingen särskild reglering. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över bedömningen. Skälen för regeringens bedömning: Uppgifterna från transportföretagen är till allra största delen information om personer som inte är intressanta ur ett brottsbekämpningsperspektiv. Som utredningen konstaterat är utgångspunkten därför att uppgifterna ska ges så liten spridning som möjligt. När bestämmelserna om Tullverkets tillgång till uppgifter från transportföretag infördes konstaterade regeringen att uppgifternas karaktär krävde begränsningar av hur uppgifterna fick användas (se prop. 1995/96:166 s. 83 f.). Enligt 2 kap. 8 § andra stycket tullbrottsdatalagen får personuppgifter från transportföretag bara göras gemensamt tillgängliga i enskilda fall. Om uppgifterna, t.ex. efter en kontroll, visar sig vara nödvändiga för att utreda brott eller ha samband med allvarlig misstänkt brottslig verksamhet får de dock behandlas inom ramen för den utredningen eller det underrättelseärendet och göras gemensamt tillgängliga (se prop. 2016/17:91 s. 107). Även polisen bör få göra nu aktuella personuppgifter gemensamt tillgängliga. Det kan dock inte bli fråga om att göra större mängder information gemensamt tillgänglig, eftersom den till största delen rör personer som inte är intressanta för brottsbekämpningen. I stället kommer det att vara uppgifter om någon eller några personer eller transporter som är av betydelse i underrättelseverksamheten eller i en brottsutredning som görs gemensamt tillgängliga. Vilka uppgifter som får göras gemensamt tillgängliga framgår av 3 kap. 2 § första stycket polisdatalagen. Enligt punkten 1 får uppgifter som kan antas ha samband med viss misstänkt brottslig verksamhet göras gemensamt tillgängliga. Detsamma gäller enligt punkten 3 uppgifter som förekommer i ett ärende om utredning eller beivrande av brott. Någon särskild reglering behövs därför inte. 7.4.4 Hur länge personuppgifterna får behandlas Regeringens bedömning: Det ska inte finnas någon särskild bestämmelse om att uppgifter från transportföretag ska förstöras om de visar sig sakna betydelse för utredning av eller lagföring för brott. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över bedömningen. Skälen för regeringens bedömning: Enligt 26 § tredje stycket polislagen ska uppgifter om enskilda personer som ett transportföretag lämnat på annat sätt än genom terminalåtkomst omedelbart förstöras om de visar sig sakna betydelse för utredning av eller lagföring för brott. Polismyndigheten har inte samma behov som Tullverket att i sin brottsbekämpande verksamhet fortlöpande ta del av alla uppgifter från transportföretag inför att transporterna ankommer. Behovet av uppgifter är mera relaterat till att i vissa fall kunna kontrollera vilka som förväntas komma med en viss transport eller att i efterhand kunna granska vilka personer som åkt med en viss transport. Mot den bakgrunden finns det inte samma behov av en särregel om förstörande. Enligt 2 kap. 17 § första stycket brottsdatalagen får personuppgifter inte behandlas under längre tid än nödvändigt med hänsyn till ändamålet med behandlingen. Den bestämmelsen ger tillräckligt skydd för uppgifterna. Det finns därför inte något behov av att införa en bestämmelse motsvarande 26 § tredje stycket polislagen när regleringen flyttas till polisens brottsdatalag. 7.5 Gemensamt tillgängliga uppgifter 7.5.1 Nya kategorier av personuppgifter får göras gemensamt tillgängliga Regeringens förslag: Personuppgifter som förekommer i ärenden om kontaktförbud eller om personskydd ska få göras gemensamt tillgängliga. Uppgifterna ska inte få behandlas längre än ett år efter det att ärendet som de behandlades i avslutades. Personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet ska också få göras gemensamt tillgängliga. De ska inte få behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Personuppgifter i ärenden om kontaktförbud eller personskydd I 3 kap. 2 § första stycket polisdatalagen anges vilka personuppgifter som får göras gemensamt tillgängliga. Det är bl.a. uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver eller sker systematiskt. Om någon utsätts för hot eller våld är det viktigt att polisen så snabbt som möjligt får kännedom om huruvida han eller hon tidigare har varit utsatt för brott eller är föremål för skyddsåtgärder av något slag. Det finns då bättre förutsättningar att snabbt hitta gärningsmannen. När det gäller personer som skyddas av exempelvis kontaktförbud eller personsäkerhetsåtgärder är det dock inte alltid som personuppgifterna kan knytas till misstanke om brottslig verksamhet eller en utredning om brott så att uppgifterna av det skälet får göras gemensamt tillgängliga. Det finns därför behov av att kunna göra uppgifter om personer med någon form av skyddsbehov gemensamt tillgängliga. Det kan vara personer som skyddas av ett kontaktförbud, är föremål för vittnesskydd eller annat personsäkerhetsarbete. Det är dock inte bara uppgifter om den person som har ett sådant skyddsbehov som bör få göras gemensamt tillgängliga. Det bör även gälla uppgifter om närstående till sådana personer, eftersom hot eller våld kan riktas mot dem för att komma åt den person som har det egentliga skyddsbehovet. Bestämmelsen bör lämpligen formuleras så att personuppgifter som förekommer i ärenden om kontaktförbud eller om personskydd får göras gemensamt tillgängliga. Med hänsyn till att personuppgifterna förekommer i ärenden bör de inte få behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades. Personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet Lagen ska tillämpas även på Polismyndighetens personuppgiftsbehandling i syfte att upprätthålla allmän ordning och säkerhet. I förarbetena till polisdatalagen framhålls att det är svårt att dra en tydlig gräns mellan polisens ordningshållning och brottsbekämpning, vilket beror på att övervakning och ordningshållande verksamhet även kan syfta till att förebygga och ingripa mot brott. Sådan verksamhet kan också ofta övergå i brottsbekämpning (se prop. 2009/10:85 s. 75). Inför kommenderingar vid särskilda händelser där ordningsstörningar befaras, t.ex. en fotbollsmatch eller en demonstration, kan det finnas behov av att göra uppgifter om tillträdesförbud eller uppgifter om personer som tidigare orsakat ordningsstörningar gemensamt tillgängliga. Även om sådana uppgifter i vissa fall skulle kunna göras gemensamt tillgängliga med stöd av befintlig reglering är det inte givet att så alltid är fallet. Det bör därför införas en bestämmelse om att personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet får göras gemensamt tillgängliga. Personuppgifter som görs gemensamt tillgängliga i syfte att upprätthålla allmän ordning och säkerhet bör inte få behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. 7.5.2 Sökning i gemensamt tillgängliga uppgifter Regeringens förslag: En bestämmelse som anger vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar som motsvarar den som gäller idag ska tas in i polisens brottsdatalag, men sökbegränsningarna ska enbart gälla i automatiserade behandlingssystem. Vid sådan sökning ska uppgifter om personer som berörs av ett kontaktförbud eller av åtgärder i ett personskyddsärende få tas fram. Begränsningarna ska inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning som görs av särskilt angivna tjänstemän 1. när de utför beredningsuppgifter inom underrättelseverksamhet och arbetet befinner sig i ett inledande skede, 2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga enligt vissa bestämmelser och som enbart dessa tjänstemän har tillgång till, 3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer, eller 4. i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer. Det ska också göras undantag för sökning som en tjänsteman vid någon av Polismyndighetens ledningscentraler utför på begäran av en polisman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen avstyrker förslaget att begränsningen av vilka uppgifter som får tas fram bara ska gälla i automatiserade behandlingssystem, eftersom en sådan förändring riskerar att öppna för sökningar i vidare omfattning än idag. Polismyndigheten tillstyrker de förändringar och förtydliganden som föreslås när det gäller sökning i gemensamt tillgängliga uppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Begränsning endast i automatiserade behandlingssystem Från integritetssynpunkt är en av de viktigaste aspekterna med behandling av personuppgifter i vilken utsträckning uppgifter kan sökas och sammanställas. Ett av syftena med polisdatalagen är att polisen på ett bättre sätt ska kunna dra nytta av redan insamlad information. Lagen ger utrymme för att samla in och behandla en mängd olika personuppgifter, vilket gör att det kan finnas uppgifter om samma person i olika system och uppgiftssamlingar. De möjligheter till behandling som lagen ger och mängden information skulle - om det inte fanns några begränsningar - skapa utrymme för kvalificerade kartläggningar av enskildas personliga förhållanden (se prop. 2009/10:85 s. 153). För att värna den personliga integriteten har det därför i polisdatalagen införts särskilda begränsningar vid sökning i gemensamt tillgängliga uppgifter. Eftersom sökning med hjälp av personnummer är ett viktigt inslag i polisens verksamhet och sådana identitetsbeteckningar är av stor betydelse för att säkerställa identiteten och undvika personförväxlingar, ansågs det nödvändigt att medge sådan sökning i gemensamt tillgängliga uppgifter. I 3 kap. 6 § polisdatalagen regleras därför vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsuppgifter. I 3 kap. 7 § görs vissa undantag från bestämmelserna i 3 kap. 6 §. I förarbetena diskuteras ingående vilka sökningar som bör vara tillåtna och vilka begränsningar som bör gälla (se prop. 2009/10:85 s. 159 f.). Syftet med begränsningsregeln är att det vid en initial allmän sökning bara ska vara möjligt att få fram vissa typer av uppgifter som ansetts vara polisiärt intressanta. Om det finns förutsättningar för att gå vidare och söka efter andra uppgifter beror på syftet med sökningen i det enskilda fallet och vilken behörighet den som söker informationen har tilldelats. Bestämmelsen ska alltså inte förstås så att den hindrar vidare sökning för den som har behov av det för att fullgöra sina arbetsuppgifter och som har tilldelats den behörighet som fortsatt sökning kräver. Begränsningen gäller bara för uppgifter som behandlas med stöd av polisdatalagen. Den hindrar inte att det vid sökning även tas fram andra uppgifter som polisen har tillgång till, exempelvis genom direktåtkomst till folkbokföringen eller körkorts-, fordons- eller fastighetsregister. Vilken sökning som är tillåten i andra register regleras i de författningar som gäller för dem. Som utredningen konstaterar är regleringen inte tänkt att träffa alla uppgifter som görs gemensamt tillgängliga. Eftersom det är möjligt att göra en fritextsökning i stora mängder information i vanliga ordbehandlingsprogram, skulle det vara orimligt att ställa krav på att all information i textdokument kategoriseras och görs sökbar respektive icke sökbar beroende på vad uppgiften gäller, enbart för att uppfylla kraven på att begränsa resultatet vid sökning. För att tydliggöra att bestämmelsen inte är avsedd att träffa sådana sökningar bör begränsningen enbart gälla i automatiserade behandlingssystem. Därmed omfattas inte sökningar i standardprogram som Word, Outlook och Excel (se prop. 2017/18:232 s. 177 f.). Datainspektionen invänder att en sådan förändring riskerar att öppna för myndigheterna att söka i vidare omfattning än i dag och anser att argumenten för förändringen inte är tillräckligt starka. Regeringen har dock svårt att se att en annan ordning är praktiskt genomförbar och anser därför, trots Datainspektionens invändning, att begränsningarna vid sökning på uppgifter i gemensamt tillgängliga uppgifter bara bör gälla i automatiserade behandlingssystem. Det innebär dock inte att det saknas integritetsskyddande regler för personuppgiftsbehandling som inte sker i automatiserade behandlingssystem. De grundläggande kraven på personuppgiftsbehandling i brottsdatalagen och polisens brottsdatalag gäller givetvis även sådan behandling, vilket innebär att en sökning bara får göras om det är nödvändigt för att utföra en uppgift enligt 2 kap. 1 § polisens brottsdatalag. Bör ytterligare uppgifter få tas fram vid sökning? Övergångsbestämmelserna till polisdatalagen innebär att bestämmelserna i 3 kap. 6 och 7 §§ ännu inte har börjat tillämpas. Det saknas därför erfarenheter av hur begränsningarna kommer att fungera i praktiken. Det kan också noteras att regeringen enligt 3 kap. 7 § fjärde stycket har möjlighet att göra ytterligare undantag från bestämmelserna i 3 kap. 6 §. Mot bakgrund av de noggranna överväganden som gjordes när reglerna infördes finns det nu främst anledning att överväga om den nya lagens delvis ändrade tillämpningsområde i förhållande till polisdatalagen bör föranleda någon ändring. För Polismyndighetens del omfattar lagen även behandling av personuppgifter för att upprätthålla allmän ordning och säkerhet. De uppgifter som då främst kan vara av intresse är uppgifter om att någon har straffats för eller är misstänkt för brott mot allmän ordning. Sådana uppgifter är redan i dag tillgängliga vid sökning. Detsamma gäller uppgifter om att någon kan antas komma att möta ett polisingripande med grovt våld. Något som i vissa sammanhang kan vara av intresse är uppgift om att någon har meddelats tillträdesförbud enligt lagen om tillträdesförbud vid idrottsarrangemang. Uppgifter om att någon har meddelats tillträdesförbud registreras i belastningsregistret och är på det sättet tillgängliga. Personuppgifter i ärenden om kontaktförbud eller om personskydd ska nu få göras gemensamt tillgängliga, se avsnitt 7.5.1. För att den bestämmelsen ska få avsedd effekt, bör det vid sökning i gemensamt tillgängliga uppgifter få tas fram uppgifter som visar att den sökta personen berörs av ett kontaktförbud eller av åtgärder i ett personskyddsärende. Genom användningen av ordet berörs täcks även närstående. Det kan vara svårt att avgöra vilka uppgifter om en sådan person som bör göras sökbara, eftersom personen i fråga kan ha skyddade adressuppgifter eller annat skydd. Som regel torde det räcka att uppgifter om att personen har särskilt skyddsbehov görs sökbara. I övrigt finns det inte anledning att utöka de nu gällande möjligheterna att få fram uppgifter vid en allmän sökning. Behövs det fler eller andra undantag från begränsningsregeln? Enligt 3 kap. 7 § första stycket 2 gäller inte bestämmelserna i 3 kap. 6 § vid sökningar i uppgiftssamlingar som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har tillgång till. Detta undantag skulle kunna leda till att särskilda uppgiftssamlingar skapas enbart för att kringgå bestämmelsen i 6 §. Bestämmelsen bör därför ändras när den införs i den nya lagen. Regeringen instämmer i utredningens bedömning att ändringen bör göras på det sättet att undantaget knyts till att uppgifter behandlas i underrättelseverksamhet i syfte att bearbeta och analysera information som dels har gjorts gemensamt tillgänglig enligt 3 kap. 2 § första stycket 1 eller 2, dels endast särskilt angivna tjänstemän har tillgång till. En sådan ändring täcker både nuvarande 3 kap. 7 § första stycket punkten 2 och andra stycket punkten 1. Den nya bestämmelsen ger ökade möjligheter till sökning, men begränsar samtidigt sökmöjligheterna på det sättet att endast särskilt angivna tjänstemän får utföra sådana sökningar. Regeringen anser i likhet med utredningen att en sådan reglering innebär en rimlig avvägning mellan brottsbekämpningens behov och skyddet för personlig integritet. Mot bakgrund av ökande problem med organiserad brottslighet i form av bl.a. kringresande ligor och annan seriebrottslighet kan det också finnas skäl att göra undantag vid sökning som utförs som ett led i att utreda brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer, om sökningen görs av särskilt utpekade tjänstemän som sysslar med brottssamordning. Den polispersonal som arbetar i yttre tjänst har ofta behov av att kunna få hjälp av personal vid Polismyndighetens ledningscentraler med sökning i syfte att klarlägga t.ex. en gripen eller omhändertagen persons identitet. Det kan också finnas behov av att ta fram uppgifter om minderårigas adress och vårdnadshavare eller att söka efter anhöriga till någon som har skadats i samband med ett brott. Vid sökningar av det slaget kan det vara nödvändigt att ta fram andra typer av information, samtidigt som den ingripande polismannen inte alltid har tillgång till nödvändiga sökmöjligheter i sin utrustning. Det bör därför även göras undantag från begränsningsregeln för sökning som görs i Polismyndighetens ledningscentraler på begäran av en polisman i yttre tjänst. I 6 § polisdataförordningen görs undantag från 3 kap. 6 § första stycket polisdatalagen för sökningar som görs av särskilt angivna tjänstemän för att utföra beredningsuppgifter inom underrättelseverksamhet. Syftet med bestämmelsen är att möjliggöra att fler uppgifter kan tas fram i det inledande skedet av underrättelsearbete. Bestämmelsen bör i likhet med övriga undantag från begränsningsregeln finnas i lag. Det bör också tydliggöras att undantaget endast avser sökningar i ett inledande skede. 7.6 Längsta tid för behandling av uppgifter i viss underrättelseverksamhet Regeringens förslag: Personuppgifter som kan antas ha samband med viss brottslig verksamhet ska, om de behandlas i ett ärende, inte få behandlas längre än ett år efter det att ärendet avslutades. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker förslaget. Skälen för regeringens förslag: I 3 kap. 14 § andra stycket polisdatalagen regleras hur länge personuppgifter som förekommer i viss underrättelseverksamhet får behandlas. I underrättelseverksamhet behandlas personuppgifter som huvudregel inte i ärenden och regleringen av när behandlingen ska upphöra utgår därför från när den senaste registreringen avseende en viss person gjordes. I t.ex. samarbetet mot grov organiserad brottslighet görs vissa personuppgifter gemensamt tillgängliga i underrättelseverksamheten för att andra myndigheter ska kunna ta del av dem, trots att de endast behandlas av ett fåtal personer vid Polismyndigheten. Sådan information behandlas då i särskilda ärenden. Detsamma kan vara fallet i anslutning till en särskild händelse eller om myndigheterna får i uppdrag att samarbeta på visst sätt inom underrättelseverksamheten. När personuppgifter behandlas i ärenden i underrättelseverksamhet bör uppgifterna, på samma sätt som vid behandling av personuppgifter i andra ärenden, inte få behandlas längre än ett år efter det att ärendet avslutades. En bestämmelse med den innebörden bör därför införas. 7.7 Personuppgiftsbehandling i särskilda register 7.7.1 Dna-register Regeringens förslag: Det ska i lagen anges för vilka syften Polismyndigheten får föra dna-register. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Enligt 4 kap. 1 § första stycket polisdatalagen får Polismyndigheten i den brottsbekämpande verksamheten föra register över dna-profiler. Av 1 kap. 7 § framgår att 2 kap. gäller vid behandling av personuppgifter i register enligt 4 kap. Det innebär att dna-registren får föras för de ändamål som anges i 2 kap. 7 § (se prop. 2009/10:85 s. 351). Registren får även föras för att underlätta identifiering av avlidna personer. På samma sätt som när det gäller bestämmelserna om tillämpningsområde och tillåtna rättsliga grunder för behandling bör regleringen av dna-registren inte längre utgå från i vilken verksamhet personuppgiftsbehandlingen utförs, utan från syftet med behandlingen. Det blir tydligare att räkna upp för vilka syften registren får föras i stället för att detta ska läsas ut genom en hänvisning till bestämmelser i ett annat kapitel. Dna-registren bör på samma sätt som i dag få föras i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, fullgöra förpliktelser som följer av internationella åtaganden och underlätta identifiering av avlidna personer. 7.7.2 Fingeravtrycks- och signalementsregister Regeringens förslag: Det ska i lagen anges för vilka syften Polismyndigheten får föra fingeravtrycks- och signalementsregister. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Enligt 4 kap. 11 § polisdatalagen får Polismyndigheten föra fingeravtrycks- och signalementsregister. Av 1 kap. 7 § framgår att 2 kap. gäller vid behandling av personuppgifter i register enligt 4 kap. Det innebär att fingeravtrycks- och signalementsregister får föras för de ändamål som anges i 2 kap. 7 § (se prop. 2009/10:85 s. 355). Registren får även föras för att underlätta identifiering av okända personer. På samma sätt som när det gäller dna-registren bör det genom en uppräkning tydliggöras för vilka syften fingeravtrycks- och signalementsregister får föras i stället för att detta ska läsas ut genom en hänvisning till bestämmelser i ett annat kapitel. Fingeravtrycks- och signalementsregister bör på samma sätt som i dag få föras i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, fullgöra förpliktelser som följer av internationella åtaganden och underlätta identifiering av okända personer. Registren bör även i likhet med i dag få föras för att kontrollera fingeravtryck som Migrationsverket tagit enligt 9 kap. 8 § utlänningslagen, vilket motsvarar regleringen i 2 kap. 8 § första stycket 6 polisdatalagen. 7.8 Personuppgiftsbehandling för forensiska ändamål 7.8.1 Vad är forensiska ändamål? Personuppgiftsbehandling vid Polismyndigheten för forensiska ändamål regleras i 5 kap. polisdatalagen. Forensik är ett sammanfattande begrepp för utveckling och tillämpning av metoder från olika vetenskapliga ämnesområden - t.ex. biologi, kemi eller teknologi - på frågeställningar om framför allt olika typer av fysiska spår som undersöks i anledning av misstanke om brott. Särskilda krav ställs på oberoende och vetenskaplig grund. Det är alltså bara de åtgärder som vilar på denna forensiska grund som kan sägas vara forensiska åtgärder. I kravet på oberoende ligger också att forensiska undersökningar, analyser och jämförelser hanteras helt separat från annat utredningsarbete under en förundersökning. Vad som görs och hur det dokumenteras är enbart beroende av vilket behov som finns i det enskilda ärendet av att forensiskt undersöka och analysera visst material. För frågan om ett visst föremål eller material hanteras för forensiska ändamål eller inte saknar det betydelse om det har tagits i beslag. Att en undersökning äger rum inom ramen för en förundersökning är inte heller avgörande för frågan om bevismaterial hanteras för forensiska ändamål eller inte. Gränsdragningen mellan forensiska ändamål och brottsbekämpande ändamål diskuteras utförligt i förarbetena till 5 kap. (se Den nya polisorganisationen - några frågor om personuppgiftsbehandling m.m., prop. 2014/15:94 s. 56 f.). Behandling för forensiska ändamål vid Polismyndigheten utförs huvudsakligen av Nationellt forensiskt centrum, men även andra enheter inom myndigheten utför viss sådan behandling. Den behandling för forensiska ändamål som Nationellt forensiskt centrum utför åt den egna myndigheten och åt andra behöriga myndigheter omfattas av brottsdatalagens tillämpningsområde. Det gäller även motsvarande behandling för forensiska ändamål av personuppgifter vid en annan enhet inom Polismyndigheten. I förarbetena till 5 kap. anges att syftet med regleringen är att skapa en sammanhållen reglering av den forensiska processen inom Polismyndigheten (se prop. 2014/15:94 s. 56). De särskilda reglerna för personuppgiftsbehandling för forensiska ändamål är således inte tillämpliga i Ekobrottsmyndighetens och Säkerhetspolisens verksamhet. 7.8.2 Regleringen av forensiska ändamål behålls Regeringens förslag: Bestämmelser om för vilka ändamål personuppgifter får behandlas i den forensiska verksamheten ska införas i den nya lagen. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I 5 kap. 1-3 §§ polisdatalagen anges för vilka ändamål personuppgifter får behandlas i den forensiska verksamheten vid Polismyndigheten. Ändamålen delas upp i primära och sekundära på samma sätt som i 2 kap. 7 och 8 §§ polisdatalagen. De primära ändamålen anger den behandling som utförs för forensiska ändamål vid Polismyndigheten, medan de sekundära ändamålen anger när uppgifter som behandlas för forensiska ändamål får användas i andra delar av myndighetens verksamhet eller lämnas ut till andra myndigheter eller organisationer för deras behov. I propositionen Brottsdatalag konstateras att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman, se prop. 2017/18:232 s. 114 f. En ändamålsbestämmelse bör ge ledning för prövningen av vilka personuppgifter som är adekvata och relevanta för behandlingen. Regeringen anser därför att 2 kap. 7 § polisdatalagen inte är en ändamålsbestämmelse i egentlig mening utan att den är en del av den rättsliga grunden som anger ramen för när personuppgifter får behandlas (se avsnitt 6.2). Bestämmelserna i 5 kap. 1 och 2 §§ polisdatalagen om för vilka ändamål personuppgifter får behandlas i den forensiska verksamheten är betydligt mer konkreta och ger tydlig ledning för vilka personuppgifter som är adekvata och relevanta för behandlingen. De behöver därför inte anpassas till regleringen i brottsdatalagen utan bör föras över oförändrade till den nya lagen. 7.8.3 Behandling för nya ändamål Regeringens förslag: Personuppgifter som behandlas för vissa forensiska ändamål ska få behandlas för nya ändamål inom brottsdatalagens tillämpningsområde. Samtliga personuppgifter som behandlas för forensiska ändamål ska i ett enskilt fall få behandlas för nya ändamål enligt de förutsättningar som gäller enligt brottsdatalagen. Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Kan den nuvarande regleringen av utlämnande behållas? Den sekundära ändamålsbestämmelsen i 5 kap. 3 § polisdatalagen reglerar i vilken utsträckning personuppgifter som behandlas för något primärt forensiskt ändamål även får behandlas för att lämnas ut till andra för att tillgodose deras behov. Den reglerar alltså behandling för nya ändamål. Enligt paragrafen får personuppgifter som behandlas för vissa av de primära ändamålen även behandlas när det är nödvändigt för att tillhandahålla information som behövs i annan brottsbekämpande verksamhet hos Polismyndigheten eller i brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen eller Skatteverket. I ett enskilt fall får personuppgifter som behandlas för forensiska ändamål även behandlas för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för. Innan personuppgifter behandlas för ett nytt ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas dels att det finns en tillåten rättslig grund för behandlingen, dels att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Det innebär att en prövning alltid måste göras innan personuppgifter behandlas för nya ändamål, oavsett om det är för forensiska ändamål eller för andra ändamål inom brottsdatalagens tillämpningsområde. Om den sekundära ändamålsbestämmelsen skulle föras över oförändrad till den nya lagen får prövningen enligt brottsdatalagen inte fullt genomslag eftersom brottsdatalagen är subsidiär i förhållande till polisens brottsdatalag. En sådan prövning krävs enligt artikel 4.2 i direktivet. Det är således knappast förenligt med direktivet att föra över den sekundära ändamålsbestämmelsen med den utformning den har i dag till den nya lagen. Bör möjligheterna att lämna ut personuppgifter begränsas på annat sätt? I dag är det som huvudregel bara personuppgifter som behandlas för vissa forensiska ändamål som får lämnas till de brottsbekämpande myndigheterna. Bakgrunden till detta är att resultat som härrör från t.ex. internationella uppdrag normalt sett inte bör spridas till någon annan än uppdragsgivaren (se vidare prop. 2014/15:94 s. 67). Motsvarande begränsningar bör gälla även i fortsättningen men bestämmelsen måste formuleras om och anpassas till regleringen i direktivet och brottsdatalagen. Någon ändring i fråga om möjligheterna att lämna personuppgifter till de brottsbekämpande myndigheterna är inte avsedd. I dag får också personuppgifter som behandlas för något forensiskt ändamål i ett enskilt fall behandlas för andra ändamål, om det inte är oförenligt med insamlingsändamålet. Det kan avse ändamål både inom och utanför brottsdatalagens tillämpningsområde. Med hänsyn till innehållet i direktivet och brottsdatalagen kan den nuvarande bestämmelsen inte föras över oförändrad till den nya lagen. I stället för en prövning av förenligheten med insamlingsändamålet ska en prövning av nödvändighet och proportionalitet göras enligt 2 kap. 4 eller 22 § brottsdatalagen. Begränsningen till ett enskilt fall bör dock behållas. En sådan prövning innefattar en lämplig avvägning mellan mottagarens behov av personuppgifterna och skyddet för enskildas personliga integritet även när det gäller personuppgifter som behandlas för forensiska ändamål. 7.8.4 Behandling av känsliga personuppgifter Regeringens förslag: Biometriska uppgifter och genetiska uppgifter ska få behandlas för forensiska ändamål enligt de förutsättningar som anges i brottsdatalagen. Sökförbudet i brottsdatalagen ska inte hindra sökningar i registren över dna-profiler eller fingeravtrycks- och signalementsregistren, som syftar till att få fram ett urval av personer grundat på uppgifter som rör hälsa eller biometriska eller genetiska uppgifter. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Behandling av biometriska och genetiska uppgifter Enligt 2 kap. 12 och 13 §§ brottsdatalagen utgör biometriska uppgifter som används för att identifiera en person och genetiska uppgifter känsliga personuppgifter. Sådana uppgifter får endast behandlas om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. Behandling av sådana uppgifter är en viktig del i den forensiska verksamheten, inte minst vid dna-analyser och behandling av personuppgifter i dna-registren och fingeravtrycks- och signalementsregistren. Den tekniska utvecklingen ger också nya möjligheter att använda framför allt biometri. Det kommer därför sannolikt att finnas ett ökande behov av att kunna behandla biometriska uppgifter för forensiska ändamål. Det bör därför föreskrivas att biometriska och genetiska uppgifter får behandlas för sådana ändamål. Med hänsyn till att sådana uppgifter enligt brottsdatalagen endast får behandlas om det är absolut nödvändigt för ändamålet med behandlingen finns det för närvarande inte skäl att begränsa möjligheterna att behandla biometriska och genetiska uppgifter ytterligare. Undantag från sökförbudet i brottsdatalagen Sökförbudet i 2 kap. 14 § brottsdatalagen utgår till skillnad från dagens reglering från syftet med sökningen. Om syftet inte är att få fram ett urval av personer grundat på känsliga personuppgifter är sökningen tillåten, även om känsliga personuppgifter används vid sökningen. Det är Nationellt forensiskt centrum vid Polismyndigheten som administrerar dna-registren och fingeravtrycks- och signalementsregister. Vid sökning i registren används dna-profiler respektive fingeravtryck, vilka är biometriska uppgifter. En sökning på fingeravtryck resulterar alltid i en träfflista som visar ett urval av personer grundat på biometriska uppgifter. Det bör dock vara tillåtet att göra sådana sökningar i den forensiska verksamheten. Information i forensiska databaser kan också användas för att ge övriga delar av Polismyndigheten spaningsuppslag, s.k. forensiska uppslag. Tanken med det är att de iakttagelser som görs vid forensiska undersökningar i olika ärenden ska kunna komma till nytta i polisverksamheten som helhet eller i annan brottsbekämpande verksamhet (se prop. 2014/15:94 s. 62 f.). Det går exempelvis att genomföra s.k. familjesökning, vilket innebär att man jämför dna-profiler för att finna släktingar till en viss person, exempelvis en oidentifierad misstänkt. Familjesökning baserar sig på att nära släktingar till viss del har överensstämmande arvsmassa. Sådana sökningar kan resultera i ett urval av personer grundat på biometriska uppgifter. Det finns mot den bakgrunden skäl att göra undantag från sökförbudet när det gäller behandling av biometriska uppgifter i den forensiska verksamheten. Möjligheterna att ta fram information ur dna-prover utvecklas ständigt och det är redan i dag möjligt att få fram olika personliga egenskaper som ögonfärg, ärftliga sjukdomar eller en persons biogenetiska ursprung. Det bör vara tillåtet att göra sökningar i syfte att få fram ett urval av personer grundat på genetiska uppgifter eller uppgifter som rör hälsa i den forensiska verksamheten. 8 Tullverkets brottsdatalag 8.1 Behovet av anpassning till brottsdatalagen 8.1.1 Nuvarande reglering Tullbrottsdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Lagen trädde i kraft den 1 juli 2017. Vissa bestämmelser behöver dock inte tillämpas förrän den 1 januari 2019. Vid myndighetens personuppgiftsbehandling i annan verksamhet gäller lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet. Innehållet i tullbrottsdatalagen måste, i likhet med övriga registerförfattningar, anpassas till brottsdatalagen. Många bestämmelser behöver dock inte anpassas alls eller endast ändras redaktionellt. De anpassningar och ändringar som är gemensamma för registerförfattningarna har behandlats i avsnitt 4, 5 och 6. De anpassningar som är specifika för tullbrottsdatalagen behandlas däremot i detta avsnitt. 8.1.2 Lagens namn Regeringens förslag: Den nya lagen ska benämnas lag om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Hänvisningar till tullbrottsdatalagen i andra författningar ska ändras till lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Utredningen föreslår att lagen ska benämnas Tullverkets brottsdatalag. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: De registerförfattningar som ska gälla utöver brottsdatalagen bör ha enhetliga benämningar som knyter an till brottsdatalagen. Utredningen föreslår att lagen ska benämnas Tullverkets brottsdatalag. Även Lagrådet förordar att lagen ges detta namn. Som anförs i avsnitt 7.1.2 avviker dock det föreslagna namnet från den systematik som gäller för författningars rubriker. Lagens namn bör ange för vem författningen gäller, vad den handlar om och signalera en tydlig koppling till brottsdatalagen. Regeringen anser mot den bakgrunden, trots Lagrådets invändning, att lagen ska benämnas lag om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Lagen kan dock mycket väl få en kortare informell benämning. I det följande kallas den nya lagen för Tullverkets brottsdatalag. Alla hänvisningar till tullbrottsdatalagen i andra författningar ska ändras till lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område. 8.2 Tillämpningsområdet Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. Om det i lagen om internationellt polisiärt samarbete eller lagen om flygpassageraruppgifter i brottsbekämpningen eller föreskrifter som regeringen har meddelat i anslutning till dessa lagar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i Tullverkets brottsdatalag. Utredningens förslag överensstämmer i huvudsak med regeringens förslag. Utredningen lämnar inga förslag avseende lagen om flygpassageraruppgifter i brottsbekämpningen. Förslaget är också något annorlunda utformat. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Tullbrottsdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Tillämpningsområdet för den nya lagen måste dock anpassas till brottsdatalagens tillämpningsområde så att det utgår från syftet med behandlingen i stället för i vilken verksamhet behandlingen utförs. Det bör också framgå att lagen endast gäller när Tullverket agerar i egenskap av behörig myndighet. För att tillämpningsområdet för Tullverkets brottsdatalag ska täcka det som i dag omfattas av regleringen föreslår utredningen att tillämpningsområdet bör inkludera personuppgiftsbehandling i syfte att bl.a. bekämpa brott. I bestämmelsen om brottsdatalagens tillämpningsområde används dock inte uttrycket bekämpa brott. I stället anges att lagen gäller för behandling av personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott. Regeringen anser att motsvarande begrepp bör användas i Tullverkets brottsdatalag. Ändringen innebär inte någon förändring i sak i förhållande till utredningens förslag. Lagen om flygpassageraruppgifter i brottsbekämpningen Som redovisas i avsnitt 7.4.1 har regeringen lämnat förslag till en ny lag om flygpassageraruppgifter i brottsbekämpningen som bl.a. innehåller bestämmelser om personuppgiftsbehandling för uppgifter som samlas in från flygbolag för vissa ändamål. Den nya lagen kommer att ha företräde framför inregränslagen, tullagen och tullbrottsdatalagen. I det lagstiftningsärendet föreslås 2 kap. 8 § tullbrottsdatalagen om uppgifter från transportföretag få ett tillägg som innebär att om lagen om flygpassageraruppgifter i brottsbekämpningen och föreskrifter som regeringen har meddelat i anslutning till den lagen innehåller avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i tullbrottsdatalagen. En motsvarande bestämmelse bör införas i Tullverkets brottsdatalag och placeras i den inledande bestämmelsen i 1 kap. 2 §. Tullbrottsdatalagen är sedan tidigare subsidiär även i förhållande till lagen om internationellt polisiärt samarbete (1 kap. 3 § tullbrottsdatalagen). Även en sådan motsvarande bestämmelse bör finnas i den nya lagen. 8.3 Grundläggande bestämmelser om behandling 8.3.1 Rättsliga grunder och behandling för nya ändamål Regeringens förslag: Tullverket ska få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter: 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, eller 3. fullgöra förpliktelser som följer av internationella åtaganden. Det ska framgå genom en hänvisning att personuppgifter som behandlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen. Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår att regleringen i brottsdatalagen om att en arbetsuppgift ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften ska upprepas i den nu föreslagna lagen. Remissinstanserna: Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksamhet sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga grunder för behandling Registerförfattningarna bör innehålla bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter. En reglering som motsvarar 2 kap. 5 § tullbrottsdatalagen bör således införas, men det bör framgå att det inte är fråga om en ändamålsbestämmelse i egentlig mening. Bestämmelsen är på samma sätt som 2 kap. 1 § brottsdatalagen en del av den rättsliga grunden och ger Tullverket rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina arbetsuppgifter. Tullverket får i dag behandla personuppgifter i den brottsbekämpande verksamheten om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Tullverket bör även i fortsättningen få behandla personuppgifter om det är nödvändigt för att fullgöra sådana arbetsuppgifter, men regleringen bör följa brottsdatalagens terminologi. Tullverkets brottsdatalag föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rättsliga grunder i Tullverkets brottsdatalag bör den senare helt ersätta bestämmelsen i brottsdatalagen. Det behöver inte, såsom utredningen föreslår, föreskrivas att den uppgift som ska utföras ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar. Datainspektionen efterfrågar en ytterligare analys av om direktivets krav på en tydlig, precis och förutsägbar rättslig grund är uppfyllt för respektive myndighets behandling av personuppgifter. I propositionen Brottsdatalag finns ett utvecklat resonemang kring vad som avses med kravet på rättslig grund (se prop. 2017/18:232 s. 116 f.). Det konstateras där att genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna, är kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt. För Tullverkets del kan t.ex. 3 § förordningen (2016:1332) med instruktion för Tullverket nämnas, där det framgår att Tullverket ska förebygga och motverka brottslighet i samband med in- och utförsel av varor. Sådana bestämmelser, tillsammans med den föreslagna regleringen i 2 kap. 1 § Tullverkets brottsdatalag, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara tydlig, precis och förutsägbar. Behandling för nya ändamål I dag regleras behandling för nya ändamål till viss del i den sekundära ändamålsbestämmelsen i 2 kap. 6 § tullbrottsdatalagen. Regeringen anser i likhet med utredningen att de sekundära ändamålsbestämmelserna inte bör finnas kvar i den nya regleringen. Förutsättningarna för behandling för nya ändamål regleras i stället i brottsdatalagen. Innan personuppgifter får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför tillämpningsområdet. Det bör införas en bestämmelse i Tullverkets brottsdatalag som tydliggör att förutsättningarna för att behandla personuppgifter för nya ändamål regleras i brottsdatalagen. 8.3.2 Behandling av biometriska och genetiska uppgifter Regeringens förslag: Tullverket ska få behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Regeringens bedömning: Tullverket bör inte få behandla genetiska uppgifter. Utredningens förslag och bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget eller bedömningen. Skälen för regeringens förslag och bedömning: I avsnitt 7.3.2 anges vad som avses med biometriska och genetiska uppgifter och vilken betydelse sådana uppgifter har vid brottsbekämpning. Tullverket bör på samma sätt som polisen ha möjlighet att använda biometriska uppgifter i brottsbekämpningen. Enligt 2 kap. 12 § brottsdatalagen får biometriska uppgifter som används för att identifiera en person behandlas bara om det är särskilt föreskrivet och absolut nödvändigt för ändamålet med behandlingen. Regeringen bedömer i likhet med utredningen att det för närvarande inte finns skäl att begränsa möjligheterna att använda biometriska uppgifter ytterligare. Det bör därför införas en bestämmelse i Tullverkets brottsdatalag som medger behandling av biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Det har inte framkommit att Tullverket har behov av att behandla genetiska uppgifter. I likhet med utredningen anser regeringen därför att myndigheten inte bör få behandla sådana uppgifter. Någon bestämmelse som medger sådan behandling bör därför inte finnas i lagen. 8.3.3 Sökning på känsliga personuppgifter Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används som sökbegrepp. Sökförbudet ska inte heller hindra sökning i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Undantag från sökförbudet i brottsdatalagen vid sökning i alla slags personuppgifter I 2 kap. 14 § brottsdatalagen finns ett generellt sökförbud, vilket utgår från syftet med sökningen. Om syftet inte är att få fram ett urval av personer grundat på känsliga personuppgifter är sökningen tillåten, även om känsliga personuppgifter används vid sökningen (se prop. 2017/18:232 s. 155 f.). Detta skiljer sig från dagens reglering. Eftersom sökförbudet får en ny utformning är det nödvändigt att se över bestämmelserna om sökning. Enligt 3 kap. 5 § andra stycket tullbrottsdatalagen är det tillåtet att använda uppgifter som beskriver en persons utseende som sökbegrepp vid sökning i uppgifter som har gjorts gemensamt tillgängliga. På samma sätt som Polismyndigheten har Tullverket även i fortsättningen behov av att kunna använda sådana uppgifter som sökbegrepp, trots att det kan leda till att man får fram ett urval av personer grundat på känsliga personuppgifter (se avsnitt 7.3.3). Det bör därför göras undantag från brottsdatalagens sökförbud i Tullverkets brottsdatalag. För att möjligheterna till sökning ska vara desamma som i dag bör undantaget omfatta sökningar i alla slags personuppgifter, dvs. oberoende av om uppgifterna har gjorts gemensamt tillgängliga eller inte. Tullverket har i likhet med Polismyndigheten behov av att kunna göra sökningar på tillvägagångssätt vid brott och brottsrubriceringar. Sådana sökningar kan i vissa fall leda till ett urval av personer grundat på känsliga personuppgifter. Som exempel kan nämnas att smugglingsmetoder eller föremål som smugglas kan avslöja religiös övertygelse eller politiska åsikter. Ett annat exempel är att Tullverket vid kontroll av förbudet mot införsel och utförsel av barnpornografi kan behöva söka på brottsrubriceringar som kan avslöja en persons sexualliv eller sexuella läggning. Undantaget från sökförbudet i brottsdatalagen bör därför även omfatta sökning på uppgifter om tillvägagångssätt vid brott och brottsrubriceringar. I samband med att beslag hävs behöver Tullverket få kännedom om huruvida ägaren verkställer en straffrättslig påföljd och var han eller hon i så fall befinner sig. Om personen verkställer påföljden genom vårdvistelse kan en sådan sökning avslöja uppgifter om hälsa. Behovet av sådan sökning kan enligt regeringens mening tillgodoses på annat sätt än genom ett undantag från sökförbudet. Det kan lämpligen göras genom att Kriminalvården ges skyldighet att på begäran underrätta Tullverket om var en häktad eller intagen är placerad. Tullverket behöver därför i motsats till Polismyndigheten inget undantag från sökförbudet när det gäller uppgifter om verkställighet av påföljd. Undantag vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga Det nuvarande förbudet i tullbrottsdatalagen mot att använda känsliga personuppgifter som sökbegrepp gäller endast vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Det innebär att känsliga personuppgifter får användas vid sökning i uppgifter som enbart ett fåtal har tillgång till. Den enda begränsningen i dag är att behandling av känsliga personuppgifter ska vara absolut nödvändig. De behöriga myndigheternas möjligheter att använda känsliga personuppgifter vid sökningar bör inte försämras i förhållande till dagens reglering. För att effektivt kunna bekämpa brott behöver Tullverket kunna göra sammanställningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter vid sökningar i uppgifter som inte har gjorts gemensamt tillgängliga. Det finns därför skäl att göra vissa undantag från sökförbudet i brottsdatalagen även i sådana fall. Det är framför allt i Tullverkets underrättelseverksamhet som det kan finnas behov av sökningar som innebär att sammanställningar grundade på etniskt ursprung, religiös övertygelse eller politiska åsikter skapas. Det kan t.ex. vara fallet om det är känt att en viss narkotikasort används av en grupp med visst etniskt ursprung eller religiös övertygelse. Smuggling av drogen kat, som endast odlas utomlands, hör hit. Vid hanteringen av frihetsberövade behöver Tullverket även kunna sammanställa uppgifter om personer som är självmordsbenägna eller s.k. sväljare, vilket innebär att uppgifter om hälsa kan avslöjas. Det är vidare sedan länge känt att det finns politiska eller andra ideologiskt motiverade grupperingar i utlandet som finansierar sin verksamhet genom organiserad brottslighet, t.ex. smuggling av cigarretter eller narkotika. De kan vara aktiva även i Sverige (se Lägesbild organiserad brottslighet 2011, Tullverket). Bekämpningen av organiserad brottslighet kräver inte sällan kartläggning av misstänktas kontakter och vanor. Sådana kartläggningar kan leda till att känsliga personuppgifter avslöjas (jfr avsnitt 7.3.3). I kampen mot smuggling av barnpornografiska bilder kan Tullverket även ha behov av att söka på uppgifter som kan avslöja en persons sexualliv eller sexuella läggning, t.ex. på ordet pedofil eller vissa typer av sexleksaker. I utredningsverksamheten finns motsvarande behov av att kunna söka på känsliga personuppgifter vid brott med okänd gärningsman. Det kan inte finnas behov av att göra sammanställningar grundade på ras, eftersom det inte finns någon vetenskaplig grund för att dela in människor i skilda raser (se prop. 2017/18:232 s. 151). Det finns inte heller behov av att kunna göra sammanställningar grundade på medlemskap i fackförening eller på genetiska uppgifter. Undantaget bör mot den bakgrunden utformas så att sökning möjliggörs när det gäller uppgifter som kan avslöja etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse och uppgifter om hälsa, sexualliv eller sexuell läggning. Det innebär att möjligheterna att använda känsliga personuppgifter vid sökningar i uppgifter som inte har gjorts gemensamt tillgängliga begränsas något i förhållande till vad som gäller enligt dagens reglering. 8.4 Personuppgifter från transportföretag 8.4.1 Reglerna om personuppgiftsbehandling för uppgifter från transportföretag samlas Regeringens förslag: Bestämmelserna om behandling av personuppgifter som transportföretag lämnar till Tullverket enligt bestämmelser i inregränslagen och tullagen ska tas in i Tullverkets brottsdatalag. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Tullverket är positivt till förslaget. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Transportföretagens uppgiftsskyldighet Enligt 15 § inregränslagen och 4 kap. 6 och 7 §§ tullagen är transportföretag skyldiga att på begäran skyndsamt lämna vissa personuppgifter till Tullverket. Det rör sig bl.a. om resenärers namn, medresenärers namn och transportmedel. Av bestämmelserna framgår att Tullverket endast får begära sådana uppgifter om de kan antas ha betydelse för Tullverkets brottsbekämpande verksamhet. Personuppgifterna får tillhandahållas genom terminalåtkomst till transportföretagens bokningssystem, där Tullverket endast får läsa uppgifterna men inte bearbeta eller lagra dem. Terminalåtkomst tillåts enligt 16 § inregränslagen och 4 kap. 8 § tullagen bara i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifterna kan även lämnas på annat sätt, om transportföretaget anser att det är bättre. De lämnas ofta elektroniskt, men det förekommer även att de tillhandahålls på papper. Personuppgifterna bör, oavsett på vilket sätt de tillhandahålls, normalt vara strukturerade på ett sådant sätt att tullbrottsdatalagen är tillämplig på behandlingen. Uppgifter om enskilda personer som har lämnats på annat sätt än genom terminalåtkomst ska enligt 16 § inregränslagen och 4 kap. 8 § tullagen omedelbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott. Syftet med bestämmelserna är att hindra att uppgifterna sprids, eftersom det till allra största delen är fråga om information om enskilda personer som inte är misstänkta för brott eller har samband med brottslig verksamhet. I inregränslagen och tullagen regleras således inte bara transportföretagens uppgiftsskyldighet utan även på vilket sätt och hur länge personuppgifterna får behandlas. Uppgifter från transportföretag behandlas och analyseras i Tullverkets underrättelseverksamhet av ett fåtal särskilt utpekade tjänstemän. Eftersom Tullverkets möjlighet att utföra fysiska kontroller i princip är knuten till gränspassage är intresset av bokningsuppgifter bara kortvarigt. När en transport har anlänt har myndigheten normalt inte längre något behov av samtliga uppgifter. Bestämmelserna om Tullverkets tillgång till uppgifter är utformade med särskild hänsyn till det (se prop. 1995/96:166 s. 83 f). Bestämmelserna om transportföretagens uppgiftsskyldighet tillkom i samband med Sveriges anslutning till EU, som en kompensatorisk åtgärd för att minska risken för negativa konsekvenser av den fria rörligheten för personer och varor. För att skapa bättre förutsättningar för kontroller vid den inre gränsen i kampen mot narkotikabrottslighet och annan internationell brottslighet gavs Tullverket möjlighet att i den brottsbekämpande verksamheten inhämta vissa uppgifter om varor, passagerare och fordon. Avsikten var att uppgifterna från transportföretagen skulle användas för att med ökad träffsäkerhet rikta kontroller mot varusändningar och mot personer som skulle kunna misstänkas för brottslighet inom Tullverkets verksamhetsområde (se prop. 1995/96:166 s. 72 f.). Metoden att med hjälp av uppgifter från transportföretag göra profilsökningar och kunna identifiera riskbeteenden redan innan en transport har nått Sverige ansågs dock vara lika viktig vid den yttre som den inre gränsen. Uppgiftsskyldigheten reglerades därför i både inregränslagen och tullagen (se prop. 1995/96:166 s. 80 f.). Regleringen i tullbrottsdatalagen Enligt 2 kap. 8 § tullbrottsdatalagen får personuppgifter, som har lämnats av transportföretag enligt nyssnämnda bestämmelser i inregränslagen och tullagen, behandlas av Tullverket om det är tillåtet enligt dessa lagar, men enbart i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt. Om det behövs i ett enskilt fall får sådana personuppgifter behandlas även för något annat ändamål som anges i 2 kap. 5 § tullbrottsdatalagen och göras gemensamt tillgängliga. Enligt 2 kap. 9 § är det endast tillåtet att söka på namn, personnummer eller annan identitetsbeteckning om uppgifterna avser en person som är eller har varit misstänkt för brott, är misstänkt för att ha utövat eller komma att utöva viss brottslig verksamhet eller är föremål för övervakning enligt lagen. Ett samlat regelverk i Tullverkets brottsdatalag Tillgången till uppgifter från transportföretag är av stor betydelse för Tullverkets möjligheter att förebygga och förhindra brottslig verksamhet och att upptäcka brott i samband med gränspassage. Regeringen instämmer i utredningens bedömning att dagens reglering bör behållas men renodlas och anpassas till de nya förutsättningar som gäller för behandling av personuppgifter till följd av EU:s dataskyddsreform. Förslagen till hur regleringen ska utformas i Tullverkets brottsdatalag presenteras i efterföljande avsnitt. Som framgått innehåller inregränslagen och tullagen inte bara bestämmelser om transportföretagens uppgiftsskyldighet utan även regler som dels begränsar tillgången till personuppgifter i transportföretagens bokningssystem, dels anger hur uppgifterna får behandlas av Tullverket. Där finns bestämmelser om vilken sökning som är tillåten och hur länge uppgifter som härrör från transportföretag får behandlas i den brottsbekämpande verksamheten. Samtidigt finns stödet för att behandla personuppgifterna automatiserat i tullbrottsdatalagen. Bestämmelserna om transportföretags uppgiftsskyldighet infördes som nyss nämnts i samband med att Sverige blev medlem i EU. I förarbetena till Tullverkets registerförfattningar har frågan om de delar av bestämmelserna som avser Tullverkets behandling av personuppgifter borde samlas i en författning inte behandlats. Som anges i bl.a. avsnitt 7.4.1 är utgångspunkten nu att myndigheternas personuppgiftsbehandling inom brottsdatalagens tillämpningsområde i så stor utsträckning som möjligt bör regleras i respektive registerförfattning. Bestämmelserna om hur personuppgifter från transportföretag får behandlas och hur länge de får behandlas bör därför flyttas från inregränslagen och tullagen till Tullverkets brottsdatalag. Med en sådan lösning blir regleringen mer överskådlig och lättillämpad. Bedömningen innebär att vissa bestämmelser i 16 § inregränslagen och 4 kap. 8 § tullagen bör flyttas till Tullverkets brottsdatalag. Transportföretagens uppgiftsskyldighet bör däremot alltjämt regleras i inregränslagen och tullagen, liksom bestämmelserna om hur transportföretagen får lämna uppgifterna samt i vilken omfattning som Tullverket får ta del av uppgifterna. Som framgår av avsnitt 8.2 kommer det att finnas en särreglering när det gäller flygpassageraruppgifter. Nu aktuella bestämmelser om uppgifter från transportföretag kommer inte att tillämpas vid sådan personuppgiftsbehandling som följer av lagen om flygpassageraruppgifter i brottsbekämpningen. 8.4.2 En i huvudsak oförändrad reglering Regeringens förslag: I Tullverkets brottsdatalag ska en bestämmelse införas om att Tullverket får behandla personuppgifter som transportföretag på Tullverkets begäran tillhandahåller enligt bestämmelser i inregränslagen och tullagen för att planera kontroller och välja ut kontrollobjekt för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. Sådana personuppgifter ska endast i enskilda fall få behandlas för nya ändamål. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Tullverket är positivt till förslaget att verket ska få behandla uppgifter från transportföretag inte bara för att förebygga, förhindra och upptäcka brottslig verksamhet utan även för att utreda och lagföra brott. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Syftet med nuvarande reglering Av förarbetena till tullbrottsdatalagen framgår att den enda remissinstans som yttrade sig över 2 kap. 8 § ifrågasatte om användning av uppgifter för planering av kontrollverksamheten och urval av kontrollobjekt stämde överens med lagens övergripande syften. Regeringen bemötte det bl.a. genom att peka på att lagens tillämpningsområde är Tullverkets brottsbekämpande verksamhet (se prop. 2016/17:91 s. 108). Med den nya regleringen i brottsdatalagen finns det skäl att klargöra att syftet med bestämmelsen inte är att planera Tullverkets allmänna kontrollverksamhet. Vid inre gräns är det inte tillåtet att göra slumpmässiga kontroller, t.ex. att ta ut var tionde eller tjugonde person som passerar gränsen för kontroll. Däremot är det tillåtet att göra selektiva kontroller. Med det avses kontroller som bygger på att den som passerar gränsen uppfyller särskilda kriterier som pekar på förhöjd risk för att personen begår brott genom att t.ex. medföra otillåtna varor. Arbetet med att ta fram sådana kriterier som kan motivera att en viss person tas ut för kontroll och att identifiera riskprofiler görs av Tullverkets underrättelseverksamhet. Genom att med hjälp av transportföretagens uppgifter kartlägga bl.a. resmönster, betalningssätt, ålder och vilka som reser i sällskap ökar möjligheterna att kunna avslöja brott och att upptäcka nya smugglingsmetoder. Den kontrollverksamhet som avses i 2 kap. 8 § tullbrottsdatalagen får enligt regeringens mening anses vara sådan som avser att förebygga, förhindra eller upptäcka brottslig verksamhet. Bestämmelserna ska i huvudsak vara desamma Enligt regeringens mening bör de bestämmelser som flyttas över från inregränslagen och tullagen till Tullverkets brottsdatalag i huvudsak ha samma innehåll som i dag. De behöver dock anpassas till den lagens tillämpningsområde. Att personuppgifterna får behandlas för att planera kontroller och välja ut kontrollobjekt för att förebygga, förhindra eller upptäcka brottslig verksamhet bör framgå av bestämmelsen. I avsnitt 7.4.1 föreslås att polisen ska få behandla uppgifter från transportföretag inte bara för att förebygga, förhindra och upptäcka brottslig verksamhet utan även för att utreda eller lagföra brott. Även om Tullverket främst har intresse av att behandla uppgifter från transportföretag för att effektivt kunna förebygga brott och för att bygga upp kunskap om smugglingsvägar och smugglingsmetoder, har myndigheten i likhet med polisen även behov av sådana uppgifter i sin utredningsverksamhet. Vid s.k. kontrollerade leveranser av narkotika kan bokningsuppgifter vara av stor praktisk betydelse. Vid utredning av smugglingsbrott är det viktigt att kunna kontrollera uppgifter om resväg, ressällskap och liknande. Tullverket bör därför kunna dra nytta av uppgifter från transportföretagen både för att förebygga, förhindra eller upptäcka brottslig verksamhet och för att utreda eller lagföra brott. I 2 kap. 8 § tullbrottsdatalagen anges att sådana uppgifter bara får behandlas i den utsträckning det är tillåtet enligt inregränslagen respektive tullagen. Någon motsvarande bestämmelse behövs inte i Tullverkets brottsdatalag, eftersom det alltid ska finnas en rättslig grund för behandlingen. På samma sätt som i polisens brottsdatalag bör det förtydligas att bestämmelserna om terminalåtkomst endast hindrar ändring eller bearbetning av uppgifterna i transportbolagens it-system (se avsnitt 7.4.1). Regeringen föreslår därför att det i Tullverkets brottsdatalag anges att vid terminalåtkomst enligt 16 § inregränslagen och 4 kap. 8 § tullagen får Tullverket inte ändra eller på annat sätt bearbeta personuppgifterna. Skulle Tullverket finna att personuppgifter i ett enskilt fall föranleder ett underrättelseuppslag eller behövs för en brottsutredning kan de som regel behandlas med stöd av de generella bestämmelserna i brottsdatalagen och Tullverkets brottsdatalag. Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst bör liksom i dag omedelbart förstöras, om de saknar betydelse för brottsbekämpning eller lagföring. Regleringen om förstörande i inregränslagen och tullagen gäller inte bara personuppgifter som behandlas automatiserat utan även annan behandling. Den nya regleringen bör därför täcka all behandling som omfattas av tillämpningsområdet för Tullverkets brottsdatalag, vilket bör tydliggöras i lagtexten. Kravet på förstörande bör dock inte omfatta de personuppgifter som myndigheten i ett enskilt fall behandlar för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. Ovan nämnda förslag medför att bestämmelserna i 16 § inregränslagen och 4 kap. 8 § tullagen delvis flyttas till Tullverkets brottsdatalag och får en ändrad lydelse. Regeringen återkommer i avsnitt 8.5.2 till frågan om uppgifter från transportföretag får göras gemensamt tillgängliga. Behandling för nya ändamål I 2 kap. 8 § andra stycket tullbrottsdatalagen föreskrivs att personuppgifter från transportföretag också får behandlas för något annat ändamål som anges i 2 kap. 5 § om det behövs i ett enskilt fall. Det innebär att sådana uppgifter exempelvis får användas för att utreda brott. Behandling för nya ändamål såväl inom som utanför brottsdatalagens tillämpningsområde regleras i brottsdatalagen. För att sådan behandling ska vara tillåten krävs det dels att det finns en tillåten rättslig grund för behandling för det nya ändamålet, dels att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Riksdagen har nyligen ställt sig bakom att Tullverket i ett enskilt fall ska få behandla personuppgifter av nu aktuellt slag för något annat ändamål som anges i 2 kap. 5 § tullbrottsdatalagen. Tullverkets rätt att behandla uppgifterna för nya ändamål bör begränsas på motsvarande sätt i Tullverkets brottsdatalag. Enligt direktivet är det inte möjligt att göra undantag från den prövning som kommer till uttryck i 2 kap. 4 § brottsdatalagen. Det innebär att en sådan prövning alltid krävs när uppgifter från transportföretag i ett enskilt fall ska behandlas för ett nytt ändamål. 8.5 Gemensamt tillgängliga uppgifter 8.5.1 Sökning i gemensamt tillgängliga uppgifter Regeringens förslag: En bestämmelse som anger vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar som motsvarar den som gäller i dag ska tas in i Tullverkets brottsdatalag, men sökbegränsningarna ska enbart gälla i automatiserade behandlingssystem. Begränsningarna ska inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning som görs av särskilt angivna tjänstemän 1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede, 2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga enligt vissa bestämmelser och som enbart dessa tjänstemän har tillgång till, 3. i syfte att utreda brott för vilket är föreskrivet fängelse i fyra år eller mer, eller 4. i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer. Det ska också göras undantag för sökning som en tjänsteman vid någon av Tullverkets ledningscentraler utför på begäran av en tjänsteman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen avstyrker förslaget att begränsningen av vilka uppgifter som får tas fram bara ska gälla i automatiserade behandlingssystem. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Begränsning endast i automatiserade behandlingssystem Eftersom sökning med hjälp av namn, personnummer och samordningsnummer är ett viktigt inslag i Tullverkets verksamhet och sådana identitetsbeteckningar är av stor betydelse för att säkerställa identiteten och undvika personförväxlingar, ansågs det nödvändigt att medge sådan sökning i gemensamt tillgängliga uppgifter. I 3 kap. 6 § tullbrottsdatalagen regleras därför vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar. I 3 kap. 7 § görs vissa undantag från bestämmelserna i 3 kap. 6 §. I förarbetena diskuteras ingående vilka typer av sökning som bör vara tillåtna och vilka begränsningar som bör gälla (se prop. 2016/17:91 s. 138 ff.). Paragraferna är utformade efter mönster av polisdatalagen. En bestämmelse med sökbegränsningar av det slag som finns i 3 kap. 6 § tullbrottsdatalagen bör införas i Tullverkets brottsdatalag. Av de skäl som anges i avsnitt 7.5.2 anser regeringen att begränsningarna endast bör gälla vid sökningar i automatiserade behandlingssystem. I samma avsnitt bemöts Datainspektionens invändning. Behövs det fler eller andra undantag från begränsningsregeln? Undantagen i 3 kap. 7 § tullbrottsdatalagen från begränsningarna av vilka uppgifter som får tas fram vid sökning är utformade efter mönster av polisdatalagen. Av de skäl som anges i avsnitt 7.5.2 bör undantagen ändras när de införs i Tullverkets brottsdatalag. Det gäller undantagen för att bearbeta och analysera information i underrättelseverksamhet. Vidare bör även Tullverket kunna göra sökningar i syfte att samordna brottsutredningar som avser brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer. Regleringen bör utformas på samma sätt som för Polismyndigheten. De tulltjänstemän som arbetar i yttre tjänst har ofta behov av att kunna få hjälp av personal vid Tullverkets ledningscentraler, t.ex. vakthavande befäl eller rikssambandscentralen, med sökning i syfte att klarlägga t.ex. en gripen persons identitet. Vid sökningar av det slaget kan det vara nödvändigt att få fram andra typer av information, samtidigt som den ingripande tulltjänstemannen inte alltid har tillgång till nödvändiga sökmöjligheter i sin utrustning. Det bör därför även göras undantag från begränsningsregeln för sådana sökningar som görs i Tullverkets ledningscentraler på begäran av en tulltjänsteman i yttre tjänst. 8.5.2 Uppgifter från transportföretag får göras gemensamt tillgängliga i vissa fall Regeringens förslag: En bestämmelse om i vilka fall personuppgifter från transportföretag får göras gemensamt tillgängliga ska tas in i regleringen om gemensamt tillgängliga uppgifter. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I avsnitt 8.4.2 föreslås att regleringen av Tullverkets behandling av personuppgifter från transportföretag i huvudsak ska vara densamma som i dag. Utgångspunkten är att uppgifter från transportföretagen till allra största delen är information om personer som inte är intressanta för brottsbekämpningen och att sådana personuppgifter därför ska ges så liten spridning som möjligt. När bestämmelserna i inregränslagen och tullagen infördes konstaterade regeringen att uppgifternas karaktär krävde begränsningar av hur de fick användas (se prop. 1995/96:166 s. 83 f.). Uppgifterna får därför som utgångspunkt inte göras gemensamt tillgängliga. Enligt 2 kap. 8 § andra stycket tullbrottsdatalagen får personuppgifter från transportföretag bara göras gemensamt tillgängliga i enskilda fall. Av förarbetena framgår att det skulle strida mot intentionerna bakom bestämmelserna att generellt tillåta att sådana uppgifter görs gemensamt tillgängliga. Om personuppgifterna, t.ex. efter en kontroll, behövs för en brottsutredning eller har samband med misstänkt brottslig verksamhet bör de dock få behandlas inom ramen för den utredningen eller det underrättelseärendet och göras gemensamt tillgängliga (se prop. 2016/17:91 s. 107). I 3 kap. 2 § tullbrottsdatalagen anges under vilka förutsättningar som personuppgifter får göras gemensamt tillgängliga. Genom särregleringen i 2 kap. 8 § andra stycket tullbrottsdatalagen av i vilka fall uppgifter från transportföretag får göras gemensamt tillgängliga finns det i dag en risk för en otydlighet som kan leda till motsatsslut när det gäller andra slag av personuppgifter. För att undanröja denna risk bör bestämmelsen utan någon ändring i sak tas in i den bestämmelse i Tullverkets brottsdatalag som motsvarar 3 kap. 2 § tullbrottsdatalagen. På samma sätt som enligt dagens reglering bör alltså sådana uppgifter få göras gemensamt tillgängliga om det behövs i ett enskilt fall. 8.6 Längsta tid för behandling av uppgifter i viss underrättelseverksamhet Regeringens förslag: Personuppgifter som kan antas ha samband med viss brottslig verksamhet ska, om de behandlas i ett ärende, inte få behandlas längre än ett år efter det att ärendet avslutades. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker förslaget. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I 4 kap. 9 § andra stycket tullbrottsdatalagen regleras hur länge personuppgifter som förekommer i viss underrättelseverksamhet får behandlas. I underrättelseverksamhet behandlas personuppgifter som huvudregel inte i ärenden och regleringen av när behandlingen ska upphöra utgår därför från när registreringen avseende en viss person gjordes. Som anges i avsnitt 7.6 behandlas personuppgifter i underrättelseverksamheten ibland i ärenden, exempelvis i samarbetet mot grov organiserad brottslighet eller i samband med en särskild händelse. När personuppgifter i underrättelseverksamhet behandlas i ärenden bör uppgifterna, på samma sätt som vid behandling av personuppgifter i andra ärenden, inte få behandlas längre än ett år efter det att ärendet avslutades. En bestämmelse med den innebörden bör därför införas i Tullverkets brottsdatalag. 9 Kustbevakningens brottsdatalag 9.1 Behovet av anpassning till brottsdatalagen 9.1.1 Nuvarande reglering Kustbevakningsdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet och i annan operativ verksamhet, t.ex. sjöövervakning och räddningstjänst. Bestämmelserna i 3 och 4 kap. gäller vid behandling av personuppgifter i den brottsbekämpande verksamheten, medan bestämmelserna i 5 kap. gäller vid personuppgiftsbehandling i annan operativ verksamhet. Innehållet i kustbevakningsdatalagen måste, i likhet med övriga registerförfattningar, anpassas till brottsdatalagen. Många bestämmelser behöver dock inte anpassas eller endast ändras redaktionellt. De anpassningar och ändringar som är gemensamma för registerförfattningarna har behandlats i avsnitt 4, 5 och 6. De anpassningar som är specifika för Kustbevakningens nya registerförfattning behandlas i detta avsnitt. Den del av kustbevakningens personuppgiftsreglering som ligger utanför brottsdatalagens tillämpningsområde behandlas i ett annat lagstiftningsärende (se Ds 2017:58 EU:s dataskyddsreform - anpassningar av vissa författningar om allmän ordning och säkerhet). 9.1.2 Kustbevakningsdatalagen delas upp Regeringens förslag: Kustbevakningens nya registerförfattning ska bara innehålla bestämmelser om personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. Den ska benämnas lagen om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område. Hänvisningar till kustbevakningsdatalagen i andra författningar ska ändras. Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att lagen ska benämnas Kustbevakningens brottsdatalag. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Den nuvarande regleringen renodlas Vid kustbevakningsdatalagens tillkomst konstaterades att övervägande skäl talade för att myndighetens personuppgiftsbehandling skulle regleras i en och samma lag (se prop. 2011/12:45 s. 63). Med hänsyn till hur den nya dataskyddsregleringen är utformad finns det dock, som utredningen konstaterat, skäl att på nytt överväga frågan. Kustbevakningsdatalagen reglerar i dag personuppgiftsbehandling inom både brottsdatalagens och dataskyddsförordningens tillämpningsområden. Om man skulle behålla en samlad reglering för Kustbevakningens personuppgiftsbehandling skulle den därför behöva dels gälla utöver brottsdatalagen, dels komplettera dataskyddsförordningen. Den nya dataskyddsregleringen gör det nödvändigt att dela upp regleringen av Kustbevakningens personuppgiftsbehandling på ett annat sätt än i dag. Det skulle i och för sig vara möjligt att göra alla nödvändiga ändringar i en och samma lag. Ett alternativ är att dela upp regleringen i två separata regelverk - ett för brottsdatalagens tillämpningsområde och ett för dataskyddsförordningens. Skatteverket har sedan tidigare olika regleringar för personuppgiftsbehandlingen beroende på i vilken verksamhet uppgifterna behandlas, där regleringen för den brottsbekämpande verksamheten finns i en särskild lag. Kustbevakningen har visserligen till skillnad från Skatteverket inte någon organisatorisk uppdelning i olika verksamhetsgrenar. Regeringen instämmer ändå i utredningens bedömning att en ordning med två separata regleringar även för Kustbevakningens del skulle bli tydligare och enklare att tillämpa än en lösning som innebär att förordningens och direktivets krav regleras i en och samma lag. Kustbevakningens personuppgiftsbehandling bör alltså fortsättningsvis regleras i två olika registerförfattningar. Den del av Kustbevakningens personuppgiftsbehandling som ligger inom brottsdatalagens tillämpningsområde bör regleras i en ny registerlag. Lagens namn De registerförfattningar som ska gälla utöver brottsdatalagen bör ha enhetliga benämningar som knyter an till brottsdatalagen. Utredningen föreslår att lagen ska benämnas Kustbevakningens brottsdatalag. Även Lagrådet förordar detta namn. Som anförs i avsnitt 7.1.2 avviker dock det föreslagna namnet från hur svenska författningar normalt benämns och skulle bryta mot den systematik som gäller för författningars rubriker. Det vore visserligen önskvärt om namnet kunde vara kort, men samtidigt bör namnet ange för vem författningen gäller, vad den handlar om och signalera en tydlig koppling till brottsdatalagen. Lagen bör mot den bakgrunden benämnas lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område. Samtliga hänvisningar till lagen måste också ändras. I det följande kallas den nya lagen för Kustbevakningens brottsdatalag. 9.2 Tillämpningsområdet Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när Kustbevakningen i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för utredningens förslag Den nuvarande regleringen behöver anpassas Registerförfattningarna bör även i fortsättningen innehålla bestämmelser om tillämpningsområdet (se avsnitt 4.4). Registerförfattningarna bör vidare gälla utöver brottsdatalagen (se avsnitt 5.2). Kustbevakningsdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör bl.a. brottsbekämpning, sjöövervakning och räddningstjänst. Tillämpningsområdet måste i den nya lagen anpassas till brottsdatalagens tillämpningsområde så att det dels utgår från syftet med behandlingen, dels bara omfattar den personuppgiftsbehandling som Kustbevakningen utför inom brottsdatalagens tillämpningsområde. Det bör också framgå att lagen endast gäller när Kustbevakningen agerar i egenskap av behörig myndighet. Närmare om tillämpningsområdet För att tillämpningsområdet för lagen ska täcka det som i dag omfattas av regleringen föreslår utredningen att tillämpningsområdet bör inkludera personuppgiftsbehandling i syfte att bl.a. bekämpa brott. I bestämmelsen om brottsdatalagens tillämpningsområde används dock inte uttrycket bekämpa brott. I stället anges att lagen gäller för behandling av personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott. Regeringen anser att motsvarande begrepp bör användas i Kustbevakningens brottsdatalag. Ändringen innebär inte någon förändring i sak i förhållande till utredningens förslag. Brottsdatalagens tillämpningsområde omfattar även personuppgiftsbehandling i syfte att upprätthålla allmän ordning och säkerhet. En av Kustbevakningens arbetsuppgifter är att genom sjöövervakning förebygga och ingripa mot störningar av ordningen i sjötrafiken (3 § förordningen [2007:853] med instruktion för Kustbevakningen). I 5 kap. 1 § första stycket 1 kustbevakningsdatalagen regleras behandling av personuppgifter för ändamålet att övervaka den allmänna ordningen och säkerheten till sjöss. Sådan sjöövervakning syftar enligt förarbetena till att öka respekten för lagar och föreskrifter och till att öka säkerheten till sjöss. Verksamheten omfattar allmän övervakningsverksamhet i form av patrullering och sjösäkerhetsövervakning. Till denna verksamhet räknas inte aktiviteter som föranleds av misstanke om brott eller brottslig verksamhet (se prop. 2011/12:45 s. 157). Inom ramen för sjöövervakningen har Kustbevakningens tjänstemän rätt att ingripa vid ordningsstörningar i trafiken till sjöss eller när det behövs för att avvärja brott mot föreskrifter om trafikregler och säkerhetsanordningar för sjötrafiken, åtgärder mot vattenföroreningar från fartyg och dumpning av avfall i vatten. Vid ett sådant ingripande har en kustbevakningstjänsteman enligt 3 § lagen om Kustbevakningens medverkan vid polisiär övervakning samma befogenhet som en polisman har enligt 13 § polislagen att avvisa, avlägsna eller omhänderta den som genom sitt uppträdande stör ordningen eller utgör omedelbar fara för den. Det gäller dock bara vid ordningsstörningar till sjöss som utgör en omedelbar fara och i samband med att Kustbevakningen ingriper mot vissa brott enligt lagen om Kustbevakningens medverkan vid polisiär övervakning. Kustbevakningen har också ordningshållande uppgifter enligt dels lagen (2006:1209) om hamnskydd, dels lagen (2004:487) om sjöfartsskydd. För att lagen ska täcka all Kustbevakningens behandling av personuppgifter som omfattas av brottsdatalagens tillämpningsområde bör myndighetens behandling av personuppgifter vid upprätthållande av allmän ordning och säkerhet omfattas av tillämpningsområdet. Gränsdragningen för tillämpningsområdet Enbart personuppgiftsbehandling i syfte att upprätthålla allmän ordning och säkerhet omfattas av brottsdatalagens tillämpningsområde. Utgångspunkten är att det krävs fysisk närvaro på den plats där oordning förekommer eller riskerar att uppstå för att det ska vara fråga om upprätthållande av allmän ordning och säkerhet (se prop. 2017/18:232 s. 97). När en kustbevakningstjänsteman ingriper eller är beredd att ingripa vid en konkret ordningsstörning, eller en potentiell sådan störning vid en specifik händelse, är det fråga om upprätthållande av allmän ordning och säkerhet. Personuppgiftsbehandling vid sådan verksamhet bör följaktligen omfattas av tillämpningsområdet för lagen. Detsamma bör gälla vid ingripanden och andra åtgärder för att avvärja konkreta brott. Den verksamhet som består av allmän övervakning i trygghetsskapande syfte och att genom närvaro se till att allmän ordning och säkerhet inte störs, ligger däremot utanför tillämpningsområdet. Sådan övervakning kan utföras t.ex. genom rutinmässig patrullering till sjöss eller flygövervakning eller övervakning med hjälp av kameror eller annan digital utrustning i en ledningscentral. Denna typ av övervakning görs utan att den är inriktad mot en konkret störning eller konkret risk för störning. Allmän övervakning av sådant slag kan emellertid övergå till att ha ett ordningshållande syfte och därmed omfattas av tillämpningsområdet. Så är fallet om ledningscentralen tar radiokontakt med ett övervakat fartyg för att ge anvisningar om t.ex. vilken kurs fartyget ska hålla för att undvika ett avlyst vattenområde. I dessa fall upprätthålls allmän ordning och säkerhet utan någon fysisk närvaro på platsen där oordning förekommer eller riskerar att uppstå. Även vid rutinmässig patrullering till sjöss kan det upptäckas ordningsstörningar som kräver ingripande. Det är oftast först vid ingripanden som det blir fråga om att behandla personuppgifter. Gränsdragningen avseende vilket regelverk som gäller i enskilda fall blir ytterst en fråga för tillämpningen. 9.3 Grundläggande bestämmelser om behandling 9.3.1 Rättsliga grunder och behandling för nya ändamål Regeringens förslag: Kustbevakningen ska få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter: 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. upprätthålla allmän ordning och säkerhet, eller 4. fullgöra förpliktelser som följer av internationella åtaganden. Det ska framgå genom en hänvisning att personuppgifter som behandlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen. Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår att regleringen i brottsdatalagen om att en arbetsuppgift ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften ska upprepas i den nu föreslagna lagen. Remissinstanserna: Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksamhet sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga grunder för behandling Registerförfattningarna bör innehålla bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter. En reglering som motsvarar 3 kap. 2 § kustbevakningsdatalagen bör således införas, men det ska framgå att det inte är fråga om ändamålsbestämmelser i egentlig mening. Bestämmelserna är i stället på samma sätt som 2 kap. 1 § brottsdatalagen en del av den rättsliga grunden och ger Kustbevakningen rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina arbetsuppgifter. Kustbevakningen får i dag behandla personuppgifter i den brottsbekämpande verksamheten om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Kustbevakningen bör även i fortsättningen få behandla personuppgifter om det är nödvändigt för att fullgöra sådana arbetsuppgifter, men regleringen bör följa brottsdatalagens terminologi. Tillämpningsområdet för lagen ska omfatta personuppgiftsbehandling vid upprätthållande av allmän ordning och säkerhet. Detta bör därför anges vara en tillåten rättslig grund för myndighetens personuppgiftsbehandling. Kustbevakningens brottsdatalag föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rättsliga grunder i registerförfattningen bör den senare ersätta bestämmelsen i brottsdatalagen. Det behöver inte, som utredningen föreslår, föreskrivas i lagen att den uppgift som Kustbevakningen ska utföra ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för sådan uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar. Datainspektionen efterfrågar en ytterligare analys av om direktivets krav på en tydlig, precis och förutsägbar rättslig grund är uppfyllt för respektive myndighets behandling av personuppgifter. I propositionen Brottsdatalag finns ett utvecklat resonemang kring vad som avses med kravet på rättslig grund (se prop. 2017/18:232 s. 116 f.). Det konstateras där att genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna, är kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt. För Kustbevakningens del nämns 3 § förordningen (2007:853) med instruktion för Kustbevakningen, där det anges att myndigheten bl.a. ska bedriva övervakning för att förebygga och ingripa mot störningar i sjötrafiken, förhindra och upptäcka brottslig verksamhet, ingripa vid misstanke om brott och utreda och beivra eller bistå med utredningen av brott. Vilka brott Kustbevakningen har till uppgift att ingripa mot framgår bl.a. av lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning och lagen (2000:1225) om straff för smuggling. Hur det ska göras regleras framför allt i rättegångsbalken och nyss nämnda lagar. Dessa bestämmelser, tillsammans med den föreslagna regleringen i 2 kap. 1 § Kustbevakningens brottsdatalag, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara tydlig, precis och förutsägbar. Behandling för nya ändamål I dag regleras behandling för nya ändamål till viss del i den sekundära ändamålsbestämmelsen i 3 kap. 3 § kustbevakningsdatalagen. I den nya regleringen anges förutsättningarna för behandling för nya ändamål i stället i brottsdatalagen. Innan personuppgifter får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför tillämpningsområdet. I Kustbevakningens brottsdatalag bör det införas en bestämmelse som tydliggör att förutsättningarna för att behandla personuppgifter för nya ändamål regleras i brottsdatalagen. 9.3.2 Behandling av biometriska och genetiska uppgifter Regeringens bedömning: Kustbevakningen bör inte få behandla biometriska och genetiska uppgifter. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Hovrätten för Västra Sverige har inget att erinra mot bedömningen om ställningstagandet grundar sig på upplysningar från Kustbevakningen. Övriga remissinstanser yttrar sig inte särskilt i denna del. Skälen för regeringens bedömning: Enligt 2 kap. 12 och 13 §§ brottsdatalagen utgör biometriska uppgifter som används för att identifiera en person och genetiska uppgifter känsliga personuppgifter. Sådana uppgifter får endast behandlas om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. Regeringen instämmer i utredningens bedömning att det inte har framkommit något behov för Kustbevakningen att behandla biometriska och genetiska uppgifter för brottsbekämpande syften. Kustbevakningen har inte heller invänt mot bedömningen. Det bör därför inte finnas någon bestämmelse som medger sådan behandling i Kustbevakningens brottsdatalag. 9.3.3 Sökning på känsliga personuppgifter Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används vid sökning. Sökförbudet ska inte heller hindra sökning i syfte att få fram ett urval av personer grundat på etniskt ursprung, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga. Utredningens förslag överensstämmer med regeringens. Remissinstanserna har inte några invändningar mot förslaget. Skälen för regeringens förslag Undantag från sökförbudet i brottsdatalagen vid sökning i alla slags personuppgifter Enligt 4 kap. 4 § andra stycket i kustbevakningsdatalagen är det tillåtet att använda brottsrubriceringar eller uppgifter som beskriver en persons utseende som sökbegrepp vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Kustbevakningen har fortfarande behov av att kunna använda sådana uppgifter vid sökning, även om det leder till att man får fram ett urval av personer grundat på känsliga personuppgifter. Det bör därför göras undantag från brottsdatalagens sökförbud i Kustbevakningens brottsdatalag för sådana sökningar. För att möjligheterna till sökning ska vara desamma som i dag bör undantaget omfatta sökning i alla slags personuppgifter, dvs. oberoende av om de har gjorts gemensamt tillgängliga eller inte. Kustbevakningen behöver i likhet med Polismyndigheten och Tullverket kunna göra sökningar på tillvägagångssätt vid brott. Sådana sökningar kan i vissa fall leda till ett urval av personer grundat på känsliga personuppgifter. Som exempel kan nämnas att smugglingsmetoder kan avslöja uppgifter om såväl religiös övertygelse och politiska åsikter som uppgifter om gärningsmannens hälsa. Undantag vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga Det nuvarande förbudet i kustbevakningsdatalagen mot att använda känsliga personuppgifter som sökbegrepp gäller endast vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Det innebär att känsliga personuppgifter får användas vid sökning i uppgifter som enbart ett fåtal har tillgång till. Den enda begränsningen i dag är att behandling av känsliga personuppgifter ska vara absolut nödvändig. De behöriga myndigheternas möjlighet att använda känsliga personuppgifter vid sökning bör inte försämras. Framför allt inom Kustbevakningens underrättelseverksamhet kan det behöva göras sökningar som innebär att sammanställningar grundade på etniskt ursprung eller religiös eller filosofisk övertygelse skapas. Kustbevakningen måste kunna göra sökningar för att förebygga, förhindra eller upptäcka brottslig verksamhet som begås av flera personer som förenas genom sitt etniska ursprung eller sin religiösa eller filosofiska övertygelse. I utredningsverksamheten finns motsvarande behov av att kunna söka på känsliga personuppgifter vid brott med okänd gärningsman. Det finns därför skäl att göra undantag från sökförbudet i brottsdatalagen när det gäller sökning i uppgifter som inte har gjorts gemensamt tillgängliga. Kustbevakningen har dock inte behov av att kunna ta fram urval av personer grundade på alla kategorier av känsliga personuppgifter. Det kan inte finnas behov av att göra sammanställningar grundade på ras, eftersom det inte finns någon vetenskaplig grund för att dela in människor i skilda raser (se prop. 2017/18:232 s. 151). Regeringen instämmer vidare i utredningens bedömning att det inte finns något behov av att kunna göra sammanställningar grundade på genetiska eller biometriska uppgifter, uppgifter om medlemskap i fackförening eller politiska åsikter eller uppgifter som rör sexualliv eller sexuell läggning. Undantaget från sökförbudet i brottsdatalagen bör därför utformas så att sökning i personuppgifter som inte har gjorts gemensamt tillgängliga möjliggörs när det gäller uppgifter som kan avslöja etniskt ursprung, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa. 9.4 Gemensamt tillgängliga uppgifter 9.4.1 Behandling för diarieföring ska undantas Regeringens förslag: Det som föreskrivs om gemensamt tillgängliga uppgifter ska inte gälla när personuppgifter behandlas med stöd av den särskilda bestämmelsen i brottsdatalagen om behandling av personuppgifter för diarieföring eller för att utföra andra nödvändiga handläggningsuppgifter. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I polisdatalagen, åklagardatalagen, tullbrottsdatalagen och skattebrottsdatalagen föreskrivs att reglerna om gemensamt tillgängliga personuppgifter inte är tillämpliga när personuppgifter behandlas med stöd av den särskilda bestämmelsen om behandling av personuppgifter för diarieföring eller för att utföra andra nödvändiga handläggningsuppgifter. Någon sådan bestämmelse finns inte i kustbevakningsdatalagen. Bestämmelsen om personuppgiftsbehandling vid diarieföring syftar inte till att möjliggöra behandling av personuppgifter i den operativa verksamheten, utan enbart till att inkomna handlingar ska kunna hanteras enligt offentlighets- och sekretesslagen och att tillgodose rätten till tillgång till allmänna handlingar enligt tryckfrihetsförordningen. Flera av de bestämmelser som gäller vid behandling av gemensamt tillgängliga personuppgifter är inte anpassade för att reglera behandling av personuppgifter i diarier (se bl.a. prop. 2016/17:89, s. 87 f.). Det bör därför föreskrivas att reglerna om gemensamt tillgängliga personuppgifter inte gäller när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen. 9.4.2 En ny kategori av personuppgifter får göras gemensamt tillgängliga Regeringens förslag: Personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet ska få göras gemensamt tillgängliga. De ska inte få behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: De personuppgifter som Kustbevakningen behandlar i annan operativ verksamhet än den brottsbekämpande och som behövs för att övervaka den allmänna ordningen och säkerheten till sjöss får i dag göras gemensamt tillgängliga enligt 5 kap. 1 § kustbevakningsdatalagen. Kustbevakningens brottsdatalag ska även tillämpas vid personuppgiftsbehandling i syfte att upprätthålla allmän ordning och säkerhet. Inför kommenderingar vid särskilda händelser där ordningsstörningar befaras kan det finnas behov av att göra uppgifter om personer som tidigare orsakat ordningsstörningar gemensamt tillgängliga. Kustbevakningen bör därför även kunna göra personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet gemensamt tillgängliga. Personuppgifter som görs gemensamt tillgängliga i syfte att upprätthålla allmän ordning och säkerhet bör inte få behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. Det motsvarar vad som föreslås gälla för Polismyndigheten. 9.4.3 Sökning i gemensamt tillgängliga uppgifter Regeringens förslag: En bestämmelse som begränsar resultatet vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer, samordningsnummer eller liknande identitetsbeteckningar ska tas in i Kustbevakningens brottsdatalag men sökbegränsningarna ska enbart gälla i automatiserade behandlingssystem. Begränsningarna ska inte gälla vid sökning som utförs av särskilt angivna tjänstemän i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga enligt vissa bestämmelser och som enbart dessa tjänstemän har tillgång till. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen avstyrker förslaget att begränsningen av vilka uppgifter som får tas fram bara ska gälla i automatiserade behandlingssystem. Skälen för regeringens förslag Begränsning endast i automatiserade behandlingssystem Eftersom sökning med hjälp av namn, personnummer och samordningsnummer är ett viktigt inslag i Kustbevakningens verksamhet och sådana identitetsbeteckningar är av stor betydelse för att säkerställa identiteten och undvika personförväxlingar, ansågs det nödvändigt att medge sådan sökning i gemensamt tillgängliga uppgifter (se prop. 2011/12:45 s. 126 och avsnitt 7.5.2). I 4 kap. 5 § kustbevakningsdatalagen regleras därför vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar. I 4 kap. 6 § görs vissa undantag från bestämmelserna i 4 kap. 5 §. I förarbetena diskuteras ingående vilka typer av sökningar som bör vara tillåtna och vilka begränsningar som bör gälla (se prop. 2011/12:45 s. 126 f.). Paragraferna är utformade utifrån regleringen i polisdatalagen. Av de skäl som anges i avsnitt 7.5.2 anser regeringen, till skillnad från Datainspektionen, att begränsningarna endast bör gälla vid sökningar i automatiserade behandlingssystem. Sökning i gemensamt tillgängliga uppgifter Det bör övervägas om det för Kustbevakningen delvis ändrade tillämpningsområdet för lagen bör föranleda någon ändring av begränsningsregeln i 4 kap. 5 § kustbevakningsdatalagen. Kustbevakningens brottsdatalag omfattar även behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet. De uppgifter som då främst kan vara av intresse är uppgifter om att någon är eller har varit misstänkt för brott mot allmän ordning. Sådana uppgifter är redan i dag tillgängliga vid en sökning. Detsamma gäller uppgifter om att någon kan antas komma att möta ett ingripande med grovt våld. Det finns därför inte anledning att utöka de nu gällande möjligheterna att få fram uppgifter vid en allmän sökning. Av de skäl som anges i avsnitt 7.5.2 bör undantaget för sökning i underrättelseverksamhet utformas på motsvarande sätt i Kustbevakningens brottsdatalag för att motverka att regleringen misstolkas. 10 Skatteverkets brottsdatalag 10.1 Behovet av anpassning till brottsdatalagen 10.1.1 Nuvarande reglering Skattebrottsdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Det är dock bara en mycket begränsad del av myndighetens verksamhet. Lagen trädde i kraft den 1 juli 2017. Vissa av bestämmelserna i lagen behöver dock inte tillämpas förrän den 1 januari 2019. Innehållet i skattebrottsdatalagen måste, i likhet med övriga registerförfattningar anpassas till brottsdatalagen. Många bestämmelser behöver dock inte anpassas alls eller endast ändras redaktionellt. De anpassningar och ändringar som är gemensamma för registerförfattningarna har behandlats i avsnitt 4, 5 och 6. De anpassningar som är specifika för skattebrottsdatalagen behandlas däremot i detta avsnitt. 10.1.2 Lagens namn Regeringens förslag: Den nya lagen ska benämnas lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. Hänvisningar till skattebrottsdatalagen i andra författningar ska ändras till lagen om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. Utredningen föreslår att lagen ska benämnas Skatteverkets brottsdatalag. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: De registerförfattningar som ska gälla utöver brottsdatalagen bör ha enhetliga benämningar som knyter an till brottsdatalagen. Utredningen föreslår att lagen ska benämnas Skatteverkets brottsdatalag. Även Lagrådet förordar att lagen ges detta namn. Som anförs i avsnitt 7.1.2 avviker dock det föreslagna namnet från den systematik som gäller för författningars rubriker. Lagens namn bör ange vem författningen gäller för, vad den handlar om och signalera en tydlig koppling till brottsdatalagen. Regeringen anser mot den bakgrunden, trots Lagrådets invändning, att lagen ska benämnas lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. Lagen kan dock mycket väl få en kortare informell benämning. I det följande kallas den nya lagen för Skatteverkets brottsdatalag. Alla hänvisningar till skattebrottsdatalagen i andra författningar ska ändras till lagen om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. 10.2 Tillämpningsområdet Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när Skatteverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Skattebrottsdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Tillämpningsområdet för den nya lagen måste dock anpassas till brottsdatalagens tillämpningsområde så att det utgår från syftet med behandlingen i stället för i vilken verksamhet behandlingen utförs. Det bör också framgå att lagen endast gäller när Skatteverket agerar i egenskap av behörig myndighet. Utredningen föreslår att tillämpningsområdet ska omfatta personuppgiftsbehandling i syfte att bekämpa brott. I bestämmelsen om brottsdatalagens tillämpningsområde används dock inte uttrycket bekämpa brott. I stället anges att lagen gäller för behandling av personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott. Regeringen anser att motsvarande begrepp bör användas i Skatteverkets brottsdatalag. Ändringen innebär inte någon förändring i sak i förhållande till utredningens förslag. 10.3 Grundläggande bestämmelser om behandling 10.3.1 Rättsliga grunder och behandling för nya ändamål Regeringens förslag: Skatteverket ska få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter: 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda brott, eller 3. fullgöra förpliktelser som följer av internationella åtaganden. Det ska framgå genom en hänvisning att personuppgifter som behandlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen. Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår att regleringen i brottsdatalagen om att en arbetsuppgift ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften ska upprepas i den nu föreslagna lagen. Remissinstanserna: Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksamhet sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga grunder för behandling Registerförfattningarna bör innehålla bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter. En reglering som motsvarar 2 kap. 5 § skattebrottsdatalagen bör således införas, men det bör framgå att det inte är fråga om en ändamålsbestämmelse i egentlig mening. Bestämmelsen är på samma sätt som 2 kap. 1 § brottsdatalagen en del av den rättsliga grunden och ger Skatteverket rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina arbetsuppgifter. Skatteverket får i dag behandla personuppgifter i den brottsbekämpande verksamheten om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Myndigheten bör även i fortsättningen få behandla personuppgifter om det är nödvändigt för att fullgöra sådana arbetsuppgifter, men regleringen bör följa brottsdatalagens terminologi. Skatteverkets brottsdatalag föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rättsliga grunder i Skatteverkets brottsdatalag bör den senare helt ersätta bestämmelsen i brottsdatalagen. Det behöver inte, såsom utredningen föreslår, föreskrivas att den uppgift som ska utföras ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar. Datainspektionen efterfrågar en ytterligare analys av om direktivets krav på en tydlig, precis och förutsägbar rättslig grund är uppfyllt för respektive myndighets behandling av personuppgifter. I propositionen Brottsdatalag finns ett utvecklat resonemang kring vad som avses med kravet på rättslig grund (se prop. 2017/18:232 s. 116 f.). Det konstateras där att genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna, är kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt. För Skatteverkets del kan t.ex. 6 § förordningen (2017:154) med instruktion för Skatteverket nämnas, varav det framgår att Skatteverket ska förebygga och motverka ekonomisk brottslighet och medverka i brottsutredningar som rör vissa brott. Sådana bestämmelser, tillsammans med den föreslagna regleringen i 2 kap. 1 § Skatteverkets brottsdatalag, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara tydlig, precis och förutsägbar. Behandling för nya ändamål I dag regleras behandling för nya ändamål till viss del i den sekundära ändamålsbestämmelsen i 2 kap. 6 § skattebrottsdatalagen. Regeringen anser i likhet med utredningen att de sekundära ändamålsbestämmelserna inte bör finnas kvar i den nya regleringen. Förutsättningarna för behandling för nya ändamål bör i stället regleras i brottsdatalagen. Innan personuppgifter får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför tillämpningsområdet. Regeringen anser att det bör införas en bestämmelse i Skatteverkets brottsdatalag som tydliggör att förutsättningarna för att behandla personuppgifter för nya ändamål regleras i brottsdatalagen. 10.3.2 Behandling av biometriska och genetiska uppgifter Regeringens bedömning: Skatteverket bör inte få behandla biometriska och genetiska uppgifter. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Hovrätten för Västra Sverige har inget att erinra mot bedömningen om ställningstagandet grundar sig på upplysningar från Skatteverket. Övriga remissinstanser yttrar sig inte särskilt i denna del. Skälen för regeringens bedömning: I avsnitt 7.3.2 redovisas vad som avses med biometriska och genetiska uppgifter och vilken betydelse de har vid brottsbekämpning. Enligt 2 kap. 12 och 13 §§ brottsdatalagen utgör biometriska uppgifter som används för att identifiera en person och genetiska uppgifter känsliga personuppgifter. Sådana uppgifter får endast behandlas om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. I likhet med utredningen finner inte regeringen något behov för Skatteverket att behandla biometriska och genetiska uppgifter. Skatteverket har inte heller invänt mot bedömningen. Det finns därför inte skäl att föreslå någon bestämmelse som medger sådan behandling i Skatteverkets brottsdatalag. 10.3.3 Sökning på känsliga personuppgifter Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra att uppgifter som beskriver en persons utseende används som sökbegrepp. Sökförbudet ska inte heller hindra sökning i syfte att få fram ett urval av personer grundat på etniskt ursprung, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Undantag från sökförbudet i brottsdatalagen vid sökning i alla slags personuppgifter I 2 kap. 14 § brottsdatalagen finns ett generellt sökförbud, vilket utgår från syftet med sökningen. Om syftet inte är att få fram ett urval av personer grundat på känsliga personuppgifter är sökningen tillåten, även om känsliga personuppgifter används vid sökningen (se prop. 2017/18:232 s. 155 f.). Detta skiljer sig från dagens reglering. Eftersom sökförbudet får en ny utformning är det nödvändigt att se över bestämmelserna om sökning. Enligt 3 kap. 5 § andra stycket skattebrottsdatalagen är det tillåtet att använda uppgifter som beskriver en persons utseende som sökbegrepp vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Det finns även i fortsättningen behov att kunna använda sådana uppgifter vid sökning, trots att det kan leda till att man får fram ett urval av personer grundat på känsliga personuppgifter. Det bör därför göras undantag från brottsdatalagens sökförbud i Skatteverkets brottsdatalag. För att möjligheterna till sökning ska vara desamma som i dag bör undantaget omfatta sökningar i alla slags personuppgifter, dvs. oberoende av om uppgifterna har gjorts gemensamt tillgängliga eller inte. Undantag vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga Det nuvarande förbudet i skattebrottsdatalagen mot att använda känsliga personuppgifter som sökbegrepp gäller endast vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Det innebär att känsliga personuppgifter kan användas vid sökning i uppgifter som endast ett fåtal har tillgång till. Den enda begränsningen i dag är att behandling av känsliga personuppgifter ska vara absolut nödvändig. De behöriga myndigheternas möjligheter att använda känsliga personuppgifter vid sökning bör inte försämras i förhållande till dagens reglering. För att effektivt kunna bekämpa brott behöver Skatteverket kunna göra sammanställningar i syfte att få fram ett urval av personer grundat på vissa känsliga personuppgifter vid sökning i uppgifter som inte har gjorts gemensamt tillgängliga. Det finns därför skäl att göra vissa undantag från sökförbudet i brottsdatalagen även i sådana fall. Det är framför allt i Skatteverkets underrättelseverksamhet som det kan finnas behov av sökningar som innebär att sammanställningar grundade på etniskt ursprung skapas. I exempelvis ärenden om falska identitetshandlingar eller gränsöverskridande ekonomisk brottslighet kan etniskt ursprung vara en gemensam faktor som knyter samman personer i ett nätverk. I utredningsverksamheten finns motsvarande behov av att kunna söka på sådana känsliga personuppgifter. Det har inte framkommit att Skatteverket i övrigt skulle ha behov av att kunna ta fram urval av personer grundade på känsliga personuppgifter. Undantaget från sökförbudet i brottsdatalagen bör utformas så att sökning möjliggörs endast när det gäller etniskt ursprung. Det innebär att möjligheterna att använda känsliga personuppgifter vid sökningar i uppgifter som inte har gjorts gemensamt tillgängliga begränsas i förhållande till vad som gäller enligt dagens reglering. 10.4 Gemensamt tillgängliga uppgifter Regeringens förslag: En bestämmelse som anger vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar som motsvarar den som gäller i dag ska tas in i Skatteverkets brottsdatalag, men sökbegränsningarna ska enbart gälla i automatiserade behandlingssystem. Begränsningarna ska inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning som görs av särskilt angivna tjänstemän 1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede, 2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga enligt vissa bestämmelser och som enbart dessa tjänstemän har tillgång till, eller 3. i syfte att utreda brott för vilket är föreskrivet fängelse i fyra år eller mer. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen avstyrker förslaget att begränsningen av vilka uppgifter som får tas fram bara ska gälla i automatiserade behandlingssystem, eftersom en sådan förändring riskerar att öppna för sökningar i vidare omfattning än i dag. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Begränsning endast i automatiserade behandlingssystem Eftersom sökning med hjälp av namn, personnummer och samordningsnummer är ett viktigt inslag i Skatteverkets verksamhet och sådana identitetsbeteckningar är av stor betydelse för att säkerställa identiteten och undvika personförväxlingar, ansågs det nödvändigt att medge sådan sökning i gemensamt tillgängliga uppgifter. I 3 kap. 6 § skattebrottsdatalagen regleras därför vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar. I 3 kap. 7 § görs vissa undantag från bestämmelserna i 3 kap. 6 §. I förarbetena diskuteras ingående vilka typer av sökning som bör vara tillåtna och vilka begränsningar som bör gälla (se prop. 2016/17:89 s. 96 f). Paragraferna är utformade efter mönster av polisdatalagen. En bestämmelse med sökbegränsningar av det slag som finns i 3 kap. 6 § skattebrottsdatalagen bör införas i Skatteverkets brottsdatalag. Av de skäl som anges i avsnitt 7.5.2 anser regeringen att begränsningarna endast bör gälla vid sökningar i automatiserade behandlingssystem. I samma avsnitt bemöts Datainspektionens invändning. Sökning i gemensamt tillgängliga uppgifter Undantagen i 3 kap. 7 § skattebrottsdatalagen från begränsningarna av vilka uppgifter som får tas fram vid sökning är utformade efter mönster av polisdatalagen. Av de skäl som anges i avsnitt 7.5.2 bör undantagen ändras när de införs i Skatteverkets brottsdatalag. Det gäller undantagen för att bearbeta och analysera information i underrättelseverksamhet. Regleringen bör utformas på samma sätt som i polisens brottsdatalag. 11 Åklagarväsendets brottsdatalag 11.1 Behovet av anpassning till brottsdatalagen 11.1.1 Nuvarande reglering Åklagardatalagen gäller enligt 1 kap. 2 § första stycket vid behandling av personuppgifter i Åklagarmyndighetens och Ekobrottsmyndighetens (åklagarväsendets) operativa verksamhet. Med operativ verksamhet avses dels brottsbekämpande verksamhet, dels fullgörandet av andra åklagaruppgifter enligt lag eller förordning. Det senare kan t.ex. vara att föra talan om hävande av registrering av varumärkesrätt, att företräda staten i mål om vattenföroreningsavgift eller att fatta beslut om förstörande av vissa hälsofarliga missbrukssubstanser (se avsnitt 1.2 och prop. 2014/15:63 Åklagardatalag s. 43 f. och 68 f.). Lagen gäller enligt 1 kap. 2 § andra stycket inte vid behandling av personuppgifter i den polisiära verksamheten vid Ekobrottsmyndigheten. Vid sådan behandling gäller i stället polisdatalagen och andra författningar som reglerar polisens personuppgiftsbehandling. Innehållet i många bestämmelser i åklagardatalagen behöver dock inte anpassas alls eller endast ändras redaktionellt med anledning av brottsdatalagen. De anpassningar och ändringar som är gemensamma för registerförfattningarna behandlas i avsnitt 4, 5 och 6. De anpassningar som är specifika för åklagarväsendets verksamhet behandlas däremot i detta avsnitt. 11.1.2 En särskild registerlagstiftning inom brottsdatalagens tillämpningsområde Regeringens förslag: Den nya lagen ska benämnas lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område. Hänvisningar till åklagardatalagen i andra författningar ska därmed också ändras till lagen om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område. Utredningen föreslår att lagen ska benämnas åklagarväsendets brottsdatalag. Remissinstanserna: Ingen remissinstans invänder mot förslaget. Ekobrottsmyndigheten menar dock att myndighetens personuppgiftsbehandling borde kunna särregleras i en egen registerförfattning. Skälen för regeringens förslag Den nuvarande regleringen bör renodlas Vid åklagardatalagens tillkomst övervägde regeringen om åklagardatalagen endast skulle omfatta personuppgiftsbehandling i den brottsbekämpande verksamheten. Eftersom arbetsuppgifter utanför den brottsbekämpande verksamheten utgör en mycket liten del av åklagarverksamheten ansåg regeringen dock att det inte behövdes någon särskild författning för annan operativ verksamhet. Eftersom personuppgiftslagens allmänna bestämmelser inte bedömdes ändamålsenliga för sådan integritetskänslig verksamhet ansåg regeringen att åklagardatalagen borde omfatta all personuppgiftbehandling som rör åklagaruppgifter (se prop. 2014/15:63 s. 43 f.). Med hänsyn till hur den nya dataskyddsregleringen är utformad finns det emellertid skäl att på nytt överväga den frågan. Åklagardatalagen reglerar alltså huvudsakligen personuppgiftsbehandling inom brottsdatalagens tillämpningsområde, men även till viss del inom dataskyddsförordningens. Om man skulle behålla en samlad reglering för åklagarväsendets personuppgiftsbehandling skulle den därför till största delen gälla utöver brottsdatalagen, men skulle i övrigt komplettera dataskyddsförordningen. Den nya dataskyddsregleringen gör det nödvändigt att dela upp regleringen av åklagarväsendets personuppgiftsbehandling på ett annat sätt än i dag. Det skulle i och för sig vara möjligt att göra alla nödvändiga ändringar i den befintliga lagen. En separat reglering för sådan personuppgiftsbehandling som faller inom ramen för brottsdatalagens tillämpningsområde blir emellertid tydligare och lättare att tillämpa. Trots de skäl som anges i förarbetena till åklagardatalagen bör därför åklagarväsendets personuppgiftsbehandling fortsättningsvis inte regleras i en och samma registerförfattning. Den del av personuppgiftsbehandlingen som ligger inom brottsdatalagens tillämpningsområde bör regleras i den nya lagen eftersom den i dag till största delen rör brottsbekämpande verksamhet. Mot den bakgrunden bör det i den nya lagen inte införas någon bestämmelse som reglerar behandling av personuppgifter utanför brottsdatalagens tillämpningsområde, vilket idag regleras i 2 kap. 5 § andra stycket åklagardatalagen. För sådan operativ verksamhet som faller utanför brottsdatalagens tillämpningsområde kommer i stället EU:s dataskyddsförordning och dataskyddslagen att gälla. Den regleringen bedöms tillräcklig och det behövs därför inte någon särreglering för personuppgiftsbehandling i sådan verksamhet. Till skillnad från Ekobrottsmyndigheten bedömer regeringen att det inte heller behövs någon särreglering för Ekobrottsmyndighetens personuppgiftsbehandling. Åklagardatalagen upphävs och en ny lag införs Av de skäl som anges i avsnitt 4.4 finns det anledning att införa en ny lag som gäller för åklagarväsendet och ge den ett namn som knyter an till brottsdatalagen. Eftersom lagen ska gälla för både Åklagarmyndigheten och Ekobrottsmyndigheten bör det av namnet framgå att lagen omfattar båda myndigheterna, som tillsammans bildar åklagarväsendet. Regeringen anser mot den bakgrunden att den nya lagen bör benämnas lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område. I det följande kallas lagen åklagarväsendets brottsdatalag. Som en följd av den nya lagen måste alla hänvisningar till åklagardatalagen ändras till lagen om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område. 11.2 Tillämpningsområdet Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när myndigheterna i åklagarväsendet i egenskap av behöriga myndigheter behandlar personuppgifter i åklagarverksamhet i syfte att förebygga eller förhindra brottslig verksamhet, utreda eller lagföra brott eller handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet. Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår dock att det i lagen ska upplysas om att det finns bestämmelser om personuppgiftsbehandling vid Ekobrottsmyndigheten i polisens brottsdatalag. Remissinstanserna: Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag Den nuvarande regleringen behöver anpassas Enligt 1 kap. 2 § åklagardatalagen gäller lagen vid behandling av personuppgifter i åklagarväsendets operativa verksamhet. Brottsdatalagens tillämpningsområde knyts både till vilket syfte behandlingen av personuppgifter har och till att det är en behörig myndighet som utför behandlingen. Tillämpningsområdet för åklagarväsendets brottsdatalag måste anpassas till brottsdatalagens, så att det dels utgår från syftet med behandlingen, dels omfattar bara den personuppgiftsbehandling som Åklagarmyndigheten och Ekobrottsmyndigheten utför inom brottsdatalagens tillämpningsområde och som inte regleras i någon annan lag. Det bör framgå att lagen endast gäller när någon av myndigheterna agerar i egenskap av behöriga myndigheter. I propositionen Brottsdatalag definieras behörig myndighet som en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet eller en annan aktör som utövar myndighet för något av dessa syften (1 kap. 6 §). Närmare om tillämpningsområdet För att tillämpningsområdet för lagen ska täcka det som i dag omfattas av regleringen i åklagardatalagen föreslår utredningen att tillämpningsområdet bör inkludera personuppgiftsbehandling i syfte att bekämpa eller lagföra brott. I bestämmelsen om brottsdatalagens tillämpningsområde används dock inte uttrycket bekämpa brott. I stället anges att lagen gäller för behandling av personuppgifter i syfte att bl.a. förebygga eller förhindra brottslig verksamhet eller utreda brott. Regeringen anser att motsvarande uttryck bör användas i åklagarväsendets brottsdatalag. Ändringen innebär inte någon förändring i sak i förhållande till utredningens förslag. Brottsdatalagens tillämpningsområde omfattar även personuppgiftsbehandling i syfte att verkställa straffrättsliga påföljder. Åklagare för talan om ändring av påföljd enligt bestämmelser i 27, 28 och 38 kap. brottsbalken. Åklagare prövar även vissa frågor om straffverkställighet vid beslut att utfärda en europeisk eller nordisk arresteringsorder (se 2 och 4 §§ förordningen [2003:1178] om överlämnande till Sverige enligt en europeisk arresteringsorder och 2 och 4 §§ förordningen [2012:566] om överlämnande till Sverige enligt en nordisk arresteringsorder). Åklagare ska också yttra sig i vissa frågor om rättspsykiatrisk vård med särskild utskrivningsprövning. Personuppgiftsbehandling när åklagare handlägger frågor som rör ändring av påföljd eller frågor om straffverkställighet bör därför också omfattas av lagens tillämpningsområde. Brottsdatalagens tillämpningsområde omfattar även personuppgiftsbehandling i syfte att upprätthålla allmän ordning och säkerhet. Enligt 6 § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang prövar allmän åklagare frågor om tillträdesförbud. Brottsdatalagen är tillämplig på behandling av personuppgifter vid sådan prövning (se prop. 2017/18:232 s. 94). Tillämpningsområdet för åklagarväsendets brottsdatalag bör därför också omfatta personuppgiftsbehandling när åklagare handlägger frågor om upprätthållande av allmän ordning och säkerhet. Åklagare handlägger även vissa frågor som inte anses falla under brottsdatalagens tillämpningsområde (jfr prop. 2014/15:63 s. 68 f.). Till dem hör följande: - talan enligt 3 § lagen (1985:277) om vissa bulvanförhållanden om tvångsförsäljning av fast egendom som förvärvats eller behålls genom bulvanförhållande och framställning om kvarstad enligt 6 § samma lag, - talan om äktenskapsskillnad enligt 5 kap. 5 § äktenskapsbalken, - talan om hävande av registrering av växtförädlarrätt, se 30 § växtförädlarrättsförordningen (1997:383), - talan om hävande av registring av mönsterrätt grundad på att ett mönster strider mot goda seder eller allmän ordning eller att det i ett mönster utan tillstånd har tagits in statsvapen, statsflagga eller annat statsemblem, statlig kontroll- eller garantibeteckning, eller annan beteckning som hänsyftar på svenska staten och som därigenom ger mönstret en officiell karaktär, eller svenskt kommunalt vapen eller sådan internationell beteckning som skyddas enligt lagen (1970:498) om skydd för vapen och vissa andra officiella beteckningar eller något som lätt kan förväxlas med något av det som nämnts, se 36 § mönsterskyddsförordningen (1970:486), - talan förd i enlighet med 8 kap. 2 § varumärkesförordningen (2011:594) om hävning av registrering av varumärkesrätt enligt 3 kap. 5 § andra stycket varumärkeslagen (2010:1877), - talan enligt 6 § lagen (1989:532) om tillstånd för anställning på fartyg om påförande av avgift för att en fysisk eller juridisk person haft en utlänning i sin tjänst, trots att han eller hon inte haft föreskrivet anställningstillstånd, - talan enligt 20 kap. 13 § utlänningslagen (2005:716) om påförande av avgift för att en fysisk eller juridisk person haft en utlänning i sin tjänst, trots att han eller hon inte haft föreskrivet anställningstillstånd, om talan inte förs i samband med ett brottmål, - talan enligt 29 § lagen (2005:395) om arbetstid vid visst vägtransportarbete om övertidsavgift, - företräda staten i mål om vattenföroreningsavgift enligt 9 kap. 5 § lagen (1980:424) om åtgärder mot förorening från fartyg, - företräda staten i mål om barlastvattenavgift enligt 9 kap. 2 § barlastvattenlagen (2009:1165), - beslut enligt 4 § lagen (2011:111) om förstörande av vissa hälsofarliga missbrukssubstanser att förstöra vissa varor som ännu inte har förklarats utgöra narkotika, samt - beslut enligt 2 § lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål att kroppsbesiktning ska utföras för att kunna avgöra om det finns risk att hivinfektion eller annan allvarlig blodsmitta kunnat överföras till målsäganden. För personuppgiftsbehandling som sker vid handläggning av dessa frågor kommer EU:s dataskyddsförordning och dataskyddslagen att gälla. I propositionen Brottsdatalag konstateras att när de processuella reglerna om ansvar för brott gäller för talan som kumuleras med ansvarstalan ska brottsdatalagen tillämpas. Det gäller bl.a. när åklagare för talan om särskild rättsverkan av brott, inom ramen för ett brottmål, med stöd av reglerna i 20 kap. utlänningslagen (se prop. 2017/18:232 s. 112 f.). Till skillnad från den bedömning som gjordes i tidigare förarbeten till åklagardatalagen omfattar således regleringen i nya 1 kap. 1 § i lagen talan enligt 20 kap. 15 och 16 §§ utlänningslagen om att en fysisk eller juridisk person för viss tid ska fråntas sin rätt till en del av eller alla offentliga stöd, bidrag och förmåner som har beviljats men ännu inte betalats ut eller kommit honom eller henne till del och att det som har erhållits ska återbetalas. Särskilt om verksamheten vid Ekobrottsmyndigheten Ekobrottsmyndigheten är en åklagarmyndighet som ansvarar för bekämpning av ekonomisk brottslighet. Åklagarmyndigheten ansvarar huvudsakligen för all annan åklagarverksamhet än den som ankommer på Ekobrottsmyndigheten. I avsnitt 7.2.1 redogörs för Ekobrottsmyndighetens organisation och arbetsuppgifter. Som framgår där består Ekobrottsmyndighetens operativa verksamhet av underrättelseverksamhet, utrednings- och lagföringsverksamhet och brottsförebyggande verksamhet. Huvuddelen av myndighetens verksamhet består i att utreda brott. Personuppgiftsbehandlingen vid Ekobrottsmyndigheten regleras i dag i både åklagardatalagen och polisdatalagen. Polisdatalagen gäller i den polisiära verksamheten, medan åklagardatalagen gäller i den övriga operativa verksamheten. I avsnitt 7.2.1 anges att uttrycket åklagarverksamhet bör användas för att avgränsa tillämpningsområdet för polisdatalagen. Skälet till det är att det är tydligare vad som ingår i åklagarverksamhet än i polisiär verksamhet. Vidare anges i samma avsnitt att polisens brottsdatalag bör gälla vid personuppgiftsbehandling i syfte att utreda brott, om det inte är fråga om åklagarverksamhet. Åklagarväsendets brottsdatalag bör med hänsyn till det gälla vid personuppgiftsbehandling som utförs i åklagarverksamhet i syfte att utreda och lagföra brott. Behandling av personuppgifter i den underrättelseverksamhet som bedrivs vid Ekobrottsmyndigheten bör inte omfattas av åklagarväsendets brottsdatalag, eftersom den verksamheten leds, styrs och utförs av Polismyndigheten på Ekobrottsmyndighetens uppdrag. Den utgör därmed inte någon åklagarverksamhet utan i stället sådan verksamhet som omfattas av polisens brottsdatalag. Regeringen anser, till skillnad från utredningen, att det inte finns skäl att i åklagarväsendets brottsdatalag upplysa om att det i andra lagar finns specialbestämmelser för Ekobrottsmyndigheten. 11.3 Grundläggande bestämmelser om behandling 11.3.1 Rättsliga grunder och behandling för nya ändamål Regeringens förslag: Personuppgifter ska få behandlas om det är nödvändigt för att myndigheten ska kunna utföra sin uppgift att 1. förebygga eller förhindra brottslig verksamhet, 2. utreda eller lagföra brott, 3. handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder, 4. handlägga frågor som rör upprätthållande av allmän ordning och säkerhet, eller 5. fullgöra förpliktelser som följer av internationella åtaganden. Det ska framgå genom en hänvisning att personuppgifter som behandlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen. Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår att regleringen i brottsdatalagen om att en arbetsuppgift ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften ska upprepas i den nu föreslagna lagen. Remissinstanserna: Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksamhet sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt i denna del. Skälen för regeringens förslag En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga grunder för behandling Registerförfattningarna bör innehålla bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter. Regleringen som den framgår i hittillsvarande 2 kap. 5 § första stycket åklagardatalagen bör alltså behållas, men det bör framgå att det inte är fråga om ändamålsbestämmelser i egentlig mening. Bestämmelserna är på samma sätt som 2 kap. 1 § brottsdatalagen en del av den rättsliga grunden och ger åklagare rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina arbetsuppgifter. I propositionen anges vad som avses med rättslig grund och att direktivet kräver att grunden ska vara tydlig, precis och förutsägbar (se prop. 2017/18:232 s. 116). Det konstateras där att kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt är uppfyllt genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna. För åklagarväsendets del kan t.ex. 2 § första stycket förordning (2015:743) med instruktion för Åklagarmyndigheten nämnas, varav det framgår att Åklagarmyndigheten ska se till att personer som begår brott blir föremål för brottsutredning och lagföring. Sådana slag av bestämmelser, tillsammans med den föreslagna regleringen i 2 kap. 1 § i lagen, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara tydlig, precis och förutsägbar (se även avsnitt 11.2 för en översikt av författningsstödet för åklagarnas verksamhet). I dag får personuppgifter behandlas i åklagarväsendets brottsbekämpande verksamhet om det behövs för att förebygga eller förhindra brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Åklagarmyndigheten och Ekobrottsmyndigheten bör givetvis även i fortsättningen få behandla personuppgifter om det är nödvändigt för att fullgöra sådana arbetsuppgifter, men regleringen bör anpassas till brottsdatalagens terminologi. Det brottsförebyggande arbete som utförs vid Ekobrottsmyndigheten är inte något underrättelsearbete, utan ett strategiskt förebyggande arbete där personuppgifter normalt inte förekommer, men det kan inte uteslutas att personuppgifter förekommer (se prop. 2014/15:63 s. 64). Underrättelseverksamheten regleras i polisens brottsdatalag. Åklagare för talan om ändring av påföljder bl.a. med stöd av 38 kap. 2 och 2 a §§ brottsbalken. Åklagare prövar numera även vissa frågor om straffverkställighet när de utfärdar en nordisk eller europeisk arresteringsorder. Åklagare vidtar även åtgärder inom ramen för verkställighet av ett strafföreläggande. Som exempel kan nämnas att information om ett utfärdat strafföreläggande överförs till Polismyndighetens system för uppbördsverksamhet. Eftersom det ingår i åklagares arbetsuppgifter att handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder bör det i lagen anges som en tillåten rättslig grund för åklagares personuppgiftsbehandling. Åklagare prövar även frågor enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang. Sådan verksamhet rör allmän ordning och säkerhet. Att handlägga frågor som rör upprätthållande av allmän ordning och säkerhet bör därför också anges i lagen som en tillåten rättslig grund för personuppgiftsbehandling. Åklagarväsendets brottsdatalag föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rättsliga grunder i åklagarväsendets brottsdatalag bör den senare, som utredningen föreslår, helt ersätta bestämmelsen i brottsdatalagen. Det behöver inte, såsom utredningen föreslår, föreskrivas att den uppgift som ska utföras ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt åklagare att ansvara för uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar. Till skillnad från Datainspektionen anser regeringen att den analys som gjorts är tillräcklig när det gäller frågan om direktivets krav på en tydlig, precis och förutsägbar rättslig grund för åklagarväsendets behandling av personuppgifter. Behandling för nya ändamål I dag regleras behandling för nya ändamål till viss del i den sekundära ändamålsbestämmelsen i 2 kap. 6 § åklagardatalagen. Regeringen anser i likhet med utredningen att de sekundära ändamålsbestämmelserna inte behövs och således inte bör ingå i åklagarväsendets brottsdatalag. Förutsättningarna för behandling för nya ändamål bör i stället regleras i brottsdatalagen. Innan personuppgifter får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Samma prövning ska göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför tillämpningsområdet. Det bör införas en bestämmelse i åklagarväsendets brottsdatalag som tydliggör att förutsättningarna för att behandla personuppgifter för nya ändamål regleras i brottsdatalagen. 11.3.2 Behandling av biometriska och genetiska uppgifter Regeringens bedömning: Det finns inte skäl att särskilt föreskriva att Åklagarmyndigheten och Ekobrottsmyndigheten får behandla biometriska och genetiska uppgifter. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Hovrätten för Västra Sverige anför att det eventuellt skulle kunna uppkomma behov för åklagare att behandla biometriska uppgifter och att det är viktigt att säkerställa att de föreslagna begränsningarna i uppgiftsbehandling inte inverkar negativt på den misstänktes möjlighet att själv föranstalta genetiska och biometriska undersökningar. Ekobrottsmyndigheten ser ett behov av att behandla biometriska uppgifter för att effektivt kunna bekämpa den ekonomiska brottsligheten. Övriga remissinstanser yttrar sig inte i denna del. Skälen för regeringens bedömning: I avsnitt 7.3.2 redovisas vad som avses med biometriska och genetiska uppgifter och vilken betydelse de har vid brottsbekämpning. Enligt 2 kap. 12 och 13 §§ brottsdatalagen utgör biometriska uppgifter som används för att identifiera en person och genetiska uppgifter känsliga personuppgifter. Sådana uppgifter får endast behandlas om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. Till skillnad från Hovrätten för Västra Sverige och Ekobrottsmyndigheten instämmer regeringen i utredningens bedömning att det är svårt att se att åklagare har något behov av att behandla biometriska och genetiska uppgifter. Det ska i sammanhanget anmärkas att de personuppgifter som förekommer i ett utlåtande som baseras på en teknisk bearbetning av biometriska eller genetiska uppgifter inte i sig utgör sådana uppgifter. Åklagare kommer alltså att kunna behandla personuppgifter i sådana utlåtanden i samma utsträckning som i dag. Den behandlingen är för åklagare tillräcklig. Det finns därför inte behov av någon bestämmelse i lagen som medger behandling av biometriska och genetiska uppgifter. Samhälls- och teknikutvecklingen kan dock innebära att det framöver finns anledning att överväga denna fråga på nytt. Att åklagare inte medges behandla biometriska och genetiska uppgifter bedöms inte inverka negativt på den misstänktes möjlighet att själv föranstalta om genetiska och biometriska undersökningar. Det finns därför inte skäl att, som Hovrätten för Västra Sverige anför, särskilt säkerställa att den misstänkte har möjlighet att själv föranstalta om sådana undersökningar. 11.3.3 Sökning på känsliga personuppgifter Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot förslaget. Skälen för regeringens förslag Undantag från sökförbudet i brottsdatalagen vid sökning i alla slags personuppgifter I 2 kap. 14 § brottsdatalagen finns ett generellt sökförbud, enligt vilket det är förbjudet att utföra sökningar i alla slags personuppgifter i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet inte är att få fram ett sådant urval av personer är sökningen tillåten, även om känsliga personuppgifter används vid sökningen. Detta skiljer sig från dagens reglering i 3 kap. 4 § första stycket åklagardatalagen, som förbjuder att känsliga personuppgifter används som sökbegrepp vid sökning i personuppgifter som har gjorts gemensamt tillgängliga. Det innebär att känsliga personuppgifter enligt nu gällande reglering får användas vid sökning i uppgifter som enbart ett fåtal har tillgång till. Vidare följer av 3 kap. 4 § andra stycket åklagardatalagen att brottsrubriceringar eller uppgifter som beskriver en persons utseende får användas som sökbegrepp även vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Eftersom sökförbudet utformats på ett nytt sätt i brottsdatalagen är det nödvändigt att se över bestämmelserna om sökning för åklagarväsendets del. Sökförbudet kommer att gälla i större utsträckning än i dag, eftersom det även träffar uppgifter som inte gjorts gemensamt tillgängliga. De förändrade reglerna kring myndigheternas möjligheter att använda känsliga personuppgifter vid sökningar bör inte försämra förmågan att bedriva en effektiv verksamhet. Enligt utredningen innebär förändringen dock inte någon försämring i praktiken, eftersom sammanställningar grundande på känsliga personuppgifter normalt inte görs av åklagare. Regeringen delar denna bedömning. I vissa fall kan det dock uppstå behov för en åklagare att utföra sökningar på känsliga personuppgifter. Det ska då framhållas att den föreslagna regleringen medger en sådan sökning så länge inte syftet med den är att få fram ett urval av personer grundat på känsliga personuppgifter (2 kap. 14 § brottsdatalagen). Myndigheterna har även i fortsättningen behov av att kunna använda brottsrubriceringar eller uppgifter som beskriver en persons utseende som sökbegrepp, trots att det kan leda till att man får fram ett urval av personer grundat på känsliga personuppgifter. Det bör alltså även fortsättningsvis vara tillåtet att söka på t.ex. brottsrubriceringen "våldtäkt mot barn", även om det kan avslöja en sexuell preferens hos en gärningsman. Det kan vidare finnas behov av att t.ex. söka efter hur många vittnen som har beskrivit en gärningsmans utseende på ett visst sätt, även om det kan avslöja ras eller uppgifter om hälsa. Det bör därför göras undantag i åklagarväsendets brottsdatalag för sådana sökningar. Eftersom det generella sökförbudet i 2 kap. 14 § brottsdatalagen gäller oavsett om uppgifterna har gjorts gemensamt tillgängliga eller inte bör undantaget omfatta sökning i alla slags personuppgifter. 11.4 Gemensamt tillgängliga uppgifter Regeringens förslag: Bestämmelsen som anger vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer, samordningsnummer eller liknande identitetsbeteckningar ska enbart gälla i automatiserade behandlingssystem. Vid sådan sökning får även uppgifter som anger att den sökta personen är anmäld för brott tas fram. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen avstyrker förslaget om att bestämmelsen, som anger vilka uppgifter som får tas fram, enbart ska gälla i automatiserade behandlingssystem och menar att en sådan reglering riskerar att öppna upp möjligheten för de aktuella myndigheterna att söka i vidare omfattning än vad som gäller i dag. Övriga remissinstanser yttrar sig inte i denna del. Skälen för regeringens förslag Begränsning endast i automatiserade behandlingssystem Eftersom sökning med hjälp av namn, personnummer och samordningsnummer är ett viktigt inslag i åklagares verksamhet och sådana identitetsbeteckningar är av stor betydelse för att säkerställa identiteten och undvika personförväxlingar, ansågs det nödvändigt att medge sådan sökning i gemensamt tillgängliga uppgifter (se prop. 2014/15:63 s. 88 f.). I 3 kap. 5 § åklagardatalagen regleras därför vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar. I 3 kap. 6 § görs undantag från bestämmelserna i 3 kap. 5 § vid sökning i en viss handling eller i ett visst ärende. I förarbetena diskuteras ingående vilka typer av sökning som bör vara tillåtna och vilka begränsningar som bör gälla (se prop. 2014/15:63 s. 88 f.). Paragraferna är utformade efter mönster av polisdatalagen. Dessa bestämmelser införs också i åklagarväsendets brottsdatalag. Av de skäl som anges i avsnitt 7.5.2 anser regeringen, till skillnad från Datainspektionen, att begränsningen enbart bör gälla vid sökning i automatiserade behandlingssystem. Bör ytterligare uppgifter få tas fram vid sökning? I 3 kap. 5 § åklagardatalagen regleras alltså vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga. Det rör sig bl.a. om uppgifter som anger att den sökta personen är eller har varit misstänkt för brott, är misstänkt för att ha utövat eller komma att utöva brottslig verksamhet eller har anmält ett brott. Motsvarande bestämmelser finns i bl.a. 3 kap. 6 § polisdatalagen, 4 kap. 5 § kustbevakningsdatalagen och 3 kap. 6 § tullbrottsdatalagen. De senare bestämmelserna skiljer sig dock från bestämmelsen i åklagardatalagen på det sättet att de även anger att uppgift om att någon är anmäld för brott får tas fram. Frågan är om det bör införas en motsvarande bestämmelse i åklagarväsendets brottsdatalag. Utgångspunkten är att brott normalt ska anmälas till Polismyndigheten eller någon av de andra myndigheter som har till uppgift att ta upp anmälningar om brott. I vissa fall görs dock en brottsanmälan direkt till åklagare. Det gäller t.ex. anmälningar enligt 7 kap. 16 § konkurslagen (1987:672) från konkursförvaltare, men det kan även förekomma i andra fall. I likhet med utredningen menar regeringen att det förhållandet att vissa anmälningar görs direkt till åklagare motiverar att även sådana uppgifter bör vara sökbara. 12 Domstolarnas brottsdatalag 12.1 Behovet av en ny ordning 12.1.1 Nuvarande ordning Domstolsdatalagen gäller enligt 2 § vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet. Lagen gäller också när personuppgifter vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran. I domstolsdatalagen regleras personuppgiftsbehandling inom både brottsdatalagens och dataskyddsförordningens tillämpningsområde. Genom en lagändring som trädde i kraft den 25 maj 2018 har domstolsdatalagen anpassats till dataskyddsförordningen (prop. 2017/18:113 Anpassning av domstolsdatalagen till EU:s dataskyddsförordning). Då infördes bl.a. ändrade regler om domstolsdatalagens förhållande till annan reglering, dataskyddsombud, känsliga personuppgifter och överklagande. 12.1.2 En särskild registerlagstiftning inom brottsdatalagens tillämpningsområde Regeringens förslag: En ny lag ska införas som ersätter domstolsdatalagen inom brottsdatalagens tillämpningsområde. Lagen ska benämnas lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område. Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att lagen ska benämnas domstolarnas brottsdatalag. Remissinstanserna: En majoritet av remissinstanserna, bl.a. Umeå tingsrätt och Eskilstuna tingsrätt, tillstyrker utredningens förslag eller har ingen invändning mot det. Förvaltningsrätten i Malmö anser att det är nödvändigt att särreglera domstolarnas personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. Ett antal remissinstanser, t.ex. Förvaltningsrätten i Jönköping och Förvaltningsrätten i Linköping, är negativa till att domstolarnas personuppgiftsreglering delas upp i två olika lagar. Södertörns tingsrätt, Helsingborgs tingsrätt och Domstolsverket anser att en uppdelning i två lagar kan orsaka gränsdragningsproblem och göra regelverket svåröverskådligt. Hovrätten för Västra Sverige och Förvaltningsrätten i Stockholm framför liknande synpunkter. Några remissinstanser, däribland Svea hovrätt och Domstolsverket, framhåller att domstolarnas personuppgiftsreglering bör vara så enhetlig som möjligt. Hovrätten för Västra Sverige anser att domstolsdatalagen och den nya lagen i möjligaste mån bör samordnas vad gäller systematik och terminologi. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Den nuvarande ordningen bör renodlas När brottsdatalagen och dataskyddsförordningen börjar tillämpas kommer domstolsdatalagen att vara tillämplig både vid personuppgiftsbehandling inom och utanför brottsdatalagens tillämpningsområde, om ingen ändring görs. Ett alternativ är att dela upp regleringen i två separata regelverk - ett för brottsdatalagens tillämpningsområde och ett för dataskyddsförordningens. En sådan lagteknisk lösning förordas av utredningen och i promemorian En omarbetad domstolsdatalag - anpassning till EU:s dataskyddsförordning (Ds 2017:41). Som flera remissinstanser påpekar är ett annat alternativ att göra alla nödvändiga ändringar i den befintliga lagen. Förvaltningsrätten i Stockholm föreslår att detta sker genom ett eller flera kapitel som reglerar domstolarnas personuppgiftsbehandling i samband med brottsbekämpande verksamhet. Dataskyddsreformen innebär att domstolarnas behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten kommer att omfattas av två olika EU-rättsakter: dataskyddsförordningen och dataskyddsdirektivet. Det innebär att den materiella regleringen kommer att skilja sig åt i vissa avseenden, t.ex. när det gäller känsliga personuppgifter och behandling för nya ändamål. Dessutom kommer domstolarnas registerlagstiftning att behöva utformas i förhållande till såväl dataskyddsförordningen och dataskyddslagen som brottsdatalagen. Att det delvis blir fråga om skilda regelverk talar för att regleringen bör delas upp i två lagar. På direktivets område kommer den grundläggande regleringen om personuppgiftsbehandling i domstol att finnas i brottsdatalagen. Den sektorsspecifika regleringen kommer till skillnad från i dag alltså inte att kunna vara uttömmande. Enligt regeringens uppfattning blir det genom en särskild registerförfattning på brottsdatalagens område tydligare att de grundläggande bestämmelserna om personuppgiftsbehandling finns i ramlagen och att registerförfattningen endast utgör ett komplement till denna. Brottsdatalagen innehåller motsvarigheter till vissa bestämmelser i domstolsdatalagen. Det gäller t.ex. bestämmelser om lagens syfte, dataskyddsombud, tillgången till personuppgifter och information om personuppgiftsincidenter (1 kap. 1 § och 3 kap. 6, 11 och 13 §§ brottsdatalagen och 1, 8, 10 och 11 §§ domstolsdatalagen). För att undvika dubbelreglering bör bestämmelser som finns i brottsdatalagen inte tas in i en kompletterande registerförfattning. Det innebär att vissa typer av bestämmelser som på dataskyddsförordningens område finns i en registerförfattning (domstolsdatalagen) på direktivets område kommer att finnas i en ramlag (brottsdatalagen). Detta förhållande kan leda till att en samlad reglering i vissa avseenden riskerar att bli svårtillgänglig. Vissa remissinstanser, bl.a. Södertörns tingsrätt och Domstolsverket, anser att en uppdelning i två lagar kan orsaka gränsdragningsproblem. Några remissinstanser, t.ex. Helsingborgs tingsrätt, anser också att den föreslagna uppdelningen kan leda till att regelverket blir svåröverskådligt. Enligt regeringen är de problem som kan uppstå i huvudsak en konsekvens av den uppdelning i separata regelverk som finns på EU-nivå. Problemen kan således inte undvikas genom att den sektorsspecifika regleringen samlas i domstolsdatalagen. För att minimera gränsdragningsproblem och öka överskådligheten bör dock den materiella regleringen göras så likartad som möjligt och de två lagarna ges en likartad lagteknisk utformning. På så sätt blir det lättare för domstolarna att jämföra regelverken och identifiera de skillnader som finns. Att ha separata registerförfattningar för en myndighets olika verksamheter är inget nytt. Skatteverket har i dag olika regleringar för personuppgiftsbehandlingen beroende på i vilken verksamhet uppgifterna behandlas, där regleringen för den brottsbekämpande verksamheten finns i en särskild lag. Att domstolarna inte på samma sätt som Skatteverket har en organisatorisk uppdelning i olika verksamhetsgrenar hindrar inte en sådan lösning, eftersom syftet med personuppgiftsbehandlingen är avgörande för vilket regelverk som ska tillämpas. Regeringen anser sammantaget att övervägande skäl talar för att regleringen av domstolarnas personuppgiftsbehandling bör delas upp i två lagar. Det bör därför införas en ny lag som ersätter domstolsdatalagen inom brottsdatalagens tillämpningsområde. Lagens namn Eftersom endast den del av domstolarnas personuppgiftsbehandling som ligger inom brottsdatalagens tillämpningsområde ska regleras i den nya lagen, bör lagen ha ett namn som tydliggör registerförfattningens anknytning till brottsdatalagen. Namnet bör tydligt ange för vem författningen gäller och vad den rör. Den nya lagens namn bör följa samma systematik som föreslås för registerförfattningarna i övrigt (se t.ex. avsnitt 7.1.2). Regeringen anser mot den bakgrunden att lagen bör benämnas lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område. I det följande kallas den nya lagen för domstolarnas brottsdatalag. Domstolsdatalagen kan bilda mönster Domstolsdatalagen har nyligen införts. Det innebär att den lagen i likhet med övriga registerförfattningar uppfyller kraven som ställs i dataskyddsrambeslutet. Mot bakgrund av att dataskyddsdirektivet i stor utsträckning bygger vidare på regleringen i dataskyddsrambeslutet är domstolsdatalagen därmed till stor del redan anpassad till de krav som ställs i direktivet. Det innebär att den nya lagen kan utformas med domstolsdatalagen som förebild. Det är en fördel om regleringen i den nya lagen i materiellt hänseende kan stämma överens med regleringen i domstolsdatalagen. I vissa avseenden skiljer sig dock dataskyddsdirektivets reglering från dataskyddsförordningens. Eftersom den nya lagen måste vara förenlig med direktivet är det oundvikligt att den till viss del kommer att avvika från regleringen i domstolsdatalagen. Lagens systematik och terminologi bör följa domstolsdatalagen Utredningen anser att den nya lagen bör ha samma struktur som övriga registerförfattningar. Det finns i och för sig ett värde i att de registerförfattningar som kompletterar brottsdatalagen har en likartad utformning. För att underlätta tillämpningen framstår det dock som mer angeläget att domstolarnas personuppgiftsreglering är så enhetlig som möjligt, vilket även framhålls av t.ex. Svea hovrätt och Domstolsverket. Detta framstår som särskilt tydligt eftersom domstolarna inte har någon organisatorisk uppdelning som avspeglar den nya lagens tillämpningsområde. Regeringen anser därför i likhet med Hovrätten för Västra Sverige att domstolsdatalagen och domstolarnas brottsdatalag i möjligaste mån bör samordnas vad gäller systematik och terminologi. Till skillnad från utredningen anser regeringen t.ex. att den nya lagen i likhet med domstolsdatalagen inte bör vara indelad i kapitel. 12.2 Utgångspunkter för regleringen 12.2.1 Förhållandet till brottsdatalagen Regeringens förslag: Lagen ska gälla utöver brottsdatalagen. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Förvaltningsrätten i Malmö anser att regleringen blir svåröverskådlig och att tillämpningsproblem kan uppstå. Enligt förvaltningsrätten kan dessa svårigheter undvikas genom att de bestämmelser i brottsdatalagen som aktualiseras även i domstolarnas verksamhet förs in i den nya lagen. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I avsnitt 5.2 föreslår regeringen att registerförfattningarna för övriga myndigheter i rättskedjan ska gälla utöver brottsdatalagen. Domstolsdatalagen har motsvarande förhållande till dataskyddslagen (prop. 2017/18:113 s. 14 f.). Brottsdatalagen innehåller ett stort antal bestämmelser som aktualiseras i domstolarnas verksamhet. Det framstår därför inte som ändamålsenligt att, som Förvaltningsrätten i Malmö föreslår, ta in dessa bestämmelser i den nya lagen. Regeringen anser mot denna bakgrund att domstolarnas brottsdatalag bör gälla utöver brottsdatalagen. Lagen bör innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från bestämmelserna i brottsdatalagen. Det medför att bestämmelserna i den nya lagen måste läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av den regleringen. 12.2.2 Vissa bestämmelser i domstolsdatalagen har sin motsvarighet i ramlagen Regeringens bedömning: Eftersom brottsdatalagen innehåller en generell reglering behöver inte någon motsvarighet till vissa av de bestämmelser som i dag finns i domstolsdatalagen föras in i domstolarnas brottsdatalag. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över bedömningen. Skälen för regeringens bedömning: Den nya lagen ska gälla utöver brottsdatalagen. Eftersom brottsdatalagen innehåller en generell reglering behövs ingen motsvarighet till vissa bestämmelser i domstolsdatalagen. Det gäller bl.a. bestämmelserna om lagens syfte, dataskyddsombud, behandling av känsliga personuppgifter, tillgången till personuppgifter och information om personuppgiftsincidenter (1, 8 och 10-13 §§ domstolsdatalagen). I 11 § domstolsdatalagen i lydelsen före den 25 maj 2018 anges att den som är personuppgiftsombud ska föra en förteckning över de behandlingar som utförs. Bestämmelsen har upphävts inom ramen för anpassningen av domstolsdatalagen till dataskyddsförordningen. Skälet är att den personuppgiftsansvarige enligt artikel 30 i dataskyddsförordningen är skyldig att föra ett register över den personuppgiftsbehandling som utförs under dess ansvar (prop. 2017/18:113 s. 25). En motsvarande reglering finns i artikel 24 i dataskyddsdirektivet och denna artikel kommer att genomföras på generell nivå (prop. 2017/18:232 s. 186 f.). Någon bestämmelse som motsvarar den tidigare lydelsen av 11 § domstolsdatalagen behövs därför inte i den nya lagen. Enligt 12 § domstolsdatalagen i lydelsen före den 25 maj 2018 ska den personuppgiftsansvarige till var och en som begär det lämna upplysningar om de behandlingar som utförs med stöd av lagen. Upplysningarna ska i princip omfatta samma information som ska framgå av den förteckning som personuppgiftsombudet ska föra enligt 11 § i den äldre lydelsen. Motsvarande bestämmelse fanns i 42 § personuppgiftslagen, men av lagtekniska skäl ansågs det inte lämpligt att hänvisa till den (prop. 2014/15:148 s. 86). Det finns ingen motsvarighet till 42 § personuppgiftslagen i direktivet. Inte heller dataskyddsförordningen eller dataskyddslagen innehåller någon sådan bestämmelse. Det saknas skäl för att domstolarna ska ha mer långtgående skyldigheter än andra personuppgiftsansvariga i detta avseende och 12 § domstolsdatalagen har därför upphävts i samband med anpassningen av domstolsdatalagen till dataskyddsförordningen (prop. 2017/18:113 s. 35). Samma överväganden gör sig gällande på brottsdatalagens område. Den nya lagen bör därför inte innehålla någon bestämmelse som motsvarar den som tidigare fanns i 12 § domstolsdatalagen. 12.3 Allmänna bestämmelser 12.3.1 Den nya lagens tillämpningsområde Regeringens förslag: Lagen ska gälla när allmän domstol i egenskap av behörig myndighet behandlar personuppgifter, om uppgifterna behandlas i syfte att handlägga mål och ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet. Lagen ska också gälla när allmän förvaltningsdomstol i egenskap av behörig myndighet behandlar personuppgifter, om uppgifterna behandlas i syfte att handlägga mål om verkställighet av häktning eller straffrättsliga påföljder. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: De flesta av remissinstanserna, t.ex. Förvaltningsrätten i Malmö och Datainspektionen, tillstyrker utredningens förslag eller har ingen invändning mot det. Domstolsverket påpekar att tillämpningsområdet utgår från vad syftet med behandlingen är och att det kommer vara svårt att utforma it-system som tar hänsyn till detta. Domstolsverket anser också att det framstår som överflödigt att hänvisa till behörig myndighet eftersom en myndighet alltid är behörig om den får behandla personuppgifter för något av de syften som anges i bestämmelsen. Svea hovrätt anser att det skulle vara önskvärt med ett förtydligande av om domstolars handläggning av enskilda åtal, åtal som tagits över av målsäganden efter att åklagare lagt ned åtal och mål där enbart målsäganden väljer att överklaga efter frikännande dom omfattas av brottsdatalagen. Hovrätten anser vidare att brottsdatalagen, men inte domstolarnas brottsdatalag, bör vara tillämplig vid allmänna säkerhetskontroller i domstol. Enligt hovrätten bör det också förtydligas vilka bestämmelser som ska tillämpas vid hanteringen av personuppgifter vid säkerhetskontroller i enskilda mål och ärenden, både vad gäller brottmål och tvistemål. Kammarrätten i Stockholm anser att det så långt möjligt bör redogöras för de olika måltyper i de allmänna förvaltningsdomstolarna där den nya lagen ska tillämpas. Kammarrätten väcker också frågan om vilken lag som ska vara tillämplig vid Migrationsöverdomstolens behandling av personuppgifter i mål enligt lagen (1991:572) om särskild utlänningskontroll. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Utgångspunkter för avgränsningen av tillämpningsområdet I avsnitt 4.5 tar regeringen ställning till att registerförfattningarna bör innehålla bestämmelser om tillämpningsområdet. Domstolsdatalagen gäller vid personuppgiftsbehandling i domstolarnas rättskipande och rättsvårdande verksamhet och när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran. Brottsdatalagen gäller enligt 1 kap. 2 § för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet. Det som är avgörande för brottsdatalagens tillämpning är alltså, förutom att det ska vara en behörig myndighet som behandlar personuppgifterna, att personuppgiftsbehandlingen utförs för något av dessa syften. Tillämpningsområdet för den nya lagen kan därför inte knytas till domstolarnas rättskipande och rättsvårdande verksamhet utan bör avgränsas på ett annat sätt. Tillämpningsområdet bör i stället utgå från syftet med behandlingen. Domstolsverket anser att en sådan ordning kan medföra problem, t.ex. när det gäller it-system. Det bör dock vara möjligt att utforma tekniska system som lever upp till de krav som gäller på såväl dataskyddsförordningens som brottsdatalagens område. Sådana system bör alltså kunna användas oavsett vilket syfte personuppgifter behandlas för i det enskilda fallet. Eftersom hyres- och arrendenämnderna inte behandlar personuppgifter för något av de syften som omfattas av direktivets tillämpningsområde kommer nämndernas personuppgiftsbehandling inte att omfattas av den nya lagen. Lagen kommer alltså att gälla i allmän domstol och allmän förvaltningsdomstol. Utredningen föreslår att det också ska framgå att domstolarnas brottsdatalag gäller när domstolar agerar i egenskap av behöriga myndigheter. Domstolsverket anser att en sådan avgränsning är överflödig. Det är riktigt att en domstol som behandlar personuppgifter i syfte att handlägga exempelvis ett brottmål normalt agerar i egenskap av behörig myndighet. Regeringen anser dock, i likhet med utredningen, att avgränsningen till behöriga myndigheter är av sådan grundläggande betydelse att den bör komma till uttryck inte bara i ramlagen utan även i den nya lagen (avsnitt 4.5). Närmare om tillämpningsområdet Domstolarnas brottsdatalag bör omfatta all personuppgiftsbehandling som domstolar utför inom brottsdatalagens tillämpningsområde. Domstolarnas kärnverksamhet består i att handlägga mål och ärenden (jfr 6 § domstolsdatalagen). Tillämpningsområdet för den nya lagen bör därför knytas till personuppgiftsbehandling som utförs i syfte att handlägga mål och ärenden av vissa slag. För allmän domstol bör tillämpningsområdet framför allt omfatta brottmålsförfarandet. Tillämpningsområdet bör alltså omfatta personuppgiftsbehandling i syfte att handlägga mål och ärenden om lagföring för brott. Med anledning av Svea hovrätts synpunkter kan det noteras att det innefattar handläggning av enskilda åtal, åtal som tagits över av målsäganden efter att åklagare lagt ned åtal och mål där enbart målsäganden väljer att överklaga efter frikännande dom. Allmän domstol prövar också frågor om häktning och andra straffprocessuella tvångsmedel under en förundersökning. Domstolarna fattar även beslut enligt 23 kap. 19 § rättegångsbalken om komplettering av förundersökningar och kan hålla vittnesförhör och besluta i andra frågor under pågående förundersökningar. Personuppgiftsbehandling för sådana syften bör också omfattas av tillämpningsområdet. I linje med hur tillämpningsområdet uttrycks för de brottsbekämpande myndigheterna bör den arbetsuppgiften anges som handläggning av mål eller ärenden om utredning av brott. Vidare prövar allmän domstol vissa frågor om ändring av påföljd och om verkställighet av påföljd. Handläggning av mål och ärenden som rör ändring och verkställighet av straffrättsliga påföljder bör därmed också omfattas av lagens tillämpningsområde. Eftersom allmän domstol även prövar frågor om tillträdesförbud vid idrottsarrangemang bör tillämpningsområdet även omfatta handläggning av mål och ärenden om upprätthållande av allmän ordning och säkerhet. Svea hovrätt anser att brottsdatalagen, men inte domstolarnas brottsdatalag, bör vara tillämplig vid allmänna säkerhetskontroller i domstol. Som anförs ovan är avsikten att den nya lagen ska omfatta all personuppgiftsbehandling som domstolar utför inom brottsdatalagens tillämpningsområde. Det kommer alltså inte bli aktuellt för domstolarna att tillämpa brottsdatalagen i de fall domstolarnas brottsdatalag inte är tillämplig. Vid säkerhetskontroller enligt lagen (1981:1064) om säkerhetskontroll i domstol torde det enligt regeringens mening inte vara fråga om att upprätthålla allmän ordning och säkerhet i den mening som avses i ramlagen. Hovrätten väcker även frågan om vilka bestämmelser som ska tillämpas vid behandling av personuppgifter i samband med säkerhetskontroller som genomförs med anledning av en viss förhandling. Regeringen bedömer att lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område kommer att vara tillämplig vid sådan personuppgiftsbehandling, om behandlingen sker inom ramen för handläggningen av exempelvis ett brottmål. Om säkerhetskontrollen däremot genomförs med anledning av en förhandling i ett tvistemål, kommer den nya lagen inte vara tillämplig. I sådana fall kommer i stället domstolsdatalagen att bli tillämplig. För allmän förvaltningsdomstol bör tillämpningsområdet endast omfatta personuppgiftsbehandling i syfte att handlägga mål om verkställighet av häktning och straffrättsliga påföljder. Därmed omfattas verkställighet av rättspsykiatrisk vård, andra vårdpåföljder och vissa frihetsberövande påföljder. Personuppgifter behandlas i sådant syfte även när migrationsdomstolarna och Migrationsöverdomstolen handlägger mål om utvisning på grund av brott. Kammarrätten i Stockholm efterfrågar en redogörelse för de olika måltyper i de allmänna förvaltningsdomstolarna där den nya lagen ska tillämpas. Kammarrätten väcker också frågan om vilken lag som ska vara tillämplig vid Migrationsöverdomstolens behandling av personuppgifter i mål enligt lagen om särskild utlänningskontroll. Regeringen bedömer att avgränsningen till mål om verkställighet av häktning och straffrättsliga påföljder innebär att det inte bör uppstå några oklarheter avseende det stora flertalet av de måltyper som förekommer i allmän förvaltningsdomstol. Mål i Migrationsöverdomstolen enligt lagen om särskild utlänningskontroll kan exempelvis inte anses röra verkställighet av en straffrättslig påföljd. I författningskommentaren ges exempel på måltyper där domstolarnas brottsdatalag ska tillämpas. Hela målets eller ärendets handläggning bör omfattas När mål eller ärenden handläggs för något av de syften som anges i lagen bör hela handläggningen fram till dess att domstolen slutligt avgjort frågan omfattas av lagens tillämpningsområde. Det innebär att all personuppgiftsbehandling som utförs vid handläggningen av ett brottmål omfattas av tillämpningsområdet. Även handläggning av enskilda anspråk bör omfattas, trots att det är en civilrättslig talan, så länge de handläggs inom ramen för brottmålet. Lagen bör dock inte vara tillämplig om anspråket avskiljs för att handläggas som ett tvistemål. Detsamma bör på motsvarande sätt gälla för vissa andra former av särskild talan och talan om förbud som förs i brottmål. Vidare bör all expediering i ett mål eller ärende som är en del av handläggningen omfattas. Det spelar exempelvis alltså ingen roll om domar eller beslut expedieras till Kriminalvården för verkställighet av påföljd eller till Inspektionen för vård och omsorg för att myndigheten ska kunna ta ställning till om en läkare som dömts för brott ska få behålla sin läkarlegitimation. Även expediering för att tillgodose partsinsynen i mål eller ärenden bör omfattas. Det avgörande är att expedieringen utförs i mål eller ärenden som domstolen handlägger för något av de syften som omfattas av lagens tillämpningsområde och att expedieringen utgör en del av handläggningen. Tillämpningsområdet bör även omfatta den expediering som är direkt knuten till att avgörandet får laga kraft. Däremot bör domstolens behandling av personuppgifter för arkivering eller för att överlämna allmänna handlingar till en arkivmyndighet inte omfattas av den nya lagens tillämpningsområde. Som anges i propositionen Brottsdatalag omfattas behandling av personuppgifter i enlighet med föreskrifter om arkiv av dataskyddsförordningens tillämpningsområde, oavsett om det är den behöriga myndigheten som arkiverar personuppgifterna eller om de överlämnas till en arkivmyndighet (prop. 2017/18:232 s. 167). Om handläggning för något av de syften som anges i lagen aktualiseras på nytt, t.ex. genom en ansökan om resning i ett brottmål, är den nya lagen tillämplig på handläggningen. Utlämnande omfattas inte av tillämpningsområdet Domstolsdatalagen gäller inte bara i den rättskipande och rättsvårdande verksamheten utan även när personuppgifter vidarebehandlas i den administrativa verksamheten för att efter begäran lämnas ut till en enskild eller en myndighet (prop. 2014/15:148 s. 27 f.). Lagens tillämpningsområde omfattar exempelvis utlämnande av allmänna handlingar enligt 2 kap. tryckfrihetsförordningen. Sådan vidarebehandling av personuppgifter ingår inte i direktivets tillämpningsområde och kan därför inte heller omfattas av den nya lagen. Det gäller oavsett om målet eller ärendet är under handläggning eller har avslutats. 12.3.2 Domstolsdatalagens tillämpningsområde Regeringens förslag: Domstolsdatalagen ska inte gälla vid behandling av personuppgifter som omfattas av domstolarnas brottsdatalag. Promemorians förslag överensstämmer i sak med regeringens. Remissinstanserna: Ingen remissinstans invänder mot den föreslagna avgränsningen av domstolsdatalagens tillämpningsområde. Skälen för regeringens förslag: Domstolsdatalagen gäller vid behandling av personuppgifter i domstolarnas rättskipande och rättsvårdande verksamhet. Eftersom viss behandling av personuppgifter i denna verksamhet kommer att regleras i domstolarnas brottsdatalag, bör sådan behandling undantas från domstolsdatalagens tillämpningsområde. I promemorian En omarbetad domstolsdatalag - anpassning till EU:s dataskyddsförordning (Ds 2017:41) föreslås mot denna bakgrund att domstolsdatalagen inte ska gälla vid behandling av personuppgifter i de allmänna domstolarnas och de allmänna förvaltningsdomstolarnas verksamhet som omfattas av brottsdatalagens tillämpningsområde. Regeringen anser att den föreslagna bestämmelsen kan utformas så att den anger att domstolsdatalagen inte gäller vid behandling av personuppgifter som omfattas av lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område. Eftersom det i den nya lagen framgår vilka domstolsslag som är aktuella behöver det inte anges i domstolsdatalagen. 12.3.3 Varje domstol är personuppgiftsansvarig Regeringens förslag: Varje domstol ska vara personuppgiftsansvarig för den behandling av personuppgifter som den utför. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Domstolsverket anser att utformningen av 9 § domstolsdatalagen har orsakat vissa tillämpningsproblem och att fördelningen av personuppgiftsansvar i domstolarnas registerlagstiftning därför bör ses över. Övriga remissinstanser har ingen invändning mot utredningens förslag. Skälen för regeringens förslag: Personuppgiftsansvarig definieras i 1 kap. 6 § brottsdatalagen som den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Enligt 3 kap. 1 § är den personuppgiftsansvarige ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller på dennes vägnar. Enligt 9 § domstolsdatalagen är varje domstol personuppgiftsansvarig för den behandling av personuppgifter som den utför. I förarbetena framhölls att fördelarna med att varje enskild domstol ska vara personuppgiftsansvarig är bl.a. att det blir tydligt för den enskilde vem han eller hon ska vända sig till med klagomål och att det skapas förutsättningar för en effektiv tillsyn av tillsynsmyndigheten. Enligt regeringen skulle ett delat eller gemensamt personuppgiftsansvar (mellan en domstol och Domstolsverket) medföra beaktansvärda nackdelar, inte minst gränsdragningsproblem och otydligheter (prop. 2014/15:148 s. 33 f.). Regeringen anser att dessa överväganden är relevanta även för den nya lagen och att domstolarnas personuppgiftsansvar bör regleras på samma sätt i domstolarnas brottsdatalag som i domstolsdatalagen. En bestämmelse som motsvarar 9 § domstolsdatalagen bör därför tas in i den nya lagen. Domstolsverket anser att utformningen av 9 § domstolsdatalagen har orsakat vissa tillämpningsproblem och att regleringen av domstolarnas personuppgiftsansvar därför bör ses över. Regeringen konstaterar att det saknas underlag för att i detta lagstiftningsärende göra en sådan översyn. 12.3.4 Dataskyddsombud även i den dömande verksamheten Regeringens bedömning: Behandling av personuppgifter i den dömande verksamheten bör inte undantas från dataskyddsombudets ansvarsområde. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: En majoritet av remissinstanserna, bl.a. Hovrätten för Västra Sverige och Förvaltningsrätten i Stockholm, instämmer i utredningens bedömning eller har ingen invändning mot den. Datainspektionen anser att dataskyddsombud är en viktig funktion för att den personuppgiftsansvarige ska kunna följa integritetsskyddslagstiftningen. Domstolsverket påpekar att det kan uppstå gränsdragningsproblem om dataskyddsombudets uppdrag inte omfattar den dömande verksamheten. Domstolsverket anser också att det är lämpligt att frågan om dataskyddsombud regleras på samma sätt på brottsdatalagens och dataskyddsförordningens områden. Med hänsyn till att tillsynsmyndigheten inte är behörig att utöva tillsyn över domstolarna i deras dömande verksamhet och att dataskyddsombudets uppgifter bl.a. är att övervaka efterlevnaden av dataskyddet och att samarbeta med tillsynsmyndigheten, anser Riksdagens ombudsmän att det inte är lämpligt att dataskyddsombud också ska utses i domstolarnas dömande verksamhet. Förvaltningsrätten i Linköping efterfrågar ett klargörande av hur skyldigheten att utse dataskyddsombud enligt 3 kap. 13 § brottsdatalagen förhåller sig till motsvarande skyldighet enligt förslaget till ändring av 10 § domstolsdatalagen. Övriga remissinstanser yttrar sig inte särskilt över bedömningen. Skälen för regeringens bedömning: Enligt 3 kap. 13 § brottsdatalagen ska behöriga myndigheter utse dataskyddsombud. Domstolars och andra oberoende rättsliga myndigheters dömande verksamhet får dock enligt artikel 32.1 i dataskyddsdirektivet undantas från skyldigheten att utse dataskyddsombud. Enligt 10 § första stycket domstolsdatalagen i lydelsen före den 25 maj 2018 är domstolarna skyldiga att utse ett eller flera personuppgiftsombud. I förarbetena till domstolsdatalagen framhölls att hanteringen av personuppgifter i den rättskipande och rättsvårdande verksamheten indirekt begränsas av de processuella regelverken och att risken för att det i verksamheten utförs obefogade integritetskänsliga behandlingar därför får anses vara mindre än inom t.ex. polisen. I syfte att åstadkomma ett stärkt integritetsskydd ansåg regeringen dock att domstolarna borde vara skyldiga att utse ett eller flera personuppgiftsombud (prop. 2014/15:148 s. 91). Regeringen föreslog i det lagstiftningsärende som rör domstolsdatalagens anpassning till dataskyddsförordningen att bestämmelsen i domstolsdatalagen ska behållas och ändras endast på så sätt att ordet personuppgiftsombud ersätts med dataskyddsombud. I det ärendet gjordes bedömningen att dataskyddsförordningens möjlighet att undanta den dömande verksamheten från dataskyddsombudets ansvarsområde inte bör utnyttjas. Som skäl anfördes bl.a. att ombuden fortfarande är av central betydelse för skyddet av den personliga integriteten, även i den dömande verksamheten, och att ett undantag för den dömande verksamheten kan leda till gränsdragningsproblem (prop. 2017/18:113 s. 20-25). Regeringen anser, i likhet med bl.a. Datainspektionen, att dessa skäl gör sig gällande även på brottsdatalagens område. Som Domstolsverket påpekar är det lämpligt att frågan om dataskyddsombud regleras på samma sätt på brottsdatalagens och dataskyddsförordningens områden. Det finns därför inte skäl att utnyttja möjligheten i artikel 32.1 i direktivet att undanta domstolarnas dömande verksamhet från skyldigheten att utse dataskyddsombud. Till skillnad från Riksdagens ombudsmän anser regeringen att en sådan ordning framstår som lämplig även med beaktande av direktivets reglering av tillsynsmyndighetens behörighet och dataskyddsombudets uppgifter. Förvaltningsrätten i Linköping efterfrågar ett klargörande av hur skyldigheten att utse dataskyddsombud enligt 3 kap. 13 § brottsdatalagen förhåller sig till motsvarande skyldighet enligt 10 § domstolsdatalagen. Regleringen innebär att domstolarnas skyldighet att utse ett eller flera dataskyddsombud gäller inom såväl dataskyddsförordningens som brottsdatalagens tillämpningsområde. Det finns inget hinder mot att ett dataskyddsombud har ansvar för personuppgiftsbehandling på båda områdena. Det finns även en möjlighet att utse ett gemensamt dataskyddsombud för flera domstolar (artikel 37.3 i dataskyddsförordningen, artikel 32.3 i dataskyddsdirektivet och prop. 2017/18:232 s. 201). 12.3.5 Uppgifter om juridiska personer bör inte omfattas Regeringens bedömning: Lagen bör inte reglera behandling av uppgifter om juridiska personer. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Kammarrätten i Göteborg anser att om det finns tillräckliga skäl i sak för att införa ett skydd för juridiska personer, bör enhetlighet i domstolarnas personuppgiftsreglering uppnås genom att skyddet införs både i domstolsdatalagen och den nya lagen. Övriga remissinstanser har ingen invändning mot utredningens bedömning. Skälen för regeringens bedömning: Frågan om domstolsdatalagen skulle tillämpas på uppgifter om juridiska personer lyftes under lagstiftningsarbetet men ledde inte till något förslag. Som skäl för det angavs bl.a. att det är tveksamt om begreppet personlig integritet har någon relevans för juridiska personer (Ds 2013:10 s. 49-51). Domstolsdatalagen är alltså inte tillämplig på uppgifter om juridiska personer. I polisdatalagen, kustbevakningsdatalagen, åklagardatalagen, tullbrottsdatalagen och skattebrottsdatalagen föreskrivs däremot att vissa bestämmelser i respektive lag ska tillämpas på uppgifter om juridiska personer. Även om juridiska personer inte har samma behov av integritetsskydd som fysiska personer har det på dessa områden ansetts att vissa grundläggande bestämmelser om personuppgiftsbehandling bör tillämpas även på uppgifter om juridiska personer. Dessutom kan det vara svårt att i elektronisk hantering skilja uppgifter om juridiska personer från uppgifter om fysiska personer som är ägare av eller ställföreträdare för sådana (prop. 2009/10:85 s. 78). Regeringen anser att det bör finnas bestämmelser i övriga registerförfattningar som rör behandling av uppgifter om juridiska personer, motsvarande de som finns i nuvarande reglering (avsnitt 5.4.1). Frågan är om det finns skäl att införa en motsvarande reglering i domstolarnas brottsdatalag, trots att uppgifter om juridiska personer inte har något särskilt skydd i dag. Om den nya lagen skulle tillämpas på uppgifter om juridiska personer skulle lagarna om domstolarnas personuppgiftsbehandling skilja sig åt utan att det krävs för att genomföra dataskyddsdirektivet. Även om det finns fördelar med en enhetlig reglering för myndigheterna i rättskedjan bör en enhetlig reglering för domstolarna i detta fall väga tyngre. Mot den bakgrunden bör den nya lagen inte reglera behandling av uppgifter om juridiska personer. Som Kammarrätten i Göteborg påpekar skulle enhetlighet i domstolarnas registerförfattningar i och för sig kunna uppnås genom att ett skydd för juridiska personer införs både i domstolsdatalagen och den nya lagen. Regeringen kan dock konstatera att det saknas underlag för att nu överväga en sådan reglering. 12.4 Grundläggande bestämmelser om behandling 12.4.1 Rättsliga grunder för behandling Regeringens förslag: Personuppgifter ska få behandlas om det är nödvändigt för handläggning av mål och ärenden om utredning av eller lagföring för brott, om verkställighet av häktning eller ändring eller verkställighet av straffrättsliga påföljder eller om upprätthållande av allmän ordning och säkerhet. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: De flesta av remissinstanserna, t.ex. Svea hovrätt och Förvaltningsrätten i Jönköping, tillstyrker förslaget eller har ingen invändning mot det. Eskilstuna tingsrätt och Domstolsverket påpekar att förslaget skiljer sig från domstolsdatalagen och anser att det kan leda till tillämpningsproblem. Umeå tingsrätt föreslår att det i domstolsdatalagen ska tas in en bestämmelse som liknar den föreslagna bestämmelsen i den nya lagen. Hovrätten för Västra Sverige väcker frågan om det bör vara någon skillnad i tillämpningen av rekvisitet att behandlingen är nödvändig respektive att behandlingen behövs. Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksamhet sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag En bestämmelse som ersätter brottsdatalagens bestämmelse om rättsliga grunder för behandling I 6 och 7 §§ domstolsdatalagen regleras för vilka ändamål domstolarna får behandla personuppgifter. Enligt den primära ändamålsbestämmelsen får personuppgifter behandlas om det behövs för handläggning av mål och ärenden. Enligt den sekundära ändamålsbestämmelsen får personuppgifter som behandlas för handläggning av mål och ärenden även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Sedan domstolsdatalagen har anpassats till dataskyddsförordningen gäller dessutom att personuppgifter som behandlas för handläggning av mål och ärenden får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Bestämmelsen innebär att finalitetsprincipen gäller och att vidarebehandling som är förenlig med denna är tillåten (prop. 2017/18:113 s. 40-42). Den primära ändamålsbestämmelsen i 6 § domstolsdatalagen tydliggör att domstolarna får behandla personuppgifter när de fullgör sina arbetsuppgifter. Bestämmelsen anger den yttersta ram inom vilken personuppgifter får behandlas. Det är inom denna ram som de särskilda, uttryckliga och berättigade ändamålen med behandlingen i enskilda fall ska bestämmas (2 kap. 3 § brottsdatalagen). Regeringen anser att den nya lagen bör innehålla en motsvarighet till domstolsdatalagens primära ändamålsbestämmelse. För att tydliggöra bestämmelsens funktion bör den emellertid betecknas som en bestämmelse om rättsliga grunder snarare än en ändamålsbestämmelse. På så sätt minskar risken att tillämparen godtar ett i lagen angivet allmänt ändamål som ett särskilt och tillräckligt preciserat ändamål i det enskilda fallet (prop. 2017/18:232 s. 123). Domstolarna bör få behandla personuppgifter om det är nödvändigt för att fullgöra en arbetsuppgift inom den nya lagens tillämpningsområde. För att terminologin ska stämma överens med dataskyddsdirektivet och brottsdatalagen bör ordet nödvändigt användas. Ordet bör tolkas som att det är fråga om något som behövs för att på ett effektivt sätt kunna utföra arbetsuppgiften (prop. 2017/18:232 s. 117). Som Hovrätten för Västra Sverige påpekar används ordet behövs i domstolsdatalagens ändamålsbestämmelser. Åtgärder som är en naturlig del av domstolarnas kärnverksamhet, t.ex. handläggning av enskilda mål och ärenden eller planering, uppföljning och utvärdering av verksamheten, är både behövliga och nödvändiga (jfr prop. 2014/15:148 s. 108). Skillnaden i uttryckssätt bör därför inte få någon praktisk betydelse. De tillåtna rättsliga grunderna bör omfatta handläggning av mål och ärenden inom den nya lagens tillämpningsområde. Allmän domstol bör få behandla personuppgifter om det är nödvändigt för handläggning av mål och ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet. Allmän förvaltningsdomstol bör få behandla personuppgifter om det är nödvändigt för handläggning av mål om verkställighet av häktning eller straffrättsliga påföljder. Lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område föreslås gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om rättsliga grunder i registerförfattningen bör den senare helt ersätta bestämmelsen i brottsdatalagen. Datainspektionen efterfrågar en ytterligare analys av om direktivets krav på en tydlig, precis och förutsägbar rättslig grund är uppfyllt för respektive myndighets behandling av personuppgifter. I propositionen Brottsdatalag finns ett utvecklat resonemang kring vad som avses med kravet på rättslig grund (prop. 2017/18:232 s. 116-119). Det konstateras där att genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna, är kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt. För domstolarnas del kan t.ex. rättegångsbalken nämnas, i vilken framgår att de allmänna domstolarna bl.a. har till uppgift att handlägga brottmål. Bestämmelserna i de processuella regelverken, tillsammans med den föreslagna bestämmelsen om rättsliga grunder i den nya lagen, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara entydig, precis och förutsägbar. Domstolsdatalagens terminologi ska inte ändras Regeringens förslag innebär att motsvarande bestämmelser i domstolsdatalagen och domstolarnas brottsdatalag kommer att kategoriseras på olika sätt, dvs. som en ändamålsbestämmelse respektive en bestämmelse om rättsliga grunder. Terminologin i domstolsdatalagen och den nya lagen bör i möjligaste mån samordnas (avsnitt 12.1.2). Umeå tingsrätt föreslår i linje med detta att det i domstolsdatalagen ska tas in en bestämmelse som liknar den föreslagna bestämmelsen om rättsliga grunder i den nya lagen. Regeringen bedömer dock att domstolsdatalagens primära ändamålsbestämmelse inte utan vidare kan betecknas som en bestämmelse om rättsliga grunder. Ett skäl till det är att det i brottsdatalagen, till skillnad från vad som gäller på dataskyddsförordningens område, inte finns någon bestämmelse om finalitetsprincipen. Anledningen till det är att olika ändamål inom brottsdatalagens tillämpningsområde ska betraktas som förenliga med varandra, under förutsättning att en behandling för ett nytt ändamål är nödvändig och proportionerlig (prop. 2017/18:232 s. 126). Både dataskyddsförordningen och domstolsdatalagen innehåller däremot bestämmelser om finalitetsprincipen (artiklarna 5.1 b och 6.4 i dataskyddsförordningen och 7 § andra stycket domstolsdatalagen). Förordningen använder i detta och andra sammanhang ordet ändamål på ett sätt som stämmer väl överens med terminologin i domstolsdatalagen. Om 6 § domstolsdatalagen skulle betecknas som en bestämmelse om rättsliga grunder kan det uppstå osäkerhet kring hur vidarebehandling av insamlade personuppgifter får ske och hur finalitetsprincipen enligt dataskyddsförordningen och domstolsdatalagen ska tillämpas. En förändring av domstolsdatalagens terminologi skulle därför kräva överväganden som inte kan göras inom ramen för detta lagstiftningsärende. Eskilstuna tingsrätt och Domstolsverket befarar att avvikelsen i förhållande till bestämmelsen i domstolsdatalagen kan leda till tillämpningsproblem. Det bör framhållas att skillnaden mellan bestämmelserna i allt väsentligt är terminologisk. Oavsett hur bestämmelserna kategoriseras syftar de till att ange den yttersta ram inom vilken personuppgifter får behandlas. Risken för tillämpningsproblem framstår därför som begränsad. 12.4.2 Behandling för nya ändamål Regeringens förslag: Det ska genom en hänvisning till brottsdatalagen framgå att personuppgifter som behandlas med stöd av den nya lagen får behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen. Regeringens bedömning: Ytterligare behandling av personuppgifter som behandlas enligt domstolarnas brottsdatalag bör inte regleras i domstolsdatalagen. Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att någon prövning av om behandlingen är nödvändig och proportionerlig inte ska krävas när personuppgifter behandlas för nya ändamål utanför brottsdatalagens tillämpningsområde och domstolsdatalagen är tillämplig. Remissinstanserna: Ingen remissinstans invänder mot utredningens förslag. Hovrätten för Västra Sverige efterfrågar vägledning om när något ska anses vara ett nytt ändamål. Promemorians förslag överensstämmer inte med regeringens bedömning. I promemorian föreslås att det av domstolsdatalagen ska framgå att personuppgifter som behandlas enligt den nya lagen får behandlas även för uppgiftslämnande som sker i överensstämmelse med lag eller förordning eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag. Domstolsverket anser att lagstiftningen blir något komplicerad eftersom personuppgifter som behandlas enligt brottsdatalagen ska hanteras enligt domstolsdatalagen när de lämnas ut eller behandlas för arkivändamål. Skälen för regeringens förslag och bedömning Nya ändamål inom brottsdatalagens tillämpningsområde Innan personuppgifter behandlas för ett nytt ändamål inom brottsdatalagens tillämpningsområde ska det säkerställas dels att det finns en tillåten rättslig grund för behandlingen, dels att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet (2 kap. 4 § brottsdatalagen). Hovrätten för Västra Sverige efterfrågar vägledning om när något ska anses vara ett nytt ändamål. Enligt 2 kap. 3 § brottsdatalagen får personuppgifter bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Vad som utgör ett nytt ändamål ska bedömas i förhållande till ett sådant preciserat ändamål, t.ex. handläggningen av ett visst mål. Som exempel på behandling för ett nytt ändamål inom brottsdatalagens tillämpningsområde kan nämnas att personuppgifter i ett brottmål används för handläggningen av ett annat brottmål. Enligt 7 § första stycket domstolsdatalagen får personuppgifter som behandlas för handläggning av mål och ärenden även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Bestämmelsen innebär att domstolen får lämna ut personuppgifter inte bara om det finns en uttrycklig skyldighet i lag eller förordning att göra det, utan också i de situationer där det kan anses påbjudet eller önskvärt att domstolen gör det (prop. 2014/15:148 s. 41 f.). En prövning av nödvändighet och proportionalitet krävs enligt artikel 4.2 i dataskyddsdirektivet alltid innan personuppgifter behandlas för ett nytt ändamål inom tillämpningsområdet för direktivet. Regeringen anser att det bara är i de fall där det finns en uttrycklig uppgiftsskyldighet som lagstiftaren kan anses ha tagit ställning till att uppgiftslämnandet är nödvändigt och proportionerligt (prop. 2017/18:232 s. 138). Det skulle därför inte vara förenligt med direktivet att ha en bestämmelse som motsvarar domstolsdatalagens bestämmelse om behandling för uppgiftslämnande i den nya lagen. Det bör i stället, i enlighet med utredningens förslag, tas in en bestämmelse som tydliggör att personuppgifter som redan behandlas får behandlas för nya ändamål inom brottsdatalagens tillämpningsområde enligt de förutsättningar som anges i 2 kap. 4 § den lagen. Nya ändamål utanför brottsdatalagens tillämpningsområde Innan personuppgifter som behandlas med stöd av brottsdatalagen behandlas för ett ändamål utanför lagens tillämpningsområde ska det säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet (2 kap. 22 § brottsdatalagen). Ett exempel på ett nytt ändamål utanför brottsdatalagens tillämpningsområde är när personuppgifter i ett brottmål används för handläggningen av ett tvistemål. Ett annat exempel är när personuppgifter i ett mål om rättspsykiatrisk vård lämnas ut efter begäran från en enskild som inte är part i målet. Vid sådan behandling är dataskyddsförordningen tillämplig. Utredningen föreslår att någon prövning av om behandlingen är nödvändig och proportionerlig inte ska krävas när personuppgifter behandlas för nya ändamål utanför brottsdatalagens tillämpningsområde och domstolsdatalagen är tillämplig. Som skäl anförs att en stor del av behandlingen för nya ändamål utanför brottsdatalagens tillämpningsområde, t.ex. utlämnande på begäran, då skulle följa samma regelverk som domstolarnas personuppgiftsbehandling inom dataskyddsförordningens tillämpningsområde. En konsekvens av utredningens förslag är att det inte skulle krävas någon prövning av nödvändighet och proportionalitet om en domstol i den egna verksamheten behandlar personuppgifter för nya ändamål utanför brottsdatalagens tillämpningsområde, t.ex. om personuppgifter i ett brottmål används vid handläggningen av ett tvistemål. Regeringen anser att det inte vore rimligt att kräva en noggrannare prövning för behandling för nya ändamål inom brottsdatalagens område än utanför det (prop. 2017/18:232 s. 134). När det gäller personuppgifter som lämnas ut efter begäran ska någon prövning av nödvändighet och proportionalitet inte göras i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning (2 kap. 22 § brottsdatalagen). Till skillnad från utredningens förslag gäller undantaget även uppgiftslämnande enligt 6 kap. 5 § offentlighets- och sekretesslagen (prop. 2017/18:232 s. 138). Brottsdatalagens reglering av uppgiftslämnande överensstämmer alltså med domstolsdatalagens när domstolen har en skyldighet att lämna uppgifter. En skillnad mellan regelverken finns endast i de fall då det inte finns någon uttrycklig skyldighet till uppgiftslämnande. Domstolens prövning enligt brottsdatalagen torde i sådana fall emellertid ofta mynna ut i att det är nödvändigt och proportionerligt att lämna uppgifterna (prop. 2017/18:232 s. 138). Skillnaden mellan brottsdatalagen och domstolsdatalagen bör därför ha begränsad betydelse i praktiken. Regeringen anser sammantaget att det inte finns tillräckliga skäl att i domstolarnas brottsdatalag göra undantag från brottsdatalagens reglering av behandling för nya ändamål utanför den lagens tillämpningsområde. Det bör i stället tas in en bestämmelse som tydliggör att personuppgifter som redan behandlas får behandlas för nya ändamål utanför brottsdatalagens tillämpningsområde enligt de förutsättningar som anges i 2 kap. 22 § den lagen. Domstolsdatalagens ändamålsbestämmelser bör inte ändras Dataskyddsförordningen och dataskyddslagen är tillämpliga när domstolar behandlar personuppgifter för ändamål utanför brottsdatalagens tillämpningsområde. Vid behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten och när personuppgifterna lämnas ut efter begäran, är även domstolsdatalagen tillämplig. Personuppgifter som behandlas enligt domstolsdatalagen kommer i vissa fall att ha samlats in för ändamål inom brottsdatalagens tillämpningsområde, t.ex. i samband med handläggningen av ett brottmål. Sådan behandling bör på samma sätt som i dag vara tillåten. Frågan är om regleringen i domstolsdatalagen uppfyller detta syfte eller om den behöver anpassas. Domstolarna kan behöva behandla personuppgifter som samlats in för handläggning av mål och ärenden inom tillämpningsområdet för den nya lagen, för handläggning av andra mål och ärenden. Till exempel kan en adressuppgift i ett brottmål återanvändas i ett tvistemål. Eftersom sådan behandling behövs för handläggning av mål och ärenden är den tillåten enligt 6 § domstolsdatalagen. Domstolsdatalagen kan även bli tillämplig vid utlämnande av uppgifter i exempelvis ett brottmål. I promemorian En omarbetad domstolsdatalag - anpassning till EU:s dataskyddsförordning (Ds 2017:41) föreslås att det i domstolsdatalagen ska framgå att personuppgifter som behandlas enligt den nya lagen får behandlas för uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Som skäl anförs att domstolsdatalagens sekundära ändamålsbestämmelse endast gäller personuppgifter som behandlas enligt lagens primära ändamålsbestämmelse, dvs. i den del av verksamheten som inte omfattas av den nya lagen. Regeringen instämmer i denna bedömning. Sedan domstolsdatalagen har anpassats till dataskyddsförordningen är den sekundära ändamålsbestämmelsen emellertid inte längre uttömmande (prop. 2017/18:113 s. 41). Det innebär att bestämmelsen inte utgör något hinder mot utlämnande av personuppgifter som behandlas enligt domstolarnas brottsdatalag. Eftersom frågan om behandling för nya ändamål utanför brottsdatalagens tillämpningsområde regleras i den lagen, skulle den bestämmelse som föreslås i promemorian utgöra en form av dubbelreglering. Som Domstolsverket påpekar innebär förslaget också att lagstiftningen skulle bli komplicerad. Regeringen bedömer därför att utlämnande av personuppgifter som behandlas enligt den nya lagen inte bör regleras särskilt i domstolsdatalagen. Däremot kan vissa befintliga bestämmelser i domstolsdatalagen bli tillämpliga vid sådan behandling, t.ex. bestämmelserna om elektroniskt utlämnande av personuppgifter. Dataskyddsförordningen, dataskyddslagen och domstolsdatalagen är även tillämpliga när domstolarna behandlar personuppgifter för arkivändamål av allmänt intresse, t.ex. vid arkivering av allmänna handlingar i att avslutat mål. I promemorian föreslås att det i domstolsdatalagen ska tas in en bestämmelse som klargör att personuppgifter som behandlas enligt den nya lagen får behandlas även för arkivändamål av allmänt intresse. Att domstolarna får behandla personuppgifter för arkivändamål av allmänt intresse följer av dataskyddsförordningen och föreskrifter om arkiv (prop. 2017/18:105 s. 109-111 och prop. 2017/18:113 s. 40). Domstolsdatalagens sekundära ändamålsbestämmelse är inte uttömmande och utgör därför inte något hinder mot att handlingar i exempelvis ett brottmål tas om hand för arkivering. Regeringen bedömer att inte heller sådan behandling av personuppgifter behöver regleras särskilt i domstolsdatalagen. Sammantaget bedömer regeringen att ytterligare behandling av personuppgifter som behandlas enligt domstolarnas brottsdatalag inte bör regleras i domstolsdatalagen. 12.4.3 Särskilda upplysningar Regeringens bedömning: Lagen bör inte innehålla något undantag från brottsdatalagens bestämmelser om särskilda upplysningar. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot utredningens bedömning. Skälen för regeringens bedömning: Enligt 2 kap. 3 § andra stycket brottsdatalagen ska det ändamål som personuppgifter behandlas för tydliggöras genom en särskild upplysning, om det inte framgår av sammanhanget eller på något annat sätt. I 2 kap. 9 § brottsdatalagen föreskrivs att personuppgifter som rör olika kategorier av registrerade så långt det är möjligt ska särskiljas, t.ex. personer som är misstänkta eller dömda för brott, brottsoffer eller andra som berörs av ett brott. Om det inte framgår av sammanhanget eller på något annat sätt vilken kategori personen tillhör, ska det tydliggöras genom en särskild upplysning. Enligt 2 kap. 10 § brottsdatalagen ska personuppgifter som grundar sig på fakta så långt det är möjligt särskiljas från personuppgifter som grundar sig på personliga bedömningar. Om grunden inte framgår av sammanhanget eller på något annat sätt ska den tydliggöras genom en särskild upplysning. I avsnitt 5.3.4 föreslår regeringen att bestämmelser om särskilda upplysningar på samma sätt som i dag enbart ska gälla vid behandling av personuppgifter som har gjorts gemensamt tillgängliga. För domstolarna finns det i dag inga bestämmelser om särskilda upplysningar. Det beror på att det i domstolsdatalagen inte görs någon skillnad mellan uppgifter som har gjorts gemensamt tillgängliga och uppgifter som endast ett fåtal personer har tillgång till. I motsats till de brottsbekämpande myndigheterna behöver domstolarna därför inte något undantag från brottsdatalagens bestämmelser. Det kan förefalla som om det därmed ställs högre krav på domstolarna, som i dag inte behöver förse personuppgifter med särskilda upplysningar, medan de myndigheter som har en sådan reglering får undantag från kraven i brottsdatalagen. Enligt brottsdatalagen ska personuppgifter emellertid förses med särskilda upplysningar bara om det förhållande som upplysningen skulle avse inte framgår av sammanhanget eller på något annat sätt. Det är framför allt i det inledande skedet av en förundersökning och i underrättelseverksamhet som det kan vara otydligt vilken roll en person har och varför uppgifter om honom eller henne behandlas. Vid handläggningen i domstol anges det tydligt vem som är misstänkt, tilltalad, målsägande, vittne eller anhörig till någon av dessa. Det framgår också normalt av sammanhanget eller på annat sätt vilket ändamål personuppgifter behandlas för och om uppgifterna grundar sig på fakta eller på personliga bedömningar (prop. 2017/18:232 s. 122 och 146). Det innebär att domstolarna endast i undantagsfall kommer att behöva förse personuppgifter med särskilda upplysningar enligt brottsdatalagens bestämmelser. 12.4.4 Behandling av personnummer Regeringens förslag: Personnummer och samordningsnummer får behandlas endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningens förslag omfattar även liknande identitetsbeteckningar och en upplysning om en föreslagen bestämmelse om sökning. Utredningens förslag omfattar inte ändamålet med behandlingen. Remissinstanserna: Ingen remissinstans uttalar sig särskilt i denna del. Skälen för regeringens förslag: I 3 kap. 10 § dataskyddslagen föreskrivs att personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelsen innebär att en intresseavvägning mellan behovet av behandlingen och de integritetsrisker som den innebär ska göras (prop. 2017/18:105 s. 199). Bestämmelsen är tillämplig i domstolarnas verksamhet. Regeringen anser att det finns anledning att överväga en liknande bestämmelse i domstolarnas brottsdatalag. Domstolarnas verksamhet är till största delen offentlig. Allmänheten har stora möjligheter att få kännedom om de personer vilkas uppgifter behandlas. En tillgång till personnummer öppnar ytterligare möjligheter att få fram uppgifter om dessa personer. Detta motiverar en fortsatt reglering av hur personnummer och samordningsnummer får behandlas i domstolarnas verksamhet. Regeringen anser att det bör tas in en bestämmelse om behandling av personnummer och samordningsnummer i den nya lagen. Utformningen av bestämmelsen bör överensstämma med vad som gäller enligt dataskyddslagen och bör, i förhållande till utredningens förslag, kompletteras med att hänsyn även ska tas till ändamålet med behandlingen. Det finns inte anledning att i bestämmelsen reglera annat än personnummer och samordningsnummer, vilka är de identitetsbeteckningar som domstolarna använder sig av i sin verksamhet. Den del i utredningens förslag som avser liknande identitetsbeteckningar bör alltså inte tas in i bestämmelsen. 12.4.5 Biometriska och genetiska uppgifter Regeringens bedömning: Det finns inte skäl att särskilt föreskriva att domstolarna får behandla biometriska och genetiska uppgifter. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Hovrätten för Västra Sverige anför att det kan uppkomma behov för domstolarna att behandla biometriska uppgifter och att det är viktigt att säkerställa att de föreslagna begränsningarna i uppgiftsbehandling inte inverkar negativt på den misstänktes möjlighet att själv vidta genetiska och biometriska undersökningar. Övriga remissinstanser yttrar sig inte i denna del. Skälen för regeringens bedömning: I avsnitt 7.3.2 redovisas vad som avses med biometriska och genetiska uppgifter och vilken betydelse de har vid brottsbekämpning. Enligt 2 kap. 12 och 13 §§ brottsdatalagen utgör biometriska och genetiska uppgifter känsliga personuppgifter. Biometriska och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. Till skillnad från Hovrätten för Västra Sverige instämmer regeringen i utredningens bedömning att det är svårt att se att domstolarna har något behov av att behandla biometriska och genetiska uppgifter. Det ska i sammanhanget anmärkas att de personuppgifter som förekommer i ett utlåtande som baseras på en teknisk bearbetning av biometriska eller genetiska uppgifter inte i sig utgör sådana uppgifter. Domstolarna kommer alltså att kunna behandla personuppgifter i sådana utlåtanden i samma utsträckning som i dag. Den behandlingen är för domstolarna tillräcklig. Det finns därför inte behov av någon bestämmelse i den nya lagen som medger behandling av biometriska och genetiska uppgifter. Samhälls- och teknikutvecklingen kan dock innebära att det framöver finns anledning att överväga denna fråga på nytt. Att domstolarna inte medges behandla biometriska och genetiska uppgifter bedöms inte inverka negativt på den misstänktes möjlighet att själv föranstalta om genetiska och biometriska undersökningar. Det finns därför inte skäl att, som Hovrätten för Västra Sverige anför, särskilt säkerställa att den misstänkte har möjlighet att själv vidta sådana undersökningar. 12.5 Sökbegränsningar 12.5.1 Sökförbudet i brottsdatalagen ska inte gälla Regeringens bedömning: Förbudet i brottsdatalagen mot sökning i syfte att få fram ett urval av personer grundat på känsliga personuppgifter bör inte gälla för domstolarna. Utredningens förslag överensstämmer med regeringens bedömning. Utredningen föreslår att det i lagen uttryckligen upplyses om att andra bestämmelser än brottsdatalagens sökförbud ska gälla. Remissinstanserna: Domstolsverket ställer sig positivt till förslaget att brottsdatalagens sökbegränsning inte ska tillämpas i domstolarnas verksamhet eftersom det kommer att underlätta domstolarnas behandling av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt i denna del. Skälen för regeringens bedömning: Dataskyddsdirektivet kräver inte att det införs något förbud mot att använda känsliga personuppgifter vid sökning. Sådana uppgifter får emellertid behandlas endast om det finns lämpliga skyddsåtgärder för behandlingen (artikel 10). En verkningsfull skyddsåtgärd kan vara att förbjuda att känsliga personuppgifter används vid sökning och att reglera eventuella undantag. I 2 kap. 14 § brottsdatalagen förbjuds sökning i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. I 2 kap. 11-13 §§ brottsdatalagen anges vilka uppgifter som betecknas som känsliga personuppgifter. Enligt 14 § domstolsdatalagen är det förbjudet att vid sökning i personuppgifter använda sökbegrepp som avslöjar känsliga personuppgifter. Bestämmelsen omfattar också uppgifter om nationell anknytning och brott eller misstanke om brott eftersom sökning med användande av sådana uppgifter har ansetts innebära särskilda integritetsrisker (prop. 2014/15:148 s. 59). Från sökförbudet görs vissa undantag i 14 § andra stycket och 15 §. Undantagen begränsas i 3-6 §§ domstolsdataförordningen. Regleringen av vilken sökning som är tillåten enligt domstolsdatalagen har utformats med beaktande av dels domstolarnas behov och intresset av insyn, dels skyddet för enskildas personliga integritet. Det har inte bedömts motiverat att begränsa endast domstolspersonalens möjligheter till sökning, om inte allmänhetens möjligheter att med stöd av offentlighetsprincipen begära sökning begränsas på motsvarande sätt. De största integritetsriskerna ligger inte i de sökningar som domstolens personal gör utan i de möjligheter till kartläggning som sökningar på begäran av allmänheten innebär (prop. 2014/15:148 s. 53-55). Någon särskild sekretessbestämmelse för sådana personuppgifter som sökningar kan resultera i finns inte, eftersom principiella skäl har ansetts tala mot att ha en sådan bestämmelse. Intresset av insyn och öppenhet är särskilt starkt i domstolarna och det finns ett betydande värde i att både journalister och enskilda kan begära att avgöranden söks fram efter bestämda kriterier (prop. 2014/15:148 s. 55-57). Dessa skäl gör sig alltjämt gällande. Mot denna bakgrund bedömer regeringen, i likhet med Domstolsverket, att sökförbudet i brottsdatalagen inte bör gälla för domstolarna utan att en annan, för domstolarna särskilt anpassad, reglering bör gälla i stället. Utredningen föreslår att detta bör komma till uttryck genom en upplysning i lagen. Lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område föreslås gälla utöver brottsdatalagen (avsnitt 12.2.1). Mot bakgrund av det och eftersom den nya lagen innehåller särskilda avvikande bestämmelser om sökförbud bedömer regeringen att det saknas behov av en sådan upplysning om att sökförbudet i brottsdatalagen inte ska gälla i domstolarna. 12.5.2 Sökförbuden i den nya lagen Regeringens förslag: Vid sökning i personuppgifter ska det vara förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter eller nationell anknytning. Sökförbudet ska inte gälla användning i allmän förvaltningsdomstol av sökbegrepp som avslöjar hälsa. En upplysning tas in i lagen om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att använda sådana sökbegrepp. I lagen informeras också om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att använda sökbegrepp som avslöjar brott eller misstanke om brott. Användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp som sökbegrepp omfattas inte av förbudet. Sökförbudet hindrar inte sökning i en viss handling eller i ett visst mål eller ärende. Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att begränsningar av möjligheten att använda sökbegreppen brott, misstanke om brott och hälsa ska finnas i den nya lagen i stället för att regleras på förordningsnivå. Remissinstanserna: Domstolsverket anser att det bör övervägas om sökbegränsningarna ska finnas i lag eller i förordning och att frågan bör hanteras på samma sätt i den nya lagen och domstolsdatalagen. Övriga remissinstanser yttrar sig inte särskilt över förslagen. Skälen för regeringens förslag Nuvarande reglering I 14 § domstolsdatalagen förbjuds användning av sökbegrepp som avslöjar känsliga personuppgifter, uppgifter om nationell anknytning och uppgifter om brott eller misstanke om brott. Förbudet omfattar dock inte sökbegrepp i form av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp. Från förbudet undantas enligt 15 § sökning i en viss handling eller i ett visst mål eller ärende. Förbudet gäller inte heller i allmän domstol eller allmän förvaltningsdomstol, såvitt gäller sökbegrepp som avslöjar brott eller misstanke om brott, eller i allmän förvaltningsdomstol såvitt gäller sökbegrepp som avslöjar hälsa. I 3-5 §§ domstolsdataförordningen begränsas möjligheten till sökning i äldre avgjorda mål och ärenden. Vidare förbjuds användning av sökbegrepp som avslöjar brott eller misstanke om brott i allmän domstol vid sökning i tvistemål, och i Migrationsöverdomstolen och migrationsdomstolarna användning av sökbegrepp som avslöjar brott eller misstanke om brott eller uppgifter om hälsa. Utgångspunkter för regleringen i den nya lagen Den nuvarande regleringen i domstolsdatalagen och domstolsdataförordningen tillgodoser både domstolarnas berättigade behov av att kunna utföra sökningar på känsliga personuppgifter och andra integritetskänsliga uppgifter och skyddet för enskildas integritet. Den innefattar också en rimlig avvägning mellan domstolarnas behov och allmänhetens rätt till insyn. Regleringen i domstolsdatalagen kan därför bilda utgångspunkt för regleringen i den nya lagen. Detaljerade begränsningar av möjligheten till sökning enligt domstolsdatalagen regleras i förordning. Av integritetsskyddsskäl ansågs det viktigt att begränsningarna skulle kunna avgränsas så specifikt som möjligt. Ytterligare avgränsningar skulle kunna anpassas kontinuerligt, efterhand som nya måltyper tillkommer och domstolarnas organisation förändras. Regeringen bedömde det därför lämpligt att i förordning precisera vilka möjligheter till sökning som ska finnas (prop. 2014/15:148 s. 62). Utredningen anser att dessa argument inte har samma tyngd när brottsdatalagen är tillämplig och föreslår att sökbegränsningarna regleras i lag. Regeringen anser emellertid att de ställningstaganden som gjordes i förhållande till sökbegränsningar i domstolsdatalagen fortfarande är giltiga. Begränsningar av möjligheten till sökning i vissa typer av personuppgifter inom tillämpningsområdet för den nya lagen bör därför regleras i förordning. Sökförbud för känsliga personuppgifter Enligt artikel 10 i dataskyddsdirektivet får känsliga personuppgifter behandlas bara om det är absolut nödvändigt och det finns särskilda skyddsåtgärder. Regeringen bedömer att sökförbudet i 2 kap. 14 § brottsdatalagen är en sådan skyddsåtgärd som direktivet kräver (prop. 2017/18:232 s. 155). Eftersom sökförbudet i brottsdatalagen inte ska gälla för domstolarna behövs en skyddsåtgärd i den nya lagen. Regeringen anser att en lämplig skyddsåtgärd är att på samma sätt som i dag förbjuda användningen av sökbegrepp som avslöjar känsliga personuppgifter. Genom en hänvisning till bestämmelserna om känsliga personuppgifter i 2 kap. 11 och 12 §§ brottsdatalagen kommer alla uppgifter som benämns känsliga personuppgifter att omfattas av förbudet. Sökförbud för andra integritetskänsliga uppgifter Sökförbudet i domstolsdatalagen gäller inte bara för känsliga personuppgifter utan även för vissa andra uppgifter som ansetts vara särskilt integritetskänsliga, nämligen uppgifter som avslöjar nationell anknytning och brott eller misstanke om brott. I motsats till regleringen i det nu gällande dataskyddsdirektivet och dataskyddsförordningen finns det inte några särskilda restriktioner för behandling av uppgifter om lagöverträdelser i det nya dataskyddsdirektivet. Uppgifter om nationell anknytning regleras inte heller. Något sökförbud för uppgifter som avslöjar nationell anknytning och brott eller misstanke om brott krävs därför inte för att genomföra direktivet. Regeringen anser emellertid att de skäl som ligger bakom att sökförbudet i domstolsdatalagen även omfattar uppgifter om bl.a. nationell anknytning alltjämt har bärighet (prop. 2014/15:148 s. 59). Direktivet tillåter nationella regler som ger starkare integritetsskydd. Uppgifter om nationell anknytning bör därför omfattas av sökförbudet i den nya lagen. När det gäller användningen av uppgifter som avslöjar brott eller misstanke om brott som sökbegrepp bör dock regleringen i den nya lagen inte utgå från domstolsdatalagens systematik, vilken bygger på ett förbud och ett generellt undantag för allmänna domstolar och allmänna förvaltningsdomstolar. Skälet härtill är att den nya lagen, till skillnad från domstolsdatalagen, endast är tillämplig i nämnda domstolsslag. Begränsningarna för de allmänna domstolarna och de allmänna förvaltningsdomstolarna att använda sökbegrepp som avslöjar brott eller misstanke om brott finns i dag i domstolsdataförordningen. Som anförs ovan anser regeringen att det av integritetsskyddsskäl är viktigt att begränsningarna i dessa delar kan avgränsas så specifikt som möjligt och anpassas kontinuerligt. Det är därför lämpligt att det i förordning preciseras vilka sökbegränsningar som bör finnas för uppgifter som avslöjar brott eller misstanke om brott. I lagen bör därför upplysas om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att använda uppgifter som avslöjar brott eller misstanke om brott som sökbegrepp. Innehållet i förordningsbestämmelserna bör ligga i linje med utredningens förslag och de sökbegränsningar som gäller enligt domstolsdataförordningen. Tillåtna sökningar Det behövs på samma sätt som i dag vissa undantag från sökförbuden. Domstolarna använder i stor utsträckning särskilda beteckningar för att identifiera en viss mål- eller ärendetyp, s.k. målgrupps- och måltypskoder. Målgrupps- och måltypskoder används i mycket stor utsträckning i den dagliga verksamheten och det har inte framkommit att detta skulle medföra några särskilda risker i integritetshänseende (prop. 2014/15:148 s. 63). Sökning med användning av sådana beteckningar bör därför undantas från sökförbuden i den nya lagen. Sökförbuden bör på samma sätt som i dag inte heller gälla vid sökning i en viss handling eller i ett visst mål eller ärende. Som regeringen tidigare konstaterat innebär sökning bland en begränsad mängd uppgifter mindre integritetsrisker än sökning i större uppgiftsmängder (prop. 2014/15:148 s. 63 f.). Det bör således göras undantag från sökförbuden även för sådana sökningar. Domstolarnas brottsdatalag bör också innehålla ett undantag för de allmänna förvaltningsdomstolarna att använda uppgifter om hälsa som sökbegrepp. Genom att använda till exempel uppgifter om en sjukdomsdiagnos som sökbegrepp är det möjligt för domstolarna att med hjälp av sökning identifiera öppna mål som innehåller likartade frågeställningar så att handläggningen kan samordnas, vilket kan främja såväl effektiviteten som rättssäkerheten (prop. 2014/15:148 s. 60). När det gäller sökbegrepp som avslöjar hälsa i allmän förvaltningsdomstol finns begränsningarna i dag i domstolsdataförordningen. Som anförs ovan anser regeringen att det av integritetsskyddsskäl är viktigt att begränsningar kan avgränsas så specifikt som möjligt och anpassas kontinuerligt. Det är därför lämpligt att det i förordning preciseras vilka sökbegränsningar som ska finnas. Mot denna bakgrund bör det tas in en upplysning i den nya lagen om att regeringen kan meddela föreskrifter om begränsningar av möjligheten att använda uppgifter om hälsa som sökbegrepp. 12.6 Utlämnande av personuppgifter 12.6.1 Direktåtkomst Regeringens förslag: Direktåtkomst ska endast få medges en allmän domstol, en allmän förvaltningsdomstol eller en part eller partens ombud, biträde eller försvarare. Direktåtkomst för en part eller en parts ombud, biträde eller försvarare får endast avse personuppgifter i partens mål eller ärende. En upplysning tas in i lagen om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om ytterligare begränsning av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans lämnar synpunkter i denna del. Skälen för regeringens förslag: Enligt 17 § domstolsdatalagen får direktåtkomst endast medges en allmän domstol, en allmän förvaltningsdomstol, en hyres- och arrendenämnd eller en part eller partens ombud, biträde eller försvarare. Direktåtkomst för en part eller en parts ombud, biträde eller försvarare får endast avse personuppgifter i partens mål eller ärende. I 7-13 §§ domstolsdataförordningen preciseras när direktåtkomst är tillåten till äldre avgjorda mål och ärenden, vid överklagande, till rättspraxis och i samband med beredskapsverksamhet. Reglerna om direktåtkomst i domstolsdatalagen och domstolsdataförordningen är resultatet av en avvägning mellan domstolarnas behov och skyddet för enskildas integritet. Den bedömning som gjordes i dessa avseenden vid domstolsdatalagens tillkomst har alltjämt bärkraft och regleringen i den nya lagen bör därför utformas på samma sätt. Det gäller även uppdelningen av bestämmelserna mellan lag och förordning (prop. 2014/15:148 s. 64-73). Regeringen eller den myndighet som regeringen bestämmer bör på samma sätt som i dag kunna meddela föreskrifter om ytterligare begränsning av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst. 12.6.2 Elektroniskt utlämnande av personuppgifter Regeringens förslag: Personuppgifter ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. En upplysning tas in i lagen om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om ytterligare begränsning av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår även en bestämmelse som anger att elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i lagen och föreskrifter som har meddelats i anslutning till den. Remissinstanserna: Datainspektionen avstyrker förslaget eftersom det inte utan närmare analys av vilka effekter för den personliga integriteten som utvidgningen kan få inte går att avgöra om den kan anses proportionerlig i förhållande till enskildas personliga integritet. Svea hovrätt, Eskilstuna tingsrätt, Förvaltningsrätten i Jönköping och Domstolsverket påtalar att domstolsdatalagen och den nya lagen skiljer sig åt i terminologi och understryker vikten av en så enhetlig lagstiftning som möjligt. