Post 1338 av 7187 träffar
Lag om flygpassageraruppgifter i brottsbekämpningen Prop. 2017/18:234
Ansvarig myndighet: Justitiedepartementet
Dokument: Prop. 234
Regeringens proposition
2017/18:234
Lag om flygpassageraruppgifter i brottsbekämpningen
Prop.
2017/18:234
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 19 april 2018
Stefan Löfven
Morgan Johansson
(Justitiedepartementet)
Propositionens huvudsakliga innehåll
I syfte att bekämpa terrorism och annan allvarlig brottslighet har myndigheter i flera länder i allt större utsträckning börjat samla in och analysera PNR-uppgifter. PNR är en förkortning av den engelska benämningen Passenger Name Record och avser uppgifter som passagerare lämnar vid bokning av flygresor och vid incheckning, t.ex. namn, resedatum, resväg, bagageinformation och betalningssätt. PNR-direktivet utgör ett unionsgemensamt regelverk för insamling och användning av PNR-uppgifter i viss brottsbekämpande verksamhet.
För att genomföra PNR-direktivet i svensk rätt föreslår regeringen en lag om flygpassageraruppgifter i brottsbekämpningen. Lagen innehåller bestämmelser om lufttrafikföretags skyldigheter att överföra PNR-uppgifter till enheten för passagerarinformation och om behandling av PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Lagen ska både tillgodose behovet av tillgång till PNR-uppgifter i sådan verksamhet och skydda människor mot att deras personliga integritet kränks vid behandlingen av uppgifterna. Enheten för passagerarinformation föreslås vara placerad vid Polismyndigheten.
Den nya lagen föreslås träda i kraft den 1 augusti 2018.
Innehållsförteckning
1 Förslag till riksdagsbeslut 6
2 Lagtext 7
2.1 Förslag till lag om flygpassageraruppgifter i brottsbekämpningen 7
2.2 Förslag till lag om ändring i polislagen (1984:387) 18
2.3 Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen 19
2.4 Förslag till lag om ändring i polisdatalagen (2010:361) 20
2.5 Förslag till lag om ändring i tullagen (2016:253) 21
2.6 Förslag till lag om ändring i tullbrottsdatalagen (2017:447) 22
3 Ärendet och dess beredning 23
4 PNR-direktivet 23
5 Dagens reglering och användning av PNR-uppgifter i brottsbekämpningen 24
6 EU:s dataskyddsreform 27
7 En ny lag om flygpassageraruppgifter i brottsbekämpningen 29
7.1 En ny lag och en kompletterande förordning 29
7.2 Lagens innehåll 34
7.3 Terroristbrottslighet och annan allvarlig brottslighet 37
7.4 Lagens syfte 40
7.5 Lagens förhållande till annan dataskyddsreglering 41
7.6 PNR-direktivets förhållande till den nuvarande regleringen om inhämtande av flygpassageraruppgifter 45
7.7 Vissa uttryck ska definieras 47
7.8 En enhet för passagerarinformation vid Polismyndigheten 48
7.9 Tillåten behandling av PNR-information 50
7.10 Förbud mot behandling av känsliga personuppgifter 50
8 Lufttrafikföretagens skyldigheter 52
8.1 Överföring av PNR-uppgifter till enheten för passagerarinformation 52
8.2 Vilka PNR-uppgifter ska överföras? 55
8.3 Överföringar ska ske vid två tillfällen 57
8.4 Överföringar vid andra tidpunkter 58
8.5 Uppgifterna ska överföras elektroniskt 58
8.6 Anlitande av personuppgiftsbiträde 60
8.7 Information till passagerare 61
9 Behandling av PNR-information vid enheten för passagerarinformation 62
9.1 En databas för PNR-uppgifter 62
9.2 Behandling av PNR-information ska ske i Sverige 63
9.3 Personuppgiftsansvar vid enheten för passagerarinformation 64
9.4 Personuppgiftsincident 65
9.5 Tillåtna ändamål för behandling av PNR-uppgifter från lufttrafikföretag 66
9.5.1 Förhandsbedömningar 67
9.5.2 Överföring till behöriga mottagare och tredjeland 68
9.5.3 Utformning av kriterier 69
9.5.4 Tillåten behandling vid förhandsbedömningar 70
9.5.5 Behandling av PNR-information från andra medlemsstater 72
9.6 Tillgången till PNR-information bör begränsas 73
9.7 Förbud mot direktåtkomst 74
9.8 Tid som PNR-uppgifterna ska bevaras 75
9.8.1 Tid för bevarande 75
9.8.2 PNR-uppgifter som inte omfattas av lagen eller som utgör känsliga personuppgifter ska omedelbart förstöras 78