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Enligt 16 § domstolsdatalagen får personuppgifter lämnas ut på medium för automatiserad behandling om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om begränsning av möjligheten att lämna ut personuppgifter på det sättet (prop. 2014/15:148 s. 73-78). Varken brottsdatalagen eller dataskyddsdirektivet innehåller bestämmelser om på vilket sätt personuppgifter får lämnas ut. Det finns dock inget som hindrar att nationell lagstiftning innehåller sådana bestämmelser. Domstolarna bör kunna lämna ut personuppgifter elektroniskt i samma utsträckning som i dag. En bestämmelse som motsvarar 16 § domstolsdatalagen bör därför tas in i den nya lagen. Regeringen bedömer i avsnitt 5.6.4 att uttrycket utlämnande på medium för automatiserad behandling bör ersättas med det modernare uttrycket utlämnande i elektronisk form. Någon ändring i sak är inte avsedd. För att lagstiftningen ska vara så enhetlig som möjligt bör samma terminologi användas i såväl den nya lagen som i domstolsdatalagen. Regeringen anser att regleringen är utformad på ett sätt som ger ett gott skydd för den personliga integriteten (avsnitt 5.6.4). Regeringen delar således inte Datainspektionens uppfattning att förslaget utgör en utvidgning i förhållande till vad som gäller i dag. Som regeringen anför i avsnitt 12.1.2 är det en fördel om domstolarnas personuppgiftsreglering är så enhetlig som möjligt. Mot denna bakgrund och då ett särskilt behov inte framkommit bedömer regeringen att den av utredningen föreslagna bestämmelsen om att elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i lagen och föreskrifter som har meddelats i anslutning till den inte bör tas in i lagen. Regeringen eller den myndighet som regeringen bestämmer bör på samma sätt som i dag kunna meddela föreskrifter om ytterligare begränsning av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. 12.7 Personuppgifter i avgjorda mål och ärenden Regeringens förslag: I lagen upplyses om att regeringen eller den myndighet regeringen bestämmer kan meddela ytterligare föreskrifter om begränsningar för behandling av personuppgifter som hänför sig till ett mål eller ärende som har avgjorts genom en dom eller ett beslut som har fått laga kraft. Utredningens förslag överensstämmer inte med regeringens. Utredningen föreslår att begränsningarna ska finnas i lag i stället för att regleras på förordningsnivå. Remissinstanserna: Domstolsverket anser att det bör övervägas om sökbegränsningarna ska finnas i lag eller förordning och att frågan bör hanteras på samma sätt i den nya lagen och domstolsdatalagen. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I domstolsdatalagen finns en bestämmelse som upplyser om att regeringen eller den myndighet regeringen bestämmer kan meddela ytterligare föreskrifter om begränsningar för behandling av personuppgifter som hänför sig till ett mål eller ärende som har avgjorts genom en dom eller ett beslut som har fått laga kraft. Bestämmelsen har sin grund i att det t.ex. kan behövas begränsningar avseende sökning, direktåtkomst eller intern åtkomst vid domstolarna. Det är fråga om bestämmelser som bör vara relativt detaljerade och som bör kunna justeras exempelvis när domstolarnas arbetssätt utvecklas eller då nya måltyper tillkommer i verksamheterna. En mer detaljerad reglering ger bättre förutsättningar för den avvägning som ska göras mellan integritets- och effektivitetsintressena. Det är viktigt att domstolarna har möjlighet att i den utsträckning det är motiverat utnyttja de möjligheter till ökad effektivitet, rättssäkerhet och insyn som erbjuds tack vare övergången till elektroniskt bevarande (prop. 2014/15:148 s. 83). Regeringen bedömer att angivna skäl fortfarande är giltiga. En likalydande upplysningsbestämmelse som i domstolsdatalagen bör införas i den nya lagen. Innehållet i förordningsbestämmelserna bör ligga i linje med utredningens förslag och de sökbegränsningar som gäller enligt domstolsdataförordningen. 12.8 Administrativa sanktionsavgifter Regeringens förslag: Sanktionsavgift ska få tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna om rättsliga grunder och sökförbud. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att sanktionsavgiften ska bestämmas till minst 50 000 kronor och högst 20 000 000 kronor. Remissinstanserna: De flesta av remissinstanserna, bl.a. Helsingborgs tingsrätt och Justitiekanslern, tillstyrker utredningens förslag eller har ingen invändning mot det. Södertörns tingsrätt anser att det är viktigt att sanktionerna utgör en rimlig reaktion på överträdelserna och att det i domstolarnas fall ofta rör sig om allvarliga överträdelser. Enligt tingsrätten kan dock även en lägre avgift förväntas vara tillräckligt avskräckande. Förvaltningsrätten i Malmö anser att det inte är nödvändigt att införa en möjlighet att ta ut administrativa sanktionsavgifter inom ramen för den nya lagen. Riksdagens ombudsmän och Förvaltningsrätten i Linköping påpekar att tillsynsmyndigheten inte är behörig att utöva tillsyn över personuppgiftsbehandling i domstolarnas dömande verksamhet. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Tillsynsmyndigheten kommer enligt brottsdatalagen att utöva tillsyn över domstolarnas behandling av personuppgifter. Tillsynen omfattar dock inte personuppgiftsbehandling inom ramen för domstolarnas dömande verksamhet (5 kap. 2 § brottsdatalagen). Till tillsynsmyndighetens befogenheter hör att besluta om sanktionsavgift enligt 6 kap. brottsdatalagen. De överträdelser som enligt brottsdatalagen kan leda till att sanktionsavgift tas ut är bl.a. överträdelser av bestämmelser om hur personuppgifter får behandlas. Reglerna om sanktionsavgift i brottsdatalagen gäller vid överträdelse av bestämmelser i den lagen. Som framgår av avsnitt 5.4.2 anser regeringen att sanktionsavgift också bör kunna tas ut vid överträdelse av vissa bestämmelser i registerförfattningarna. Det gäller bestämmelser som ersätter, preciserar eller kompletterar bestämmelser i brottsdatalagen som kan föranleda sanktionsavgift. Enligt regeringen finns det inte skäl att, som Förvaltningsrätten i Malmö menar, göra en annan bedömning för domstolarnas del. I likhet med vad som gäller enligt brottsdatalagen bör överträdelse av bestämmelser om rättsliga grunder för behandling kunna föranleda sanktionsavgift. Enligt brottsdatalagen är det också möjligt att ta ut sanktionsavgift vid överträdelse av sökförbudet avseende känsliga personuppgifter. För domstolarna kommer dock det sökförbudet inte att gälla. Regeringen föreslår i stället att domstolarnas brottsdatalag ska innehålla ett generellt förbud mot att använda integritetskänsliga sökbegrepp. Vidare föreslås ett antal undantag från sökförbudet. Slutligen görs bedömningen att vissa sökbegränsningar bör regleras i förordning (avsnitt 12.5.2). En överträdelse av bestämmelsen om sökförbud i den nya lagen bör kunna leda till att sanktionsavgift tas ut. Sanktionsavgift bör däremot inte kunna tas ut vid överträdelse av sådana sökbegränsningar som endast regleras i förordning. En förutsättning för att det ska vara fråga om en överträdelse av bestämmelsen om sökförbud är att sökningen inte omfattas av något av undantagen från förbudet. Undantagen kommer att regleras i domstolarnas brottsdatalag och anslutande föreskrifter och rör t.ex. sökning i ett visst mål och användning i allmän förvaltningsdomstol av sökbegrepp som avslöjar hälsa. Det bör framgå av en bestämmelse i den nya lagen i vilka fall det är möjligt att ta ut sanktionsavgift. Enligt 6 kap. 3 § brottsdatalagen ska sanktionsavgift tas ut med högst 5 000 000 kronor vid mindre allvarliga överträdelser och högst 10 000 000 kronor vid allvarligare överträdelser. Det framgår av paragrafen vilka överträdelser som är mindre allvarliga respektive allvarliga. Överträdelser av bestämmelser om rättsliga grunder för behandling och sökförbudet avseende känsliga personuppgifter är enligt paragrafen allvarliga överträdelser. Det bör gälla även vid överträdelse av motsvarande bestämmelser i domstolarnas brottsdatalag. Regeringen ser inte skäl att ha högre sanktionsavgifter för domstolarna än för övriga myndigheter (prop. 2017/18:232 s. 325-329). Sanktionsavgift bör därför kunna tas ut med högst 10 000 000 kronor. Som Riksdagens ombudsmän och Förvaltningsrätten i Linköping påpekar är tillsynsmyndigheten inte behörig att utöva tillsyn över den personuppgiftsbehandling som sker i domstolarnas dömande verksamhet. Sanktionsavgift kan därför endast beslutas för överträdelser utanför den dömande verksamheten. 12.9 Skadestånd och överklagande 12.9.1 Skadestånd Regeringens förslag: Bestämmelsen om skadestånd i brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med den nya lagen eller föreskrifter som har meddelats i anslutning till den. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Samtliga remissinstanser tillstyrker utredningens förslag eller har ingen invändning mot det. Skälen för regeringens förslag: Enligt 7 kap. 1 § brottsdatalagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med brottsdatalagen, eller föreskrifter som har meddelats i anslutning till den. Rätten till skadestånd vid skada och kränkning bör vara densamma när personuppgifter behandlas i strid med domstolarnas brottsdatalag som vid behandling i strid med brottsdatalagen. Det bör därför framgå att 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med den nya lagen eller föreskrifter som har meddelats i anslutning till den. 12.9.2 Överklagande Regeringens förslag: En domstols beslut i sådana frågor som avses i brottsdatalagens bestämmelse om överklagande av personuppgiftsansvariga myndigheters beslut, får överklagas. Högsta domstolens och Högsta förvaltningsdomstolens beslut får dock inte överklagas. Beslut av en hovrätt, tingsrätt eller förvaltningsrätt överklagas till kammarrätten. Beslut av en kammarrätt överklagas till Högsta förvaltningsdomstolen. Regeringens bedömning: Den nya lagen bör inte innehålla några bestämmelser om överklagande av tillsynsmyndighetens beslut. Utredningens förslag och bedömning överensstämmer i sak med regeringens. Remissinstanserna: Ingen remissinstans invänder mot utredningens förslag och bedömning. Skälen för regeringens förslag och bedömning Bestämmelser om överklagande finns i brottsdatalagen I 7 kap. brottsdatalagen finns bestämmelser om överklagande. Bestämmelserna reglerar rätten att överklaga beslut av personuppgiftsansvariga myndigheter och av tillsynsmyndigheten. Det finns även ett förbud mot att överklaga andra beslut enligt brottsdatalagen än de som särskilt anges. Domstolarnas brottsdatalag bör endast innehålla bestämmelser om överklagande som avviker från den generella regleringen. Den nya lagen bör även i möjligaste mån ha samma systematik som domstolsdatalagen (avsnitt 12.1.2). Regeringen anser därför att den nya lagen, till skillnad från vad som föreslås avseende övriga registerförfattningar, inte bör innehålla en reglering som upplyser om att bestämmelser om överklagande finns i brottsdatalagen. Det är samma lagtekniska lösning som finns i domstolsdatalagen (prop. 2017/18:113 s. 45-48). En särskild instansordning Bestämmelser om överklagande av beslut som har meddelats av en personuppgiftsansvarig domstol finns i 20 § domstolsdatalagen. En hovrätts, tingsrätts eller förvaltningsrätts beslut enligt artiklarna 12.5 och 15-21 i dataskyddsförordningen får överklagas till kammarrätten utan krav på prövningstillstånd. En kammarrätts beslut i sådana frågor får överklagas till Högsta förvaltningsdomstolen. Högsta domstolens och Högsta förvaltningsdomstolens beslut får inte överklagas. Bestämmelsen i 20 § domstolsdatalagen motsvarar 7 kap. 2 § dataskyddslagen, men föreskriver en avvikande instansordning som motiveras av att förvaltningsrätterna inte ska behöva överpröva sina egna eller högre instansers beslut (prop. 2014/15:148 s. 94 och prop. 2017/18:113 s. 46 f.). I 7 kap. 2 § brottsdatalagen föreskrivs att beslut i fråga om rättelse eller komplettering, radering eller begränsning av behandlingen av personuppgifter, som har meddelats av en myndighet i egenskap av personuppgiftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information på begäran av en registrerad, att ta ut avgift för att lämna information eller att inte medge prövning av ett automatiserat beslut. Det saknas skäl att för domstolarnas del ha avvikande bestämmelser om vilka beslut som får överklagas. Den särskilda instansordning som enligt domstolsdatalagen gäller för beslut av personuppgiftsansvariga domstolar bör dock gälla även enligt den nya lagen. Beslut av tillsynsmyndigheten Enligt 7 kap. 3 § brottsdatalagen får tillsynsmyndighetens beslut enligt den lagen överklagas till allmän förvaltningsdomstol. I enlighet med regeringens förslag i avsnitt 12.8 ska det i domstolarnas brottsdatalag anges vilka överträdelser som kan föranleda sanktionsavgift. Tillsynsmyndigheten beslutar om sanktionsavgift med stöd av 5 kap. 7 § och 6 kap. 6 § brottsdatalagen även när det gäller överträdelser av bestämmelserna i de särskilda registerförfattningarna. Tillsynsmyndighetens beslut om sanktionsavgifter vid dessa överträdelser får därför överklagas enligt brottsdatalagen och någon särskild reglering avseende rätten att överklaga sådana beslut behövs inte. Det finns alltså inte skäl att i den nya lagen särskilt reglera frågan om överklagande av tillsynsmyndighetens beslut. 13 Kriminalvårdens brottsdatalag 13.1 Behovet av anpassning till brottsdatalagen 13.1.1 Nuvarande reglering I kriminalvården ingår myndigheten Kriminalvården och övervakningsnämnderna. Lagen (2001:617) om behandling av personuppgifter inom kriminalvården gäller enligt 1 § vid behandling av personuppgifter i kriminalvårdens verksamhet i fråga om vissa personkategorier, bl.a. den som är föremål för personutredning, häktad eller dömd till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst. Kriminalvården får enligt 3 § behandla personuppgifter bara om det behövs för vissa särskilt angivna ändamål, däribland att fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning och att underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets övriga myndigheter behöver. Lagen, som enligt 2 § gäller utöver personuppgiftslagen, innehåller även bestämmelser om personuppgiftsansvar (4 §), behandling av känsliga personuppgifter (5 §), direktåtkomst (6 §), gallring (7 §) och utlämnande av uppgifter för rättsstatistiken (9 §). I fråga om rättelse och skadestånd gäller personuppgiftslagens bestämmelser (8 §). Lagen innehåller särskilda bestämmelser om omprövning och överklagande (12-16 §§). Merparten av regleringen finns emellertid i förordningen (2001:682) om behandling av personuppgifter inom kriminalvården. Även annan reglering av personuppgiftsbehandling är i viss utsträckning tillämplig i Kriminalvården. Det gäller bl.a. patientdatalagen (2008:355), som gäller när Kriminalvården bedriver hälso- och sjukvård. 13.1.2 Behovet av en uppdaterad lagstiftning Kriminalvårdens lagstiftning avviker i många avseenden från den lagstiftning som gäller för övriga myndigheter i rättskedjan. De andra registerförfattningarna har tillkommit under de senaste åren, medan kriminalvårdens registerlagstiftning tillkom bara några år efter personuppgiftslagen. Kriminalvårdens lagstiftning har en annan lagteknisk struktur än övriga registerförfattningar. Den gäller utöver personuppgiftslagen och är inte som de andra registerförfattningarna indelad i kapitel. Större delen av Kriminalvårdens personuppgiftsreglering finns i förordning, vilket skulle kunna ifrågasättas mot bakgrund av det utökade grundlagsskyddet i 2 kap. 6 § andra stycket regeringsformen. I förarbetena pekas bl.a. på att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll normalt ska regleras i lag (se prop. 2009/10:80 s. 183). Modernare registerlagstiftning bygger inte i samma utsträckning som kriminalvårdens registerlagstiftning på en detaljerad uppräkning av vilka personuppgifter som får behandlas. Förutsättningarna för verksamheten på häkten och kriminalvårdsanstalter har förändrats. Brottsligheten har ändrat karaktär och påföljdssystemet har ändrats, särskilt möjligheten att avtjäna fängelsestraff utanför anstalt i form av intensivövervakning medför att de som verkställer fängelsestraff i anstalt i dag generellt sett avtjänar straff för tyngre kriminalitet än förr. Även demografiska faktorer påverkar hur verksamheten på häkten och i kriminalvårdsanstalter bedrivs. Kriminalvården måste t.ex. vid placering av intagna ta större hänsyn än tidigare till faktorer som organiserad brottslighet och tillhörighet till olika kriminella grupperingar. Mot denna bakgrund kan det finnas behov av att i framtiden göra en översyn av kriminalvårdens registerlagstiftning. Detta är också något som Kriminalvården efterlyser. Även Justitiekanslern och Datainspektionen pekar på behovet av en översyn av kriminalvårdens registerlagstiftning. Den bör ges en struktur och ett innehåll som i större utsträckning liknar övriga registerförfattningar. I detta lagstiftningsärende föreslås vissa förändringar som ett led i anpassningen till brottsdatalagen. Anpassningar och ändringar som är gemensamma för registerförfattningarna behandlas i avsnitt 5. De ytterligare ändringar som bör göras kriminalvårdens registerlagstiftning behandlas i detta avsnitt. En sakkunnig person har haft i uppdrag att lämna förslag på de författningsändringar som behövs för att komplettera den del av kriminalvårdens registerlagstiftning som ligger utanför brottsdatalagens tillämpningsområde till dataskyddsförordningen (Kriminalvårdens datalag - anpassning till EU:s dataskyddsförordning, Ds 2017:46). I april 2018 beslutades propositionen Kriminalvårdsdatalag - en ny lag med anpassning till EU:s dataskyddsförordning (prop. 2017/18:248). 13.1.3 Lagens namn Regeringens förslag: Den nya lagen ska benämnas lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område. Utredningen föreslår att lagen ska benämnas kriminalvårdens brottsdatalag. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Lagen om behandling av personuppgifter inom kriminalvården reglerar huvudsakligen personuppgiftsbehandling inom brottsdatalagens tillämpningsområde, men även till viss del inom dataskyddsförordningens tillämpningsområde. Den nya dataskyddsregleringen gör det nödvändigt att dela upp regleringen av kriminalvårdens personuppgiftsbehandling på ett annat sätt än i dag. Om man skulle behålla en samlad reglering för kriminalvårdens personuppgiftsbehandling skulle den till största delen gälla utöver brottsdatalagen, men den skulle också komplettera dataskyddsförordningen med tillhörande lagstiftning. Ett alternativ är att i stället dela upp regleringen i två separata regelverk - ett för brottsdatalagens tillämpningsområde och ett för dataskyddsförordningens. Strukturen med olika registerförfattningar för en myndighets olika verksamheter är ingen nyhet och den lösningen framstår enligt regeringens mening som den mest lämpliga. Den del av kriminalvårdens personuppgiftsbehandling som ligger inom brottsdatalagens tillämpningsområde bör som tidigare konstaterats regleras i en ny särskild lag, se avsnitt 3.4. En närmare redogörelse för brottsdatalagens tillämpningsområde finns i propositionen Brottsdatalag 2017/18:232 avsnitten 6.4 och 6.7. I propositionen Kriminalvårdsdatalag - en ny lag med anpassning till EU:s dataskyddsförordning, föreslås en ny lag som ska tillämpas vid behandling av personuppgifter i Kriminalvårdens verksamhet som avser verkställighet av frihetsberövanden och genomförande av transporter i de fall brottsdatalagen inte är tillämplig. Av de skäl som anges i avsnitt 7.1.2 finns det anledning att införa enhetliga benämningar på de registerförfattningar som ska gälla utöver brottsdatalagen. Namnet bör knyta an till hur brottsdatalagen benämns och ange för vem författningen gäller och vad den rör. Övriga registerförfattningar föreslås få namn där ordet brottsdatalag ingår, vilket av systematiska skäl även bör gälla för kriminalvården. Lagen bör benämnas lag om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område. I det följande kallas den nya lagen för kriminalvårdens brottsdatalag. Som en följd av namnbytet måste hänvisningar till lagen ändras. 13.2 Allmänna bestämmelser 13.2.1 Tillämpningsområdet Regeringens förslag: Lagen ska gälla utöver brottsdatalagen när någon av myndigheterna inom kriminalvården i egenskap av behörig myndighet enligt den lagen behandlar personuppgifter i syfte att verkställa häktning eller straffrättsliga påföljder eller biträda en annan behörig myndighet när den utför uppgifter för ett syfte som anges i brottsdatalagen. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen tillstyrker utredningens förslag avseende tillämpningsområdet men framhåller att regleringen riskerar att bli svårtillämpad i förhållande till dataskyddsförordningens tillämpningsområde. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Den nuvarande regleringen behöver anpassas I avsnitt 4.5 tar regeringen ställning till att registerförfattningarna även i fortsättningen ska innehålla bestämmelser om tillämpningsområdet och anger övergripande vad som bör gälla för den regleringen. Vidare föreslås i avsnitt 5.2 att registerförfattningarna ska gälla utöver brottsdatalagen. Enligt 1 § lagen om behandling av personuppgifter inom kriminalvården gäller lagen vid behandling av personuppgifter i kriminalvårdens verksamhet i fråga om personer som är föremål för personutredning, som är häktade eller som är dömda till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst, som är ålagda fängelse som förvandlingsstraff för böter eller vite, som på grund av utländsk dom ska verkställa nämnda påföljder i Sverige, som på annan grund är intagna i häkte eller kriminalvårdsanstalt eller som annars transporteras av kriminalvårdens transporttjänst. Tillämpningsområdet utgår i dag från att personuppgiftsbehandlingen ska avse en person i någon av de uppräknade kategorierna. Den utformningen är inte förenlig med regleringen i brottsdatalagen, eftersom det är syftet med personuppgiftsbehandlingen som är avgörande för vilket regelverk som ska tillämpas, inte om personen tillhör en viss kategori. Tillämpningsområdet bör i stället utgå från syftet med personuppgiftsbehandlingen. Det bör också framgå att lagen endast gäller när myndigheterna agerar i egenskap av behöriga myndigheter. Personuppgiftsbehandling vid verkställighet av häktning och straffrättsliga påföljder En av Kriminalvårdens huvuduppgifter är enligt 1 § förordningen (2007:1172) med instruktion för Kriminalvården att verkställa utdömda påföljder. Det som avses är verkställighet av fängelsestraff och vissa frivårdspåföljder. Personuppgiftsbehandling för sådana syften bör därför omfattas av lagens tillämpningsområde. Enligt 2 § instruktionen ska Kriminalvården verka för att påföljder verkställs på ett säkert sätt och att återfall i brott förebyggs. Kriminalvården ska särskilt vidta åtgärder som syftar till att brottslighet under verkställigheten förhindras. Enligt 3 § första stycket 3 lagen om behandling av personuppgifter inom kriminalvården får Kriminalvården behandla personuppgifter om det behövs för att upprätthålla säkerheten och förebygga brott under häktning och verkställighet av påföljder. Personuppgiftsbehandling för sådana syften bör även i fortsättningen omfattas av lagens tillämpningsområde. En annan av Kriminalvårdens huvuduppgifter är enligt 1 § instruktionen att bedriva häktesverksamhet. Brottsdatalagen ska tillämpas vid behandling av personuppgifter avseende den som är anhållen eller häktad för brott. Detsamma gäller den som är häktad efter dom i avvaktan på att domen får laga kraft och vid häktning för att hindra att den dömde undandrar sig verkställighet av beslut om utvisning på grund av brott. Lagen ska också tillämpas på den som är omhändertagen efter beslut enligt 26 kap. 22 § och 28 kap. 6 b § brottsbalken och förvaras i häkte. Personuppgiftsbehandling i syfte att verkställa häktning bör därmed också omfattas av lagens tillämpningsområde. Verkställighet av häktning för syften som ligger utanför brottsdatalagens tillämpningsområde bör dock inte falla under lagens tillämpningsområde. Personuppgiftsbehandling i samband med förvaring i häkte och transporter som Kriminalvården utför för ändamål som ligger utanför brottsdatalagens tillämpningsområde bör således inte omfattas av lagen. Övervakningsnämnderna prövar vissa frågor om verkställighet utanför anstalt enligt fängelselagen (2010:610). Nämnderna har även uppgifter som rör verkställigheten av skyddstillsyn. När övervakningsnämnderna hanterar personuppgifter för sådana syften görs det inom ramen för straffverkställighet och hanteringen bör därför omfattas av lagens tillämpningsområde. I propositionen Brottsdatalag redogör regeringen för ett antal allmänna principer för hur man kan resonera i fråga om när ramlagen ska tillämpas och när den inte är tillämplig (se prop. 2017/18:232 s. 109 f). Utredningen utvecklar dessa principer ytterligare genom exempel från olika verksamheter inom ramlagens tillämpningsområde (se SOU 2017:29 s. 185-234). Personuppgiftsbehandling vid biträde åt andra behöriga myndigheter Kriminalvården ansvarar enligt 1 § förordningen med instruktion för Kriminalvården också för att utföra personutredningar i brottmål. I lagen (1991:2041) om särskild personutredning i brottmål, m.m. föreskrivs att Kriminalvården dels ska genomföra sådan utredning om en misstänkts personliga förhållanden som krävs för att domstolen ska kunna avgöra påföljdsfrågan, dels ska avge yttranden som belyser återfallsrisken. När Kriminalvården genomför en personutredning eller avger ett yttrande görs det primärt för att det ska finnas ett tillräckligt underlag för att kunna lagföra någon för brott. Vid personutredning kan Kriminalvården sägas biträda framför allt domstolarna vid lagföring av brott. Enligt överenskommelse med Polismyndigheten driver Kriminalvården Polismyndighetens arrestverksamhet på vissa platser i landet. I sådan verksamhet får Kriminalvården anses biträda Polismyndigheten i dess brottsbekämpande och ordningshållande verksamhet. Kriminalvården bedriver även transporttjänst. När t.ex. häktade transporteras till och från häkten i samband med domstolsförhandlingar biträder Kriminalvården åklagare och domstolar vid brottsbekämpning och lagföring. När personer transporteras från häkten till kriminalvårdsanstalter eller mellan kriminalvårdsanstalter görs det inom ramen för straffverkställigheten. Transporter som inte görs för lagföring eller straffverkställighet utan med stöd av t.ex. tvångsvårdslagstiftningen eller utlänningslagstiftningen, ligger däremot utanför lagens tillämpningsområde. Kriminalvården ansvarar vidare för den som av domstol eller övervakningsnämnd har omhändertagits med stöd av 28 kap. 11 § brottsbalken och som förvaras i häkte. Kriminalvården biträder i dessa fall andra behöriga myndigheter vid verkställighet av påföljd. Lagens tillämpningsområde bör därför även omfatta behandling av personuppgifter vid Kriminalvårdens biträde åt andra behöriga myndigheter för något syfte inom brottsdatalagens tillämpningsområde. 13.2.2 Personuppgiftsansvar Regeringens förslag: Kriminalvården ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. En övervakningsnämnd ska vara personuppgiftsansvarig för den personuppgiftsbehandling som nämnden utför. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Enligt 4 § lagen om behandling av personuppgifter inom kriminalvården är Kriminalvården personuppgiftsansvarig. Det bör framgå av kriminalvårdens brottsdatalag att Kriminalvården är personuppgiftsansvarig för den personuppgiftsbehandling som myndigheten utför. Övervakningsnämnderna ska som framgår av avsnitt 12.2.1 tillämpa lagen. Det finns i dag 28 övervakningsnämnder. De är fristående myndigheter och har en domstolsliknande funktion. För övervakningsnämnderna gäller förordningen (2007:1174) med instruktion för övervakningsnämnderna. Eftersom övervakningsnämnderna är fristående myndigheter är det inte lämpligt att Kriminalvården ansvarar för den personuppgiftsbehandling som de utför. Det bör därför framgå av lagen att varje övervakningsnämnd är personuppgiftsansvarig för sin personuppgiftsbehandling. Den omständigheten att övervakningsnämnderna blir personuppgiftsansvariga hindrar inte att de samarbetar med Kriminalvården, t.ex. på det sättet att Kriminalvården kan vara personuppgiftsbiträde åt nämnderna. Möjligheten att utse ett gemensamt dataskyddsombud kan också övervägas. 13.3 Grundläggande bestämmelser om behandling av personuppgifter 13.3.1 Rättsliga grunder och behandling för nya ändamål Regeringens förslag: Personuppgifter ska få behandlas om det är nödvändigt för att någon av myndigheterna inom kriminalvården ska kunna utföra följande uppgifter: 1. verkställa häktning eller straffrättsliga påföljder, 2. förebygga, förhindra eller upptäcka brottslig verksamhet i samband med sådan verkställighet, 3. biträda andra myndigheter när de fullgör uppgifter för ett syfte som anges i brottsdatalagen, eller 4. fullgöra förpliktelser som följer av internationella åtaganden. Det ska framgå genom en hänvisning att personuppgifter som behandlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen. Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår att regleringen i brottsdatalagen om att en arbetsuppgift ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften ska upprepas i den nu föreslagna lagen. Remissinstanserna: Datainspektionen framför att utredningen inte, för respektive myndighet, har analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksamhet sammantaget ger en tydlig, precis och förutsägbar rättslig grund för behandlingen av personuppgifter. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Regleringen behöver anpassas Enligt 2 kap. 1 § brottsdatalagen får personuppgifter behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Enligt 3 § lagen om behandling av personuppgifter inom kriminalvården får kriminalvården behandla personuppgifter om det behövs för att myndigheten ska kunna fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning, underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver eller upprätthålla säkerheten och förebygga brott under den tid som en åtgärd enligt 1 § första stycket 2-9 pågår. Hänvisningen avser tid under vilken någon är häktad eller avtjänar ett fängelsestraff, verkställer en frivårdande påföljd i form av villkorlig dom med föreskrift om samhällstjänst eller skyddstillsyn, är ålagd fängelse som förvandlingsstraff för böter eller vite eller på grund av utländsk dom verkställer någon av nämnda påföljder i Sverige, på annan grund är intagen i häkte eller kriminalvårdsanstalt eller annars transporteras av Kriminalvårdens transporttjänst. De personuppgifter som kriminalvården får behandla får också behandlas om det behövs för tillsyn, planering, uppföljning och kvalitetssäkring av verksamheten. De brottsbekämpande myndigheternas registerförfattningar bör innehålla bestämmelser om tillåtna rättsliga grunder för behandling av personuppgifter. Det bör även gälla för Kriminalvården och övervakningsnämnderna. Datainspektionen efterfrågar en ytterligare analys av om direktivets krav på en tydlig, precis och förutsägbar rättslig grund är uppfyllt för respektive myndighets behandling av personuppgifter. Som tidigare konstaterats anser regeringen att direktivets krav är uppfyllt genom de författningar och regeringsbeslut som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna. För Kriminalvårdens del framgår det av förordningen med instruktion för Kriminalvården att myndigheten ansvarar för att verkställa utdömda påföljder, bedriva häktesverksamhet samt utföra personutredningar i brottmål. För övervakningsnämnderna följer av 1 § förordningen med instruktion för övervakningsnämnderna att nämndernas verksamhetsområden beslutas av regeringen (se förordning [1998:1318] om övervakningsnämndernas verksamhetsområden m.m.). Denna reglering, tillsammans med den föreslagna regleringen i 2 kap. 1 § i kriminalvårdens brottsdatalag, uppfyller enligt regeringens mening direktivets krav på att den rättsliga grunden ska vara entydig, precis och förutsägbar. En bestämmelse som ersätter brottsdatalagens bestämmelse om tillåtna rättsliga grunder för behandling Kriminalvårdens brottsdatalag bör innehålla en bestämmelse om tillåtna rättsliga grunder för behandling av personuppgifter som ger Kriminalvården rättsligt stöd för att behandla personuppgifter automatiserat för att utföra sina uppgifter. I avsnitt 13.2.1 föreslås att tillämpningsområdet ska omfatta behandling av personuppgifter vid verkställighet av häktning eller straffrättsliga påföljder. Det bör framgå av lagen att personuppgifter får behandlas för de syftena. Det omfattar även behandling av personuppgifter som rör säkerheten vid verkställighet, exempelvis frågor om en intagen medför förhöjd risk för rymning eller fritagning och vem som besöker den häktade eller intagne. Personuppgifter bör även få behandlas när kriminalvården biträder andra behöriga myndigheter vid brottsbekämpning, lagföring, verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet. Vad sådant biträde kan innebära redovisas i avsnitt 13.2.1. I biträdet ingår att ge rättsväsendets myndigheter information om häktesverksamheten och verkställigheten av påföljder och att tillhandahålla de personuppgifter som behövs för att andra myndigheter ska kunna fullgöra uppgifter inom brottsdatalagens tillämpningsområde. Ett exempel på det förstnämnda är information till åklagare och domstolar som rör häktade och på det sistnämnda den information som Kriminalvården ger Polismyndigheten om avslutade vårdvistelser. Kriminalvården bör därför få behandla personuppgifter om det är nödvändigt för att biträda en annan behörig myndighet för ett syfte som anges i brottsdatalagen. Kriminalvården har vissa internationella förpliktelser, bl.a. att under vissa förutsättningar ta över verkställigheten av en utländsk frivårdspåföljd eller ett utländskt fängelsestraff och att förvara personer som är föremål för transitering genom Sverige för verkställighet av fängelsestraff i annat land. Fullgörande av internationella förpliktelser bör därför vara en tillåten rättslig grund för Kriminalvårdens personuppgiftsbehandling (jfr bl.a. 2 kap. 1 § polisens brottsdatalag, 2 kap. 1 § Skatteverkets brottsdatalag och 2 kap. 1 § Tullverkets brottsdatalag). Kriminalvårdens brottsdatalag föreslås i avsnitt 13.2.1 gälla utöver brottsdatalagen. För att det inte ska råda någon osäkerhet om hur bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen förhåller sig till bestämmelsen om tillåtna rättsliga grunder i registerförfattningen bör den senare helt ersätta den i brottsdatalagen. Det behöver inte, som utredningen föreslår, föreskrivas att den uppgift som myndigheten ska utföra ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften. Detta framgår nämligen redan av brottsdatalagen. Med lag jämställs bl.a. EU-förordningar. Särskilt om Kriminalvårdens brottsförebyggande arbete Enligt 2 § myndighetens instruktion ska Kriminalvården särskilt vidta åtgärder som syftar till att brottslighet under verkställigheten förhindras, frigivningen förbereds, narkotikamissbruket bekämpas och innehållet i verkställigheten anpassas efter varje individs behov. Arbetet med att förebygga och förhindra att brott begås av den som verkställer straff är en viktig del i straffverkställigheten. Fokus är att förhindra både att brott planeras eller begås under verkställigheten och att de intagna återfaller i brott senare. Andra viktiga frågor är att förhindra att narkotika förekommer på häkten och i kriminalvårdsanstalter och att hindra rymning och fritagning. Det bör emellertid framhållas att Kriminalvården varken har särskilda uppgifter eller befogenheter på området, utöver rätten att ta hand om och förstöra narkotika som påträffas på häkten och i kriminalvårdsanstalter. Det brottsförebyggande arbetet består därför i åtgärder som Kriminalvården vidtar eller beslutar om under själva verkställigheten, även om syftet är att förebygga att den häktade eller intagne begår brott efter frigivning eller avslutad straffverkställighet. Kriminalvården har således inte någon uppgift som syftar till brottsbekämpning som inte har att göra med häktesverksamheten eller verkställighet av straff. Kriminalvården behöver kunna behandla personuppgifter för den brottsförebyggande verksamheten. Det bör därför framgå av lagen att Kriminalvården har rätt att behandla uppgifter för att förebygga, förhindra eller upptäcka brottslig verksamhet i samband med verkställighet av häktning eller straffrättsliga påföljder. Kriminalvårdens forsknings- och statistikverksamhet Kriminalvården ansvarar i dag för underlaget till en stor del av den samlade rättsstatistiken. Myndigheten har även för sin egen verksamhet behov av omfattande statistik. Dessutom bedriver Kriminalvården sedan länge viss forskning som rör framför allt verkställighet av straffrättsliga påföljder. Enligt 2 kap. 5 § brottsdatalagen får en behörig myndighet behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom lagens tillämpningsområde. Kriminalvårdens statistik- och forskningsverksamhet är ett led i uppgifter som ligger inom brottsdatalagens tillämpningsområde. Den rättsliga grunden i kriminalvårdens brottsdatalag täcker därmed även behandling av personuppgifter för sådana syften. Behandling för nya ändamål Lagen om behandling av personuppgifter inom kriminalvården reglerar inte när personuppgifter får behandlas för nya ändamål. Det har i stället styrts av finalitetsprincipen i personuppgiftslagen. I brottsdatalagen regleras förutsättningarna för att personuppgifter ska få behandlas för nya ändamål. Enligt 2 kap. 4 § brottsdatalagen ska den som överväger att behandla personuppgifter för ett nytt ändamål göra en prövning av om det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet innan uppgifterna får behandlas för nya ändamål inom lagens tillämpningsområde. Motsvarande prövning ska enligt 2 kap. 22 § brottsdatalagen göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför tillämpningsområdet. En sådan prövning utgör en lämplig avvägning mellan mottagarens behov av personuppgifterna och skyddet för enskildas personliga integritet. Samma prövning bör göras av Kriminalvården innan personuppgifter behandlas för ett nytt ändamål utanför brottsdatalagens tillämpningsområde. Det bör därför införas en bestämmelse i kriminalvårdens brottsdatalag som tydliggör att förutsättningarna för att behandla personuppgifter som behandlas med stöd av den lagen för nya ändamål regleras i brottsdatalagen. 13.3.2 Behandling av biometriska och genetiska uppgifter Regeringens förslag: Kriminalvården ska få behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Regeringens bedömning: Kriminalvården bör inte få behandla genetiska uppgifter. Utredningens förslag och bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget eller bedömningen. Skälen för regeringens förslag och bedömning: Av 1 kap. 6 kap. brottsdatalagen följer vad som avses med biometriska och genetiska uppgifter. Enligt 2 kap. 12 § brottsdatalagen får sådana uppgifter behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. I dag behandlar Kriminalvården varken biometriska eller genetiska uppgifter. Det pågår emellertid utveckling av teknik för att med hjälp av biometri möjliggöra säkrare identifiering vid exempelvis transporter inom en kriminalvårdsanstalt. På samma sätt som för polisen och Tullverket är det viktigt för Kriminalvården att den rättsliga regleringen inte hämmar eller hindrar utvecklingen och användningen av ny teknik. Även om Kriminalvården i dagsläget inte använder biometri anser regeringen, i likhet med utredningen, att myndigheten bör ges rättslig möjlighet att behandla biometriska uppgifter, eftersom det inom en snar framtid kommer att finnas behov av det. För närvarande bedöms det inte finnas skäl att begränsa möjligheten att behandla biometriska uppgifter utöver vad som föreskrivs i brottsdatalagen. Det bör därför införas en bestämmelse kriminalvårdens brottsdatalag som medger behandling av biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Det har inte framkommit att Kriminalvården har behov av att behandla genetiska uppgifter och regeringen instämmer därför i utredningens bedömning att myndigheten inte bör få behandla sådana uppgifter. Någon bestämmelse som medger sådan behandling bör därför inte finnas i kriminalvårdens brottsdatalag. 13.3.3 Utlämnande av personuppgifter Regeringens förslag: Kriminalvården ska till en utländsk myndighet eller internationell organisation få lämna ut de personuppgifter som behövs för 1. prövning och genomförande av överflyttning av straffverkställighet, 2. transitering och förvaring av en person som är frihetsberövad för utredning av eller lagföring för brott eller straffverkställighet, eller 3. tillfällig överflyttning av en frihetsberövad person för utredning av eller lagföring för brott eller straffverkställighet. Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I 8 kap. brottsdatalagen regleras frågor om överföring av personuppgifter till tredjeland och internationella organisationer. Uttrycket internationell organisation definieras i 1 kap. 6 § brottsdatalagen. I 48 § förordningen om behandling av personuppgifter inom kriminalvården regleras förutsättningarna för att lämna ut personuppgifter till en annan stat när verkställighet av påföljd ska överflyttas dit. Enligt paragrafen får uppgifter lämnas ut om bl.a. namn, personnummer eller andra identifikationsbeteckningar, genomförd personutredning och andra liknande utredningar, domstols dom och avräkningsunderlag, liksom uppgifter i journal för häktad, fängelsedömd, skyddstillsynsdömd eller den som är dömd till villkorlig dom med föreskrift om samhällstjänst. Sådana personuppgifter får lämnas ut till den myndighet i den andra staten som är ansvarig för verkställigheten. Bestämmelsen om att personuppgifter får lämnas ut till annan stat om det behövs för att den staten ska kunna överta straffverkställigheten av en påföljd är av sådant slag att den bör ha lagform. Den bör därför tas in i kriminalvårdens brottsdatalag. Bestämmelsen bör dock göras mer generell eftersom det kan förutses att det internationella samarbetet kommer att öka, särskilt inom EU. Den nya bestämmelsen bör utformas så att den täcker de områden där det kan förutses behov av att kunna behandla och överlämna personuppgifter till en annan stats myndigheter. Bestämmelsen bör vara sekretessbrytande. Det är framför allt för tre ärendetyper som det finns behov av att kunna lämna information. En av dessa är överflyttning av straffverkställighet. Den ökade rörligheten över gränserna har medfört att frågor om överflyttning av verkställighet till en annan stat är betydligt vanligare i dag än tidigare. I de fallen behövs ofta ingående information om den dömde, både för att pröva frågan om överflyttning och för den framtida verkställigheten om överflyttning kommer till stånd. Den reglering som i dag finns i 48 § förordningen om behandling av personuppgifter inom kriminalvården ger ledning för vilka typer av personuppgifter som kan behöva överföras. Regleringen behöver dock inte vara så detaljerad. En annan situation där Kriminalvården behöver kunna överföra personuppgifter är vid transitering av frihetsberövade. Vid transitering ska den frihetsberövade tas om hand tillfälligt i transiteringsstaten. Kriminalvården måste då kunna lämna nödvändig information till en annan stats myndigheter om personen som ska transiteras och i samband med det tillfälligt förvaras i den andra staten. Den tredje situationen som den nya bestämmelsen bör täcka är tillfällig överflyttning till en annan stat. Om exempelvis en person som avtjänar ett längre fängelsestraff i Sverige behöver överföras tillfälligt till en annan stat för att lagföras eller medverka i en brottsutredning där behöver personuppgifter överföras för att den andra staten ska kunna förvara den dömde på ett säkert sätt till dess att han eller hon återförs till Sverige för att återuppta straffverkställigheten här. Förslaget tar sikte på Kriminalvårdens behov av att kunna överföra personuppgifter till en annan stat. Att Kriminalvården i motsvarande fall får behandla personuppgifter som myndigheten får från en annan stat följer av rätten att behandla personuppgifter för att fullgöra förpliktelser som följer av internationella åtaganden. 13.4 Kriminalvårdens register 13.4.1 Nuvarande reglering I förordningen om behandling av personuppgifter inom kriminalvården regleras två register, det centrala kriminalvårdsregistret och säkerhetsregistret. Det centrala kriminalvårdsregistret innehåller uppgifter om i princip alla som verkställer en påföljd som Kriminalvården ansvarar för. Säkerhetsregistret innehåller något förenklat uppgifter om personer som verkställer häktning eller påföljd och som kan utgöra en säkerhetsrisk i något avseende. Det finns också ett flertal bestämmelser i förordningen om journalföring. I 34 § förordningen om behandling av personuppgifter inom kriminalvården regleras det centrala kriminalvårdsregistret, som förs av Kriminalvården. Registret innehåller uppgifter om personer som har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst, har ålagts förvandlingsstraff för böter eller vite eller som på grund av en utländsk brottmålsdom verkställer en sådan påföljd i Sverige. I 35 § anges genom hänvisningar till andra bestämmelser i förordningen vilka uppgifter registret får innehålla. Andra myndigheters skyldighet att lämna uppgifter som ska registreras i centrala kriminalvårdsregistret regleras i 36 §. Kriminalvårdens skyldighet att lämna uppgifter till andra myndigheter regleras i 37 §. Där anges också vilka myndigheter som får medges direktåtkomst till registret. Enligt 39 § för Kriminalvården också säkerhetsregistret. Registret innehåller uppgifter om häktade eller intagna som är dömda till fängelse eller som på grund av utländsk dom verkställer fängelsestraff och som på något av de i paragrafen uppräknade sätten utgör en säkerhetsrisk. Det är fråga om personer som är eller tidigare har varit placerade på säkerhetsavdelning, under tid i häkte eller under verkställighet av ett fängelsestraff har gjort sig skyldiga till allvarligt hot eller våld mot personal eller andra intagna, under sådan tid har befattat sig med narkotika som inte varit avsedd för eget bruk eller som rymt eller fritagits från häkte eller kriminalvårdsanstalt eller förberett eller gjort försök till rymning eller fritagning. Dessutom omfattar regleringen personer som misstänks för att under tid i häkte eller under verkställighet av ett fängelsestraff ha deltagit i nätverk som bidrar till allvarliga ordningsstörningar eller brottslig verksamhet. Utöver de personkategorier som nämnts får säkerhetsregistret enligt 40 § innehålla uppgifter om häktade eller intagna, om det finns särskild anledning att anta att de under häktning eller verkställighet av fängelsestraff kan komma att utöva allvarlig brottslig verksamhet tillsammans med andra, göra sig skyldiga till hets mot folkgrupp eller vissa andra brott mot allmän verksamhet, allvarligt störa ordningen inom häktet eller anstalten, delta i nätverk som bidrar till allvarliga ordningsstörningar eller brottslig verksamhet eller förbereda rymning eller fritagning. Säkerhetsregistret får enligt 41 § första stycket föras för att samla, bearbeta och analysera information som ger underlag för åtgärder för att upprätthålla säkerheten eller förebygga brott. Registret får innehålla de uppgifter som behövs för det. Enligt andra stycket ska säkerhetsregistret innehålla skälen för registreringen, med särskilt angivande av de omständigheter som ger anledning till ett sådant antagande som avses i 40 §, och upplysning om varifrån uppgifterna kommer och, om det inte är obehövligt, en bedömning av uppgiftslämnarens trovärdighet. I 43 och 44 §§ finns det bestämmelser om direktåtkomst till uppgifter i och utlämnande av uppgifter ur säkerhetsregistret. I 45 § regleras gallring av uppgifter i registret. 13.4.2 Hur bör den framtida regleringen se ut? Både det centrala kriminalvårdsregistret och säkerhetsregistret innehåller uppgifter om ett stort antal registrerade. Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av personliga förhållanden. Det skydd som bestämmelsen ger får endast begränsas genom lag och under vissa förutsättningar (2 kap. 20 och 21 §§ regeringsformen). I förarbetena pekas bl.a. på att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll normalt ska regleras i lag (se prop. 2009/10:80 s. 183). Det kan ifrågasättas om inte de två större register som Kriminalvården för bör regleras i lag, både med hänsyn till antalet registrerade och karaktären av de uppgifter som registreras (jfr Behandling av personuppgifter inom kriminalvården, prop. 2000/01:126, s. 21). Det har inte ingått i utredningens uppdrag att göra en materiell översyn av de författningar som berörs av brottsdatalagen utan enbart att anpassa dem till den lagen. Det har emellertid stått utredningen fritt att ta upp och lämna förslag i närliggande frågor som aktualiseras under utredningsarbetet. Utredningen har lämnat förslag som rör säkerhetsregistret och gör därutöver bedömningen att det finns ett behov av en översyn avseende det centrala kriminalvårdsregistret, en bedömning som delas av Datainspektionen. En sådan översyn kräver dock ytterligare analyser, bl.a. på grund av att regleringen av vilka uppgifter som får föras i registret är svåröverskådlig och att behovet av registrering och informationsutbyte behöver analyseras närmare. Det låter sig inte göras inom ramen för detta lagstiftningsärende. 13.5 Säkerhetsregistret 13.5.1 Reglering i lag Regeringens förslag: Det ska i lagen föreskrivas att Kriminalvården får föra ett säkerhetsregister. I säkerhetsregistret ska personuppgifter få behandlas i syfte att 1. förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straffverkställighet, och 2. säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstalter och i annan verksamhet som Kriminalvården bedriver. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Behandling av personuppgifter i register med många registrerade eller känsligt innehåll regleras inom brottsdatalagens tillämpningsområde huvudsakligen i lag. Säkerhetsregistret innehåller personuppgifter av sådant slag att åtminstone huvuddragen bör regleras i lag. Det bör således av lagen framgå att Kriminalvården får föra ett säkerhetsregister. Syftet med registret bör vara att Kriminalvården ska kunna förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straffverkställighet som Kriminalvården ansvarar för. Uppgifterna i registret bör också kunna användas i syfte att säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstalter och i annan verksamhet som Kriminalvården bedriver. Att även annan verksamhet omfattas är viktigt med tanke på kriminalvårdens frivårdsverksamhet och att fängelsestraff till stor del kan verkställas utanför anstalt. När rätten att föra säkerhetsregistret lagregleras bör också de bestämmelser om registret som i motsvarande fall brukar finnas i lag tas in i kriminalvårdens brottsdatalag. Det gäller bestämmelser om innehållet i registret, sökning på känsliga personuppgifter, vilka som får medges direktåtkomst och hur länge personuppgifterna får behandlas. Vissa detaljer beträffande säkerhetsregistret bör dock alltjämt regleras i förordning. 13.5.2 Registrering av häktade och intagna Regeringens förslag: I säkerhetsregistret ska uppgifter få behandlas om en person som är häktad eller verkställer ett fängelsestraff och som är eller har varit placerad på en säkerhetsavdelning. I registret ska även uppgifter få behandlas om en person som är häktad eller verkställer fängelsestraff, om det finns risk för att han eller hon 1. under häktning eller verkställighet av ett fängelsestraff begår brott som inte är ringa eller utövar brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer, 2. förbereder rymning eller försöker rymma, 3. blir föremål för fritagning, 4. bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt, eller 5. under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot. Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Datainspektionen tillstyrker att de personer som i dag får registreras i säkerhetsregistret även fortsättningsvis ska få registreras. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag En riskbedömning blir avgörande för om registrering i säkerhetsregistret ska få ske Säkerhetsregistret bör i allt väsentligt omfatta uppgifter om samma kategorier av häktade och intagna som i dag. Det bör således inte omfatta uppgifter om alla häktade eller intagna utan enbart de som är häktade eller intagna för de syften som anges i brottsdatalagen och som bedöms medföra särskilda säkerhetsrisker. De personkategorier som i dag anges i 39 och 40 §§ förordningen om behandling av personuppgifter inom kriminalvården kan medföra sådana särskilda risker vid verkställigheten eller för häktesverksamheten att behandling av personuppgifter i säkerhetsregistret är motiverad. Regleringen bör dock moderniseras och göras generell. Regeringen instämmer i utredningens bedömning att regleringen bör utgå från vilka personer som kan medföra säkerhetsrisk under verkställigheten och en bedömning av den risken. Rekvisitet risk förekommer i olika typer av lagstiftning. Det används t.ex. i 4 § lagen (2006:45) om omvandling av fängelse på livstid. Det är också ett centralt rekvisit i 24 kap. 1 § och 25 kap. 1 § rättegångsbalken för när vissa straffprocessuella tvångsmedel får användas. Enligt 23 och 24 a §§ polislagen ska likaså en bedömning av risken för att något inträffar göras. Ett annat exempel är bestämmelsen i 4 kap. 12 § andra stycket utsökningsbalken. Inom Kriminalvården är man van vid att göra olika former av riskbedömningar, se t.ex. 2 kap. 4 §, 10 kap. 1 och 2 §§ och 11 kap. 1-5 §§ fängelselagen (2010:610). Regeringen anser därför att förutsättningen för att registrera någon i säkerhetsregistret som huvudregel ska utgå från en riskbedömning. Häktade och intagna som är eller har varit placerade på säkerhetsavdelning I dag är placering på säkerhetsavdelning enligt 39 § 1 förordningen om behandling av personuppgifter inom kriminalvården en grund för registrering i säkerhetsregistret. Förutsättningarna för placering på säkerhetsavdelning anges i 2 kap. 4 § fängelselagen. Sådan placering förutsätter antingen varaktig risk för rymning eller fritagning och att det kan antas att den intagne är särskilt benägen att fortsätta brottslig verksamhet eller att det finns särskild anledning att anta att placeringen behövs för att hindra den intagne från allvarlig brottslig verksamhet under anstaltsvistelsen. Om omständigheterna är sådana att det finns grund för placering på en säkerhetsavdelning, bör också förutsättningarna för behandling av personuppgifter i säkerhetsregistret vara uppfyllda. Personuppgifter om någon som är häktad eller intagen och är eller har varit placerad på en säkerhetsavdelning bör därför få behandlas i säkerhetsregistret. Risk för brott som inte är ringa eller att brottslig verksamhet utövas Enligt 39 § 2 förordningen om behandling av personuppgifter inom kriminalvården får personuppgifter behandlas i säkerhetsregistret bl.a. om någon under tid i häkte eller under verkställighet gjort sig skyldig till allvarligt hot eller våld mot personal eller andra intagna. Enligt 39 § 3 får uppgifter även behandlas om någon befattat sig med narkotika som inte varit avsedd för eget bruk. Vidare får, enligt 40 §, uppgifter behandlas i säkerhetsregistret om häktade eller intagna om det finns särskild anledning att anta att de under den tid som häktningen eller verkställigheten av fängelsestraffet pågår tillsammans med andra kan komma att utöva allvarlig brottslig verksamhet (punkt 1), göra sig skyldig till vissa särskilda brott (punkt 2) eller delta i nätverk som bidrar till allvarliga ordningsstörningar eller brottslig verksamhet (punkt 4). Med allvarlig brottslighet avses enligt 2 § förordningen om behandling av personuppgifter inom kriminalvården verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver. Enligt regeringens mening bör nuvarande bestämmelser vara utgångspunkten för i vilka fall personer får registreras i säkerhetsregistret. Regleringen bör dock göras mer generell. Det nuvarande kravet att någon ska ha gjort sig skyldig till våld eller hot kan uppfattas som att det krävs en straffrättslig prövning för att personuppgifter ska få behandlas, vilket knappast kan ha varit avsikten. Det bör därför vara tillräckligt att det finns risk för att en häktad eller intagen begår brott, t.ex. utsätter personal eller andra intagna för hot eller våld. Om det finns risk för att personer begår brott på häkte eller under verkställighet av fängelsestraff, bör uppgifter om dem få behandlas i säkerhetsregistret om det är fråga om brott som kan antas påverka vistelsen på häktet eller i anstalten eller annars påverka Kriminalvårdens verksamhet. Det finns andra typer av brott än de som i dag räknas upp i förordningen som kan skapa säkerhetsrisker. Som exempel kan nämnas att brott som rör dopningsmedel kan innebära en minst lika stor risk för säkerheten och ordningen under verkställigheten som brott som rör narkotika. En mer generell reglering ger Kriminalvården bättre förutsättningar att reagera bl.a. mot pågående brott eller brottslig verksamhet. I princip kan alla typer av brott som en häktad eller intagen begår på ett häkte eller under verkställighet i anstalt eller motsvarande innebära risk för att han eller hon begår nya brott i den miljön. Det ter sig dock inte rimligt att ringa brott, t.ex. snatteri eller andra brott som har ett lågt straffvärde, skulle få sådana konsekvenser. Därför bör endast brott som inte är ringa kunna läggas till grund för registrering i säkerhetsregistret. Av samma skäl bör endast risk för utövande av brottslig verksamhet av allvarligare slag kunna föranleda registrering. Begreppet brottslig verksamhet förekommer även i fängelselagen, t.ex. i 2 kap. 4 § som reglerar förutsättningarna för placering i säkerhetsavdelning och 7 kap. 10 § om besök m.m. Med brottslig verksamhet av allvarligare slag avses brott där två års fängelse eller mer ingår i straffskalan. Det motsvarar det krav för registrering som gäller i dag (se 2 § förordningen om behandling av personuppgifter i kriminalvården). Risk för rymning eller fritagning Enligt 39 § 4 förordningen får personuppgifter behandlas i säkerhetsregistret om den som har rymt eller fritagits från häkte eller kriminalvårdsanstalt eller har förberett eller gjort försök till rymning eller fritagning. Enligt 40 § 5 får säkerhetsregistret även omfatta häktade eller intagna om det finns särskild anledning att anta att de under den tid som häktningen eller verkställigheten av fängelsestraffet pågår tillsammans med andra kan komma att förbereda rymning eller fritagning. Dessa kategorier bör liksom i dag kunna registreras. Regleringen bör utgå från risken för att personen rymmer eller blir föremål för fritagning. Har en rymning eller fritagning inträffat får det anses föreligga risk för framtida rymning eller fritagning, om inte omständigheterna talar emot det. Risk för allvarliga ordningsstörningar Enligt 39 § 5 förordningen får personuppgifter registreras om en häktad eller intagen som under tid i häkte eller under verkställighet av ett fängelsestraff misstänks för att ha deltagit i nätverk som bidrar till allvarliga ordningsstörningar eller brottslig verksamhet. Enligt 40 § får säkerhetsregistret även omfatta häktade eller intagna om det finns särskild anledning att anta att de under den tid som häktningen eller verkställigheten av fängelsestraffet pågår tillsammans med andra kan komma att allvarligt störa ordningen inom häktet eller anstalten (punkt 3) eller delta i nätverk som bidrar till allvarliga ordningsstörningar eller brottslig verksamhet (punkt 4). Användningen av uttrycket misstänks i 39 § kan ge intryck av att deltagande i nätverk är kriminaliserat i sig, vilket inte är fallet. Grunden för registrering bör därför uttryckas annorlunda. Regleringen bör utgå från behovet av att förebygga allvarliga ordningsstörningar och annat som kan äventyra säkerheten på häkten och i kriminalvårdsanstalter. Om det finns risk för att en person på något sätt bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt under verkställigheten bör det kunna vara grund för behandling av personuppgifter i säkerhetsregistret. Risk för våld eller hot mot häktade eller intagna I dag har Kriminalvården inte rätt att behandla uppgifter i säkerhetsregistret om häktade eller intagna som inte själva utgör säkerhetsrisker men som riskerar att utsättas för våld eller hot av andra häktade eller intagna. Oftast kan ett hot härledas till andra häktade eller intagna och därmed utgöra en grund för att behandla personuppgifter om dem. Det kan emellertid ibland finnas en allvarlig hotbild mot en häktad eller intagen, samtidigt som det saknas kunskap om vem eller vilka som ligger bakom hotet. Det är då viktigt att Kriminalvården kan ta hänsyn till hotbilden vid placering och transporter, för att undvika att den häktade eller intagne utsätts för brott under verkställigheten. Det kan också ha betydelse för vilka säkerhetsåtgärder och andra åtgärder som krävs för att möta hotet och hur personalen bör dimensioneras vid ett visst tillfälle. Att det finns risk för att en häktad eller intagen utsätts för våld eller hot bör således enligt regeringens mening också kunna utgöra grund för behandling av personuppgifter i säkerhetsregistret. Det följer av 2 kap. 9 § brottsdatalagen att det genom en särskild upplysning ska tydliggöras att personen i fråga inte själv utgör en säkerhetsrisk. 13.5.3 Registrering när det finns risk för att en person utövar våld eller hot Regeringens förslag: I säkerhetsregistret ska uppgifter få behandlas om en person som verkställer en påföljd inom kriminalvården, om det finns risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i kriminalvårdens lokaler. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen, som avstyrker förslaget, saknar en analys av vilka effekter en sådan registrering kan få på den personliga integriteten. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I dag har Kriminalvården ingen rätt att behandla personuppgifter i säkerhetsregistret om andra än häktade och intagna, trots att det kan finnas personer som utgör säkerhetsrisker i Kriminalvårdens övriga verksamhet. Det finns enligt utredningens mening behov av att i vissa fall kunna behandla uppgifter om personer oavsett vilken påföljd de avtjänar dels för att de ska kunna bemötas på rätt sätt, dels för att trygga personalens och andra klienters säkerhet. Även Kriminalvården har lyft den frågan. Myndigheten har i en skrivelse till regeringen daterad den 26 juni 2017, kopplad till frågan om säkerheten i frivården, anfört att frivården kommer i kontakt med personer som är alltmer kriminellt belastade och att det bland frivårdens klienter återfinns de som varit häktade och i anstalt klassats som högriskintagna vad gäller hot och våld (Ju2013/04149/L5). Datainspektionen anför att även om det kan antas att Kriminalvården har ett behov av att registrera dessa personer, saknas det en analys av vilka effekter en sådan registrering kan få på den personliga integriteten. Regeringen instämmer i utredningens bedömning när det gäller behovet av en utvidgning avseende vilka personer som får registreras. I syfte att nå en rimlig avvägning mellan Kriminalvårdens intresse av att få behandla de aktuella uppgifterna och skyddet för den enskildes personliga integritet bör dock, som utredningen föreslår, förutsättningarna för att få behandla uppgifter i säkerhetsregistret på denna grund vara snävare än i övriga fall. Det bör därför krävas att det finns risk för att klienten riktar hot mot eller utövar våld mot eller otillbörlig påverkan på personal, klienter eller andra personer. Regleringen bör täcka angrepp mot både kriminalvårdens personal och andra som befinner sig i kriminalvårdens lokaler. 13.5.4 Registrering av andra Regeringens förslag: Om det är absolut nödvändigt för ändamålet med behandlingen ska uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en registrerad få behandlas i säkerhetsregistret. Om personen inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen anser att det krävs mycket noggranna överväganden för att utvidga registreringen till att omfatta även personer som har en personlig anknytning eller annan nära förbindelse till den som finns registrerad och avstyrker förslaget. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Även den häktades eller intagnes kontakter med omvärlden, t.ex. besök och annan kommunikation, kan vara förknippade med säkerhetsrisker. Utredningen föreslår därför att Kriminalvården bör få behandla uppgifter om vissa andra personer i säkerhetsregistret. Utredningens förslag innebär att registrering av andra personer än häktade och intagna bör kunna avse personer som den registrerade får besök av eller på annat sätt håller kontakt med. Behovet av registrering rör i första hand anhöriga eller andra som har en personlig anknytning till den registrerade. Det är störst risk att intagna försöker påverka närstående att t.ex. medföra otillåtna föremål till häkten eller kriminalvårdsanstalter. Även andra personer som på något sätt har en nära förbindelse med den registrerade kan på motsvarande sätt leda till säkerhetsrisker. Det kan t.ex. vara fråga om personer som har begått brott tillsammans. Det kan även röra sig om personer som tillhör samma kriminella nätverk eller våldsbejakande extremistiska rörelse. Regleringen bör däremot inte omfatta personer som har professionella kontakter med registrerade, exempelvis advokater. Regeringen instämmer i utredningens bedömning avseende behovet av att få behandla uppgifter i säkerhetsregistret i de nu aktuella fallen. I syfte att uppnå en lämplig avvägning mellan Kriminalvårdens behov av uppgifterna och skyddet för den enskildes personliga integritet anser regeringen, i likhet med utredningen, att det bör ställas väsentligt högre krav för registrering på denna grund. Ett grundläggande krav för registrering bör vara att personuppgiftsbehandlingen är absolut nödvändig för ändamålet med behandlingen. Det innebär att bestämmelsen ska tillämpas restriktivt. Det kan exempelvis vara absolut nödvändigt att behandla personuppgifter om någon som försökt arrangera fritagning eller försökt föra in eller har fört in otillåtna föremål på ett häkte eller i en kriminalvårdsanstalt. Det är viktigt att den som tar del av uppgifter i säkerhetsregistret får vetskap om det är den registrerade som utgör säkerhetsrisken eller om registreringen gjorts av något annat skäl. Enligt 2 kap. 9 § brottsdatalagen ska olika personkategorier kunna särskiljas. Det kravet gäller även för dem som registreras i säkerhetsregistret. Den regleringen täcker t.ex. den situationen att en intagen utgör ett hot mot en annan intagen. Den täcker emellertid inte behovet av att kunna skilja ut personer som registreras på grund av deras anknytning till någon som förekommer i säkerhetsregistret. För att det tydligt ska framgå om personerna inte själva är häktade eller verkställer fängelsestraff, utan är personer med anknytning till en sådan person, bör registreringen förses med en särskild upplysning om det. 13.5.5 Sökning i känsliga personuppgifter Regeringens förslag: Sökförbudet i brottsdatalagen ska inte hindra sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Sökförbudet i 2 kap. 14 § brottsdatalagen utgår till skillnad från dagens reglering från syftet med sökningen. Om syftet inte är att få fram ett urval av personer grundat på känsliga personuppgifter är sökningen tillåten, även om känsliga personuppgifter används vid sökningen. Enligt 41 § tredje stycket andra meningen förordningen om behandling av personuppgifter inom kriminalvården får känsliga personuppgifter användas som sökbegrepp för sökning i säkerhetsregistret. Kriminalvården har även i fortsättningen behov av att kunna använda känsliga personuppgifter vid sökning i personuppgifter i säkerhetsregistret. Det bör därför göras undantag i kriminalvårdens brottsdatalag från det generella sökförbudet i brottsdatalagen. För att kunna placera intagna och av hänsyn till de intagnas och personalens säkerhet har Kriminalvården behov av att kunna göra sökning i syfte att få fram urval av personer grundade på de flesta kategorier av känsliga personuppgifter. Det kan dock aldrig finnas behov av att söka på ras, eftersom det inte finns någon vetenskaplig grund för att dela in människor i skilda raser (se prop. 2017/18:232 s. 151 f.). Kriminalvården har inte heller behov av att kunna göra sökning i syfte att få fram ett urval av personer grundat på medlemskap i fackförening eller biometriska eller genetiska uppgifter. Sådana sökningar bör därför inte vara tillåtna. Det innebär att möjligheterna att använda känsliga personuppgifter vid sökning i säkerhetsregistret begränsas i förhållande till vad som gäller i dag. 13.5.6 Direktåtkomst och annat utlämnande Regeringens förslag: Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten ska få medges direktåtkomst till personuppgifter i säkerhetsregistret. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Direktåtkomst till uppgifter i säkerhetsregistret Enligt 44 § förordningen om behandling av personuppgifter inom kriminalvården får rikspolischefen, säkerhetspolischefen och de personer som respektive chef utser ha direktåtkomst till uppgifter om huruvida en person är registrerad i säkerhetsregistret. Polismyndigheten och Säkerhetspolisen får i sin tur lämna ut en sådan uppgift till Åklagarmyndigheten och Ekobrottsmyndigheten, om uppgiften kan antas ha särskild betydelse för en pågående undersökning i myndighetens brottsutredande verksamhet eller för andra brottsbekämpande åtgärder. Det finns ett behov att modernisera bestämmelsen om direktåtkomst till personuppgifter i säkerhetsregistret, bl.a. av det skälet att den detaljreglerar tillgången till uppgifterna och att den även reglerar mottagarens användning. Regeringen instämmer i utredningens bedömning att direktåtkomst bör ges till myndigheter i stället för enskilda befattningshavare. Det bör därför föreskrivas att Polismyndigheten och Säkerhetspolisen får medges direktåtkomst. Även Ekobrottsmyndigheten och Åklagarmyndigheten bör kunna medges direktåtkomst, så att samma krets som i dag även fortsättningsvis får tillgång till uppgifter i registret. Detaljerna kring direktåtkomst kan regleras i förordning. Skälet till att vissa befattningshavare pekas ut i 44 § får antas vara att endast en mycket begränsad krets ska ges tillgång till uppgifter i registret. I 3 kap. 6 § brottsdatalagen föreskrivs att den personuppgiftsansvarige ska se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Det gäller även uppgifter som en myndighet får tillgång till genom direktåtkomst. Som framgår av avsnitt 5.3.10 behövs därför inte längre bestämmelser som begränsar tillgången till uppgifter. Tillgången till personuppgifter i registret för Kriminalvårdens personal bör inte längre regleras genom en bestämmelse om direktåtkomst. Regleringen i 3 kap. 6 § brottsdatalagen är tillräcklig. Kriminalvården kan, förutom att begränsa behörigheten tekniskt, utfärda interna föreskrifter om tillgången om det anses nödvändigt. Någon ytterligare reglering av tillgången till personuppgifter i registret behövs därför inte. Det bör inte heller regleras hur mottagaren får behandla sådana personuppgifter. Det styrs av brottsdatalagen och den mottagande myndighetens registerförfattning. Behovet av en sekretessbrytande bestämmelse Direktåtkomsten till uppgifter i säkerhetsregistret är i dag författningsreglerad. Frågan om det behövs sekretessbrytande bestämmelser för att kunna medge direktåtkomst övervägs normalt innan det införs möjlighet till direktåtkomst. Den frågan berördes emellertid inte i förarbetena till kriminalvårdens registerlagstiftning och förefaller hittills inte ha utgjort något problem. Att vissa bestämmelser om registret nu föreslås flyttas till lag gör dock att frågan om det krävs sekretessbrytande bestämmelser aktualiseras. Utredningen har inte haft utrymme att behandla den frågan. Det kan finnas anledning att återkomma till den frågan vid en översyn av kriminalvårdens registerlagstiftning. 13.5.7 Längsta tid som personuppgifter får behandlas Regeringens förslag: Personuppgifter i säkerhetsregistret ska inte få behandlas längre än fem år efter det att 1. den registrerade blivit villkorligt frigiven från fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte, 2. den registrerade helt har verkställt en påföljd inom kriminalvården, eller 3. den person som en registrerad har personlig anknytning till eller annan nära förbindelse med, har blivit villkorligt frigiven från fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen ska inte gälla vid denna tillämpningen. Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår ingen längsta tid som personuppgifter får behandlas i de fall uppgifter behandlas avseende en person som verkställer en påföljd inom kriminalvården och det finns risk för våld eller hot eller i fall där personuppgifter behandlas avseende en person som har en personlig anknytning till eller annan nära förbindelse med en registrerad. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Enligt 45 § förordningen om behandling av personuppgifter inom kriminalvården ska uppgifter i säkerhetsregistret gallras senast fem år efter det att den registrerade har frigetts från häkte eller blivit frigiven. Om villkorlig frigivning inte har ägt rum ska uppgifterna gallras senast fem år efter att den registrerade helt verkställt fängelsestraffet. En bestämmelse med motsvarande innehåll bör tas in i lagen. Bestämmelsen syftar till att skydda enskildas integritet och är därför inte en gallringsbestämmelse i arkivrättslig mening. Den bör av de skäl som anges i avsnitt 5.5 i stället ange hur länge personuppgifter i registret får behandlas. Utöver utredningens förslag bör det även anges vilken längsta tid som personuppgifter får behandlas i de fall när behandlingen görs med stöd av att det finns risk för att en person utövar våld eller hot eller registrering avseende andra. 13.5.8 Rätt att meddela föreskrifter Regeringens förslag: Regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om innehållet i säkerhetsregistret och utlämnande av personuppgifter ur registret. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för utredningens förslag: Enligt 41 § förordningen om behandling av personuppgifter inom kriminalvården ska säkerhetsregistret innehålla uppgift om bl.a. skälen för registreringen och ytterligare upplysningar om omständigheterna kring registreringen. I 43 och 44 §§ finns bestämmelser om utlämnande av personuppgifter ur registret. Vissa bestämmelser om innehållet i säkerhetsregistret och utlämnande av uppgifter ur registret bör även fortsättningsvis finnas i förordning. Det bör därför framgå av lagen att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter i sådana frågor. 13.6 Bestämmelser som inte längre behöver regleras i kriminalvårdens sektoranpassade registerlagstiftning Regeringens bedömning: Vissa bestämmelser som funnits i lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område behövs inte i kriminalvårdens brottsdatalag. Detta avser bestämmelser om 1. att känsliga personuppgifter inte får användas som sökbegrepp om inte regeringen har föreskrivit det, 2. tillgång till personuppgifter vid direktåtkomst, 3. omprövning av beslut, och 4. överklagande. Det ska införas en bestämmelse som upplyser om att bestämmelser om överklagande finns i brottsdatalagen. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Sökning på känsliga personuppgifter I 2 kap. 14 § brottsdatalagen finns ett generellt förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Mot bakgrund av att brottsdatalagen innehåller ett generellt sökförbud behövs det inte en bestämmelse som motsvarar den i 5 § tredje stycket lagen om behandling av personuppgifter inom kriminalvården om förbud mot att använda känsliga personuppgifter som sökbegrepp i kriminalvårdens brottsdatalag. I avsnitt 13.5.5 föreslås en särskild regel om sökning i säkerhetsregistret. Tillgången till personuppgifter Enligt 3 kap. 6 § brottsdatalagen ska den personuppgiftsansvarige se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Eftersom det finns en bestämmelse i brottsdatalagen som begränsar tillgången till personuppgifter behövs inga sådana bestämmelser i de sektorspecifika registerförfattningarna. Enligt 6 § första stycket lagen om behandling av personuppgifter inom kriminalvården ska direktåtkomst till de personuppgifter som behandlas enligt lagen vara förbehållen de personer som på grund av sina arbetsuppgifter inom kriminalvården behöver tillgång till uppgifterna. Bestämmelsen fyller samma funktion som 3 kap. 6 § brottsdatalagen och en motsvarighet till den bestämmelsen behövs därför inte i kriminalvårdens brottsdatalag. Av 6 § andra stycket lagen om behandling av personuppgifter inom kriminalvården följer att 10 § gäller i fråga om direktåtkomst till uppgifter som får lämnas ut till en annan myndighet. Där föreskrivs att direktåtkomst till personuppgifter ska förbehållas de personer som på grund av sina arbetsuppgifter behöver tillgång till dem. Med hänsyn till regleringen i 3 kap. 6 § brottsdatalagen finns det inte behov av en bestämmelse om tillgången till personuppgifter hos andra behöriga myndigheter i kriminalvårdens brottsdatalag. Omprövning Enligt 13 § lagen om behandling av personuppgifter inom kriminalvården får Kriminalvårdens beslut om rättelse och om information enligt 26 § personuppgiftslagen inte överklagas innan beslutet har omprövats av Kriminalvården. Omprövning får begäras av den som beslutet angår om det har gått honom eller henne emot. Överklagande av ett beslut som inte har omprövats ska enligt 13 § ses som en begäran om omprövning. Vid omprövningen får beslutet inte ändras till den enskildes nackdel. I 14 och 15 §§ anges formkraven för begäran om omprövning och rättidsprövning. Omprövningsförfarandet tillkom i samband med att Kriminalvården blev en myndighet. Syftet var bl.a. att begränsa antalet överklaganden och undvika att måltillströmningen till de allmänna förvaltningsdomstolarna ökade (se prop. 2004/05:176 s. 61 f.). Varken direktivet eller brottsdatalagen ställer krav på att ett beslut ska omprövas innan det får överklagas. I övriga registerförfattningar föreskrivs inte heller något omprövningsförfarande. Det saknas därför anledning att fördröja överklagandena genom krav på omprövning. Omprövningsförfarandet bör därför tas bort. Överklagande I 7 kap. 2 § brottsdatalagen föreskrivs att beslut i fråga om rättelse eller komplettering enligt 4 kap. 9 § första stycket, radering enligt 4 kap. 10 § första stycket eller begränsning av behandlingen enligt 4 kap. 9 § andra stycket eller 10 § andra stycket, som har meddelats av en myndighet i egenskap av personuppgiftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information enligt 4 kap. 3 eller 4 §, att ta ut avgift enligt 4 kap. 12 § andra stycket eller att inte medge omprövning av ett automatiserat beslut enligt 2 kap. 19 § första stycket. Av överklagandebestämmelsen framgår även att det krävs prövningstillstånd vid överklagande till kammarrätten och att beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen och riksdagens ombudsmän inte får överklagas. Eftersom det finns generella bestämmelser om överklagande i brottsdatalagen behövs inte sådana bestämmelser i kriminalvårdens brottsdatalag. Det bör i stället införas en bestämmelse som upplyser om att bestämmelser om överklagande finns i brottsdatalagen. Den särskilda forumbestämmelsen Enligt 14 § lagen (1971:289) om allmänna förvaltningsdomstolar ska beslut överklagas till en förvaltningsrätt, om det i lag eller annan författning föreskrivs att talan ska väckas vid eller beslut överklagas till allmän förvaltningsdomstol. Som huvudregel ska ett beslut överklagas till den förvaltningsrätt inom vars domkrets ärendet först prövats. I 16 § lagen om behandling av personuppgifter inom kriminalvården finns en särskild forumbestämmelse. Kriminalvårdens beslut om rättelse och om information enligt 26 § personuppgiftslagen ska överklagas till den förvaltningsrätt inom vars domkrets den kriminalvårdsanstalt, det häkte eller det frivårdskontor är beläget där den enskilde var inskriven när det första beslutet i ärendet fattades. Beslut som gäller en person som inte är inskriven vid en kriminalvårdsanstalt, ett häkte eller ett frivårdskontor i landet ska överklagas till den förvaltningsrätt som regeringen bestämmer. Enligt 7 d § 2 förordningen (1977:937) om allmänna förvaltningsdomstolars behörighet m.m. ska beslut av Kriminalvården som överklagas till en förvaltningsrätt tas upp av Förvaltningsrätten i Linköping om beslutet gäller en person som inte är inskriven vid en kriminalvårdsanstalt, ett häkte eller ett frivårdskontor i landet och beslutet avser bl.a. ärenden enligt lagen om behandling av personuppgifter inom kriminalvården. Den särskilda forumbestämmelsen tillkom i samband med att Kriminalvården blev en myndighet. Syftet var att så långt möjligt sprida målen över landets samtliga förvaltningsdomstolar (se prop. 2004/05:176 s. 67). Regeringen bedömer att det i dag inte finns något behov av en särskild forumbestämmelse för överklagande av beslut som rör personuppgiftsbehandling. Någon motsvarande bestämmelse finns varken i brottsdatalagen eller i övriga registerförfattningar. Någon sådan forumbestämmelse bör därför inte föras in i kriminalvårdens brottsdatalag. Det innebär att de allmänna bestämmelserna om forum ska tillämpas vid överklagande av beslut som meddelas inom kriminalvården. 14 Register över tillträdesförbud vid idrottsarrangemang 14.1 Nuvarande reglering 14.1.1 Tillträdesförbudsregistret Förutsättningarna för beslut om tillträdesförbud Enligt 1 § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang får en person förbjudas att få tillträde till och vistas på en inhägnad plats som huvudsakligen är avsedd för idrottsutövning när idrottsarrangemang anordnas på platsen av en idrottsorganisation, s.k. tillträdesförbud. Det gäller även om allmänheten har tillträde till platsen. För att en person ska kunna meddelas tillträdesförbud ska det på grund av särskilda omständigheter finnas risk att han eller hon kommer att begå brott under idrottsarrangemang som anordnas av en idrottsorganisation på en inhägnad plats huvudsakligen avsedd för idrottsutövning och att brottet är ägnat att störa ordningen eller säkerheten där. Frågor om tillträdesförbud prövas av åklagare, som kan utfärda tillträdesförbud för viss tid, högst tre år med möjlighet till förlängning. Åklagarens beslut kan prövas av allmän domstol. Den som bryter mot ett tillträdesförbud döms för överträdelse av tillträdesförbud till böter eller fängelse i högst sex månader. Tillträdesförbudsregistrets syfte och innehåll I samband med att reglerna om tillträdesförbud skärptes år 2015 infördes särskilda regler om registrering av sådana förbud. Lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang syftar enligt 1 § till att ge dels Polismyndigheten, dels idrottsorganisationer möjlighet att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut om tillträdesförbud vid idrottsarrangemang. Lagen gäller enligt 4 § utöver personuppgiftslagen. Det innebär att om det inte finns avvikande bestämmelser i lagen eller föreskrifter som har meddelats med stöd av den ska personuppgiftslagen tillämpas. Polismyndigheten för enligt 2 § ett särskilt register, tillträdesförbudsregistret. Det får enligt 8 § endast innehålla de uppgifter om en person som har meddelats tillträdesförbud som behövs för de ändamål för vilka Polismyndigheten får föra registret och som avser namn, personnummer eller samordningsnummer, folkbokföringsadress och annan stadigvarande adress, alias, fotografi, anknytning till idrott och idrottsorganisation, omfattningen och giltighetstiden av beslut om tillträdesförbud, och överträdelse av gällande tillträdesförbud. En uppgift i tillträdesförbudsregistret ska enligt 12 § gallras om uppgiften inte längre behövs för något av de ändamål för vilka Polismyndigheten får behandla personuppgifter enligt lagen. Uppgifterna ska dock gallras senast när tillträdesförbudets giltighetstid löper ut eller om tillträdesförbudet dessförinnan upphävs. 14.1.2 Polismyndighetens roll Enligt 3 § gäller lagen vid Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret. Lagen gäller vid behandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Polismyndigheten är enligt 5 § personuppgiftsansvarig för den personuppgiftsbehandling som myndigheten utför enligt lagen. Polisdatalagen är tillämplig på behandling av personuppgifter som rör tillträdesförbud och som inte utförs i tillträdesförbudsregistret. Polisdatalagen tillämpas således dels i sådana utredningar som ska föregå beslut om tillträdesförbud, dels vid utredning av överträdelser av tillträdesförbud. Polismyndigheten får enligt 6 § behandla personuppgifter i tillträdesförbudsregistret om det behövs för att förebygga, förhindra eller upptäcka överträdelser av tillträdesförbud. Personuppgifter som behandlas enligt 6 § får också behandlas av Polismyndigheten för att dels tillhandahålla idrottsorganisationer den information som behövs för att de ska kunna upprätthålla gällande tillträdesförbud, dels fullgöra myndighetens uppgiftslämnande enligt lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen. Personuppgifter får enligt 10 § lagen om register över tillträdesförbud vid idrottsarrangemang lämnas ut på medium för automatiserad behandling. Enligt 11 § ska tillgången till personuppgifter begränsas till vad den som arbetar vid Polismyndigheten behöver för att kunna fullgöra sina arbetsuppgifter. Polismyndighetens behandling av personuppgifter enligt lagen är åtminstone delvis brottsbekämpande (se Register över tillträdesförbud vid idrottsarrangemang, prop. 2013/14:254 s. 43). 14.1.3 Idrottsorganisationernas roll En idrottsorganisation får enligt 7 § lagen om register över tillträdesförbud vid idrottsarrangemang behandla personuppgifter från tillträdesförbudsregistret om det behövs för att förebygga, förhindra eller upptäcka överträdelser av tillträdesförbud vid ett idrottsarrangemang som organisationen anordnar. En sådan organisation har också enligt 9 § rätt att ta del av uppgifter i tillträdesförbudsregistret trots att det enligt 35 kap. 4 a § offentlighets- och sekretesslagen gäller sekretess för uppgifterna. Tillgången till personuppgifter ska enligt 11 § begränsas till vad den som arbetar eller utför uppdrag åt en idrottsorganisation behöver för att kunna fullgöra arbetsuppgifterna eller uppdraget. En uppgift som en idrottsorganisation har fått tillgång till från tillträdesförbudsregistret ska enligt 13 § tas bort om uppgiften inte längre behövs för de ändamål för vilka idrottsorganisationen får behandla uppgifter. Uppgifterna ska dock tas bort senast när tillträdesförbudets giltighetstid löper ut eller om tillträdesförbudet dessförinnan upphävs. Den som arbetar eller utför uppdrag åt en idrottsorganisation och som tar befattning med en uppgift som har inhämtats med stöd av lagen får enligt 14 § inte obehörigen röja vad han eller hon fått veta om någon enskilds personliga förhållanden. Tystnadsplikten har ett vidare tillämpningsområde och träffar inte bara den som behandlar personuppgifter (se prop. 2013/14:254 s. 25). 14.2 Två olika regleringar Regeringens förslag: Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret ska regleras i polisens brottsdatalag. Lagen om register över tillträdesförbud vid idrottsarrangemang ska i fortsättningen endast reglera idrottsorganisationernas behandling av personuppgifter och benämnas lagen om idrottsorganisationers behandling av uppgifter om tillträdesförbud. Bestämmelserna i lagen som rör Polismyndighetens personuppgiftsbehandling ska upphävas. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Svenska fotbollförbundet och Riksidrottsförbundet tillstyrker förslaget. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Ändrade förutsättningar EU:s dataskyddsreform medför skillnader mellan behandling av personuppgifter som regleras i brottsdatalagen och dataskyddsförordningen. Det får framför allt betydelse för anpassningen av sådana författningar som reglerar personuppgiftsbehandling både inom och utanför brottsdatalagens tillämpningsområde. Hit hör lagen om register över tillträdesförbud vid idrottsarrangemang, eftersom den både reglerar Polismyndighetens och idrottsorganisationernas behandling av personuppgifter. Idrottsorganisationernas behandling av personuppgifter enligt lagen ligger utanför brottsdatalagens tillämpningsområde, eftersom någon myndighetsutövning inte har överlåtits till dem. Det sagda innebär att idrottsorganisationer som utgångspunkt ska tillämpa dataskyddsförordningen med kompletterande lagstiftning vid behandling av personuppgifter som härrör från tillträdesförbudsregistret. Som framgår av Dataskyddsutredningens betänkande finns det inget som hindrar att Sverige i viss utsträckning behåller särreglering även inom dataskyddsförordningens tillämpningsområde (se SOU 2017:39 s. 78 f.). Det finns starka skäl för att behålla den särskilda regleringen av hur idrottsorganisationer får behandla personuppgifter som härrör från tillträdesförbudsregistret. Det rör sig om uppgifter som kan vara integritetskänsliga. Är det fråga om uppgifter om överträdelse av tillträdesförbud avser uppgifterna lagöverträdelser. För att idrottsorganisationerna ska kunna behandla uppgifter om lagöverträdelser i samma utsträckning som i dag krävs det särreglering. Behöriga myndigheters behandling av personuppgifter som rör tillträdesförbud ligger inom brottsdatalagens tillämpningsområde, eftersom den inte bara omfattar brottsbekämpning utan även upprätthållande av allmän ordning och säkerhet. Bestämmelserna om Polismyndighetens personuppgiftsbehandling i tillträdesförbudsregistret behöver därmed anpassas till brottsdatalagen. Bör dagens reglering behållas? Polismyndighetens och idrottsorganisationernas behandling av personuppgifter regleras idag i samma författning. Om samma lagtekniska lösning skulle gälla även fortsättningsvis måste Polismyndighetens personuppgiftsbehandling regleras så att bestämmelserna gäller utöver brottsdatalagen, medan idrottsorganisationernas personuppgiftsbehandling ska förhålla sig till dataskyddsförordningen och den svenska lagstiftning som kompletterar den. Det skulle i och för sig vara möjligt att skapa en sådan reglering, t.ex. genom att dela in lagen i kapitel och låta dem förhålla sig till respektive lagstiftning. Det är emellertid svårt att finna några övertygande skäl för att behålla en gemensam reglering. Varken handläggningsskäl eller effektivitetsskäl talar för det. Lagtekniska skäl talar också mot det, om det går att finna en annan rimlig lösning. För idrottsorganisationerna regleras framför allt hur uppgifter som härrör från tillträdesförbudsregistret får behandlas. Motsvarande regelverk finns normalt inte i de författningar som reglerar myndighetsregister. Även det talar mot att behålla den nuvarande författningsstrukturen. Den nuvarande regleringen bör sammanfattningsvis delas upp på två olika regelverk - ett för Polismyndighetens personuppgiftsbehandling och ett för idrottsorganisationernas personuppgiftsbehandling. Polismyndighetens personuppgiftsbehandling bör regleras i polisens brottsdatalag I dag undantas i 1 kap. 3 § polisdatalagen behandling av personuppgifter i bl.a. tillträdesförbudsregistret från lagens tillämpningsområde. Skälen för det är framför allt att lagen om register över tillträdesförbud vid idrottsarrangemang bara till viss del ansågs kunna hänföras till brottsbekämpning. För att inte fler än en författning skulle vara tillämplig på samma behandling av personuppgifter undantogs behandlingen i registret från polisdatalagens tillämpningsområde (se prop. 2013/14:254 s. 43). Även om lagstiftningen om tillträdesförbudsregistret är relativt ny finns det skäl att på nytt överväga frågan om bestämmelserna om Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret kan föras in i polisens registerförfattning. Det är möjligt att arbeta in bestämmelserna i den nya lagen när den genom dataskyddsreformen får ett bredare tillämpningsområde och även omfattar upprätthållande av allmän ordning och säkerhet. Det tidigare hindret mot att reglera all Polismyndighetens personuppgiftsbehandling i samma författning har därmed undanröjts. En förutsättning för att föra över regleringen till polisens brottsdatalag bör dock vara att tillträdesförbudsregistret alltjämt regleras som ett särskilt register. Om bestämmelserna om Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret upphävs och motsvarande bestämmelser införs i polisens brottsdatalag kan lagen om register över tillträdesförbud vid idrottsarrangemang renodlas till att enbart omfatta idrottsorganisationernas personuppgiftsbehandling, vilket leder till en tydligare reglering Idrottsorganisationernas personuppgiftsbehandling Den som anordnar en offentlig tillställning, exempelvis sporttävlingar, ansvarar enligt 2 kap. 16 § ordningslagen (1993:1617) för att det gäller god ordning vid tillställningen. Polismyndigheten får meddela de villkor som behövs för att upprätthålla ordning och säkerhet vid tillställningen. Ansvaret för att idrottsarrangemang kan anordnas på ett tryggt sätt med hög säkerhet för såväl aktiva som publik vilar alltså i första hand på de arrangerande idrottsorganisationerna (se prop. 2013/14:254 s. 19). Det är också de som ska se till att gällande tillträdesförbud respekteras. Det är av det skälet som idrottsorganisationerna ges tillgång till uppgifter om tillträdesförbud. Att arrangörerna har kännedom om vilka personer som har tillträdesförbud och kan identifiera dem vid inpasseringskontrollen ger möjlighet att hindra att personer med tillträdesförbud släpps in när ett idrottsarrangemang äger rum. Enligt artikel 6.1 c dataskyddsförordningen är personuppgiftsbehandling tillåten om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt artikel 6.1 e är det vidare tillåtet att behandla personuppgifter om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Enligt artikel 6.3 ska den rättsliga grunden för sådan behandling som avses i artikel 6.1 c och 6.1 e fastställas i enlighet med unionsrätten eller nationell rätt. Idrottsorganisationernas uppgift att förebygga och förhindra ordningsstörningar vid idrottsarrangemang genom att se till att utfärdade tillträdesförbud får effekt innebär att idrottsorganisationerna utför en uppgift av allmänt intresse. Som redovisas närmare i förarbetena till lagen om register över tillträdesförbud vid idrottsarrangemang är det då nödvändigt att de kan behandla vissa personuppgifter rörande dem som har meddelats tillträdesförbud. Reglerna om idrottsorganisationernas rätt att behandla vissa personuppgifter i lagen bör därför behållas. Viss anpassning av bestämmelserna kan dock krävas. Idrottsorganisationernas personuppgiftsbehandling bör även fortsättningsvis regleras i lagen om register över tillträdesförbud vid idrottsarrangemang. Om lagen renodlas på det sättet att bestämmelserna om Polismyndighetens behandling av personuppgifter om tillträdesförbud i sin helhet regleras i polisens brottsdatalag bör dock namnet på lagen ändras. Den bör benämnas lagen om idrottsorganisationers behandling av uppgifter om tillträdesförbud. Lagrådet har, i likhet med vad som anförts beträffande myndigheternas sektorspecifika registerförfattningar, förordat att lagen ska upphävas och ersättas av en ny lag (jfr avsnitt 4.4). Den förevarande lagen gäller dock inte inom brottsdatalagens område och till skillnad från vad som gäller för de sektorspecifika registerförfattningarna uppkommer inte någon oklarhet i förhållande till brottsdatalagen genom att lagen behåller sitt gamla SFS-nummer. Lagen genomgår inte heller lika stora förändringar som de sektorspecifika registerförfattningarna. Bestämmelser flyttas visserligen till polisens brottsdatalag men det tillkommer endast en ny paragraf angående lagens förhållande till annan reglering. Vidare görs en paragraf om gallring om till en paragraf om längsta tid för behandling. I övrigt görs inte några ändringar i sak när det gäller idrottsorganisationernas personuppgiftsbehandling (se avsnitt 14.4). Regeringen anser därför i likhet med utredningen att anpassningen till brottsdatalagen kan ske genom en ändringslag och att lagen, till skillnad från de sektorspecifika registerförfattningarna, inte bör upphävas och ersättas av en ny lag. 14.3 Regleringen för Polismyndigheten Regeringens förslag: De nuvarande bestämmelserna om rätten att föra tillträdesförbudsregistret, om för vilka ändamål personuppgifter får behandlas i registret, om dess innehåll, hur länge uppgifterna får behandlas, under vilka förutsättningar de får lämnas ut och om den sekretessbrytande bestämmelsen, ska flyttas till polisens brottsdatalag. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Svenska fotbollförbundet och Riksidrottsförbundet tillstyrker förslaget. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Syftet med Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret är sådant att det ligger inom brottsdatalagens tillämpningsområde. De nuvarande bestämmelserna om Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret bör oförändrade i sak föras över till polisens brottsdatalag. De bör placeras i det kapitel där vissa andra register som myndigheten för särregleras. Härigenom kommer fortsättningsvis all behandling av personuppgifter som Polismyndigheten utför när det gäller tillträdesförbud att regleras i den lagen. Många bestämmelser som i dag reglerar Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret blir emellertid överflödiga om regleringen flyttas till polisens brottsdatalag, eftersom motsvarande bestämmelser redan finns antingen i den lagen eller brottsdatalagen. Det gäller bl.a. bestämmelserna om att behandlingen enligt huvudregeln ska vara automatiserad, om personuppgiftsansvar och om tillgången till personuppgifter. De kan därför upphävas utan att ersättas. Det behövs inte heller någon särskild bestämmelse om rättelse eller skadestånd. De bestämmelser som bör flyttas, och i förekommande fall anpassas, är bestämmelserna om rätten att föra tillträdesförbudsregistret (2 §), för vilka ändamål personuppgifter får behandlas i registret (6 §), dess innehåll (8 §) och hur länge uppgifterna får behandlas (12 §). Någon förändring i sak bör inte göras, men bestämmelserna behöver anpassas till polisens brottsdatalag. Det innebär bl.a. att gallringsbestämmelsen, av de skäl som anges i avsnitt 5.5.2, bör göras om till en bestämmelse om längsta tid för behandling. Även den sekretessbrytande bestämmelsen, som ger idrottsorganisationer rätt att ta del av uppgifter ur registret trots den sekretess som gäller för sådana uppgifter (9 §), bör flyttas. Bestämmelsen, som bör placeras i 2 kap. tillsammans med övriga sekretessbrytande regler, bör inte ändras i sak. Förslagen kräver vissa följdändringar i förordningen (2015:54) om register över tillträdesförbud vid idrottsarrangemang. 14.4 Regleringen för idrottsorganisationerna Regeringens förslag: En bestämmelse som anger hur lagen om idrottsorganisationers behandling av uppgifter om tillträdesförbud förhåller sig till dataskyddsförordningen och kompletterande nationell lagstiftning ska införas. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Svenska fotbollförbundet och Riksidrottsförbundet har tillstyrkt förslaget. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Lagen om register över tillträdesförbud vid idrottsarrangemang gäller i dag utöver personuppgiftslagen. Den hänvisningen bör upphävas eftersom personuppgiftslagen har upphört att gälla. Det bör i stället införas en bestämmelse som upplyser om att lagen kompletterar dataskyddsförordningen och att, om det inte finns särregler i lagen, dataskyddslagen ska gälla vid idrottsorganisationers behandling av uppgifter som rör tillträdesförbud. Hänvisningen till dataskyddsförordningen bör vara dynamisk till sin karaktär, vilket. innebär att den avser förordningen i den vid varje tidpunkt gällande lydelsen. Vidare bör gallringsbestämmelsen göras om till en bestämmelse om längsta tid för behandling. I övrigt kan bestämmelserna om idrottsorganisationers behandling av personuppgifter behållas oförändrade. På grund av att bestämmelserna om Polismyndighetens behandling av personuppgifter bryts ut krävs det omfattande redaktionella ändringar i lagen. 14.5 Följdändringar Regeringens förslag: Hänvisningar till lagen om register över tillträdesförbud vid idrottsarrangemang ska ändras till hänvisningar till lagen om polisens behandling av personuppgifter inom brottsdatalagens område. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Svenska fotbollförbundet och Riksidrottsförbundet har tillstyrkt förslaget. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Sekretessen för uppgifter i tillträdesförbudsregistret Sekretessen för uppgifter i tillträdesförbudsregistret regleras i 35 kap. 4 a § offentlighets- och sekretesslagen. Den gäller i verksamhet som avser förande av register enligt lagen om register över tillträdesförbud vid idrottsarrangemang för uppgift om enskildas personliga förhållanden, om det inte står klart att uppgiften kan röjas utan men för den enskilde eller någon närstående. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. När bestämmelserna om tillträdesförbudsregistret flyttas till polisens brottsdatalag, och regleras i 5 kap. (nuvarande 4 kap. polisdatalagen) tillsammans med vissa andra register, kan det diskuteras om den särskilda sekretessbestämmelsen behövs. Enligt 35 kap. 1 § offentlighets- och sekretesslagen gäller sekretess för bl.a. uppgift om enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i register som Polismyndigheten för enligt 4 kap. polisdatalagen. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. Den särskilda sekretessbestämmelsen för tillträdesförbudsregistret är dock inte identisk med den som gäller för övriga register som nu regleras i 4 kap. polisdatalagen. Skaderekvisitet i 35 kap. 1 § är vidare och omfattar både skada och men. Föremålet för sekretessen skiljer sig också på det sättet att sekretessen i 35 kap. 4 a § enbart skyddar enskilds personliga förhållanden, medan sekretessen i 35 kap. 1 § skyddar enskilds personliga och ekonomiska förhållanden. Mot denna bakgrund bör den särskilda sekretessbestämmelsen för tillträdesförbudsregistret behållas men en hänvisning behöver ändras när regleringen flyttas. Lagen och förordningen om tillträdesförbud vid idrottsarrangemang I 8 a § lagen om tillträdesförbud vid idrottsarrangemang föreskrivs att en polisman eller annan anställd vid Polismyndigheten får fotografera en person som har eller skäligen kan antas få tillträdesförbud enligt lagen, för att fotografiet ska kunna tillföras tillträdesförbudsregistret. Eftersom regleringen av tillträdesförbudsregistret flyttas bör hänvisningen till lagen om register över tillträdesförbud vid idrottsarrangemang ändras. Det krävs även ändringar i förordningen (2005:323) om tillträdesförbud vid idrottsarrangemang. 15 Övriga författningsändringar 15.1 Följdändringar i offentlighets- och sekretesslagen Regeringens förslag: Hänvisningar i offentlighets- och sekretesslagen till de lagar som ersätts av de nya registerförfattningarna ska ändras. Hänvisningen till lagen om polisens allmänna spaningsregister ska upphävas. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Tidningsutgivarna tillstyrker förslaget. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Ett stort antal paragrafer i offentlighets- och sekretesslagen innehåller hänvisningar till en eller flera av de registerförfattningar som ska ersättas av de nya registerförfattningarna. Det gäller 18 kap. 2 och 18 §§, 35 kap. 1 och 10 §§ och 37 kap. 7 §, i vilka polisens, Skatteverkets, Tullverkets, Kustbevakningens och åklagarväsendets registerförfattningar nämns vid namn. Hänvisningarna i dessa paragrafer behöver därför ändras till att i stället avse motsvarande bestämmelser i de nya registerförfattningarna. Vidare bör hänvisningarna i 35 kap. 4 a § och 10 b § ändras med anledning av de ändringar som genomförs beträffande regleringen av tillträdesförbudsregistret. Eftersom lagen om polisens allmänna spaningsregister upphörde att gälla den 1 mars 2017, utan att ersättas av någon annan lag, fyller hänvisningen till den lagen inte längre någon funktion. Hänvisningen bör därför upphävas. När det gäller personuppgiftsbehandlingen vid Säkerhetspolisen ska regleringen i 6 kap. polisdatalagen fortsätta att gälla för myndigheten under en övergångsperiod i avvaktan på att en ny reglering för Säkerhetspolisens personuppgiftsbehandling träder i kraft, se avsnitt 16. Hänvisningarna i 18 kap. 2 och 18 §§ och 35 kap. 1 och 10 §§ offentlighets- och sekretesslagen till den reglering i polisdatalagen som idag gäller för Säkerhetspolisen ska därför stå kvar. 15.2 Lagen om internationellt polisiärt samarbete Regeringens förslag: Lagen om internationellt polisiärt samarbete ska gälla utöver brottsdatalagen. Förhållandet mellan personuppgiftsregleringen i den lagen och personuppgiftsregleringen i andra lagar inom brottsdatalagens tillämpningsområde ska tydliggöras genom en bestämmelse i förstnämnda lag, där också vissa bestämmelser ska anpassas till brottsdatalagens reglering. Bestämmelser i lagen om internationellt polisiärt samarbete som hänvisar till personuppgiftslagen i fråga om skadestånd ska i stället hänvisa till brottsdatalagen. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Anpassningar till brottsdatalagen och registerförfattningarna I lagen om internationellt polisiärt samarbete finns det bestämmelser om informationsutbyte i 6-10 kap. Dessa behöver anpassas till den nya personuppgiftsregleringen i flera olika avseenden. Av 6 kap. 1 § framgår att lagen om internationellt polisiärt samarbete gäller utöver polisdatalagen, kustbevakningsdatalagen och tullbrottsdatalagen. Det innebär att även de generella bestämmelserna i personuppgiftslagen som registerförfattningarna hänvisar till ska tillämpas vid behandling av personuppgifter vid internationellt polisiärt samarbete (se prop. 2010/11:129 s. 47 f). För att samma reglering som i dag ska gälla bör det föreskrivas att lagen om internationellt polisiärt samarbete ska gälla utöver brottsdatalagen. Det innebär att lagen bör tillämpas i den utsträckning den innehåller bestämmelser om personuppgiftsbehandling som avviker från bestämmelserna i brottsdatalagen och de särskilt uppräknade registerförfattningarna. Dessutom måste hänvisningarna till polisdatalagen, kustbevakningsdatalagen och tullbrottsdatalagen ändras till att i stället avse de nya registerförfattningarna som ersätter dessa. Hänvisningar till personuppgiftslagen I 7 kap. 7 §, 8 kap. 3 §, 9 kap. 5 § och 10 kap. 3 § lagen om internationellt polisiärt samarbete finns hänvisningar till personuppgiftslagens bestämmelser om rättelse och skadestånd. Hänvisningarna till bestämmelser om skadestånd bör ändras till att gälla 7 kap. 1 § brottsdatalagen. Eftersom brottsdatalagen innehåller generella bestämmelser om rättelse och lagen om internationellt polisiärt samarbete föreslås gälla utöver brottsdatalagen behövs inga hänvisningar till brottsdatalagens bestämmelser i den delen. I 9 kap. 4 § och 10 kap. 1 § lagen om internationellt polisiärt samarbete finns det hänvisningar till regleringen i 33 och 34 §§ personuppgiftslagen om överföring av personuppgifter till tredjeland. Hänvisningen i 9 kap. 4 § bör ersättas med en hänvisning till bestämmelsen om grundläggande förutsättningar för överföring av personuppgifter i 8 kap. 1 § brottsdatalagen. När det gäller hänvisningen i 10 kap. 1 § är den av en annan karaktär. Den hör samman med att 33 § personuppgiftslagen förbjuder överföring till tredjeland. Eftersom brottsdatalagen har en annan lagteknisk utformning behövs inte någon motsvarande bestämmelse. Den bör därför inte ersättas. Viss anpassning bör också göras i förordningen (2017:504) om internationellt polisiärt samarbete. 15.3 Lagen om Polismyndighetens elimineringsdatabas Regeringens förslag: Lagen om Polismyndighetens elimineringsdatabas ska gälla utöver brottsdatalagen. Bestämmelser som blir överflödiga till följd av det ska upphävas. Bestämmelserna om gallring ska ändras till bestämmelser om längsta tid som personuppgifter får behandlas. Hänvisningen till personuppgiftslagens bestämmelse om skadestånd ska ändras till en hänvisning till brottsdatalagen. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Enligt 2 § lagen (2014:400) om Polismyndighetens elimineringsdatabas gäller lagen utöver personuppgiftslagen. Bestämmelsen bör ändras till att gälla brottsdatalagen. Förslaget att lagen om Polismyndighetens elimineringsdatabas ska gälla utöver brottsdatalagen innebär att 6 § om skyldighet att utse personuppgiftsombud och 7 § om tillgången till personuppgifter inte längre behövs, eftersom det finns en generell reglering om det i brottsdatalagen. De paragraferna bör därför upphävas. Gallringsbestämmelserna i 11 § lagen om Polismyndighetens elimineringsdatabas är dataskyddsbestämmelser och bör därför ändras så att de i stället anger hur länge uppgifterna i registret får behandlas. I 12 § föreskrivs att personuppgiftslagens bestämmelser om rättelse och skadestånd ska tillämpas på motsvarande sätt vid personuppgiftsbehandling enligt lagen om Polismyndighetens elimineringsdatabas eller enligt föreskrifter som har meddelats i anslutning till den. Eftersom lagen föreslås gälla utöver brottsdatalagen behövs det ingen särskild bestämmelse om rättelse. Eftersom personuppgiftslagen är upphävd ska paragrafen ändras så att den i stället hänvisar till brottsdatalagens bestämmelse om skadestånd. Viss anpassning bör också göras i förordningen (2014:405) om Polismyndighetens elimineringsdatabas. 15.4 Lagen om tillsyn över viss brottsbekämpande verksamhet Regeringens förslag: Hänvisningen i lagen om tillsyn över viss brottsbekämpande verksamhet till polisdatalagen ska ändras till att avse brottsdatalagen och polisens brottsdatalag. Hänvisningen till lagen om polisens allmänna spaningsregister ska upphävas. Det ska tydliggöras i lagen att Säkerhets- och integritetsskyddsnämnden har rätt att få tillgång till all information och alla upplysningar som den behöver för sin tillsyn. Nämnden ska kunna vägra utföra kontroll på begäran av en enskild om begäran är orimlig eller uppenbart ogrundad. Utredningens förslag överensstämmer delvis med regeringens. Utredningens förslag utgår från att nämndens tillsyn enbart ska avse Säkerhetspolisens personuppgiftsbehandling enligt förslag i SOU 2016:65. Remissinstanserna: Datainspektionen tillstyrker förslaget om att nämnden ska kunna vägra att utföra en kontroll på begäran av enskild om den är orimlig eller uppenbart ogrundad. Datainspektionen påpekar dock att rätten att vägra en kontroll bör tillämpas restriktivt eftersom den enskilde i övrigt har små möjligheter att få en behandling av personuppgifter kontrollerad. Skälen för regeringens förslag Tillsynsområdet och hänvisningar I 1 § andra stycket lagen om tillsyn över viss brottsbekämpande verksamhet föreskrivs att nämnden ska utöva tillsyn över den behandling av personuppgifter enligt polisdatalagen och lagen om polisens allmänna spaningsregister som utförs av bl.a. Polismyndigheten och Ekobrottsmyndigheten. Tillsynen ska särskilt avse behandlingen av känsliga personuppgifter. Av 1 § tredje stycket framgår att tillsynen ska syfta till att säkerställa att den verksamhet som tillsynen omfattar bedrivs i enlighet med lag eller annan författning. I propositionen Brottsdatalag tar regeringen ställning för att Säkerhets- och integritetsskyddsnämnden ska fortsätta att utöva tillsyn över polisens personuppgiftsbehandling på samma sätt som i dag och inte enbart utöva tillsyn över Säkerhetspolisens personuppgiftsbehandling (prop. 2017/18:232 s. 271). Regeringen har således valt en delvis annan lösning för Säkerhets- och integritetsskyddsnämndens tillsyn än vad utredningen har utgått från. Hänvisningen till polisdatalagen bör ändras för att anpassa lagen till brottsdatalagen och polisens brottsdatalag. Denna hänvisning kommer att medföra en marginell utvidgning av nämndens tillsynsområde, eftersom även behandling i syfte att upprätthålla allmän ordning och säkerhet omfattas av de nämnda lagarnas tillämpningsområde. Hänvisningen till lagen om polisens allmänna spaningsregister bör upphävas av de skäl som angetts under avsnitt 15.1. Undersökningsbefogenheter Enligt 4 § lagen om tillsyn över viss brottsbekämpande verksamhet har nämnden rätt att av de myndigheter som omfattas av tillsynen få de uppgifter och det biträde som den begär. Regleringen omfattar alla uppgifter och handlingar som nämnden bedömer behövs för tillsynen. Biträde kan bestå i att tillsynsobjekten gör lokaler, arkiv och personuppgiftssamlingar tillgängliga för nämnden (se prop. 2006/07:133 s. 68 f. och s. 82). Det är viktigt att nämnden har tillgång till alla de handlingar och uppgifter som kan behövas för att klarlägga de förhållanden som nämnden har tillsyn över. Regleringen bör därför ändras så att det framgår att nämnden har rätt till de uppgifter, upplysningar och information som den behöver för sin tillsyn. En begäran om kontroll bör kunna vägras Enligt 3 § lagen om tillsyn över viss brottsbekämpande verksamhet är nämnden skyldig att på begäran av en enskild kontrollera om han eller hon har utsatts för hemliga tvångsmedel eller viss behandling av personuppgifter och om detta har skett i enlighet med lag eller annan författning. Enskild ska enligt förarbetena tolkas så att kontroll kan begäras av antingen en fysisk eller en juridisk person (se prop. 2006/07:133 s. 81). Den enskilde ska underrättas om att kontrollen har utförts. Kontroller på begäran av enskilda fyller en viktig funktion. De kan dock vara mycket resurskrävande för tillsynsmyndigheten. Mot den bakgrunden har 5 kap. 3 § brottsdatalagen utformats på ett annat sätt än tidigare reglering. Enligt den bestämmelsen ska en enskild som begär kontroll visa att han eller hon först har begärt information av den personuppgiftsansvarige för att kontrollen ska utföras. Tillsynsmyndigheten får vidare vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad. Frågan är om det är möjligt att begränsa nämndens skyldighet att utföra kontroll på motsvarande sätt. I stora delar av Polismyndighetens verksamhet hindrar sekretess enskilda från att få information om huruvida uppgifter om honom eller henne behandlas. Det kan därför inte göras till en förutsättning för kontroll att en begäran har gjorts hos myndigheten. En enskild kan inte heller känna till vilka behandlingar som utförs. Att ställa upp krav på att en begäran preciseras eller avgränsas på liknande sätt som i brottsdatalagen är därför inte möjligt. Det är då inte heller möjligt att begränsa nämndens skyldighet att utföra kontroll på begäran av enskild på det sätt som görs i brottsdatalagen. I dag har nämnden ingen möjlighet att vägra att utföra kontroll ens om begäran om kontroll är orimlig eller uppenbart ogrundad. Det skulle innebära en viss lättnad om nämnden får stöd för att inte utföra någon kontroll i sådana fall. Som nyss nämnts kan en vägran dock inte grundas på att den enskilde inte har gjort tillräckligt för att själv klarlägga om hans eller hennes personuppgifter behandlas eller om han eller hon varit föremål för hemliga tvångsmedel. Vid tillsynen bör det t.ex. kunna ses som orimligt att utföra upprepade kontroller med korta tidsintervall eller beträffande frågor som redan har kontrollerats av nämnden eller någon annan tillsynsmyndighet. Regeringen föreslår därför att nämnden bör ges möjlighet att vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad. Även om nämnden måste fatta beslut om att vägra utföra kontroll är en sådan ordning mindre resurskrävande för nämnden än att genomföra orimliga eller uppenbart ogrundade kontroller. Enskildas möjlighet att begära kontroll bör inte begränsas utöver det, mot bakgrund av rätten till ett effektivt rättsmedel enligt Europakonventionen (jfr prop. 2006/07:133 s. 64 f. och SOU 2016:65 s. 177 f.). På sätt som Datainspektionen bedömer bör rätten att vägra en kontroll vidare tillämpas restriktivt eftersom den enskilde i övrigt har små möjligheter att få en behandling av personuppgifter kontrollerad. Nämndens avgöranden bör inte kunna överklagas Enligt 6 § lagen om tillsyn över viss brottsbekämpande verksamhet får nämndens avgöranden inte överklagas, vilket hör samman med att dess uttalanden inte är bindande. Det får till följd att den enskilde fritt kan återkomma med begäran om ny kontroll (se prop. 2006/07:133 s. 71). Ett beslut av nämnden om att vägra att utföra kontroll innebär inte heller något hinder för den enskilde att återkomma med en ny begäran. Det finns därför inte skäl att införa någon särskild möjlighet att överklaga ett sådant beslut av nämnden. 15.5 Säkerhetsskyddslagen Regeringens förslag: Hänvisningen i säkerhetsskyddslagen till lagen om polisens allmänna spaningsregister ska upphävas. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: I 12 § säkerhetsskyddslagen (1996:627) finns en hänvisning till lagen om polisens allmänna spaningsregister. Hänvisningen bör upphävas av de skäl som angetts under avsnitt 15.1. 16 Ikraftträdande- och övergångsbestämmelser Regeringens förslag: De nya författningarna och övriga författningsförslag ska träda i kraft den 1 januari 2019. De nuvarande registerförfattningarna ska upphävas. En sanktionsavgift ska inte få tas ut för överträdelse av bestämmelser om personuppgiftsbehandling i registerförfattningarna, om överträdelsen har skett före ikraftträdandet av de nya lagarna. Äldre föreskrifter ska fortfarande gälla för överträdelser som har skett före ikraftträdandet när det gäller kriminalvårdens behandling av personuppgifter. Inom tillämpningsområdet för domstolarnas brottsdatalag ska domstolsdatalagen i lydelsen före den 25 maj 2018 fortfarande gälla för överklagande av beslut som har meddelats före ikraftträdandet. En övergångsbestämmelse till en tidigare ändring av domstolsdatalagen ska upphävas. Polisdatalagen ska fortfarande gälla för Säkerhetspolisens behandling av personuppgifter i frågor som rör nationell säkerhet. Även vissa äldre bestämmelser i offentlighets- och sekretesslagen, säkerhetsskyddslagen och lagen om internationellt polisiärt samarbete ska övergångsvis gälla vid Säkerhetspolisens behandling av personuppgifter enligt polisdatalagen. Kustbevakningsdatalagen ska fortfarande gälla för Kustbevakningens behandling av personuppgifter som inte utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Lagen om tillsyn över viss brottsbekämpande verksamhet ska fortfarande gälla avseende Säkerhets- och integritetsskyddsnämndens tillsyn över Säkerhetspolisens behandling av uppgifter i frågor som rör nationell säkerhet med stöd av polisdatalagen. Den förra lagen ska även gälla i sin äldre lydelse för nämndens tillsyn över annan personuppgiftsbehandling som utförts före ikraftträdandet. Regeringens bedömning: Det behövs inte några övergångsbestämmelser i fråga om ärenden om skadestånd. Utredningens förslag och bedömning överensstämmer delvis med regeringens. Utredningen föreslår att författningarna ska träda i kraft den 1 maj 2018 samt att det ska finnas övergångsbestämmelser som anger att äldre bestämmelser om tillsyn och skadestånd i registerförfattningarna ska fortsätta att gälla. Remissinstanserna yttrar sig inte särskilt över förslagen. Skälen för regeringens förslag och bedömning Ikraftträdande Brottsdatalagen, som genomför dataskyddsdirektivet, träder i kraft den 1 augusti 2018. De nya registerförfattningarna ska gälla utöver brottsdatalagen och bör därför träda i kraft så snart som möjligt efter brottsdatalagens ikraftträdande. Regeringen föreslår mot den bakgrunden att de ska träda i kraft den 1 januari 2019. Övergångsbestämmelser angående sanktioner, skadestånd och tillsyn Enligt ikraftträdande- och övergångsbestämmelserna till brottsdatalagen får sanktionsavgift inte tas ut för överträdelser av bestämmelser om personuppgiftsbehandling som har skett före ikraftträdandet. Äldre föreskrifter ska dock fortsätta att gälla för överträdelser som har skett före ikraftträdandet (se prop. 2017/18:232 s. 426). Vissa överträdelser av bestämmelser i registerförfattningarna ska också kunna leda till att sanktionsavgift tas ut (se avsnitt 5.4.2). Det behövs därför motsvarande övergångsbestämmelser angående sanktionsavgifter i registerförfattningarna. Det är dock endast för Kriminalvårdens personuppgiftsbehandling som straffbestämmelsen i 49 § personuppgiftslagen gäller idag. Det är därför bara till kriminalvårdens brottsdatalag som det behövs en särskild övergångsbestämmelse som anger att äldre föreskrifter ska fortsätta att tillämpas på överträdelser som har skett före ikraftträdandet. Utredningen föreslår även övergångsbestämmelser som anger att äldre föreskrifter om skadestånd fortfarande ska gälla i vissa situationer. Det har dock i tidigare lagstiftningsärenden ansetts att det saknas ett egentligt behov av sådana övergångsbestämmelser (se t.ex. prop. 2017/18:105 s. 176). Regeringen gör inte nu någon annan bedömning. Utredningens förslag i dessa delar bör därför inte genomföras. Det krävs övergångsbestämmelser såvitt avser Säkerhets- och integritetsskyddsnämndens tillsyn över Säkerhetspolisen och Polismyndigheten för att nämnden ska kunna granska personuppgiftsbehandling som utförts före ikraftträdandet av polisens brottsdatalag. Övergångsbestämmelser för domstolarna Genom lagen (2018:250) om ändring i domstolsdatalagen anpassas den lagen till dataskyddsförordningen. Lagändringarna trädde i kraft den 25 maj 2018. Enligt punkt 3 i ikraftträdande- och övergångsbestämmelserna till lagändringen gäller äldre föreskrifter fortfarande vid sådan behandling av personuppgifter som avses i artikel 2.2 d i dataskyddsförordningen, dvs. personuppgiftsbehandling som regleras i dataskyddsdirektivet (prop. 2017/18:113 s. 49 f.). Bakgrunden till bestämmelsen är att de nya reglerna i domstolsdatalagen är anpassade till dataskyddsförordningen och därför inte bör gälla på direktivets område. Sådan behandling av personuppgifter som regleras i direktivet kommer att omfattas av domstolarnas brottsdatalag. Övergångsbestämmelsen bör upphävas eftersom det saknas behov av den när den nya lagen träder i kraft. Den nya lagen för domstolarna föreslås gälla för domstolarnas behandling av personuppgifter inom brottsdatalagens tillämpningsområde. Som framgår ovan gäller domstolsdatalagen i lydelsen före den 25 maj 2018 för sådan behandling till dess att den nya lagen träder i kraft. När det gäller överklagande av beslut som har meddelats före den 1 januari 2019 bör en särskild övergångsbestämmelse införas som innebär de besluten överklagas enligt bestämmelserna i domstolsdatalagen i den äldre lydelsen. Övergångsbestämmelser för Säkerhetspolisen Säkerhetspolisens personuppgiftsbehandling på området för nationell säkerhet ska inte regleras i polisens brottsdatalag. I SOU 2017:74 föreslås en anpassad lagstiftning om Säkerhetspolisens behandling av personuppgifter. Förslaget har remitterats och bereds för närvarande i Regeringskansliet. I avvaktan på att förslaget bereds behöver polisdatalagen gälla för Säkerhetspolisens behandling av uppgifter som rör nationell säkerhet, varför en övergångsbestämmelse av den innebörden bör införas. Bestämmelsen ska upphävas i samband med att den nya regleringen om behandling av personuppgifter i Säkerhetspolisens verksamhet träder i kraft. Vidare krävs att vissa bestämmelser i offentlighets- och sekretesslagen, säkerhetsskyddslagen och lagen om internationellt polisiärt samarbete övergångsvis fortsätter att gälla vid Säkerhetspolisens behandling av personuppgifter. Innebörden av bestämmelserna ska vara att det under övergångsperioden inte sker någon ändring av Säkerhetspolisens möjligheter att behandla personuppgifter. För att Säkerhets- och integritetsskyddsnämnden även fortsättningsvis ska kunna utöva tillsyn över Säkerhetspolisens personuppgiftsbehandling i frågor som gäller nationell säkerhet krävs också att äldre föreskrifter i lagen om tillsyn över viss brottsbekämpande verksamhet övergångsvis fortsätter att gälla. Övergångsbestämmelse till lagen om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område I Ds 2017:58 föreslås en ny lag med en anpassad dataskyddsreglering för Kustbevakningen på dataskyddsförordningens område. Förslaget har remitterats och bereds för närvarande i Regeringskansliet. I avvaktan på att förslaget bereds behöver kustbevakningsdatalagen gälla för Kustbevakningens personuppgiftsbehandling på förordningens område. En övergångsbestämmelse med den innebörden bör därför införas. Bestämmelsen ska upphävas i samband med att den nya regleringen för Kustbevakningen på dataskyddsförordningens område träder i kraft. 17 Konsekvenser 17.1 Allmänt om konsekvenserna 17.1.1 Nya registerförfattningar Regeringens bedömning: De nya registerförfattningarna medför inga andra konsekvenser än de som följer av att brottsdatalagen införs och att författningarna därigenom får ett delvis annat tillämpningsområde än tidigare. Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna har inte några synpunkter på utredningens bedömning. Skälen för regeringens bedömning: De nya registerförfattningarna för myndigheterna i rättskedjan får genom anpassningen till brottsdatalagen ett något ändrat innehåll i jämförelse med dagens reglering och reglerar bara personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. Det gäller för Kustbevakningens, åklagarväsendets och Kriminalvårdens författningar. För Polismyndigheten blir också tillämpningsområdet för den nya registerförfattningen ett annat eftersom det utökas till att även omfatta upprätthållande av allmän ordning och säkerhet. För Ekobrottsmyndigheten förtydligas det när myndigheten ska tillämpa Polismyndighetens respektive åklagarväsendets registerförfattningar. Den generella regleringen i brottsdatalagen ersätter till stor del bestämmelser som finns i de nuvarande registerförfattningarna och de nya lagarna blir därför inte lika omfattande som tidigare. Bestämmelser om sanktionsavgift för överträdelser av bestämmelserna i de nya lagarna införs. Vidare ändras terminologin och görs mer enhetlig. Ett annat led i att göra registerförfattningarna mer enhetliga är att genomgående samla vissa bestämmelser, antingen i ett visst kapitel eller inom kapitlen. Bestämmelserna om föreskrifter anpassas också något i den nya regleringen. 17.1.2 En ny lag för domstolarna men inga nya arbetsuppgifter Regeringens bedömning: Den nya lagen för domstolarnas personuppgiftsbehandling innebär inga nya arbetsuppgifter. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna har inte några synpunkter på utredningens bedömning. Skälen för regeringens bedömning: Regleringen i lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område motsvarar i stor utsträckning den reglering som gäller för domstolarna när de ska tillämpa dataskyddsförordningen. Den nya lagen får inte några särskilda konsekvenser, utöver de som hör samman med att domstolarna kommer att tillämpa olika regelverk beroende på för vilket syfte personuppgifterna behandlas. 17.1.3 Modernisering av vissa författningar Regeringens bedömning: Moderniserade och tydliga registerförfattningar leder till att myndigheternas personuppgiftsbehandling förenklas. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Ekobrottsmyndigheten instämmer i att många av förslagen till moderniseringar och förtydliganden bör leda till förenklingar för myndigheten, särskilt med beaktande av att myndigheten får ett tydligare personuppgiftsansvar. Myndigheten vill i sammanhanget peka på konsekvenserna av att det samlade regelverket för personuppgiftshantering föreslås bli omfattande vilket ställer höga krav på rättstillämparen. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens bedömning: Ett av syftena med dataskyddsdirektivet är att underlätta informationsutbytet mellan myndigheter. En naturlig följd av dataskyddsreformen i sin helhet är dock att ett stort antal myndigheter, däribland Ekobrottsmyndigheten, kommer att behöva tillämpa flera olika regelverk och att de därigenom kommer att ställas inför gränsdragningsproblem som ställer särskilda krav på tillämparen. Detta är ofrånkomligt. En förutsättning för ett förenklat informationsutbyte på direktivets område är då att myndigheternas registerförfattningar i vart fall är likartade. I samband med att nödvändiga anpassningar till det nya dataskyddsregelverket genomförs görs myndigheternas nya registerförfattningar därför mer enhetliga. När det gäller regleringen för polisen flyttas dels bestämmelserna om tillträdesförbudsregistret, dels de bestämmelser om personuppgiftsbehandling som i dag finns i polislagen till polisens brottsdatalag. Detta innebär att registerförfattningen blir mer heltäckande. Vidare har vissa bestämmelser om hur gemensamt tillgängliga uppgifter får behandlas setts över så att de blir enklare att tillämpa i praktiken i den nya lagen. Andra bestämmelser, t.ex. de som föreskriver att uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, förtydligas i den nya lagen vad gäller de krav som ställs på behandlingen. Detta gör lagstiftningen mer transparent och lättillämpad. Den moderniserade bestämmelsen om att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt underlättar dessutom elektronisk kommunikation. Motsvarande förändringar görs i de andra myndigheternas nya registerförfattningar i den utsträckningen det är aktuellt. Kriminalvårdens registerlag får en modernare utformning. Regleringen görs mer generell och lättillämpad. Bestämmelserna om säkerhetsregistret lyfts av integritetsskäl upp i lag. Vissa detaljregler förs inte in i den nya lagen och tas bort ur både lagen och förordningen. De särskilda bestämmelserna om överklagande, omprövning och forum som finns i kriminalvårdens registerförfattning idag förs inte heller över till den nya regleringen. 17.2 Ekonomiska konsekvenser Regeringens bedömning: De nya registerförfattningarna medför inga extra kostnader för berörda myndigheter och innebär viss effektivisering som uppväger de ökade utbildningskostnader som den nya regleringen kan kräva. Förslagen medför inga ökade kostnader för kommuner och landsting eller för enskilda. Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Hovrätten för Västra Sverige, Förvaltningsrätten i Linköping, Domstolsverket, Polismyndigheten och Sveriges advokatsamfund bedömer att det inte är rimligt att utgå ifrån att kostnaderna för genomförandet av förslaget kommer att rymmas inom befintliga anslag. Sveriges advokatsamfund har även ifrågasatt slutsatsen om att förslaget inte torde kunna medföra några ekonomiska konsekvenser för enskilda. Domstolsverket framhåller vidare det problematiska i att det inte i något sammanhang görs en samlad bedömning av de konsekvenser som dataskyddsreformen i sin helhet medför. Övriga remissinstanser yttrar sig inte särskilt över bedömningen. Skälen för regeringens bedömning Konsekvenser för staten, kommuner och landsting Polismyndigheten bedömer att förslaget väntas medföra behov av nya strukturer, ny mjukvara och eventuellt ny hårdvara. De ökade kostnader som detta medför kommer enligt Polismyndigheten inte att rymmas inom befintligt anslag. De nya registerförfattningarna innebär emellertid inte några skyldigheter för myndigheterna att inrätta t.ex. nya it-system och det finns därför inte skäl för att generellt förutsätta att sådana kostnader kommer att uppstå. De nya registerförfattningarna medför ändå vissa extra kostnader för berörda myndigheter för exempelvis utbildning men dessa kostnader bedöms kunna rymmas inom befintliga ramar. Förslaget medför också viss effektivisering som till del kan väga upp de ökade kostnaderna. Hovrätten för Västra Sverige bedömer att det torde krävas en inte oväsentlig utbildningsinsats för att utbilda och uppdatera domstolarnas personal. Kostnaderna för utbildning bör emellertid som nämnts rymmas inom befintliga ekonomiska ramar och de nya författningarna kan leda till viss effektivisering som uppväger utbildningskostnaderna. Sammantaget bedöms förändringarna för berörda myndigheter inte bli större än att de kan finansieras inom ramen för befintliga anslag trots det som Hovrätten för Västra Sverige, Förvaltningsrätten i Linköping, Domstolsverket, Polismyndigheten och Sveriges advokatsamfund anför. Domstolsverket anser att det är problematiskt att det inte i något sammanhang görs en samlad bedömning av de konsekvenser som reformen i sin helhet medför. En sådan samlad konsekvensanalys går dock inte att utföra i ett enskilt lagstiftningsärende. Det är dessutom först när samtliga förslag till anpassningar av dessa författningar har lagts fram som det skulle vara möjligt att göra en samlad bedömning. Eftersom författningsförslagen inte berör kommunerna direkt kan anpassningarna inte antas påverka dessa ekonomiskt. Konsekvenser för enskilda Sveriges advokatsamfund anser att de nya regelverken ska uppfattas som att ökade krav ska ställas på skydd för den personliga integriteten och att dessa krav inte kommer att kunna uppfyllas utan sådana åtgärder som medför ekonomiska konsekvenser för bl.a. enskilda. Regeringen har bedömt att förslagen som gäller brottsdatalagens införande inte kan förväntas leda till några sådana kostnadsökningar för enskilda (se prop. 2017/18:232 s. 421) och det finns inte heller anledning att förvänta en sådan effekt av de nya registerförfattningarna på det sätt som Sveriges advokatsamfund anser. 17.3 Konsekvenser för det brottsförebyggande arbetet Regeringens bedömning: Förbättrat dataskydd och moderna författningar ger möjlighet till ökat informationsutbyte mellan brottsbekämpande myndigheter, vilket är positivt för det brottsförebyggande arbetet. Förslagen förväntas inte få några direkta effekter på brottsligheten. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Polismyndigheten framhåller att en reform av den här omfattningen oundvikligen får konsekvenser för polisens kärnverksamhet och att det finns risk för oönskade hämmande effekter på de brottsbekämpande myndigheternas förmåga att fullgöra sina uppdrag då ökade krav på administration och dokumentation innebär att resurser måste omfördelas från den brottsbekämpande verksamheten. Övriga remissinstanser yttrar sig inte särskilt över bedömningen. Skälen för regeringens bedömning: Förslagen kan inte förväntas få några direkta effekter på brottsligheten eftersom det handlar om en administrativ reform. Ett ökat informationsflöde inom Sverige och mellan medlemsstater kan dock få en positiv effekt på det brottsförebyggande arbetet. Dessa bedömningar gäller även med beaktande av vad Polismyndigheten framför i sin kritik. 17.4 Konsekvenser i övrigt Regeringens bedömning: Förslagen förväntas förbättra skyddet för enskildas personliga integritet. De förväntas inte få några andra konsekvenser. Utredningens bedömning överensstämmer i huvudsak med regeringens. Utredningen har inte bedömt förslagens inverkan på enskildas personliga integritet. Remissinstanserna: Kiruna kommun bedömer att förslagen inte kommer att få några negativa konsekvenser för kommunen eller för den enskilde. Kommunen bedömer därutöver att förslagen inte kommer att få några samhällsekonomiska konsekvenser, några konsekvenser för den kommunala självstyrelsen eller konsekvenser för jämställdheten. Övriga remissinstanser yttrar sig inte särskilt över bedömningen. Skälen för regeringens bedömning: Förslagen förväntas stärka integritetsskyddet för enskilda och att ge dem bättre möjligheter att kontrollera hur deras personuppgifter behandlas. Förslagen får inte några samhällsekonomiska konsekvenser eller några konsekvenser för den kommunala självstyrelsen. Förslagen får inte heller några konsekvenser för jämställdheten eller andra sådana konsekvenser som avses i 14 § kommittéförordningen (1998:1474) eller 7 § förordningen (2007:1244) om konsekvensutredning vid regelgivning. 18 Författningskommentar 18.1 Förslaget till lag om polisens behandling av personuppgifter inom brottsdatalagens område I enlighet med Lagrådets synpunkt upphävs polisdatalagen (2010:361) och ersätts av en ny lag om polisens behandling av personuppgifter inom brottsdatalagens område (polisens brottsdatalag). Innehållet i polisens brottsdatalag motsvarar till stora delar innehållet i polisdatalagen. Anpassningen av regelverket till brottsdatalagen innebär dock att omfattande redaktionella och strukturella ändringar görs i förhållande till dagens reglering. Som en anpassning till brottsdatalagen tillkommer ett nytt kapitel om administrativa sanktionsavgifter, skadestånd och överklagande. Vidare flyttas bestämmelserna om behandling av personuppgifter som transportföretag tillhandahåller enligt polislagen (1984:387) och bestämmelserna om Polismyndighetens behandling av personuppgifter i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang till polisens brottsdatalag. Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet ska inte regleras i polisens brottsdatalag. Enligt utredningens förslag ska den behandlingen regleras i en särskild lag. Polisdatalagen gäller dock tills vidare enligt en övergångsbestämmelse för sådan personuppgiftsbehandling. 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § I paragrafen, som inte har någon motsvarighet i polisdatalagen, anges lagens tillämpningsområde. Övervägandena finns i avsnitt 7.2.1. Av första stycket framgår att lagen gäller utöver brottsdatalagen för Polismyndigheten, Ekobrottsmyndigheten och Säkerhetspolisen när någon av dem i egenskap av behörig myndighet enligt den lagen behandlar personuppgifter för vissa syften. Lagen är tillämplig även när svenska myndigheter behandlar personuppgifter inom ramen för det internationella samarbetet, t.ex. i syfte att gagna utländsk brottsbekämpande verksamhet. Att lagen gäller utöver brottsdatalagen innebär att de grundläggande bestämmelserna om hur personuppgifter får behandlas finns i brottsdatalagen. Polisens brottsdatalag innehåller endast preciseringar, undantag eller avvikelser från bestämmelserna i brottsdatalagen. Bestämmelserna i lagen måste följaktligen läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av den regleringen. Av 1 kap. 3 § brottsdatalagen följer att lagen bara gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Uttrycken behörig myndighet, personuppgift och behandling av personuppgifter definieras i 1 kap. 6 § brottsdatalagen. Enligt punkt 1 gäller lagen för Polismyndigheten om personuppgifter behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Vad det närmare innebär utvecklas i kommentaren till 2 kap. 1 §. För Ekobrottsmyndigheten gäller lagen enligt punkt 2 om syftet med personuppgiftsbehandlingen är att utreda brott och det inte är fråga om åklagarverksamhet. I sådan verksamhet gäller i stället åklagarväsendets brottsdatalag (se avsnitt 2.5) Vad som avses med åklagarverksamhet utvecklas i avsnitt 7.2.1. Polisens brottsdatalag ska tillämpas i myndighetens övriga verksamhet för att utreda brott. Att lagen även ska tillämpas i den underrättelseverksamhet som förekommer vid Ekobrottsmyndigheten följer av punkten 1, eftersom det är Polismyndigheten som bedriver den verksamheten. För Säkerhetspolisen gäller lagen enligt punkt 3 enbart när myndigheten agerar som behörig myndighet enligt brottsdatalagen i frågor som inte rör nationell säkerhet och syftet med personuppgiftsbehandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet, eller utreda eller lagföra brott. Det handlar om ett fåtal situationer där Säkerhetspolisen övertar en arbetsuppgift från Polismyndigheten eller där Säkerhetspolisen biträder Polismyndigheten. I andra stycket tydliggörs att det endast är vissa kapitel i lagen som gäller för Ekobrottsmyndigheten och Säkerhetspolisen. Kapitel 5 om särskilda register och kapitel 6 om behandling av personuppgifter vid Polismyndigheten för forensiska ändamål ska bara tillämpas av Polismyndigheten. 2 § I paragrafen, som i huvudsak motsvarar 1 kap. 3 § polisdatalagen, föreskrivs att lagen inte gäller vid behandling av personuppgifter enligt sex uppräknade lagar (se prop. 2009/10:85 s. 307). Dessa lagar innehåller särregler inom brottsdatalagens tillämpningsområde. Övervägandena finns i avsnitt 7.2.1. 3 § Paragrafen, som delvis motsvarar 1 kap. 4 § polisdatalagen, anger hur regleringen i lagen förhåller sig till regleringen i lagen (2017:496) om internationellt polisiärt samarbete och lagen om flygpassageraruppgifter i brottsbekämpningen (se prop. 2016/17:139 s. 112 och prop. 2017/18:234 s. 161). Personuppgiftsansvar 4 § I paragrafen, som delvis motsvarar 2 kap. 4 § och 6 kap. 5 § första stycket polisdatalagen, regleras personuppgiftsansvaret (se prop. 2009/10:85 s. 315 f.). Övervägandena finns i avsnitt 7.2.2. Personuppgiftsansvarig är den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (1 kap. 6 § brottsdatalagen). Personuppgiftsansvarigas skyldigheter regleras i 3 kap. brottsdatalagen. Regleringen i första stycket av Polismyndighetens personuppgiftsansvar följer den terminologi som används i lagen i övrigt. Ansvaret omfattar dels all behandling av personuppgifter enligt lagen vid Polismyndigheten, dels den behandling av personuppgifter som myndigheten utför vid Ekobrottsmyndigheten. Det sistnämnda avser behandling av personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet. Av andra stycket framgår att Ekobrottsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen i syfte att utreda brott. Säkerhetspolisens personuppgiftsansvar, som regleras i tredje stycket, omfattar behandling av personuppgifter som myndigheten utför enligt lagen. Definitioner 5 § Paragrafen, som motsvarar 2 kap. 3 § polisdatalagen, innehåller definitioner av vissa uttryck som används i lagen (se prop. 2009/10:85 s. 314 f.). Behandling av uppgifter om juridiska personer 6 § I paragrafen, som i huvudsak motsvarar 1 kap. 6 § polisdatalagen, anges vilka bestämmelser i lagen och i brottsdatalagen som gäller för behandling av uppgifter om juridiska personer. Övervägandena finns i avsnitt 5.4.1. Lagens uppbyggnad 7 § Paragrafen, som i huvudsak motsvarar 1 kap. 7 § polisdatalagen, anger hur lagen är uppbyggd. Övervägandena finns i avsnitt 7.2.3. Enligt första stycket gäller 1 kap., som innehåller allmänna bestämmelser, för all behandling enligt lagen. I 2 kap. finns det grundläggande bestämmelser om behandling. Det kapitlet gäller också för all behandling enligt lagen, med undantag för behandling enligt 6 kap., som rör Polismyndighetens behandling av personuppgifter för forensiska ändamål. I 4 kap., som reglerar längsta tid för behandling av personuppgifter, finns det också generella regler, men de är inte tillämpliga på behandling i de särskilda register som regleras i 5 kap. De ska inte heller tillämpas vid behandling av personuppgifter i Polismyndighetens forensiska verksamhet, som regleras i 6 kap. Av andra stycket framgår att 3 kap. enbart gäller för uppgifter som görs eller har gjorts gemensamt tillgängliga. I 5 kap. särregleras vissa register. Av tredje stycket framgår att 5 kap. gäller i stället för 3 och 4 kap. I fjärde stycket anges vad som gäller för behandling av personuppgifter i den forensiska verksamheten, som regleras i 6 kap. Då gäller det kapitlet i stället för 2-4 kap. I femte stycket anges att det i 7 kap. finns bestämmelser om administrativa sanktionsavgifter, skadestånd och överklagande. 2 kap. Grundläggande bestämmelser om behandling Rättsliga grunder 1 § Paragrafen, som inte har någon motsvarighet i polisdatalagen, reglerar de tillåtna rättsliga grunderna för behandling av personuppgifter. Övervägandena finns i avsnitt 7.3.1. Paragrafen, som är anpassad till hur de rättsliga grunderna för behandling av personuppgifter anges i brottsdatalagen, gäller i stället för 2 kap. 1 § första stycket brottsdatalagen. Det bör noteras att regleringen i 2 kap. 2 § brottsdatalagen ger myndigheterna rättsligt stöd för att i vissa fall behandla personuppgifter enbart för diarieföring och nödvändig handläggning. Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten. Eftersom lagen tillämpas av flera myndigheter måste bestämmelsen läsas tillsammans med regleringen av tillämpningsområdet i 1 kap. 1 § för att det ska kunna avgöras vilka punkter som är relevanta för respektive myndighet. Personuppgifter får behandlas om det är nödvändigt för att myndigheterna ska kunna utföra vissa uppgifter. Av 2 kap. 1 § andra stycket brottsdatalagen följer att uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften (se vidare prop. 2017/18:232 s. 440). Enligt punkt 1 får personuppgifter behandlas om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet. Det är framför allt underrättelseverksamhet som regleras i punkten. Med det avses arbete med insamling, bearbetning och analys av information i syfte att förhindra eller upptäcka brottslig verksamhet när det ännu inte finns misstankar om att något konkret brott har begåtts (se prop. 2009/10:85 s. 318). Även behandling av överskottsinformation med stöd av 27 kap. 23 a § rättegångsbalken omfattas, om syftet är att förhindra brott. Personuppgiftsbehandling vid Polismyndighetens brottsofferarbete omfattas också. Enligt punkt 2 får personuppgifter behandlas om det är nödvändigt för att utreda eller lagföra brott. Med utreda brott avses framför allt att genomföra förundersökning enligt 23 kap. rättegångsbalken, oavsett om det är Polismyndigheten eller åklagare som leder förundersökningen. Med brott avses konkreta brott, men det kan vara fråga om både brott som bevisligen har begåtts och brott som det enbart finns misstankar om. Misstankarna behöver inte vara riktade mot någon bestämd person. Är det fråga om undersökning av icke konkretiserad brottslig verksamhet tillämpas punkt 1 (se prop. 2009/10:85 s. 318). Även personuppgiftsbehandling inom ramen för den form av förenklat utredningsförfarande som regleras i 23 kap. 22 § rättegångsbalken och personuppgiftsbehandling vid åtgärder som vidtas med stöd av 23 kap. 3 och 8 §§ rättegångsbalken omfattas. Punkten omfattar även annan utredning som görs enligt bestämmelserna i 23 kap. rättegångsbalken (se prop. 2009/10:85 s. 319). Med lagföra brott avses här utfärdande av förelägganden av ordningsbot. I tidigare förarbeten utvecklas närmare vad det innebär (se prop. 2009/10:85 s. 318 f.). Enligt punkt 3 får personuppgifter behandlas om det är nödvändigt för att upprätthålla allmän ordning och säkerhet. Det är endast Polismyndigheten som har sådana uppgifter att personuppgiftsbehandling enligt denna punkt kan bli aktuell. Vilka uppgifter det kan vara fråga om utvecklas i prop. 2017/18:232 s. 431. Personuppgifter får enligt punkt 4 också behandlas om det är nödvändigt för att fullgöra förpliktelser som följer av internationella åtaganden. Behandling enligt denna punkt tar sikte på sådana förpliktelser som syftar till att gagna utländsk brottsbekämpande verksamhet (se prop. 2009/10:85 s. 319). Behandling för nya ändamål 2 § I paragrafen, som inte har någon motsvarighet i polisdatalagen, finns en upplysning om att förutsättningarna för att personuppgifter ska få behandlas för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen. Övervägandena finns i avsnitt 6 och 7.3.1. Innan personuppgifter får behandlas för ett nytt ändamål inom eller utanför brottsdatalagens tillämpningsområde krävs det en prövning enligt 2 kap. 4 eller 22 § brottsdatalagen. Se vidare författningskommentaren till de paragraferna (prop. 2017/18:232 s. 442 f. och 451 f.). Särskilda upplysningar 3 § I paragrafen, som inte har någon motsvarighet i polisdatalagen, begränsas tillämpningen av bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen. Övervägandena finns i avsnitt 5.3.11. Det är endast personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § som i vissa fall ska förses med särskilda upplysningar. Det innebär att när personuppgifter behandlas bara av ett fåtal personer behöver särskilda upplysningar inte lämnas. Personuppgifter som förekommer i de särskilda register som behandlas i 5 kap. behöver inte heller förses med särskilda upplysningar, eftersom dessa personuppgifter inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Känsliga personuppgifter 4 § I paragrafen, som inte har någon motsvarighet i polisdatalagen, regleras när biometriska uppgifter får behandlas. Övervägandena finns i avsnitt 7.3.2. Biometriska uppgifter, som definieras i 1 kap. 6 § brottsdatalagen, är känsliga personuppgifter och får enligt 2 kap. 12 § brottsdatalagen behandlas endast om det är särskilt föreskrivet och om det är absolut nödvändigt för ändamålet med behandlingen. Paragrafen, som är en sådan särskild föreskrift som avses i 2 kap. 12 § brottsdatalagen, möjliggör användning av särskild teknisk behandling för att bekräfta unik identifiering av en person. Det innebär att t.ex. fingeravtryck, ansiktsgeometri, röstigenkänning eller rörelsemönster får användas för att identifiera en person. Biometriska uppgifter får behandlas av Polismyndigheten och Säkerhetspolisen om det är absolut nödvändigt för ändamålet med behandlingen. Det innebär att behovet av att behandla sådana uppgifter måste prövas särskilt noga. Det kan noteras att genetiska uppgifter inte får behandlas av myndigheterna med stöd av förevarande paragraf (jfr 6 kap. 4 §). 5 § I paragrafen, som tillsammans med 6 § reglerar när det är tillåtet att använda känsliga personuppgifter vid sökning, görs det undantag från sökförbudet i 2 kap. 14 § brottsdatalagen. Paragrafen motsvarar i huvudsak 3 kap. 5 § andra stycket polisdatalagen. Övervägandena finns i avsnitt 7.3.3. Undantaget gäller både vid sökning i personuppgifter som har gjorts gemensamt tillgängliga och i personuppgifter som inte har det. Sökförbudet hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott, uppgifter om verkställighet av påföljd eller uppgifter som beskriver en persons utseende används som sökbegrepp, även om det skulle leda till ett urval av personer grundat på känsliga personuppgifter som t.ex. hälsa eller sexuell läggning Med uppgifter som beskriver en persons utseende avses signalementsuppgifter som t.ex. kroppsbyggnad, ansiktsform, hår- och hudfärg, klädsel och fysiska kännetecken som födelsemärken, blindhet och tatueringar (jfr prop. 2011/12:45 s. 124). En sökning på ett fysiskt särdrag kan ge ett urval av personer grundat på uppgifter som rör hälsa. Sökning på t.ex. vissa sexualbrott eller tillvägagångssätt vid brott kan resultera i ett urval av personer grundat på sexualliv eller sexuell läggning. Ett urval av personer grundat på uppgifter om hälsa kan även bli resultatet vid sökning på exempelvis olika vårdpåföljder. Uppgifter om tatueringar kan t.ex. avslöja viss politisk åsikt eller religiös övertygelse. I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sökningen resulterat i får prövas mot huvudregeln om behandling av känsliga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra sökning enligt denna paragraf medför således inte en generell rätt att fortsätta att behandla uppgifterna. 6 § I paragrafen, som tillsammans med 5 § reglerar när det är tillåtet att använda känsliga personuppgifter vid sökning, görs det undantag från sökförbudet i 2 kap. 14 § brottsdatalagen. Paragrafen har inte någon motsvarighet i polisdatalagen. Övervägandena finns i avsnitt 7.3.3. Undantaget gäller enbart vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Det avser dels uppgifter som endast ett fåtal personer har tillgång till och dels uppgifter som finns i de register som behandlas i 5 kap. (t.ex. penningtvättsregistret och internationella registret). Som framgår av 1 kap. 7 § gäller inte 3 kap. för de register som behandlas i 5 kap, varför uppgifter i dessa register inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Sökning i sådana uppgifter får göras i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Sådana sökningar kan aktualiseras bl.a. vid utredning av brott som kan ha etniska, politiska eller religiösa motiv. Sökning kan också vara motiverad för att kartlägga sambandet mellan personer i kriminella nätverk som hålls samman av etniskt ursprung eller personer som begår vissa brott på grund av sin ideologiska övertygelse. Vid vissa brottstyper, exempelvis sexualbrott, kan återfall i brott vara vanligt och motivera att sökning görs som kan avslöja sexualliv eller sexuell läggning vid brott med okänd gärningsman. Rätten att söka på känsliga personuppgifter gäller dock inte sökning på ras. Sökning i genetiska eller biometriska uppgifter är enligt 6 kap. 4 § enbart tillåtet i den forensiska verksamheten. I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sökningen resulterat i får prövas mot huvudregeln om behandling av känsliga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra sökning enligt denna paragraf medför således inte en generell rätt att fortsätta att behandla uppgifterna. Utlämnande av personuppgifter 7 § Paragrafen innehåller sekretessbrytande bestämmelser om utlämnande av personuppgifter till utländska myndigheter och mellanfolkliga organisationer. Den motsvarar i huvudsak 2 kap. 15 § polisdatalagen (se prop. 2009/10:85 s. 329 f.). Sekretessen bryts och personuppgifter får lämnas ut till någon av de mottagare som anges i första stycket om mottagaren behöver dem för att utföra en sådan uppgift som avses i 1 §. Det innebär att möjligheterna till utlämnande utökas något i förhållande till dagens reglering, eftersom lagen även gäller vid upprätthållande av allmän ordning och säkerhet. Vid överföring av personuppgifter till tredjeland ska regleringen i 8 kap. brottsdatalagen också tillämpas. 8 § Genom paragrafen bryts viss sekretess som annars skulle ha gällt gentemot andra brottsbekämpande myndigheter. Den motsvarar i huvudsak 2 kap. 16 § polisdatalagen (se prop. 2009/10:85 s. 330 f.). I förhållande till dagens reglering har Polismyndigheten lagts till i uppräkningen av mottagande myndigheter. Sekretessen bryts om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen. 9 § Paragrafen innehåller en bestämmelse som i fråga om uppgifter i dna-register bryter viss sekretess som annars skulle ha gällt gentemot andra brottsbekämpande myndigheter. Den motsvarar i huvudsak 2 kap. 17 § polisdatalagen (se prop. 2009/10:85 s.331 f.). Sekretessen bryts om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen. 10 § Paragrafen innehåller en bestämmelse som i fråga om uppgifter i fingeravtrycks- och signalementsregister bryter viss sekretess som annars skulle ha gällt gentemot andra brottsbekämpande myndigheter. Den motsvarar i huvudsak 2 kap. 18 § polisdatalagen (se prop. 2009/10:85 s.332). Sekretessen bryts om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen. 11 § Paragrafen innehåller en sekretessbrytande bestämmelse som motsvarar nuvarande 9 § lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang (se prop. 2013/14:254 s. 50). Tillträdesförbudsregistret regleras i 5 kap. 23-26 §§. Övervägandena finns i avsnitt 14.3. 12 § Paragrafen reglerar när personuppgifter får lämnas ut elektroniskt. I första stycket, som delvis motsvarar 2 kap. 20 § polisdatalagen, föreskrivs att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Med sådant utlämnande avses bl.a. utlämnande genom e-post eller annan elektronisk överföring eller på ett usb-minne eller annat motsvarande medium. Övervägandena finns i avsnitt 5.6.4. Det har betydelse vem mottagaren är för frågan om det är olämpligt att lämna ut uppgifter elektroniskt. Som regel kan det inte anses vara olämpligt att lämna ut uppgifter på det sättet till en myndighet (se prop. 2014/15:148 s. 113). När det gäller utlämnande till enskilda krävs en mer nyanserad bedömning. Om det finns en författningsreglerad skyldighet att sända en handling till en viss person får det avgöras om elektroniskt utlämnande är olämpligt med hänsyn till bl.a. innehållet i handlingen, vem som är mottagare, behovet av att kunna visa att personen i fråga har tagit del av handlingen och andra omständigheter. Är det fråga om processmaterial som översänds till parter eller ombud bör även principen om parternas likställdhet i processen beaktas. Frågan om elektroniskt utlämnande till enskilda är särskilt svårbedömd när det på grund av uppgifternas art, struktur, antal eller någon annan särskild omständighet finns anledning att befara att utlämnandet kan leda till integritetsrisker (jfr prop. 2014/15:148 s. 114). Om det kan antas att personuppgifterna kan komma att behandlas i strid med dataskyddsförordningen eller dataskyddslagen om de lämnas ut elektroniskt gäller sekretess enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400). De får då inte lämnas ut till följd av sekretess. Det kan också finnas särskild anledning att iaktta försiktighet när det gäller utlämnande av bild- och ljudupptagningar (jfr prop. 2016/17:68 s. 51 f.). Vid prövningen av om personuppgifter bör lämnas ut elektroniskt bör även informationssäkerheten vägas in. Om någon begär att få tillgång till en allmän handling med stöd av tryckfrihetsförordningen får den utlämnande myndigheten inte efterforska syftet med begäran, vilket kan ha betydelse vid prövningen av om det i ett enskilt fall är lämpligt att lämna ut en handling med personuppgifter elektroniskt. Andra stycket motsvarar 2 kap. 21 § polisdatalagen och innehåller en upplysning om att direktåtkomst endast är tillåten i den utsträckning som anges i lagen. Personuppgifter från transportföretag 13 § Paragrafen, som inte har någon motsvarighet i dagens reglering, reglerar tillsammans med 14 § hur personuppgifter som ett transportföretag tillhandahåller enligt 25 § polislagen får behandlas. Övervägandena finns i avsnitt 7.4.1 och 7.4.2. Regleringen avser uppgifter om ankommande eller avgående transporter av bl.a. passagerare och fordon som transportföretag befordrar till och från Sverige. Det rör sig alltså om bokningsuppgifter i framför allt flyg- och färjetrafik. Transportföretagens skyldighet att tillhandahålla uppgifter regleras fortfarande i polislagen. I lagen om flygpassageraruppgifter i brottsbekämpningen regleras personuppgiftsbehandling som avses i den lagen. Om den lagen eller föreskrifter som regeringen har meddelat i anslutning till lagen innehåller avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag. Detta följer av 1 kap. 3 §. I första stycket tydliggörs att uppgifter från transportföretag endast får behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. Enligt andra stycket får personuppgifter som avses i första stycket bara i enskilda fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen. Ett exempel kan vara att ett brott upptäcks och att uppgifterna behövs för att utreda och lagföra brottet. Det kan också visa sig att vissa av uppgifterna behövs i ett underrättelseärende. Det framgår av 3 kap. 2 § i vilken utsträckning som personuppgifter från transportföretag får göras gemensamt tillgängliga. 14 § I paragrafen anges hur uppgifter från transportföretag som tillhandahålls genom terminalåtkomst får behandlas. Paragrafen motsvarar delvis nuvarande 26 § andra stycket polislagen. Övervägandena finns i avsnitt 7.4.1. Paragrafen reglerar enbart behandling vid terminalåtkomst till personuppgifter hos transportföretag, medan 13 § anger vad som gäller i fråga om personuppgifter som förs över till myndighetens it-system eller behandlas strukturerat på annat sätt. Genom terminalåtkomsten till företagens it-system får polisen tillgång till omfattande överskottsinformation om resande. Myndigheten får inte ändra eller på annat sätt bearbeta uppgifter i sådana system. Syftet med regleringen är att myndigheten inte heller ska kunna föra över en hel sådan uppgiftssamling till sina egna it-system för att bearbeta, ändra och lagra personuppgifterna där. Som framgår av 13 § får uppgifter däremot i enskilda fall behandlas för nya ändamål om förutsättningarna för det är uppfyllda. Rätt att meddela föreskrifter 15 § I paragrafen, där bestämmelser om föreskrifter samlas, finns en upplysning om att regeringen kan meddela föreskrifter om att personuppgifter får lämnas ut i andra fall än som anges i 7-11 §§, vilket motsvarar 2 kap. 19 § första stycket polisdatalagen, och om begränsning av möjligheterna att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. Övervägandena finns i avsnitt 5.6.4. 3 kap. Gemensamt tillgängliga uppgifter Allmän bestämmelse 1 § Av paragrafen, som i huvudsak motsvarar 3 kap. 13 § polisdatalagen, framgår att kapitlet innehåller särskilda bestämmelser om behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Vad som avses med att uppgifter görs gemensamt tillgängliga utvecklas i prop. 2009/10:85 s. 334 f. I första stycket anges att kapitlet bara gäller för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Av andra stycket framgår att kapitlet inte gäller när personuppgifter behandlas med stöd av den särskilda bestämmelsen i 2 kap. 2 § brottsdatalagen om behandling av personuppgifter för diarieföring eller för att utföra andra nödvändiga handläggningsuppgifter. Personuppgifter som får göras gemensamt tillgängliga 2 § I paragrafen, som i huvudsak motsvarar 3 kap. 2 § polisdatalagen, anges vilka personuppgifter som får göras gemensamt tillgängliga (se prop. 2009/10:85 s. 336 f.). Två punkter tillkommer i förhållande till dagens reglering. Övervägandena finns i avsnitt 7.5.1. Enligt punkt 4 får personuppgifter som förekommer i ett ärende om kontaktförbud eller ett ärende om personskydd göras gemensamt tillgängliga. Utöver de uppgifter som registreras i belastningsregistret om den som meddelas kontaktförbud, finns det andra uppgifter som ligger till grund för sådana beslut som kan behöva göras gemensamt tillgängliga. Det kan t.ex. vara fråga om uppgifter om närstående till en person som skyddas av ett kontaktförbud, där det antingen kan vara viktigt att personens adressuppgifter inte röjs i andra sammanhang eller att det finns tillgång till uppgifter om närstående som också kan komma att utsättas för trakasserier eller brott. Genom formuleringen "berörs av" tydliggörs att om t.ex. en person som skyddas av ett kontaktförbud har barn som bor på samma adress och som inte själva skyddas av kontaktförbud, får uppgifter om barnen också göras gemensamt tillgängliga om det behövs för skyddet. Det kan i vissa fall vara viktigt att göra uppgifter om en person som har begärt kontaktförbud gemensamt tillgängliga trots att frågan om kontaktförbud ännu inte är slutligt avgjord, om det finns en akut risk för att personen utsätts för brott. Även i ärenden där underlaget inte har bedömts räcka till för ett kontaktförbud, kan personuppgifter behöva göras gemensamt tillgängliga för att uppmärksamma risken för brott mot personen i fråga. På motsvarande sätt kan uppgifter som förekommer i ärenden om personskydd och om närstående till den som har personskydd i vissa fall behöva göras gemensamt tillgängliga, för att det inom myndigheten ska finnas allmän kännedom om att en viss person är i behov av sådant skydd. Enligt punkt 6 får uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet också göras gemensamt tillgängliga. Det kan t.ex. vara fråga om uppgifter om personer som bedöms kunna utgöra hot mot allmän ordning och säkerhet i samband med ett planerat idrottsarrangemang, en demonstration eller en politisk sammankomst. Sådana uppgifter kan i många fall göras gemensamt tillgängliga med stöd av andra punkter i paragrafen. Denna punkt ger emellertid en generell möjlighet att göra sådana personuppgifter tillgängliga utan någon kontroll av om den som personuppgiften rör är registrerad i underrättelseverksamheten, är misstänkt för brott eller förekommer i något annat sammanhang som ger möjlighet att göra personuppgifterna gemensamt tillgängliga. Särskilda upplysningar 3 § I paragrafen, som delvis motsvarar 3 kap. 3 § polisdatalagen, föreskrivs att personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5 ska förses med en särskild upplysning (se prop. 2009/10:85 s. 339 f.). Övervägandena finns i avsnitt 5.3.4. Att det ska framgå för vilket närmare ändamål personuppgifterna behandlas följer av 2 kap. 3 § brottsdatalagen. 4 § I paragrafen, som i huvudsak motsvarar 3 kap. 4 § polisdatalagen, regleras i vilken utsträckning sådana uppgifter i underrättelseverksamhet som har gjorts gemensamt tillgängliga ska förses med särskilda upplysningar. Övervägandena finns i avsnitt 5.3.4. Enligt första stycket ska det framgå av uppgifter i underrättelseverksamhet att en person inte är misstänkt för att utöva brottslig verksamhet. Det ska alltså gå att skilja mellan personer som är föremål för polisens intresse på grund av inblandning i brottslig verksamhet och personer som inte är misstänkta för det. Enligt andra stycket ska uppgifter om personer som kan antas ha samband med misstänkt brottslig verksamhet eller som övervakas på visst sätt förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Kravet på särskild upplysning gäller bara uppgifter om en person som kan antas ha direkt samband med misstänkt brottslig verksamhet. Sambandet kan t.ex. bestå i att en person ofta träffar eller har annan kontakt med andra personer som är misstänkta för att utöva brottslig verksamhet eller ofta rör sig i miljöer där brottslighet förekommer, utan att ha naturliga skäl att befinna sig där. Uppgifter om den som är anhörig till en person som kan antas ha samband med misstänkt brottslig verksamhet faller utanför, utom i de fall där båda kan antas ha direkt samband med brottslig verksamhet. Det är bara uppgifter som rör en person som är misstänkt för att utöva eller komma att utöva brottslig verksamhet som behöver förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. De uppgifter som är av intresse är, förutom uppgifter om på vilket sätt personen är knuten till den brottsliga verksamheten, framför allt uppgifter som belyser brottslighetens art och omfattning. Uppgifter av det slaget kan behöva förses med särskilda upplysningar för att personens anknytning till brottsligheten ska kunna bedömas. Utrymmet för att underlåta att förse uppgifter med upplysning om trovärdighet och riktighet utökas något i förhållande till dagens reglering genom att det inte längre krävs särskilda omständigheter för att upplysningskravet inte ska gälla. Det är tillräckligt att det på grund av de samlade omständigheterna är onödigt att förse uppgifterna med en upplysning. Sökning 5 § Paragrafen, som i huvudsak motsvarar 3 kap. 6 § polisdatalagen, innehåller en allmän begränsning av vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter på namn, personnummer, samordningsnummer eller liknande identitetsbeteckningar (se prop. 2009/10:85 s. 341 f.). Övervägandena finns i avsnitt 7.5.2. Paragrafen gäller endast vid sökning i automatiserade behandlingssystem. Vad som avses med automatiserade behandlingssystem anges i prop. 2017/18:232 s. 177 f. Endast punkt 7 tillkommer i förhållande till dagens reglering. Enligt den punkten får uppgifter om att en person berörs av ett kontaktförbud eller av åtgärder i ett personskyddsärende tas fram vid sökning. 6 § Paragrafen, som delvis motsvarar 3 kap. 7 § polisdatalagen, innehåller undantag från begränsningarna i 5 §. Övervägandena finns i avsnitt 7.5.2. Enligt första stycket gäller inga begränsningar vid sökning i en viss handling eller i ett visst ärende. Enligt andra stycket gäller begränsningarna i 5 § inte vid vissa sökningar som utförs av särskilt angivna tjänstemän. Det gäller enligt punkt 1, som motsvarar 6 § i polisdataförordningen (2010:1155), när de utför beredningsuppgifter och arbetet befinner sig i ett inledande skede i underrättelseverksamheten. Syftet med bestämmelsen är att tjänstemännen inledningsvis ska ha större möjligheter att göra sökningar för att kunna finna samband mellan nya och befintliga underrättelseuppgifter. Det är således bara under en begränsad tid efter det att uppgifterna kom in som punkten är tillämplig. Så snart beredningsarbetet har avslutats upphör möjligheten att göra sökningar med stöd av den nu aktuella punkten. Enligt punkt 2 är sökningar i syfte att bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga i underrättelseverksamhet eller för övervakningen av en allvarligt kriminellt belastad person tillåtna, om det endast är de tjänstemän som får göra sökningen som också har tillgång till uppgifterna. Enligt punkt 3 gäller inte begränsningarna i 5 § vid sökning i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer. Enligt punkt 4 gäller inte begränsningarna i 5 § vid sökning i syfte att samordna utredningar av brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer. Sådana sökningar kan krävas för att finna samband mellan brott som kan ha begåtts i organiserad form eller i olika delar av landet eller där det annars finns inslag av systematik. Undantaget i tredje stycket innebär att begränsningarna i 5 § inte gäller när en tjänsteman i någon av Polismyndighetens ledningscentraler utför sökning på begäran av en polisman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild. Direktåtkomst 7 § I paragrafen, som delvis motsvarar 3 kap. 8 § polisdatalagen, anges vilka myndigheter som får medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga och för vilka syften (se prop. 2009/10:85 s. 345). Rätt att meddela föreskrifter 8 § I paragrafen, som motsvarar 3 kap. 7 § fjärde stycket polisdatalagen, finns en upplysning om att regeringen kan meddela föreskrifter om ytterligare undantag från bestämmelserna om sökning i 5 §, utöver vad som framgår av 6 §. 9 § I paragrafen finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om begränsning av tillgången till sådana uppgifter som anges i 5 §, vilket motsvarar 3 kap. 6 § andra stycket polisdatalagen, under vilka förutsättningar sökning får utföras med stöd av 6 §, vilket motsvarar 3 kap. 7 § tredje stycket polisdatalagen, och omfattningen av direktåtkomst och om behörighet och säkerhet vid sådan åtkomst, vilket motsvarar 3 kap. 8 § tredje stycket polisdatalagen. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Paragrafen har inte någon motsvarighet i polisdatalagen. Övervägandena finns i avsnitt 5.5.1. I första stycket föreskrivs att bestämmelserna i kapitlet endast gäller för uppgifter som behandlas automatiserat. Andra stycket upplyser om att den grundläggande bestämmelsen om att personuppgifter inte får behandlas längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen finns i 2 kap. 17 § första stycket brottsdatalagen. I paragraferna i detta kapitel anges hur länge vissa typer av personuppgifter får behandlas inom den ram som sätts av denna huvudregel. Oavsett vilken bedömning som görs av nyttan med behandlingen av en viss personuppgift får den inte behandlas längre än vad som anges i respektive paragraf. Tredje stycket innehåller en uppräkning av de bestämmelser om hur länge personuppgifter får behandlas som finns i 5 och 6 kap. Personuppgifter som inte har gjorts gemensamt tillgängliga 2 § I paragrafen, som motsvarar 2 kap. 13 § polisdatalagen, anges hur länge uppgifter som inte har gjorts gemensamt tillgängliga får behandlas. Någon ändring av hur länge sådana personuppgifter får behandlas görs inte (se prop. 2009/10:85 s. 327 f.). Övervägandena finns i avsnitt 5.5.2. I första stycket anges hur länge uppgifterna får behandlas. Enligt andra stycket gäller inte bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen vid tillämpningen av denna paragraf. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av uppgifterna ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att de ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i denna paragraf (jfr 12 §). Tredje stycket klargör att paragrafen inte ska tillämpas på ärenden om utredning av eller lagföring för brott. Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott 3 § Paragrafen, som motsvarar 3 kap. 10 § polisdatalagen, reglerar hur länge personuppgifter i en anmälan om brott får behandlas (se prop. 2009/10:85 s. 346 f.). Övervägandena finns i avsnitt 5.5.3. Enligt paragrafen inskränks enbart behandlingen av personuppgifter för de ändamål som regleras i lagen. Bestämmelserna hindrar alltså inte att uppgifterna får fortsätta att behandlas automatiserat för bl.a. arkivändamål efter de tidpunkter som anges i paragrafen. 4 § Paragrafen, som motsvarar 3 kap. 11 § polisdatalagen, reglerar hur länge personuppgifter i förundersökningar och andra utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångsbalken får behandlas (se prop. 2009/10:85 s. 347 f.). Övervägandena finns i avsnitt 5.5.3. Enligt paragrafen inskränks enbart behandlingen av personuppgifter för de ändamål som regleras i lagen. Bestämmelserna hindrar alltså inte att uppgifterna får fortsätta att behandlas automatiserat för bl.a. arkivändamål efter de tidpunkter som anges i paragrafen. 5 § Paragrafen, som motsvarar 3 kap. 13 § polisdatalagen, reglerar vad som gäller i fråga om personuppgifter som rör någon som har varit misstänkt i en förundersökning som har lagts ner eller där åtal har lagts ner eller frikännande dom har meddelats och fått laga kraft (se prop. 2009/10:85 s. 348 f.). Övriga gemensamt tillgängliga uppgifter 6 § I paragrafen, som delvis motsvarar 3 kap. 14 § polisdatalagen, anges att det i de följande paragraferna finns bestämmelser om hur länge vissa typer av gemensamt tillgängliga uppgifter, som inte förekommer i ärenden om utredning av eller lagföring för brott, får behandlas. Övervägandena finns i avsnitt 5.5.2. I första stycket finns en upplysning om att de aktuella personuppgifterna som längst får behandlas under den tid som anges i 7-11 §§. Enligt andra stycket gäller inte bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkivlagstiftningens företräde vid tillämpningen av 7-11 §§. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av uppgifterna ska upphöra när den tid som anges i 7-11 §§ har löpt ut, vilket innebär att uppgifterna ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i de följande paragraferna (jfr 12 §). 7 § Paragrafen, som i huvudsak motsvarar 3 kap. 14 § andra och sjätte styckena polisdatalagen, reglerar hur länge personuppgifter får behandlas i underrättelseverksamhet (se prop. 2009/10:85 s. 349 f.). Övervägandena finns i avsnitt 7.6. Enligt första stycket får personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 och som behandlas i ett ärende inte behandlas längre än ett år efter det att ärendet avslutades. I andra stycket tydliggörs i förhållande till dagens reglering att fristen för hur länge personuppgifter får behandlas endast ska påverkas av om det görs en ny registrering beträffande personens anknytning till brottslig verksamhet. Andra uppgifter som tillförs, t.ex. uppgifter om ändrade bostadsförhållanden eller annat som inte har betydelse för anknytningen till den brottsliga verksamheten, påverkar alltså inte hur länge personuppgifterna får behandlas. Frågan behandlas i avsnitt 5.5.4. Enligt tredje stycket ska den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning inte räknas med vid beräkningen av de tidsfrister som anges i andra stycket. 8 § Paragrafen, som motsvarar 3 kap. 14 § tredje och sjätte styckena polisdatalagen, reglerar hur länge uppgifter om en person som är föremål för övervakning enligt 3 kap. 2 § första stycket 2 får behandlas (se prop. 2009/10:85 s. 349 f.). 9 § Paragrafen, som inte har någon motsvarighet i polisdatalagen, reglerar hur länge personuppgifter som behandlas i ärenden om kontaktförbud eller personskydd eller som behandlas i syfte att fullgöra internationella åtaganden får behandlas. Övervägandena finns i avsnitt 7.5.1. Personuppgifter i ärenden om kontaktförbud eller personskydd får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades. 10 § Paragrafen reglerar hur länge personuppgifter som har rapporterats till Polismyndighetens ledningscentraler och uppgifter som har gjorts gemensamt tillgängliga i syfte att upprätthålla allmän ordning och säkerhet får behandlas. Den frist som gäller för hur länge uppgifter som har rapporterats till Polismyndighetens ledningscentraler får behandlas, som motsvarar 3 kap. 14 § femte stycket polisdatalagen, ändras inte i förhållande till dagens reglering. Samma frist gäller för personuppgifter som har gjorts gemensamt tillgängliga i syfte att upprätthålla allmän ordning och säkerhet, vilket behandlas i avsnitt 7.5.1. Sådana personuppgifter får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. 11 § I paragrafen, som motsvarar 3 kap. 14 § fjärde stycket polisdatalagen, anges hur länge personuppgifter som behandlas i syfte att fullgöra internationella åtaganden får behandlas. Sådana uppgifter får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Rätt att meddela föreskrifter 12 § I paragrafen, som motsvarar 3 kap. 12 § och 15 § första stycket polisdatalagen, finns en upplysning om att regeringen kan meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom lagens tillämpningsområde under längre tid än vad som anges i 3, 4 eller 7-11 §. En förutsättning för sådana föreskrifter är att de tidsfrister som sätts för behandlingen hålls inom de ramar som ges i 2 kap. 17 § första stycket brottsdatalagen. Övervägandena finns i avsnitt 5.5.3. 13 § I paragrafen finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter dels om att personuppgifter, trots att den tillåtna tiden för behandling har löpt ut, får fortsätta att behandlas för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål, vilket motsvarar 2 kap. 13 § tredje stycket samt 3 kap. 15 § andra stycket polisdatalagen, dels om begränsning av behandlingen av personuppgifter för ändamål inom lagens tillämpningsområde vid digital arkivering, vilket i huvudsak motsvarar 2 kap. 12 § andra stycket. Övervägandena finns i avsnitt 5.5.2 och 5.5.3. 5 kap. Register över dna-profiler Rätten att föra register 1 § Paragrafen, som i huvudsak motsvarar 4 kap. 1 § polisdatalagen, reglerar Polismyndighetens rätt att föra dna-register (dna-registret, utredningsregistret och spårregistret), se prop. 2009/10:85 s. 351 och prop. 2013/14:110 s. 645. Övervägandena finns i avsnitt 7.7.1. I paragrafen anges i vilka syften dna-registren får föras. Någon ändring i sak i förhållande till dagens reglering är inte avsedd. Dna-registret 2 § Paragrafen motsvarar 4 kap. 2 § polisdatalagen (se prop. 2009/10:85 s. 351 f.). 3 § Paragrafen motsvarar 4 kap. 3 § polisdatalagen (se prop. 2009/10:85 s. 352). Utredningsregistret 4 § Paragrafen motsvarar 4 kap. 4 § polisdatalagen (se prop. 2009/10:85 s. 352). Spårregistret 5 § Paragrafen motsvarar 4 kap. 5 § polisdatalagen (se prop. 2009/10:85 s. 352). 6 § Paragrafen motsvarar 4 kap. 6 § polisdatalagen (se prop. 2009/10:85 s. 352 f.). Längsta tid som personuppgifter får behandlas 7 § I paragrafen, som i huvudsak motsvarar 4 kap. 7 § polisdatalagen, anges den längsta tid under vilken uppgifter om en person får behandlas i register över dna-profiler. Någon ändring i fråga om hur länge uppgifterna får behandlas görs inte (se prop. 2009/10:85 s. 353). Övervägandena finns i avsnitt 5.5.2. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen gäller inte vid tillämpningen av denna paragraf. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av uppgifterna ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att de ska tas bort. Prover för dna-analys 8 § Paragrafen motsvarar 4 kap. 8 § polisdatalagen (se prop. 2009/10:85 s. 354). 9 § Paragrafen motsvarar 4 kap. 9 § polisdatalagen (se prop. 2009/10:85 s. 354). Direktåtkomst 10 § I paragrafen, som motsvarar 4 kap. 10 § första stycket polisdatalagen, anges förutsättningarna för att medge direktåtkomst till dna-registren (se prop. 2009/10:85 s. 354 f.). Direktåtkomst får bara medges för ett syfte som anges i 1 kap. 2 § brottsdatalagen. Fingeravtrycks- och signalementsregister Rätten att föra register 11 § Paragrafen, som i huvudsak motsvarar 4 kap. 11 § och 12 § tredje stycket polisdatalagen, reglerar Polismyndighetens rätt att föra fingeravtrycks- och signalementsregister (se prop. 2009/10:85 s. 355 f.). Övervägandena finns i avsnitt 7.7.2. I en uppräkning anges i vilka syften fingeravtrycks- och signalementsregister får föras. Genom ett tillägg, som motsvarar 2 kap. 8 § första stycket punkt 6 polisdatalagen, tydliggörs att registret också får föras för att kontrollera fingeravtryck som Migrationsverket har tagit enligt 9 kap. 8 § utlänningslagen (2005:716). Innehåll i registren 12 § I paragrafen, som motsvarar 4 kap. 12 § första, andra och fjärde styckena polisdatalagen, regleras vilka personer som fingeravtrycks- och signalementsregister får innehålla uppgifter om (se prop. 2009/10:85 s. 355 f.). 13 § Paragrafen, som motsvarar 4 kap. 12 a § polisdatalagen, reglerar behandling av fingeravtrycks- och signalementsuppgifter som överförts till Sverige med stöd av det s.k. Ecris-beslutet (se prop. 2011/12:163 s. 60 f.). 14 § Paragrafen motsvarar 4 kap. 13 § polisdatalagen och anger vilka uppgifter fingeravtrycks- och signalementsregister får innehålla (se prop. 2009/10:85 s. 356). Längsta tid som personuppgifter får behandlas 15 § Paragrafen, som i huvudsak motsvarar 4 kap. 14 § polisdatalagen, anger tillsammans med 16 § den längsta tid under vilken uppgifter om en person får behandlas i fingeravtrycks- och signalementsregister (se prop. 2009/10:85 s. 356 f.). Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkivlagstiftningens företräde gäller inte vid tillämpningen av denna paragraf. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att uppgifterna ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i paragrafen (jfr 27 §). 16 § Paragrafen, som i huvudsak motsvarar 4 kap. 15 § polisdatalagen, anger tillsammans med 15 § den längsta tid under vilken uppgifter om en person får behandlas i fingeravtrycks- och signalementsregister (se prop. 2009/10:85 s. 357). Övervägandena finns i avsnitt 5.5.2. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkivlagstiftningens företräde gäller inte vid tillämpningen av denna paragraf (se kommentaren till 15 §). Direktåtkomst 17 § I paragrafen, som i huvudsak motsvarar 4 kap. 17 § första stycket polisdatalagen, regleras förutsättningarna för att medge direktåtkomst (se prop. 2009/10:85 s. 357 f.). Direktåtkomst får bara medges för ett syfte som anges i 1 kap. 2 § brottsdatalagen. Penningtvättsregister Rätten att föra register 18 § I paragrafen, som motsvarar 4 kap. 18 § första stycket polisdatalagen, regleras Polismyndighetens rätt att föra penningtvättsregister (se prop. 2009/10:85 s. 358 f.). 19 § I paragrafen, som motsvarar 4 kap. 19 § polisdatalagen, regleras vilka personuppgifter som får behandlas i penningtvättsregister (se prop. 2009/10:85 s. 359 f.). Längsta tid som personuppgifter får behandlas 20 § Paragrafen, som i huvudsak motsvarar 4 kap. 20 § första stycket polisdatalagen, anger den längsta tid under vilken uppgifter om en person får behandlas i penningtvättsregister (se prop. 2009/10:85 s. 359 f.). Övervägandena finns i avsnitt 5.5.2 och 5.5.4. Fristen för hur länge personuppgifter får behandlas ska endast påverkas av om det görs en ny registrering beträffande personens anknytning till brottslig verksamhet. Andra uppgifter som tillförs, t.ex. uppgifter om ändrade bostadsförhållanden eller annat som inte har betydelse för anknytningen till den brottsliga verksamheten, påverkar alltså inte hur länge personuppgifterna får behandlas. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkivlagstiftningens företräde gäller inte vid tillämpningen av denna paragraf (se kommentaren till 15 §). Det internationella registret Rätten att föra register 21 § I paragrafen, som motsvarar 4 kap. 21 § första och andra styckena polisdatalagen, regleras Polismyndighetens rätt att föra ett internationellt register (se prop. 2009/10:85 s. 360). Längsta tid som personuppgifter får behandlas 22 § Paragrafen, som i huvudsak motsvarar 4 kap. 22 § första stycket polisdatalagen, anger den längsta tid under vilken uppgifter om en person får behandlas i det internationella registret (se prop. 2009/10:85 s. 361). Övervägandena finns i avsnitt 5.5.2. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkivlagstiftningens företräde gäller inte vid tillämpningen av denna paragraf (se kommentaren till 15 §). Tillträdesförbudsregistret Rätten att föra register 23 § Paragrafen reglerar Polismyndighetens rätt att föra ett särskilt register över tillträdesförbud vid idrottsarrangemang, tillträdesförbudsregistret. Paragrafen motsvarar nuvarande 2 § och 6 § första stycket lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang (se prop. 2013/14:254 s. 45 f.). Övervägandena finns i avsnitt 14.3. Innehåll i registret 24 § Paragrafen, som reglerar vilka uppgifter som tillträdesförbudsregistret får innehålla, motsvarar nuvarande 8 § lagen om register över tillträdesförbud vid idrottsarrangemang (se prop. 2013/14:254 s. 49). Övervägandena finns i avsnitt 14.3. 25 § Paragrafen ger Polismyndigheten rätt att behandla personuppgifter i syfte att tillgodose idrottsorganisationernas behov av att få tillgång till uppgifter om gällande tillträdesförbud. Övervägandena finns i avsnitt 14.3. Paragrafen motsvarar i huvudsak nuvarande 6 § andra stycket lagen om register över tillträdesförbud vid idrottsarrangemang (se prop. 2013/14:254 s. 47 f.). I 2 kap. 11 § finns en sekretessbrytande regel som ger idrottsorganisationer rätt att ta del av nu aktuella uppgifter utan hinder av den sekretess som gäller enligt 35 kap. 4 a § offentlighets- och sekretesslagen (2009:400). Längsta tid som personuppgifter får behandlas 26 § Paragrafen, som anger hur länge uppgifter får behandlas i tillträdesförbudsregistret, motsvarar nuvarande 12 § lagen om register över tillträdesförbud vid idrottsarrangemang (se prop. 2013/14:254 s. 51). Övervägandena finns i avsnitt 14.3. Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkivlagstiftningens företräde gäller inte vid tillämpningen av denna paragraf (se kommentaren till 15 §). Rätt att meddela föreskrifter 27 § I paragrafen, där bestämmelser om föreskrifter samlas, finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om omfattningen av direktåtkomsten till dna-register och fingeravtrycks- och signalementsregister och om behörighet och säkerhet vid direktåtkomst, vilket motsvarar 4 kap. 10 § tredje stycket och 17 § tredje stycket polisdatalagen, tillgången till personuppgifter i penningtvättsregister och det internationella registret, vilket motsvarar 4 kap. 18 § andra stycket och 21 § tredje stycket polisdatalagen och att personuppgifter i fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret och tillträdesförbudsregistret får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål, vilket motsvarar 4 kap. 16 §, 20 § andra stycket och 22 § andra stycket polisdatalagen. 6 kap. Behandling av personuppgifter vid Polismyndigheten för forensiska ändamål Ändamål 1 § Paragrafen motsvarar 5 kap. 1 § polisdatalagen (se prop. 2014/15:94 s. 127 f.). 2 § Paragrafen motsvarar 5 kap. 2 § polisdatalagen (se prop. 2014/15:94 s. 130 f.). 3 § I paragrafen, som i huvudsak motsvarar 5 kap. 3 § polisdatalagen, anges vad som gäller när personuppgifter som behandlas för forensiska ändamål ska behandlas för nya ändamål (se prop. 2014/15:94 s. 131 f.). Övervägandena finns i avsnitt 7.8.3. Enligt första stycket får personuppgifter som behandlas enligt 1 § första stycket 2 eller 5, enligt andra stycket 2 eller enligt 2 § andra stycket behandlas för nya ändamål inom brottsdatalagens tillämpningsområde. Bestämmelsen gäller i de angivna fallen i stället för 2 kap. 4 § brottsdatalagen. I andra stycket anges att personuppgifter som behandlas enligt 1 eller 2 § i ett enskilt fall även får behandlas för nya ändamål med stöd av 2 kap. 4 och 22 §§ brottsdatalagen. Det gäller oavsett om behandlingen sker för nya ändamål inom eller utanför brottsdatalagens tillämpningsområde. Vad prövningen enligt 2 kap. 4 eller 22 § brottsdatalagen innebär utvecklas i prop. 2017/18:232 s. 442 f. och 451 f. Paragrafen har i huvudsak utformats i enlighet med Lagrådets förslag. Känsliga personuppgifter 4 § Paragrafen, som inte har någon motsvarighet i polisdatalagen, anger förutsättningarna för att behandla biometriska och genetiska uppgifter i den forensiska verksamheten. Övervägandena finns i avsnitt 7.8.4. Biometriska respektive genetiska uppgifter definieras i 1 kap. 6 § brottsdatalagen. Sådana uppgifter får behandlas enligt de förutsättningar som anges i 2 kap. 12 § brottsdatalagen. Det innebär att de bara får behandlas om det är särskilt föreskrivet och om det är absolut nödvändigt för ändamålet med behandlingen. Paragrafen är en sådan särskild föreskrift som krävs för att behandling ska vara tillåten. Om material har samlats in på en brottsplats eller annars tagits om hand inom ramen för en brottsutredning och materialet behöver analyseras forensiskt, får det anses vara absolut nödvändigt att behandla personuppgifterna i fråga. 5 § I paragrafen, som inte har någon motsvarighet i polisdatalagen, görs undantag från sökförbudet i 2 kap. 14 § brottsdatalagen. Övervägandena finns i avsnitt 7.8.4. Undantaget innebär att det i forensisk verksamhet är tillåtet att göra sökningar i dna-registren och fingeravtrycks- och signalementsregistren i syfte att få fram ett urval av personer grundat på uppgifter som rör hälsa eller biometriska eller genetiska uppgifter. Dna-registren och fingeravtrycksregistren består till stor del av biometriska uppgifter. Sökning på uppgifter i dessa register leder därmed till urval av personer grundade på biometriska uppgifter. I fingeravtrycksregistren kan det t.ex. behöva göras sökningar för att få fram uppgifter om personer som saknar en eller flera fingrar, vilket förutom att vara en biometrisk uppgift också kan vara en uppgift om hälsa. Längsta tid som personuppgifter får behandlas 6 § Paragrafen, som motsvarar 5 kap. 7 § polisdatalagen, anger den längsta tid under vilken uppgifter om en person får behandlas för forensiska ändamål (se prop. 2014/15:94 s. 134). Utlämnande av personuppgifter 7 § Paragrafen, som i huvudsak motsvarar 5 kap. 8 § polisdatalagen, innehåller en sekretessbrytande bestämmelse (se prop. 2014/15:94 s. 134 f.). 8 § I paragrafen, som delvis motsvarar 5 kap. 4 § 7 och 2 kap. 20 § polisdatalagen föreskrivs att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Övervägandena finns i avsnitt 5.6.4. Vilka omständigheter som kan påverka den bedömningen framgår av kommentaren till 2 kap. 12 §. Rätt att meddela föreskrifter 9 § I paragrafen, som inte har någon motsvarighet i polisdatalagen, finns en upplysning om att regeringen kan meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. Övervägandena finns i avsnitt 5.6.4. 10 § I paragrafen, som inte har någon motsvarighet i polisdatalagen, finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter som begränsar behandlingen av personuppgifter vid digital arkivering. 7 kap. Övriga bestämmelser Administrativa sanktionsavgifter 1 § Paragrafen, som inte har någon motsvarighet i polisdatalagen, reglerar vid vilka överträdelser av bestämmelser i lagen som sanktionsavgift får tas ut. Övervägandena finns i avsnitt 5.4.2. De grundläggande bestämmelserna om hur personuppgifter får behandlas inom brottsdatalagens tillämpningsområde finns i brottsdatalagen. Enligt 6 kap. brottsdatalagen får sanktionsavgift tas ut vid överträdelser av angivna bestämmelser i den lagen. I första stycket anges uttömmande vid vilka överträdelser av polisens brottsdatalag som sanktionsavgift får tas ut av den personuppgiftsansvarige. Tillsynsmyndigheten avgör i det enskilda fallet om det är påkallat att ta ut sanktionsavgift, vilket framgår av formuleringen att avgift får tas ut. Sanktionsavgift kan tas ut för överträdelse av bestämmelserna om tillåtna rättsliga grunder, särskilda upplysningar och längsta tid som personuppgifter får behandlas. Brottsdatalagens förfaranderegler när det gäller sanktionsavgifter tillämpas även vid överträdelser enligt förevarande lag. I andra stycket anges att sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § I paragrafen regleras den registrerades rätt till skadestånd för behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Övervägandena finns i avsnitt 5.4.3. Paragrafen hänvisar till 7 kap. 1 § brottsdatalagen, som ska tillämpas vid behandling av personuppgifter i strid med förevarande lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare författningskommentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.). Överklagande 3 § I paragrafen finns en upplysning om att det i 7 kap. brottsdatalagen finns bestämmelser om överklagande. Exempelvis kommer bestämmelsen i 7 kap. 3 § brottsdatalagen att tillämpas när tillsynsmyndigheten beslutar om sanktionsavgift enligt 1 §. Övervägandena finns i avsnitt 5.4.4. Ikraftträdande- och övergångsbestämmelser Övervägandena angående ikraftträdande- och övergångsbestämmelserna finns i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft. Av punkt 2 framgår att polisdatalagen upphävs genom lagen. En sanktionsavgift får enligt punkt 3 beslutas endast för överträdelser som har skett efter ikraftträdandet. Punkt 4 innebär att 6 kap. polisdatalagen, med de hänvisningar som görs där till andra bestämmelser i polisdatalagen, fortfarande gäller för Säkerhetspolisens behandling av personuppgifter i frågor som rör nationell säkerhet. När dataskyddslagen träder ikraft upphävs personuppgiftslagen (1998:204). Enligt punkt 3 i övergångsbestämmelserna till dataskyddslagen gäller personuppgiftslagen fortfarande i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen. Även de hänvisningar till personuppgiftslagen som finns i polisdatalagen gäller därför fortsatt för Säkerhetspolisens behandling av uppgifter i aktuellt avseende. 18.2 Förslaget till lag om Tullverkets behandling av personuppgifter inom brottsdatalagens område I enlighet med Lagrådets synpunkt upphävs tullbrottsdatalagen (2017:447) och ersätts av en ny lag om Tullverkets behandling av personuppgifter inom brottsdatalagens område (Tullverkets brottsdatalag). Innehållet i Tullverkets brottsdatalag motsvarar till stora delar innehållet i tullbrottsdatalagen. Anpassningen av regelverket till brottsdatalagen innebär dock att omfattande redaktionella och strukturella ändringar görs i förhållande till dagens reglering. Som en anpassning till brottsdatalagen tillkommer ett nytt kapitel om administrativa sanktionsavgifter, skadestånd och överklagande. Vidare flyttas bestämmelserna om Tullverkets behandling av personuppgifter som transportföretag tillhandahåller myndigheten enligt bestämmelser i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen och tullagen (2016:253) till Tullverkets brottsdatalag. 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § I paragrafen, som inte har någon motsvarighet i tullbrottsdatalagen, anges lagens tillämpningsområde. Övervägandena finns i avsnitt 8.2. Lagen gäller utöver brottsdatalagen när Tullverket i egenskap av behörig myndighet enligt den lagen behandlar personuppgifter för vissa syften. Lagen är tillämplig även när Tullverket behandlar personuppgifter inom ramen för det internationella samarbetet, t.ex. i syfte att gagna utländsk brottsbekämpande verksamhet. Att lagen gäller utöver brottsdatalagen innebär att de grundläggande bestämmelserna om hur personuppgifter får behandlas finns i brottsdatalagen. Tullverkets brottsdatalag innehåller endast preciseringar, undantag eller avvikelser från bestämmelserna i brottsdatalagen. Bestämmelserna i lagen måste följaktligen läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av den regleringen. Av 1 kap. 3 § brottsdatalagen följer att lagen bara gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Uttrycken behörig myndighet, personuppgift och behandling av personuppgifter definieras i 1 kap. 6 § brottsdatalagen. Lagen gäller när Tullverket behandlar personuppgifter om syftet med behandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. Vad det innebär utvecklas i kommentaren till 2 kap. 1 §. 2 § Paragrafen, som delvis motsvarar 1 kap. 3 § första och tredje styckena tullbrottsdatalagen, anger hur regleringen i lagen förhåller sig till regleringen i lagen (2017:496) om internationellt polisiärt samarbete samt till lagen om flygpassageraruppgifter i brottsbekämpningen. Sistnämnda hänvisning är en följd av ny lagstiftning. Frågan behandlas i avsnitt 8.2. Personuppgiftsansvar 3 § I paragrafen, som motsvarar 2 kap. 3 § tullbrottsdatalagen, regleras personuppgiftsansvaret (se prop. 2016/17:91 s. 196 f.). Personuppgiftsansvarig är den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (1 kap. 6 § brottsdatalagen). Personuppgiftsansvarigas skyldigheter regleras i 3 kap. brottsdatalagen. Behandling av uppgifter om juridiska personer 4 § I paragrafen, som i huvudsak motsvarar 1 kap. 4 § tullbrottsdatalagen, anges vilka bestämmelser i lagen och i brottsdatalagen som gäller för behandling av uppgifter om juridiska personer. Övervägandena finns i avsnitt 5.4.1. 2 kap. Grundläggande bestämmelser om behandling Rättsliga grunder 1 § Paragrafen, som inte har någon motsvarighet i tullbrottsdatalagen, reglerar de tillåtna rättsliga grunderna för behandling av personuppgifter. Övervägandena finns i avsnitt 6.1, 6.3 och 8.3.1. Paragrafen, som är anpassad till hur de rättsliga grunderna för behandling av personuppgifter anges i brottsdatalagen, gäller i stället för 2 kap. 1 § första stycket brottsdatalagen. Det bör noteras att regleringen i 2 kap. 2 § brottsdatalagen ger myndigheterna rättsligt stöd för att i vissa fall behandla personuppgifter enbart för diarieföring och nödvändig handläggning. Tullverket får behandla personuppgifter om det är nödvändigt för att utföra vissa uppgifter. Av 2 kap. 1 § andra stycket brottsdatalagen följer att uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften (se vidare prop. 2017/18:232 s. 440). Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten. Enligt punkt 1 får personuppgifter behandlas om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet. Det är framför allt Tullverkets underrättelseverksamhet som regleras i punkten. Med det avses arbete med insamling, bearbetning och analys av information i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet när det ännu inte finns konkreta misstankar om att ett visst brott har begåtts (se prop. 2016/17:91 s. 198 f.). Personuppgiftsbehandling i Tullverkets brottsförebyggande arbete som rör införsel av varor, liksom kartläggning och spaning som inte är hänförlig till en förundersökning men utförs i syfte att upptäcka brottslig verksamhet, omfattas också. Behandling av uppgifter om vilka personer som kommer med en viss transport, t.ex. en viss färja, går i stor utsträckning ut på att förebygga, förhindra och upptäcka smuggling av framför allt narkotika genom att studera resmönster, betalningssätt, vilka som reser i sällskap och liknande. När uppslag om kontrollobjekt som är intressanta ur brottsbekämpningssynpunkt vidarebefordras till myndighetens kontrollverksamhet görs det i syfte att förhindra och upptäcka brottslig verksamhet. Viss personuppgiftsbehandling som är nödvändig för att planera kontroller, välja ut kontrollobjekt och utföra begärda kontroller i Tullverkets brottsbekämpande verksamhet ryms därför under punkten. Huruvida personuppgiftsbehandling i samband med kontroller omfattas av lagen avgörs av om kontrollen görs i syfte att upptäcka, förebygga eller förhindra brottslig verksamhet eller inte. Enligt punkt 2 får personuppgifter behandlas om det är nödvändigt för att utreda eller lagföra brott. Att utreda brott innebär framför allt att genomföra förundersökning enligt 23 kap. rättegångsbalken. Med brott avses konkreta brott, men det kan vara fråga om både brott som bevisligen har begåtts och brott som det enbart finns misstankar om. Misstankarna behöver inte vara riktade mot någon bestämd person. Även personuppgiftsbehandling inom ramen för den form av förenklat utredningsförfarande som regleras i 23 kap. 22 § rättegångsbalken och vid åtgärder som vidtas med stöd av 23 kap. 3 och 8 §§ rättegångsbalken omfattas. Med lagföra brott avses här framför allt att utfärda strafförelägganden och förelägganden av ordningsbot. Tullverkets åklagare får även väcka åtal och föra talan vid domstol i vissa typer av mål. Den personuppgiftsbehandling som är nödvändig för dessa åklagaruppgifter har stöd i denna punkt. Personuppgifter får enligt punkt 3 också behandlas om det är nödvändigt för att fullgöra förpliktelser som följer av internationella åtaganden. Behandling enligt denna punkt tar sikte på sådana förpliktelser som syftar till att gagna utländsk brottsbekämpande verksamhet (se prop. 2016/17:91 s. 199). Behandling för nya ändamål 2 § I paragrafen, som inte har någon motsvarighet i tullbrottsdatalagen, finns en upplysning om att förutsättningarna för att personuppgifter ska få behandlas för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen. Övervägandena finns i avsnitt 6 och 8.3.1. Innan personuppgifter får behandlas för ett nytt ändamål inom eller utanför brottsdatalagens tillämpningsområde krävs det en prövning enligt 2 kap. 4 eller 22 § brottsdatalagen. Se vidare författningskommentaren till de paragraferna (prop. 2017/18:232 s. 442 f. och 451 f.). Särskilda upplysningar 3 § I paragrafen, som inte har någon motsvarighet i tullbrottsdatalagen, begränsas tillämpningen av bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen. Övervägandena finns i avsnitt 5.3.4. Det är endast personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § som i vissa fall ska förses med särskilda upplysningar. Det innebär att när personuppgifter behandlas bara av ett fåtal personer behöver särskilda upplysningar inte lämnas. Känsliga personuppgifter 4 § I paragrafen, som inte har någon motsvarighet i tullbrottsdatalagen, regleras när Tullverket får behandla biometriska uppgifter. Övervägandena finns i avsnitt 8.3.2. Biometriska uppgifter, som definieras i 1 kap. 6 § brottsdatalagen, är känsliga personuppgifter och får enligt 2 kap. 12 § brottsdatalagen behandlas endast om det är särskilt föreskrivet och om det är absolut nödvändigt för ändamålet med behandlingen. Bestämmelsen, som är en sådan särskild föreskrift som avses i 2 kap. 12 § brottsdatalagen, möjliggör användning av särskild teknisk behandling för att bekräfta unik identifiering av en person. Regleringen innebär att t.ex. fingeravtryck, ansiktsgeometri, röstigenkänning eller rörelsemönster får användas för att identifiera en person. Biometriska uppgifter får behandlas om det är absolut nödvändigt för ändamålet med behandlingen. Det innebär att behovet av att behandla sådana uppgifter måste prövas särskilt noga. 5 § I paragrafen, som tillsammans med 6 § reglerar när det är tillåtet att använda känsliga personuppgifter vid sökning, görs undantag från sökförbudet i 2 kap. 14 § brottsdatalagen. Paragrafen motsvarar i huvudsak 3 kap. 5 § andra stycket tullbrottsdatalagen. Övervägandena finns i avsnitt 8.3.3. Undantaget gäller vid sökning i alla slags personuppgifter, dvs. både personuppgifter som har gjorts gemensamt tillgängliga och personuppgifter som inte har det. Sökförbudet hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används som sökbegrepp, även om det skulle leda till ett urval av personer grundat på känsliga personuppgifter, som t.ex. hälsa eller sexuell läggning. Med uppgifter som beskriver en persons utseende avses signalementsuppgifter som t.ex. kroppsbyggnad, ansiktsform, hår- och hudfärg, klädsel och fysiska kännetecken som födelsemärken, blindhet och tatueringar (jfr prop. 2011/12:45 s. 124). En sökning på ett fysiskt särdrag kan ge ett urval av personer grundat på uppgifter som rör hälsa. Med uppgifter om tillvägagångssätt vid brott avses t.ex. uppgifter om smugglingsmetoder eller särskilda föremål som kan användas som brottsverktyg. Vid exempelvis kontroll av förbud mot införsel och utförsel av barnpornografi kan sökning på brottsrubricering och särskilda föremål avslöja en persons sexualliv eller sexuella läggning. Sökning på tillvägagångssätt vid brott kan t.ex. resultera i ett urval av personer grundat på hälsa. Det gäller exempelvis sökning på s.k. sväljare. Sökning på uppgifter om en persons utseende kan avse exempelvis fysiska skador eller särdrag som kan avslöja uppgifter om hälsa eller uppgifter om tatueringar som kan avslöja viss politisk åsikt eller religiös övertygelse. I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sökningen resulterat i får prövas mot huvudregeln om behandling av känsliga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra sökning enligt denna paragraf medför således inte en generell rätt att fortsätta att behandla uppgifterna. 6 § I paragrafen, som tillsammans med 5 § reglerar när det är tillåtet att använda känsliga personuppgifter vid sökning, görs det undantag från sökförbudet i 2 kap. 14 § brottsdatalagen. Paragrafen har inte någon motsvarighet i tullbrottsdatalagen. Övervägandena finns i avsnitt 8.3.3. Undantaget gäller enbart vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga, dvs. personuppgifter som enbart ett fåtal har tillgång till. Sökning i sådana uppgifter får göras i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Sådana sökningar kan aktualiseras bl.a. om det är känt att en viss narkotikasort används av en grupp med visst etniskt ursprung eller religiös övertygelse. Drogen kat som endast odlas utomlands är ett exempel på det. Tullverket kan även behöva göra sökningar i syfte att få fram uppgifter om ideologiskt motiverade grupperingar som är kända för att finansiera sin verksamhet genom smuggling av narkotika eller andra otillåtna föremål. Tullverket kan även ha skäl att söka på ordet pedofil eller vissa typer av föremål i syfte att förebygga, förhindra eller upptäcka smuggling av barnpornografi. Rätten att söka på känsliga personuppgifter gäller dock inte sökning på ras eller medlemskap i fackförening eller sökning i genetiska eller biometriska uppgifter. Sökning som syftar till att få fram ett urval av personer grundat på sådana uppgifter är alltså inte tillåten. I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sökningen resulterat i får prövas mot huvudregeln om behandling av känsliga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra sökning enligt denna paragraf medför således inte en generell rätt att fortsätta att behandla uppgifterna. Utlämnande av personuppgifter 7 § Paragrafen innehåller sekretessbrytande bestämmelser om utlämnande av personuppgifter till utländska myndigheter och mellanfolkliga organisationer. Den motsvarar 2 kap. 12 § tullbrottsdatalagen (se prop. 2016/17:91 s. 205 f.). Sekretessen bryts och personuppgifter får lämnas ut till någon av de mottagare som anges i första stycket bara om mottagaren behöver dem för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller fullgöra förpliktelser som följer av internationella åtaganden. Vid överföring av personuppgifter till tredjeland ska regleringen i 8 kap. brottsdatalagen också tillämpas. 8 § Paragrafen innehåller en bestämmelse som bryter viss sekretess som annars skulle ha gällt gentemot andra brottsbekämpande myndigheter. Den motsvarar 2 kap. 13 § tullbrottsdatalagen (se prop. 2016/17:91 s. 206). Sekretessen bryts om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen. 9 § Paragrafen reglerar när personuppgifter får lämnas ut elektroniskt. I första stycket, som delvis motsvarar 2 kap. 16 § tullbrottsdatalagen, föreskrivs att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Med sådant utlämnande avses bl.a. utlämnande genom e-post eller annan elektronisk överföring eller på ett usb-minne eller annat motsvarande medium. Övervägandena finns i avsnitt 5.6.4. Det har betydelse vem mottagaren är för frågan om det är olämpligt att lämna ut uppgifter elektroniskt. Som regel kan det inte anses vara olämpligt att lämna ut uppgifter på det sättet till en myndighet (se prop. 2014/15:148 s. 113). När det gäller utlämnande till enskilda krävs en mer nyanserad bedömning. Om det finns en författningsreglerad skyldighet att sända en handling till en viss person får det avgöras om elektroniskt utlämnande är olämpligt med hänsyn till bl.a. innehållet i handlingen, vem som är mottagare, behovet av att kunna visa att personen i fråga har tagit del av handlingen och andra omständigheter. Är det fråga om processmaterial som översänds till parter eller ombud bör även principen om parternas likställdhet i processen beaktas. Frågan om elektroniskt utlämnande till enskilda är särskilt svårbedömd när det på grund av uppgifternas art, struktur, antal eller någon annan särskild omständighet finns anledning att befara att utlämnandet kan leda till integritetsrisker (jfr prop. 2014/15:148 s. 114). Om det kan antas att personuppgifterna kan komma att behandlas i strid med dataskyddsförordningen eller dataskyddslagen om de lämnas ut elektroniskt gäller sekretess enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400). De får då inte lämnas ut till följd av sekretess. Det kan också finnas särskild anledning att iaktta försiktighet när det gäller utlämnande av bild- och ljudupptagningar (jfr prop. 2016/17:68 s. 51 f.). Vid prövningen av om personuppgifter bör lämnas ut elektroniskt bör även informationssäkerheten vägas in. Om någon begär att få tillgång till en allmän handling med stöd av tryckfrihetsförordningen får den utlämnande myndigheten inte efterforska syftet med begäran, vilket kan ha betydelse vid prövningen av om det i ett enskilt fall är lämpligt att lämna ut en handling med personuppgifter elektroniskt. Andra stycket motsvarar 2 kap. 17 § tullbrottsdatalagen och innehåller en upplysning om att direktåtkomst endast är tillåten i den utsträckning som anges i lagen. Personuppgifter från transportföretag 10 § Paragrafen, som delvis motsvarar 2 kap. 8 § tullbrottsdatalagen, reglerar hur personuppgifter som transportföretag tillhandahåller Tullverket får behandlas. Övervägandena finns i avsnitt 8.4. Det är fråga om uppgifter om ankommande eller avgående transporter av varor, passagerare eller fordon som företagen befordrar till och från Sverige. Transportföretagens skyldighet att tillhandahålla uppgifter regleras i lagen om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen och tullagen. I lagen om flygpassageraruppgifter i brottsbekämpningen regleras personuppgiftsbehandling som avses i den lagen. Om den lagen eller föreskrifter som regeringen har meddelat i anslutning till lagen innehåller avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag. Detta följer av 1 kap. 2 §. Personuppgifter från transportföretag får enligt första stycket behandlas för att planera kontroller och välja ut kontrollobjekt för att förebygga, förhindra eller upptäcka brottslig verksamhet. Det innebär att arbetet inriktas på att få fram kontrollobjekt för vilka det råder förhöjd risk för smuggling eller andra brott. Sådana uppgifter får också behandlas för att utreda eller lagföra brott. Vid s.k. kontrollerade leveranser av narkotika kan bokningsuppgifter vara av stor praktisk betydelse. Vid utredning av smugglingsbrott är det viktigt att kunna kontrollera uppgifter om resväg, ressällskap och liknande. Möjligheten att söka i sådana personuppgifter med hjälp av personnummer och andra identitetsbeteckningar regleras i 12 §. Om det vid den behandling som görs, eller vid kontroll vid ankomsten till Sverige, uppkommer skäl att behandla personuppgifterna för ett nytt ändamål får det enligt andra stycket bara göras om förutsättningarna för behandling för nya ändamål i 2 kap. 4 eller 22 § brottsdatalagen är uppfyllda i det enskilda fallet. Ett typiskt exempel är att ett brott upptäcks när någon har tagits ut för en kontroll och att uppgifterna behövs för att utreda och lagföra brottet. Det kan också visa sig att vissa av uppgifterna behövs i ett underrättelseärende, t.ex. för kartläggning av nya smugglingsmetoder. Av 3 kap. 2 § andra stycket framgår i vilken utsträckning personuppgifter som transportföretag tillhandahåller får göras gemensamt tillgängliga. 