9.9 Behörighetsbegränsning av vissa PNR-uppgifter 79
9.10 Dataskyddsombud 81
10 Överföring av PNR-information från enheten för passagerarinformation 83
10.1 Överföring av PNR-information till behöriga myndigheter i Sverige 83
10.2 Överföring till andra medlemsstater 87
10.2.1 Definition av medlemsstat 87
10.2.2 Överföring av PNR-information till enheter för passagerarinformation i andra medlemsstater 88
10.2.3 Överföring på begäran av en behörig myndighet i en annan medlemsstat 89
10.2.4 Överföring för att avvärja en specifik och faktisk fara 90
10.2.5 Enhetens inhämtande av PNR-uppgifter från andra medlemsstaters motsvarande enheter 91
10.3 Överföring till Europol 92
10.4 Överföring till tredjeland 94
10.4.1 Definition av tredjeland 94
10.4.2 Förutsättningar för överföring till tredjeland 95
10.4.3 Användningsbegränsningar för PNR-information som överförts till tredjeland 98
10.4.4 Överföring av PNR-information som enheten har fått från en annan medlemsstat 99
10.5 Överföring av behörighetsbegränsade PNR-uppgifter i sin fullständiga form 100
10.5.1 När får PNR-uppgifter som är behörighetsbegränsade överföras i sin fullständiga form? 100
10.5.2 Vem ska lämna tillstånd till att få ta del av fullständiga PNR-uppgifter? 102
11 Behöriga myndigheters behandling av PNR-information 105
11.1 Bevarande och förstöring av PNR-information 105
11.2 Förstöring av känsliga personuppgifter 107
11.3 Behandling av PNR-information för annan brottslighet 108
11.4 Automatiserade beslut 109
11.5 Behöriga myndigheters möjlighet att begära PNR-information från andra medlemsstater 110
12 Enskildas rättigheter 110
12.1 Rätt till information, rättelse, radering eller begränsning av behandlingen av personuppgifter 110
12.2 Rätt till skadestånd 112
13 Tillsyn 112
14 Sanktionsavgifter 114
14.1 Överträdelser av lufttrafikföretag 114
14.1.1 Val av sanktionsform 114
14.1.2 När ska sanktionsavgift få användas? 115
14.1.3 Sanktionsavgiftens storlek 117
14.1.4 Ansvarig myndighet och förfarandet vid beslut om sanktionsavgift 119
14.1.5 Betalning och verkställighet 120
14.1.6 Rätt att överklaga 121
14.2 Överträdelser av personuppgiftsansvarig myndighet 122
15 Sekretess 126
15.1 Behövs det några nya bestämmelser om sekretess till skydd för PNR-information? 126
15.2 Behövs det nya sekretessbrytande bestämmelser? 130
16 Konsekvenser 132
17 Ikraftträdande 136
18 Författningskommentar 137
18.1 Förslaget till lag om flygpassageraruppgifter i brottsbekämpningen 137
18.2 Förslaget till lag om ändring i polislagen (1984:387) 160
18.3 Förslaget till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen 160
18.4 Förslaget till lag om ändring i polisdatalagen (2010:361) 161
18.5 Förslaget till lag om ändring i tullagen (2016:253) 161
18.6 Förslaget till lag om ändring i tullbrottsdatalagen (2017:447) 161
Bilaga 1 PNR-direktivet 163
Bilaga 2 Rättelse till PNR-direktivet 181
Bilaga 3 Sammanfattning av betänkandet Lag om flygpassageraruppgifter i brottsbekämpningen (SOU 2017:57) 182
Bilaga 4 Betänkandets lagförslag 189
Bilaga 5 Förteckning över remissinstanserna 206
Bilaga 6 Lagrådsremissens lagförslag 207
Bilaga 7 Lagrådets yttrande 223
Utdrag ur protokoll vid regeringssammanträde den 19 april 2018 228
1
Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till
1. lag om flygpassageraruppgifter i brottsbekämpningen,
2. förslag till lag om ändring i polislagen (1984:387),
3. förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen,
4. förslag till lag om ändring i polisdatalagen (2010:361),
5. förslag till lag om ändring i tullagen (2016:253),
6. förslag till lag om ändring i tullbrottsdatalagen (2017:447).
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till lag om flygpassageraruppgifter i brottsbekämpningen
Härigenom föreskrivs följande.
1 kap. Inledande bestämmelser
Lagens innehåll
1 § Denna lag genomför Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, här benämnt PNR-direktivet. Med PNR-uppgifter avses i lagen uppgifter om varje enskild passagerare som har lämnats vid bokning av en flygresa och vid incheckning.