11 § I paragrafen anges hur personuppgifter som Tullverket får del av genom terminalåtkomst får behandlas. Bestämmelsen motsvarar delvis 16 § andra stycket lagen om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen och 4 kap. 8 § andra stycket tullagen. Övervägandena finns i avsnitt 8.4. Paragrafen reglerar enbart behandling vid terminalåtkomst till personuppgifter hos transportföretag, medan 10 och 12 §§ anger vad som gäller i fråga om personuppgifter som förs över till myndighetens it-system eller behandlas strukturerat på annat sätt. Genom terminalåtkomsten till företagens it-system får Tullverket tillgång till omfattande överskottsinformation om resande. Myndigheten får inte ändra eller på annat sätt bearbeta uppgifter i sådana system. Syftet med regleringen är att myndigheten inte heller ska kunna föra över en hel sådan uppgiftssamling till sina egna it-system för att bearbeta, ändra och lagra personuppgifterna där. Som framgår av 10 § får däremot uppgifter i enskilda fall behandlas för nya ändamål om förutsättningarna för det är uppfyllda. 12 § I paragrafen, som motsvarar 2 kap. 9 § första stycket tullbrottsdatalagen, regleras i vilken utsträckning direkta personuppgifter får användas vid sökning i uppgifter som transportföretag tillhandahåller. Rätt att meddela föreskrifter 13 § I paragrafen finns en upplysning om att regeringen kan meddela föreskrifter om att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, vilket motsvarar 2 kap. 14 § första stycket tullbrottsdatalagen, och om begränsning av möjligheten att lämna ut uppgifter elektroniskt på annat sätt än genom direktåtkomst. Övervägandena finns i avsnitt 5.6.4. 3 kap. Gemensamt tillgängliga uppgifter Allmän bestämmelse 1 § Av paragrafen framgår att kapitlet innehåller bestämmelser om behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Vad som avses med att uppgifter görs gemensamt tillgängliga utvecklas i prop. 2016/17:91 s. 208 f. Enligt första stycket gäller kapitlet bara för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Av andra stycket framgår att kapitlet inte gäller när personuppgifter behandlas med stöd av den särskilda bestämmelsen i 2 kap. 2 § brottsdatalagen om behandling av personuppgifter för diarieföring eller för att utföra andra nödvändiga handläggningsuppgifter. Personuppgifter som får göras gemensamt tillgängliga 2 § I paragrafen anges vilka personuppgifter som får göras gemensamt tillgängliga. Första och tredje styckena motsvarar 3 kap. 2 § tullbrottsdatalagen (se prop. 2016/17:91 s. 210 ff.). Av andra stycket, som i huvudsak motsvarar 2 kap. 8 § andra stycket tullbrottsdatalagen, framgår att personuppgifter från transportföretag endast får göras gemensamt tillgängliga om det behövs i ett enskilt fall. Övervägandena finns i avsnitt 8.5.2. Regleringen gör det möjligt för Tullverket att göra personuppgifter om utvalda kontrollobjekt gemensamt tillgängliga t.ex. för att kontrollverksamheten ska få kännedom om att det för vissa resande eller varusändningar kan finnas en förhöjd risk för smuggling. Uppgifterna kan också göras gemensamt tillgängliga i underrättelseverksamheten eller för att utreda eller lagföra brott. Särskilda upplysningar 3 § I paragrafen, som motsvarar 3 kap. 3 § tullbrottsdatalagen, föreskrivs att det ska framgå om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 (se prop. 2016/17:91 s. 212 f.). Övervägandena finns i avsnitt 5.3.4. Att det ska framgå för vilket närmare ändamål personuppgifterna behandlas följer av 2 kap. 3 § brottsdatalagen. 4 § I paragrafen, som i huvudsak motsvarar 3 kap. 4 § tullbrottsdatalagen, ställs det krav på att uppgifter som har gjorts gemensamt tillgängliga i underrättelseverksamhet i vissa fall ska förses med särskilda upplysningar. Övervägandena finns i avsnitt 5.3.4. Enligt första stycket ska det framgå av uppgifter i underrättelseverksamhet att en person inte är misstänkt för att utöva brottslig verksamhet. Det ska alltså gå att skilja mellan personer som är föremål för myndighetens intresse på grund av inblandning i brottslig verksamhet och personer som inte är misstänkta för det. Enligt andra stycket ska uppgifter om personer som kan antas ha samband med misstänkt brottslig verksamhet eller som övervakas på visst sätt förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Kravet på särskild upplysning gäller bara uppgifter om en person som kan antas ha direkt samband med misstänkt brottslig verksamhet. Sambandet kan t.ex. bestå i att en person ofta träffar eller har annan kontakt med andra personer som är misstänkta för att utöva brottslig verksamhet eller ofta rör sig i miljöer där brottslighet förekommer, utan att ha naturliga skäl att befinna sig där. Uppgifter om den som är anhörig till en person som kan antas ha samband med misstänkt brottslig verksamhet faller alltså utanför, utom i de fall där båda kan antas ha direkt samband med brottslig verksamhet. Det är bara uppgifter som rör en person som är misstänkt för att utöva eller komma att utöva brottslig verksamhet som behöver förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. De uppgifter som är av intresse är, förutom uppgifter om på vilket sätt personen är knuten till den brottsliga verksamheten, framför allt uppgifter som belyser brottslighetens art och omfattning. Uppgifter av det slaget kan behöva förses med särskilda upplysningar för att personens anknytning till brottsligheten ska kunna bedömas. Utrymmet för att underlåta att förse uppgifter med upplysning om trovärdighet och riktighet vidgas något i förhållande till dagens reglering genom att det inte längre krävs särskilda omständigheter för att upplysningskravet inte ska gälla. Det är tillräckligt att det på grund av de samlade omständigheterna är onödigt att förse uppgifterna med en upplysning. Sökning 5 § Paragrafen, som i huvudsak motsvarar 3 kap. 6 § tullbrottsdatalagen, innehåller en allmän begränsning av vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter på namn, personnummer eller liknande identitetsbeteckningar (se prop. 2016/17:91 s. 214 ff.). Övervägandena finns i avsnitt 8.5.1. Bestämmelsen gäller endast vid sökning i automatiserade behandlingssystem. Vad som avses med automatiserade behandlingssystem anges i prop. 2017/18:232 s. 177 f. 6 § Paragrafen, som delvis motsvarar 3 kap. 7 § tullbrottsdatalagen, innehåller undantag från begränsningarna i 5 §. Övervägandena finns i avsnitt 8.5.1. Enligt första stycket gäller inga begränsningar vid sökning i en viss handling eller ett visst ärende. Enligt andra stycket gäller begränsningarna i 5 § inte vid vissa sökningar som utförs av särskilt angivna tjänstemän. Det gäller enligt punkt 1 när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede. Syftet med bestämmelsen är att tjänstemännen inledningsvis ska ha större möjligheter att göra sökningar för att kunna finna samband med befintliga underrättelseuppgifter. Det kan t.ex. vara fråga om tips från allmänheten om smuggling. Det är bara under en begränsad tid efter det att uppgifterna kom in som punkten är tillämplig. Så snart beredningsarbetet har avslutats upphör möjligheten att göra sökningar med stöd av den nu aktuella punkten. Enligt punkt 2 är sökningar som utförs i syfte att bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga i underrättelseverksamhet eller för övervakningen av en allvarligt kriminellt belastad person tillåtna, om det endast är de tjänstemän som får göra sökningen som också har tillgång till uppgifterna. Enligt punkt 3 gäller inte begränsningarna i 5 § vid sökning i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer. Enligt punkt 4 gäller inte begränsningarna i 5 § vid sökning i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer. Undantaget i tredje stycket innebär att begränsningarna i 5 § inte gäller när en tjänsteman vid någon av Tullverkets ledningscentraler utför sökningar på begäran av en tulltjänsteman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild. Direktåtkomst 7 § I paragrafen, som delvis motsvarar 3 kap. 8 § tullbrottsdatalagen, anges vilka myndigheter som får medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga och för vilka syften (se prop. 2016/17:91 s. 217). Rätt att meddela föreskrifter 8 § I paragrafen, som motsvarar 3 kap. 7 § tredje stycket andra meningen tullbrottsdatalagen, finns en upplysning om att regeringen kan meddela föreskrifter om ytterligare undantag från bestämmelserna om sökning i 5 §, utöver vad som framgår av 6 §. 9 § I paragrafen finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om begränsning av tillgången till sådana personuppgifter som avses i 5 §, vilket motsvarar 3 kap. 6 § andra stycket tullbrottsdatalagen, under vilka förutsättningar sökning får utföras med stöd av 6 §, vilket motsvarar 3 kap. 7 § tredje stycket första meningen tullbrottsdatalagen, och omfattningen av direktåtkomst och om behörighet och säkerhet vid sådan åtkomst, vilket motsvarar 3 kap. 8 § tredje stycket tullbrottsdatalagen. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Paragrafen har inte någon motsvarighet i tullbrottsdatalagen. Övervägandena finns i avsnitt 5.5.1. I första stycket föreskrivs att kapitlet endast gäller för uppgifter som behandlas automatiserat, om inget annat sägs. I 3 § finns en bestämmelse som även är tillämplig på viss annan behandling. Andra stycket upplyser om att den grundläggande bestämmelsen om att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen finns i 2 kap. 17 § första stycket brottsdatalagen. I övriga paragrafer i detta kapitel anges hur länge vissa typer av personuppgifter får behandlas inom den ram som sätts av denna huvudregel. Oavsett vilken bedömning som görs av nyttan med behandlingen av en viss personuppgift får den inte behandlas längre än vad som anges i respektive paragraf. Personuppgifter som inte har gjorts gemensamt tillgängliga 2 § I paragrafen, som motsvarar 4 kap 3 § tullbrottsdatalagen, anges hur länge uppgifter som inte har gjorts gemensamt tillgängliga får behandlas. Någon ändring av hur länge sådana personuppgifter får behandlas görs inte (se prop. 2016/17:91 s. 219). Övervägandena finns i avsnitt 5.5.2. I första stycket anges hur länge uppgifterna får behandlas. Enligt andra stycket gäller inte bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen vid tillämpningen av denna paragraf. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av uppgifterna ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att de ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i denna paragraf (jfr 12 §). Tredje stycket klargör att paragrafen inte ska tillämpas på ärenden om utredning av eller lagföring för brott. 3 § Paragrafen reglerar när personuppgifter från transportföretag ska förstöras. Den motsvarar delvis 16 § tredje stycket lagen om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen och 4 kap. 8 § tredje stycket tullagen. Övervägandena finns i avsnitt 8.4. Transportföretagens uppgiftsskyldighet kan fullgöras på det sätt som transportföretagen finner lämpligt. Av 15 § lagen om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen och 4 kap. 6 § tullagen framgår vidare att terminalåtkomst bara tillåts i den omfattning och under den tid som behövs för att kontrollera aktuella transporter, se prop. 1995/96:166 s. 81 f. Personuppgifter som Tullverket får tillgång till på annat sätt än genom terminalåtkomst ska enligt första stycket förstöras omedelbart om de saknar betydelse för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. Eftersom flertalet uppgifter rör personer som varken är misstänkta för brott eller för att utöva brottslig verksamhet, ska personuppgifterna omedelbart tas bort när Tullverket har gjort profilsökning och riskanalys och inte längre behöver dem. Enligt 2 kap. 10 § andra stycket får uppgifter från transportföretag i ett enskilt fall behandlas för nya ändamål om förutsättningarna för det är uppfyllda. Det kan t.ex. vara fallet om uppgifterna är nödvändiga för att Tullverket ska kunna utreda eller lagföra ett visst brott i samband med in- eller utförsel av varor (jfr prop. 1995/96:166 s. 99 f.). Sådana personuppgifter behöver då inte förstöras. För dem gäller i stället bestämmelserna i 4-6 §§. I andra stycket föreskrivs att bestämmelsen i första stycket även gäller för behandling som inte är automatiserad när uppgifter från transportföretag ingår i en strukturerad samling personuppgifter. Det innebär att paragrafen är tillämplig t.ex. på personuppgifter som lämnas i pappersform. Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott 4 § Paragrafen, som motsvarar 4 kap. 6 § tullbrottsdatalagen, reglerar hur länge personuppgifter i en anmälan om brott får behandlas (se prop. 2016/17:91 s. 220 f.). Enligt paragrafen inskränks enbart behandlingen av personuppgifter för de ändamål som regleras i lagen. Bestämmelsen hindrar alltså inte att uppgifterna får fortsätta att behandlas automatiserat för bl.a. arkivändamål efter de tidpunkter som anges i paragrafen. Frågan behandlas i avsnitt 5.5.3. 5 § Paragrafen, som motsvarar 4 kap. 7 § tullbrottsdatalagen, reglerar hur länge personuppgifter i förundersökningar och andra utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångsbalken får behandlas (se prop. 2016/17:91 s. 221). Enligt paragrafen inskränks enbart behandlingen av personuppgifter för de ändamål som regleras i lagen. Bestämmelserna hindrar alltså inte att uppgifterna får fortsätta att behandlas automatiserat för bl.a. arkivändamål efter de tidpunkter som anges i paragrafen. Frågan behandlas i avsnitt 5.5.3. 6 § Paragrafen, som motsvarar 4 kap. 8 § tullbrottsdatalagen, reglerar vad som gäller i fråga om personuppgifter som rör någon som har varit misstänkt i en förundersökning som har lagts ned eller där åtal har lagts ned eller frikännande dom har fått laga kraft (se prop. 2016/17:91 s. 221). Övriga gemensamt tillgängliga uppgifter 7 § Av paragrafen, som delvis motsvarar 4 kap. 9 § tullbrottsdatalagen, framgår att det i de följande paragraferna finns bestämmelser om hur länge vissa typer av gemensamt tillgängliga uppgifter, som inte förekommer i ärenden om utredning av eller lagföring för brott, får behandlas. Övervägandena finns i avsnitt 5.5.2. I första stycket finns en upplysning om att de aktuella personuppgifterna som längst får behandlas under den tid som anges i 8-11 §§. Enligt andra stycket gäller inte bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkivlagstiftningens företräde vid tillämpningen av 8-11 §§. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av uppgifterna ska upphöra när den tid som anges i 8-11 §§ har löpt ut, vilket innebär att de ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i de följande paragraferna (jfr 12 §). 8 § Paragrafen, som i huvudsak motsvarar 4 kap. 9 § andra och fjärde styckena tullbrottsdatalagen, reglerar hur länge personuppgifter får behandlas i underrättelseverksamhet (se prop. 2016/17:91 s. 222 f.). Enligt första stycket, som behandlas i avsnitt 8.6, får personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 och som behandlas i ett ärende inte behandlas längre än ett år efter det att ärendet avslutades. I andra stycket tydliggörs i förhållande till dagens reglering att fristen för hur länge personuppgifter får behandlas endast ska påverkas av om det görs en ny registrering beträffande personens anknytning till brottslig verksamhet. Andra uppgifter som tillförs, t.ex. uppgifter om ändrade bostadsförhållanden eller annat som inte har betydelse för anknytningen till den brottsliga verksamheten, påverkar alltså inte hur länge personuppgifterna får behandlas. Frågan behandlas i avsnitt 5.5.4. Enligt tredje stycket ska den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning inte räknas med vid beräkningen av de tidsfrister som anges i andra stycket. 9 § Paragrafen, som motsvarar 4 kap 9 § tredje och fjärde styckena tullbrottsdatalagen, reglerar hur länge uppgifter om en person som är föremål för övervakning enligt 3 kap. 2 § första stycket 2 får behandlas. Frågan behandlas i avsnitt 5.5.2. 10 § I paragrafen, som motsvarar 4 kap. 10 § tredje stycket tullbrottsdatalagen, regleras hur länge personuppgifter som har rapporterats till Tullverkets ledningscentraler får behandlas. Sådana uppgifter får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. Frågan behandlas i avsnitt 5.5.2. 11 § Paragrafen, som motsvarar 4 kap. 10 § andra stycket tullbrottsdatalagen, reglerar hur länge uppgifter som behandlas för att fullgöra internationella åtaganden får behandlas. Sådana uppgifter får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Frågan behandlas i avsnitt 5.5.2. Rätt att meddela föreskrifter 12 § I paragrafen, som i huvudsak motsvarar 4 kap. 2 § tullbrottsdatalagen, finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 4, 5 eller 8-11 §. En förutsättning för sådana föreskrifter är att de tidsfrister som sätts för behandlingen hålls inom de ramar som ges i 2 kap. 17 § första stycket brottsdatalagen. Vidare anges att regeringen eller den myndighet som regeringen bestämmer kan meddela förskrifter dels om att personuppgifter, trots att den tillåtna tiden för behandling har löpt ut, får fortsätta att behandlas för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 8-11 , dels om begränsning av behandlingen av personuppgifter för ändamål inom lagens tillämpningsområde vid digital arkivering. 5 kap. Övriga bestämmelser Administrativa sanktionsavgifter 1 § Paragrafen, som inte har någon motsvarighet i tullbrottsdatalagen, reglerar vid vilka överträdelser av bestämmelser i lagen som en sanktionsavgift får tas ut. Övervägandena finns i avsnitt 5.4.2. De grundläggande bestämmelserna om hur personuppgifter får behandlas inom brottsdatalagens tillämpningsområde finns i brottsdatalagen. Enligt 6 kap. brottsdatalagen får en sanktionsavgift tas ut vid överträdelser av angivna bestämmelser i den lagen. I första stycket anges uttömmande vid vilka överträdelser av Tullverkets brottsdatalag som en sanktionsavgift får tas ut av den personuppgiftsansvarige. Tillsynsmyndigheten avgör i det enskilda fallet om det är påkallat att ta ut en sanktionsavgift, vilket framgår av formuleringen att avgift får tas ut. Sanktionsavgift kan tas ut för överträdelse av bestämmelserna om tillåtna rättsliga grunder, särskilda upplysningar och längsta tid som personuppgifter får behandlas. Brottsdatalagens förfaranderegler när det gäller sanktionsavgift tillämpas även vid överträdelser enligt förevarande lag. I andra stycket anges att sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § I paragrafen regleras den registrerades rätt till skadestånd för behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Övervägandena finns i avsnitt 5.4.3. Paragrafen hänvisar till 7 kap. 1 § brottsdatalagen, som ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet har kränkts genom behandlingen. Se vidare författningskommentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.). Överklagande 3 § I paragrafen finns en upplysning om att det i 7 kap. brottsdatalagen finns bestämmelser om överklagande. Övervägandena finns i avsnitt 5.4.4. Ikraftträdande- och övergångsbestämmelser Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft. Av punkt 2 framgår att tullbrottsdatalagen upphävs genom lagen. En sanktionsavgift får enligt punkt 3 beslutas endast för överträdelser som har skett efter ikraftträdandet. 18.3 Förslaget till lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område I enlighet med Lagrådets synpunkt upphävs kustbevakningsdatalagen (2012:145) och ersätts av en ny lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område (Kustbevakningens brottsdatalag). Innehållet i Kustbevakningens brottsdatalag motsvarar till stora delar innehållet i kustbevakningsdatalagen. Anpassningen av regelverket till brottsdatalagen innebär dock att omfattande redaktionella och strukturella ändringar görs i förhållande till dagens reglering. Som en anpassning till brottsdatalagen utgår ett kapitel. Dessutom tillkommer ett nytt kapitel om administrativa sanktionsavgifter, skadestånd och överklagande. 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § I paragrafen, som inte har någon motsvarighet i kustbevakningsdatalagen, anges lagens tillämpningsområde. Övervägandena finns i avsnitt 9.2. Lagen gäller utöver brottsdatalagen när Kustbevakningen i egenskap av behörig myndighet enligt den lagen behandlar personuppgifter för vissa syften. Att lagen gäller utöver brottsdatalagen innebär att de grundläggande bestämmelserna om hur personuppgifter får behandlas finns i brottsdatalagen. Den nu aktuella lagen innehåller preciseringar, undantag eller avvikelser från bestämmelserna i brottsdatalagen. Bestämmelserna i lagen måste följaktligen läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av den regleringen. Av 1 kap. 3 § brottsdatalagen följer att lagen bara gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Uttrycken behörig myndighet, personuppgift och behandling av personuppgifter definieras i 1 kap. 6 § brottsdatalagen. Lagen gäller om syftet med personuppgiftsbehandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Vad det innebär utvecklas i kommentaren till 2 kap. 1 §. 2 § Paragrafen, som motsvarar 1 kap. 2 § tredje stycket kustbevakningsdatalagen, anger hur regleringen i lagen förhåller sig till regleringen i lagen (2017:496) om internationellt polisiärt samarbete. Övervägandena finns i avsnitt 15.2. Personuppgiftsansvar 3 § Paragrafen, som motsvarar 2 kap. 4 § kustbevakningsdatalagen, reglerar personuppgiftsansvaret. Personuppgiftsansvarig är den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (1 kap. 6 § brottsdatalagen). Personuppgiftsansvarigas skyldigheter regleras i 3 kap. brottsdatalagen. Behandling av uppgifter om juridiska personer 4 § I paragrafen, som i huvudsak motsvarar 1 kap. 3 § kustbevakningsdatalagen, anges vilka bestämmelser i lagen och i brottsdatalagen som gäller för behandling av uppgifter om juridiska personer. Övervägandena finns i avsnitt 5.4.1. 2 kap. Grundläggande bestämmelser om behandling Rättsliga grunder 1 § Paragrafen, som inte har någon motsvarighet i kustbevakningsdatalagen, reglerar de tillåtna rättsliga grunderna för behandling av personuppgifter. Övervägandena finns i avsnitt 9.3.1. Paragrafen, som är anpassad till hur de rättsliga grunderna för behandling av personuppgifter anges i brottsdatalagen, gäller i stället för 2 kap. 1 § första stycket brottsdatalagen. Det bör noteras att regleringen i 2 kap. 2 § brottsdatalagen ger myndigheterna rättsligt stöd för att i vissa fall behandla personuppgifter enbart för diarieföring och nödvändig handläggning. Kustbevakningen får behandla personuppgifter om det är nödvändigt för att utföra vissa uppgifter. I 2 kap. 1 § andra stycket brottsdatalagen anges att med en behörig myndighets uppgift avses en uppgift som framgår av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften (se vidare prop. 2017/18:232 s. 440). Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten. Enligt punkt 1 får personuppgifter behandlas om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet. Det är framför allt Kustbevakningens underrättelseverksamhet som avses. Med underrättelseverksamhet avses arbete med insamling, bearbetning och analys av information i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet när det ännu inte finns misstankar om att något konkret brott har begåtts (se prop. 2011/12:45 s. 203). Även behandling av överskottsinformation med stöd av 27 kap. 23 a § rättegångsbalken omfattas, om syftet är att förhindra brott. Personuppgiftsbehandling vid annan brottsförebyggande verksamhet omfattas också. Enligt punkt 2 får personuppgifter behandlas om det är nödvändigt för att utreda eller lagföra brott. Att utreda brott innebär framför allt att genomföra förundersökning enligt 23 kap. rättegångsbalken. Med brott avses konkreta brott, men det kan vara fråga om både brott som bevisligen har begåtts och brott som det enbart finns misstankar om. Misstankarna behöver inte vara riktade mot någon bestämd person. Även personuppgiftsbehandling inom ramen för den form av förenklat utredningsförfarande som regleras i 23 kap. 22 § rättegångsbalken och vid åtgärder som vidtas med stöd av 23 kap. 3 och 8 §§ rättegångsbalken omfattas. Med lagföra brott avses att utfärda förelägganden av ordningsbot. Kustbevakningen får enligt punkt 3 behandla personuppgifter om det är nödvändigt för att upprätthålla allmän ordning och säkerhet. När en kustbevakningstjänsteman ingriper vid en konkret ordningsstörning, eller en potentiell sådan störning vid en specifik händelse, är det fråga om att upprätthålla allmän ordning och säkerhet. Detsamma gäller vid ingripande eller andra åtgärder för att avvärja brott. Det kan t.ex. vara fråga om åtgärder enligt 13 § polislagen (1984:387) eller enligt lagstiftningen om sjöfartsskydd eller hamnskydd. Kustbevakningen får enligt punkt 4 behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna fullgöra förpliktelser som följer av internationella åtaganden. Behandling enligt denna punkt tar sikte på förpliktelser som syftar till att gagna utländsk brottsbekämpande verksamhet (se prop. 2011/12:45 s. 204). Behandling för nya ändamål 2 § I paragrafen, som inte har någon motsvarighet i kustbevakningsdatalagen, finns en upplysning om att förutsättningarna för att personuppgifter ska få behandlas för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen. Övervägandena finns i avsnitt 6 och 7.3.1. Innan personuppgifter får behandlas för ett nytt ändamål inom eller utanför brottsdatalagens tillämpningsområde krävs det en prövning enligt 2 kap. 4 eller 22 § brottsdatalagen. Se vidare författningskommentaren till de paragraferna (prop. 2017/18:232 s. 442 f. och 451 f.). Särskilda upplysningar 3 § I paragrafen, som inte har någon motsvarighet i kustbevakningsdatalagen, begränsas tillämpningen av bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen. Övervägandena finns i avsnitt 5.3.11. Det är endast personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § som i vissa fall ska förses med särskilda upplysningar. Det innebär att när personuppgifter behandlas av bara ett fåtal personer behöver särskilda upplysningar inte lämnas. Känsliga personuppgifter 4 § I paragrafen, som tillsammans med 5 § reglerar när det är tillåtet att använda känsliga personuppgifter vid sökning, görs det undantag från sökförbudet i 2 kap. 14 § brottsdatalagen. Paragrafen motsvarar i huvudsak 4 kap. 4 § andra stycket kustbevakningsdatalagen, Övervägandena finns i avsnitt 9.3.3. Undantaget gäller både vid sökning i personuppgifter som har gjorts gemensamt tillgängliga och i personuppgifter som inte har det. Sökförbudet hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används som sökbegrepp. Att uppgifter om tillvägagångssätt vid brott får användas vid sökning är nytt. Sådan sökning kan aktualiseras bl.a. vid vissa smugglingsbrott. Med uppgifter som beskriver en persons utseende avses signalementsuppgifter som t.ex. kroppsbyggnad, ansiktsform, hår- och hudfärg, klädsel och fysiska kännetecken som födelsemärken, blindhet och tatueringar (se prop. 2011/12:45 s. 124). En sökning på ett fysiskt särdrag kan ge ett urval av personer grundat på uppgifter som rör hälsa. I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sökningen resulterat i får prövas mot huvudregeln om behandling av känsliga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra sökning enligt denna paragraf medför således inte en generell rätt att fortsätta att behandla uppgifterna. 5 § I paragrafen, som tillsammans med 4 § reglerar när det är tillåtet att använda känsliga personuppgifter vid sökning, görs det undantag från sökförbudet i 2 kap. 14 § brottsdatalagen. Paragrafen har inte någon motsvarighet i kustbevakningsdatalagen, Övervägandena finns i avsnitt 9.3.3. Undantaget gäller enbart vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga, dvs. personuppgifter som enbart ett fåtal har tillgång till. Sökning i sådana uppgifter får göras i syfte att få fram ett urval av personer grundat på etniskt ursprung, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa. Sådana sökningar kan aktualiseras bl.a. vid utredning av brott som kan ha anknytning till etniska grupper eller ha religiösa motiv. Rätten att söka på känsliga personuppgifter gäller dock inte sökning på ras, politiska åsikter, medlemskap i fackförening, sexualliv eller sexuell läggning eller sökning i genetiska eller biometriska uppgifter. Sökningar som syftar till att få fram ett urval av personer grundat på sådana uppgifter är alltså inte tillåtna. I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sökningen resulterat i får prövas mot huvudregeln om behandling av känsliga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra sökning enligt denna paragraf medför således inte en generell rätt att fortsätta att behandla uppgifterna. Utlämnande av personuppgifter 6 § Paragrafen innehåller sekretessbrytande bestämmelser om utlämnande av personuppgifter till utländska myndigheter och mellanfolkliga organisationer. Den motsvarar i huvudsak 3 kap. 6 § kustbevakningsdatalagen (se prop. 2011/12:45 s. 208 f.). Personuppgifter får lämnas ut bara om mottagaren behöver dem för förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Det innebär att möjligheterna till utlämnande utökas något i förhållande till dagens reglering, eftersom lagen även gäller vid upprätthållande av allmän ordning och säkerhet. Vid överföring av personuppgifter till tredjeland ska regleringen i 8 kap. brottsdatalagen också tillämpas. 7 § Paragrafen innehåller en bestämmelse som bryter viss sekretess som annars skulle ha gällt gentemot andra brottsbekämpande myndigheter. Den motsvarar 3 kap. 7 § kustbevakningsdatalagen (se prop. 2011/12:45 s. 209). Sekretessen bryts om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen. 8 § Paragrafen, som delvis motsvarar 2 kap. 8 § kustbevakningsdatalagen, reglerar när personuppgifter får lämnas ut elektroniskt. I första stycket föreskrivs att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Med sådant utlämnande avses bl.a. utlämnande genom e-post eller annan elektronisk överföring eller på ett usb-minne eller annat motsvarande medium. Övervägandena finns i avsnitt 5.6.4. Det har betydelse vem mottagaren är för frågan om det är olämpligt att lämna ut uppgifter elektroniskt. Som regel kan det inte anses vara olämpligt att lämna ut uppgifter på det sättet till en myndighet (se prop. 2014/15:148 s. 113). När det gäller utlämnande till enskilda krävs en mer nyanserad bedömning. Om det finns en författningsreglerad skyldighet att sända en handling till en viss person får det avgöras om elektroniskt utlämnande är olämpligt med hänsyn till bl.a. innehållet i handlingen, vem som är mottagare, behovet av att kunna visa att personen i fråga har tagit del av handlingen och andra omständigheter. Frågan om elektroniskt utlämnande till enskilda är särskilt svårbedömd när det på grund av uppgifternas art, struktur, antal eller någon annan särskild omständighet finns anledning att befara att utlämnandet kan leda till integritetsrisker (jfr prop. 2014/15:148 s. 114). Bedömer myndigheten att det finns risk för att personuppgifterna kan komma att behandlas i strid med dataskyddsförordningen eller dataskyddslagen om de lämnas ut elektroniskt gäller sekretess enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400). De får då inte lämnas ut till följd av sekretess. Det kan också finnas särskild anledning att iaktta försiktighet när det gäller utlämnande av bild- och ljudupptagningar (jfr prop. 2016/17:68 s. 51 f.). Vid prövningen av om personuppgifter bör lämnas ut elektroniskt bör även informationssäkerheten vägas in. Om någon begär att få tillgång till en allmän handling med stöd av tryckfrihetsförordningen får den utlämnande myndigheten inte efterforska syftet med begäran, vilket kan ha betydelse vid prövningen av om det i ett enskilt fall är lämpligt att lämna ut en handling med personuppgifter elektroniskt. Andra stycket motsvarar 2 kap. 9 § kustbevakningsdatalagen och innehåller en upplysning om att direktåtkomst endast är tillåten i den utsträckning som anges i lagen. Rätt att meddela föreskrifter 9 § I paragrafen finns en upplysning om att regeringen kan meddela föreskrifter om att personuppgifter får lämnas ut även i andra fall än som anges i 6 och 7 §§, vilket motsvarar 3 kap. 8 § första stycket kustbevakningsdatalagen, och om begränsning av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. Övervägandena finns i avsnitt 5.6.4. 3 kap. Allmän bestämmelse 1 § Av paragrafen framgår att kapitlet innehåller bestämmelser om behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. I första stycket anges vad kapitlet innehåller. Vidare anges vad som avses med uttrycket gemensamt tillgängliga uppgifter, vilket motsvarar 1 kap. 4 § kustbevakningsdatalagen. Vad det innebär utvecklas i prop. 2011/12:145 s. 210 f. Av andra stycket framgår att kapitlet inte gäller när personuppgifter behandlas med stöd av den särskilda bestämmelsen i 2 kap. 2 § brottsdatalagen om behandling av personuppgifter för diarieföring eller för att utföra andra nödvändiga handläggningsuppgifter. Personuppgifter som får göras gemensamt tillgängliga 2 § I paragrafen, som i huvudsak motsvarar 4 kap. 1 § kustbevakningsdatalagen, anges vilka personuppgifter som får göras gemensamt tillgängliga (se prop. 2011/12:45 s. 210 f.). Övervägandena finns i avsnitt 9.4.2. I förhållande till dagens reglering tillkommer punkt 3, som innebär att personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet får göras gemensamt tillgängliga. Det kan t.ex. vara fråga om uppgifter om personer som bedöms kunna utgöra ett hot mot allmän ordning och säkerhet. Inför förväntade ordningsstörningar riktade mot sjötrafiken eller enskilda fartyg kan Kustbevakningen behöva göra uppgifter gemensamt tillgängliga om personer som vid tidigare tillfällen gjort sig skyldiga till ordningsstörningar. Särskilda upplysningar 3 § I paragrafen, som i huvudsak motsvarar 4 kap. 3 § kustbevakningsdatalagen, föreskrivs att uppgifter i underrättelseverksamhet som är gemensamt tillgängliga ska förses med särskilda upplysningar (se prop. 2011/12:45 s. 212). Övervägandena finns i avsnitt 5.3.11. Enligt första stycket ska det framgå av uppgifter i underrättelseverksamhet att en person inte är misstänkt för att utöva brottslig verksamhet. Det ska alltså gå att skilja mellan personer som är föremål för myndighetens intresse på grund av inblandning i brottslig verksamhet och personer som inte är misstänkta för det. Enligt andra stycket ska uppgifter om personer som kan antas ha samband med misstänkt brottslig verksamhet förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Kravet på särskild upplysning gäller bara uppgifter om en person som kan antas ha direkt samband med misstänkt brottslig verksamhet. Sambandet kan t.ex. bestå i att en person ofta träffar eller har annan kontakt med andra personer som är misstänkta för att utöva brottslig verksamhet eller ofta rör sig i miljöer där brottslighet förekommer, utan att ha naturliga skäl att befinna sig där. Uppgifter om den som är anhörig till en person som kan antas ha samband med misstänkt brottslig verksamhet faller utanför, utom i de fall där båda kan antas ha direkt samband med brottslig verksamhet. Det är bara uppgifter som rör en person som är misstänkt för att utöva eller komma att utöva brottslig verksamhet som behöver förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. De uppgifter som är av intresse är, förutom uppgifter om på vilket sätt personen är knuten till den brottsliga verksamheten, framför allt uppgifter som belyser brottslighetens art och omfattning. Uppgifter av det slaget kan behöva förses med särskilda upplysningar för att personens anknytning till brottsligheten ska kunna bedömas. Utrymmet för att underlåta att förse uppgifter med upplysning om trovärdighet och riktighet utökas något i förhållande till dagens reglering genom att det inte längre krävs särskilda omständigheter för att upplysningskravet inte ska gälla. Det är tillräckligt att det på grund av de samlade omständigheterna är onödigt att förse uppgifterna med en upplysning. Sökning 4 § Paragrafen, som i huvudsak motsvarar 4 kap. 5 § första stycket kustbevakningsdatalagen, innehåller en allmän begränsning av vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter på namn, personnummer, samordningsnummer eller liknande identitetsbeteckningar (se prop. 2011/12:45 s. 213). Övervägandena finns i avsnitt 9.4.3. Paragrafen gäller endast vid sökning i automatiserade behandlingssystem. Vad som avses med automatiserade behandlingssystem anges i prop. 2017/18:232 s. 177 f. 5 § Paragrafen, som motsvarar 4 kap. 6 § första stycket kustbevakningsdatalagen, innehåller undantag från begränsningarna i 4 § (se prop. 2011/12:45 s. 214). Övervägandena finns i avsnitt 9.4.3. Enligt första stycket gäller inga begränsningar vid sökning i en viss handling eller i ett visst ärende. Enligt andra stycket gäller begränsningarna i 4 § inte vid vissa sökningar som utförs av särskilt angivna tjänstemän i syfte att bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga i underrättelseverksamhet, om det endast är de tjänstemän som får göra sökningen som har tillgång till informationen. Direktåtkomst 6 § I paragrafen, som i huvudsak motsvarar 4 kap. 7 § första stycket kustbevakningsdatalagen, anges vilka myndigheter som får medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga och för vilka syften (se prop. 2011/12:45 s. 215). Rätt att meddela föreskrifter 7 § I paragrafen, som motsvarar 4 kap. 6 § tredje stycket kustbevakningsdatalagen, finns en upplysning om att regeringen kan meddela föreskrifter om ytterligare undantag från bestämmelserna om sökning i 4 §. 8 § I paragrafen, där övriga bestämmelser om föreskrifter som rör gemensamt tillgängliga uppgifter samlas, finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i 4 §, vilket motsvarar 4 kap. 5 § andra stycket kustbevakningsdatalagen, under vilka förutsättningar sökning får utföras med stöd av 5 §, vilket motsvarar 4 kap. 6 § andra stycket kustbevakningsdatalagen och omfattningen av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst, vilket motsvarar 4 kap. 7 § tredje stycket kustbevakningsdatalagen. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Paragrafen har inte någon motsvarighet i kustbevakningsdatalagen. Övervägandena finns i avsnitt 5.5.1. I första stycket föreskrivs att bestämmelserna i kapitlet endast gäller för personuppgifter som behandlas automatiserat. Andra stycket upplyser om att den grundläggande bestämmelsen om att personuppgifter inte får behandlas längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen finns i 2 kap. 17 § första stycket brottsdatalagen. I övriga paragrafer i kapitlet anges hur länge vissa typer av personuppgifter får behandlas inom den ram som sätts av denna huvudregel. Oavsett vilken bedömning som görs av nyttan med behandlingen av en viss personuppgift får den dock inte behandlas längre än vad som anges i respektive paragraf. Personuppgifter som inte har gjorts gemensamt tillgängliga 2 § I paragrafen, som motsvarar 3 kap. 5 § kustbevakningsdatalagen, anges hur länge personuppgifter som inte har gjorts gemensamt tillgängliga får behandlas (se prop. 2011/12:45 s. 207). Övervägandena finns i avsnitt 5.5.2. Någon ändring av hur länge sådana personuppgifter får behandlas görs inte. I första stycket anges hur länge uppgifterna får behandlas. Enligt andra stycket gäller inte bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen vid tillämpningen av denna paragraf. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av uppgifterna ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att de ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i denna paragraf (jfr 12 §). Tredje stycket klargör att paragrafen inte ska tillämpas på ärenden om utredning av eller lagföring för brott. Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott 3 § Paragrafen, som motsvarar 4 kap. 9 § kustbevakningsdatalagen, reglerar hur länge personuppgifter i en anmälan om brott får behandlas (se prop. 2011/12:45 s. 216). Övervägandena finns i avsnitt 5.5.3. Enligt paragrafen inskränks enbart behandlingen av personuppgifter för de ändamål som regleras i lagen, vilket innebär att uppgifterna får fortsätta att behandlas automatiserat för bl.a. arkivändamål efter de tidpunkter som anges i paragrafen. 4 § Paragrafen, som motsvarar 4 kap. 10 § kustbevakningsdatalagen, reglerar hur länge personuppgifter i förundersökningar och andra utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångsbalken får behandlas (se prop. 2011/12:45 s. 216 f.). Övervägandena finns i avsnitt 5.5.3. Enligt paragrafen inskränks enbart behandlingen av personuppgifter för de ändamål som regleras i lagen, vilket innebär att uppgifterna får fortsätta att behandlas automatiserat bl.a. för arkivändamål efter de tidpunkter som anges i paragrafen. 5 § Paragrafen, som motsvarar 4 kap. 12 § kustbevakningsdatalagen, reglerar vad som gäller i fråga om personuppgifter som rör någon som har varit misstänkt i en förundersökning som har lagts ner eller där åtal har lagts ner eller frikännande dom har meddelats och fått laga kraft (se prop. 2011/12:45 s. 217 f.). Övriga gemensamt tillgängliga uppgifter 6 § I paragrafen, som delvis motsvarar 4 kap. 13 § kustbevakningsdatalagen, anges att det i de följande paragraferna finns bestämmelser om hur länge vissa typer av gemensamt tillgängliga uppgifter, som inte förekommer i ärenden om utredning av eller lagföring för brott, får behandlas. Övervägandena finns i avsnitt 5.5.2. I första stycket finns en upplysning om att de aktuella personuppgifterna som längst får behandlas under den tid som anges i 7-9 §§. Enligt andra stycket gäller inte bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkivlagstiftningens företräde vid tillämpningen av 7-9 §§. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av personuppgifterna ska upphöra när den tid som anges i 7-9 §§ har löpt ut, vilket innebär att uppgifterna ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i de följande paragraferna (jfr 11 §). 7 § Paragrafen, som motsvarar 4 kap. 13 § andra stycket kustbevakningsdatalagen, reglerar hur länge personuppgifter får behandlas i underrättelseverksamhet (se prop. 2011/12:45 s. 218 f.). Övervägandena finns i avsnitt 5.5.4. Fristen för hur länge personuppgifter får behandlas ska endast påverkas av om det görs en ny registrering beträffande personens anknytning till brottslig verksamhet. Andra uppgifter som tillförs, t.ex. uppgifter om ändrade bostadsförhållanden eller annat som inte har betydelse för anknytningen till den brottsliga verksamheten, påverkar alltså inte hur länge personuppgifterna får behandlas. Paragrafen anpassas också till den terminologi som används i lagen i övrigt. 8 § Paragrafen, som delvis motsvarar 4 kap. 13 § fjärde stycket kustbevakningsdatalagen, reglerar hur länge personuppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet och personuppgifter som har rapporterats till Kustbevakningens ledningscentral får behandlas (se prop. 2011/12:45 s. 219). Den frist som gäller för hur länge uppgifter som har rapporterats till Kustbevakningens ledningscentral får behandlas ändras inte. Samma frist gäller för personuppgifter som har gjorts gemensamt tillgängliga i syfte att upprätthålla allmän ordning och säkerhet, vilket behandlas i avsnitt 9.4.2. Sådana personuppgifter får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. 9 § Paragrafen, som motsvarar 4 kap. 13 § tredje stycket kustbevakningsdatalagen, reglerar hur länge personuppgifter som behandlas i syfte att fullgöra internationella åtaganden får behandlas (se prop. 2011/12:45 s. 218). Rätt att meddela föreskrifter 10 § I paragrafen finns en upplysning om att regeringen kan meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom lagens tillämpningsområde under längre tid än vad som anges i 3, 4 och 7-9 §§, vilket motsvarar 4 kap. 11 § och 14 § första stycket kustbevakningsdatalagen. En förutsättning för sådana föreskrifter är att de tidsfrister som sätts för behandlingen hålls inom de ramar som ges i 2 kap. 17 § första stycket brottsdatalagen. Vidare finns en upplysning om att regeringen kan meddela föreskrifter om begränsning av behandlingen av personuppgifter för ändamål inom lagens tillämpningsområde vid digital arkivering, vilket motsvarar 3 kap. 4 § tredje stycket kustbevakningsdatalagen. Övervägandena finns i avsnitt 5.5.3. 11 § I paragrafen, som motsvarar 3 kap. 5 § tredje stycket och 4 kap. 14 § andra stycket kustbevakningsdatalagen, finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om att personuppgifter, trots att den tillåtna tiden för behandling har löpt ut, får fortsätta att behandlas för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål. Övervägandena finns i avsnitt 5.5.2. 5 kap. Övriga bestämmelser Administrativa sanktionsavgifter 1 § Paragrafen, som inte har någon motsvarighet i kustbevakningsdatalagen, reglerar vid vilka överträdelser av bestämmelser i lagen som sanktionsavgift får tas ut. Övervägandena finns i avsnitt 5.4.2. De grundläggande bestämmelserna om hur personuppgifter får behandlas inom brottsdatalagens tillämpningsområde finns i brottsdatalagen. Enligt 6 kap. brottsdatalagen får sanktionsavgift tas ut vid överträdelser av angivna bestämmelser i den lagen. I första stycket anges uttömmande vid vilka överträdelser av Kustbevakningens brottsdatalag som sanktionsavgift får tas ut av den personuppgiftsansvarige. Tillsynsmyndigheten avgör i det enskilda fallet om det är påkallat att ta ut sanktionsavgift, vilket framgår av formuleringen att avgift får tas ut. Sanktionsavgift kan tas ut för överträdelse av bestämmelserna om tillåtna rättsliga grunder, särskilda upplysningar och längsta tid som personuppgifter får behandlas. Brottsdatalagens förfaranderegler när det gäller sanktionsavgift tillämpas även vid överträdelser enligt förevarande lag. I andra stycket anges att sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § I paragrafen regleras den registrerades rätt till skadestånd för behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Övervägandena finns i avsnitt 5.4.3. Paragrafen hänvisar till 7 kap. 1 § brottsdatalagen (2018:000), som ska tillämpas vid behandling av personuppgifter i strid med förevarande lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare författningskommentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.). Överklagande 3 § I paragrafen finns en upplysning om att det i 7 kap. brottsdatalagen finns bestämmelser om överklagande. Övervägandena finns i avsnitt 5.4.4. Ikraftträdande- och övergångsbestämmelser Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft. Av punkt 2 framgår att kustbevakningsdatalagen upphävs genom lagen. En sanktionsavgift får enligt punkt 3 beslutas endast för överträdelser som har skett efter ikraftträdandet. Punkt 4 innebär att den upphävda lagen övergångsvis gäller vid Kustbevakningens behandling av personuppgifter som inte utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet, dvs. på dataskyddsförordningens område. 18.4 Förslaget till lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område I enlighet med Lagrådets synpunkt upphävs skattebrottsdatalagen (2017:452) och ersätts av en ny lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område (Skatteverkets brottsdatalag). Innehållet i Skatteverkets brottsdatalag motsvarar till stora delar innehållet i skattebrottsdatalagen. Anpassningen av regelverket till brottsdatalagen innebär dock att omfattande redaktionella och strukturella ändringar görs i förhållande till dagens reglering. Som en anpassning till brottsdatalagen tillkommer ett nytt kapitel om administrativa sanktionsavgifter, skadestånd och överklagande. 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § I paragrafen, som inte har någon motsvarighet i skattebrottsdatalagen, anges lagens tillämpningsområde. Övervägandena finns i avsnitt 10.2. Lagen gäller utöver brottsdatalagen när Skatteverket i egenskap av behörig myndighet enligt brottsdatalagen behandlar personuppgifter för vissa syften. Lagen är tillämplig även när Skatteverket behandlar personuppgifter inom ramen för det internationella samarbetet, t.ex. i syfte att gagna utländsk brottsbekämpande verksamhet. Även i dessa fall krävs det att Skatteverket agerar i egenskap av behörig myndighet enligt brottsdatalagen. Att lagen gäller utöver brottsdatalagen innebär att de grundläggande bestämmelserna om hur personuppgifter får behandlas finns i brottsdatalagen. Skatteverkets brottsdatalag innehåller endast preciseringar, undantag eller avvikelser från bestämmelserna i brottsdatalagen. Bestämmelserna i lagen måste följaktligen läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av den regleringen. Av 1 kap. 3 § brottsdatalagen följer att lagen bara gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Uttrycken behörig myndighet, personuppgift och behandling av personuppgifter definieras i 1 kap. 6 § brottsdatalagen. Lagen gäller när Skatteverket behandlar personuppgifter om syftet med behandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott. Vad det innebär utvecklas i kommentaren till 2 kap. 1 §. Personuppgiftsansvar 2 § Paragrafen, som motsvarar 2 kap. 3 § skattebrottsdatalagen, reglerar personuppgiftsansvaret (se prop. 2016/17:89 s. 137). Personuppgiftsansvarig är den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (1 kap. 6 § brottsdatalagen). Personuppgiftsansvarigas skyldigheter regleras i 3 kap. brottsdatalagen. Behandling av uppgifter om juridiska personer 3 § I paragrafen, som i huvudsak motsvarar 1 kap. 4 § skattebrottsdatalagen, anges vilka bestämmelser i lagen och i brottsdatalagen som gäller för behandling av uppgifter om juridiska personer. Övervägandena finns i avsnitt 5.4.1. 2 kap. Grundläggande bestämmelser om behandling Rättsliga grunder 1 § Paragrafen, som inte har någon motsvarighet i skattebrottsdatalagen, reglerar de tillåtna rättsliga grunderna för behandling av personuppgifter. Övervägandena finns i avsnitt 6.1, 6.3 och 10.3.1. Paragrafen, som är anpassad till hur de rättsliga grunderna för behandling av personuppgifter anges i brottsdatalagen, gäller i stället för 2 kap. 1 § första stycket brottsdatalagen. Det bör noteras att regleringen i 2 kap. 2 § brottsdatalagen ger myndigheterna rättsligt stöd för att i vissa fall behandla personuppgifter enbart för diarieföring och nödvändig handläggning. Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra vissa uppgifter. Av 2 kap. 1 § andra stycket brottsdatalagen följer att uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften (se vidare prop. 2017/18:232 s. 440). Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten. Enligt punkt 1 får Skatteverket behandla personuppgifter om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet. Det är framför allt myndighetens underrättelseverksamhet som avses (se prop. 2016/17:89 s. 139). Enligt punkt 2 får personuppgifter behandlas om det är nödvändigt för att utreda brott. Vad det innebär utvecklas i prop. 2016/17:89 s. 139. Personuppgifter får enligt punkt 3 också behandlas om det är nödvändigt för att fullgöra förpliktelser som följer av internationella åtaganden, vilket tar sikte på sådana förpliktelser som syftar till att gagna utländsk brottsbekämpande verksamhet (se prop. 2016/17:89 s. 139). Behandling för nya ändamål 2 § I paragrafen, som inte har någon motsvarighet i skattebrottsdatalagen, finns en upplysning om att förutsättningarna för att personuppgifter ska få behandlas för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen. Övervägandena finns i avsnitt 6 och 10.3.1. Innan personuppgifter får behandlas för ett nytt ändamål inom eller utanför brottsdatalagens tillämpningsområde krävs det en prövning enligt 2 kap. 4 eller 22 § brottsdatalagen. Se vidare författningskommentaren till de paragraferna (prop. 2017/18:232 s. 442 f. och 451 f.). Särskilda upplysningar 3 § I paragrafen, som inte har någon motsvarighet i skattebrottsdatalagen, begränsas tillämpningen av bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen. Övervägandena finns i avsnitt 5.3.4. Det är endast personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § som i vissa fall ska förses med särskilda upplysningar. Det innebär att när personuppgifter behandlas bara av ett fåtal personer behöver särskilda upplysningar inte lämnas. Sökning Känsliga personuppgifter 4 § I paragrafen, som tillsammans med 5 § reglerar när det är tillåtet att använda känsliga personuppgifter vid sökning, görs det undantag från sökförbudet i 2 kap. 14 § brottsdatalagen. Paragrafen motsvarar 3 kap. 5 § andra stycket skattebrottsdatalagen. Övervägandena finns i avsnitt 10.3.3. Undantaget gäller vid sökning i alla slags personuppgifter, dvs. både personuppgifter som har gjorts gemensamt tillgängliga och personuppgifter som inte har det. Sökförbudet hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp, även om det skulle leda till ett urval av personer grundat på känsliga personuppgifter. Med uppgifter som beskriver en persons utseende avses bl.a. uppgifter om hudfärg eller tatueringar. Sökning på sådana uppgifter kan t.ex. ge ett urval av personer grundat på uppgifter om etniskt ursprung, politisk åskådning eller religiös övertygelse. I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sökningen resulterat i får prövas mot huvudregeln om behandling av känsliga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra sökning enligt denna paragraf medför således inte en generell rätt att fortsätta att behandla uppgifterna. 5 § I paragrafen, som tillsammans med 4 § reglerar när det är tillåtet att använda känsliga personuppgifter vid sökning, görs det undantag från sökförbudet i 2 kap. 14 § brottsdatalagen. Paragrafen har inte någon motsvarighet i skattebrottsdatalagen. Övervägandena finns i avsnitt 10.3.3. Undantaget gäller enbart vid sökning i personuppgifter som inte har gjorts gemensamt tillgängliga, dvs. personuppgifter som enbart ett fåtal har tillgång till. Sökning i sådana uppgifter får göras i syfte att få fram ett urval av personer grundat på etniskt ursprung. Sökning av det slaget kan behövas för att förebygga, förhindra eller upptäcka brottslig verksamhet som begås av flera personer som förenas av sitt etniska ursprung. I t.ex. ärenden där fråga uppkommer om falska identitetshandlingar eller gränsöverskridande ekonomisk brottslighet kan etniskt ursprung vara en gemensam faktor som knyter samman personerna i ett nätverk. I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sökningen resulterat i får prövas mot huvudregeln om behandling av känsliga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra sökning enligt denna paragraf medför således inte en generell rätt att fortsätta att behandla uppgifterna. Beskattningsdatabasen 6 § I paragrafen, som motsvarar 2 kap. 9 § skattebrottsdatalagen, regleras vilka uppgifter som Skatteverket får använda vid sökning i beskattningsdatabasen i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda brott eller fullgöra förpliktelser som följer av internationella åtaganden. Utlämnande av personuppgifter 7 § Paragrafen innehåller en sekretessbrytande bestämmelse om utlämnande av personuppgifter till utländska myndigheter och mellanfolkliga organisationer. Den motsvarar 2 kap. 11 § skattebrottsdatalagen (se prop. 2016/17:89 s. 144). Vid överföring av personuppgifter till tredjeland ska regleringen i 8 kap. brottsdatalagen också tillämpas. 8 § Paragrafen innehåller en bestämmelse som bryter viss sekretess som annars skulle ha gällt gentemot andra brottsbekämpande myndigheter. Den motsvarar 2 kap. 12 § skattebrottsdatalagen (se prop. 2016/17:89 s. 145). Sekretessen bryts om den mottagande myndigheten behöver uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen. 9 § Paragrafen reglerar när personuppgifter får lämnas ut elektroniskt. I första stycket, som delvis motsvarar 2 kap 15 § skattebrottsdatalagen, föreskrivs att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Med sådant utlämnande avses bl.a. utlämnande genom e-post eller annan elektronisk överföring eller på ett usb-minne eller annat motsvarande medium. Övervägandena finns i avsnitt 5.6.4. Det har betydelse vem mottagaren är för frågan om det är olämpligt att lämna ut uppgifter elektroniskt. Som regel kan det inte anses vara olämpligt att lämna ut uppgifter på det sättet till en myndighet (se prop. 2014/15:148 s. 113). När det gäller utlämnande till enskilda krävs en mer nyanserad bedömning. Om det finns en författningsreglerad skyldighet att sända en handling till en viss person får det avgöras om elektroniskt utlämnande är olämpligt med hänsyn till bl.a. innehållet i handlingen, vem som är mottagare, behovet av att kunna visa att personen i fråga har tagit del av handlingen och andra omständigheter. Frågan om elektroniskt utlämnande till enskilda är särskilt svårbedömd när det på grund av uppgifternas art, struktur, antal eller någon annan särskild omständighet finns anledning att befara att utlämnandet kan leda till integritetsrisker (jfr prop. 2014/15:148 s. 114). Om det kan antas att personuppgifterna kan komma att behandlas i strid med dataskyddsförordningen eller dataskyddslagen om de lämnas ut elektroniskt gäller sekretess enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400). De får då inte lämnas ut till följd av sekretess. Det kan också finnas särskild anledning att iaktta försiktighet när det gäller utlämnande av bild- och ljudupptagningar (jfr prop. 2016/17:68 s. 51 f.). Vid prövningen av om personuppgifter bör lämnas ut elektroniskt bör även informationssäkerheten vägas in. Om någon begär att få tillgång till en allmän handling med stöd av tryckfrihetsförordningen får den utlämnande myndigheten inte efterforska syftet med begäran, vilket kan ha betydelse vid prövningen av om det i ett enskilt fall är lämpligt att lämna ut en handling med personuppgifter elektroniskt. Andra stycket motsvarar 2 kap. 16 § skattebrottsdatalagen och innehåller en upplysning om att direktåtkomst endast är tillåten i den utsträckning som anges i lagen. Rätt att meddela föreskrifter 10 § I paragrafen finns en upplysning om att regeringen kan meddela föreskrifter om att personuppgifter får lämnas ut även i andra fall än som anges i 7 och 8 §§, vilket motsvarar 2 kap. 13 § första stycket skattebrottsdatalagen, och om begränsning av möjligheterna att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. Övervägandena finns i avsnitt 5.6.4. 3 kap. Gemensamt tillgängliga uppgifter Allmän bestämmelse 1 § Av paragrafen framgår att kapitlet innehåller bestämmelser om behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Vad som avses med att uppgifter görs gemensamt tillgängliga utvecklas i prop. 2016/17:89 s. 147 f. Enligt första stycket gäller kapitlet bara för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Av andra stycket framgår att kapitlet inte gäller när personuppgifter behandlas med stöd av den särskilda bestämmelsen i 2 kap. 2 § brottsdatalagen om behandling av personuppgifter för diarieföring eller för att utföra andra nödvändiga handläggningsuppgifter. Personuppgifter som får göras gemensamt tillgängliga 2 § I paragrafen, som motsvarar 3 kap. 2 § skattebrottsdatalagen, anges vilka personuppgifter som får göras gemensamt tillgängliga (se prop. 2016/17:89 s. 148 f.). Särskilda upplysningar 3 § I paragrafen, som i huvudsak motsvarar 3 kap. 4 § skattebrottsdatalagen, ställs det krav på att uppgifter som har gjorts gemensamt tillgängliga i underrättelseverksamhet i vissa fall ska förses med särskilda upplysningar. Övervägandena finns i avsnitt 5.3.4. Enligt första stycket ska det framgå av uppgifter i underrättelseverksamhet att en person inte är misstänkt för att utöva brottslig verksamhet. Det ska alltså gå att skilja mellan personer som är föremål för myndighetens intresse på grund av inblandning i brottslig verksamhet och personer som inte är misstänkta för det. Enligt andra stycket ska uppgifter om personer som kan antas ha samband med misstänkt brottslig verksamhet förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Kravet på särskild upplysning gäller bara uppgifter om en person som kan antas ha direkt samband med misstänkt brottslig verksamhet. Sambandet kan t.ex. bestå i att en person ofta träffar eller har annan kontakt med andra personer som är misstänkta för att utöva brottslig verksamhet eller ofta rör sig i miljöer där brottslighet förekommer, utan att ha naturliga skäl att befinna sig där. Uppgifter om den som är anhörig till en person som kan antas ha samband med misstänkt brottslig verksamhet faller alltså utanför, utom i de fall där båda kan antas ha direkt samband med brottslig verksamhet. Det är bara uppgifter som rör en person som är misstänkt för att utöva eller komma att utöva brottslig verksamhet som behöver förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. De uppgifter som är av intresse är, förutom uppgifter om på vilket sätt personen är knuten till den brottsliga verksamheten, framför allt uppgifter som belyser brottslighetens art och omfattning. Uppgifter av det slaget kan behöva förses med särskilda upplysningar för att personens anknytning till brottsligheten ska kunna bedömas. Utrymmet för att underlåta att förse uppgifter med upplysning om trovärdighet och riktighet vidgas något i förhållande till dagens reglering genom att det inte längre krävs särskilda omständigheter för att upplysningskravet inte ska gälla. Det är tillräckligt att det på grund av de samlade omständigheterna är onödigt att förse uppgifterna med en upplysning. Sökning 4 § Paragrafen, som i huvudsak motsvarar 3 kap. 6 § skattebrottsdatalagen, innehåller en allmän begränsning av vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter på namn, personnummer eller liknande identitetsbeteckningar (se prop. 2016/17:89 s. 151 f.). Övervägandena finns i avsnitt 10.4. Bestämmelsen gäller endast vid sökning i automatiserade behandlingssystem. Vad som avses med automatiserade behandlingssystem utvecklas i prop. 2017/18:232 s. 177 f. 5 § Paragrafen, som delvis motsvarar 3 kap. 7 § skattebrottsdatalagen, innehåller undantag från begränsningarna i 4 §. Paragrafen behandlas i avsnitt 10.4. Enligt första stycket gäller inga begränsningar vid sökning i en viss handling eller ett visst ärende. Enligt andra stycket gäller begränsningarna i 4 § inte vid vissa sökningar som utförs av särskilt angivna tjänstemän. Det gäller enligt punkt 1 när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede. Syftet med bestämmelsen är att tjänstemännen inledningsvis ska ha större möjligheter att göra sökningar för att kunna finna samband med befintliga underrättelseuppgifter. Det är således bara under en begränsad tid från det att uppgifterna kommit in som punkten är tillämplig. Så snart beredningsarbetet har avslutats upphör möjligheten att göra sökningar med stöd av den nu aktuella punkten. Enligt punkt 2 är sökningar som utförs i syfte att bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga i underrättelseverksamhet tillåtna, om det endast är de tjänstemän som får göra sökningen som också har tillgång till uppgifterna. Enligt punkt 3 gäller inte begränsningarna i 5 § vid sökning i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer. Direktåtkomst 6 § I paragrafen, som delvis motsvarar 3 kap. 8 § skattebrottsdatalagen, anges vilka myndigheter som får medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga och för vilka syften (se prop. 2016/17:89 s. 153 f.). Rätt att meddela föreskrifter 7 § I paragrafen, som motsvarar 3 kap. 7 § tredje stycket andra meningen skattebrottsdatalagen, finns en upplysning om att regeringen kan meddela föreskrifter om ytterligare undantag från bestämmelserna om sökning i 4 §, utöver vad som framgår av 5 §. 8 § I paragrafen finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om begränsning av tillgången till sådana personuppgifter som avses i 4 §, vilket motsvarar 3 kap. 6 § andra stycket skattebrottsdatalagen, under vilka förutsättningar sökning får utföras med stöd av 5 §, vilket motsvarar 3 kap. 7 § tredje stycket första meningen skattebrottsdatalagen, och omfattningen av direktåtkomst och om behörighet och säkerhet vid sådan åtkomst, vilket motsvarar 3 kap. 8 § tredje stycket skattebrottsdatalagen. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Paragrafen har inte någon motsvarighet i skattebrottsdatalagen. Övervägandena finns i avsnitt 5.5.1. I första stycket föreskrivs att bestämmelserna i kapitlet endast gäller för uppgifter som behandlas automatiserat. Andra stycket upplyser om att den grundläggande bestämmelsen om att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen finns i 2 kap. 17 § första stycket brottsdatalagen. I övriga paragrafer i kapitlet anges hur länge vissa typer av personuppgifter får behandlas inom den ram som sätts av denna huvudregel. Oavsett vilken bedömning som görs av nyttan med behandlingen av en viss personuppgift får den inte behandlas längre än vad som anges i respektive paragraf. Personuppgifter som inte har gjorts gemensamt tillgängliga 2 § I paragrafen, som motsvarar 4 kap. 3 § skattebrottsdatalagen, anges hur länge uppgifter som inte har gjorts gemensamt tillgängliga får behandlas. Någon ändring av hur länge personuppgifterna får behandlas görs inte (se prop. 2016/17:89 s. 156). Övervägandena finns i avsnitt 5.5.2. I första stycket anges hur länge uppgifterna får behandlas. Enligt andra stycket gäller inte bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen vid tillämpningen av denna paragraf. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av uppgifterna ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att de ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i denna paragraf (jfr 9 §). Tredje stycket klargör att paragrafen inte ska tillämpas på ärenden om utredning av brott. Gemensamt tillgängliga uppgifter i ärenden om utredning av brott 3 § I paragrafen, som motsvarar 4 kap. 5 § skattebrottsdatalagen, anges hur länge personuppgifter i en anmälan om brott får behandlas (se prop. 2016/17:89 s. 157). Enligt paragrafen inskränks enbart behandlingen av personuppgifter för de ändamål som regleras i lagen, vilket innebär att uppgifterna får fortsätta att behandlas automatiserat för bl.a. arkivändamål efter de tidpunkter som anges i paragrafen. Frågan behandlas i avsnitt 5.5.3. 4 § Paragrafen, som motsvarar 4 kap. 6 § skattebrottsdatalagen, reglerar hur länge personuppgifter i förundersökningar och andra utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångsbalken får behandlas (se prop. 2016/17:89 s. 157 f.). Övervägandena finns i avsnitt 5.5.3. Enligt paragrafen inskränks enbart behandlingen av personuppgifter för de ändamål som regleras i lagen, vilket innebär att uppgifterna får fortsätta att behandlas automatiserat för bl.a. arkivändamål efter de tidpunkter som anges i paragrafen. 5 § Paragrafen, som motsvarar 4 kap. 7 § skattebrottsdatalagen, reglerar vad som gäller i fråga om personuppgifter som rör någon som har varit misstänkt i en förundersökning som har lagts ned eller där åtal har lagts ned eller frikännande dom har fått laga kraft (se prop. 2016/17:89 s. 158). Övriga gemensamt tillgängliga uppgifter 6 § Av paragrafen, som delvis motsvarar 4 kap. 8 § skattebrottsdatalagen, framgår att det i de följande paragraferna finns bestämmelser om hur länge vissa typer av gemensamt tillgängliga uppgifter, som inte förekommer i ärenden om utredning av brott, får behandlas. Övervägandena finns i avsnitt 5.5.2. I första stycket finns en upplysning om att de aktuella personuppgifterna som längst får behandlas under den tid som anges i 7 och 8 §§. Enligt andra stycket gäller inte bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen om arkivlagstiftningens företräde vid tillämpningen av 7 och 8 §§. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av personuppgifterna ska upphöra när den tid som anges i 7 och 8 §§ har löpt ut, vilket innebär att uppgifterna ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i de följande paragraferna (jfr 9 §). 7 § Paragrafen, som motsvarar 4 kap. 8 § andra stycket skattebrottsdatalagen, reglerar hur länge personuppgifter får behandlas i underrättelseverksamhet (se prop. 2016/17:89 s. 159). I paragrafen tydliggörs i förhållande till dagens reglering att fristen för hur länge personuppgifter får behandlas endast ska påverkas av om det görs en ny registrering beträffande personens anknytning till brottslig verksamhet. Andra uppgifter som tillförs, t.ex. uppgifter om ändrade bostadsförhållanden eller annat som inte har betydelse för anknytningen till den brottsliga verksamheten, påverkar alltså inte hur länge personuppgifterna får behandlas. Övervägandena finns i avsnitt 5.5.4. 8 § Paragrafen, som motsvarar 4 kap. 8 § tredje stycket skattebrottsdatalagen, reglerar hur länge uppgifter som behövs för att fullgöra internationella åtaganden får behandlas. Sådana uppgifter får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Rätt att meddela föreskrifter 9 § I paragrafen, som i huvudsak motsvarar 4 kap. 2 § skattebrottsdatalagen, finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom lagens tillämpningsområde under längre tid än vad som anges i 3, 4, 7 och 8 §§. En förutsättning för sådana föreskrifter är att de tidsfrister som sätts för behandlingen hålls inom de ramar som ges i 2 kap. 17 § första stycket brottsdatalagen. Vidare anges att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter dels om att personuppgifter, trots att den tillåtna tiden för behandling har löpt ut, får fortsätta att behandlas för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål, dels om begränsning av behandlingen av personuppgifter för ändamål inom lagens tillämpningsområde vid digital arkivering. 5 kap. Övriga bestämmelser Administrativa sanktionsavgifter 1 § Paragrafen, som inte har någon motsvarighet i skattebrottsdatalagen, reglerar vid vilka överträdelser av bestämmelser i lagen som en sanktionsavgift får tas ut. Övervägandena finns i avsnitt 5.4.2. De grundläggande bestämmelserna om hur personuppgifter får behandlas inom brottsdatalagens tillämpningsområde finns i brottsdatalagen. Enligt 6 kap. brottsdatalagen får sanktionsavgift tas ut vid överträdelser av angivna bestämmelser i den lagen. I första stycket anges uttömmande vid vilka överträdelser av Skatteverkets brottsdatalag som en sanktionsavgift får tas ut av den personuppgiftsansvarige. Tillsynsmyndigheten avgör i det enskilda fallet om det är påkallat att ta ut sanktionsavgift, vilket framgår av formuleringen att avgift får tas ut. Sanktionsavgift kan tas ut för överträdelse av bestämmelserna om tillåtna rättsliga grunder, särskilda upplysningar och längsta tid som personuppgifter får behandlas. Brottsdatalagens förfaranderegler när det gäller sanktionsavgift tillämpas även vid överträdelser enligt förevarande lag. I andra stycket anges att sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § I paragrafen regleras den registrerades rätt till skadestånd för behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Övervägandena finns i avsnitt 5.4.3. Paragrafen hänvisar till 7 kap. 1 § brottsdatalagen, som ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare författningskommentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.). Överklagande 3 § I paragrafen, som behandlas i avsnitt 5.4.4, finns en upplysning om att det i 7 kap. brottsdatalagen finns bestämmelser om överklagande. Ikraftträdande- och övergångsbestämmelser Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft. Av punkt 2 framgår att skattebrottsdatalagen upphävs genom lagen. En sanktionsavgift får enligt punkt 3 beslutas endast för överträdelser som har skett efter ikraftträdandet. 18.5 Förslaget till lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område I enlighet med Lagrådets synpunkt upphävs åklagardatalagen och ersätts av en ny lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område (åklagarväsendets brottsdatalag). Innehållet i åklagarväsendets brottsdatalag motsvarar till stora delar innehållet i åklagardatalagen. Anpassningen av regelverket till brottsdatalagen innebär dock att omfattande redaktionella och strukturella ändringar görs i förhållande till dagens reglering. Som en anpassning till brottsdatalagen tillkommer ett nytt kapitel om administrativa sanktionsavgifter, skadestånd och överklagande. Bestämmelser om föreskrifter införs i förekommande fall i slutet av varje kapitel. Bestämmelserna om längsta tid för behandling av personuppgifter samlas i ett särskilt kapitel. 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § I paragrafen, som inte har någon motsvarighet i åklagardatalagen, anges lagens tillämpningsområde. Övervägandena finns i avsnitt 11.2. Lagen gäller utöver brottsdatalagen när Åklagarmyndigheten eller Ekobrottsmyndigheten, som tillsammans utgör åklagarväsendet, i egenskap av behörig myndighet enligt brottsdatalagen behandlar personuppgifter i åklagarverksamhet för vissa i lagen angivna syften. Lagen är tillämplig även när myndigheterna behandlar personuppgifter inom ramen för det internationella samarbetet, t.ex. i syfte att gagna utländsk brottsbekämpande verksamhet. Att lagen gäller utöver brottsdatalagen innebär att de grundläggande bestämmelserna om hur personuppgifter får behandlas finns i brottsdatalagen. Den nu aktuella lagen innehåller preciseringar, undantag eller avvikelser från bestämmelserna i brottsdatalagen. Bestämmelserna i lagen måste följaktligen läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av den regleringen. Av 1 kap. 3 § brottsdatalagen följer att lagen bara gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Uttrycken behörig myndighet, personuppgift och behandling av personuppgifter definieras i 1 kap. 6 § brottsdatalagen. Lagen gäller när Åklagarmyndigheten eller Ekobrottsmyndigheten behandlar personuppgifter i åklagarverksamhet om syftet med behandlingen är att förebygga eller förhindra brottslig verksamhet, utreda eller lagföra brott eller handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet. Vad det innebär utvecklas i författningskommentaren till 2 kap. 1 §. En förutsättning för att lagen ska gälla är att personuppgiftsbehandlingen utförs i åklagarverksamhet. Med det avses behandling av personuppgifter i samband med att åklagare fullgör åklagaruppgifter, t.ex. som förundersökningsledare eller fattar beslut i fråga om lagföring. Lagen gäller inte när åklagaruppgifter utförs för andra syften än de som anges i paragrafen, t.ex. när åklagare fattar beslut enligt lagen (2011:111) om förstörande av vissa hälsofarliga missbrukssubstanser. Personuppgiftsansvar 2 § Paragrafen, som motsvarar nuvarande 2 kap. 3 § åklagardatalagen, reglerar myndigheternas personuppgiftsansvar. Personuppgiftsansvarig är den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (1 kap. 6 § brottsdatalagen). Personuppgiftsansvarigas skyldigheter regleras i 3 kap. brottsdatalagen. Övervägandena såvitt avser gränsdragningen mot Polismyndighetens personuppgiftsansvar finns i avsnitt 7.2.2. Behandling av uppgifter om juridiska personer 3 § I paragrafen anges vilka bestämmelser i lagen och i brottsdatalagen som gäller för behandling av uppgifter om juridiska personer. Övervägandena finns i avsnitt 5.4.1. Uppräkningen i paragrafen av bestämmelser som gäller vid behandling av uppgifter om juridiska personer motsvarar nuvarande reglering i 1 kap. 4 § åklagardatalagen. 2 kap. Grundläggande bestämmelser om behandling Rättsliga grunder 1 § Paragrafen reglerar de tillåtna rättsliga grunderna för behandling av personuppgifter. Den motsvarar delvis nuvarande 2 kap. 5 § åklagar-datalagen. Övervägandena finns i avsnitt 11.3.1. Paragrafen, som är anpassad till hur de rättsliga grunderna för behandling av personuppgifter är utformade i 2 kap. 1 § första stycket brottsdatalagen, gäller i stället för den bestämmelsen. I 2 kap. 1 § andra stycket brottsdatalagen anges att med en behörig myndighets uppgift avses en uppgift som framgår av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften (se vidare prop. 2017/18:232 s. 440). Åklagarväsendet får enligt bestämmelsen behandla personuppgifter om det är nödvändigt för att utföra vissa uppgifter. Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten. I 2 kap. 2 § brottsdatalagen ges myndigheterna rättsligt stöd för att i vissa fall behandla personuppgifter enbart för diarieföring och viss nödvändig handläggning. Enligt punkt 1 får personuppgifter behandlas om det är nödvändigt för att förebygga eller förhindra brottslig verksamhet. Med förebygga brottslig verksamhet avses Ekobrottsmyndighetens brottsförebyggande arbete. I det ingår att lämna information om ekonomisk brottslighet till andra myndigheter, kommuner, näringsliv, organisationer och allmänheten. Med uttrycket att förhindra brottslig verksamhet avses bl.a. de uppgifter som åklagare vid Åklagarmyndigheten utför enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott, t.ex. att ansöka om tillstånd till hemlig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation. Även behandling av överskottsinformation med stöd av 27 kap. 23 a § rättegångsbalken omfattas, om syftet är att förhindra brott. Åklagarväsendet får enligt punkt 2 behandla personuppgifter om det är nödvändigt för att utreda eller lagföra brott. Med utreda brott avses framför allt att leda förundersökning och besluta om förundersökningsbegränsning enligt 23 kap. rättegångsbalken. Personuppgiftsbehandling inom ramen för den form av förenklat utredningsförfarande som regleras i 23 kap. 22 § rättegångsbalken omfattas också. Den gäller även för andra utredningar som genomförs enligt bestämmelserna i 23 kap. rättegångsbalken. Termen brott avser konkreta brott, men det kan vara fråga om både brott som bevisligen har begåtts och brott som det enbart finns misstankar om. Misstankarna behöver inte vara riktade mot någon bestämd person. Med lagföra brott avses främst beslut i fråga om åtal eller annan talan vid domstol, t.ex. särskild förverkandetalan, och att utfärda strafföreläggande. Beslut i fråga om åtalsunderlåtelse och om särskild åtalsprövning är andra exempel. Hit hör också att föra talan om eller vara motpart i fråga om resning och andra extraordinära rättsmedel. Enligt punkt 3 får åklagarväsendet behandla personuppgifter om det är nödvändigt för att handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder. Det rör sig om bl.a. ärenden om ändring eller undanröjande av påföljd. Exempel på handläggning av frågor om verkställighet av straffrättsliga påföljder är yttranden om rättspsykiatrisk vård eller utfärdande av arresteringsorder som rör straffverkställighet. Ytterligare ett exempel på vad som omfattas är de åtgärder som vidtas inom ramen för verkställighet av ett strafföreläggande. Frågor om resning kan, om de inte faller under punkten 2, också omfattas. Personuppgifter får enligt punkt 4 behandlas om det är nödvändigt för att handlägga frågor som rör upprätthållande av allmän ordning och säkerhet. Punkten är tillämplig när åklagare utreder och prövar frågor om tillträdesförbud vid idrottsarrangemang. Åklagarväsendet får enligt punkt 5 behandla personuppgifter om det är nödvändigt för att fullgöra förpliktelser som följer av internationella åtaganden. Den tar sikte på förpliktelser i syfte att gagna utländsk brottsbekämpande verksamhet. Sverige har exempelvis åtaganden enligt ett flertal konventioner där åklagare har vissa uppgifter (se prop. 2014/15:63 s. 140 f.). Handläggning av frågor som rör internationell rättslig hjälp i brottmål omfattas som regel av punkt 2 eller 3 men kan i övrigt omfattas av denna punkt. Behandling för nya ändamål 2 § I paragrafen, som saknar motsvarighet i åklagardatalagen, anges att förutsättningarna för att personuppgifter ska få behandlas för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen. Övervägandena finns i avsnitt 11.3.1. Innan personuppgifter får behandlas för ett nytt ändamål inom eller utanför brottsdatalagens tillämpningsområde måste en prövning enligt 2 kap. 4 eller 22 §§ brottsdatalagen göras. Vad prövningen innebär utvecklas i prop. 2017/18:232 s. 126 f. Särskilda upplysningar 3 § I paragrafen begränsas tillämpningen av bestämmelserna om särskilda upplysningar i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen. Bestämmelsen har inte någon motsvarighet i åklagardatalagen. Övervägandena finns i avsnitt 5.3.4. Endast personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § ska i vissa fall förses med särskilda upplysningar. Det innebär att när personuppgifter behandlas av bara ett fåtal personer behöver särskilda upplysningar inte lämnas. Eftersom åklagare normalt biträds av polisen vid förundersökningar och samma reglering gäller för polisen, framgår de upplysningar som ska lämnas enligt paragrafen normalt av sammanhanget och någon särskild upplysning behövs i så fall inte heller när det gäller uppgifter som har gjorts gemensamt tillgängliga. Känsliga personuppgifter 4 § I paragrafen, som reglerar när det är tillåtet att använda känsliga personuppgifter vid sökning, görs det undantag från det generella sökförbudet i 2 kap. 14 § brottsdatalagen. Bestämmelsen motsvarar i huvudsak 3 kap. 4 § andra stycket åklagardatalagen. Övervägandena finns i avsnitt 11.3.3. Undantaget gäller vid sökning i alla slags personuppgifter, dvs. både personuppgifter som har gjorts gemensamt tillgängliga och personuppgifter som inte har det. Sökförbudet hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp, även om det skulle leda till ett urval av personer grundat på känsliga personuppgifter. Med uppgifter som beskriver en persons utseende avses t.ex. uppgifter om kroppsbyggnad, ansiktsform, hår- och hudfärg, klädsel och fysiska kännetecken som födelsemärken, blindhet och tatueringar. I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sökningen resulterat i får prövas mot huvudregeln om behandling av känsliga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra sökning enligt denna paragraf medför således inte en generell rätt att fortsätta att behandla uppgifterna. Utlämnande av personuppgifter 5 § Paragrafen innehåller sekretessbrytande bestämmelser om utlämnande av personuppgifter till utländska myndigheter och mellanfolkliga organisationer. Den motsvarar i huvudsak nuvarande 2 kap. 13 § åklagar-datalagen. Sekretessen bryts och personuppgifter får lämnas ut till någon av de mottagare som anges i första stycket om mottagaren behöver dem för att förebygga eller förhindra brottslig verksamhet, utreda eller lagföra brott, handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder, handlägga frågor om upprätthållande av allmän ordning och säkerhet eller fullgöra förpliktelser som följer av internationella åtaganden. Detta följer av hänvisningen till 2 kap. 1 §. Det innebär att möjligheterna till utlämnande vidgas något i förhållande till dagens reglering eftersom lagen även gäller vid upprätthållande av allmän ordning och säkerhet. Vid överföring av personuppgifter till tredjeland ska regleringen i 8 kap. brottsdatalagen också tillämpas. Bestämmelsens tredje stycke skiljer sig endast redaktionellt från den nuvarande lydelsen. 6 § Paragrafen innehåller en bestämmelse som bryter viss sekretess som annars skulle ha gällt gentemot andra brottsbekämpande myndigheter. Den motsvarar nuvarande 2 kap. 14 § åklagardatalagen. Det tydliggörs att sekretessen bryts om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen. 7 § Paragrafen reglerar när personuppgifter får lämnas ut elektroniskt. Övervägandena finns i avsnitt 5.6.4. I första stycket, som delvis motsvarar nuvarande 2 kap. 16 § åklagardatalagen, föreskrivs att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Med sådant utlämnande avses bl.a. utlämnande genom e-post eller annan elektronisk överföring eller på ett usb-minne eller annat motsvarande medium. Det har betydelse vem mottagaren är för frågan om det är olämpligt att lämna ut uppgifter elektroniskt. Som regel kan det inte anses vara olämpligt att lämna ut uppgifter på det sättet till en myndighet (se prop. 2014/15:148 s. 113). När det gäller utlämnande till enskilda krävs en mer nyanserad bedömning. Om det finns en författningsreglerad skyldighet att sända en handling till en viss person får det avgöras om elektroniskt utlämnande är olämpligt med hänsyn till bl.a. innehållet i handlingen, vem som är mottagare, behovet av att kunna visa att personen i fråga har tagit del av handlingen och andra omständigheter. Är det fråga om processmaterial som översänds till parter eller ombud bör även principen om parternas likställdhet i processen beaktas. Frågan om elektroniskt utlämnande till enskilda är särskilt svårbedömd när det på grund av uppgifternas art, struktur, antal eller någon annan särskild omständighet finns anledning att befara att utlämnandet kan leda till integritetsrisker (jfr prop. 2014/15:148 s. 114). Bedömer den utlämnande myndigheten att det finns risk för att personuppgifterna kan komma att missbrukas om de lämnas ut elektroniskt gäller sekretess enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400). De får då inte lämnas ut till följd av sekretess. Det kan också finnas särskild anledning att iaktta försiktighet när det gäller utlämnande av bild- och ljudupptagningar (jfr prop. 2016/17:68 s. 51 f.). Vid prövningen av om personuppgifter bör lämnas ut elektroniskt bör givetvis även informationssäkerheten vägas in. Om någon begär att få tillgång till en allmän handling med stöd av tryckfrihetsförordningen får myndigheten inte efterforska syftet med begäran, vilket kan ha betydelse vid prövningen av om det i ett enskilt fall är lämpligt att lämna ut en handling med personuppgifter elektroniskt. Andra stycket motsvarar nuvarande 2 kap. 17 § åklagardatalagen och innehåller en upplysning om att direktåtkomst endast är tillåten i den utsträckning som anges i lagen. Rätt att meddela föreskrifter 8 § I paragrafen anges att regeringen kan meddela föreskrifter om utlämnande av personuppgifter. Det gäller föreskrifter om dels att personuppgifter får lämnas ut även i andra fall än som anges i 5 och 6 §§ (vilket motsvarar nuvarande 2 kap. 15 § första stycket åklagardatalagen), dels begränsning av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. Övervägandena finns i avsnitt 5.7. 3 kap. Gemensamt tillgängliga uppgifter Allmän bestämmelse 1 § Av paragrafen, som i huvudsak motsvarar nuvarande 3 kap. 1 § åklagardatalagen, framgår att kapitlet innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Vad som avses med att uppgifter görs gemensamt tillgängliga utvecklas i prop. 2014/15:63 s. 151 f. I första stycket tydliggörs att lagen endast omfattar åklagarverksamhet inom brottsdatalagens tillämpningsområde. Av andra stycket framgår att kapitlet inte gäller när personuppgifter behandlas med stöd av den särskilda bestämmelsen i 2 kap. 2 § brottsdatalagen om behandling av personuppgifter för diarieföring eller för att utföra andra nödvändiga handläggningsuppgifter. Personuppgifter som får göras gemensamt tillgängliga 2 § I paragrafen anges vilka personuppgifter som får göras gemensamt tillgängliga. Paragrafen motsvarar nuvarande 3 kap. 2 § åklagardatalagen (se prop. 2014/15 s. 153). Regleringen skiljer sig dock åt från den nuvarande lydelsen eftersom lagen har ett något annorlunda tillämpning0sområde än åklagardatalagen. Genom bestämmelsen får alla personuppgifter som behandlas för syften som omfattas av denna lags tillämpningsområde göras gemensamt tillgängliga. Sökning 3 § Paragrafen, som i huvudsak motsvarar nuvarande 3 kap. 5 § åklagar-datalagen, innehåller en allmän begränsning av vilka uppgifter som får tas fram vid sökning i gemensamt tillgängliga uppgifter på namn, personnummer, samordningsnummer och liknande identitetsbeteckningar. Övervägandena finns i avsnitt 11.4. Paragrafen gäller endast vid sökning i automatiserade behandlingssystem. Vad som avses med automatiserade behandlingssystem anges i prop. 2017/18:232 s. 177 f. Punkt 1 saknar motsvarighet i åklagardatalagen och innebär att uppgifter om att någon är anmäld för brott får tas fram vid sökning. Punkt 2-9 motsvarar nuvarande punkt 1-8 i åklagardatalagen (se prop. 2014/15:63 s. 155). 4 § I paragrafen, som motsvarar nuvarande 3 kap. 6 § första stycket åklagardatalagen, görs undantag från begränsningarna i 3 § (se prop. 2014/15:63 s. 156). Direktåtkomst 5 § Paragrafen motsvarar nuvarande 3 kap. 8 § första stycket åklagardatalagen och innehåller en uppräkning av vilka myndigheter som får medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga och för vilka syften (se prop. 2014/15:63 s.157). Rätt att meddela föreskrifter 6 § I paragrafen, som motsvarar nuvarande 3 kap. 6 § andra stycket åklagar-datalagen, anges att regeringen kan meddela föreskrifter om ytterligare undantag från bestämmelserna om sökning utöver vad som framgår av 4 § (se prop. 2014/15:63 s. 156). 7 § I paragrafen, där kapitlets övriga bestämmelser om föreskrifter samlas, finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om gemensamt tillgängliga uppgifter (vilket motsvarar nuvarande 3 kap. 2 § andra stycket åklagar-datalagen) och omfattningen av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst (vilket motsvarar nuvarande 3 kap. 8 § tredje stycket åklagardatalagen). Se prop. 2014/15:63 s. 153 och 158. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § De bestämmelser som anger hur länge personuppgifter får behandlas samlas i detta kapitel. Övervägandena finns i avsnitt 5.5.1. I första stycket föreskrivs att bestämmelserna i kapitlet endast gäller personuppgifter som behandlas automatiserat. Andra stycket upplyser om att den grundläggande bestämmelsen om att personuppgifter inte får behandlas längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen finns i 2 kap. 17 § första stycket brottsdatalagen. I övriga paragrafer i kapitlet anges hur länge vissa typer av personuppgifter får behandlas inom den ram som sätts av denna huvudregel. Oavsett vilken bedömning som görs av nyttan med behandlingen av en viss personuppgift får den dock inte behandlas längre än vad som anges i respektive paragraf. Personuppgifter i ärenden 2 § Paragrafen, som motsvarar nuvarande 2 kap. 10 § andra stycket åklagar-datalagen, reglerar hur länge personuppgifter i ett ärende får behandlas (se prop. 2014/15:63 s. 146). Enligt paragrafen inskränks enbart behandlingen av personuppgifter för de ändamål som regleras i lagen, vilket innebär att uppgifterna får fortsätta att behandlas automatiserat för bl.a. arkivändamål efter de tidpunkter som anges i paragrafen. 3 § Paragrafen, som motsvarar nuvarande 3 kap. 7 § åklagardatalagen, reglerar vad som gäller i fråga om personuppgifter när förundersökning inte har inletts eller har lagts ner eller där åtal har lagts ner eller frikännande dom har meddelats och fått laga kraft. (se prop. 2014/15:63 s. 156 f.). Övriga personuppgifter 4 § Första stycket, som motsvarar nuvarande 2 kap. 10 § tredje stycket åklagardatalagen, reglerar hur länge personuppgifter som inte kan hänföras till ett ärende får behandlas. Övervägandena finns i avsnitt 5.5.2. Andra stycket klargör att uppgifterna, trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen om att arkivlagstiftningen har företräde, inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av personuppgifterna ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att uppgifterna ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i denna paragraf (jfr 5 §). Rätt att meddela föreskrifter 5 § I paragrafen, som motsvarar nuvarande 2 kap. 11 § åklagardatalagen, anges att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om att uppgifter i vissa ärendetyper eller vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom lagens tillämpningsområde under längre tid än vad som anges i 2 §. Vidare anges att föreskrifter får meddelas om att personuppgifter som inte kan hänföras till ett ärende, trots att den tillåtna tiden för behandling har löpt ut, får fortsätta att behandlas för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål. Dessutom anges att föreskrifter får meddelas om begränsning av behandlingen av personuppgifter för ändamål inom lagens tillämpningsområde vid digital arkivering. Övervägandena finns i avsnitt 5.5.2 och 5.5.3. 5 kap. Övriga bestämmelser Administrativa sanktionsavgifter 1 § Paragrafen saknar motsvarighet i åklagardatalagen och reglerar vid vilka överträdelser sanktionsavgift får tas ut. Övervägandena finns i avsnitt 5.4.2. I första stycket anges vid vilka överträdelser sanktionsavgift får tas ut av den personuppgiftsansvarige. Tillsynsmyndigheten avgör i det enskilda fallet om det är påkallat att ta ut sanktionsavgift, vilket framgår av formuleringen att avgift får tas ut. Uppräkningen av vilka överträdelser som kan föranleda sanktionsavgift är uttömmande. Sanktionsavgift kan tas ut för överträdelse av bestämmelserna om tillåtna rättsliga grunder och längsta tid som personuppgifter får behandlas. Brottsdatalagens förfaranderegler när det gäller sanktionsavgift tillämpas även vid överträdelser enligt förevarande lag. I andra stycket anges att sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § I paragrafen regleras den registrerades rätt till skadestånd för behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Övervägandena finns i avsnitt 5.4.3. Paragrafen hänvisar till 7 kap. 1 § brottsdatalagen, som ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare författningskommentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 487). Överklagande 3 § I paragrafen, som inte har någon motsvarighet i åklagardatalagen, anges att det i 7 kap. brottsdatalagen finns bestämmelser om överklagande. Övervägandena finns i avsnitt 5.4.4. Övergångsbestämmelser Övervägandena angående ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft. Av punkt 2 framgår att åklagardatalagen upphävs genom lagen. En sanktionsavgift får enligt punkt 3 beslutas endast för överträdelser som har skett efter ikraftträdandet. 18.6 Förslaget till lag om domstolarnas behandling av personuppgifter inom brottsdatalagens område Lagens tillämpningsområde 1 § Paragrafen anger tillämpningsområdet för lagen. Övervägandena finns i avsnitt 12.3.1. Lagen gäller utöver brottsdatalagen för de allmänna domstolarna och de allmänna förvaltningsdomstolarna när de i egenskap av behöriga myndigheter behandlar personuppgifter för vissa syften. Att lagen gäller utöver brottsdatalagen innebär att de grundläggande bestämmelserna om hur personuppgifter får behandlas finns i brottsdatalagen. Lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område, fortsättningsvis kallad domstolarnas brottsdatalag, innehåller preciseringar, undantag eller avvikelser från bestämmelserna i brottsdatalagen. Bestämmelserna i lagen måste följaktligen läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av den regleringen. Av 1 kap. 3 § brottsdatalagen följer att domstolarnas brottsdatalag bara gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Uttrycken behörig myndighet, personuppgift och behandling av personuppgifter definieras i 1 kap. 6 § brottsdatalagen. Lagen ska tillämpas vid handläggning av mål och ärenden om utredning av eller lagföring för brott, verkställighet av häktning eller ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet. Den gäller även vid handläggning av mål och ärenden om resning eller något annat extraordinärt rättsmedel, om det ursprungliga målet eller ärendet omfattas av lagens tillämpningsområde. Behandling av personuppgifter vid expediering inom ramen för målet eller ärendets handläggning omfattas, t.ex. underrättelser till andra myndigheter om påföljden som dömts ut i ett brottmål eller om den dömde tillhör en viss yrkeskategori där domstolen är skyldig att underrätta ett tillsynsorgan om domen. Även expediering för att tillgodose partsinsynen omfattas. Behandling av personuppgifter i samband med säkerhetskontroller enligt lagen (1981:1064) om säkerhetskontroll i domstol kan omfattas av lagen, under förutsättning att behandlingen sker inom ramen för handläggningen av ett sådant mål eller ärende som anges i paragrafen. Lagen är tillämplig under hela handläggningen av ett sådant mål eller ärende som anges i paragrafen. Om t.ex. ett enskilt anspråk förs i samband med åtal för ett brott är lagen tillämplig även på den personuppgiftsbehandling som krävs för handläggningen av det enskilda anspråket. Detsamma gäller vissa andra former av särskild talan och talan om förbud som förs i brottmål, t.ex. talan om skattetillägg och näringsförbud. Om ett enskilt anspråk avskiljs för att handläggas i den ordning som gäller för tvistemål är lagen inte längre tillämplig vid handläggningen av det enskilda anspråket. Detsamma gäller en talan om skattetillägg som inte förs i ett brottmål. Utlämnande av personuppgifter i ett mål eller ärende enligt tryckfrihetsförordningen eller som ett led i serviceskyldigheten till andra myndigheter ligger utanför lagens tillämpningsområde. Enligt 2 § första stycket domstolsdatalagen (2015:728) ska den lagen tillämpas vid sådan behandling av personuppgifter. Domstolsdatalagen gäller även när personuppgifter i mål och ärenden behandlas i enlighet med föreskrifter om arkiv. Enligt punkt 1 gäller lagen när en allmän domstol behandlar personuppgifter i syfte att handlägga mål och ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet. Med mål om lagföring av brott avses bl.a. brottmål. All handläggning av brottmål omfattas därmed av lagens tillämpningsområde. Som konstateras ovan gäller det både ansvarstalan och annan talan som förs i ett brottmål, t.ex. talan om enskilt anspråk, näringsförbud eller skattetillägg. Även frågor om resning eller andra extraordinära rättsmedel i brottmål omfattas. Lagen är tillämplig vid handläggning av frågor som rör internationell rättslig hjälp i brottmål, utlämning, överlämnande enligt nordisk och europeisk arresteringsorder och annat internationellt straffrättsligt samarbete. Lagen är även tillämplig vid behandling av personuppgifter i frågor som rör kontaktförbud enligt lagen (1988:688) om kontaktförbud. Typiska frågor som rör utredning av brott är när en allmän domstol prövar häktningsfrågor eller ger tillstånd till eller prövar andra frågor om användning av straffprocessuella tvångsmedel under en förundersökning. Andra exempel på sådana frågor är en domstols beslut om vittnesförhör under förundersökningen eller förordnande av sakkunnig enligt 23 kap. 13 § respektive 14 § rättegångsbalken och prövning av frågor som rör komplettering av förundersökning enligt 23 kap. 19 § rättegångsbalken. Lagen omfattar även handläggning av ärenden enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott. Allmän domstol prövar frågor om ändring av påföljd bl.a. enligt 28 kap. 8 § brottsbalken (undanröjande av skyddstillsyn) och 38 kap. 2 och 2 a §§ brottsbalken (omprövning av påföljden på grund av ändrade förutsättningar). Allmän domstol prövar också enligt 15-19 §§ bötesverkställighetslagen (1979:189) om böter ska omvandlas till fängelse. Åklagares beslut enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang kan prövas av allmän domstol. Domstolen prövar då frågor om upprätthållande av allmän ordning och säkerhet. Enligt punkt 2 gäller lagen när allmän förvaltningsdomstol behandlar personuppgifter i syfte att handlägga mål om verkställighet av häktning eller straffrättsliga påföljder. Det gäller t.ex. prövning av Kriminalvårdens beslut om verkställighet av fängelse i kriminalvårdsanstalt enligt fängelselagen (2010:610) och om verkställighet av beslut om häktning enligt häkteslagen (2010:611). Vidare omfattas handläggning av mål om rättspsykiatrisk vård och prövning av vissa beslut av övervakningsnämnd. Även prövning av beslut enligt lagen (1998:603) om verkställighet av sluten ungdomsvård omfattas av lagen. Ett annat exempel är migrationsdomstolarnas handläggning av mål om utvisning på grund av brott. Mål i Migrationsöverdomstolen enligt lagen (1991:572) om särskild utlänningskontroll omfattas däremot inte av lagen. Även allmän förvaltningsdomstols handläggning av mål enligt ordningslagen (1993:1617) faller utanför lagens tillämpningsområde. Personuppgiftsansvar 2 § Paragrafen, som motsvarar 9 § domstolsdatalagen, innehåller en bestämmelse om personuppgiftsansvar. Övervägandena finns i avsnitt 12.3.3. Personuppgiftsansvarig är den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (1 kap. 6 § brottsdatalagen). Den nu aktuella paragrafen innebär att varje allmän domstol och varje allmän förvaltningsdomstol ska vara personuppgiftsansvarig för den behandling som den utför. Personuppgiftsansvarigas skyldigheter regleras i 3 kap. brottsdatalagen. Den personuppgiftsansvarige ska t.ex. genom lämpliga tekniska och organisatoriska åtgärder säkerställa att behandlingen av personuppgifter är författningsenlig och att registrerades rättigheter skyddas (3 kap. 2 §). Det ankommer också på den personuppgiftsansvarige att se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (3 kap. 6 §). Enligt brottsdatalagen gäller vidare att den personuppgiftsansvarige ska utse ett eller flera dataskyddsombud (3 kap. 13 §). Rättsliga grunder 3 § Paragrafen, som delvis motsvarar 6 § domstolsdatalagen, reglerar de rättsliga grunderna för behandling av personuppgifter. Övervägandena finns i avsnitt 12.4.1. Paragrafen, som är anpassad till hur de rättsliga grunderna för behandling av personuppgifter anges i brottsdatalagen, gäller i stället för 2 kap. 1 § första stycket brottsdatalagen. Det bör noteras att regleringen i 2 kap. 2 § brottsdatalagen ger domstolarna rättsligt stöd för att i vissa fall behandla personuppgifter enbart för diarieföring och nödvändig handläggning. Personuppgifter får behandlas om det är nödvändigt för att utföra vissa uppgifter. Av 2 kap. 1 § andra stycket brottsdatalagen följer att uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften (se vidare prop. 2017/18:232 s. 440). De uppgifter som är aktuella för domstolarna är handläggning av mål och ärenden inom lagens tillämpningsområde. Det rör sig alltså om mål och ärenden om utredning av eller lagföring för brott, om verkställighet av häktning eller ändring eller verkställighet av straffrättsliga påföljder och om upprätthållande av allmän ordning och säkerhet. Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten. Paragrafen omfattar alla åtgärder som behöver vidtas i ett mål eller ärende. Inom paragrafens tillämpningsområde faller exempelvis mottagande av uppgifter, diarieföring, kommunicering, protokollföring, sökning efter relevant praxis, upprättande av dom och expediering. Det förutsätts emellertid inte att en behandling är nödvändig för handläggningen av ett specifikt mål eller ärende utan behandling kan även ske för planering, uppföljning och utvärdering av verksamheten vid domstolarna. Planering, uppföljning och utvärdering anses vara en integrerad del av själva verksamheten och omfattas alltså av bestämmelsen. Därigenom kan sökningar efter relevant praxis och hantering av sådana uppgifter ske, oavsett om åtgärderna sker i syfte att underlätta domskrivningsarbete, praxisdiskussioner eller annat kompetensutvecklingsarbete (prop. 2014/15:148 s. 108). Behandling för nya ändamål 4 § I paragrafen finns en upplysning om att förutsättningarna för att behandla personuppgifter som behandlas med stöd av 3 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen. Övervägandena finns i avsnitt 12.4.2. Ett exempel på ett nytt ändamål inom brottsdatalagens tillämpningsområde är att personuppgifter i ett brottmål används för handläggningen av ett annat brottmål. Exempel på nya ändamål utanför brottsdatalagens tillämpningsområde är när personuppgifter i ett brottmål används för handläggningen av ett tvistemål eller när personuppgifter i ett mål om rättspsykiatrisk vård lämnas ut efter begäran från en enskild som inte är part i målet. Innan personuppgifter får behandlas för ett nytt ändamål inom eller utanför brottsdatalagens tillämpningsområde krävs det en prövning enligt 2 kap. 4 eller 22 § brottsdatalagen. Se vidare författningskommentaren till de paragraferna (prop. 2017/18:232 s. 442 f. och 451 f.). Behandling av personnummer 5 § I paragrafen regleras behandlingen av personnummer och samordningsnummer. Övervägandena finns i avsnitt 12.4.4. Brottsdatalagen innehåller inte några särskilda bestämmelser om behandling av personnummer. Enligt paragrafen får personnummer och samordningsnummer behandlas endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Med personnummer och samordningsnummer avses detsamma som i folkbokföringslagen (1991:481). Bestämmelsen motsvarar 3 kap. 10 § dataskyddslagen. Innebörden av bestämmelsen är att en intresseavvägning mellan behovet av behandlingen och de integritetsrisker som den innebär ska göras. Omständigheter som har betydelse vid intresseavvägningen är exempelvis om syftet med behandlingen kan uppnås på något annat sätt och behandlingens omfattning. Se vidare författningskommentaren till 3 kap. 10 § dataskyddslagen (prop. 2017/18:105 s. 199). Sökbegränsningar 6 § Paragrafen, som delvis motsvarar 14 och 15 §§ domstolsdatalagen, innehåller bestämmelser som förbjuder användningen av integritetskänsliga sökbegrepp och generella undantag från förbudet. Övervägandena finns i avsnitt 12.5.2. I första stycket anges att sökbegrepp som avslöjar sådana uppgifter som avses i 2 kap. 11 och 12 §§ brottsdatalagen, dvs. känsliga personuppgifter, inte får användas vid sökning i personuppgifter. Bestämmelsen gäller i stället för sökförbudet i 2 kap. 14 § brottsdatalagen. Med känsliga personuppgifter avses uppgifter om ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Även biometriska och genetiska uppgifter utgör känsliga personuppgifter. Utöver känsliga personuppgifter omfattas uppgifter om nationell anknytning av sökförbudet. Med uppgifter om nationell anknytning avses bl.a. uppgifter om medborgarskap, om födelseort eller om utlandsfödda föräldrar. Varje form av nationell anknytning omfattas dock inte av bestämmelsen utan det krävs att uppgifterna visar på en anknytning till ett visst land som inte är alltför svag. En uppgift om att en person har besökt ett land eller att vederbörande känner någon i landet kan inte anses utgöra uppgifter som omfattas av sökförbudet. Normalt torde uppgifter om språkkunskaper eller om behov av tolk inte heller vara att anse som en uppgift om nationell anknytning. Av andra stycket framgår att användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp inte omfattas av förbudet. Bestämmelsen tar sikte på s.k. målgrupps- och måltypskoder. Sökning med hjälp av sådana beteckningar är alltså tillåten. Det föreskrivs även att sökförbudet i första stycket inte gäller i fråga om sökningar som sker enbart bland uppgifter i en viss handling eller i ett visst mål eller ärende. 7 § Paragrafen, som delvis motsvarar 15 § domstolsdatalagen, innehåller undantag från sökförbudet i 6 § första stycket. Övervägandena finns i avsnitt 12.5.2. Enligt första stycket får uppgifter som avslöjar hälsa användas som sökbegrepp i allmän förvaltningsdomstol. I andra stycket finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att använda sökbegrepp som avslöjar hälsa. 8 § I paragrafen finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att använda sökbegrepp som avslöjar brott eller misstanke om brott. Övervägandena finns i avsnitt 12.5.2. Elektroniskt utlämnande av personuppgifter 9 § Paragrafen reglerar i vilka fall personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst. Övervägandena finns i avsnitt 12.6.2. Brottsdatalagen innehåller inte några särskilda bestämmelser om elektroniskt utlämnande på annat sätt än genom direktåtkomst. I första stycket anges att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Bestämmelsen motsvarar 16 § domstolsdatalagen, men terminologin ändras. Med utlämnande elektroniskt på annat sätt än genom direktåtkomst avses bl.a. utlämnande på ett usb-minne, genom e-post eller annan elektronisk överföring. Lämplighetsprövningen ska ske i varje enskilt fall. Det har vid lämplighetsprövningen betydelse vem mottagaren är. I fråga om utlämnande till en annan domstol eller en myndighet torde utlämnande på annat sätt än genom direktåtkomst som utgångspunkt vara tillåtet. I fråga om utlämnande av processmaterial till en part eller partens ombud, biträde eller försvarare måste kravet på en rättvis rättegång och andra processrättsliga principer beaktas. Exempelvis bör en part som regel få ta del av processmaterialet i elektronisk form om det behövs för att säkerställa att parterna i en process är likställda. Lämplighetsprövningen blir särskilt viktig när utlämnandet ska ske till enskild och det på grund av personuppgifternas art, struktur, antal eller någon annan särskild omständighet finns anledning att befara att utlämnandet i förlängningen kan leda till integritetsrisker. Försiktighet är exempelvis påkallad om det är fråga om fotografier eller ljudupptagningar. Samma sak gäller om de uppgifter som den enskildes begäran avser är sammanställda utifrån en sökning som framstår som integritetskänslig. För att uppgifterna ska kunna lämnas ut i elektronisk form måste det även finnas rutiner för datasäkerhet. Särskilda säkerhetsåtgärder kan även behöva vidtas exempelvis när personuppgifterna överförs genom e-post för att minska säkerhetsriskerna vid sådan överföring. I andra stycket finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. 10 § Paragrafen, som motsvarar 17 § domstolsdatalagen, reglerar direktåtkomst. Övervägandena finns i avsnitt 12.6.1. Med direktåtkomst avses att någon har direkt tillgång till register, databaser eller andra samlingar av uppgifter som behandlas automatiserat eller på egen hand kan söka efter information, dock utan att kunna påverka innehållet i uppgiftssamlingen. I begreppet direktåtkomst ligger också att den som är ansvarig för uppgiftssamlingen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Brottsdatalagen innehåller inte några särskilda bestämmelser om direktåtkomst. I första stycket begränsas möjligheterna för en domstol att medge direktåtkomst till vissa mottagare, nämligen dels allmänna domstolar och allmänna förvaltningsdomstolar, dels parter och parters ombud, biträde eller försvarare. Bestämmelsen ger en domstol möjlighet att medge direktåtkomst, men innebär inte någon rätt för mottagarna att få sådan åtkomst. Det är den domstol som innehar uppgifterna som bestämmer om direktåtkomst ska beviljas eller inte. Direktåtkomst får beviljas endast om det bedöms lämpligt. Paragrafen har inte någon sekretessbrytande verkan. För att en domstol ska kunna medge direktåtkomst räcker det därför inte att det är tillåtet enligt lagen. Direktåtkomst till uppgifter som omfattas av sekretess får bara medges om det står klart att mottagaren vid en prövning enligt offentlighets- och sekretesslagen (2009:400) med säkerhet skulle ha rätt att ta del av uppgifterna. I 11 kap. 4 och 8 §§ offentlighets- och sekretesslagen finns särskilda bestämmelser om överföring av sekretess vid direktåtkomst. Av andra stycket följer att direktåtkomsten för en part eller partens ombud, biträde eller försvarare endast får avse personuppgifter i partens eget mål eller ärende. I tredje stycket finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter som ytterligare begränsar möjligheterna att medge direktåtkomst till personuppgifter. Det kan t.ex. röra sig om att begränsa möjligheten till direktåtkomst till domstolar inom samma domstolsslag i vissa fall. Genom sådana föreskrifter kan det också preciseras vilka uppgifter som direktåtkomsten får avse. Det finns också en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om behörighets- och säkerhetsfrågor vid direktåtkomst. Personuppgifter i avgjorda mål och ärenden 11 § I paragrafen, som motsvarar 18 § domstolsdatalagen, finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om begränsningar för behandling av personuppgifter som hänför sig till ett mål eller ärende som har avgjorts genom en dom eller ett beslut som har fått laga kraft. Övervägandena finns i avsnitt 12.7. De föreskrifter som avses i paragrafen kan t.ex. röra begränsningar av möjligheterna att söka efter personnummer och namn i avgöranden som har fått laga kraft. Administrativa sanktionsavgifter 12 § Paragrafen reglerar vid vilka överträdelser av bestämmelser i lagen som sanktionsavgift får tas ut. Övervägandena finns i avsnitt 12.8. De grundläggande bestämmelserna om hur personuppgifter får behandlas inom brottsdatalagens tillämpningsområde finns i brottsdatalagen. Enligt 6 kap. brottsdatalagen får sanktionsavgift tas ut vid överträdelser av angivna bestämmelser i den lagen. I första stycket anges uttömmande vid vilka överträdelser av domstolarnas brottsdatalag sanktionsavgift får tas ut av den personuppgiftsansvarige. Tillsynsmyndigheten avgör i det enskilda fallet om det är påkallat att ta ut sanktionsavgift, vilket framgår av formuleringen att avgift får tas ut. Sanktionsavgift får inte tas ut om behandlingen av personuppgifter utförs inom ramen för den dömande verksamheten (jfr 5 kap. 2 § andra stycket brottsdatalagen). Sanktionsavgift kan tas ut för överträdelse av lagens bestämmelser om rättsliga grunder och sökförbud. Brottsdatalagens förfaranderegler när det gäller sanktionsavgifter tillämpas när sanktionsavgift tas ut. I andra stycket anges att sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 13 § I paragrafen regleras den registrerades rätt till skadestånd för behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Övervägandena finns i avsnitt 12.9.1. Paragrafen hänvisar till 7 kap. 1 § brottsdatalagen, som ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Se vidare författningskommentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.). Överklagande 14 § Paragrafen, som har utformats med 20 § domstolsdatalagen som förebild, innehåller bestämmelser om överklagande av beslut som har meddelats av en personuppgiftsansvarig domstol. Övervägandena finns i avsnitt 12.9.2. Bestämmelser om överklagande finns i 7 kap. brottsdatalagen. Denna paragraf gäller i stället för 7 kap. 2 § brottsdatalagen. I första stycket första meningen anges vilka beslut enligt brottsdatalagen som får överklagas. De beslut som får överklagas är beslut om rättelse eller komplettering enligt 4 kap. 9 § första stycket, beslut om radering enligt 4 kap. 10 § första stycket, beslut om begränsning av behandlingen enligt 4 kap. 9 § andra stycket eller 10 § andra stycket, beslut att inte lämna information enligt 4 kap. 3 §, beslut att ta ut avgift enligt 4 kap. 12 § andra stycket och beslut att inte medge prövning av ett automatiserat beslut enligt 2 kap. 19 § första stycket. Av bestämmelsen framgår att de nämnda besluten, som meddelats av en personuppgiftsansvarig hovrätt, tingsrätt eller förvaltningsrätt, får överklagas till kammarrätten. Det krävs inte prövningstillstånd i kammarrätten vid ett sådant överklagande. I sista meningen anges att ett beslut som har meddelats av en kammarrätt i egenskap av personuppgiftsansvarig får överklagas till Högsta förvaltningsdomstolen. Enligt andra stycket får Högsta domstolens och Högsta förvaltningsdomstolens beslut som dessa domstolar meddelat i egenskap av personuppgiftsansvariga inte överklagas. Ikraftträdande- och övergångsbestämmelser Övervägandena om ikraftträdande- och övergångsbestämmelserna finns i avsnitt 16. Enligt punkt 1 träder lagen i kraft den 1 januari 2019. Av punkt 2 framgår att domstolsdatalagen i lydelsen före den 25 maj 2018 fortfarande gäller för överklagande av beslut som har meddelats före den 1 januari 2019. I punkt 3 anges att en sanktionsavgift endast får beslutas för överträdelse som har skett efter ikraftträdandet. 18.7 Förslaget till lag om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område I enlighet med Lagrådets synpunkt upphävs lagen om behandling av personuppgifter inom kriminalvården och ersätts av en ny lag om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område (kriminalvårdens brottsdatalag). Innehållet i kriminalvårdens brottsdatalag motsvarar i stora delar innehållet i lagen om behandling av personuppgifter inom kriminalvården men den renodlas så att den bara omfattar behandling av personuppgifter inom brottsdatalagens tillämpningsområde. De grundläggande bestämmelserna om säkerhetsregistret, som hittills har reglerats i förordning, tas in i den nya lagen. Lagen delas in i kapitel på samma sätt som övriga registerförfattningar. Som en anpassning till brottsdatalagen tillkommer ett kapitel om administrativa sanktionsavgifter, skadestånd och överklagande. 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Paragrafen anger lagens tillämpningsområde. Övervägandena finns i avsnitt 13.2.1. Lagen gäller för behandling av personuppgifter när en myndighet inom kriminalvården i egenskap av behörig myndighet enligt brottsdatalagen behandlar personuppgifter för vissa syften. I kriminalvården ingår dels myndigheten Kriminalvården, dels övervakningsnämnderna. Att lagen gäller utöver brottsdatalagen innebär att de grundläggande bestämmelserna om hur personuppgifter får behandlas finns i brottsdatalagen. Den nu aktuella lagen innehåller preciseringar, undantag eller avvikelser från bestämmelserna i brottsdatalagen. Bestämmelserna i lagen måste följaktligen läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av den regleringen. Av 1 kap. 3 § brottsdatalagen följer att lagen bara gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Uttrycken behörig myndighet, personuppgift och behandling av personuppgifter definieras i 1 kap. 6 § brottsdatalagen. Tillämpningsområdet omfattar huvudsakligen verkställighet av häktning och straffrättsliga påföljder. Av häktesverksamheten omfattas endast sådan häktning som ligger inom brottsdatalagens tillämpningsområde. Det innebär att verkställighet av häktning enligt konkurslagen (1987:672) inte omfattas och inte heller förvaring i häkte för andra ändamål än brottsutredning, lagföring och verkställighet av straffrättsliga påföljder. Att annan häktesverksamhet ligger utanför tillämpningsområdet beror på att Kriminalvården då inte agerar som behörig myndighet enligt brottsdatalagen. I straffverkställighet ingår verkställighet av fängelsestraff och av de frivårdspåföljder som Kriminalvården har ansvaret för. I verkställigheten ingår också att förhindra eller förebygga brott under häktning och verkställighet av påföljder, att förebygga återfall i brott och att upprätthålla säkerheten. När övervakningsnämnderna behandlar personuppgifter görs det också inom ramen för straffverkställighet. Straffverkställighet omfattar även utländska domar, om verkställigheten har övertagits från den andra staten. Lagen gäller också för sådan personuppgiftsbehandling som utförs inom kriminalvården i syfte att biträda andra behöriga myndigheter när de utför uppgifter för något av de syften som anges i 1 kap. 2 § brottsdatalagen, dvs. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, samt upprätthålla allmän ordning och säkerhet. Vad det innebär utvecklas i avsnitt 13.2.1 och i kommentaren till 2 kap. 1 §. Personuppgiftsansvar 2 § I paragrafen anges vilka myndigheter som är personuppgiftsansvariga. Övervägandena finns i avsnitt 13.2.2. Personuppgiftsansvarig är den myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (1 kap. 6 § brottsdatalagen). Den personuppgiftsansvarigas skyldigheter regleras i 3 kap. brottsdatalagen. Den personuppgiftsansvarige ska t.ex. genom lämpliga tekniska och organisatoriska åtgärder säkerställa att behandlingen av personuppgifter är författningsenlig och att registrerades rättigheter skyddas (3 kap. 2 §). Det ankommer också på den personuppgiftsansvarige att se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (3 kap. 6 §). Av första stycket framgår att Kriminalvården är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Bestämmelsen motsvarar i den delen nuvarande 4 § lagen om behandling av personuppgifter inom kriminalvården. Enligt andra stycket är en övervakningsnämnd personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför. Övervakningsnämnderna är självständiga myndigheter och ansvarar alltså för sin egen personuppgiftsbehandling. Det hindrar inte att nämnderna kan samarbeta och t.ex. utse ett gemensamt dataskyddsombud. 2 kap. Grundläggande bestämmelser om behandling Rättsliga grunder 1 § Paragrafen reglerar de tillåtna rättsliga grunderna för behandling av personuppgifter. Övervägandena finns i avsnitt 13.3.1. Paragrafen, som är anpassad till hur de rättsliga grunderna för behandling av personuppgifter anges i brottsdatalagen, gäller i stället för 2 kap. 1 § första stycket brottsdatalagen. Det bör noteras att regleringen i 2 kap. 2 § brottsdatalagen ger myndigheterna rättsligt stöd för att i vissa fall behandla personuppgifter enbart för diarieföring och nödvändig handläggning. Enligt paragrafen får personuppgifter behandlas om det är nödvändigt för att kunna utföra vissa uppgifter. I 2 kap. 1 § andra stycket brottsdatalagen anges att med en behörig myndighets uppgift avses en uppgift som framgår av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften (se vidare prop. 2017/18:232 s. 440). Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten. Enligt punkt 1 får personuppgifter behandlas om det är nödvändigt för att kunna verkställa häktning eller straffrättsliga påföljder. De påföljder som är aktuella är fängelsestraff, skyddstillsyn och villkorlig dom med föreskrift om samhällstjänst. Med fängelsestraff avses här även sådant fängelsestraff som utgör förvandlingsstraff för böter eller vite. Regleringen omfattar även motsvarande straffrättsliga påföljder som utdömts i en annan stat om påföljden ska verkställas i Sverige. Verkställigheten av häktning omfattar, som framgår av kommentaren till 1 kap. 1 §, endast sådan häktning som ligger inom brottsdatalagens tillämpningsområde. Personuppgifter får, enligt punkt 2, behandlas om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet i samband med verkställighet. Med verkställighet avses här både verkställighet av häktning och verkställighet av straffrättsliga påföljder. När myndigheten behandlar personuppgifter för att utföra sådana uppgifter, t.ex. för att undvika att placera intagna som tillhör rivaliserande gäng tillsammans eller förhindra att narkotika tas in på ett häkte eller i en kriminalvårdsanstalt, utgör det alltså en tillåten behandling. För att regleringen inte ska tolkas för snävt används här uttrycket "i samband med verkställighet". Det kan t.ex. vara osäkert om ett visst handlande som har betydelse ur säkerhetssynpunkt ligger före, under eller efter verkställigheten. Enligt punkt 3 får personuppgifter behandlas om det är nödvändigt för att biträda andra behöriga myndigheter när de fullgör uppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. I det ingår bl.a. Kriminalvårdens personutredningar i brottmål och transporter av häktade under brottsutredningar eller till och från domstolsförhandlingar i brottmål. Vidare omfattas det biträde som består i att Kriminalvården på vissa orter hanterar Polismyndighetens arrestverksamhet. Även biträde åt övervakningsnämnder eller domstolar bl.a. vid omhändertagande enligt 28 kap. 11 § brottsbalken om undanröjande av skyddstillsyn omfattas. Personuppgifter får, enligt punkt 4, behandlas om det är nödvändigt för att myndigheten ska kunna utföra en uppgift som följer av en internationell förpliktelse. Sådana internationella förpliktelser kan bestå i exempelvis att ta över straffverkställighet från en annan stat för verkställighet i Sverige eller att tillfälligt förvara personer som transporteras genom Sverige för straffverkställighet i ett annat land. Det kan också vara fråga om att hantera någon som har frihetsberövats med stöd av en arresteringsorder. 2 § I paragrafen upplyses om att förutsättningarna för att personuppgifter ska få behandlas för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen. Övervägandena finns i avsnitt 6 och 13.3.1. Innan personuppgifter får behandlas för ett nytt ändamål inom eller utanför brottsdatalagens tillämpningsområde krävs det en prövning enligt 2 kap. 4 eller 22 § brottsdatalagen. Vad prövningen innebär utvecklas i avsnitt 6.3 och i prop. 2017/18:232 s. 125 f. Känsliga personuppgifter 3 § I paragrafen regleras när biometriska uppgifter får behandlas. Övervägandena finns i avsnitt 13.3.2. Biometriska uppgifter definieras i 1 kap. 6 § brottsdatalagen som personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga. Paragrafen möjliggör således användning av särskild teknisk behandling för att bekräfta unik identifiering av en person. Det innebär att t.ex. fingeravtryck, ansiktsgeometri, röstigenkänning eller rörelsemönster får användas för att identifiera en person. Biometriska uppgifter får behandlas enligt de förutsättningar som anges i 2 kap. 12 § brottsdatalagen. Behandlingen av de biometriska uppgifterna ska vara absolut nödvändig för ändamålet med behandlingen. Det innebär att behovet av att behandla sådana uppgifter måste prövas särskilt noga. Utlämnande av personuppgifter 4 § I paragrafen anges när personuppgifter får lämnas ut till en utländsk myndighet eller internationell organisation. Övervägandena finns i avsnitt 13.3.2. Bestämmelserna är sekretessbrytande. När personuppgifter överförs till tredjeland ska även bestämmelserna i 8 kap. brottsdatalagen beaktas. Punkt 1 gäller vid överflyttning av straffverkställighet till en annan stat. En liknande bestämmelse finns i nuvarande 48 § förordningen (2001:682) om behandling av personuppgifter inom kriminalvården. En förutsättning är att informationen lämnas till en myndighet i den andra staten som har till uppdrag att pröva om straffverkställigheten ska överflyttas eller att genomföra överflyttningen av verkställigheten till den andra staten. De personuppgifter som det kan vara fråga om rör bl.a. påföljden och den dömdes anknytning till den andra staten. Om verkställighet pågår i Sverige är uppgifter om verkställigheten av stor betydelse. Punkt 2 avser den situationen att Kriminalvården behöver lämna information till en annan stats myndigheter om en person som är frihetsberövad och ska transiteras genom den andra staten. Personuppgifter som kan behöva överföras kan t.ex., utöver direkta personuppgifter, röra säkerhetsfrågor eller frågor som rör den enskildes behov av specialkost eller medicinering. Enligt punkt 3 får personuppgifter lämnas ut till en annan stats myndigheter om det behövs t.ex. för att en person som avtjänar fängelsestraff i Sverige tillfälligt ska kunna överföras till den andra staten för att där vittna i en brottmålsrättegång eller lagföras för brott. De personuppgifter som det kan röra sig om är av samma slag som anges i punkt 2. Längsta tid som personuppgifter får behandlas 5 § Paragrafen anger den längsta tid under vilken uppgifter om en person får behandlas automatiserat. Övervägandena finns i avsnitt 5.5. Bestämmelsen i första stycket, som motsvarar nuvarande 7 § lagen om behandling av personuppgifter inom kriminalvården, anger hur länge personuppgifter får behandlas för att myndigheten ska kunna utföra någon av de uppgifter som anges i 2 kap. 1 §. Av andra stycket framgår att uppgifterna, trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen om att arkivlagstiftningen har företräde, inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av personuppgifterna ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att de ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i denna paragraf (jfr 6 §). I tredje stycket finns en upplysning om att det i 3 kap. 7 § finns bestämmelser om längsta tid för behandling av personuppgifter i säkerhetsregistret. Rätt att meddela föreskrifter 6 § I paragrafen finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka personuppgifter som får behandlas, utlämnande av personuppgifter i andra fall än som anges i lagen, frågor som rör direktåtkomst till personuppgifter och längsta tid som personuppgifter får behandlas. Övervägandena finns i avsnitt 5.7. Regeringen eller den myndighet som regeringen bestämmer kan även meddela föreskrifter om att personuppgifter får behandlas under längre tid än vad som följer av 5 § för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål, vilket motsvarar nuvarande 7 § andra stycket lagen om behandling av personuppgifter inom kriminalvården. 3 kap. Säkerhetsregistret Rätten att föra register 1 § I paragrafen regleras rätten att föra ett säkerhetsregister. Övervägandena finns i avsnitt 13.5.1. Bestämmelser om säkerhetsregistret finns i nuvarande 39-41 och 43-45 §§ förordningen om behandling av personuppgifter inom kriminalvården. I säkerhetsregistret får personuppgifter behandlas för två syften. Enligt punkt 1 får personuppgifter behandlas i syfte att förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straffverkställighet. Personuppgifter får enligt punkt 2 behandlas för att säkerställa ordning och säkerhet på häkten och i kriminalvårdsanstalter och annan verksamhet som Kriminalvården bedriver. Till det sistnämnda hör bl.a. halvvägshus och utslussningsenheter. Innehåll i registret 2 § Paragrafen reglerar, tillsammans med 3 och 4 §§, vilka personkategorier som får registreras i säkerhetsregistret. I denna paragraf anges huvudregeln för behandling av personuppgifter i registret. Övervägandena finns i avsnitt 13.5.2. Utgångspunkten för att det ska få finnas uppgifter om en person i registret är att han eller hon bedöms utgöra en säkerhetsrisk. Endast uppgifter om personer som är häktade eller verkställer ett fängelsestraff och som på någon av de särskilt uppräknade grunderna bedöms medföra en säkerhetsrisk för häktesverksamheten eller vid straffverkställigheten får behandlas i registret enligt denna paragraf. Regleringen träffar bara dem som är häktade eller intagna i kriminalvårdsanstalt för sådana syften som omfattas av brottsdatalagens tillämpningsområde. Därför får t.ex. personuppgifter om den som är häktad enligt konkurslagen eller som förvaras i häkte med stöd av utlänningslagstiftningen inte behandlas i registret med stöd av denna bestämmelse. Grunderna för registrering motsvarar i allt väsentligt regleringen i nuvarande 39 och 40 §§ förordningen om behandling av personuppgifter inom kriminalvården. Av första stycket framgår att uppgifter om personer som är eller har varit placerade på säkerhetsavdelning får behandlas i registret. Vad som krävs för placering på säkerhetsavdelning framgår av 2 kap. 4 § fängelselagen (2010:610). Registret får enligt andra stycket innehålla uppgifter om en intagen eller häktad, om det finns risk för att han eller hon under häktningen eller verkställigheten av straffet begår brott eller utövar viss brottslig verksamhet eller på annat sätt äventyrar ordning och säkerhet på ett häkte eller i en kriminalvårdsanstalt. Registreringen bygger således på en riskbedömning. Enligt punkt 1 får personuppgifter behandlas i registret om det finns risk för att en häktad eller intagen begår brott som inte är ringa. Om ett brott är ringa eller inte får bedömas med utgångspunkt i omständigheterna i det enskilda fallet och brottets straffskala. Redan misstanke om brott kan läggas till grund för registrering, eftersom det är fråga om en riskbedömning. För registrering krävs således inte att det är straffrättsligt prövat att personen har begått brott. Vidare får personuppgifter behandlas om det finns risk för att den häktade eller intagne utövar brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer. En sådan risk kan, beroende på omständigheterna i det enskilda fallet, föreligga i fråga om en intagen som har begått mycket allvarlig brottslighet eller som har anknytning till grov organiserad brottslighet. Det är straffskalan för brottet som är avgörande för om uppgifterna får registreras. Regleringen innebär att brott som har ett maximistraff om två års fängelse eller mer omfattas. Genom formuleringen omfattas även livstidsstraff. Det är endast brott eller brottslig verksamhet i häkte eller under verkställighet av fängelsestraff som får beaktas. Punkt 2 innebär att personuppgifter får behandlas beträffande en häktad eller intagen, om det finns risk för att han eller hon förbereder rymning eller försöker rymma. Enligt punkt 3 får uppgifter behandlas om en häktad eller intagen om det finns risk för att han eller hon blir föremål för fritagning. Tidigare försök till rymning eller fritagning kan tyda på att det finns en sådan risk. Enligt punkt 4 får uppgifter om en häktad eller intagen behandlas om det finns risk för att han eller hon bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt. Det behöver inte vara fråga om ett straffbart handlande. Kravet på att ordningsstörningen ska vara allvarlig innebär att inte alla störningar får beaktas. Punkt 5 innebär att uppgifter om en person som riskerar att utsättas för våld eller hot under verkställigheten också får registreras i säkerhetsregistret. Det kan behövas för att förhindra att en intagen placeras tillsammans med personer som kan utgöra ett hot mot honom eller henne under verkställigheten. Av 2 kap. 9 § brottsdatalagen följer att det ska framgå av registret att personen i fråga inte själv utgör en säkerhetsrisk. 3 § Paragrafen reglerar tillsammans med 2 och 4 §§ vilka personkategorier som får registreras i säkerhetsregistret. Övervägandena finns i avsnitt 13.5.3. Gruppen av personer som får registreras med stöd av denna paragraf är bredare än i 2 §. Paragrafen kan tillämpas på alla som verkställer en påföljd inom kriminalvården. Förutom fängelsestraff är det fråga om frivårdspåföljder som kriminalvården ansvarar för. Förutsättningen för att personuppgifter ska få behandlas är att det finns risk för att personen utövar våld eller hot mot eller otillbörlig påverkan på personal inom kriminalvården eller andra personer som uppehåller sig i kriminalvårdens lokaler. Otillbörlig påverkan kan i vissa fall innefatta ett straffbart handlande, t.ex. utpressning, men även andra former av påverkan kan utgöra grund för registrering, t.ex. förtäckta hot. Den som t.ex. genom brev eller telefonsamtal hotar kriminalvårdens personal omfattas av regleringen, eftersom det inte krävs att hotet uttalas i kriminalvårdens lokaler. Regleringen träffar också den som i kriminalvårdens lokaler utövar våld mot andra klienter eller personer som tillfälligt befinner sig i lokalerna. 4 § Paragrafen reglerar möjligheten att i säkerhetsregistret behandla uppgifter om personer som inte är intagna i häkte eller verkställer påföljd. Övervägandena finns i avsnitt 13.5.4. Enligt paragrafen får Kriminalvården även behandla uppgifter om personer som har personlig anknytning till eller annan nära förbindelse med någon som är registrerad i säkerhetsregistret med stöd av 2 §. Det krävs dock att registreringen är absolut nödvändig för ändamålet med behandlingen. Det ställs således väsentligt högre krav för registrering med stöd av nu aktuell paragraf. Med personlig anknytning avses t.ex. anhöriga eller andra närstående till en registrerad. En person som har nära förbindelse med den som är registrerad enligt 2 § kan exempelvis vara en tidigare medbrottsling. Genom kravet på nära förbindelse utesluts professionella aktörer som t.ex. försvarare, kontaktpersoner och tolkar som i den egenskapen har en förbindelse med en registrerad. Uppgifter om sådana personer får alltså inte registreras. Uppgifter om personer som registreras med stöd av paragrafen och som inte själva är häktade eller intagna ska alltid förses med en särskild upplysning om det enligt 2 kap. 9 § brottsdatalagen. Genom sådana upplysningar kan man skilja anknytningspersoner från sådana personer som själva utgör en säkerhetsrisk. Känsliga personuppgifter 5 § Paragrafen reglerar Kriminalvårdens möjlighet att använda känsliga personuppgifter vid sökning i personuppgifter i säkerhetsregistret. Övervägandena finns i avsnitt 13.5.5. Paragrafen motsvarar nuvarande 41 § andra stycket förordningen om behandling av personuppgifter inom kriminalvården. I paragrafen görs undantag från det generella sökförbudet i 2 kap. 14 § brottsdatalagen. Enligt paragrafen är det tillåtet att utföra sökningar i syfte att få fram ett urval av personer grundat på vissa känsliga personuppgifter. Därmed tillåts sökningar som görs för att få fram ett urval av personer som t.ex. har visst etniskt ursprung eller viss religiös åskådning. Sökningar av det slaget kan behövas för t.ex. placering av en intagen. Rätten att söka på känsliga personuppgifter gäller dock inte sökning på ras, medlemskap i fackförening eller biometriska uppgifter. Sökning som syftar till att få fram ett urval av personer grundat på sådana uppgifter är alltså inte tillåten. I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sökningen resulterat i får prövas mot huvudregeln om behandling av känsliga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra sökningar enligt förevarande paragraf medför således inte en generell rätt att fortsätta att behandla uppgifterna. Direktåtkomst 6 § I paragrafen regleras möjligheten att medge direktåtkomst till säkerhetsregistret. Övervägandena finns i avsnitt 13.5.6. Paragrafen motsvarar nuvarande 44 § första stycket förordningen om behandling av personuppgifter inom kriminalvården. De myndigheter som räknas upp är Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten. Direktåtkomst får endast medges ett syfte som anges i 1 kap. 2 § brottsdatalagen. Vilka personuppgifter som får göras tillgängliga genom direktåtkomst regleras i förordning. Längsta tid som personuppgifter får behandlas 7 § Paragrafen anger den längsta tid som personuppgifter i säkerhetsregistret får behandlas. Övervägandena finns i avsnitt 13.5.7. Paragrafen motsvarar i huvudsak nuvarande 45 § förordningen om behandling av personuppgifter inom kriminalvården. I första stycket anges hur länge uppgifterna får behandlas. Av andra stycket framgår att bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) inte gäller vid tillämpningen av denna paragraf. Det innebär att personuppgifterna inte får arkiveras digitalt. Utgångspunkten är alltså att all automatiserad behandling av uppgifterna ska upphöra när den tid som anges i paragrafen har löpt ut, vilket innebär att de ska tas bort. Endast om det har meddelats uttryckliga föreskrifter som innebär att uppgifterna i fråga får behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål får de behandlas automatiserat längre än vad som anges i denna paragraf (jfr 2 kap. 6 §). Rätt att meddela föreskrifter 8 § I paragrafen finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om innehållet i säkerhetsregistret och om utlämnande av personuppgifter ur registret. Övervägandena finns i avsnitt 13.5.8. 4 kap. Övriga bestämmelser Administrativa sanktionsavgifter 1 § Paragrafen reglerar vid vilka överträdelser sanktionsavgift får tas ut. Övervägandena finns i avsnitt 5.4.2. I första stycket anges vid vilka överträdelser sanktionsavgift får tas ut av den personuppgiftsansvarige. Tillsynsmyndigheten avgör i det enskilda fallet om det är påkallat att ta ut sanktionsavgift, vilket framgår av formuleringen att avgift får tas ut. Uppräkningen av vilka överträdelser som kan föranleda sanktionsavgift är uttömmande. Sanktionsavgift kan tas ut för överträdelse av bestämmelserna om tillåtna rättsliga grunder, särskilda upplysningar och längsta tid som personuppgifter får behandlas. Brottsdatalagens förfaranderegler när det gäller sanktionsavgifter tillämpas även vid överträdelser enligt förevarande lag. Enligt andra stycket får sanktionsavgift även tas ut vid överträdelse av föreskrifter som har meddelats i anslutning till lagen och som rör särskild upplysning eller längsta tid som personuppgifter får behandlas. I tredje stycket anges att sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § I paragrafen regleras den registrerades rätt till skadestånd för behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Övervägandena finns i avsnitt 5.4.3. Paragrafen motsvarar nuvarande 8 §. Paragrafen hänvisar till 7 kap. 1 § brottsdatalagen (2018:000), som ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare författningskommentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.). Överklagande 3 § I paragrafen finns en upplysning om att det i 7 kap. brottsdatalagen finns bestämmelser om överklagande. Övervägandena finns i avsnitt 5.4.4. Ikraftträdande- och övergångsbestämmelser Övervägandena kring ikraftträdande- och övergångsbestämmelserna finns i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft. Av punkt 2 framgår att lagen (2001:617) om behandling av personuppgifter inom kriminalvården upphävs genom lagen. En sanktionsavgift får enligt punkt 3 beslutas endast för överträdelser som har skett efter ikraftträdandet. Bestämmelsen tydliggör att sanktionsavgift inte får beslutas för en överträdelse som har skett före ikraftträdandet, även om sanktionsavgift skulle betraktas som en mildare åtgärd än ett straff. Enligt punkt 4 ska den upphävda lagen fortsätta att gälla för överträdelser av bestämmelser om personuppgiftsbehandling som skett före ikraftträdandet. Den gäller endast för sådana överträdelser som varit straffbara enligt 49 § personuppgiftslagen. Vid bedömningen av om det varit fråga om en överträdelse ska de krav som gällde för personuppgiftsbehandling vid tidpunkten för överträdelsen tillämpas. I punkt 5 föreskrivs att den upphävda lagen också ska gälla för överklagande av beslut om behandling av personuppgifter i sådana syften som anges i 1 kap. 1 § som har meddelats före ikraftträdandet. Punkten tar inte bara sikte på själva överklagandet utan också på vilket regelverk som ska tillämpas när överklagandet prövas. Den upphävda lagen ska tillämpas även i det fallet. 18.8 Förslaget till lag om ändring i rättegångsbalken 28 kap. 12 a § Paragrafen reglerar kroppsbesiktning i form av salivprov som tas på den som är skäligen misstänkt. En hänvisning till polisdatalagen (2010:361) ersätts med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 7.1.2. Paragrafen ändras också redaktionellt. 12 b § Paragrafen reglerar kroppsbesiktning i form av salivprov som tas på annan än den som är skäligen misstänkt. I första stycket görs endast en redaktionell ändring. I andra stycket ersätts en hänvisning till polisdatalagen (2010:361) med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 7.1.2. Stycket ändras också redaktionellt. Tredje stycket är oförändrat. 18.9 Förslaget till lag om ändring i polislagen (1984:387) 26 § I paragrafen regleras på vilket sätt Polismyndigheten och Säkerhetspolisen får ta del av uppgifter som med stöd av 26 § tillhandahålls av transportföretag. Övervägandena finns i avsnitt 7.4.1. Första stycket är oförändrat. I andra stycket regleras numera endast i vilken omfattning Polismyndigheten och Säkerhetspolisen får ta del av uppgifter genom terminalåtkomst. Polismyndighetens behandling av sådana personuppgifter regleras i polisens brottsdatalag. Motsvarande behandling hos Säkerhetspolisen regleras övergångsvis i polisdatalagen (2010:361) enligt en övergångsbestämmelse till samma lag. 18.10 Förslaget till lag om ändring i säkerhetsskyddslagen (1996:627) 12 § I paragrafen anges vad som avses med registerkontroll. I paragrafen ersätts hänvisningen till polisdatalagen (2010:361) med en hänvisning till lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. Hänvisningen innebär att alla uppgifter som behandlas med stöd av de rättsliga grunderna i den lagen kan hämtas in. Övervägandena finns i avsnitt 7.1.2. Hänvisningen till lagen (2010:362) om polisens allmänna spaningsregister tas bort, eftersom den lagen har upphört att gälla. Ikraftträdande- och övergångsbestämmelser Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft. Punkt 2 innebär att även uppgifter som Säkerhetspolisen behandlar med stöd av polisdatalagen (2010:361) kan hämtas inom ramen för en registerkontroll. Av en övergångsbestämmelse till polisens brottsdatalag framgår att Säkerhetspolisen övergångsvis ska tillämpa bestämmelserna i polisdatalagen (2010:361) vid behandling av personuppgifter i frågor som rör nationell säkerhet. Sådana uppgifter kan alltså hämtas in i samma utsträckning även fortsättningsvis inom ramen för en registerkontroll. 18.11 Förslaget till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen 16 § I paragrafen, som behandlas i avsnitt 8.4, regleras på vilket sätt Tullverket får ta del av uppgifter som lämnas av transportföretag med stöd av 15 §. Första stycket är oförändrat. I andra stycket regleras numera endast i vilken omfattning Tullverket får ta del av uppgifter genom terminalåtkomst. Myndighetens behandling av sådana personuppgifter regleras i lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. 18.12 Förslaget till lag om ändring i lagen (2000:344) om Schengens informationssystem 5 § I paragrafen anges övergripande vad registret får innehålla och vem som får behandla personuppgifter i registret. Första stycket är oförändrat. I andra stycket ersätts hänvisningen till personuppgiftslagen (1998:204), polisdatalagen (2010:361) och annan svensk författning med en hänvisning till brottsdatalagen, polisens brottsdatalag och annan författning. Med annan författning avses till exempel dataskyddsförordningen. Av lagen (1994:1500) med anledning av Sveriges anslutning till Europeiska unionen följer bl.a. att EU-förordningar är att jämställa med svensk lag. Övervägandena finns i avsnitt 7.1.2. 18.13 Förslaget till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet 1 kap. 1 § Paragrafen anger tillämpningsområdet för lagen. Första och andra styckena är oförändrade. I tredje stycket tas en hänvisning bort, eftersom det i fortsättningen får avgöras utifrån syftet med behandlingen vilken reglering som är tillämplig när personuppgifter behandlas i Tullverkets brottsbekämpande verksamhet. Om syftet är att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott tillämpas brottsdatalagen och lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område, medan dataskyddsförordningen med kompletterande lagstiftning är tillämplig om syftet ligger utanför dessa lagars tillämpningsområden. 5 § I paragrafen anges i vilken utsträckning personuppgifter som behandlas med stöd av 4 § får behandlas för att tillhandahållas utanför den verksamhet som lagens tillämpningsområde omfattar. I andra punkten ändras hänvisningen med anledning av att tullbrottsdatalagen (2017:447) upphävs och ersätts av lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område, vilket behandlas i avsnitt 8.1.2 18.14 Förslaget till lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang 8 a § Paragrafen reglerar rätten att fotografera den som har eller skäligen kan antas få tillträdesförbud. I paragrafen ersätts en hänvisning till lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 14.5. 18.15 Förslaget till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet 1 § I paragrafen anges vad Säkerhets- och integritetsskyddsnämnden utövar tillsyn över. Övervägandena finns i avsnitt 15.4. Första stycket är oförändrat. I andra stycket tydliggörs vad tillsynen över Polismyndighetens, Säkerhetspolisens och Ekobrottsmyndighetens personuppgiftsbehandling omfattar. I stycket anges att nämndens tillsyn omfattar dels sådan behandling av personuppgifter som utförs enligt polisens brottsdatalag, dels sådan behandling som omfattas av tillämpningsområdet för den lagen men som utförs enligt brottsdatalagen. Det innebär att personuppgiftsbehandling som är undantagen från tillämpningsområdet för polisens brottsdatalag enligt 1 kap. 2 och 3 §§ den lagen inte omfattas. Att polisdatalagen (2010:361) upphävs och polisens brottsdatalag införs nödvändiggör en övergångsbestämmelse så att nämnden kan utöva tillsyn över sådan behandling av personuppgifter som ligger i tiden före den nya lagens ikraftträdande. Det tredje stycket är oförändrat. 3 § Paragrafen reglerar Säkerhets- och integritetsskyddsnämndens skyldighet att på begäran av enskild kontrollera om han eller hon har varit föremål för personuppgiftsbehandling eller användning av hemliga tvångsmedel och om handläggningen har varit författningsenlig. Övervägandena finns i avsnitt 15.4. Ändringarna i första stycket är enbart redaktionella. Någon ändring i sak är inte avsedd. Det andra stycket motsvarar sista meningen i paragrafens nuvarande lydelse. I tredje stycket, som är nytt, föreskrivs att nämnden får vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad. Syftet med bestämmelsen är att skapa utrymme för nämnden att underlåta att utföra kontroll i vissa fall. En begäran om kontroll kan vara orimlig om den upprepas med alltför täta intervall. Det är inte heller alltid rimligt att nämnden ska behöva kontrollera personuppgiftsbehandling som ligger långt tillbaka i tiden. Finns det inte längre möjlighet att begära skadestånd för kränkande personuppgiftsbehandling saknas det som regel anledning att utföra kontroll. Någon bestämd gräns för hur gamla förhållanden som bör kontrolleras anges dock inte. 4 § I paragrafen slås fast att nämnden har rätt att få de uppgifter och det biträde för sin tillsyn som den begär. Övervägandena finns i avsnitt 15.4. I paragrafen tydliggörs genom ett tillägg att nämnden har rätt att få tillgång till all den information och de upplysningar som den anser sig behöva för sin tillsyn. Det innebär en rätt att inte bara få tillgång till de personuppgifter som behandlas och dokumentation som rör den behandlingen utan också tillgång till dokumentation som rör it-system, information om säkerhetsåtgärder och liknande. På motsvarande sätt har nämnden rätt att få all information som behövs för tillsynen över handläggningen av hemliga tvångsmedel. Ikraftträdande- och övergångsbestämmelser Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft. Punkt 2 innebär att äldre föreskrifter fortfarande ska gälla för Säkerhets- och integritetsskyddsnämndens tillsyn över Säkerhetspolisens personuppgiftsbehandling i frågor som rör nationell säkerhet med stöd av polisdatalagen (2010:361) och enligt polisdatalagen (1998:622). Detta ska gälla övergångsvis till dess att en ny lag om Säkerhetspolisens behandling av personuppgifter träder i kraft. Punkt 3 innebär att Säkerhets- och integritetsskyddsnämndens tillsyn över Ekobrottsmyndighetens och Polismyndighetens personuppgifts-behandling fortfarande regleras enligt det äldre regelverket avseende förhållanden före ikraftträdandet (den 1 januari 2019). 18.16 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400) 18 kap. 2 § Paragrafen reglerar sekretess till skydd för underrättelseverksamhet. Övervägandena finns i avsnitt 15.1.1. I första stycket ändras hänvisningarna till Polismyndighetens reglering av personuppgiftsbehandling. För Säkerhetspolisens del gäller fortfarande den äldre bestämmelsen, vilket framgår av en övergångsbestämmelse. I andra stycket ändras hänvisningar till lagar som byter namn. Tredje och fjärde styckena är oförändrade. 18 § I paragrafen, som innehåller en sekretessbrytande bestämmelse, ersätts en hänvisning till polisdatalagen (2010:361) med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 15.1.1. 35 kap. 1 § Paragrafen reglerar sekretess för enskilds personliga och ekonomiska förhållanden i viss brottsbekämpande verksamhet. Övervägandena finns i avsnitt 15.1.1. I första stycket ändras hänvisningarna till lagar som byter namn. För Säkerhetspolisens del gäller fortfarande den äldre bestämmelsen, vilket framgår av en övergångsbestämmelse. Hänvisningen till lagen (2010:362) om polisens allmänna spaningsregister tas bort, eftersom den lagen upphört att gälla. Andra-fjärde styckena är oförändrade. 4 a § Paragrafen reglerar sekretessen för tillträdesförbudsregistret. Övervägandena finns i avsnitt 14.5. I första stycket ändras hänvisningen till lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang till en hänvisning till polisens brottsdatalag, där registret numera regleras. Andra stycket är oförändrat. 10 § Paragrafen innehåller hänvisningar till sekretessbrytande bestämmelser i ett antal andra lagar. Övervägandena finns i avsnitt 15.1.1. Hänvisningar till lagar som byter namn ändras. För Säkerhetspolisens del gäller fortfarande den äldre bestämmelsen, vilket framgår av en övergångsbestämmelse. Vidare görs redaktionella ändringar. 10 b § Paragrafen innehåller en sekretessbrytande bestämmelse. Övervägandena finns i avsnitt 14.5. Hänvisningen till lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang ändras till en hänvisning till polisens brottsdatalag, där registret numera regleras. 37 kap. 7 § I paragrafen, som innehåller en sekretessbrytande bestämmelse, ändras en hänvisning till en lag som byter namn. Övervägandena finns i avsnitt 15.1.1. Ikraftträdande- och övergångsbestämmelser Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft. Punkt 2 innebär att den äldre bestämmelsen i 18 kap. 2 § fortfarande gäller för sådan verksamhet hos Säkerhetspolisen som avses i 6 kap. 1 § 1 polisdatalagen (2010:361), dvs. i Säkerhetspolisens underrättelseverksamhet. Punkt 3 innebär att de äldre bestämmelserna i 35 kap. 1 § och 35 kap. 10 § fortfarande gäller för Säkerhetspolisens personuppgiftsbehandling med stöd av polisdatalagen. Punkt 4 innebär att äldre bestämmelser fortfarande gäller för uppgifter i handlingar som omhändertagits för arkivering före ikraftträdande av lagen. 18.17 Förslaget till lag om ändring i lagen (2014:400) om Polismyndighetens elimineringsdatabas 1 § Paragrafen reglerar Polismyndighetens rätt att föra register över dna-profiler. I första och andra styckena görs endast redaktionella ändringar. I tredje stycket ersätts en hänvisning till polisdatalagen (2010:361) med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 7.2.1. 2 § Paragrafen reglerar förhållandet till annan personuppgiftsreglering. I paragrafen föreskrivs att lagen gäller utöver brottsdatalagen. Övervägandena finns i avsnitt 15.3. Vad det innebär att lagen gäller utöver brottsdatalagen utvecklas i kommentaren till 1 kap. 1 § polisens brottsdatalag. 4 § Av paragrafen framgår vilka jämförelser som får göras med dna-profiler i elimineringsdatabasen. I första och andra styckena ersätts hänvisningar till polisdatalagen med hänvisningar till polisens brottsdatalag. Övervägandena finns i avsnitt 7.2.1. Vidare görs redaktionella ändringar. I tredje stycket görs endast redaktionella ändringar. 11 § Paragrafen reglerar hur länge uppgifter får behandlas i elimineringsdatabasen. Ändringarna i första-fjärde styckena består enbart i anpassningar till brottsdatalagen och den terminologi som används i den lagen. Övervägandena finns i avsnitt 15.3. Enligt femte stycket, som är nytt, gäller inte bestämmelsen om arkivlagstiftningens företräde i 2 kap. 17 § andra stycket brottsdatalagen vid tillämpningen av denna paragraf. Det innebär att all automatiserad behandling av personuppgifterna ska upphöra när de tider som anges i paragrafen har löpt ut. 12 § Paragrafen, som behandlas i avsnitt 15.3, hänvisar till bestämmelsen om skadestånd 7 kap. 1 § brottsdatalagen, som ska tillämpas när det har förekommit behandling av personuppgifter i strid med förevarande lag eller föreskrifter som har meddelats i 13 eller 14 §. Vad hänvisningen innebär utvecklas i kommentaren till 7 kap. 2 § polisens brottsdatalag. 18.18 Förslaget till lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang Bestämmelserna om Polismyndighetens behandling av personuppgifter flyttas, av de skäl som anges i avsnitt 14.2, till polisens brottsdatalag. Till följd av det upphävs ett flertal paragrafer i lagen och de återstående paragraferna numreras om och ändras redaktionellt. Lagen ges också nytt namn. Dataskyddsförordningen och dataskyddslagen gäller för idrottsorganisationernas behandling av personuppgifter. Lagen anger, tillsammans med regleringen i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang, den rättsliga grunden för att idrottsorganisationer får behandla personuppgifter från tillträdesförbudsregistret. 1 § I paragrafen anges syftet med lagen. Regleringen omfattar numera enbart idrottsorganisationernas behandling av personuppgifter för att upprätthålla gällande tillträdesförbud. Det förtydligas att behandlingen rör tillträdesförbud som avses i 1 § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang. Övervägandena finns i avsnitt 14.3 och 14.4. 2 § Paragrafen, som behandlas i avsnitt 14.3 och 14.4 och motsvarar nuvarande 3 §, anger lagens tillämpningsområde. I första stycket regleras numera endast idrottsorganisationernas behandling av personuppgifter. I andra stycket görs enbart redaktionella ändringar. 3 § Paragrafen, som är ny, anger hur lagen förhåller sig till annan reglering om personuppgiftsbehandling. Övervägandena finns i avsnitt 14.4 Av paragrafen framgår att dataskyddsförordningen gäller vid idrottsorganisationernas behandling av personuppgifter. Dataskyddslagen och föreskrifter som har meddelats i anslutning till den gäller om det inte finns avvikande bestämmelser i denna lag eller föreskrifter som har meddelats i anslutning till den. Det framgår av hänvisningen i paragrafen. 4 § I paragrafen, som motsvarar nuvarande 5 § andra stycket, regleras numera endast idrottsorganisationernas personuppgiftsansvar. Övervägandena finns i avsnitt 14.3 och 14.4 6 § Paragrafen, som motsvarar nuvarande 11 §, reglerar tillgången till personuppgifter. Regleringen i första stycket omfattar numera enbart idrottsorganisationernas behandling av personuppgifter. Övervägandena finns i avsnitt 14.3 och 14.4. Andra stycket ändras inte. 7 § Paragrafen, som motsvarar nuvarande 13 §, reglerar hur länge en idrottsorganisation får behandla personuppgifter som rör tillträdesförbud. I paragrafen tydliggörs när behandlingen av personuppgifter senast måste upphöra. Övervägandena finns i avsnitt 14.4. 18.19 Förslaget till lag om ändring i domstolsdatalagen (2015:728) 2 § Paragrafen anger tillämpningsområdet för domstolsdatalagen (2015:728). Övervägandena finns i avsnitt 12.3.2. I andra stycket, som är nytt, anges att lagen inte gäller vid behandling av personuppgifter som omfattas av domstolarnas brottsdatalag. Tillämpningsområdet för domstolarnas brottsdatalag regleras i 1 § den lagen. Se vidare författningskommentaren till den paragrafen. Det hittillsvarande andra stycket flyttas till ett nytt tredje stycke. 16 § Paragrafen reglerar i vilka fall personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst. Övervägandena finns i avsnitt 12.6.1. Begreppet medium för automatiserad behandling byts ut mot begreppet elektroniskt på annat sätt än genom direktåtkomst. Någon ändring i sak är inte avsedd. 18.20 Förslaget till lag om ändring i utlänningsdatalagen (2016:27) 14 § Paragrafen reglerar Migrationsverkets rätt att föra register över fingeravtryck och för vilka ändamål registret får användas. En hänvisning i andra stycket till polisdatalagen (2010:361) ersätts med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 7.1.2. Stycket ändras också redaktionellt. Första och tredje styckena är oförändrade. 18.21 Förslaget till lag om ändring i tullagen (2016:253) 4 kap. 8 § I paragrafen regleras på vilket sätt Tullverket får ta del av uppgifter som lämnas av transportföretag med stöd av 6 §. Övervägandena finns i avsnitt 8.4, Första stycket är oförändrat. I andra stycket regleras numera endast i vilken omfattning Tullverket får ta del av uppgifter genom terminalåtkomst. Myndighetens behandling av sådana personuppgifter regleras i lagen (2018:000) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. 18.22 Förslaget till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete 6 kap. 1 § I paragrafen regleras hur bestämmelserna i lagen förhåller sig till andra bestämmelser om behandling av personuppgifter. Övervägandena finns i avsnitt 15.2. Av paragrafen framgår att brottsdatalagen och de registerförfattningar som gäller för Polismyndigheten, Kustbevakningen respektive Tullverket gäller vid behandling av personuppgifter i internationellt polisiärt samarbete, om det inte finns avvikande bestämmelser i förevarande lag eller föreskrifter som regeringen har meddelat i anslutning till den. För Säkerhetspolisens personuppgiftsbehandling gäller fortfarande den äldre bestämmelsen enligt en övergångsbestämmelse. Vidare ändras hänvisningarna till de lagar som byter namn. Övervägandena finns i avsnitt 7.1.2, 8.1.2 och 9.1.2. 7 kap. 1 § Paragrafen reglerar direktåtkomst till och sökning i referensuppgifter i dna-register. I tredje stycket ersätts en hänvisning till polisdatalagen (2010:361) med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 7.1.2. I övrigt är paragrafen oförändrad. 3 § Paragrafen reglerar direktåtkomst till referensuppgifter i fingeravtrycksregister. Ändringen är av samma slag som i 1 §. 4 § Paragrafen reglerar sökning i fingeravtrycksregister. Ändringen är av samma slag som i 1 §. 7 § Paragrafen hänvisar i fråga om skadestånd till bestämmelsen i 7 kap. 1 § brottsdatalagen. Övervägandena finns i avsnitt 15.2. Vad hänvisningen innebär utvecklas i kommentaren till 7 kap. 2 § polisens brottsdatalag. Vidare görs en redaktionell ändring. 8 kap. 3 § Paragrafen hänvisar i fråga om skadestånd till bestämmelsen i 7 kap. 1 § brottsdatalagen. Ändringen är av samma slag som i 7 kap. 7 §. 9 kap. 4 § Paragrafen, som behandlas i avsnitt 15.2, reglerar överföring av personuppgifter som hämtats från VIS till tredjeland eller en internationell organisation. Första stycket är oförändrat. Av andra stycket punkt 4 framgår att bestämmelserna i 8 kap. 1 § brottsdatalagen om överföring av personuppgifter till tredjeland eller internationella organisationer ska vara uppfyllda. 5 § Paragrafen hänvisar i fråga om skadestånd till bestämmelsen i 7 kap. 2 § brottsdatalagen. Ändringen är av samma slag som i 7 kap. 7 §. 10 kap. 1 § Paragrafen reglerar direktåtkomst till referensuppgifter i fingeravtrycksregistret. Hänvisningen till personuppgiftslagen (1998:204) tas bort och hänvisningen till polisdatalagen ersätts med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 7.1.2. 2 § Paragrafen reglerar det svenska kontaktställets sökning i amerikanska fingeravtrycksregister och i vilken utsträckning behandling är tillåten. Hänvisningen till polisdatalagen ersätts med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 7.1.2. 3 § Paragrafen hänvisar i fråga om skadestånd till bestämmelsen i 7 kap. 2 § brottsdatalagen. Ändringen är av samma slag som i 7 kap. 7 §. Ikraftträdande- och övergångsbestämmelser Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft. Punkt 2 innebär att äldre bestämmelser fortfarande ska gälla för Säkerhetspolisens personuppgiftsbehandling vid internationellt polisiärt samarbete. 18.23 Förslaget till lag om ändring i säkerhetsskyddslagen (2018:585) 3 kap. 13 § I paragrafen anges vad som avses med registerkontroll. I paragrafen ersätts hänvisningen till polisdatalagen (2010:361) med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 7.1.2. 14 § I paragrafen anges när registerkontroll ska göras. I paragrafen ersätts hänvisningen till polisdatalagen (2010:361) med en hänvisning till polisens brottsdatalag. Övervägandena finns i avsnitt 7.1.2. Ikraftträdande- och övergångsbestämmelser Ikraftträdande- och övergångsbestämmelserna tas upp i avsnitt 16. Punkt 1 föreskriver när lagen ska träda i kraft. Punkt 2 innebär att äldre föreskrifter fortfarande ska gälla för uppgifter som behandlas av Säkerhetspolisen med stöd av polisdatalagen (2010:361). Av en övergångsbestämmelse till polisens brottsdatalag framgår att Säkerhetspolisen övergångsvis ska tillämpa bestämmelserna i polisdatalagen vid behandling av personuppgifter i frågor som rör nationell säkerhet. Sådana uppgifter kan alltså hämtas in i samma utsträckning även fortsättningsvis inom ramen för en registerkontroll. 18.24 Förslaget till lag om ändring i lagen (2018:591) om ändring offentlighets- och sekretesslagen (2009:400) 35 kap. 1 § Paragrafen reglerar sekretess för enskilds personliga och ekonomiska förhållanden i viss brottsbekämpande verksamhet. Övervägandena finns i avsnitt 15.1.1. Lagen (2018:591) om ändring i offentlighets- och sekretesslagen (2009:400) innehåller ändringar i bl.a. 35 kap. 1 § offentlighets- och sekretesslagen som ska träda i kraft den 1 april 2019. I propositionen föreslås en ändring av paragrafen som ska träda i kraft den 1 januari 2018 (se avsnitt 2.16 och 18.16). I förevarande lag görs motsvarande ändringar. 10 § Paragrafen innehåller hänvisningar till sekretessbrytande bestämmelser i ett antal andra lagar. Övervägandena finns i avsnitt 15.1.1. Lagen (2018:591) om ändring i offentlighets- och sekretesslagen (2009:400) innehåller ändringar i bl.a. 35 kap. 10 § offentlighets- och sekretesslagen som ska träda i kraft den 1 april 2019. I propositionen föreslås en ändring av paragrafen som ska träda i kraft den 1 januari 2018 (se avsnitt 2.16 och 18.16). I förevarande lag görs motsvarande ändringar. Sammanfattning SOU 2017:74 Uppdraget Europeiska unionen har enats om en genomgripande dataskyddsreform som ska vara genomförd under våren 2018. Reformen omfattar dels en allmän dataskyddsförordning, dels ett dataskyddsdirektiv som behandlar dataskyddet vid bl.a. brottsbekämpning, lagföring och straffverkställighet. En konsekvens av reformen är att personuppgiftslagen kommer att upphävas och att all lagstiftning om personuppgiftsbehandling behöver ses över och anpassas. Utredningens uppdrag är att föreslå hur det nya direktivet ska genomföras i svensk rätt genom en ny ramlagstiftning och att anpassa registerförfattningarna för myndigheterna i rättskedjan till de nya förutsättningarna. Utredningen ska också överväga om det finns anledning att reglera Säkerhetspolisens personuppgiftsbehandling separat. Brottsdatalagen förutsätter en ny struktur I delbetänkandet Brottsdatalag (SOU 2017:29) föreslår utredningen en ny lag, brottsdatalagen, som kommer att fylla ungefär samma funktion som personuppgiftslagen gör i dag i verksamhet som rör brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet. I brottsdatalagen finns de grundläggande bestämmelserna om hur personuppgifter får behandlas. Där regleras även personuppgiftsansvarigas skyldigheter, enskildas rättigheter och tillsynen över personuppgiftsbehandling. Brottsdatalagen innehåller vidare bestämmelser om administrativa sanktionsavgifter, skadestånd och rättsmedel. Registerförfattningarna för myndigheterna i rättskedjan utgår i dag från personuppgiftslagen, antingen genom att registerförfattningen gäller i stället för personuppgiftslagen men hänvisar till bestämmelser i den eller genom att registerförfattningen gäller utöver personuppgiftslagen. Utredningen föreslår att registerförfattningarna ska gälla utöver brottsdatalagen och innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från bestämmelserna i den lagen. Bestämmelser i registerförfattningarna om bl.a. syfte, automatiserad behandling, personuppgiftsombud, behandling av känsliga personuppgifter och tillgången till personuppgifter ska därför upphävas. Det föranleder omfattande redaktionella ändringar i registerförfattningarna. De registerförfattningar som reglerar personuppgiftsbehandling både inom och utanför brottsdatalagens tillämpningsområde renodlas så att de bara gäller vid personuppgiftsbehandling inom tillämpningsområdet. Det gäller lagen om behandling av personuppgifter inom kriminalvården, kustbevakningsdatalagen och åklagardatalagen. För domstolarna skapas i stället en ny lag för den personuppgiftsbehandling som ligger inom tillämpningsområdet. För att det ska vara tydligt att registerförfattningarna gäller utöver brottsdatalagen ges de nya namn. Anpassningar och andra ändringar i de brottsbekämpande myndigheternas registerförfattningar Tillämpningsområdet I dag utgår tillämpningsområdet i de brottsbekämpande myndigheternas registerförfattningar från i vilken verksamhet personuppgiftsbehandlingen utförs. Det som kommer att bli avgörande för tillämpningen är i stället dels om myndigheten agerar i egenskap av behörig myndighet enligt brottsdatalagen, dels i vilket syfte personuppgifterna behandlas. Tillämpningsområdet blir därmed smalare än i dag, eftersom inte all personuppgiftsbehandling som utförs inom ramen för brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet omfattas, t.ex. utlämnande av allmänna handlingar enligt tryckfrihetsförordningen eller för ändamål utanför brottsdatalagens tillämpningsområde. Tillåtna rättsliga grunder och behandling för nya ändamål Regleringen av för vilka ändamål de brottsbekämpande myndigheterna får behandla personuppgifter är i dag uppdelad i primära och sekundära ändamål. Regleringen föreslås i stort sett vara oförändrad när det gäller de primära ändamålen men det tydliggörs att det är fråga om bestämmelser om rättslig grund. Innan personuppgifter behandlas för nya ändamål inom brottsdatalagens tillämpningsområde ska det enligt brottsdatalagen alltid prövas om det finns en tillåten rättslig grund för den nya behandlingen och om den är nödvändig och proportionerlig för det nya ändamålet. Det behöver däremot inte prövas om det nya ändamålet är förenligt med det ursprungliga. När personuppgifter behandlas för ändamål utanför tillämpningsområdet ska dataskyddsförordningen tillämpas. Utredningen föreslår att en prövning av nödvändighet och proportionalitet ska göras även innan personuppgifter behandlas för ändamål utanför brottsdatalagens tillämpningsområde. Någon prövning behöver dock inte göras om skyldighet att lämna uppgifter följer av lag eller förordning. Uppräkningen i de sekundära ändamålsbestämmelserna av i vilka situationer personuppgifter får tillhandahållas ersätts alltså av en särskild prövning både vid behandling för ändamål inom och utanför brottsdatalagens tillämpningsområde. Behandling av känsliga personuppgifter Brottsdatalagen förbjuder sökningar i personuppgifter i syfte att få fram ett personurval grundat på känsliga personuppgifter. I registerförfattningarna ska det göras undantag från förbudet som är anpassade till respektive myndighets behov av att kunna behandla känsliga personuppgifter. Brottsbekämpande myndigheter ska få använda t.ex. uppgifter som beskriver en persons utseende eller brottsrubriceringar ska vara tillåtet vid sökning i alla slags personuppgifter. Vid sökning i uppgifter som inte är gemensamt tillgängliga, dvs. som bara ett fåtal personer har tillgång till, ska sökning i syfte att ta fram personurval grundade på vissa känsliga personuppgifter få göras. Längsta tid för behandling I registerförfattningarna finns det bestämmelser om bevarande och gallring. De syftar till att skydda den personliga integriteten och reglerar inte bevarande och gallring i arkivlagens mening. De ska därför formuleras om så att det framgår att det är fråga om dataskyddsbestämmelser. Regleringen ska utgå från hur länge personuppgifter får behandlas. Någon ändring av hur länge olika typer av personuppgifter får behandlas görs i princip inte. Utökade möjligheter till elektroniskt utlämnande Regleringen av i vilken utsträckning personuppgifter får lämnas ut på medium för automatiserad behandling moderniseras för att möta de ökade behoven av att kunna kommunicera elektroniskt. Det blir tillåtet att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Viss reglering flyttas till registerförfattningarna Bestämmelserna om Polismyndighetens behandling av personuppgifter i registret över tillträdesförbud vid idrottsarrangemang flyttas till polisens brottsdatalag. Lagen om register över tillträdesförbud vid idrottsarrangemang renodlas så att den bara reglerar idrottsorganisationernas personuppgiftsbehandling. Regleringen av Polismyndighetens, Säkerhetspolisens och Tullverkets behandling av personuppgifter som tillhandahålls av transportföretag flyttas till respektive myndighets registerförfattning. En ny lag för domstolarna Domstolsdatalagen reglerar i dag personuppgiftsbehandling både inom och utanför brottsdatalagens tillämpningsområde i domstolarnas rättskipande och rättsvårdande verksamhet. Den del av domstolarnas personuppgiftsbehandling som ligger inom tillämpningsområdet ska regleras i en ny lag, domstolarnas brottsdatalag. Den nya lagen utformas med domstolsdatalagen som mönster men anpassas till den systematik och terminologi som finns i övriga registerförfattningar inom brottsdatalagens tillämpningsområde. Vissa frågor som hittills reglerats i förordning lyfts upp i lagen. Allmän domstol ska tillämpa lagen när personuppgifter behandlas i syfte att handlägga mål och ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet. Allmän förvaltningsdomstol ska tillämpa lagen när personuppgifter behandlas i syfte att handlägga mål och ärenden om verkställighet av häktning eller straffrättsliga påföljder. Till skillnad från i dag omfattar tillämpningsområdet inte personuppgiftsbehandling i den administrativa verksamheten som avser att på begäran lämna ut uppgifter ur mål eller ärenden. Innan domstolar behandlar personuppgifter för nya ändamål inom brottsdatalagens tillämpningsområde ska de pröva om behandlingen är nödvändig och proportionerlig för det nya ändamålet. Vid behandling för nya ändamål utanför brottsdatalagens tillämpningsområde gäller dataskyddsförordningen. Någon prövning av om behandlingen är nödvändig och proportionerlig behöver inte göras om domstolsdatalagen ska tillämpas. En sådan prövning krävs däremot i andra fall, om inte skyldighet att lämna uppgifter följer av lag eller förordning. Domstolarna ska inte tillämpa sökförbudet i brottsdatalagen. I stället ska motsvarande sökförbud som i domstolsdatalagen, som förbjuder användningen av uppgifter som avslöjar känsliga personuppgifter och uppgifter om brott eller misstanke om brott och nationell anknytning som sökbegrepp, gälla. Samma undantag från förbudet som finns i domstolsdatalagen ska gälla. Regleringen av Kriminalvårdens personuppgiftsbehandling Kriminalvårdens reglering har en annan struktur än övriga registerförfattningar, eftersom större delen finns i förordning. Regleringen anpassas till brottsdatalagen och blir mer lik övriga registerförfattningar. Utredningens uppdrag har dock inte omfattat att göra en total översyn av regleringen och någon ny lag föreslås därför inte, trots att alla bestämmelser ändras och lagen får en helt ny struktur. Lagen ska tillämpas när kriminalvården behandlar personuppgifter i syfte att verkställa häktning eller straffrättsliga påföljder eller biträda andra behöriga myndigheter när de utför arbetsuppgifter som omfattas av brottsdatalagens tillämpningsområde eller för att fullgöra internationella åtaganden. På samma sätt som för de brottsbekämpande myndigheterna ska behandling för nya ändamål föregås av en prövning av om behandlingen är nödvändig och proportionerlig för det nya ändamålet, oavsett om ändamålet ligger inom eller utanför brottsdatalagens tillämpningsområde. Regleringen av säkerhetsregistret flyttas till lagen, moderniseras och görs mer generell. Uppgifter om den som är häktad eller verkställer fängelsestraff ska få registreras om personen utgör en säkerhetsrisk. Även uppgifter om personer som en registrerad har viss anknytning till ska få behandlas om det är absolut nödvändigt. Om det finns risk för att någon som verkställer en påföljd inom kriminalvården utövar våld eller hot mot personer i kriminalvårdens lokaler ska uppgifter om honom eller henne också få behandlas i säkerhetsregistret. Det görs undantag från sökförbudet i brottsdatalagen för sökningar i säkerhetsregistret i syfte att få fram personurval grundat på vissa känsliga personuppgifter. Bestämmelserna om Kriminalvårdens underrättelseskyldighet bryts ut ur registerförordningen och placeras i en ny förordning. En ny lag för Säkerhetspolisen Regleringen utgår från dagens reglering och brottsdatalagen Utredningen föreslår att det ska införas en ny lag om Säkerhetspolisens behandling av personuppgifter, Säkerhetspolisens datalag, som ersätter regleringen i polisdatalagen. Den regleringen ska bilda mönster för den nya lagen, som ska vara heltäckande och därför blir betydligt mer omfattande än dagens reglering. Den nya lagen följer i princip brottsdatalagens systematik och innehåll. Det innebär att bestämmelserna om grundläggande krav på behandling, den personuppgiftsansvariges skyldigheter, enskildas rättigheter, skadestånd, rättsmedel och överföring av personuppgifter till tredjeland i stort sett överensstämmer med brottsdatalagens bestämmelser. Lagen ska gälla vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet. När Säkerhetspolisen behandlar personuppgifter som inte rör nationell säkerhet i syfte att bekämpa och lagföra brott ska myndigheten tilllämpa brottsdatalagen och polisens brottsdatalag. Rättslig grund för behandling av personuppgifter Regleringen av för vilka ändamål Säkerhetspolisen får behandla personuppgifter är i dag uppdelad i primära och sekundära ändamål. Regleringen behålls i stort sett oförändrad men det tydliggörs att det är fråga om bestämmelser om rättslig grund - rättslig grund för behandling och rättslig grund för utlämnande. Behandling av känsliga personuppgifter Huvudregeln är att Säkerhetspolisen på samma sätt som i dag inte ska få behandla känsliga personuppgifter. Om uppgifter om en person redan behandlas ska de dock få kompletteras med känsliga personuppgifter om det är absolut nödvändigt. Säkerhetspolisen får i dag använda uppgifter som avslöjar känsliga personuppgifter som sökbegrepp om det är absolut nödvändigt. Utredningen föreslår att samma sökförbud som i brottsdatalagen ska gälla för Säkerhetspolisen, dvs. att det ska vara förbjudet att göra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. Från förbudet görs det undantag. Det ska vara tillåtet att använda brottsrubriceringar, uppgifter om tillvägagångssätt vid brott och uppgifter som beskriver en persons utseende vid sökning. Även sökningar i syfte att få fram personurval grundat på flertalet känsliga personuppgifter ska tillåtas, om sökningen är absolut nödvändig. Elektroniskt utlämnande Säkerhetspolisen ska få lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Säkerhetspolisen ska få medge Polismyndigheten, Försvarsmakten och Försvarets radioanstalt direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga och som Säkerhetspolisen behandlar för vissa syften. Även underrättelse- och säkerhetstjänster inom EU och EES ska få medges direktåtkomst till uppgifter som Säkerhetspolisen behandlar för vissa syften om det behövs för samarbetet mot terrorism. Sådan direktåtkomst ska dock endast få medges till personuppgifter i en avskild uppgiftssamling och regeringen ska underrättas innan direktåtkomst medges. Längsta tid för behandling Personuppgifter ska inte få behandlas under längre tid än vad som behövs för något eller några av de syften för vilka Säkerhetspolisen får behandla personuppgifter. Huvudregeln ska på samma sätt som i dag vara att personuppgifter som har gjorts gemensamt tillgängliga inte får behandlas längre än tio år efter det år då den senaste registreringen avseende personen gjordes. Uppgifter om personer som ännu inte fyllt 18 år ska dock inte få behandlas längre än fem år från den senaste registreringen. Personuppgifter som hänför sig till sådan säkerhetshotande verksamhet som avses i 18 och 19 kap. brottsbalken ska inte få behandlas längre än 40 år efter det år då den senaste registreringen gjordes. På samma sätt som i dag ska Säkerhetspolisen kunna besluta att personuppgifter får behandlas under längre tid om det finns särskilda skäl. Tillsyn över Säkerhetspolisens personuppgiftsbehandling Både Datainspektionen och Säkerhets- och integritetsskyddsnämnden ska på i huvudsak samma sätt som i dag utöva tillsyn över Säkerhetspolisens personuppgiftsbehandling. Datainspektionen ska utöva allmän tillsyn över personuppgiftsbehandling enligt den nya lagen och ge råd och stöd till Säkerhetspolisen. Inspektionen ska i huvudsak ha samma befogenheter som enligt brottsdatalagen. Säkerhetspolisen ska dock inte kunna påföras administrativ sanktionsavgift. Säkerhets- och integritetsskyddsnämnden ska utöva tillsyn över Säkerhetspolisens personuppgiftsbehandling och på begäran av enskild kontrollera om behandlingen av personuppgifter är författningsenlig. Ikraftträdande och övergångsbestämmelser De nya registerförfattningarna och ändringarna i de befintliga registerförfattningarna föreslås träda i kraft den 1 maj 2018. Det krävs särskilda övergångsbestämmelser för det nya sanktionssystemet och för ersättning för skador som har vållats före ikraftträdandet. Till de nya lagarna krävs det övergångsbestämmelser dels för mål och ärenden som rör behandlingen av personuppgifter som har påbörjats före ikraftträdandet men inte hunnit slutföras, dels för mål som har överklagats men som inte har hunnit slutföras inom den tiden. Lagförslag i SOU 2017:74 Förslag till domstolarnas brottsdatalag (2018:000) Härigenom föreskrivs följande. 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när följande domstolar i egenskap av behöriga myndigheter behandlar personuppgifter. 1. Allmän domstol, om uppgifterna behandlas i syfte att handlägga mål eller ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet. 2. Allmän förvaltningsdomstol, om uppgifterna behandlas i syfte att handlägga mål om verkställighet av häktning eller straffrättsliga påföljder. Personuppgiftsansvar 2 § En domstol är personuppgiftsansvarig för den behandling av personuppgifter som den utför. 2 kap. Grundläggande bestämmelser om behandling Tillåtna rättsliga grunder för behandling av personuppgifter 1 § Personuppgifter får behandlas om det är nödvändigt och syftet är att handlägga mål eller ärenden om 1. utredning av eller lagföring för brott, 2. verkställighet av häktning eller ändring eller verkställighet av straffrättsliga påföljder, eller 3. upprätthållande av allmän ordning och säkerhet. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt domstol att ansvara för en sådan uppgift. 2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål inom denna lags tillämpningsområde regleras i 2 kap. 4 § brottsdatalagen (2018:000). Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål utanför denna lags tillämpningsområde regleras i 2 kap. 22 § brottsdatalagen. Någon prövning enligt 2 kap. 22 § andra stycket brottsdatalagen krävs inte när domstolsdatalagen (2015:728) ska tillämpas. Behandling av personnummer 3 § Personnummer, samordningsnummer och liknande identitetsbeteckningar får endast behandlas när det är motiverat med hänsyn till vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelser om användning av sådana personuppgifter som anges i första stycket vid sökning finns i 8 §. Sökning Undantag från brottsdatalagens sökförbud 4 § Bestämmelserna i 5-10 §§ denna lag och föreskrifter som meddelats i anslutning till den gäller i stället för sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000). Känsliga personuppgifter och nationell anknytning 5 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar sådana personuppgifter som anges i 2 kap. 11 och 12 §§ brottsdatalagen (2018:000) eller nationell anknytning. Brott eller misstanke om brott 6 § I allmän domstol får sökbegrepp som avslöjar brott eller misstanke om brott inte användas vid sökning i personuppgifter 1. i mål eller ärenden som har avgjorts slutligt genom en dom eller ett beslut längre än fem år efter utgången av det kalenderår då avgörandet fick laga kraft, eller 2. i tvistemål. 7 § I allmän förvaltningsdomstol får sökbegrepp som avslöjar brott eller misstanke om brott inte användas vid sökning i personuppgifter i mål som 1. har avgjorts slutligt genom en dom eller ett beslut längre än tjugo år efter utgången av det kalenderår då avgörandet fick laga kraft, eller 2. handläggs av Migrationsöverdomstolen eller en migrationsdomstol. Direkta personuppgifter 8 § Personnamn, personnummer, samordningsnummer och andra uppgifter som direkt kan hänföras till en fysisk person som är i livet får inte användas som sökbegrepp vid sökning i personuppgifter i brottmål som har avgjorts slutligt genom en dom eller ett beslut längre än fem år efter utgången av det kalenderår då avgörandet fick laga kraft. Tillåtna sökningar 9 § Sökförbuden i 5-8 §§ hindrar inte sökning 1. i en viss handling eller i ett visst mål eller ärende, eller 2. med användande av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp. 10 § Sökförbudet i 5 § hindrar inte att allmän förvaltningsdomstol använder uppgifter som avslöjar hälsa som sökbegrepp. Sådana uppgifter får dock inte användas vid sökning i personuppgifter i mål som 1. har avgjorts slutligt genom en dom eller ett beslut längre än tjugo år efter utgången av det kalenderår då avgörandet fick laga kraft, eller 2. handläggs av Migrationsöverdomstolen eller en migrationsdomstol. Utlämnande av personuppgifter 11 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 12 § och föreskrifter som har meddelats i anslutning till denna lag. 12 § Direktåtkomst får endast medges 1. en allmän domstol, 2. en allmän förvaltningsdomstol, eller 3. en part eller partens ombud, biträde eller försvarare. Direktåtkomst enligt första stycket 3 får endast avse personuppgifter i partens mål eller ärende. Föreskrifter 13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare begränsning av 1. möjligheten att använda de sökbegrepp som anges i 6, 7 och 10 §§, 2. direktåtkomst enligt 12 § första stycket och om behörighet och säkerhet vid sådan åtkomst, 3. möjligheten att lämna ut personuppgifter elektroniskt enligt 11 §, och 4. behandling av personuppgifter som hänför sig till mål eller ärenden som har avgjorts genom dom eller beslut som har fått laga kraft. 3 kap. Administrativa sanktionsavgifter och rättsmedel Administrativa sanktionsavgifter 1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter, eller 2. 2 kap. 5-8 §§ om sökning. Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor. Skadestånd 2 § Vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt. Överklagande 3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000). 4 § En hovrätts, en tingsrätts eller en förvaltningsrätts beslut som överklagas enligt 7 kap. 2 § första stycket brottsdatalagen (2018:000) överklagas till kammarrätt. En kammarrätts beslut i sådana frågor överklagas till Högsta förvaltningsdomstolen. Har Högsta domstolen eller Högsta förvaltningsdomstolen meddelat beslut som avses i 7 kap. 2 § första stycket brottsdatalagen får beslutet inte överklagas. Kravet på prövningstillstånd i 7 kap. 2 § andra stycket brottsdatalagen gäller inte vid överklagande enligt första stycket. 1. Denna lag träder i kraft den 1 maj 2018. 2. Bestämmelserna i 2 kap. 6 § 1, 7 § 1, 8 § och 10 § 1 om begränsning av sökning i fråga om slutligt avgjorda mål och ärenden behöver inte tillämpas förrän den 1 januari 2019. 3. Ärenden om tillsyn över personuppgiftsbehandling, som rör behandling av personuppgifter vid handläggningen av mål och ärenden som avses i 2 kap. 1 § första stycket, som Datainspektionen inte har avgjort före ikraftträdandet handläggs enligt äldre föreskrifter. 4. Äldre föreskrifter gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av personuppgifter vid handläggningen av mål och ärenden som avses i 2 kap. 1 § första stycket. 5. Sanktionsavgift enligt 3 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet. 6. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter vid handläggningen av mål och ärenden som avses i 2 kap. 1 § första stycket. Förslag till lag om ändring i rättegångsbalken Härigenom föreskrivs att 28 kap. 12 a och b §§ rättegångsbalken ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 28 kap. 12 a § Kroppsbesiktning genom tagande av salivprov får göras på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en DNA-analys av provet och registrera DNA-profilen i det DNA-register eller det utredningsregister som förs enligt polisdatalagen (2010:361). Kroppsbesiktning genom tagande av salivprov får göras på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en dna-analys av provet och registrera dna-profilen i det dna-register eller det utredningsregister som förs enligt polisens brottsdatalag (2010:361). 12 b § Kroppsbesiktning genom tagande av salivprov får göras på annan än den som skäligen kan misstänkas för ett brott, om 1. syftet är att genom en DNA-analys av provet underlätta identifiering vid utredning av ett brott på vilket fängelse kan följa, och 1. syftet är att genom en dna-analys av provet underlätta identifiering vid utredning av ett brott på vilket fängelse kan följa, och 2. det finns synnerlig anledning att anta att det är av betydelse för utredningen av brottet. Analysresultatet får inte jämföras med de DNA-profiler som finns registrerade i register över DNA-profiler som förs enligt polisdatalagen (2010:361) eller i övrigt användas för annat ändamål än det för vilket provet har tagits. Analysresultatet får inte jämföras med de dna-profiler som finns registrerade i register över dna-profiler som förs enligt polisens brottsdatalag (2010:361) eller i övrigt användas för annat ändamål än det för vilket provet har tagits. Första stycket gäller inte den som är under 15 år. Denna lag träder i kraft den 1 maj 2018. Förslag till lag om ändring i polislagen (1984:387) Härigenom föreskrivs att 26 § polislagen (1984:387) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 26 § Transportföretag får lämna uppgifter enligt 25 § på så sätt att de görs läsbara för Polismyndigheten eller Säkerhetspolisen genom terminalåtkomst. Polismyndigheten och Säkerhetspolisen får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter som hålls tillgängliga på detta sätt får inte ändras eller på annat sätt bearbetas eller lagras av Polismyndigheten eller Säkerhetspolisen. Polismyndigheten och Säkerhetspolisen får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst, ska omedelbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott. Denna lag träder i kraft den 1 maj 2018. Förslag till lag om ändring i säkerhetsskyddslagen (1996:627) Härigenom föreskrivs att 12 § säkerhetsskyddslagen (1996:627) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 12 § Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller lagen (2010:362) om polisens allmänna spaningsregister. Med registerkontroll avses också att uppgifter hämtas som behandlas med stöd av polisdatalagen (2010:361). Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter hämtas som behandlas med stöd av polisens brottsdatalag (2010:361) eller Säkerhetspolisens datalag (2018:000). Denna lag träder i kraft den 1 maj 2018. Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen Härigenom föreskrivs att 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 16 § Transportföretag får lämna uppgifter enligt 15 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst. Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Tullverket får inte ändra eller på annat sätt bearbeta eller lagra uppgifter som hålls tillgängliga på detta sätt. Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst, skall omedelbart förstöras, om de visar sig sakna betydelse för utredning och lagföring av brott. Denna lag träder i kraft den 1 maj 2018. Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem Härigenom föreskrivs att 5 § lagen (2000:344) om Schengens informationssystem ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 § Registret ska endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna, i enlighet med respektive stats nationella lagstiftning. Polismyndigheten får föra in uppgifter i registret endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen (1998:204), polisdatalagen (2010:361) eller annan svensk författning. Polismyndigheten får föra in uppgifter i registret endast om behandling av motsvarande slag av uppgifter är tillåten enligt brottsdatalagen (2018:000), polisens brottsdatalag (2010:361) eller annan svensk författning. Denna lag träder i kraft den 1 maj 2018. Förslag till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet Härigenom föreskrivs att 1 kap. 1 och 4 §§ lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 kap. 1 § Denna lag tillämpas vid behandling av personuppgifter i Tullverkets verksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Bestämmelserna i 4-6 och 8 §§ samt 2 kap. gäller även vid behandling av uppgifter om juridiska personer. Bestämmelserna i denna lag gäller inte behandling av uppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. För sådan behandling finns det särskilda bestämmelser i tullbrottsdatalagen (2017:447). Bestämmelserna i denna lag gäller inte vid behandling av personuppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. 4 § Uppgifter får behandlas för tillhandahållande av information som behövs hos Tullverket för 1. bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter, 2. övervakning, revision och annan analys- eller kontrollverksamhet, 3. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och 4. tillsyn, kontroll, uppföljning och planering av verksamheten. Uppgifter som behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 5 § tullbrottsdatalagen (2017:447). Uppgifter som behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 1 § Tullverkets brottsdatalag (2017:447). Denna lag träder i kraft den 1 maj 2018. Förslag till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården Härigenom föreskrivs i fråga om lagen (2001:617) om behandling av personuppgifter inom kriminalvården dels att 1-16 §§ ska upphöra att gälla, dels att rubrikerna före 1-10 §§ och 12 § ska utgå, dels att det ska införas fyra nya kapitel, 1-4 kap., av följande lydelse, dels att rubriken till lagen ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse Lag om behandling av personuppgifter inom kriminalvården Kriminalvårdens brottsdatalag 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av myndigheterna inom kriminalvården i egenskap av behörig myndighet behandlar personuppgifter i syfte att verkställa häktning eller straffrättsliga påföljder eller biträda en annan behörig myndighet när den utför arbetsuppgifter för något av de syften som anges i 1 kap. 2 § brottsdatalagen. Personuppgiftsansvar 2 § Kriminalvården är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. En övervakningsnämnd är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför. 2 kap. Grundläggande bestämmelser om behandling Tillåtna rättsliga grunder för behandling av personuppgifter 1 § Personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift i syfte att 1. verkställa häktning eller straffrättsliga påföljder, 2. förebygga, förhindra eller upptäcka brottslig verksamhet i samband med sådan verkställighet som anges i 1, 3. biträda andra myndigheter när de fullgör arbetsuppgifter för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000), eller 4. fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift. 2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Känsliga personuppgifter 3 § Kriminalvården får behandla biometriska uppgifter enligt de förutsättningar som anges i 2 kap. 12 § brottsdatalagen (2018:000). Utlämnande av personuppgifter 4 § Kriminalvården får till en utländsk myndighet eller internationell organisation lämna ut de personuppgifter som behövs för 1. prövning och genomförande av överflyttning av straffverkställighet, 2. transitering och förvaring av en person som är frihetsberövad för brottsbekämpning, lagföring eller verkställighet av straff, eller 3. tillfällig överflyttning av en frihetsberövad person för brottsbekämpning, lagföring eller straffverkställighet. Längsta tid som personuppgifter får behandlas 5 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som behandlas automatiserat inte behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört. I 3 kap. 7 § finns bestämmelser om hur länge personuppgifter i säkerhetsregistret får behandlas. Föreskrifter 6 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. vilka personuppgifter som får behandlas enligt 1 §, 2. utlämnande av personuppgifter i andra fall än som anges i 4 §, 3. frågor som rör elektroniskt utlämnande genom direktåtkomst, 4. längsta tid som personuppgifter får behandlas, och 5. att personuppgifter, med avvikelse från 5 §, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål. 3 kap. Säkerhetsregistret Rätten att föra register 1 § Kriminalvården får föra ett säkerhetsregister. I säkerhetsregistret får personuppgifter behandlas i syfte att 1. förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straffverkställighet, och 2. säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstalter och annan verksamhet som Kriminalvården bedriver. Innehåll 2 § I säkerhetsregistret får uppgifter behandlas om en person som är häktad eller verkställer fängelsestraff och som är eller har varit placerad på säkerhetsavdelning. I registret får även uppgifter behandlas om en person som är häktad eller verkställer fängelsestraff, om det finns risk för att han eller hon 1. under häktning eller verkställighet av fängelsestraff begår brott som inte är ringa eller deltar i brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver, 2. förbereder rymning eller försöker rymma, 3. blir föremål för fritagning, 4. medverkar i eller på annat sätt bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt, eller 5. utsätts för våld eller hot under verkställigheten. 3 § I säkerhetsregistret får även uppgifter behandlas om en person som verkställer en påföljd inom kriminalvården, om det finns risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i kriminalvårdens lokaler. 4 § Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som anges i 2 §. Om den förstnämnde inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning. Sökning 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Direktåtkomst 6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten får medges direktåtkomst till personuppgifter i säkerhetsregistret för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). Längsta tid som personuppgifter får behandlas 7 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i säkerhetsregistret inte behandlas längre än fem år efter det att den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte. Föreskrifter 8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om innehållet i säkerhetsregistret och om utlämnande av personuppgifter ur registret. 4 kap. Administrativa sanktionsavgifter och rättsmedel Administrativa sanktionsavgifter 1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 4 § om särskild upplysning, eller 3. 2 kap. 5 § eller 3 kap. 7 § om längsta tid som personuppgifter får behandlas. Sanktionsavgift får också tas ut vid överträdelse av föreskrifter som har meddelats i anslutning till denna lag om särskild upplysning eller om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor. Skadestånd 2 § Vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt. Överklagande 3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 maj 2018. 2. Sanktionsavgift enligt 4 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet. 3. Äldre bestämmelser ska gälla för överträdelser som har begåtts före ikraftträdandet. 4. Äldre föreskrifter gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av personuppgifter vid verkställighet av häktning eller straffrättsliga påföljder eller biträde till andra behöriga myndigheter. 5. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den. Förslag till lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang Härigenom föreskrivs att 8 a § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 a § En polisman eller annan anställd vid Polismyndigheten får fotografera en person som har eller skäligen kan antas få tillträdesförbud enligt denna lag i syfte att fotografiet ska kunna tillföras det register som Polismyndigheten får föra enligt lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang. En polisman eller annan anställd vid Polismyndigheten får fotografera en person som har eller skäligen kan antas få tillträdesförbud enligt denna lag i syfte att fotografiet ska kunna tillföras det register som Polismyndigheten får föra enligt 5 kap. polisens brottsdatalag (2010:361). Denna lag träder i kraft den 1 maj 2018. Förslag till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet Härigenom föreskrivs att 1, 3 och 4 §§ lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet ska ha följande lydelse. Lydelse enligt SOU 2016:65 Föreslagen lydelse 1 § Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet. Nämnden ska även utöva tillsyn över behandlingen av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 10 § polisdatalagen (2010:361). Nämnden ska även utöva tillsyn över Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet i brottsbekämpande och lagförande verksamhet. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 9 och 10 §§ Säkerhetspolisens datalag (2018:000). Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första och andra styckena bedrivs i enlighet med lag eller annan författning. Nuvarande lydelse Föreslagen lydelse 3 § Nämnden är skyldig att på begäran av en enskild kontrollera om han eller hon har utsatts för sådana tvångsmedel eller varit föremål för sådan personuppgiftsbehandling som avses i 1 § och om användningen av tvångsmedel och därmed sammanhängande verksamhet eller behandlingen av personuppgifter har skett i enlighet med lag eller annan författning. Nämnden skall underrätta den enskilde om att kontrollen har utförts. Nämnden är skyldig att på begäran av en enskild kontrollera om han eller hon 1. har utsatts för sådana tvångsmedel som avses i 1 § och om användningen av dem och därmed sammanhängande verksamhet har varit i enlighet med lag eller annan författning, eller 2. varit föremål för sådan personuppgiftsbehandling som avses i 1 § och om den har utförts i enlighet med lag eller annan författning. Nämnden ska underrätta den enskilde om att kontrollen har utförts. Nämnden får vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad. 4 § Nämnden har rätt att av förvaltningsmyndigheter som omfattas av tillsynen få de uppgifter och det biträde som nämnden begär. Även domstolar samt de förvaltningsmyndigheter som inte omfattas av tillsynen är skyldiga att lämna nämnden de uppgifter som den begär. Nämnden har rätt att av förvaltningsmyndigheter som omfattas av tillsynen få de uppgifter och upplysningar, den information och det biträde som nämnden begär. Även domstolar och de förvaltningsmyndigheter som inte omfattas av tillsynen är skyldiga att lämna nämnden de uppgifter som den begär. Denna lag träder i kraft den 1 maj 2018. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) Härigenom föreskrivs att 18 kap. 2 och 18 §§, 35 kap. 1, 4 a, 4 b §, 10 och 10 b §§ och 37 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 18 kap. 2 § Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 7 § 1 eller 6 kap. 1 § 1 polisdatalagen (2010:361), om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 1 § första stycket 1 polisens brottsdatalag (2010:361) eller 2 kap. 1 § första stycket 1 Säkerhetspolisens datalag (2018:000), om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till sådan verksamhet som avses i 1. sådan verksamhet som avses i 2 kap. 5 § 1 skattebrottsdatalagen (2017:452), 1. 2 kap. 1 § första stycket 1 Kustbevakningens brottsdatalag (2012:145), 2. sådan verksamhet som avses i 2 kap. 5 § 1 tullbrottsdatalagen (2017:447), eller 2. 2 kap. 1 § första stycket 1 Tullverkets brottsdatalag (2017:447), eller 3. sådan verksamhet som avses i 3 kap. 2 § 1 kustbevakningsdatalagen (2012:145). 3. 2 kap. 1 § första stycket 1 Skatteverkets brottsdatalag (2017:452). Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän handling före år 1949. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. 18 § Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisdatalagen (2010:361). Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisens brottsdatalag (2010:361). Lydelse enligt prop. 2016/17:208 Föreslagen lydelse 35 kap. 1 § Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i 1. utredning enligt bestämmelserna om förundersökning i brottmål, 2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott, 3. angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627), 4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen, 5. register som förs av Polismyndigheten enligt 4 kap. polisdatalagen (2010:361) eller som annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 6 kap. samma lag, 5. register som förs av Polismyndigheten enligt 5 kap. polisens brottsdatalag (2010:361) eller som annars behandlas med stöd av de bestämmelserna, eller uppgifter som behandlas av Säkerhetspolisen med stöd av Säkerhetspolisens datalag (2018:000), 6. register som förs enligt lagen (1998:621) om misstankeregister, 7. register som förs av Skatteverket enligt skattebrottsdatalagen (2017:452) eller som annars behandlas där med stöd av samma lag, 7. register som förs av Skatteverket enligt Skatteverkets brottsdatalag (2017:452) eller som annars behandlas där med stöd av samma lag, 8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, 8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller 9. register som förs av Tullverket enligt tullbrottsdatalagen (2017:447) eller som annars behandlas där med stöd av samma lag, eller 9. register som förs av Tullverket enligt Tullverkets brottsdatalag (2017:447) eller som annars behandlas där med stöd av samma lag. 10. register som förs enligt lagen (2010:362) om polisens allmänna spaningsregister. Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs. Första stycket gäller inte om annat följer av 2, 6 eller 7 §. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. Nuvarande lydelse Föreslagen lydelse 4 a § Sekretess gäller i verksamhet som avser förande av register enligt lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretess gäller i verksamhet som avser förande av tillträdesförbudsregistret enligt 5 kap. polisens brottsdatalag (2010:361) för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider men. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. Lydelse enligt SOU 2017:29 Föreslagen lydelse 4 b § Sekretess gäller hos en behörig myndighet enligt brottsdatalagen (2018:000) för uppgift i ett sådant personurval som avses i 2 kap. 14 § samma lag. Sekretess gäller hos 1. en behörig myndighet enligt brottsdatalagen (2018:000) för uppgift i ett sådant personurval som avses i 2 kap. 14 § samma lag, och 2. Säkerhetspolisen för uppgift i ett sådant personurval som avses i 2 kap. 12 § Säkerhetspolisens datalag (2018:000). För uppgift i en allmän handling gäller sekretessen högst sjuttio år. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. Nuvarande lydelse Föreslagen lydelse 10 § Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut 1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, 2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har meddelats med stöd i den lagen, 2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) och i förordning som har meddelats med stöd i den lagen, 3. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken, 3. enligt vad som föreskrivs i 4. enligt vad som föreskrivs i - lagen (1998:621) om misstankeregister, - polisdatalagen (2010:361), - polisens brottsdatalag (2010:361), - skattebrottsdatalagen (2017:452), - Kustbevakningens brottsdatalag (2012:145), - tullbrottsdatalagen (2017:447), - åklagarväsendets brottsdatalag (2015:433), - kustbevakningsdatalagen (2012:145), - Tullverkets brottsdatalag (2017:447), - åklagardatalagen (2015:433), - Skatteverkets brottsdatalag (2017:452), - Säkerhetspolisens datalag (2018:000), eller - förordningar som har stöd i dessa lagar, eller - förordningar som har stöd i dessa lagar. 4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken. 10 b § Sekretessen enligt 4 a § hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang. Sekretessen enligt 4 a § hindrar inte att en uppgift lämnas ut till en idrottsorganisation enligt vad som föreskrivs i 2 kap. 14 § polisens brottsdatalag (2010:361). 37 kap. 7 § Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisdatalagen (2010:361). Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisens brottsdatalag (2010:361). 1. Denna lag träder i kraft den 1 maj 2018. 2. Äldre bestämmelser gäller fortfarande för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet av denna lag. Förslag till lag om ändring i polisdatalagen (2010:361) Härigenom föreskrivs i fråga om polisdatalagen (2010:361) dels att 1, 2, 4 och 6 kap. ska upphöra att gälla, dels att 3 kap. 5 och 9-15 §§ och 5 kap. 4-6 §§, ska upphöra att gälla, dels att rubrikerna före 3 kap. 8, 9 och 14 §§ och 5 kap. 4 och 5 §§ ska utgå, dels att nuvarande 4 kap. ska betecknas 5 kap. och nuvarande 5 kap. ska betecknas 6 kap., dels att nuvarande 3 kap. 6 § ska betecknas 3 kap. 5 §, att nuvarande 3 kap. 7 § ska betecknas 3 kap. 6 §, att nuvarande 3 kap. 8 § ska betecknas 3 kap. 7 § och att rubriken före nuvarande 3 kap. 8 § ska placeras före nya 3 kap. 7 §, att nuvarande 5 kap. 7 § ska betecknas 6 kap. 6 § och att rubriken före nuvarande 5 kap. 6 § ska placeras före nya 6 kap. 6 §, att nuvarande 5 kap. 8 § ska betecknas 6 kap. 7 § och att rubriken före nuvarande 5 kap. 8 § ska placeras före nya 6 kap. 7 § och att nuvarande 5 kap. 9 § ska betecknas 6 kap. 9 §, dels att 3 kap. 1-4 §§ och nya 3 kap. 5-7 §§ och 6 kap. 3 och 6-8 §§ ska ha följande lydelse, dels att det ska införas sex nya paragrafer, 3 kap. 8 och 9 §§ och 6 kap. 4, 5, 8 och 10 §§, och nya rubriker före 3 kap. 1 § och före nya 3 kap. 8 §, 6 kap. 4 och 9 §§ av följande lydelse, dels att det ska införas fem nya kapitel i lagen, 1, 2, 4, 5 och 7 kap., av följande lydelse, dels att rubriken till lagen ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse Polisdatalag Polisens brottsdatalag 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av följande myndigheter i egenskap av behörig myndighet behandlar personuppgifter. 1. Polismyndigheten, om uppgifterna behandlas i syfte att bekämpa eller lagföra brott eller upprätthålla allmän ordning och säkerhet. 2. Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet. 3. Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgifterna behandlas i syfte att bekämpa och lagföra brott. För Ekobrottsmyndigheten och Säkerhetspolisen gäller endast 1-4 och 7 kap. 2 § Denna lag gäller inte vid behandling av personuppgifter enligt 1. lagen (1998:620) om belastningsregister, 2. lagen (1998:621) om misstankeregister, 3. lagen (2000:344) om Schengens informationssystem, 4. lagen (2006:444) om passagerarregister, eller 5. lagen (2014:400) om Polismyndighetens elimineringsdatabas. 3 § I lagen (2017:496) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag. Personuppgiftsansvar 4 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid myndigheten och för den behandling som myndigheten utför vid Ekobrottsmyndigheten i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet. Ekobrottsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför i syfte att utreda brott. Säkerhetspolisen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Uttryck i lagen 5 § I denna lag avses med dna-analys: varje förfarande som kan användas för analys av deoxyribonukleinsyra i humant material, dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver, och fingeravtryck: avtryck av finger eller hand. Lagens tillämpning på uppgifter om juridiska personer 6 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 4 § om personuppgiftsansvar, 2. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, 4. 4 kap. 1-4 och 6-10 §§ om längsta tid som personuppgifter får behandlas, 5. 5 kap. 18-20 §§ om behandling av personuppgifter i penningtvättsregister, och 6. 5 kap. 21 och 22 §§ om behandling av personuppgifter i det internationella registret. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. Lagens uppbyggnad 7 § I detta kapitel och i 2 kap. finns allmänna bestämmelser om behandling av personuppgifter och i 4 kap. bestämmelser om längsta tid för behandling av personuppgifter. I 7 kap. finns bestämmelser om administrativa sanktionsavgifter och rättsmedel. För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap. För personuppgifter som behandlas i register över dna-profiler, fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret och tillträdesförbudsregistret, gäller 5 kap. i stället för 3 och 4 kap. I 6 kap. finns bestämmelser om Polismyndighetens behandling av personuppgifter för forensiska ändamål. Vid sådan behandling gäller 6 kap. i stället för 2-4 kap. 2 kap. Grundläggande bestämmelser om behandling Tillåtna rättsliga grunder för behandling av personuppgifter 1 § Personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift i syfte att 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. upprätthålla allmän ordning och säkerhet, eller 4. fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift. 2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Särskilda upplysningar 3 § Bestämmelserna i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) om särskild upplysning gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Känsliga personuppgifter 4 § Polismyndigheten och Säkerhetspolisen får behandla biometriska uppgifter enligt de förutsättningar som anges i 2 kap. 12 § brottsdatalagen (2018:000). 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott, uppgifter om verkställighet av påföljd eller uppgifter som beskriver en persons utseende används vid sökning. 6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga. Utlämnande av personuppgifter 7 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till 1. Interpol, 2. Europol, eller 3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol. Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för något av de syften som anges i 1 §. Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 5 kap. 9 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av uppgifter om huruvida personer förekommer i register över dna-profiler som regleras i 5 kap., om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). 10 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 5 kap., om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). Migrationsverket har motsvarande rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister, om verket behöver uppgifterna för att kontrollera fingeravtryck som verket tagit. 11 § Trots sekretess enligt 35 kap. 4 a § offentlighets- och sekretesslagen (2009:400) har en idrottsorganisation rätt att ta del av personuppgifter som behandlas i tillträdesförbudsregistret enligt 5 kap., om organisationen behöver uppgifterna för de syften som anges i 5 § lagen (2015:51) om idrottsorganisationers behandling av uppgifter om tillträdesförbud. 12 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 7 § och 5 kap. 10 och 17 §§. Personuppgifter från transportföretag 13 § Personuppgifter som tillhandahålls av transportföretag enligt 25 § polislagen (1984:387) får behandlas för något av de syften som anges i 1 § första stycket 1 och 2. Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen (2018:000). 14 § Vid terminalåtkomst enligt 26 § polislagen (1984:387) får personuppgifterna inte ändras eller på annat sätt bearbetas. 15 § Vid sökning i personuppgifter som avses i 13 § första stycket får namn, personnummer, samordningsnummer och andra liknande identitetsbeteckningar användas som sökbegrepp endast om uppgifterna avser en person som 1. är eller har varit misstänkt för brott, 2. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 3 kap. 2 § första stycket 1, eller 3. övervakas under de förutsättningar som anges i 3 kap. 2 § första stycket 2. Föreskrifter 16 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 7-11 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 12 § första stycket. 3 kap. Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 9 §. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000). 2 § Följande personuppgifter får göras gemensamt tillgängliga: 1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten a) innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver, eller a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller b) sker systematiskt. 2. Uppgifter som behövs för övervakningen av en person, om han eller hon 2. Uppgifter som behövs för övervakningen av en person som a) kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver, och a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller däröver och b) är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet. 3. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott. 3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott. 4. Uppgifter som behövs för att fullgöra vad som följer av internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. 4. Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd. 5. Uppgifter som har rapporterats till Polismyndighetens ledningscentraler. 6. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet. 7. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. DNA-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 4 kap. Dna-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 5 kap. Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra. 3 § Vid behandling enligt 1 § ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas. Har uppgifterna gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5, ska detta särskilt framgå. Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5. 4 § Om uppgifter, som behandlas enligt 1 §, direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta på grund av särskilda omständigheter är onödigt. Detsamma gäller uppgifter om personer som avses i 2 § första stycket 2. Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § första stycket 1 eller som övervakas med stöd av 2 § första stycket 2 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt. 5 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får sådana uppgifter tas fram som anger att den sökta personen Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 2. är eller har varit misstänkt för brott, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, 4. övervakas enligt 2 § första stycket 2, 5. har anmält ett brott, 6. är målsägande i ett ärende som rör ansvar för brott, 7. berörs av ett kontaktförbud eller av åtgärder i ett personskyddsärende, 7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 8. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 8. har gett in eller tillhandahållits en handling, 9. har gett in eller tillhandahållits en handling, 9. är anmäld såsom försvunnen, 10. är anmäld som försvunnen, 10. har bedömts kunna komma att möta ett polisingripande med grovt våld, eller 11. har bedömts kunna komma att möta ett polisingripande med grovt våld, eller 11. är efterlyst. 12. är efterlyst. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket. 6 § Bestämmelserna i 6 § gäller inte vid 1. sökning i en viss handling eller i ett visst ärende, eller 2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till. Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende. Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs Bestämmelserna i 5 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän 1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede, 1. för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i fyra år eller däröver eller för sådant ändamål som avses i 2 § första stycket 2, eller 2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 1 eller 2 och som enbart dessa tjänstemän har tillgång till, 2. för att utreda brott för vilket är föreskrivet fängelse i fyra år eller däröver. 3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver, eller 4. i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller däröver. Bestämmelserna i 5 § gäller inte heller vid sökning som en tjänsteman vid någon av Polismyndighetens ledningscentraler utför på begäran av en polisman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild. Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena. Regeringen meddelar föreskrifter om ytterligare undantag från 6 §. 7 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket får medges direktåtkomst till personuppgifter i polisens brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet. Föreskrifter 8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §. 9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. begränsning av tillgången till sådana personuppgifter som avses i 5 §, 2. under vilka förutsättningar sökning får utföras med stöd av 6 §, och 3. omfattningen av direktåtkomst enligt 7 § och om behörighet och säkerhet vid sådan åtkomst. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Detta kapitel gäller bara för automatiserad behandling. Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I följande bestämmelser anges hur länge uppgifter som behandlas i särskilda register och i forensisk verksamhet får behandlas: 1. 5 kap. 7 § om uppgifter i register över dna-profiler, 2. 5 kap. 15 och 16 §§ om uppgifter i fingeravtrycks- och signalementsregister, 3. 5 kap. 20 § om uppgifter i penningtvättsregister, 4. 5 kap. 22 § om uppgifter i det internationella registret, 5. 5 kap. 26 § om uppgifter i tillträdesförbudsregistret, och 6. 6 kap. 6 § om uppgifter om sådana uppslag som anges i 6 kap. 1 § första stycket 5. Personuppgifter som inte har gjorts gemensamt tillgängliga 2 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som varken har gjorts gemensamt tillgängliga eller behandlas med stöd av 5 kap. inte behandlas längre än 1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller 2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott. Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott 3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet. 4 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft. Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. 5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt. Övriga gemensamt tillgängliga uppgifter 6 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2 eller 4-7 som längst behandlas under den tid som anges i 7-10 §§. 7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 får, om de behandlas i ett ärende, inte behandlas längre än ett år efter det att ärendet avslutades. Om personuppgifterna inte behandlas i ett ärende får de inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tiderna, får de personuppgifter som finns om personen fortsätta att behandlas så länge någon av uppgifterna om honom eller henne får behandlas. Den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de tider som anges i andra stycket. 8 § Personuppgifter som behandlas i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Den tid då en övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av den tid som anges i första stycket. 9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades. Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 7 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. 10 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 eller 6 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. Föreskrifter 11 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 och 7-10 §§. 12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter, med avvikelse från 2 § första stycket och 7-10 §§, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål, och 2. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 5 kap. Register Register över dna-profiler Rätten att föra register 1 § Polismyndigheten får föra register över dna-profiler (dna-registret, utredningsregistret och spårregistret) i syfte att 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. fullgöra förpliktelser som följer av internationella åtaganden, och 4. underlätta identifiering av avlidna personer. I lagen (2014:400) om Polismyndighetens elimineringsdatabas finns bestämmelser om elimineringsdatabasen. Dna-registret 2 § Dna-registret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som 1. genom dom som fått laga kraft har dömts till annan påföljd än böter, eller 2. har godkänt strafföreläggande som avser villkorlig dom. 3 § En dna-profil som registreras får endast ge information om identitet och inte om personliga egenskaper. Utöver dna-profiler får dna-registret innehålla uppgifter om vem analysen avser, i vilket ärende profilen har tagits fram och brottskod. Utredningsregistret 4 § Utredningsregistret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som är skäligen misstänkta för brott på vilket det kan följa fängelse. Bestämmelserna i 3 § gäller också vid registrering i utredningsregistret. Spårregistret 5 § Spårregistret får innehålla dna-profiler som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person. Utöver dna-profiler får spårregistret innehålla upplysningar som visar i vilket ärende profilen har tagits fram och brottskod. 6 § Dna-profiler i spårregistret får jämföras med dna-profiler 1. som inte kan hänföras till en identifierbar person, 2. som finns i dna-registret, eller 3. som kan hänföras till en person som är skäligen misstänkt för brott. Dna-profiler i spårregistret får också jämföras i andra fall om det är nödvändigt för att fullgöra en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande eller om det följer av en unionsrättsakt. Längsta tid som personuppgifter får behandlas 7 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i dna-registren som längst behandlas under den tid som anges i andra-fjärde styckena. Uppgifter får inte längre behandlas i dna-registret när uppgifterna om den registrerade tagits bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister. Uppgifter får inte längre behandlas i utredningsregistret när uppgifterna om den registrerade får föras in i dna-registret eller när förundersökning eller åtal läggs ner, åtal ogillas, åtal bifalls men påföljden bestäms till enbart böter eller när den registrerade har godkänt ett strafföreläggande som avser enbart böter. Uppgifter får inte behandlas i spårregistret längre än trettio år efter registreringen. Sådana uppgifter får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om brott som anges i 35 kap. 2 § första stycket brottsbalken. Prover för dna-analys 8 § Om det i samband med utredning av ett brott har tagits ett prov för dna-analys, får provet inte användas för något annat ändamål än det som provet togs för. 9 § Ett prov för dna-analys som har tagits med stöd av 28 kap. rättegångsbalken, eller på begäran av en annan stat, ska förstöras senast sex månader efter det att provet togs. Direktåtkomst 10 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till register över dna-profiler som regleras i detta kapitel. Fingeravtrycks- och signalementsregister Rätten att föra register 11 § Polismyndigheten får föra fingeravtrycks- och signalementsregister i syfte att 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. fullgöra förpliktelser som följer av internationella åtaganden, 4. underlätta identifiering av okända personer, och 5. kontrollera fingeravtryck som Migrationsverket har tagit enligt 9 kap. 8 § utlänningslagen (2005:716). Innehåll 12 § I fingeravtrycks- och signalementsregister får uppgifter behandlas om en person som 1. är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken, eller 2. har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll. Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgiften kommit fram i en utredning om brott. I fingeravtrycks- och signalementsregister får inte personuppgifter behandlas som har inhämtats med stöd av 36 § första stycket 2 lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare. 13 § Utöver vad som anges i 12 § får i fingeravtrycks- och signalementsregister uppgifter behandlas om en person som har dömts för brott i en annan medlemsstat inom Europeiska unionen och vars fingeravtrycks- eller signalementsuppgifter har överförts hit med stöd av artikel 4.2 i rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll. Sådana uppgifter får dock endast behandlas om det för motsvarande gärning i Sverige är föreskrivet fängelse i ett år eller däröver och den som uppgifterna avser vid tidpunkten för gärningen hade fyllt femton år. 14 § Fingeravtrycks- och signalementsregister får innehålla uppgifter om 1. fingeravtryck, 2. signalement, 3. fotografi, 4. videoupptagning, 5. identifieringsuppgifter, 6. ärendenummer, och 7. brottskod. Längsta tid som personuppgifter får behandlas 15 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter i fingeravtrycks- och signalementsregister om en misstänkt person inte behandlas längre än tre månader efter det att uppgifterna om den registrerade tagits bort ur misstankeregistret som förs enligt lagen (1998:621) om misstankeregister och ur belastningsregistret som förs enligt lagen (1998:620) om belastningsregister. Uppgifter som inte kan hänföras till en identifierbar person får inte behandlas längre än trettio år efter registreringen. Sådana uppgifter får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om brott som anges i 35 kap. 2 § första stycket brottsbalken. 16 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter i fingeravtrycks- och signalementsregister som behandlas för att fullgöra ett internationellt åtagande inte behandlas när de inte längre behövs för det ändamålet. Uppgifter om personer som har lämnat fingeravtryck med stöd av lagen (1991:572) om särskild utlänningskontroll får inte behandlas längre än tio år efter registreringen. Direktåtkomst 17 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter i fingeravtrycks- och signalementsregister. Penningtvättsregister Rätten att föra register 18 § Polismyndigheten får föra penningtvättsregister. Personuppgifter får behandlas i penningtvättsregister om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet 1. där penningtvätt är ett led för att dölja vinning av brott eller brottslig verksamhet, eller 2. som innefattar finansiering av terrorism. 19 § I penningtvättsregister får personuppgifter behandlas som 1. kan antas ha samband med sådan brottslig verksamhet som avses i 18 §, 2. har rapporterats till Polismyndigheten med stöd av lag eller annan författning, eller 3. har lämnats av en utländsk myndighet som i sin stat ansvarar för arbetet med att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som avses i 18 §. Längsta tid som personuppgifter får behandlas 20 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i penningtvättsregister inte behandlas längre än fem år efter utgången av det kalenderår då den senaste registreringen avseende personens anknytning till brottslig verksamhet gjordes. Det internationella registret Rätten att föra register 21 § Polismyndigheten får föra ett internationellt register. Personuppgifter i det internationella registret får behandlas om det behövs för handläggningen av ärenden som rör internationellt polisiärt samarbete eller internationellt straffrättsligt samarbete. Uppgifter om dödsfall, olyckshändelser eller andra liknande händelser i utlandet får också behandlas i det internationella registret, om ärendet rör en fråga som ska handläggas av Polismyndigheten. Längsta tid som personuppgifter får behandlas 22 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i det internationella registret inte behandlas längre än tre år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Tillträdesförbudsregistret Rätten att föra register 23 § Polismyndigheten får föra ett register med uppgifter om personer som meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang (tillträdesförbudsregistret) i syfte att förebygga, förhindra eller upptäcka överträdelser av tillträdesförbud. Innehåll 24 § Tillträdesförbudsregistret får innehålla följande uppgifter om en person som har meddelats tillträdesförbud. 1. Namn. 2. Personnummer eller samordningsnummer. 3. Folkbokföringsadress och annan stadigvarande adress. 4. Alias. 5. Fotografi. 6. Anknytning till idrott och idrottsorganisation. 7. Omfattningen och giltighetstiden av beslut om tillträdesförbud. 8. Överträdelse av gällande tillträdesförbud. 25 § Polismyndigheten får behandla uppgifter i tillträdesförbudsregistret i syfte att tillhandahålla idrottsorganisationer den information som behövs för att upprätthålla gällande beslut om tillträdesförbud. Längsta tid som personuppgifter får behandlas 26 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter i tillträdesförbudsregistret endast behandlas så länge tillträdesförbudet gäller. Föreskrifter 27 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. omfattningen av direktåtkomst till dna-register och fingeravtrycks- och signalementsregister och om behörighet och säkerhet vid sådan åtkomst, 2. tillgången till personuppgifter i penningtvättsregister och det internationella registret, 3. att personuppgifter i fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret och tillträdesförbudsregistret, med avvikelse från det som sägs i 15, 16, 20, 22 och 26 §§, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål. 6 kap. 3 § Personuppgifter som behandlas enligt 1 § första stycket 2 eller 5 eller andra stycket 2 eller 2 § andra stycket får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i annan brottsbekämpande verksamhet hos Polismyndigheten eller i brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen eller Skatteverket. Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 eller 2 §, för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Enbart personuppgifter som behandlas enligt 1 § första stycket 2 eller 5 eller andra stycket 2 eller 2 § andra stycket får i ett enskilt fall behandlas för nya ändamål utanför den forensiska verksamheten. I ett enskilt fall får personuppgifter som behandlas enligt 1 eller 2 § även behandlas för att tillhandahålla information för något annat ändamål än det som anges i första stycket, under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för. Känsliga personuppgifter 4 § Biometriska och genetiska uppgifter får behandlas enligt 1 § under de förutsättningar som anges i 2 kap. 12 § brottsdatalagen (2018:000). 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i personuppgifter som behandlas i register enligt 5 kap. i syfte att få fram ett personurval grundat på uppgifter som rör hälsa eller biometriska eller genetiska uppgifter. Bevarande Längsta tid som personuppgifter får behandlas 6 § Nationellt forensiskt centrum får inte behandla personuppgifter för det ändamål som anges i 1 § första stycket 5 när det har förflutit fem år efter utgången av det kalenderår då ärendet där uppgifterna förekommer registrerades. Nationellt forensiskt centrum får inte behandla personuppgifter för det ändamål som anges i 1 § första stycket 5 längre än fem år efter utgången av det kalenderår då ärendet där uppgifterna förekommer registrerades. 7 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas enligt 1 § första stycket 5, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas enligt 1 § första stycket 5, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 4 kap. Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 5 kap. 8 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Föreskrifter 9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter får lämnas ut i andra fall än som anges i 8 §. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 8 §. Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen (2009:400). 10 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av behandlingen av personuppgifter enligt detta kapitel vid digital arkivering. 7 kap. Administrativa sanktionsavgifter och rättsmedel Administrativa sanktionsavgifter 1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller 3. 4 kap. 2-4 eller 7-10 §, 5 kap. 7, 15, 16, 20, 22 eller 26 § eller 6 kap. 6 § om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor. Skadestånd 2 § Vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt. Överklagande 3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 maj 2018. 2. Sanktionsavgift enligt 7 kap. 1 § får beslutas endast för över-trädelser som har begåtts efter ikraftträdandet. 3. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den. Förslag till lag om ändring i kustbevakningsdatalagen (2012:145) Härigenom föreskrivs i fråga om kustbevakningsdatalagen (2012:145) dels att 1-3 och 5 kap. ska upphöra att gälla, dels att 4 kap. 2, 4 och 8-14 §§ ska upphöra att gälla, dels att rubrikerna före 4 kap. 8 och 13 §§ ska utgå, dels att nuvarande 4 kap. ska betecknas 3 kap., dels att nuvarande 4 kap. 1 § ska betecknas 3 kap. 2 § och att rubriken före nuvarande 4 kap. 1 § ska placeras före nya 3 kap. 2 §, att nuvarande 4 kap. 3 § ska betecknas 3 kap. 3 § och att rubriken före nuvarande 4 kap. 2 § ska placeras före nya 3 kap. 3 §, att nuvarande 4 kap. 5 § ska betecknas 3 kap. 4 § och att rubriken före nuvarande 4 kap. 4 § ska placeras före nya 3 kap. 4 §, att nuvarande 4 kap. 6 § ska betecknas 3 kap. 5 §, att nuvarande 4 kap. 7 § ska betecknas 3 kap. 6 § och att rubriken före nuvarande 4 kap. 7 § ska placeras före nya 3 kap. 6 §, dels att nya 3 kap. 2-6 §§ ska ha följande lydelse, dels att det ska införas tre nya paragrafer, 3 kap. 1, 7 och 8 §§, och nya rubriker före nya 3 kap. 1 och 7 §§ av följande lydelse, dels att det ska införas fyra nya kapitel, 1, 2, 4 och 5 kap., av följande lydelse, dels att rubriken till lagen ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse Kustbevakningsdatalag Kustbevakningens brottsdatalag 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Kustbevakningen i egenskap av behörig myndighet behandlar personuppgifter i syfte att bekämpa eller lagföra brott eller upprätthålla allmän ordning och säkerhet. 2 § I lagen (2017:496) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag. Personuppgiftsansvar 3 § Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Lagens tillämpning på uppgifter om juridiska personer 4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 3 § om personuppgiftsansvar, 2. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och 4. 4 kap. 1-4 och 6-9 §§ om längsta tid som personuppgifter får behandlas. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. 2 kap. Grundläggande bestämmelser om behandling Tillåtna rättsliga grunder för behandling av personuppgifter 1 § Kustbevakningen får behandla personuppgifter om det är nödvändigt för att utföra en arbetsuppgift i syfte att 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. upprätthålla allmän ordning och säkerhet, eller 4. fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift. 2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Särskilda upplysningar 3 § Bestämmelserna i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) om särskild upplysning gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Känsliga personuppgifter 4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används vid sökning. 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett personurval grundat på etniskt ursprung, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga. Utlämnande av personuppgifter 6 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till 1. Interpol, 2. Europol, 3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller 4. en kustbevakningsmyndighet eller tullmyndighet inom Europeiska ekonomiska samarbetsområdet (EES). Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för något av de syften som anges i 1 §. Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 7 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). 8 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 §. Föreskrifter 9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 6 och 7 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 8 § första stycket. 3 kap. Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000). 2 § Följande personuppgifter får göras gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet: Följande personuppgifter får göras gemensamt tillgängliga: 1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller b) sker systematiskt. 2. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott. 2. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott. 3. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. 3. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet. 4. Uppgifter som har rapporterats till Kustbevakningens ledningscentraler. 5. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. 3 § Om uppgifter som behandlas enligt 1 § direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 1 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt. Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter. Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § 1 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt. 4 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 2. är eller har varit misstänkt för brott, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 1 § första stycket 1, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, 4. har anmält ett brott, 5. är målsägande i ett ärende som rör ansvar för brott, 6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 7. har gett in eller tillhandahållits en handling, 8. är anmäld försvunnen, 8. är anmäld som försvunnen, 9. har bedömts kunna komma att möta ett ingripande med grovt våld, eller 10. är efterlyst. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket. 5 § Begränsningarna i 5 § gäller inte vid 1. sökning i en viss handling eller i ett visst ärende, eller Bestämmelserna i 4 § gäller inte vid sökning i en viss handling eller i ett visst ärende. 2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet och som enbart de som arbetar i undersökningen har åtkomst till. Bestämmelserna i 4 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1 och som enbart dessa tjänstemän har tillgång till. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första stycket. Regeringen meddelar ytterligare föreskrifter om begränsningarna i 5 §. 6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket får medges direktåtkomst till personuppgifter i Kustbevakningens brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet. Föreskrifter 7 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 4 §. 8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. begränsning av tillgången till sådana personuppgifter som avses i 4 §, 2. under vilka förutsättningar sökning får utföras med stöd av 5 §, och 3. omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Detta kapitel gäller bara för automatiserad behandling. Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Personuppgifter som inte har gjorts gemensamt tillgängliga 2 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte har gjorts gemensamt tillgängliga inte behandlas längre än 1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller 2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott. Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott 3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet. 4 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft. Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. 5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt. Övriga gemensamt tillgängliga uppgifter 6 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § 1 eller 3-5 som längst behandlas under den tid som anges i 7-9 §§. 7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 får inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tiderna, får de personuppgifter som finns om personen fortsätta att behandlas så länge någon av uppgifterna om honom eller henne får behandlas. 8 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 eller 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. 9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Föreskrifter 10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att vissa kategorier av personuppgifter får fortsätta behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 och 7-9 §§, och 2. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter, med avvikelse från 2 § första stycket och 7-9 §§, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål. 5 kap. Administrativa sanktionsavgifter och rättsmedel Administrativa sanktionsavgifter 1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 3 § om särskild upplysning, eller 3. 4 kap. 2-4 eller 7-9 § om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor. Skadestånd 2 § Vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt. Överklagande 3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 maj 2018. 2. Sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet. 3. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den. Förslag till lag om ändring i lagen (2014:400) om Polismyndighetens elimineringsdatabas Härigenom föreskrivs i fråga om lagen (2014:400) om Polismyndighetens elimineringsdatabas dels att 6 och 7 §§ och rubriken före 7 § ska upphävas, dels att i 3, 8-10, 13 och 14 §§ "DNA" ska bytas ut mot "dna", dels att 1, 2, 4, 11 och 12 §§ och rubrikerna före 2, 11 och 12 §§ ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § Polismyndigheten får föra ett register över DNA-profiler i syfte att stärka kvaliteten i den forensiska verksamheten med DNA-analyser (elimineringsdatabasen) i enlighet med denna lag. Polismyndigheten får föra ett register över dna-profiler i syfte att stärka kvaliteten i den forensiska verksamheten med dna-analyser (elimineringsdatabasen) i enlighet med denna lag. Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar vid DNA-analyser och hanteringen av DNA-spår. Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar vid dna-analyser och hanteringen av dna-spår. Begreppen DNA-profil och DNA-analys som används i lagen har samma betydelse som i polisdatalagen (2010:361). Begreppen dna-profil och dna-analys som används i lagen har samma betydelse som i polisens brottsdatalag (2010:361). Förhållandet till personuppgiftslagen Förhållandet till annan personuppgiftsreglering 2 § Denna lag gäller utöver personuppgiftslagen (1998:204). Denna lag gäller utöver brottsdatalagen (2018:000). 4 § En DNA-profil som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person får vid ett tillfälle jämföras med DNA-profiler i elimineringsdatabasen. Jämförelsen ska göras innan jämförelse görs med andra DNA-profiler i de DNA-register som regleras i 4 kap. polisdatalagen (2010:361). En dna-profil som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person får vid ett tillfälle jämföras med dna-profiler i elimineringsdatabasen. Jämförelsen ska göras innan jämförelse görs med andra dna-profiler i de dna-register som regleras i 5 kap. polisens brottsdatalag (2010:361). En DNA-profil från prov som har tagits med stöd av 28 kap. rättegångsbalken får vid ett tillfälle jämföras med DNA-profiler i elimineringsdatabasen. Avser DNA-profilen en misstänkt ska jämförelsen göras innan profilen läggs in i det utredningsregister eller det DNA-register som regleras i 4 kap. polisdatalagen. En dna-profil från prov som har tagits med stöd av 28 kap. rättegångsbalken får vid ett tillfälle jämföras med dna-profiler i elimineringsdatabasen. Avser dna-profilen en misstänkt ska jämförelsen göras innan profilen läggs in i det utredningsregister eller det dna-register som regleras i 5 kap. polisens brottsdatalag. En DNA-profil som har tagits fram för att kvalitetssäkra den forensiska verksamheten med DNA-analyser och som inte hänför sig till brottsutredande verksamhet får jämföras med DNA-profiler i elimineringsdatabasen. En dna-profil som har tagits fram för att kvalitetssäkra den forensiska verksamheten med dna-analyser och som inte hänför sig till brottsutredande verksamhet får jämföras med dna-profiler i elimineringsdatabasen. Gallring Längsta tid för behandling 11 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som längst behandlas under den tid som anges i andra-femte styckena. Uppgifter i elimineringsdatabasen ska gallras när de inte längre behövs för att utreda om en persons DNA kan ha kontaminerat material, prover eller lokaler. Uppgifter i elimineringsdatabasen får inte behandlas när de inte längre behövs för att utreda om en persons dna kan ha kontaminerat material, prover eller lokaler. Uppgifter som rör anställda vid Polismyndigheten ska gallras senast två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde. Uppgifter som rör anställda vid Polismyndigheten får inte behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde. Uppgifter som har registrerats med stöd av 9 § ska gallras senast ett år efter det att uppgifterna registrerades. Uppgifter som har registrerats med stöd av 9 § får inte behandlas längre än ett år efter det att uppgifterna registrerades. Uppgifter som rör andra än de som anges i andra och tredje styckena ska gallras senast ett år efter det att det förhållande som grundade skyldigheten upphörde. Uppgifter som rör andra än de som anges i andra och tredje styckena får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten upphörde. Rättelse och skadestånd Skadestånd 12 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som avses i 13 eller 14 §. Vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som avses i 13 eller 14 § ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt. 1. Denna lag träder i kraft den 1 maj 2018. 2. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som före ikraftträdandet har orsakats vid behandling av personuppgifter enligt denna lag. Förslag till lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang Härigenom föreskrivs i fråga om lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang dels att 2, 4, 6, 8-10, 12 och 15 §§ ska upphöra att gälla, dels att rubrikerna före 2, 4, 8-10, 12 och 15 §§ ska utgå, dels att nuvarande 3 § ska betecknas 2 § och att rubriken före nuvarande 3 § ska placeras före nya 2 §, att nuvarande 5 § ska betecknas 4 §, att nuvarande 7 § ska betecknas 5 § och att rubriken före nuvarande 6 § ska placeras före nya 5 §, att nuvarande 11 § ska betecknas 6 § och att rubriken före nuvarande 11 § ska placeras före nya 6 §, att nuvarande 13 § ska betecknas 7 §, att nuvarande 14 § ska betecknas 8 § och att rubriken före nuvarande 14 § ska placeras före nya 8 §, dels att rubriken före nya 4 § ska lyda Rätten att behandla personuppgifter, dels att 1 och nya 2, 4, 6 och 7 §§ ska ha följande lydelse, dels att det ska införas en ny paragraf, 3 §, och före nya 3 och 7 §§ nya rubriker med följande lydelse, dels att rubriken till lagen ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse Lag om register över tillträdesförbud vid idrottsarrangemang Lag om idrottsorganisationers behandling av uppgifter om tillträdesförbud 1 § Syftet med denna lag är att göra det möjligt för Polismyndigheten och idrottsorganisationer som anordnar idrottsarrangemang att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut om tillträdesförbud vid idrottsarrangemang och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Syftet med denna lag är att göra det möjligt för idrottsorganisationer som anordnar idrottsarrangemang att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. 2 § Denna lag gäller behandling av personuppgifter för att upprätthålla gällande beslut om tillträdesförbud. Lagen gäller vid 1. Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret, och 2. idrottsorganisationers behandling av personuppgifter från tillträdesförbudsregistret. Denna lag gäller vid idrottsorganisationers behandling av personuppgifter från det tillträdesförbudsregister som förs enligt polisens brottsdatalag (2010:361) för att upprätthålla gällande beslut om tillträdesförbud. Lagen gäller behandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen gäller även för annan behandling i fall som avses i 14 §. Lagen gäller för behandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen gäller även för annan behandling i fall som avses i 8 §. Förhållandet till annan reglering om personuppgiftsbehandling 3 § Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) gäller vid behandling av personuppgifter enligt denna lag. Lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till den. 4 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag. Varje idrottsorganisation är personuppgiftsansvarig för den behandling av personuppgifter som organisationen utför. 6 § Tillgången till personuppgifter ska begränsas till vad den som arbetar vid Polismyndigheten eller som arbetar eller utför uppdrag åt en idrottsorganisation behöver för att kunna fullgöra arbetsuppgifterna eller uppdraget. Tillgången till personuppgifter ska begränsas till vad den som arbetar eller utför uppdrag åt en idrottsorganisation behöver för att kunna fullgöra arbetsuppgifterna eller uppdraget. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om tillgången till personuppgifter. 7 § Längsta tid som personuppgifter får behandlas En uppgift som en idrottsorganisation har fått tillgång till från tillträdesförbudsregistret ska tas bort om uppgiften inte längre behövs för de ändamål som anges i 7 §, dock senast när tillträdesförbudets giltighetstid löper ut eller om tillträdesförbudet dessförinnan upphävs. Behandlingen av personuppgifter som en idrottsorganisation har fått tillgång till från tillträdesförbudsregistret ska upphöra senast när tillträdesförbudets giltighetstid löper ut eller om tillträdesförbudet dessförinnan upphävs. 1. Denna lag träder i kraft den 1 maj 2018. 2. Bestämmelserna i 4 och 15 §§ i deras nuvarande lydelse ska fortsätta att gälla för idrottsorganisationers personuppgiftsbehandling till den 25 maj 2018. 3. Bestämmelsen i 3 § ska inte tillämpas förrän den 25 maj 2018. Förslag till lag om ändring i åklagardatalagen (2015:433) Härigenom föreskrivs i fråga om åklagardatalagen (2015:433) dels att 1 och 2 kap. ska upphöra att gälla, dels att 3 kap. 3, 4 och 7 §§ ska upphöra att gälla, dels att rubriken före 3 kap. 3 § ska utgå, dels att nuvarande 3 kap. 5 § ska betecknas 3 kap. 3 § och att rubriken före nuvarande 3 kap. 4 § ska placeras före nya 3 kap. 3 §, att nuvarande 3 kap. 6 § ska betecknas 3 kap. 4 §, att nuvarande 3 kap. 8 § ska betecknas 3 kap. 5 § och att rubriken före nuvarande 3 kap. 8 § ska placeras före nya 3 kap. 5 §, dels att 3 kap. 1 och 2 §§ och nya 3-5 §§ ska ha följande lydelse, dels att det ska införas två nya paragrafer, 3 kap. 6 och 7 §§, och nya rubriker före 3 kap. 1 § och nya 3 kap. 6 § av följande lydelse, dels att det ska införas fyra nya kapitel, 1, 2, 4 och 5 kap., av följande lydelse, dels att rubriken till lagen ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse Åklagardatalag Åklagarväsendets brottsdatalag 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Åklagarmyndigheten eller Ekobrottsmyndigheten i egenskap av behörig myndighet behandlar personuppgifter i åklagarverksamhet i syfte att bekämpa eller lagföra brott eller handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet. Bestämmelser om personuppgiftsbehandling vid Ekobrottsmyndigheten finns också i polisens brottsdatalag (2010:361). Personuppgiftsansvar 2 § Åklagarmyndigheten och Ekobrottsmyndigheten är var och en personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Lagens tillämpning på uppgifter om juridiska personer 3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 2 § om personuppgiftsansvar, 2. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och 4. 4 kap. 1, 2 och 4 §§ om längsta tid som personuppgifter får behandlas. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. 2 kap. Grundläggande bestämmelser om behandling Tillåtna rättsliga grunder för behandling av personuppgifter 1 § Personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift i syfte att 1. förebygga eller förhindra brottslig verksamhet, 2. utreda eller lagföra brott, 3. handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder, 4. handlägga frågor som rör upprätthållande av allmän ordning och säkerhet, eller 5. fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift. 2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Särskilda upplysningar 3 § Bestämmelserna i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) om särskild upplysning gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Känsliga personuppgifter 4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används vid sökning. Utlämnande av personuppgifter 5 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till 1. Eurojust, 2. Interpol, 3. Europol, eller 4. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol. Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för något av de syften som anges i 1 §. Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 6 § Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). 7 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 5 §. Föreskrifter 8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 5 och 6 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 7 § första stycket. 3 kap. Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i åklagarväsendets operativa verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 7 §. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000). 2 § Personuppgifter i åklagarväsendets operativa verksamhet får göras gemensamt tillgängliga. Alla personuppgifter som behandlas för syften som omfattas av denna lags tillämpningsområde får göras gemensamt tillgängliga. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om sådana uppgifter. 3 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får sådana uppgifter tas fram som anger att den sökta personen Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 1. är eller har varit misstänkt för brott, 2. är eller har varit misstänkt för brott, 2. är misstänkt för att ha utövat eller komma att utöva brottslig verksamhet, 3. är misstänkt för att ha utövat eller komma att utöva brottslig verksamhet, 3. har anmält ett brott, 4. har anmält ett brott, 4. är målsägande i ett ärende som rör ansvar för brott, 5. är målsägande i ett ärende som rör ansvar för brott, 5. är sökande, motpart eller annan part eller kan jämställas med part i ett ärende, 6. är sökande, motpart eller annan part eller kan jämställas med part i ett ärende, 6. förekommer i ett ärende som vittne eller någon annan som lämnar eller har lämnat uppgifter eller yttrande, 7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 7. är eller har varit åklagare i ett ärende, eller är eller har varit offentlig försvarare eller målsägandebiträde eller kan jämställas med sådana, eller 8. är eller har varit åklagare i ett ärende, eller är eller har varit offentlig försvarare eller målsägandebiträde eller kan jämställas med sådana, eller 8. har gett in eller tillhandahållits en handling. 9. har gett in eller tillhandahållits en handling. 4 § Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende. Bestämmelserna i 3 § gäller inte vid sökning i en viss handling eller i ett visst ärende. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §. 5 § Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket får i den brottsbekämpande verksamheten medges direktåtkomst till personuppgifter i åklagarväsendets operativa verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet. Föreskrifter 6 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 3 §. 7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. gemensamt tillgängliga uppgifter, och 2. omfattningen av direktåtkomst enligt 5 § och om behörighet och säkerhet vid sådan åtkomst. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Detta kapitel gäller bara för automatiserad behandling. Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Personuppgifter i ärenden 2 § Personuppgifter i ett ärende får inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då ärendet avslutades av åklagaren, eller, om frågan prövats av domstol, från utgången av det kalenderår då domstolens avgörande fick laga kraft. 3 § Om en förundersökning mot en person inte har inletts eller har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt. Övriga personuppgifter 4 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte kan hänföras till ett ärende inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. Föreskrifter 5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att uppgifter i vissa ärendetyper eller vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 2 §, 2. att personuppgifter, med avvikelse från 4 §, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål, och 3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 5 kap. Administrativa sanktionsavgifter och rättsmedel Administrativa sanktionsavgifter 1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter, eller 2. 4 kap. 2 eller 4 § om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor. Skadestånd 2 § Vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt. Överklagande 3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 maj 2018. 2. Sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet. 3. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den. Förslag till lag om ändring i utlänningsdatalagen (2016:27) Härigenom föreskrivs att 14 § utlänningsdatalagen (2016:27) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 14 § Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Med begränsning av de ändamål som annars gäller enligt 11 och 13 §§ får uppgifter om fingeravtryck eller fotografier i registren användas endast 1. vid prövning av ansökningar om uppehållstillstånd där skäl som anges i 4 kap. 1-2 a §§ utlänningslagen åberopas, 2. i ärenden om avvisning och utvisning, 3. i testverksamhet, 4. om det behövs för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket, eller 5. om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot det fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 4 kap. 11 § polisdatalagen (2010:361). 5. om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 5 kap. 11 § polisens brottsdatalag (2010:361). Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela 1. ytterligare föreskrifter om vilka uppgifter som får behandlas i registren över fingeravtryck och fotografier, och 2. föreskrifter om gallring. Denna lag träder i kraft den 1 maj 2018. Förslag till lag om ändring i tullagen (2016:253) Härigenom föreskrivs att 4 kap. 8 § tullagen (2016:253) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 8 § Ett transportföretag får lämna uppgifter enligt 6 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst. Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter som hålls tillgängliga på detta sätt får inte ändras eller på annat sätt bearbetas eller lagras av Tullverket. Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst ska omedelbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott. Denna lag träder i kraft den 1 maj 2018. Förslag till lag om ändring i tullbrottsdatalagen (2017:447) Härigenom föreskrivs i fråga om tullbrottsdatalagen (2017:447) dels att 1 och 2 kap. ska upphöra att gälla, dels att 3 kap. 5 § och 4 kap. 5 § ska upphöra att gälla, dels att nuvarande 3 kap. 6 § ska betecknas 3 kap. 5 §, att nuvarande 3 kap. 7 § ska betecknas 3 kap. 6 §, att nuvarande 3 kap. 8 § ska betecknas 3 kap. 7 § och att rubriken före nuvarande 3 kap. 8 § ska placeras före nya 3 kap. 7 §, att nuvarande 4 kap. 2 § ska betecknas 4 kap. 12 §, att nuvarande 4 kap. 3 § ska betecknas 4 kap. 2 § och att rubriken före nuvarande 4 kap. 3 § ska placeras före nya 4 kap. 2 §, att nuvarande 4 kap. 4 § ska betecknas 4 kap. 3 §, att nuvarande 4 kap. 6 § ska betecknas 4 kap. 4 § och att rubriken före nuvarande 4 kap. 5 § ska placeras före nya 4 kap. 4 §, att nuvarande 4 kap. 7 § ska betecknas 4 kap. 5 §, att nuvarande 4 kap. 8 § ska betecknas 4 kap. 6 §, att nuvarande 4 kap. 9 § ska betecknas 4 kap. 8 § och att rubriken före nuvarande 4 kap. 9 § ska placeras före nya 4 kap. 7 §, dels att 3 kap. 1-4 §§ och nya 3 kap. 5-7 §§, 4 kap. 1 § och nya 4 kap. 2-5, 8, 10 och 13 §§, rubriken till 4 kap. och rubriken före 4 kap. 1 § och nya 4 kap. 4 § ska ha följande lydelse, dels att det ska införas sex nya paragrafer, 3 kap. 8 och 9 §§ och 4 kap. 7, 9, 11 och 12 §§ och nya rubriker före 3 kap. 1 §, nya 3 kap. 8 § och nya 4 kap. 12 §§ av följande lydelse, dels att det ska införas tre nya kapitel, 1, 2 och 5 kap., av följande lydelse, dels att rubriken till lagen ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse Tullbrottsdatalag Tullverkets brottsdatalag 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att bekämpa eller lagföra brott. 2 § I lagen (2017:496) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser om polisiärt samarbete. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag. Personuppgiftsansvar 3 § Tullverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Lagens tillämpning på uppgifter om juridiska personer 4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 3 § om personuppgiftsansvar, 2. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och 4. 4 kap. 1-5 och 8-11 §§ om längsta tid som personuppgifter får behandlas. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. 2 kap. Grundläggande bestämmelser om behandling Tillåtna rättsliga grunder för behandling av personuppgifter 1 § Tullverket får behandla personuppgifter om det är nödvändigt för att utföra en arbetsuppgift i syfte att 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, eller 3. fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift. 2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Särskilda upplysningar 3 § Bestämmelserna i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) om särskild upplysning gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Känsliga personuppgifter 4 § Tullverket får behandla biometriska uppgifter enligt de förutsättningar som anges i 2 kap. 12 § brottsdatalagen (2018:000). 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används vid sökning. 6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga. Utlämnande av personuppgifter 7 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till 1. Interpol, 2. Europol, 3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller 4. en tullmyndighet eller kustbevakningsmyndighet inom Europeiska ekonomiska samarbetsområdet (EES). Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för något av de syften som anges i 1 §. Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). 9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 7 §. Personuppgifter från transportföretag 10 § Personuppgifter som lämnas till Tullverket enligt 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 6 § tullagen (2016:253) får behandlas för att planera kontroller och välja ut kontrollobjekt för något av de syften som anges i 1 § första stycket 1 eller 2. Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen (2018:000). 11 § Vid terminalåtkomst enligt 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 8 § tullagen (2016:253) får Tullverket inte ändra eller på annat sätt bearbeta personuppgifterna. 12 § Vid sökning i personuppgifter som avses i 10 § första stycket får namn, personnummer, samordningsnummer och andra liknande identitetsbeteckningar användas som sökbegrepp endast om uppgifterna avser en person som 1. är eller har varit misstänkt för brott, 2. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 3 kap. 2 § första stycket 1, eller 3. övervakas under de förutsättningar som anges i 3 kap. 2 § första stycket 2. Föreskrifter 13 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 9 § första stycket. 3 kap. Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 7 §. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000). 2 § Följande personuppgifter får göras gemensamt tillgängliga: 1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller b) sker systematiskt. 2. Uppgifter som behövs för övervakningen av en person, om han eller hon 2. Uppgifter som behövs för övervakningen av en person som a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller däröver, och b) är allvarligt kriminellt belastad. 3. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott. 3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott. 4. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. 4. Uppgifter som har rapporterats till Tullverkets ledningscentraler. 5. Uppgifter som har rapporterats till Tullverkets kommunikationscentral. 5. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. Personuppgifter från transportföretag som behandlas enligt 2 kap. 10 § första stycket får göras gemensamt tillgängliga endast om det behövs i ett enskilt fall. Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra. 3 § För gemensamt tillgängliga uppgifter ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas. Har personuppgifterna gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2, ska detta särskilt framgå. Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2. 4 § Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt. Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter. Detsamma gäller uppgifter om personer som avses i 2 § första stycket 2. Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § första stycket 1 eller som övervakas med stöd av 2 § första stycket 2 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt. 5 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 2. är eller har varit misstänkt för brott, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, 4. övervakas enligt 2 § första stycket 2, 5. har anmält ett brott, 6. är målsägande i ett ärende som rör ansvar för brott, 7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 8. har gett in eller tillhandahållits en handling, 9. har bedömts kunna komma att möta ett ingripande med grovt våld, eller 10. är efterlyst. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket. 6 § Bestämmelserna i 6 § gäller inte vid 1. sökning i en viss handling eller i ett visst ärende, eller 2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till. Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende. Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs Bestämmelserna i 5 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän 1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede, 1. för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i fyra år eller däröver eller för sådant ändamål som avses i 2 § första stycket 2, eller 2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 1 eller 2 och som enbart dessa tjänstemän har tillgång till, 2. för att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver. 3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver, eller 4. i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller däröver. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 6 §. Bestämmelserna i 5 § gäller inte heller vid sökning som en tjänsteman vid någon av Tullverkets ledningscentraler utför på begäran av en tulltjänsteman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild. 7 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket får medges direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som är gemensamt tillgängliga. Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet. Föreskrifter 8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §. 9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. begränsning av tillgången till sådana personuppgifter som avses i 5 §, 2. under vilka förutsättningar sökning får utföras med stöd av 6 §, och 3. omfattningen av direktåtkomst enligt 7 § och behörighet och säkerhet vid sådan åtkomst. 4 kap. Bevarande och gallring av personuppgifter 4 kap. Längsta tid som personuppgifter får behandlas Generella bestämmelser Allmän bestämmelse 1 § Detta kapitel gäller, om inte annat sägs, bara för automatiserad behandling. Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i lagen. Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I följande paragrafer anges hur länge uppgifter som behandlas automatiserat längst får bevaras: 1. 3 och 4 §§ om uppgifter som inte har gjorts gemensamt tillgängliga, 2. 5-7 §§ om uppgifter i ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga, och 3. 9 och 10 §§ om andra uppgifter som har gjorts gemensamt tillgängliga än som anges i 2. 2 § Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende, ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången. Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte har gjorts gemensamt tillgängliga inte behandlas längre än 1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller 2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Första stycket gäller inte personuppgifter i ärenden om utredning eller beivrande av brott. Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott. 3 § I 4 kap. 8 § tullagen (2016:253) och 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen finns bestämmelser om lagring och förstöring av vissa uppgifter från transportföretag. Personuppgifter som med stöd av 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 6 § tullagen (2016:253) tillhandahålls på annat sätt än genom terminalåtkomst ska omedelbart förstöras, om de visar sig sakna betydelse för något av de syften som anges i 2 kap. 1 § första stycket 1 eller 2. Det som sägs i första stycket gäller också vid behandling av personuppgifter som ingår i en strukturerad samling personuppgifter. Gemensamt tillgängliga uppgifter i ärenden om utredning eller beivrande av brott Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott 4 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i Tullverkets brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i Tullverkets brottsbekämpande verksamhet när åtal inte längre får väckas för brottet. Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet. 5 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas i Tullverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, fick laga kraft. Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft. Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Tullverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. 7 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2, 4 eller 5 som längst behandlas under den tid som anges i 8-11 §§. 8 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § första stycket 1 eller 2 ska gallras enligt andra-fjärde styckena. Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 får, om de behandlas i ett ärende, inte behandlas längre än ett år efter det att ärendet avslutades. Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 ska gallras senast tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Uppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras. Om personuppgifterna inte behandlas i ett ärende får de inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tiderna, får de uppgifter som finns om personen fortsätta att behandlas så länge någon av uppgifterna om honom eller henne får behandlas. Uppgifter som har behandlats i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Den tid då en misstänkt eller övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de frister som anges i andra och tredje styckena. Den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de tider som anges i andra stycket. 9 § Personuppgifter som behandlas i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Den tid då en övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av den tid som anges i första stycket. 10 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § första stycket 4 eller 5 ska gallras enligt andra eller tredje stycket. Uppgifter som har behandlats med stöd av 3 kap. 2 § första stycket 4 ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. Uppgifter som har behandlats med stöd av 3 kap. 2 § första stycket 5 ska gallras senast ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. 11 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Föreskrifter 12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att vissa kategorier av personuppgifter får bevaras i den brottsbekämpande verksamheten under längre tid än vad som anges i 6, 7, 9 och 10 §§, 1. att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 4, 5 och 8-11 §§, 2. att personuppgifter, med avvikelse från 3 § första stycket, 9 och 10 §§, får bevaras för historiska, statistiska eller vetenskapliga ändamål, och 2. att personuppgifter, med avvikelse från 2 § första stycket och 8-11 §§, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål och 3. digital arkivering. 3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 5 kap. Administrativa sanktionsavgifter och rättsmedel Administrativa sanktionsavgifter 1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller 3. 4 kap. 2-5 eller 8-11 § om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor. Skadestånd 2 § Vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt. Överklagande 3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 maj 2018. 2. Sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet. 3. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den. Förslag till lag om ändring i skattebrottsdatalagen (2017:452) Härigenom föreskrivs i fråga om skattebrottsdatalagen (2017:452) dels att 1 och 2 kap. ska upphöra att gälla, dels att 3 kap. 3 och 5 §§ och 4 kap. 4 § ska upphöra att gälla, dels att nuvarande 3 kap. 4 § ska betecknas 3 kap. 3 §, att nuvarande 3 kap. 6 § ska betecknas 3 kap. 4 § och att rubriken före nuvarande 3 kap. 5 § ska placeras före nya 3 kap. 4 §, att nuvarande 3 kap. 7 § ska betecknas 3 kap. 5 §, att nuvarande 3 kap. 8 § ska betecknas 3 kap. 6 § och att rubriken före nuvarande 3 kap. 8 § ska placeras före nya 3 kap. 6 §, att nuvarande 4 kap. 2 § ska betecknas 4 kap. 9 §, att nuvarande 4 kap. 3 § ska betecknas 4 kap. 2 § och att rubriken före nuvarande 4 kap. 3 § ska placeras före nya 4 kap. 2 §, att nuvarande 4 kap. 5 § ska betecknas 4 kap. 3 § och att rubriken före nuvarande 4 kap. 4 ska placeras före nya 4 kap. 3 §, att nuvarande 4 kap. 6 § ska betecknas 4 kap. 4 §, att nuvarande 4 kap. 7 § ska betecknas 4 kap. 5 §, att nuvarande 4 kap. 8 § ska betecknas 4 kap. 7 § och att rubriken före nuvarande 4 kap. 8 § ska placeras före nya 4 kap. 6 §, dels att 3 kap. 1 och 2 §§ och nya 3 kap. 3-6 §§, 4 kap. 1 § och nya 4 kap. 2-4, 7 och 9 §§, rubriken till 4 kap. och rubriken före 4 kap. 1 § ska ha följande lydelse, dels att det ska införas fyra nya paragrafer, 3 kap. 7 och 8 §§ och 4 kap. 6 och 8 §§ och nya rubriker före 3 kap. 1 §, nya 3 kap. 7 § och nya 4 kap. 9 § av följande lydelse, dels att det ska införas tre nya kapitel, 1, 2 och 5 kap., av följande lydelse, dels att rubriken till lagen ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse Skattebrottsdatalag Skatteverkets brottsdatalag 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Skatteverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att bekämpa brott. Personuppgiftsansvar 2 § Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Lagens tillämpning på uppgifter om juridiska personer 3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 2 § om personuppgiftsansvar, 2. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och 4. 4 kap. 1-4 och 7 och 8 §§ om längsta tid som personuppgifter får behandlas. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. 2 kap. Grundläggande bestämmelser om behandling Tillåtna rättsliga grunder för behandling av personuppgifter 1 § Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra en arbetsuppgift i syfte att 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda brott, eller 3. fullgöra förpliktelser som följer av internationella åtaganden. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift. 2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Särskilda upplysningar 3 § Bestämmelserna i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) om särskild upplysning gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Sökning Känsliga personuppgifter 4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att uppgifter som beskriver en persons utseende används vid sökning. 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökning i syfte att få fram ett personurval grundat på etniskt ursprung, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga. Beskattningsdatabasen 6 § I lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns bestämmelser om beskattningsdatabasen. Vid sökning i beskattningsdatabasen som görs för något av de syften som anges i 1 § får endast uppgift om namn, personnummer eller samordningsnummer användas. Utlämnande av personuppgifter 7 § Personuppgifter får lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Tullverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). 9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 §. Föreskrifter 10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 9 § första stycket. 3 kap. Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i Skatteverkets brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 7 §. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000). 2 § Följande personuppgifter får göras gemensamt tillgängliga: 1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller b) sker systematiskt. 2. Uppgifter som förekommer i ett ärende om utredning av brott. 3. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. 3. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. 3 § Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt. Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter. Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § 1 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt. 4 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 2. är eller har varit misstänkt för brott, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, 4. har anmält ett brott, 5. är målsägande i ett ärende som rör ansvar för brott, 6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 7. har gett in eller tillhandahållits en handling, 8. har bedömts kunna komma att möta ett ingripande med grovt våld, eller 9. är eller har varit registrerad som funktionär i en eller flera juridiska personer vilka kan antas ha samband med brottslig verksamhet. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket. 5 § Bestämmelserna i 6 § gäller inte vid 1. sökning i en viss handling eller i ett visst ärende, eller Bestämmelserna i 4 § gäller inte vid sökning i en viss handling eller i ett visst ärende. 2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till. Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs Bestämmelserna i 4 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän 1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede, 1. för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i fyra år eller däröver, eller 2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1 eller 2 och som enbart dessa tjänstemän har tillgång till, eller 2. för att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver. 3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 6 §. 6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får medges direktåtkomst till personuppgifter i Skatteverkets brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet. Föreskrifter 7 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 4 §. 8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. begränsning av tillgången till sådana personuppgifter som avses i 4 §, 2. under vilka förutsättningar sökning får utföras med stöd av 5 §, och 3. omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst. 4 kap. Bevarande och gallring av personuppgifter 4 kap. Längsta tid som personuppgifter får behandlas Generella bestämmelser Allmän bestämmelse 1 § Detta kapitel gäller bara för automatiserad behandling. Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i lagen. Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I följande paragrafer anges hur länge uppgifter som behandlas automatiserat längst får bevaras: 1. 3 § om uppgifter som inte har gjorts gemensamt tillgängliga, 2. 4-6 §§ om uppgifter i ärenden om utredning av brott som har gjorts gemensamt tillgängliga, och 3. 8 § om andra uppgifter som har gjorts gemensamt tillgängliga än som anges i 2. 2 § Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende, ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången. Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte har gjorts gemensamt tillgängliga inte behandlas längre än 1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller 2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Första stycket gäller inte personuppgifter i ärenden om utredning av brott. 3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i Skatteverkets brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i Skatteverkets brottsbekämpande verksamhet när åtal inte längre får väckas för brottet. Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet. 4 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas i Skatteverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, fick laga kraft. Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft. Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Skatteverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. 6 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § 1 eller 3 som längst behandlas under den tid som anges i 7 och 8 §§. 7 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § 1 eller 3 ska gallras enligt andra och tredje styckena. Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 ska gallras senast tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Uppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras. Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 får inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av d, får de uppgifter som finns om personen fortsätta att behandlas så länge någon av uppgifterna om honom eller henne får behandlas. Uppgifter som har behandlats med stöd av 3 kap. 2 § 3 ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. 8 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Föreskrifter 9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att vissa kategorier av personuppgifter får bevaras i den brottsbekämpande verksamheten under längre tid än vad som anges i 5, 6 och 8 §§, 1. att vissa kategorier av personuppgifter får fortsätta behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4, 7 och 8 §§, 2. att personuppgifter, med avvikelse från 3 § första stycket och 8 §, får bevaras för historiska, statistiska eller vetenskapliga ändamål, och 2. att personuppgifter, med avvikelse från 2 § första stycket, 7 och 8 §§, får behandlas under längre tid för arkivändamål av allmänt intresse och vetenskapliga, statistiska eller historiska ändamål, och 3. digital arkivering. 3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 5 kap. Administrativa sanktionsavgifter och rättsmedel Administrativa sanktionsavgifter 1 § Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 3 § om särskild upplysning, eller 3. 4 kap. 2-4, 7 eller 8 § om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor. Skadestånd 2 § Vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt. Överklagande 3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 maj 2018. 2. Sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har begåtts efter ikraftträdandet. 3. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som meddelats i anslutning till den. Förslag till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete Härigenom föreskrivs att 6 kap. 1 §, 7 kap. 1, 3, 4 och 7 §§, 8 kap. 3 §, 9 kap. 4 och 5 §§ och 10 kap. 1-3 §§ lagen (2017:496) om internationellt polisiärt samarbete ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 kap. 1 § Om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till lagen gäller Om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till lagen gäller följande författningar för respektive myndighet för behandling av personuppgifter vid internationellt polisiärt samarbete - brottsdatalagen (2018:000), och - polisdatalagen (2010:361) för polisens behandling av personuppgifter vid internationellt polisiärt samarbete, - polisens brottsdatalag (2010:361), - kustbevakningsdatalagen (2012:145) för Kustbevakningens behandling av personuppgifter vid internationellt polisiärt samarbete, och - Kustbevakningens brottsdatalag (2012:145), - tullbrottsdatalagen (2017:447) för Tullverkets behandling av personuppgifter vid internationellt polisiärt samarbete. - Tullverkets brottsdatalag (2017:447), eller - Säkerhetspolisens datalag (2018:000). 7 kap. 1 § Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i de svenska registren över dna-profiler. Efter en överenskommelse mellan Sverige och en annan stat får kontaktstället i den andra staten göra en automatisk jämförelse mellan sina oidentifierade dna-profiler och referensuppgifter i de svenska registren över dna-profiler. Första och andra styckena gäller endast de register över dna-profiler som regleras i polisdatalagen (2010:361). Första och andra styckena gäller endast de register över dna-profiler som regleras i polisens brottsdatalag (2010:361). 3 § Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361). Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av polisens brottsdatalag (2010:361). 4 § I syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott får det svenska kontaktstället i enskilda fall genom direktåtkomst söka uppgifter i en annan stats fingeravtrycksregister. Uppgifter får behandlas endast i den utsträckning den andra staten tillåter det och om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361). I syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott får det svenska kontaktstället i enskilda fall genom direktåtkomst söka uppgifter i en annan stats fingeravtrycksregister. Uppgifter får behandlas endast i den utsträckning den andra staten tillåter det och om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av polisens brottsdatalag (2010:361). Det svenska kontaktstället ansvarar för att kontrollera om det mottagna fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg. 7 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet. Vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt. 8 kap. 3 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet. Vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt. 9 kap. 4 § Det är förbjudet att till tredjeland eller en internationell organisation överföra eller göra tillgängliga sådana personuppgifter som har hämtats från VIS och som har lagts in i systemet av en annan stat. Detta är dock tillåtet i brådskande fall om 1. de villkor för sökning som anges i 1 § andra stycket är uppfyllda, 2. det är förenligt med svenska intressen att uppgifterna lämnas ut, 3. den stat som har lagt in uppgifterna i systemet samtycker till det, och 4. förutsättningarna i 33 och 34 §§ personuppgiftslagen (1998:204) är uppfyllda. 4. förutsättningarna i 8 kap. 1 § brottsdatalagen (2018:000) är uppfyllda. 5 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet. Vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt. 10 kap. 1 § Vid samarbete enligt avtalet med USA får ett amerikanskt kontaktställe trots 33 § personuppgiftslagen (1998:204) medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361). Vid samarbete enligt avtalet med USA får ett amerikanskt kontaktställe medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av polisens brottsdatalag (2010:361). 2 § På begäran av behöriga myndigheter får ett svenskt kontaktställe i enskilda fall genom direktåtkomst söka uppgifter i amerikanska fingeravtrycksregister i syfte att utreda ett brott för vilket det enligt svensk lag är föreskrivet fängelse i mer än ett år. Detsamma gäller om sökningen görs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar ett sådant brott. Uppgifter får behandlas endast om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361). Uppgifter får behandlas endast om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av polisens brottsdatalag (2010:361). Det svenska kontaktstället ansvarar för att kontrollera om det mottagna fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg. 3 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet. Vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet ska bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd tillämpas på motsvarande sätt. 1. Denna lag träder i kraft den 1 maj 2018. 2. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats före ikraftträdandet vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den. Förteckning över remissinstanserna (SOU 2017:74) Följande remissinstanser har kommit in med yttrande över SOU 2017:74 Brottsdatalag - kompletterande lagstiftning: Riksdagens ombudsmän, Svea hovrätt, Hovrätten för Västra Sverige, Södertörns tingsrätt, Eskilstuna tingsrätt, Helsingborgs tingsrätt, Umeå tingsrätt, Kammarrätten i Stockholm, Kammarrätten i Göteborg, Förvaltningsrätten i Stockholm, Förvaltningsrätten i Malmö, Förvaltningsrätten i Jönköping, Förvaltningsrätten i Linköping, Justitiekanslern, Domstolsverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Säkerhets- och integritetsskyddsnämnden, Kriminalvården, Övervakningsnämnd Stockholm Centrum, Brottsförebyggande rådet, Brottsoffermyndigheten, Rättsmedicinalverket, Myndigheten för samhällsskydd och beredskap, Kustbevakningen, Migrationsverket, Datainspektionen, Försvarsmakten, Försvarets radioanstalt, Försäkringskassan, Socialstyrelsen, Inspektionen för vård och omsorg, Statens institutionsstyrelse, Pensionsmyndigheten, Tullverket, Finansinspektionen, Skatteverket, Kronofogdemyndigheten, Arbetsgivarverket, Länsstyrelsen Skåne, Länsstyrelsen Värmland, Länsstyrelsen Västernorrland, Avesta kommun, Hallstahammars kommun, Kiruna kommun, Luleå kommun, Norrköpings kommun, Sala kommun, Stockholms kommun, Statskontoret, Uppsala universitet, juridiska fakulteten, Umeå universitet, juridiska institutionen, Naturvårdsverket, Havs- och vattenmyndigheten, Post- och telestyrelsen, Sjöfartsverket, Riksarkivet, Sveriges advokatsamfund, Svenska Journalistförbundet, Tidningsutgivarna, Dataskydd.net, Svenska Fotbollförbundet och Riksidrottsförbundet. Följande remissinstanser har avstått från att yttra sig respektive inte hörts av: Länsstyrelsen Stockholm, Blekinge läns landsting, Stockholms läns landsting, Västerbottens läns landsting, Alingsås kommun, Borgholms kommun, Danderyds kommun, Falu kommun, Göteborgs kommun, Helsingborgs kommun, Karlstads kommun, Laholms kommun, Lycksele kommun, Malmö kommun, Ronneby kommun, Sandvikens kommun, Sundsvalls kommun, Tierps kommun, Tranås kommun, Trelleborgs kommun, Uppsala kommun, Värnamo kommun, Växjö kommun, Åmåls kommun, Örebro kommun, Östersunds kommun, Sveriges Akademikers Centralorganisation (SACO), Landsorganisationen i Sverige (LO), Tjänstemännens centralorganisation (TCO), Svenskt Näringsliv, Sveriges Kommuner och Landsting (SKL), Sveriges Förenade Ordningsvakter, IT&Telekomföretagen, Civil Rights Defenders och Svenska Ishockeyförbundet. Sammanfattning av departementspromemorian En omarbetad domstolsdatalag - anpassning till EU:s dataskyddsförordning (Ds 2017:41) Domstolsdatalagen (2015:728) omfattar för närvarande både sådan personuppgiftsbehandling som kommer att omfattas av tillämpningsområdet för Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), och sådan behandling som kommer att omfattas av tillämpningsområdet för Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. För att anpassa domstolsdatalagen till det nya regelverket för personuppgiftsbehandling föreslås att lagen endast ska gälla för sådan behandling av personuppgifter som omfattas av förordningens tillämpningsområde. I promemorian föreslås att domstolsdatalagens ändamålsbestämmelser ska kompletteras så att personuppgifter som behandlas eller har behandlats med stöd av de författningar som genomför direktivet även ska få behandlas om det behövs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål samt om det behövs för att fullgöra uppgiftslämnande som sker i enlighet med lag eller förordning. Kompletteringarna har sin grund i att sådan behandling av personuppgifter omfattas av förordningen och inte av direktivet. Promemorians lagförslag Förslag till lag om ändring i domstolsdatalagen (2015:728) Härigenom föreskrivs att 2, 3 och 7 §§ domstolsdatalagen (2015:728) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 § Denna lag gäller vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet. Lagen gäller också när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran. Om inte annat anges i 3 §, gäller denna lag vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet. Lagen gäller också när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. 3 § De avvikande bestämmelser som finns i lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen eller i föreskrifter som regeringen har meddelat i anslutning till den lagen, ska tillämpas i stället för bestämmelserna i denna lag. Detsamma gäller i fråga om Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur. Denna lag gäller inte vid behandling av personuppgifter i de allmänna domstolarnas och de allmänna förvaltningsdomstolarnas verksamhet som omfattas av brottsdatalagens (2018:xx) tillämpningsområde. 7 § Personuppgifter som behandlas enligt 6 § får även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Personuppgifter som behandlas eller har behandlats enligt 6 § får även behandlas om det behövs 1. för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, eller 2. för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679. Personuppgifter får även behandlas för de ändamål som framgår av första stycket när de behandlas eller har behandlats med stöd av brottsdatalagen (2018:xx) eller [namnet på den registerförfattning som kompletterar brottsdatalagen för domstolarnas verksamhet] (2018:xx). 1. Denna lag träder i kraft den 1 maj 2018 i fråga om 3 och 5 a §§ och i övrigt den 25 maj 2018. 2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats med stöd av de föreskrifterna. Förteckning över remissinstanserna (Ds 2017:41) Efter remiss har yttranden över promemorian En omarbetad domstols-datalag - anpassning till EU:s dataskyddsförordning (Ds 2017:41) inkommit från Riksdagens ombudsmän, Svea hovrätt, Hovrätten för Västra Sverige, Nacka tingsrätt (mark- och miljödomstolen), Södertörns tingsrätt, Växjö tingsrätt (mark- och miljödomstolen), Helsingborgs tingsrätt, Vänersborgs tingsrätt (mark- och miljödomstolen), Umeå tingsrätt, Kammarrätten i Stockholm, Kammarrätten i Göteborg, Förvaltningsrätten i Stockholm, Förvaltningsrätten i Malmö, Förvaltningsrätten i Jönköping, Förvaltningsrätten i Linköping, Justitiekanslern, Hyresnämnden i Stockholm, Hyres- och arrendenämnden i Sundsvall, Myndigheten för samhällsskydd och beredskap, Domstolsverket, Migrationsverket, Datainspektionen, Försäkringskassan, Skatteverket, Kronofogdemyndigheten, Kammarkollegiet, Länsstyrelsen i Stockholms län, Länsstyrelsen i Skåne län, Länsstyrelsen i Västra Götalands län, Stockholms universitet (Juridiska fakultetsnämnden), Naturvårdsverket, Havs- och vattenmyndigheten, Lantmäteriet, Sveriges advokatsamfund och Sveriges Kommuner och Landsting. Yttranden har även inkommit från Sundsvalls tingsrätt och Dataskydd.net. Norrköpings tingsrätt och Uppsala universitet (Juridiska fakultetsnämnden) har avstått från att yttra sig. Svar har inte inkommit från Svensk Vattenkraftförening, Svenskt Näringsliv och Sveriges Energiföreningars Riksorganisation. Lagrådsremissens lagförslag Förslag till lag om domstolarnas behandling av personuppgifter inom brottsdatalagens område Härigenom föreskrivs följande. Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när följande domstolar i egenskap av behöriga myndigheter behandlar personuppgifter: 1. allmän domstol, om uppgifterna behandlas i syfte att handlägga mål och ärenden om utredning av eller lagföring för brott, ändring eller verkställighet av straffrättsliga påföljder eller upprätthållande av allmän ordning och säkerhet, och 2. allmän förvaltningsdomstol, om uppgifterna behandlas i syfte att handlägga mål om verkställighet av häktning eller straffrättsliga påföljder. Personuppgiftsansvar 2 § En domstol är personuppgiftsansvarig för den behandling av personuppgifter som den utför. Rättsliga grunder 3 § Personuppgifter får behandlas om det är nödvändigt för handläggning av mål och ärenden om 1. utredning av eller lagföring för brott, 2. verkställighet av häktning eller ändring eller verkställighet av straffrättsliga påföljder, eller 3. upprätthållande av allmän ordning och säkerhet. Uppgiften att handlägga mål och ärenden ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt domstolen att utföra uppgiften. Behandling för nya ändamål 4 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 3 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Behandling av personnummer 5 § Personnummer och samordningsnummer får behandlas endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Sökbegränsningar 6 § Vid sökning i personuppgifter är det förbjudet att använda sökbegrepp som avslöjar sådana personuppgifter som avses i 2 kap. 11 och 12 §§ brottsdatalagen (2018:000) eller uppgifter om nationell anknytning. Användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp som sökbegrepp omfattas inte av förbudet. Förbudet gäller inte heller vid sökning i en viss handling eller i ett visst mål eller ärende. 7 § Förbudet i 6 § första stycket gäller inte användning i allmän förvaltningsdomstol av sökbegrepp som avslöjar hälsa. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att använda sökbegrepp som avslöjar hälsa. 8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att använda sökbegrepp som avslöjar brott eller misstanke om brott. Elektroniskt utlämnande av personuppgifter 9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. 10 § Direktåtkomst får endast medges 1. en allmän domstol, 2. en allmän förvaltningsdomstol, eller 3. en part eller partens ombud, biträde eller försvarare. Direktåtkomst enligt första stycket 3 får endast avse personuppgifter i partens mål eller ärende. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av direktåtkomst enligt första stycket och om behörighet och säkerhet vid sådan åtkomst. Personuppgifter i avgjorda mål och ärenden 11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar för behandling av personuppgifter som hänför sig till ett mål eller ärende som har avgjorts genom en dom eller ett beslut som har fått laga kraft. Administrativa sanktionsavgifter 12 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i - 3 § om rättsliga grunder för behandling av personuppgifter, eller - 6 § första stycket om sökförbud. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 13 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Överklagande 14 § Beslut i sådana frågor som avses i 7 kap. 2 § brottsdatalagen (2018:000) som har meddelats av en hovrätt, tingsrätt eller förvaltningsrätt i egenskap av personuppgiftsansvarig, får överklagas till kammarrätten. En kammarrätts beslut i sådana frågor får överklagas till Högsta förvaltningsdomstolen. Högsta domstolens och Högsta förvaltningsdomstolens beslut i frågor som avses i första stycket får inte överklagas. 1. Denna lag träder i kraft den 1 januari 2019. 2. Domstolsdatalagen (2015:728) i lydelsen före den 25 maj 2018 gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet. 3. En sanktionsavgift enligt 12 § får beslutas endast för överträdelser som har skett efter ikraftträdandet. Förslag till lag om ändring i rättegångsbalken Härigenom föreskrivs att 28 kap. 12 a och b §§ rättegångsbalken ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 28 kap. 12 a § Kroppsbesiktning genom tagande av salivprov får göras på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en DNA-analys av provet och registrera DNA-profilen i det DNA-register eller det utredningsregister som förs enligt polisdatalagen (2010:361). Kroppsbesiktning genom tagande av salivprov får göras på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en dna-analys av provet och registrera dna-profilen i det dna-register eller det utredningsregister som förs enligt lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. 12 b § Kroppsbesiktning genom tagande av salivprov får göras på annan än den som skäligen kan misstänkas för ett brott, om 1. syftet är att genom en DNA-analys av provet underlätta identifiering vid utredning av ett brott på vilket fängelse kan följa, och 1. syftet är att genom en dna-analys av provet underlätta identifiering vid utredning av ett brott på vilket fängelse kan följa, och 2. det finns synnerlig anledning att anta att det är av betydelse för utredningen av brottet. Analysresultatet får inte jämföras med de DNA-profiler som finns registrerade i register över DNA-profiler som förs enligt polisdatalagen (2010:361) eller i övrigt användas för annat ändamål än det för vilket provet har tagits. Analysresultatet får inte jämföras med de dna-profiler som finns registrerade i register över dna-profiler som förs enligt lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område eller i övrigt användas för annat ändamål än det för vilket provet har tagits. Första stycket gäller inte den som är under 15 år. Denna lag träder i kraft den 1 januari 2019. Förslag till lag om ändring i polislagen (1984:387) Härigenom föreskrivs att 26 § polislagen (1984:387) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 26 § Transportföretag får lämna uppgifter enligt 25 § på så sätt att de görs läsbara för Polismyndigheten eller Säkerhetspolisen genom terminalåtkomst. Polismyndigheten och Säkerhetspolisen får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter som hålls tillgängliga på detta sätt får inte ändras eller på annat sätt bearbetas eller lagras av Polismyndigheten eller Säkerhetspolisen. Polismyndigheten och Säkerhetspolisen får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst, ska omedelbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott. Denna lag träder i kraft den 1 januari 2019. Förslag till lag om ändring i säkerhetsskyddslagen (1996:627) Härigenom föreskrivs att 12 § säkerhetsskyddslagen (1996:627) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 12 § Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister eller lagen (2010:362) om polisens allmänna spaningsregister. Med registerkontroll avses också att uppgifter hämtas som behandlas med stöd av polisdatalagen (2010:361). Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter som behandlas med stöd av lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område hämtas. 1. Denna lag träder i kraft den 1 januari 2019. 2. Äldre föreskrifter gäller fortfarande för uppgifter som hämtas från Säkerhetspolisen och som behandlas med stöd av polisdatalagen (2010:361) i lydelsen före den 1 januari 2019. Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen Härigenom föreskrivs att 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 16 § Transportföretag får lämna uppgifter enligt 15 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst. Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Tullverket får inte ändra eller på annat sätt bearbeta eller lagra uppgifter som hålls tillgängliga på detta sätt. Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst, skall omedelbart förstöras, om de visar sig sakna betydelse för utredning och lagföring av brott. Denna lag träder i kraft den 1 januari 2019. Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem Härigenom föreskrivs att 5 § lagen (2000:344) om Schengens informationssystem ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 § Registret ska endast innehålla uppgifter som har behandlats av behöriga myndigheter i Schengenstaterna, i enlighet med respektive stats nationella lagstiftning. Polismyndigheten får föra in uppgifter i registret endast om behandling av motsvarande slag av uppgifter är tillåten enligt personuppgiftslagen (1998:204), polisdatalagen (2010:361) eller annan svensk författning. Polismyndigheten får föra in uppgifter i registret endast om behandling av motsvarande slag av uppgifter är tillåten enligt brottsdatalagen (2018:000), lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område eller någon annan författning. Denna lag träder i kraft den 1 januari 2019. Förslag till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet Härigenom föreskrivs att 1 kap. 1 och 5 §§ lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 kap. 1 § Denna lag tillämpas vid behandling av personuppgifter i Tullverkets verksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Bestämmelserna i 4-6 och 8 §§ samt 2 kap. gäller även vid behandling av uppgifter om juridiska personer. Bestämmelserna i denna lag gäller inte behandling av uppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. För sådan behandling finns det särskilda bestämmelser i tullbrottsdatalagen (2017:447). Bestämmelserna i denna lag gäller inte vid behandling av personuppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. Lydelse enligt prop. 2017/18:95 Föreslagen lydelse 5 § Uppgifter som behandlas enligt 4 § får även behandlas för 1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för a) fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter eller avgifter, b) revision och annan analys- eller kontrollverksamhet, c) tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, och d) utsökning och indrivning, 2. att tillhandahålla information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 5 § tullbrottsdatalagen (2017:447), 2. att tillhandahålla information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 1 § lagen (2017:447) om Tullverkets behandling av personuppgifter inom brottsdatalagens område, 3. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och 4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Denna lag träder i kraft den 1 januari 2019. Förslag till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården Härigenom föreskrivs i fråga om lagen (2001:617) om behandling av personuppgifter inom kriminalvården dels att 1-16 §§ ska upphöra att gälla, dels att rubrikerna närmast före 1, 2, 3-10 och 12 §§ ska utgå, dels att rubriken till lagen ska ha följande lydelse, dels att det ska införas fyra nya kapitel, 1-4 kap., av följande lydelse. Nuvarande lydelse Föreslagen lydelse Lag om behandling av personuppgifter inom kriminalvården Lag om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av myndigheterna inom kriminalvården i egenskap av behörig myndighet enligt den lagen behandlar personuppgifter i syfte att verkställa häktning eller straffrättsliga påföljder eller biträda en annan behörig myndighet när den utför uppgifter för något av de syften som anges i 1 kap. 2 § brottsdatalagen. Personuppgiftsansvar 2 § Kriminalvården är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. En övervakningsnämnd är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför. 2 kap. Grundläggande bestämmelser om behandling av personuppgifter Rättsliga grunder 1 § Personuppgifter får behandlas om det är nödvändigt för att en myndighet som nämns i 1 kap. 1 § ska kunna utföra följande uppgifter: 1. verkställa häktning eller straffrättsliga påföljder, 2. förebygga, förhindra eller upptäcka brottslig verksamhet i samband med sådan verkställighet som anges i 1, 3. biträda andra myndigheter när de fullgör uppgifter för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000), eller 4. fullgöra förpliktelser som följer av internationella åtaganden. Uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften. Behandling för nya ändamål 2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Känsliga personuppgifter 3 § Kriminalvården får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Utlämnande av personuppgifter 4 § Kriminalvården får till en utländsk myndighet eller internationell organisation lämna ut de personuppgifter som behövs för 1. prövning och genomförande av överflyttning av straffverkställighet, 2. transitering och förvaring av en person som är frihetsberövad för utredning av eller lagföring för brott eller straffverkställighet, eller 3. tillfällig överflyttning av en frihetsberövad person för utredning av eller lagföring för brott eller straffverkställighet. Längsta tid som personuppgifter får behandlas 5 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som behandlas automatiserat inte behandlas längre än tio år efter det att den senaste påföljden eller åtgärden avseende den registrerade helt har verkställts eller upphört. I 3 kap. 7 § finns bestämmelser om hur länge personuppgifter i säkerhetsregistret får behandlas. Rätt att meddela föreskrifter 6 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. vilka personuppgifter som får behandlas enligt 1 §, 2. utlämnande av personuppgifter i andra fall än som anges i 4 §, 3. frågor som rör elektroniskt utlämnande genom direktåtkomst, 4. längsta tid som personuppgifter får behandlas, och 5. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 5 §. 3 kap. Säkerhetsregistret Rätten att föra register 1 § Kriminalvården får föra ett säkerhetsregister. I säkerhetsregistret får personuppgifter behandlas i syfte att 1. förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straffverkställighet, och 2. säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstalter och i annan verksamhet som Kriminalvården bedriver. Säkerhetsregistrets innehåll 2 § I säkerhetsregistret får uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff och som är eller har varit placerad på en säkerhetsavdelning. I registret får även uppgifter behandlas om en person som är häktad eller verkställer ett fängelsestraff, om det finns risk för att han eller hon 1. under häktning eller verkställighet av fängelsestraff begår brott som inte är ringa eller utövar brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer, 2. förbereder rymning eller försöker rymma, 3. blir föremål för fritagning, 4. bidrar till att allvarligt störa ordningen eller säkerheten på ett häkte eller i en kriminalvårdsanstalt, eller 5. under häktning eller verkställighet av ett fängelsestraff utsätts för våld eller hot. 3 § I säkerhetsregistret får även uppgifter behandlas om en person som verkställer en påföljd inom kriminalvården, om det finns risk för att han eller hon utövar våld eller hot mot eller otillbörlig påverkan på personal eller andra personer som uppehåller sig i kriminalvårdens lokaler. 4 § Om det är absolut nödvändigt för ändamålet med behandlingen enligt 1 §, får Kriminalvården i säkerhetsregistret behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som anges i 2 §. Om den personen inte är häktad eller verkställer fängelsestraff ska det framgå genom en särskild upplysning. Sökning 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Direktåtkomst 6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten och Åklagarmyndigheten får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter i säkerhetsregistret. Längsta tid som personuppgifter får behandlas 7 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i säkerhetsregistret inte behandlas längre än fem år efter det att 1. den registrerade blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte, 2. den registrerade helt har verkställt en sådan påföljd som avses i 3 §, eller 3. den person som en registrerad har personlig anknytning till eller annan nära förbindelse med enligt 4 §, har blivit villkorligt frigiven från ett fängelsestraff eller annars helt har verkställt straffet eller, utan att ha dömts till sådan påföljd, har frigetts från häkte. Rätt att meddela föreskrifter 8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om innehållet i säkerhetsregistret och om utlämnande av personuppgifter ur registret. 4 kap. Administrativa sanktionsavgifter och rättsmedel Administrativa sanktionsavgifter 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 4 § om särskild upplysning, eller 3. 2 kap. 5 § eller 3 kap. 7 § om den längsta tid som personuppgifter får behandlas. En sanktionsavgift får också tas ut vid överträdelse av föreskrifter som har meddelats i anslutning till denna lag om särskild upplysning eller om längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Överklagande 3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 januari 2019. 2. En sanktionsavgift enligt 4 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet. 3. Äldre föreskrifter gäller fortfarande för överträdelser som har skett före ikraftträdandet. 4. Äldre föreskrifter gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av personuppgifter vid verkställighet av häktning eller straffrättsliga påföljder eller biträde till andra behöriga myndigheter. Förslag till lag om ändring i lagen (2005:321) om tillträdesförbud vid idrottsarrangemang Härigenom föreskrivs att 8 a § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 8 a § En polisman eller annan anställd vid Polismyndigheten får fotografera en person som har eller skäligen kan antas få tillträdesförbud enligt denna lag i syfte att fotografiet ska kunna tillföras det register som Polismyndigheten får föra enligt lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang. En polisman eller annan anställd vid Polismyndigheten får fotografera en person som har eller skäligen kan antas få tillträdesförbud enligt denna lag i syfte att fotografiet ska kunna tillföras det register som Polismyndigheten får föra enligt 5 kap. lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. Denna lag träder i kraft den 1 januari 2019. 1.1 Förslag till lag om ändring i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet Härigenom föreskrivs att 1, 3 och 4 §§ lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § Säkerhets- och integritetsskyddsnämnden (nämnden) ska utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet. Nämnden ska även utöva tillsyn över den behandling av personuppgifter enligt polisdatalagen (2010:361) och lagen (2010:362) om polisens allmänna spaningsregister som utförs av Polismyndigheten, Säkerhetspolisen och Ekobrottsmyndigheten. När det gäller Säkerhetspolisen ska tillsynen även avse behandling enligt polisdatalagen (1998:622). Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 10 § polisdatalagen (2010:361) och 5 § polisdatalagen (1998:622) samt 12 § lagen om polisens allmänna spaningsregister. Nämnden ska även utöva tillsyn över den behandling av personuppgifter som utförs av Polismyndigheten, Säkerhetspolisen och Ekobrottsmyndigheten enligt brottsdatalagen (2018:000) och lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område för de syften som anges i 1 kap. 1 § i den sistnämnda lagen. Tillsynen ska särskilt avse sådan behandling som avses i 2 kap. 11 § brottsdatalagen (2018:000). Tillsynen ska särskilt syfta till att säkerställa att verksamhet enligt första och andra styckena bedrivs i enlighet med lag eller annan författning. 3 § Nämnden är skyldig att på begäran av en enskild kontrollera om han eller hon har utsatts för sådana tvångsmedel eller varit föremål för sådan personuppgiftsbehandling som avses i 1 § och om användningen av tvångsmedel och därmed sammanhängande verksamhet eller behandlingen av personuppgifter har skett i enlighet med lag eller annan författning. Nämnden skall underrätta den enskilde om att kontrollen har utförts. Nämnden är skyldig att på begäran av en enskild kontrollera om han eller hon 1. har utsatts för sådana tvångsmedel som avses i 1 § och om användningen av dem och verksamhet som hänger samman med dem har varit i enlighet med lag eller annan författning, eller 2. varit föremål för sådan personuppgiftsbehandling som avses i 1 § och om den har utförts i enlighet med lag eller annan författning. Nämnden ska underrätta den enskilde om att kontrollen har utförts. Nämnden får vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad. 4 § Nämnden har rätt att av förvaltningsmyndigheter som omfattas av tillsynen få de uppgifter och det biträde som nämnden begär. Även domstolar samt de förvaltningsmyndigheter som inte omfattas av tillsynen är skyldiga att lämna nämnden de uppgifter som den begär. Nämnden har rätt att av förvaltningsmyndigheter som omfattas av tillsynen få de uppgifter och upplysningar, den information och det biträde som nämnden begär. Även domstolar och de förvaltningsmyndigheter som inte omfattas av tillsynen är skyldiga att lämna nämnden de uppgifter som den begär. 1. Denna lag träder i kraft den 1 januari 2019. 2. Äldre föreskrifter gäller fortfarande för nämndens tillsyn över Säkerhetspolisens behandling av uppgifter i frågor som rör nationell säkerhet med stöd av polisdatalagen (2010:361) i lydelsen före den 1 januari 2019 eller polisdatalagen (1998:622). Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) Härigenom föreskrivs att 18 kap. 2 och 18 §§, 35 kap. 1, 4 a, 10 och 10 b §§ och 37 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 18 kap. 2 § Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 7 § 1 eller 6 kap. 1 § 1 polisdatalagen (2010:361), om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 1 § första stycket 1 lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till sådan verksamhet som avses i 1. sådan verksamhet som avses i 2 kap. 5 § 1 skattebrottsdatalagen (2017:452), 1. 2 kap. 1 § första stycket 1 lagen (2012:145) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område, 2. sådan verksamhet som avses i 2 kap. 5 § 1 tullbrottsdatalagen (2017:447), eller 2. 2 kap. 1 § första stycket 1 lagen (2017:447) om Tullverkets behandling av personuppgifter inom brottsdatalagens område, eller 3. sådan verksamhet som avses i 3 kap. 2 § 1 kustbevakningsdatalagen (2012:145). 3. 2 kap. 1 § första stycket 1 lagen (2017:452) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän handling före år 1949. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. 18 § Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisdatalagen (2010:361). Sekretessen enligt 17 § andra stycket hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. 35 kap. 1 § Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i 1. utredning enligt bestämmelserna om förundersökning i brottmål, 2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott, 3. angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627), 4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen, 5. register som förs av Polismyndigheten enligt 4 kap. polisdatalagen (2010:361) eller som annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 6 kap. samma lag, 5. register som förs av Polismyndigheten enligt 5 kap. lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas med stöd av de bestämmelserna, 6. register som förs enligt lagen (1998:621) om misstankeregister, 7. register som förs av Skatteverket enligt skattebrottsdatalagen (2017:452) eller som annars behandlas där med stöd av samma lag, 7. register som förs av Skatteverket enligt lagen (2017:452) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag, 8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, 8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller 9. register som förs av Tullverket enligt tullbrottsdatalagen (2017:447) eller som annars behandlas där med stöd av samma lag, eller 9. register som förs av Tullverket enligt lagen (2017:447) om Tullverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag. 10. register som förs enligt lagen (2010:362) om polisens allmänna spaningsregister. Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs. Första stycket gäller inte om annat följer av 2, 6 eller 7 §. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. 4 a § Sekretess gäller i verksamhet som avser förande av register enligt lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretess gäller i verksamhet som avser förande av tillträdesförbudsregistret enligt 5 kap. lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider men. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. 10 § Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut 1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, 2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har meddelats med stöd i den lagen, 2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) och i förordning som har meddelats med stöd i den lagen, 3. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken, 3. enligt vad som föreskrivs i 4. enligt vad som föreskrivs i - lagen (1998:621) om misstankeregister, - polisdatalagen (2010:361), - lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område, - skattebrottsdatalagen (2017:452), - lagen (2012:145) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område, - tullbrottsdatalagen (2017:447), - lagen (2015:433) om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område, - kustbevakningsdatalagen (2012:145), - lagen (2017:447) om Tullverkets behandling av personuppgifter inom brottsdatalagens område, - åklagardatalagen (2015:433), - lagen (2017:452) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område, eller - förordningar som har stöd i dessa lagar, eller - förordningar som har stöd i dessa lagar. 4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken. 10 b § Sekretessen enligt 4 a § hindrar inte att en uppgift lämnas ut enligt vad som föreskrivs i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang. Sekretessen enligt 4 a § hindrar inte att en uppgift lämnas ut till en idrottsorganisation enligt vad som föreskrivs i 2 kap. 14 § lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. 37 kap. 7 § Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och polisdatalagen (2010:361). Sekretessen enligt 6 § hindrar inte att uppgift lämnas ut enligt vad som föreskrivs i lagen (2000:344) om Schengens informationssystem och lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. 1. Denna lag träder i kraft den 1 januari 2019. 2. Äldre föreskrifter gäller fortfarande för sådan verksamhet som avses i 6 kap. 1 § 1 polisdatalagen (2010:361) i lydelsen före den 1 januari 2019. 3. Äldre föreskrifter gäller fortfarande för uppgifter som behandlas av Säkerhetspolisen med stöd av polisdatalagen i lydelsen före den 1 januari 2019. 4. Äldre föreskrifter gäller fortfarande för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet. Förslag till lag om ändring i polisdatalagen (2010:361) Härigenom föreskrivs i fråga om polisdatalagen (2010:361) dels att 1 kap., 2 kap., 3 kap. 5 och 9-15 §§, 4 kap., 5 kap. 4-6 §§ och 6 kap. ska upphöra att gälla, dels att rubrikerna närmast före 3 kap. 8, 9 och 14 §§ och 5 kap. 4 och 5 §§ ska utgå, dels att nuvarande 3 kap. 6-8 §§, 5 kap. 1-3 och 7-9 §§ ska betecknas 3 kap. 5-7 §§, och 6 kap. 1-3, 6, 7 och 9 §§, dels att rubriken till lagen samt 3 kap. 1-4 §§, de nya 3 kap. 5-7 §§, de nya 6 kap. 3, 6, 7 och 9 §§ och rubriken närmast före den nya 6 kap. 6 § ska ha följande lydelse, dels att rubrikerna närmast före nuvarande 3 kap. 8 § och 5 kap. 1, 6 och 8 §§ ska sättas närmast före de nya 3 kap. 7 § respektive 6 kap. 1, 6 och 7 §§, dels att det ska införas fem nya kapitel, 1, 2, 4, 5 och 7 kap., sex nya paragrafer, 3 kap. 8 och 9 §§ och 6 kap. 4, 5, 8 och 10 §§, och närmast före 3 kap. 1 § och de nya 3 kap. 8 §, 6 kap. 4 och 9 §§ nya rubriker av följande lydelse. 1 Senaste lydelse av 1 kap. 2 § 2015:436 1 kap. 3 § 2015:57 1 kap. 4 § 2017:500 1 kap. 5 § 2014:597 1 kap. 6 § 2015:436 1 kap. 7 § 2015:436 2 kap. 4 § 2014:597 2 kap. 5 § 2014:597 2 kap. 8 § 2016:29 2 kap. 9 § 2014:597 2 kap. 12 § 2015:436 2 kap. 16 § 2014:597 2 kap. 18 § 2016:29 2 kap. 21 § 2018:50 4 kap. 1 § 2014:597 4 kap. 7 § 2014:409 4 kap. 10 § 2014:597 4 kap. 11 § 2014:597 4 kap. 12 § 2014:597 4 kap. 12 a § 2014:597 4 kap. 13 § 2014:597 4 kap. 14 § 2014:597 4 kap. 15 § 2014:597 4 kap. 16 § 2014:597 4 kap. 17 § 2014:597 4 kap. 18 § 2014:597 4 kap. 19 § 2014:597 4 kap. 21 § 2014:597 5 kap. 1 § 2015:436 5 kap. 2 § 2015:436 5 kap. 3 § 2015:436 5 kap. 4 § 2015:436 5 kap. 5 § 2015:436 5 kap. 6 § 2015:436 6 kap. 1 § 2015:436 6 kap. 2 § 2015:436 6 kap. 3 § 2015:436 6 kap. 4 § 2015:436 6 kap. 5 § 2015:436 6 kap. 6 § 2015:436 6 kap. 7 § 2015:436 6 kap. 8 § 2015:436 6 kap. 9 § 2015:436 6 kap. 10 § 2015:436 6 kap. 11 § 2015:436 6 kap. 11 a § 2018:50 6 kap. 11 b § 2018:50 6 kap. 12 § 2015:436 6 kap. 13 § 2015:436 6 kap. 14 § 2015:436 rubriken närmast före 1 kap. 6 § 2014:597 rubriken närmast före 1 kap. 7 § 2014:597 rubriken närmast före 4 kap. 10 § 2014:597 rubriken närmast före 6 kap. 11 a § 2014:597. Nuvarande lydelse Föreslagen lydelse Polisdatalag Lag om polisens behandling av personuppgifter inom brottsdatalagens område 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när någon av följande myndigheter i egenskap av behöriga myndigheter behandlar personuppgifter: 1. Polismyndigheten, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet, 2. Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet, 3. Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. För Ekobrottsmyndigheten och Säkerhetspolisen gäller endast 1-4 och 7 kap. 2 § Denna lag gäller inte vid behandling av personuppgifter enligt 1. vapenlagen (1996:67), 2. lagen (1998:620) om belastningsregister, 3. lagen (1998:621) om misstankeregister, 4. lagen (2000:344) om Schengens informationssystem, 5. lagen (2006:444) om passagerarregister, eller 6. lagen (2014:400) om Polismyndighetens elimineringsdatabas. 3 § I lagen (2017:496) om internationellt polisiärt samarbete och i lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar, finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag. Personuppgiftsansvar 4 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid myndigheten och för den behandling som myndigheten utför vid Ekobrottsmyndigheten i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet. Ekobrottsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför i syfte att utreda brott. Säkerhetspolisen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Uttryck i lagen 5 § I denna lag avses med dna-analys: varje förfarande som kan användas för analys av deoxyribonukleinsyra i humant material, dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver, och fingeravtryck: avtryck av finger eller hand. Behandling av uppgifter om juridiska personer 6 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 4 § om personuppgiftsansvar, 2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, 4. 4 kap. 1-4 och 6-10 §§ om längsta tid som personuppgifter får behandlas, 5. 5 kap. 18-20 §§ om behandling av personuppgifter i penningtvättsregister, och 6. 5 kap. 21 och 22 §§ om behandling av personuppgifter i det internationella registret. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. Lagens uppbyggnad 7 § I detta kapitel och i 2 kap. finns allmänna bestämmelser om behandling av personuppgifter och i 4 kap. bestämmelser om längsta tid för behandling av personuppgifter. I 7 kap. finns bestämmelser om administrativa sanktionsavgifter och rättsmedel. För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap. För personuppgifter som behandlas i register över dna-profiler, fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret och tillträdesförbudsregistret, gäller 5 kap. i stället för 3 och 4 kap. I 6 kap. finns bestämmelser om Polismyndighetens behandling av personuppgifter för forensiska ändamål. Vid sådan behandling gäller 6 kap. i stället för 2-4 kap. 2 kap. Grundläggande bestämmelser om behandling av personuppgifter Rättsliga grunder 1 § Personuppgifter får behandlas om det är nödvändigt för att en myndighet som nämns i 1 kap. 1 § ska kunna utföra följande uppgifter: 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. upprätthålla allmän ordning och säkerhet, eller 4. fullgöra förpliktelser som följer av internationella åtaganden. Uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften. Behandling för nya ändamål 2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Särskilda upplysningar 3 § Bestämmelserna om särskild upplysning i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Känsliga personuppgifter 4 § Polismyndigheten och Säkerhetspolisen får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott, uppgifter om verkställighet av påföljd eller uppgifter som beskriver en persons utseende används som sökbegrepp. 6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Utlämnande av personuppgifter 7 § Om det är förenligt med svenska intressen får personuppgifter lämnas ut till 1. Interpol, 2. Europol, eller 3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol. Personuppgifter får lämnas ut endast om mottagaren behöver uppgifterna för något av de syften som anges i 1 §. Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 5 kap. 9 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av uppgifter om huruvida personer förekommer i sådana register över dna-profiler som regleras i 5 kap., om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). 10 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister enligt 5 kap., om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). Migrationsverket har motsvarande rätt att ta del av personuppgifter som behandlas i fingeravtrycks- och signalementsregister, om verket behöver uppgifterna för att kontrollera fingeravtryck som tagits där. 11 § En idrottsorganisation har, trots sekretess enligt 35 kap. 4 a § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas i tillträdesförbudsregistret enligt 5 kap., om organisationen behöver uppgifterna för de syften som anges i 5 § lagen (2015:51) om idrottsorganisationers behandling av uppgifter om tillträdesförbud. 12 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 7 § och 5 kap. 10 och 17 §§. Personuppgifter från transportföretag 13 § Personuppgifter som tillhandahålls av transportföretag enligt 25 § polislagen (1984:387) får behandlas för något av de syften som anges i 1 § första stycket 1 och 2. Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen (2018:000). 14 § Vid terminalåtkomst enligt 26 § polislagen (1984:387) får personuppgifterna inte ändras eller bearbetas på annat sätt. Rätt att meddela föreskrifter 15 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 7-11 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 12 § första stycket. 3 kap. Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 9 §. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000). 2 § Följande personuppgifter får göras gemensamt tillgängliga: 1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten a) innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver, eller a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller b) sker systematiskt. 2. Uppgifter som behövs för övervakningen av en person, om han eller hon 2. Uppgifter som behövs för övervakningen av en person som a) kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver, och a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och b) är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet. 3. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott. 3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott. 4. Uppgifter som behövs för att fullgöra vad som följer av internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. 4. Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd. 5. Uppgifter som har rapporterats till Polismyndighetens ledningscentraler. 6. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet. 7. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. DNA-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 4 kap. Dna-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 5 kap. Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra. 3 § Vid behandling enligt 1 § ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas. Har uppgifterna gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5, ska detta särskilt framgå. Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5. 4 § Om uppgifter, som behandlas enligt 1 §, direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta på grund av särskilda omständigheter är onödigt. Detsamma gäller uppgifter om personer som avses i 2 § första stycket 2. Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § första stycket 1 eller som övervakas med stöd av 2 § första stycket 2 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt. 5 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får sådana uppgifter tas fram som anger att den sökta personen Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 2. är eller har varit misstänkt för brott, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, 4. övervakas enligt 2 § första stycket 2, 5. har anmält ett brott, 6. är målsägande i ett ärende som rör ansvar för brott, 7. berörs av ett kontaktförbud eller av åtgärder i ett personskyddsärende, 7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 8. förekommer i ett ärende som vittne eller någon annan som lämnar eller har lämnat uppgifter eller yttrande, 8. har gett in eller tillhandahållits en handling, 9. har gett in eller tillhandahållits en handling, 9. är anmäld såsom försvunnen, 10. är anmäld som försvunnen, 10. har bedömts kunna komma att möta ett polisingripande med grovt våld, eller 11. har bedömts kunna komma att möta ett polisingripande med grovt våld, eller 11. är efterlyst. 12. är efterlyst. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket. 6 § Bestämmelserna i 6 § gäller inte vid 1. sökning i en viss handling eller i ett visst ärende, eller 2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till. Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende. Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs Bestämmelserna i 5 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän 1. för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i fyra år eller däröver eller för sådant ändamål som avses i 2 § första stycket 2, eller 1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede, 2. för att utreda brott för vilket är föreskrivet fängelse i fyra år eller däröver. 2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 1 eller 2 och som enbart dessa tjänstemän har tillgång till, 3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer, eller 4. i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer. Bestämmelserna i 5 § gäller inte heller vid sökning som en tjänsteman vid någon av Polismyndighetens ledningscentraler utför på begäran av en polisman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild. Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena. Regeringen meddelar föreskrifter om ytterligare undantag från 6 §. 7 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket får medges direktåtkomst till personuppgifter i polisens brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet. Rätt att meddela föreskrifter 8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §. 9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. begränsning av tillgången till sådana personuppgifter som avses i 5 §, 2. under vilka förutsättningar sökning får utföras med stöd av 6 §, och 3. omfattningen av direktåtkomst enligt 7 § och om behörighet och säkerhet vid sådan åtkomst. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Detta kapitel gäller bara för automatiserad behandling. Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I följande bestämmelser anges hur länge uppgifter som behandlas i särskilda register och i forensisk verksamhet får behandlas: 1. 5 kap. 7 § om uppgifter i register över dna-profiler, 2. 5 kap. 15 och 16 §§ om uppgifter i fingeravtrycks- och signalementsregister, 3. 5 kap. 20 § om uppgifter i penningtvättsregister, 4. 5 kap. 22 § om uppgifter i det internationella registret, 5. 5 kap. 26 § om uppgifter i tillträdesförbudsregistret, och 6. 6 kap. 6 § om uppgifter om sådana uppslag som anges i 6 kap. 1 § första stycket 5. Personuppgifter som inte har gjorts gemensamt tillgängliga 2 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får sådana personuppgifter som inte har gjorts gemensamt tillgängliga och sådana personuppgifter som inte behandlas med stöd av 5 kap. inte behandlas längre än 1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller 2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott. Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott 3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet. 4 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft. Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. 5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt. Övriga gemensamt tillgängliga uppgifter 6 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2 eller 4-7 som längst behandlas under den tid som anges i 7-10 §§. 7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 får, om de behandlas i ett ärende, inte behandlas längre än ett år efter det att ärendet avslutades. Om personuppgifterna inte behandlas i ett ärende får de inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna om honom eller henne får behandlas. Den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de tidsfrister som anges i andra stycket. 8 § Personuppgifter som behandlas i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Den tid då en övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av den tid som anges i första stycket. 9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades. Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 7 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. 10 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 eller 6 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. Rätt att meddela föreskrifter 11 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 eller 7-10 §. 12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 7-10 §, och 2. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 5 kap. Register Register över dna-profiler Rätten att föra register 1 § Polismyndigheten får föra register över dna-profiler (dna-registret, utredningsregistret och spårregistret) i syfte att 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. fullgöra förpliktelser som följer av internationella åtaganden, och 4. underlätta identifiering av avlidna personer. I lagen (2014:400) om Polismyndighetens elimineringsdatabas finns bestämmelser om elimineringsdatabasen. Dna-registret 2 § Dna-registret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som 1. genom en dom som fått laga kraft har dömts till annan påföljd än böter, eller 2. har godkänt strafföreläggande som avser villkorlig dom. 3 § En dna-profil som registreras får endast ge information om identitet och inte om personliga egenskaper. Utöver dna-profiler får dna-registret innehålla uppgifter om vem analysen avser, i vilket ärende profilen har tagits fram och brottskod. Utredningsregistret 4 § Utredningsregistret får innehålla dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som är skäligen misstänkta för brott på vilket det kan följa fängelse. Bestämmelserna i 3 § gäller också vid registrering i utredningsregistret. Spårregistret 5 § Spårregistret får innehålla dna-profiler som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person. Utöver dna-profiler får spårregistret innehålla upplysningar som visar i vilket ärende profilen har tagits fram och brottskod. 6 § Dna-profiler i spårregistret får jämföras med dna-profiler 1. som inte kan hänföras till en identifierbar person, 2. som finns i dna-registret, eller 3. som kan hänföras till en person som är skäligen misstänkt för brott. Dna-profiler i spårregistret får också jämföras i andra fall om det är nödvändigt för att fullgöra en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande eller om det följer av en unionsrättsakt. Längsta tid som personuppgifter får behandlas 7 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i dna-registren som längst behandlas under den tid som anges i andra-fjärde styckena. Uppgifter får inte längre behandlas i dna-registret när uppgifterna om den registrerade tagits bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister. Uppgifter får inte längre behandlas i utredningsregistret när uppgifterna om den registrerade får föras in i dna-registret eller när förundersökning eller åtal läggs ner, åtal ogillas, åtal bifalls men påföljden bestäms till enbart böter eller när den registrerade har godkänt ett strafföreläggande som avser enbart böter. Uppgifter får inte behandlas i spårregistret längre än trettio år efter registreringen. Uppgifter i registret får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om brott som anges i 35 kap. 2 § första stycket brottsbalken. Prover för dna-analys 8 § Om det i samband med utredning av ett brott har tagits ett prov för dna-analys, får provet inte användas för något annat ändamål än det som provet togs för. 9 § Ett prov för dna-analys som har tagits med stöd av 28 kap. rättegångsbalken, eller på begäran av en annan stat, ska förstöras senast sex månader efter det att provet togs. Direktåtkomst 10 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till register över dna-profiler som regleras i detta kapitel. Fingeravtrycks- och signalementsregister Rätten att föra register 11 § Polismyndigheten får föra fingeravtrycks- och signalementsregister i syfte att 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. fullgöra förpliktelser som följer av internationella åtaganden, 4. underlätta identifiering av okända personer, och 5. kontrollera fingeravtryck som Migrationsverket har tagit enligt 9 kap. 8 § utlänningslagen (2005:716). Innehåll i registren 12 § I fingeravtrycks- och signalementsregister får uppgifter behandlas om en person som 1. är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken, eller 2. har lämnat fingeravtryck enligt 19 § lagen (1991:572) om särskild utlänningskontroll. Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgifterna kommit fram i en utredning om brott. Personuppgifter som har inhämtats med stöd av 36 § första stycket 2 lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare får inte behandlas i fingeravtrycks- och signalementsregister. 13 § Utöver vad som anges i 12 § får i fingeravtrycks- och signalementsregister uppgifter behandlas om en person som har dömts för brott i en annan medlemsstat inom Europeiska unionen och vars fingeravtrycks- eller signalementsuppgifter har överförts hit med stöd av artikel 4.2 i rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll. Sådana uppgifter får dock endast behandlas om det för motsvarande gärning i Sverige är föreskrivet fängelse i ett år eller mer och den som uppgifterna avser vid tidpunkten för gärningen hade fyllt femton år. 14 § Fingeravtrycks- och signalementsregister får innehålla uppgifter om 1. fingeravtryck, 2. signalement, 3. fotografi, 4. videoupptagning, 5. identifieringsuppgifter, 6. ärendenummer, och 7. brottskod. Längsta tid som personuppgifter får behandlas 15 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter i fingeravtrycks- och signalementsregister om en misstänkt person inte behandlas längre än tre månader efter det att uppgifterna om den registrerade tagits bort ur misstankeregistret som förs enligt lagen (1998:621) om misstankeregister och ur belastningsregistret som förs enligt lagen (1998:620) om belastningsregister. Uppgifter som inte kan hänföras till en identifierbar person får inte behandlas längre än trettio år efter registreringen. Sådana uppgifter får dock behandlas sjuttio år efter registreringen om uppgifterna hänför sig till utredningar om brott som anges i 35 kap. 2 § första stycket brottsbalken. 16 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter i fingeravtrycks- och signalementsregister som behandlas för att fullgöra ett internationellt åtagande bara behandlas så länge de behövs för det ändamålet. Uppgifter om personer som har lämnat fingeravtryck med stöd av lagen (1991:572) om särskild utlänningskontroll får inte behandlas längre än tio år efter registreringen. Direktåtkomst 17 § Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter i fingeravtrycks- och signalementsregister. Penningtvättsregister Rätten att föra register 18 § Polismyndigheten får föra penningtvättsregister. Personuppgifter får behandlas i penningtvättsregister om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet 1. där penningtvätt är ett led för att dölja vinning av brott eller brottslig verksamhet, eller 2. som innefattar finansiering av terrorism. 19 § I penningtvättsregister får personuppgifter behandlas som 1. kan antas ha samband med sådan brottslig verksamhet som avses i 18 §, 2. har rapporterats till Polismyndigheten med stöd av lag eller annan författning, eller 3. har lämnats av en utländsk myndighet som i sin stat ansvarar för arbetet med att förebygga, förhindra eller upptäcka sådan brottslig verksamhet som avses i 18 §. Längsta tid som personuppgifter får behandlas 20 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i penningtvättsregister inte behandlas längre än fem år efter utgången av det kalenderår då den senaste registreringen avseende personens anknytning till brottslig verksamhet gjordes. Det internationella registret Rätten att föra register 21 § Polismyndigheten får föra ett internationellt register. Personuppgifter i det internationella registret får behandlas om det behövs för handläggningen av ärenden som rör internationellt polisiärt samarbete eller internationellt straffrättsligt samarbete. Uppgifter om dödsfall, olyckshändelser eller andra liknande händelser i utlandet får också behandlas i det internationella registret, om ärendet rör en fråga som ska handläggas av Polismyndigheten. Längsta tid som personuppgifter får behandlas 22 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter i det internationella registret inte behandlas längre än tre år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Tillträdesförbudsregistret Rätten att föra register 23 § Polismyndigheten får föra ett register med uppgifter om personer som meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang (tillträdesförbudsregistret) i syfte att förebygga, förhindra eller upptäcka överträdelser av tillträdesförbud. Innehåll i registret 24 § Tillträdesförbudsregistret får innehålla följande uppgifter om en person som har meddelats tillträdesförbud: 1. namn, 2. personnummer eller samordningsnummer, 3. folkbokföringsadress och annan stadigvarande adress, 4. alias, 5. fotografi, 6. anknytning till idrott och idrottsorganisation, 7. omfattningen och giltighetstiden av beslut om tillträdesförbud, och 8. överträdelse av gällande tillträdesförbud. 25 § Polismyndigheten får behandla uppgifter i tillträdesförbudsregistret i syfte att tillhandahålla idrottsorganisationer den information som behövs för att upprätthålla gällande beslut om tillträdesförbud. Längsta tid som personuppgifter får behandlas 26 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får uppgifter i tillträdesförbudsregistret endast behandlas så länge tillträdesförbudet gäller. Rätt att meddela föreskrifter 27 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. omfattningen av direktåtkomst till dna-register och fingeravtrycks- och signalementsregister och om behörighet och säkerhet vid sådan åtkomst, 2. tillgången till personuppgifter i penningtvättsregister och det internationella registret, och 3. att personuppgifter i fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret och tillträdesförbudsregistret får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 15, 16, 20, 22 och 26 §§. 6 kap. 3 § Personuppgifter som behandlas enligt 1 § första stycket 2 eller 5 eller andra stycket 2 eller 2 § andra stycket får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i annan brottsbekämpande verksamhet hos Polismyndigheten eller i brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen eller Skatteverket. Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 eller 2 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Enbart personuppgifter som behandlas enligt 1 § första stycket 2 eller 5 eller andra stycket 2 eller 2 § andra stycket får i ett enskilt fall behandlas för nya ändamål utanför den forensiska verksamheten. I ett enskilt fall får personuppgifter som behandlas enligt 1 eller 2 § även behandlas för att tillhandahålla information för något annat ändamål än det som anges i första stycket, under förutsättning att ändamålet inte är oförenligt med det ändamål som uppgifterna samlades in för. Känsliga personuppgifter 4 § Biometriska och genetiska uppgifter får behandlas enligt 1 § om det är absolut nödvändigt för ändamålet med behandlingen. 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i personuppgifter som behandlas i registren över dna-profiler eller fingeravtrycks- och signalementsregistren, i syfte att få fram ett urval av personer grundat på uppgifter som rör hälsa eller biometriska eller genetiska uppgifter. Bevarande Längsta tid som personuppgifter får behandlas 6 § Nationellt forensiskt centrum får inte behandla personuppgifter för det ändamål som anges i 1 § första stycket 5 när det har förflutit fem år efter utgången av det kalenderår då ärendet där uppgifterna förekommer registrerades. Nationellt forensiskt centrum får inte behandla personuppgifter för det ändamål som anges i 1 § första stycket 5 längre än fem år efter utgången av det kalenderår då ärendet där uppgifterna förekommer registrerades. 7 § Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas enligt 1 § första stycket 5, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som behandlas enligt 1 § första stycket 5, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 4 kap. Första stycket gäller inte uppgifter som behandlas i särskilda register enligt 5 kap. 8 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Rätt att meddela föreskrifter 9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter får lämnas ut i andra fall än som anges i 8 §. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 8 §. Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen (2009:400). 10 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av behandlingen av personuppgifter enligt detta kapitel vid digital arkivering. 7 kap. Administrativa sanktionsavgifter och rättsmedel Administrativa sanktionsavgifter 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller 3. 4 kap. 2-4 eller 7-10 §, 5 kap. 7, 15, 16, 20, 22 eller 26 § eller 6 kap. 6 § om den längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Överklagande 3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 januari 2019. 2. En sanktionsavgift enligt 7 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet. 3. Äldre föreskrifter gäller fortfarande för Säkerhetspolisens behandling av personuppgifter i frågor som rör nationell säkerhet. Förslag till lag om ändring i kustbevakningsdatalagen (2012:145) Härigenom föreskrivs i fråga om kustbevakningsdatalagen (2012:145) dels att 1-3 kap., 4 kap. 2, 4 och 8-14 §§ och 5 kap. ska upphöra att gälla, dels att rubrikerna närmast före 4 kap. 8 och 13 §§ ska utgå, dels att nuvarande 4 kap. 1, 3, 5-7 §§ ska betecknas 3 kap. 2-6 §§, dels att rubriken till lagen samt de nya 3 kap. 2-6 §§ ska ha följande lydelse, dels att rubrikerna närmast före nuvarande 4 kap. 1, 2, 4 och 7 §§ ska sättas närmast före de nya 3 kap. 2, 3, 4 och 6 §§, dels att det ska införas fyra nya kapitel, 1, 2, 4 och 5 kap., tre nya paragrafer, 3 kap. 1, 7 och 8 §§, och närmast före de nya 3 kap. 1 och 7 §§ nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse Kustbevakningsdatalag Lag om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Kustbevakningen i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. 2 § I lagen (2017:496) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag. Personuppgiftsansvar 3 § Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Behandling av uppgifter om juridiska personer 4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 3 § om personuppgiftsansvar, 2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och 4. 4 kap. 1-4 och 6-9 §§ om längsta tid som personuppgifter får behandlas. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. 2 kap. Grundläggande bestämmelser om behandling av personuppgifter Rättsliga grunder 1 § Kustbevakningen får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter: 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. upprätthålla allmän ordning och säkerhet, eller 4. fullgöra förpliktelser som följer av internationella åtaganden. Uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften. Behandling för nya ändamål 2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Särskilda upplysningar 3 § Bestämmelserna om särskild upplysning i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Känsliga personuppgifter 4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används som sökbegrepp. 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Utlämnande av personuppgifter 6 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till 1. Interpol, 2. Europol, 3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller 4. en kustbevakningsmyndighet eller tullmyndighet inom Europeiska ekonomiska samarbetsområdet (EES). Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för något av de syften som anges i 1 §. Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 7 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). 8 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 §. Rätt att meddela föreskrifter 9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 6 och 7 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 8 § första stycket. 3 kap. Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000). 2 § Följande personuppgifter får göras gemensamt tillgängliga i Kustbevakningens brottsbekämpande verksamhet: 1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller b) sker systematiskt. 2. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott. 3. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. 4. Uppgifter som har rapporterats till Kustbevakningens ledningscentraler. Följande personuppgifter får göras gemensamt tillgängliga: 1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller b) sker systematiskt. 2. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott. 3. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet. 4. Uppgifter som har rapporterats till Kustbevakningens ledningscentral. 5. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. 3 § Om uppgifter som behandlas enligt 1 § direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 1 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt. Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter. Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § 1 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt. 4 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 2. är eller har varit misstänkt för brott, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 1 § första stycket 1, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, 4. har anmält ett brott, 5. är målsägande i ett ärende som rör ansvar för brott, 6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 7. har gett in eller tillhandahållits en handling, 8. är anmäld försvunnen, 8. är anmäld som försvunnen, 9. har bedömts kunna komma att möta ett ingripande med grovt våld, eller 10. är efterlyst. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket. 5 § Begränsningarna i 5 § gäller inte vid 1. sökning i en viss handling eller i ett visst ärende, eller Bestämmelserna i 4 § gäller inte vid sökning i en viss handling eller i ett visst ärende. 2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet och som enbart de som arbetar i undersökningen har åtkomst till. Bestämmelserna i 4 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1 och som enbart dessa tjänstemän har tillgång till. Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första stycket. Regeringen meddelar ytterligare föreskrifter om begränsningarna i 5 §. 6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket får medges direktåtkomst till personuppgifter i Kustbevakningens brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet. Rätt att meddela föreskrifter 7 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 4 §. 8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. begränsning av tillgången till sådana personuppgifter som avses i 4 §, 2. under vilka förutsättningar sökning får utföras med stöd av 5 §, och 3. omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Detta kapitel gäller bara för automatiserad behandling. Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Personuppgifter som inte har gjorts gemensamt tillgängliga 2 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte har gjorts gemensamt tillgängliga inte behandlas längre än 1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller 2. ett år efter det att de behandlades automatiserat första gången, om de inte kan hänföras till ett ärende. Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott. Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott 3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör ett brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet. 4 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft. Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. 5 § Om en förundersökning mot en person har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt. Övriga gemensamt tillgängliga uppgifter 6 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § 1 eller 3-5 som längst behandlas under den tid som anges i 7-9 §§. 7 § Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 får inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna om honom eller henne får behandlas. 8 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 eller 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. 9 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Rätt att meddela föreskrifter 10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4 eller 7-9 §, och 2. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 7-9 §. 5 kap. Administrativa sanktionsavgifter och rättsmedel Administrativa sanktionsavgifter 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 3 § om särskild upplysning, eller 3. 4 kap. 2-4 eller 7-9 § om den längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. 2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. 3 § Bestämmelser om överklagande finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 januari 2019. 2. En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet. 3. Äldre föreskrifter gäller fortfarande vid sådan behandling av personuppgifter som inte utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet. Förslag till lag om ändring i lagen (2014:400) om Polismyndighetens elimineringsdatabas Härigenom föreskrivs i fråga om lagen (2014:400) om Polismyndighetens elimineringsdatabas dels att 6 och 7 §§ ska upphöra att gälla, dels att rubriken närmast före 7 § ska utgå, dels att 1, 2, 4, 11 och 12 §§ och rubrikerna närmast före 2, 11 och 12 §§ ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § Polismyndigheten får föra ett register över DNA-profiler i syfte att stärka kvaliteten i den forensiska verksamheten med DNA-analyser (elimineringsdatabasen) i enlighet med denna lag. Polismyndigheten får föra ett register över dna-profiler i syfte att stärka kvaliteten i den forensiska verksamheten med dna-analyser (elimineringsdatabasen) i enlighet med denna lag. Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar vid DNA-analyser och hanteringen av DNA-spår. Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar vid dna-analyser och hanteringen av dna-spår. Begreppen DNA-profil och DNA-analys som används i lagen har samma betydelse som i polisdatalagen (2010:361). Begreppen dna-profil och dna-analys som används i lagen har samma betydelse som i lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. Förhållandet till personuppgiftslagen Förhållandet till annan personuppgiftsreglering 2 § Denna lag gäller utöver personuppgiftslagen (1998:204). Denna lag gäller utöver brottsdatalagen (2018:000). 4 § En DNA-profil som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person får vid ett tillfälle jämföras med DNA-profiler i elimineringsdatabasen. Jämförelsen ska göras innan jämförelse görs med andra DNA-profiler i de DNA-register som regleras i 4 kap. polisdatalagen (2010:361). En dna-profil som har tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person får vid ett tillfälle jämföras med dna-profiler i elimineringsdatabasen. Jämförelsen ska göras innan jämförelse görs med andra dna-profiler i de dna-register som regleras i 5 kap. lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. En DNA-profil från prov som har tagits med stöd av 28 kap. rättegångsbalken får vid ett tillfälle jämföras med DNA-profiler i elimineringsdatabasen. Avser DNA-profilen en misstänkt ska jämförelsen göras innan profilen läggs in i det utredningsregister eller det DNA-register som regleras i 4 kap. polisdatalagen. En dna-profil från prov som har tagits med stöd av 28 kap. rättegångsbalken får vid ett tillfälle jämföras med dna-profiler i elimineringsdatabasen. Om dna-profilen avser en misstänkt ska jämförelsen göras innan profilen läggs in i det utredningsregister eller det dna-register som regleras i 5 kap. lagen om polisens behandling av personuppgifter inom brottsdatalagens område. En DNA-profil som har tagits fram för att kvalitetssäkra den forensiska verksamheten med DNA-analyser och som inte hänför sig till brottsutredande verksamhet får jämföras med DNA-profiler i elimineringsdatabasen. En dna-profil som har tagits fram för att kvalitetssäkra den forensiska verksamheten med dna-analyser och som inte hänför sig till brottsutredande verksamhet får jämföras med dna-profiler i elimineringsdatabasen. Gallring Längsta tid för behandling 11 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som längst behandlas under den tid som anges i andra-femte styckena. Uppgifter i elimineringsdatabasen ska gallras när de inte längre behövs för att utreda om en persons DNA kan ha kontaminerat material, prover eller lokaler. Uppgifter i elimineringsdatabasen får inte behandlas när de inte längre behövs för att utreda om en persons dna kan ha kontaminerat material, prover eller lokaler. Uppgifter som rör anställda vid Polismyndigheten ska gallras senast två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde. Uppgifter som rör anställda vid Polismyndigheten får inte behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde. Uppgifter som har registrerats med stöd av 9 § ska gallras senast ett år efter det att uppgifterna registrerades. Uppgifter som har registrerats med stöd av 9 § får inte behandlas längre än ett år efter det att uppgifterna registrerades. Uppgifter som rör andra än de som anges i andra och tredje styckena ska gallras senast ett år efter det att det förhållande som grundade skyldigheten upphörde. Uppgifter som rör andra än de som anges i andra och tredje styckena får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten upphörde. Rättelse och skadestånd Skadestånd 12 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som avses i 13 eller 14 §. Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som avses i 13 eller 14 §. Denna lag träder i kraft den 1 januari 2019. Förslag till lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang Härigenom föreskrivs i fråga om lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang dels att 2, 4, 6, 8-10, 12 och 15 §§ ska upphöra att gälla, dels att rubrikerna närmast före 2, 4, 8-10, 12 och 15 §§ ska utgå, dels att nuvarande 3, 5, 7, 11, 13 och 14 §§ ska betecknas 2, 4, 5, 6, 7 och 8 §§, dels att rubriken till lagen samt 1, de nya 2, 4, 6 och 7 §§ och rubriken närmast före den nya 4 § ska ha följande lydelse, dels att rubrikerna närmast före nuvarande 3, 6, 11 och 14 §§ ska sättas närmast före de nya 2, 5, 6 och 8 §§, dels att det ska införas en ny paragraf, 3 §, och närmast före de nya 3 och 7 §§ nya rubriker med följande lydelse. Nuvarande lydelse Föreslagen lydelse Lag om register över tillträdesförbud vid idrottsarrangemang Lag om idrottsorganisationers behandling av uppgifter om tillträdesförbud 1 § Syftet med denna lag är att göra det möjligt för Polismyndigheten och idrottsorganisationer som anordnar idrottsarrangemang att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut om tillträdesförbud vid idrottsarrangemang och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Syftet med denna lag är att göra det möjligt för idrottsorganisationer som anordnar idrottsarrangemang att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. 2 § Denna lag gäller behandling av personuppgifter för att upprätthålla gällande beslut om tillträdesförbud. Lagen gäller vid 1. Polismyndighetens behandling av personuppgifter i tillträdesförbudsregistret, och 2. idrottsorganisationers behandling av personuppgifter från tillträdesförbudsregistret. Denna lag gäller vid idrottsorganisationers behandling av personuppgifter från det tillträdesförbudsregister som förs enligt lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område för att upprätthålla gällande beslut om tillträdesförbud. Lagen gäller behandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen gäller även för annan behandling i fall som avses i 14 §. Lagen gäller för behandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen gäller även för annan behandling i fall som avses i 8 §. Förhållandet till annan reglering 3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Rätten att behandla personuppgifter 4 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag. Varje idrottsorganisation är personuppgiftsansvarig för den behandling av personuppgifter som organisationen utför. 6 § Tillgången till personuppgifter ska begränsas till vad den som arbetar vid Polismyndigheten eller som arbetar eller utför uppdrag åt en idrottsorganisation behöver för att kunna fullgöra arbetsuppgifterna eller uppdraget. Tillgången till personuppgifter ska begränsas till vad den som arbetar eller utför uppdrag åt en idrottsorganisation behöver för att kunna fullgöra arbetsuppgifterna eller uppdraget. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om tillgången till personuppgifter. Längsta tid som personuppgifter får behandlas 7 § En uppgift som en idrottsorganisation har fått tillgång till från tillträdesförbudsregistret ska tas bort om uppgiften inte längre behövs för de ändamål som anges i 7 §, dock senast när tillträdesförbudets giltighetstid löper ut eller om tillträdesförbudet dessförinnan upphävs. Personuppgifter som en idrottsorganisation har fått tillgång till från tillträdesförbudsregistret får inte behandlas efter det att tillträdesförbudets giltighetstid löpt ut eller tillträdesförbudet dessförinnan upphävts. Denna lag träder i kraft den 1 januari 2019. Förslag till lag om ändring i åklagardatalagen (2015:433) Härigenom föreskrivs i fråga om åklagardatalagen (2015:433) dels att 1 kap., 2 kap. och 3 kap. 3, 4 och 7 §§ ska upphöra att gälla, dels att rubriken närmast före 3 kap. 3 § ska utgå, dels att nuvarande 3 kap. 5, 6 och 8 §§ ska betecknas 3 kap. 3, 4 och 5 §§, dels att rubriken till lagen samt 3 kap. 1, 2, de nya 3-5 §§ ska ha följande lydelse, dels att rubrikerna närmast före nuvarande 3 kap. 4 och 8 §§ ska sättas närmast före de nya 3 kap. 3och 5 §§, dels att det ska införas fyra nya kapitel, 1, 2, 4 och 5 kap., två nya paragrafer, 3 kap. 6 och 7 §§, och närmast före 3 kap. 1 och 6 §§ nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse Åklagardatalag Lag om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Åklagarmyndigheten eller Ekobrottsmyndigheten i egenskap av behörig myndighet behandlar personuppgifter i åklagarverksamhet i syfte att 1. förebygga eller förhindra brottslig verksamhet, 2. utreda eller lagföra brott, 3. handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder eller 4. handlägga frågor som rör upprätthållande av allmän ordning och säkerhet. Bestämmelser om personuppgiftsbehandling vid Ekobrottsmyndigheten finns också i lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. Personuppgiftsansvar 2 § Åklagarmyndigheten och Ekobrottsmyndigheten är var och en personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Behandling av uppgifter om juridiska personer 3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 2 § om personuppgiftsansvar, 2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och 4. 4 kap. 1, 2 och 4 §§ om längsta tid som personuppgifter får behandlas. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. 2 kap. Grundläggande bestämmelser om behandling Rättsliga grunder 1 § Personuppgifter får behandlas om det är nödvändigt för att Åklagarmyndigheten eller Ekobrottsmyndigheten ska kunna utföra följande uppgifter: 1. förebygga eller förhindra brottslig verksamhet, 2. utreda eller lagföra brott, 3. handlägga frågor om ändring eller verkställighet av straffrättsliga påföljder, 4. handlägga frågor som rör upprätthållande av allmän ordning och säkerhet, eller 5. fullgöra förpliktelser som följer av internationella åtaganden. Uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften. Behandling för nya ändamål 2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Särskilda upplysningar 3 § Bestämmelserna om särskild upplysning i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Känsliga personuppgifter 4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp. Utlämnande av personuppgifter 5 § Om det är förenligt med svenska intressen får personuppgifter lämnas ut till 1. Eurojust, 2. Interpol, 3. Europol, eller 4. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol. Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för något av de syften som anges i 1 §. Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 6 § Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). 7 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 5 §. Rätt att meddela föreskrifter 8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 5 och 6 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 7 § första stycket. 3 kap. Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i åklagarväsendets operativa verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 7 §. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000). 2 § Personuppgifter i åklagarväsendets operativa verksamhet får göras gemensamt tillgängliga. Alla personuppgifter som behandlas för syften som omfattas av denna lags tillämpningsområde får göras gemensamt tillgängliga. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om sådana uppgifter. 3 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får sådana uppgifter tas fram som anger att den sökta personen Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga, får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 1. är eller har varit misstänkt för brott, 2. är eller har varit misstänkt för brott, 2. är misstänkt för att ha utövat eller komma att utöva brottslig verksamhet, 3. är misstänkt för att ha utövat eller för att komma att utöva brottslig verksamhet, 3. har anmält ett brott, 4. har anmält ett brott, 4. är målsägande i ett ärende som rör ansvar för brott, 5. är målsägande i ett ärende som rör ansvar för brott, 5. är sökande, motpart eller annan part eller kan jämställas med part i ett ärende, 6. är sökande, motpart eller annan part eller kan jämställas med part i ett ärende, 6. förekommer i ett ärende som vittne eller någon annan som lämnar eller har lämnat uppgifter eller yttrande, 7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 7. är eller har varit åklagare i ett ärende, eller är eller har varit offentlig försvarare eller målsägandebiträde eller kan jämställas med sådana, eller 8. är eller har varit åklagare i ett ärende eller är eller har varit offentlig försvarare eller målsäg-andebiträde eller kan jämställas med sådana, eller 8. har gett in eller tillhandahållits en handling. 9. har gett in eller tillhandahållits en handling. 4 § Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende. Bestämmelserna i 3 § gäller inte vid sökning i en viss handling eller i ett visst ärende. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §. 5 § Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket får i den brottsbekämpande verksamheten medges direktåtkomst till personuppgifter i åklagarväsendets operativa verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet. Rätt att meddela föreskrifter 6 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 3 §. 7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. gemensamt tillgängliga uppgifter, och 2. omfattningen av direktåtkomst enligt 5 § och om behörighet och säkerhet vid sådan åtkomst. 4 kap. Längsta tid som personuppgifter får behandlas Allmän bestämmelse 1 § Detta kapitel gäller bara för automatiserad behandling. Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Personuppgifter i ärenden 2 § Personuppgifter i ett ärende får inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då ärendet avslutades av åklagaren, eller, om frågan prövats av domstol, från utgången av det kalenderår då domstolens avgörande fick laga kraft. 3 § Om en förundersökning mot en person inte har inletts eller har lagts ner, om ett åtal har lagts ner eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt. Övriga personuppgifter 4 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte kan hänföras till ett ärende inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. Rätt att meddela föreskrifter 5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att uppgifter i vissa ärendetyper eller vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 2 §, 2. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 4 §, och 3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 5 kap. Administrativa sanktionsavgifter och rättsmedel Administrativa sanktionsavgifter 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, eller 2. 4 kap. 2 eller 4 § om den längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Överklagande 3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 januari 2019. 2. En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet. Förslag till lag om ändring i domstolsdatalagen (2015:728) Härigenom föreskrivs i fråga om domstolsdatalagen (2015:728) dels att punkt 3 i ikraftträdande- och övergångsbestämmelserna till lagen (2018:000) om ändring i den lagen ska upphöra att gälla, dels att 2 och 16 §§ ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 § Denna lag gäller vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet. Lagen gäller också när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran. Lagen gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:000) om domstolarnas behandling av personuppgifter inom brottsdatalagens område. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. 16 § Personuppgifter får lämnas ut på medium för automatiserad behandling om det inte är olämpligt. Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Denna lag träder i kraft den 1 januari 2019. Förslag till lag om ändring i utlänningsdatalagen (2016:27) Härigenom föreskrivs att 14 § utlänningsdatalagen (2016:27) ska ha följande lydelse. Lydelse enligt lagrådsremissen Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning Föreslagen lydelse 15 § Migrationsverket får föra separata register över fingeravtryck och fotografier som tas med stöd av 9 kap. 8 § utlänningslagen (2005:716). Med begränsning av de ändamål som annars gäller enligt 11 och 13 §§ får uppgifter om fingeravtryck eller fotografier i registren användas endast 1. vid prövning av ansökningar om uppehållstillstånd där skäl som anges i 4 kap. 1-2 a §§ utlänningslagen åberopas, 2. i ärenden om avvisning och utvisning, 3. i testverksamhet, 4. om det behövs för att kontrollera identiteten av en person på ett fotografi som kommit in till Migrationsverket, eller 5. om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot det fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 4 kap. 11 § polisdatalagen (2010:361). 5. om det behövs för att Migrationsverket ska kunna kontrollera ett fingeravtryck mot fingeravtrycks- och signalementsregister som Polismyndigheten för enligt 5 kap. 11 § lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela 1. ytterligare föreskrifter om vilka uppgifter som får behandlas i registren över fingeravtryck och fotografier, och 2. föreskrifter om gallring. Denna lag träder i kraft den 1 januari 2019. Förslag till lag om ändring i tullagen (2016:253) Härigenom föreskrivs att 4 kap. 8 § tullagen (2016:253) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 8 § Ett transportföretag får lämna uppgifter enligt 6 § på så sätt att de görs läsbara för Tullverket genom terminalåtkomst. Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter som hålls tillgängliga på detta sätt får inte ändras eller på annat sätt bearbetas eller lagras av Tullverket. Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst ska omedelbart förstöras, om de visar sig sakna betydelse för utredning av eller lagföring för brott. Denna lag träder i kraft den 1 januari 2019. Förslag till lag om ändring i tullbrottsdatalagen (2017:447) Härigenom föreskrivs i fråga om tullbrottsdatalagen (2017:447) dels att 1 kap., 2 kap., 3 kap. 5 § och 4 kap. 5 § ska upphöra att gälla, dels att nuvarande 3 kap. 6-8 §§ och 4 kap. 2-4 och 6-9 §§ ska betecknas 3 kap. 5-7 §§ och 4 kap. 12, 2-6 och 8 §§, dels att rubriken till lagen samt 3 kap. 1-4 §§, de nya 3 kap. 5-7 §§, 4 kap. 1 och 10 §§, de nya 4 kap. 2-5, 8 och 12 §§, rubriken till 4 kap., rubrikerna närmast före 4 kap. 1 § och den nya 4 kap. 4 § ska ha följande lydelse, dels att rubrikerna närmast före nuvarande 3 kap. 8 § och 4 kap. 3, 5 och 9 §§ ska sättas närmast före de nya 3 kap. 7 § respektive 4 kap. 2, 4 och 7 §§, dels att det ska införas tre nya kapitel, 1, 2 och 5 kap., fem nya paragrafer, 3 kap. 8 och 9 §§ och 4 kap. 7, 9 och 11 §§, och närmast före 3 kap. 1 § och de nya 3 kap. 8 § och 4 kap. 12 § nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse Tullbrottsdatalag Lag om Tullverkets behandling av personuppgifter inom brottsdatalagens område 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott. 2 § I lagen (2017:496) om internationellt polisiärt samarbete och i lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar, finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser ska de tillämpas i stället för bestämmelserna i denna lag. Personuppgiftsansvar 3 § Tullverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför. Behandling av uppgifter om juridiska personer 4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 3 § om personuppgiftsansvar, 2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och 4. 4 kap. 1-5 och 8-11 §§ om längsta tid som personuppgifter får behandlas. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. 2 kap. Grundläggande bestämmelser om behandling Rättsliga grunder 1 § Tullverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter: 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, eller 3. fullgöra förpliktelser som följer av internationella åtaganden. Uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften. Behandling för nya ändamål 2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Särskilda upplysningar 3 § Bestämmelserna om särskild upplysning i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Känsliga personuppgifter 4 § Tullverket får behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att brottsrubriceringar, uppgifter om tillvägagångssätt vid brott eller uppgifter som beskriver en persons utseende används som sökbegrepp. 6 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga. Utlämnande av personuppgifter 7 § Om det är förenligt med svenska intressen, får personuppgifter lämnas ut till 1. Interpol, 2. Europol, 3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller 4. en tullmyndighet eller kustbevakningsmyndighet inom Europeiska ekonomiska samarbetsområdet (EES). Personuppgifter får lämnas ut enligt första stycket endast om mottagaren behöver uppgifterna för något av de syften som anges i 1 §. Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). 9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 7 §. Personuppgifter från transportföretag 10 § Personuppgifter som lämnas till Tullverket enligt 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 6 § tullagen (2016:253) får behandlas för att planera kontroller och välja ut kontrollobjekt för något av de syften som anges i 1 § första stycket 1 eller 2. Personuppgifter som avses i första stycket får endast i ett enskilt fall behandlas för nya ändamål enligt 2 kap. 4 eller 22 § brottsdatalagen (2018:000). 11 § Vid terminalåtkomst enligt 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 8 § tullagen (2016:253) får Tullverket inte ändra eller på annat sätt bearbeta personuppgifterna. 12 § Vid sökning i personuppgifter som avses i 10 § första stycket får namn, personnummer, samordningsnummer och andra liknande identitetsbeteckningar användas som sökbegrepp endast om uppgifterna avser en person som 1. är eller har varit misstänkt för brott, 2. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 3 kap. 2 § första stycket 1, eller 3. övervakas under de förutsättningar som anges i 3 kap. 2 § första stycket 2. Rätt att meddela föreskrifter 13 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 9 § första stycket. 3 kap. Allmän bestämmelse 1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 7 §. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000). 2 § Följande personuppgifter får göras gemensamt tillgängliga: 1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller b) sker systematiskt. 2. Uppgifter som behövs för övervakningen av en person, om han eller hon 2. Uppgifter som behövs för övervakningen av en person som a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och b) är allvarligt kriminellt belastad. 3. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott. 3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott. 4. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. 4. Uppgifter som har rapporterats till Tullverkets ledningscentraler. 5. Uppgifter som har rapporterats till Tullverkets kommunikationscentral. 5. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. Personuppgifter från transportföretag som behandlas enligt 2 kap. 10 § första stycket får göras gemensamt tillgängliga endast om det behövs i ett enskilt fall. Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra. 3 § För gemensamt tillgängliga uppgifter ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas. Har personuppgifterna gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2, ska detta särskilt framgå. Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2. 4 § Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt. Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter. Detsamma gäller uppgifter om personer som avses i 2 § första stycket 2. Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § första stycket 1 eller som övervakas med stöd av 2 § första stycket 2, ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt. 5 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga, får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 2. är eller har varit misstänkt för brott, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, 4. övervakas enligt 2 § första stycket 2, 5. har anmält ett brott, 6. är målsägande i ett ärende som rör ansvar för brott, 7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 8. har gett in eller tillhandahållits en handling, 9. har bedömts kunna komma att möta ett ingripande med grovt våld, eller 10. är efterlyst. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket. 6 § Bestämmelserna i 6 § gäller inte vid 1. sökning i en viss handling eller i ett visst ärende, eller 2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till. Bestämmelserna i 5 § gäller inte vid sökning i en viss handling eller i ett visst ärende. Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs Bestämmelserna i 5 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän 1. när de utför beredningsupp-gifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede, 1. för att förebygga, förhindra eller upptäcka brottslig verksam-het som innefattar brott för vilket det är föreskrivet fängelse i fyra år eller däröver eller för sådant ändamål som avses i 2 § första stycket 2, eller 2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 1 eller 2 och som enbart dessa tjänstemän har tillgång till, 2. för att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver. 3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer, eller 4. i syfte att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 6 §. Bestämmelserna i 5 § gäller inte heller vid sökning som en tjänsteman vid någon av Tullverkets ledningscentraler utför på begäran av en tulltjänsteman som verkställer ett ingripande eller vidtar en åtgärd som rör en en-skild. 7 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket får medges direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som är gemensamt tillgängliga. Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet. Rätt att meddela föreskrifter 8 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 5 §. 9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. begränsning av tillgången till sådana personuppgifter som avses i 5 §, 2. under vilka förutsättningar sökning får utföras med stöd av 6 §, och 3. omfattningen av direktåtkomst enligt 7 § och behörighet och säkerhet vid sådan åtkomst. 4 kap. Bevarande och gallring av personuppgifter 4 kap. Längsta tid som personuppgifter får behandlas Generella bestämmelser Allmän bestämmelse 1 § Detta kapitel gäller, om inte annat sägs, bara för automatiserad behandling av personuppgifter. Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i lagen. Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) fram-går att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I följande paragrafer anges hur länge uppgifter som behandlas automatiserat längst får bevaras: 1. 3 och 4 §§ om uppgifter som inte har gjorts gemensamt tillgängliga, 2. 5-7 §§ om uppgifter i ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga, och 3. 9 och 10 §§ om andra upp-gifter som har gjorts gemensamt tillgängliga än som anges i 2. 2 § Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende, ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången. Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte har gjorts gemensamt tillgängliga inte behandlas längre än 1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller 2. ett år efter det att de be-handlades automatiserat första gången, om de inte kan hänföras till ett ärende. Första stycket gäller inte personuppgifter i ärenden om utredning eller beivrande av brott. Första stycket gäller inte personuppgifter i ärenden om utredning av eller lagföring för brott. 3 § I 4 kap. 8 § tullagen (2016:253) och 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen finns bestämmelser om lagring och förstöring av vissa uppgifter från transportföretag. Personuppgifter som med stöd av 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen eller 4 kap. 6 § tullagen (2016:253) tillhandahålls på annat sätt än genom terminalåtkomst, ska omedelbart förstöras om de visar sig sakna betydelse för något av de syften som anges i 2 kap. 1 § första stycket 1 eller 2. Det som sägs i första stycket gäller också vid behandling av personuppgifter som ingår i en strukturerad samling personupp-gifter. Gemensamt tillgängliga upp-gifter i ärenden om utredning eller beivrande av brott Gemensamt tillgängliga upp-gifter i ärenden om utredning av eller lagföring för brott 4 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i Tullverkets brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i Tullverkets brottsbekämpande verksamhet när åtal inte längre får väckas för brottet. Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör ett brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet. 5 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas i Tullverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, fick laga kraft. Om en förundersökning har lett till åtal eller annan dom-stolsprövning, får personupp-gifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft. Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Tullverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tilllämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. 7 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2, 4 eller 5 som längst behandlas under den tid som anges i 8-11 §§. 8 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § första stycket 1 eller 2 ska gallras enligt andra-fjärde styckena. Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 får, om de behandlas i ett ärende, inte behandlas längre än ett år efter det att ärendet avslutades. Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 ska gallras senast tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Uppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras. Om personuppgifterna inte behandlas i ett ärende får de inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de uppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna om honom eller henne får behandlas. Uppgifter som har behandlats i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Den tid då en misstänkt eller övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rätts-psykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de frister som anges i andra och tredje styckena. Den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de tidsfrister som anges i andra stycket. 9 § Personuppgifter som behandlas i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Den tid då en övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av den tidsfrist som anges i första stycket. 10 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § första stycket 4 eller 5 ska gallras enligt andra eller tredje stycket. Uppgifter som har behandlats med stöd av 3 kap. 2 § första stycket 4 ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna be-handlades i avslutades. Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. Uppgifter som har behandlats med stöd av 3 kap. 2 § första stycket 5 ska gallras senast ett år efter utgången av det kalenderår då de behandlades automatiserat första gången. 11 § Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Rätt att meddela föreskrifter 12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att vissa kategorier av personuppgifter får bevaras i den brottsbekämpande verksamheten under längre tid än vad som anges i 6, 7, 9 och 10 §§, 1. att vissa kategorier av personuppgifter får fortsätta att behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 4, 5 eller 8-11 §, 2. att personuppgifter, med avvikelse från 3 § första stycket, 9 och 10 §§, får bevaras för historiska, statistiska eller vetenskapliga ändamål, och 2. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket eller 8-11 §§ och 3. digital arkivering. 3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 5 kap. Administrativa sanktionsavgifter och rättsmedel Administrativa sanktionsavgifter 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller 3. 4 kap. 2-5 eller 8-11 § om den längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Överklagande 3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 januari 2019. 2. En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet. Förslag till lag om ändring i skattebrottsdatalagen (2017:452) Härigenom föreskrivs i fråga om skattebrottsdatalagen (2017:452) dels att 1 kap., 2 kap., 3 kap. 3 och 5 §§ och 4 kap. 4 § ska upphöra att gälla, dels att nuvarande 3 kap. 4 och 6-8 §§ och 4 kap. 2, 3 och 5-8 §§ ska betecknas 3 kap. 3-6 §§ och 4 kap. 9, 2-5 och 7 §§, dels att rubriken till lagen samt 3 kap. 1 och 2 §§, de nya 3 kap. 3-6 §§, 4 kap. 1 §, de nya 4 kap. 2-4, 7 och 9 §§, rubriken till 4 kap. och rubriken närmast före 4 kap. 1 § ska ha följande lydelse, dels att rubrikerna närmast före nuvarande 3 kap. 5 och 8 §§ och 4 kap. 3, 4 och 8 §§ ska sättas närmast före de nya 3 kap. 4 och 6 §§ respektive 4 kap. 2, 3 och 6 §§, dels att det ska införas tre nya kapitel, 1, 2 och 5 kap., fyra nya paragrafer, 3 kap. 7 och 8 §§ och 4 kap. 6 och 8 §§, och närmast före 3 kap. 1 § och de nya 3 kap. 7 § och 4 kap. 9 § nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse Skattebrottsdatalag Lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område 1 kap. Allmänna bestämmelser Lagens tillämpningsområde 1 § Denna lag gäller utöver brottsdatalagen (2018:000) när Skatteverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott. Personuppgiftsansvar 2 § Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför. Behandling av uppgifter om juridiska personer 3 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer: 1. 2 § om personuppgiftsansvar, 2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och 4. 4 kap. 1-4 och 7 och 8 §§ om längsta tid som personuppgifter får behandlas. Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling: 1. 2 kap. 2 § om diarieföring och handläggning i vissa fall, 2. 2 kap. 3 § andra stycket om ändamålet med behandlingen, 3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas, 4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och 5. 3 kap. 6 § om tillgången till personuppgifter. 2 kap. Grundläggande bestämmelser om behandling Rättsliga grunder 1 § Skatteverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter: 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda brott, eller 3. fullgöra förpliktelser som följer av internationella åtaganden. Uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften. Behandling för nya ändamål 2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000). Särskilda upplysningar 3 § Bestämmelserna om särskild upplysning i 2 kap. 3 § andra stycket, 9 och 10 §§ brottsdatalagen (2018:000) gäller endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §. Sökning Känsliga personuppgifter 4 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp. 5 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte sökning i syfte att få fram ett urval av personer grundat på etniskt ursprung, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga. Beskattningsdatabasen 6 § I lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns bestämmelser om beskattningsdatabasen. Vid sökning i beskattningsdatabasen som görs för något av de syften som anges i 1 § får endast uppgift om namn, personnummer eller samordningsnummer användas. Utlämnande av personuppgifter 7 § Personuppgifter får lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. 8 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Tullverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 §, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000). 9 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 §. Rätt att meddela föreskrifter 10 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter får lämnas ut i andra fall än som anges i 7 och 8 §§, och 2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt 9 § första stycket. 3 kap. Allmän bestämmelse 1 § Detta kapitel innehåller sär-skilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i Skatteverkets brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 7 §. Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 § brottsdatalagen (2018:000). 2 § Följande personuppgifter får göras gemensamt tillgängliga: 1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller b) sker systematiskt. 2. Uppgifter som förekommer i ett ärende om utredning av brott. 3. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. 3. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. 3 § Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt. Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter. Uppgifter om en person som kan antas ha direkt samband med sådan brottslig verksamhet som avses i 2 § 1 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av omständigheterna är onödigt. 4 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen Vid sökning i automatiserade behandlingssystem på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen 1. är anmäld för brott, 2. är eller har varit misstänkt för brott, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, 3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § 1, 4. har anmält ett brott, 5. är målsägande i ett ärende som rör ansvar för brott, 6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande, 7. har gett in eller tillhandahållits en handling, 8. har bedömts kunna komma att möta ett ingripande med grovt våld, eller 9. är eller har varit registrerad som funktionär i en eller flera juridiska personer vilka kan antas ha samband med brottslig verksamhet. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket. 5 § Bestämmelserna i 6 § gäller inte vid 1. sökning i en viss handling eller i ett visst ärende, eller Bestämmelserna i 4 § gäller inte vid sökning i en viss handling eller i ett visst ärende. 2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till. Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs Bestämmelserna i 4 § gäller inte heller vid sökning som görs av särskilt angivna tjänstemän 1. när de utför beredningsuppgifter i underrättelseverksamhet och arbetet befinner sig i ett inledande skede, 1. för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i fyra år eller däröver, eller 2. i syfte att i underrättelseverksamhet bearbeta och analysera personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 § 1 eller 2 och som enbart dessa tjänstemän har tillgång till, eller 2. för att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver. 3. i syfte att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 6 §. 6 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får medges direktåtkomst till personuppgifter i Skatteverkets brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:000) medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga med stöd av 2 §. En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet. Rätt att meddela föreskrifter 7 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 4 §. 8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. begränsning av tillgången till sådana personuppgifter som avses i 4 §, 2. under vilka förutsättningar sökning får utföras med stöd av 5 §, och 3. omfattningen av direktåtkomst enligt 6 § och om behörighet och säkerhet vid sådan åtkomst. 4 kap. Bevarande och gallring av personuppgifter 4 kap. Längsta tid som person-uppgifter får behandlas Generella bestämmelser Allmän bestämmelse 1 § Detta kapitel gäller bara för automatiserad behandling. Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i lagen. Av 2 kap. 17 § första stycket brottsdatalagen (2018:000) framgår det att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I följande paragrafer anges hur länge uppgifter som behandlas automatiserat längst får bevaras: 1. 3 § om uppgifter som inte har gjorts gemensamt tillgängliga, 2. 4-6 §§ om uppgifter i ärenden om utredning av brott som har gjorts gemensamt tillgängliga, och 3. 8 § om andra uppgifter som har gjorts gemensamt tillgängliga än som anges i 2. 2 § Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende, ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången. Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som inte har gjorts gemensamt tillgängliga inte behandlas längre än 1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller 2. ett år efter det att de be-handlades automatiserat första gången, om de inte kan hänföras till ett ärende. Första stycket gäller inte personuppgifter i ärenden om utredning av brott. 3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i Skatteverkets brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i Skatteverkets brottsbekämpande verksamhet när åtal inte längre får väckas för brottet. Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör ett brott, får personuppgifterna i anmälan inte längre behandlas för ändamål inom denna lags tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas för ändamål inom denna lags tillämpningsområde när åtal inte längre får väckas för brottet. 4 § Om en förundersökning har lett till åtal eller annan dom-stolsprövning, får personupp-gifterna i förundersökningen inte behandlas i Skatteverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, fick laga kraft. Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft. Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Skatteverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. 6 § Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt till-gängliga med stöd av 3 kap. 2 § 1 eller 3 som längst behandlas under den tid som anges i 7 och 8 §§. 7 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § 1 eller 3 ska gallras enligt andra och tredje styckena. Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 ska gallras senast tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Uppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras. Personuppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 får inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Personuppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller mer får inte behandlas längre än fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de uppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna om honom eller henne får behandlas. Uppgifter som har behandlats med stöd av 3 kap. 2 § 3 ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. 8 § Personuppgifter som behandlas med stöd av 3 kap. 2 § 3 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Rätt att meddela föreskrifter 9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att vissa kategorier av personuppgifter får bevaras i den brottsbekämpande verksamheten under längre tid än vad som anges i 5, 6 och 8 §§, 1. att vissa kategorier av personuppgifter får fortsätta behandlas för ändamål inom denna lags tillämpningsområde under längre tid än vad som anges i 3, 4, 7 och 8 §§, 2. att personuppgifter, med avvikelse från 3 § första stycket och 8 §, får bevaras för historiska, statistiska eller vetenskapliga ändamål, och 2. att personuppgifter får behandlas för arkivändamål av allmänt intresse eller vetenskapliga, statistiska eller historiska ändamål under längre tid än vad som anges i 2 § första stycket, 7 och 8 §§ och 3. digital arkivering. 3. begränsning av behandlingen av personuppgifter för ändamål inom denna lags tillämpningsområde vid digital arkivering. 5 kap. Administrativa sanktionsavgifter och rättsmedel Administrativa sanktionsavgifter 1 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i 1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter, 2. 3 kap. 3 § om särskild upplysning, eller 3. 4 kap. 2-4, 7 eller 8 § om den längsta tid som personuppgifter får behandlas. Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor. Skadestånd 2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Överklagande 3 § Bestämmelser om överklagande och om vilka beslut som får överklagas finns i 7 kap. brottsdatalagen (2018:000). 1. Denna lag träder i kraft den 1 januari 2019. 2. En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet. Förslag till lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete Härigenom föreskrivs att 6 kap. 1 §, 7 kap. 1, 3, 4 och 7 §§, 8 kap. 3 §, 9 kap. 4 och 5 §§ och 10 kap. 1-3 §§ lagen (2017:496) om internationellt polisiärt samarbete ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 kap. 1 § Om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till lagen gäller Om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till lagen gäller brottsdatalagen (2018:000) och följande författningar för respektive myndighet för behandling av personuppgifter vid internationellt polisiärt samarbete: - polisdatalagen (2010:361) för polisens behandling av personuppgifter vid internationellt polisiärt samarbete, - lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område, - kustbevakningsdatalagen (2012:145) för Kustbevakningens behandling av personuppgifter vid internationellt polisiärt samarbete, och - lagen (2012:145) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område, eller - tullbrottsdatalagen (2017:447) för Tullverkets behandling av personuppgifter vid internationellt polisiärt samarbete. - lagen (2017:447) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. 7 kap. 1 § Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i de svenska registren över dna-profiler. Efter en överenskommelse mellan Sverige och en annan stat får kontaktstället i den andra staten göra en automatisk jämförelse mellan sina oidentifierade dna-profiler och referensuppgifter i de svenska registren över dna-profiler. Första och andra styckena gäller endast de register över dna-profiler som regleras i polisdatalagen (2010:361). Första och andra styckena gäller endast de register över dna-profiler som regleras i lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. 3 § Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361). Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. 4 § I syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott får det svenska kontaktstället i enskilda fall genom direktåtkomst söka uppgifter i en annan stats fingeravtrycksregister. Uppgifter får behandlas endast i den utsträckning den andra staten tillåter det och om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361). I syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda brott får det svenska kontaktstället i enskilda fall genom direktåtkomst söka uppgifter i en annan stats fingeravtrycksregister. Uppgifter får behandlas endast i den utsträckning den andra staten tillåter det och om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. Det svenska kontaktstället ansvarar för att kontrollera om det mottagna fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg. 7 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet. Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet. 8 kap. 3 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet. Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet. 9 kap. 4 § Det är förbjudet att till tredjeland eller en internationell organisation överföra eller göra tillgängliga sådana personuppgifter som har hämtats från VIS och som har lagts in i systemet av en annan stat. Detta är dock tillåtet i brådskande fall om 1. de villkor för sökning som anges i 1 § andra stycket är uppfyllda, 2. det är förenligt med svenska intressen att uppgifterna lämnas ut, 3. den stat som har lagt in uppgifterna i systemet samtycker till det, och 4. förutsättningarna i 33 och 34 §§ personuppgiftslagen (1998:204) är uppfyllda. 4. förutsättningarna i 8 kap. 1 § brottsdatalagen (2018:000) är uppfyllda. 5 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet. Vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet ska bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) tillämpas. 10 kap. 1 § Vid samarbete enligt avtalet med USA får ett amerikanskt kontaktställe trots 33 § personuppgiftslagen (1998:204) medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361). Vid samarbete enligt avtalet med USA får ett amerikanskt kontaktställe medges direktåtkomst till referensuppgifter i svenska fingeravtrycksregister som förs med stöd av lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. 2 § På begäran av behöriga myndigheter får ett svenskt kontaktställe i enskilda fall genom direktåtkomst söka uppgifter i amerikanska fingeravtrycksregister i syfte att utreda ett brott för vilket det enligt svensk lag är föreskrivet fängelse i mer än ett år. Detsamma gäller om sökningen görs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar ett sådant brott. Uppgifter får behandlas endast om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av polisdatalagen (2010:361). Uppgifter får behandlas endast om behandlingen i motsvarande fall hade varit tillåten i svenska fingeravtrycksregister som förs med stöd av lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. Det svenska kontaktstället ansvarar för att kontrollera om det mottagna fingeravtrycket stämmer överens med det fingeravtryck sökningen avsåg. 3 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet. Vid behandling av personuppgifter enligt detta kapitel eller enligt föreskrifter som har meddelats i anslutning till kapitlet ska bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) tillämpas. 1. Denna lag träder i kraft den 1 januari 2019. 2. Äldre föreskrifter gäller fortfarande för uppgifter som behandlas av Säkerhetspolisen med stöd av polisdatalagen (2010:361) i lydelsen före den 1 januari 2019. Förslag till lag om ändring i säkerhetsskyddslagen (2018:000) Härigenom föreskrivs att 3 kap. 13 och 14 §§ säkerhetsskyddslagen (2018:000) ska ha följande lydelse. Lydelse enligt prop. 2017/18:89 Föreslagen lydelse 3 kap. 13 § Med registerkontroll avses i denna lag att uppgifter hämtas från register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter som behandlas med stöd av polisdatalagen (2010:361) hämtas. Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter hämtas som behandlas med stöd av lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område. 14 § Registerkontroll ska göras om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass. Uppgifter ska löpande hämtas under den tid deltagandet i den säkerhetskänsliga verksamheten pågår. För säkerhetsklass 1 eller 2 får uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas med stöd av polisdatalagen (2010:361) hämtas. Motsvarande uppgifter får även hämtas om den kontrollerades make eller sambo. För säkerhetsklass 3 får sådana uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas hos Säkerhetspolisen med stöd av polisdatalagen hämtas. För säkerhetsklass 1 eller 2 får uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas med stöd av lagen (2010:361) om polisens behandling av personuppgifter inom brottsdatalagens område hämtas. Motsvarande uppgifter får även hämtas om den kontrollerades make eller sambo. För säkerhetsklass 3 får sådana uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas hos Säkerhetspolisen med stöd av lagen om polisens behandling av personuppgifter inom brottsdatalagens område hämtas. Om det finns synnerliga skäl får även andra uppgifter än sådana som anges i andra och tredje styckena hämtas. 1. Denna lag träder i kraft den 1 april 2019. 2. Äldre föreskrifter gäller fortfarande för uppgifter som hämtas från Säkerhetspolisen och som behandlas med stöd av polisdatalagen (2010:361) i lydelsen före den 1 januari 2019. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2018-04-25 Närvarande: F.d. justitieråden Ella Nyström och Lena Moore samt justitierådet Thomas Bull Brottsdatalag - kompletterande lagstiftning Enligt en lagrådsremiss den 5 april 2018 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till 1. lag om domstolarnas behandling av personuppgifter inom brotts- datalagens område, 2. lag om ändring i rättegångsbalken, 3. lag om ändring i polislagen (1984:387), 4. lag om ändring i säkerhetsskyddslagen (1996:627) 5. lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen, 6. lag om ändring i lagen (2000:344) om Schengens informations- system, 7. lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, 8. lag om ändring i lagen (2001:617) om behandling av person- uppgifter inom kriminalvården, 9. lag om ändring i lagen (2005:321) om tillträdesförbud vid idrotts- arrangemang, 10. lag om ändring i lagen (2007:980) om tillsyn över viss brotts- bekämpande verksamhet, 11. lag om ändring i offentlighets- och sekretesslagen (2009:400), 12. lag om ändring i polisdatalagen (2010:361), 13. lag om ändring i kustbevakningsdatalagen (2012:145), 14. lag om ändring i lagen (2014:400) om Polismyndighetens elimineringsdatabas, 15. lag om ändring i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang, 16. lag om ändring i åklagardatalagen (2015:433), 17. lag om ändring i domstolsdatalagen (2015:728), 18. lag om ändring i utlänningsdatalagen (2016:27), 19. lag om ändring i tullagen (2016:253), 20. lag om ändring i tullbrottsdatalagen (2017:447), 21. lag om ändring i skattebrottsdatalagen (2017:452), 22. lag om ändring i lagen (2017:496) om internationellt polisiärt samarbete, 23. lag om ändring i säkerhetsskyddslagen (2018:000). Förslagen har inför Lagrådet föredragits av kansliråden Peter Lindström och Leena Mildenberger samt rättssakkunniga David Brandell, Johanna Gustafsson och Peter Munck. Förslagen föranleder följande yttrande av Lagrådet: Lagstiftningens komplexitet Lagrådsremissen ingår i en rad av lagförslag på området för behandling av personuppgifter. De är alla föranledda av att ikraftträdandet av EU:s dataskyddsförordning och dataskyddsdirektiv under våren 2018 medför nya krav på svensk lagstiftning. För att möta dessa krav har två parallella regelverk tillkommit, där dataskyddslagen kompletterar förordningen och brottsdatalagen genomför direktivet. Lagarna har karaktär av ramlagar och kompletteras i sin tur av specifika registerlagar för vissa myndigheter eller områden. Mellan författningarna råder det förhållandet att de specifika lagarna ska gälla utöver eller som avvikelse från det som anges i ramlagarna. Till detta kommer att speciallagarna konstruerats så att de i sin tur förutsätter att regeringen, eller myndighet som regeringen bestämmer, genom föreskrifter ytterligare kompletterar eller avviker från lagarna. Sammantaget är regelverket svåröverskådligt eftersom vissa rättsregler utgör preciseringar av ramlagarna, andra är undantag från eller kompletterar dessa. Vilket förhållande en viss regel har i förhållande till andra kan ibland utläsas av sammanhanget och framgår andra gånger av författningskommentaren. Ibland förblir dess roll dock oklar för alla som inte har kännedom om hur det tidigare regelverket - vars funktion i stort sett bevaras genom ändringarna - var konstruerat. Det finns vidare gränsdragningsproblem mellan det regelverk som sorterar under förordningen och det som hör till direktivet. För en läsare som inte är väl bekant med systemet ter det sig i allt väsentligt som svårbegripligt. Sverige har i hög grad varit bunden av unionsrättsliga krav vid genomförandet av lagstiftningsprojekten ifråga och de påpekade bristerna har också sin grund i rättsakternas utformning med en förordning och ett direktiv. Den korta genomförandetiden har även haft betydelse. Inte desto mindre framstår det som önskvärt att i framtiden försöka åtgärda regelverkets strukturella utformning så att det blir klarare och mer överskådligt. I samband med frågan om regelverkets strukturella utformning vill Lagrådet uppmärksamma en fråga av mer direkt rättslig karaktär. I de ovan nämnda speciallagarna förekommer inte sällan bestämmelser som påminner om regeringens möjlighet att med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter. Vissa av dessa bestämmelser är tämligen detaljerade i vad regeringen kan tänkas komma att utnyttja sin restkompetens till, medan andra är mer allmänt hållna. En synpunkt gäller huruvida det alls är möjligt att använda regeringens restkompetens i en del av de nu aktuella fallen. Regeringens normgivningskompetens bygger på att de föreskrifter som meddelas kan sägas gälla gynnande eller neutrala sakområden i förhållande till enskilda som berörs. När en rättsregel kan betecknas som en betungande offentligrättslig reglering så förutsätter regeringsformens regler i 8 kap. istället att regeringen får normgivningskompetens genom ett bemyndigande från riksdagen. En utgångspunkt i detta lagstiftningsärende är att regleringen utgör ett skydd för enskildas personliga integritet. Regeringen förutsätts - såsom redan gäller i dag - i förordning ange vissa fall när det är tillåtet att behandla personuppgifter under längre tid än vad som medges i lag. Det kan ifrågasättas om föreskrifter vars sakliga innebörd är en försämring av ett i lag stadgat skydd verkligen kan anses som gynnande eller neutrala i förhållande till de enskilda. Att föreskrifterna i registerförfattningarna generellt sett kan karakteriseras som så ändrar inte just dessa föreskrifters karaktär. Om föreskrifterna inte kan anses vara gynnande eller neutrala får regeringen inte meddela dem med stöd av sin restkompetens. Frågan bör övervägas ytterligare under den fortsatta beredningen. I tillägg kan nämnas att lagstiftningstekniken också väcker frågor om förhållandet till den formella lagkraftens princip (8 kap. 18 § regeringsformen). Av propositionen till den nya dataskyddslagen framgår att regeringen gjort bedömningen att det är förenligt med grundlag att, utanför området för det specifika skyddet av personlig integritet i 2 kap. 6 § andra stycket regeringsformen, begränsa den formella lagkraftens princip (prop. 2017/18:105 s. 26 f.). Eftersom de regler som här diskuteras - där regeringen genom förordning utsträcker en i lag angiven längsta tid för behandling av personuppgifter - har en direkt koppling till skyddet av personlig integritet kan frågan ställas om regeringens mer allmänna bedömning i ärendet om dataskyddslagen också har bärkraft här. Även denna fråga bör föranleda ytterligare överväganden. Ändringslagar eller nya lagar? - lagförslag 8, 12, 13, 15, 16, 20 och 21 I sju registerlagar föreslås mycket omfattande lagändringar. Flera kapitel upphävs, nya kapitel införs, många kvarvarande paragrafer ändras och ges ofta en ny beteckning. I tre av lagarna ändras samtliga paragrafer (lagförslag 8, 13 och 16), i två ändras alla paragrafer utom en (lagförslag 20 och 21) och i två ändras alla paragrafer utom två (lagförslag 12 och 15). Samtliga sju lagar föreslås vidare få ett nytt namn. Vid föredragningen har upplysts att anledningen till att det inte föreslås nya lagar är att förslagen endast innehåller ändringar som föranleds av brottsdatalagen och att många bestämmelser därför inte har varit föremål för en sådan analys och granskning som bör krävas när ny lag beslutas. Det handlar om en omfattande och komplex lagstiftning och Lagrådet har förståelse för att någon fullständig analys och granskning av lagarnas alla paragrafer inte har varit möjlig att göra med hänsyn till den korta genomförandetiden. Lagarna kommer emellertid ändå att framstå som helt omarbetade eftersom i princip alla paragrafer kommer att vara försedda med ett SFS-nummer från 2018 i den konsoliderade versionen av lagarna, t.ex. på riksdagens hemsida. Till detta kommer att alla lagar får nya namn. Bortsett från lagförslag 15 innehåller de nya namnen orden "behandling av personuppgifter inom brottsdatalagens område". Brottsdatalagen kommer att utfärdas år 2018, vilket medför att det blir förvirrande när lagarna behåller sina gamla SFS-nr. Angående de nya namnen, se vidare nedan. Lagrådet kan mot den angivna bakgrunden inte tillstyrka att lagändringarna sker genom ändringslagar utan förordar att samtliga sju lagar upphävs och ersätts med nya lagar. Att lagarna därmed kan komma att innehålla några bestämmelser som efter en mer ingående analys skulle ha fått en annan utformning kan accepteras med hänsyn till att det är fråga om bestämmelser som överförs från nu gällande lag. Registerlagarnas nya namn - lagförslag 1, 8, 12, 13, 16, 20 och 21 Enligt remissen ska registerlagarna få nya namn, "Lag om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område", "Lag om polisens behandling av personuppgifter inom brottsdatalagens område" osv. Den nya lagen för domstolarnas hantering av personuppgifter (lagförslag 1) har fått ett motsvarande namn. Det är långa och otympliga namn som tynger vid hänvisningar till de aktuella lagarna i annan lag. Dessutom kommer namnen knappast att kunna användas i det dagliga arbetet. Rimligen kommer lagarna att benämnas "Kriminalvårdens brottsdatalag", "Polisens brottsdatalag" osv., det vill säga de namn som utredningen föreslagit. Lagrådet förordar att lagarna enligt lagförslag 1, 8, 12, 13, 16, 20 och 21 ges de namn som utredningen föreslagit. Det nya namnet på lagen om register över tillträdesförbud vid idrottsarrangemang (lagförslag 15) överensstämmer redan med utredningens förslag. 12. Förslaget till lag om ändring i polisdatalagen 6 kap. 3 § Lagrådet förordar en utformning som närmare anknyter till gällande lydelse, med de anpassningar som brottsdatalagen kräver. Följande formulering föreslås. Personuppgifter som behandlas enligt 1 § första stycket 2 eller 5 eller andra stycket 2 eller 2 § andra stycket får om det är nödvändigt även behandlas för nya ändamål inom brottsdatalagens tillämpningsområde. I ett enskilt fall får personuppgifter som behandlas enligt 1 eller 2 § även behandlas för nya ändamål med stöd av 2 kap. 4 och 22 §§ brottsdatalagen. Övriga lagförslag Lagrådet lämnar förslagen utan erinran. Justitiedepartementet Utdrag ur protokoll vid regeringssammanträde den 14 juni 2018 Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Wallström, Y Johansson, M Johansson, Baylan, Andersson, Hellmark Knutsson, Bolund, Damberg, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Eriksson, Linde, Skog, Ekström, Fritzon, Eneroth Föredragande: statsrådet M Johansson Regeringen beslutar proposition Brottsdatalag - kompletterande lagstiftning