Lagen innehåller bestämmelser om lufttrafikföretags överföring av PNR-uppgifter till enheten för passagerarinformation och om behandling av PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Med terroristbrottslighet avses i lagen brott enligt artiklarna 3-12 och 14 i Europaparlamentets och rådets direktiv (EU) 2017/541 av den 15 mars 2017 om bekämpande av terrorism, om ersättande av rådets rambeslut 2002/475/RIF och om ändring av rådets beslut 2005/671/RIF.
Med annan allvarlig brottslighet avses i lagen de brott som anges i bilaga II till PNR-direktivet och för vilka det i Sverige eller andra medlemsstater är föreskrivet fängelse i tre år eller mer.
Lagens syfte
2 § Syftet med lagen är att tillgodose behovet av tillgång till PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och att skydda människor mot att deras personliga integritet kränks vid behandlingen av uppgifterna om dem.
Andra uttryck i lagen
3 § I lagen används följande uttryck med nedan angiven betydelse.
Uttryck
Betydelse
Behörighetsbegränsade PNR-uppgifter
Personuppgifter som har gjorts otillgängliga för en användare som saknar särskild behörighet för att få tillgång till uppgifterna.
Behörig mottagare
En behörig myndighet i Sverige, en enhet för passagerarinformation i en annan medlemsstat, en myndighet som har utsetts som behörig i en annan medlemsstat eller Europol.
Behörig myndighet
En myndighet utsedd av regeringen som har behörighet att behandla PNR-information i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Lufttrafikföretag
Ett företag som har giltig operativ licens eller motsvarande som ger rätt att mot ersättning utföra lufttransporter av passagerare, och som i sin normala verksamhet samlar in och behandlar PNR-uppgifter i ett elektroniskt system för hantering av reservationer.
Medlemsstat
En stat som är medlem i Europeiska unionen och har antagit PNR-direktivet.
Passagerare
Alla personer, förutom besättningsmedlemmar, som transporteras eller ska transporteras med ett flygplan och som finns upptagna i passagerarförteckningen.
PNR-information
PNR-uppgifter och resultatet av en enhet för passagerarinformations behandling av sådana uppgifter.
Tredjeland
En stat som inte är en medlemsstat.
Enhet för passagerarinformation
4 § Det ska vid Polismyndigheten finnas en enhet för passagerarinformation. Enheten ska ansvara för att
1. samla in PNR-uppgifter från lufttrafikföretag, bevara och i övrigt behandla uppgifterna, och
2. överföra PNR-information till behöriga mottagare och tredjeländer.
Tillåten behandling av PNR-information
5 § PNR-information får endast behandlas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, om inte annat anges i 6 § eller 5 kap. 3 §.
Nationell säkerhet
6 § Lagens bestämmelser om behandling av personuppgifter gäller inte för behöriga myndigheter i verksamhet som rör nationell säkerhet.
Enheten för passagerarinformation får behandla PNR-information när det är nödvändigt för att tillhandahålla uppgifter som behövs för sådan verksamhet.
Förbud mot behandling av känsliga personuppgifter
7 § PNR-uppgifter som utgör sådana personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas enligt lagen.
2 kap. Lufttrafikföretagens skyldigheter
Överföring av PNR-uppgifter till enheten för passagerarinformation
1 § Lufttrafikföretag ska till enheten för passagerarinformation inför varje flygning som ankommer till eller avgår från Sverige överföra sådana PNR-uppgifter som anges i bilagan till lagen. PNR-uppgifterna ska endast överföras i de fall lufttrafikföretagen samlar in uppgifterna som en del av sin normala verksamhet.
Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska det lufttrafikföretag som utför flygningen överföra PNR-uppgifter om samtliga passagerare.
2 § PNR-uppgifterna ska överföras
1. 24-48 timmar före flygningens avgång, och
2. omedelbart efter det att gatens dörrar har stängts.
Den andra överföringen får begränsas till uppdateringar och kompletteringar av de uppgifter som överfördes vid det första tillfället.
3 § Lufttrafikföretag ska på begäran av enheten för passagerarinformation överföra PNR-uppgifter även vid andra tidpunkter än de som anges i 2 §, om enheten bedömer att det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet.
4 § Lufttrafikföretag ska överföra PNR-uppgifterna elektroniskt. Enheten för passagerarinformation får inte medges direktåtkomst till PNR-uppgifter som behandlas vid lufttrafikföretagen.
5 § Lufttrafikföretag som är skyldiga att överföra PNR-uppgifter får anlita ett personuppgiftsbiträde för att utföra överföringen.
Information till passagerare
6 § Lufttrafikföretag ska informera passagerare om överföringen av PNR-uppgifter till enheten för passagerarinformation och om skälen till överföringen.
Rätt att meddela föreskrifter
7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om lufttrafikföretagens överföring av PNR-uppgifter till enheten för passagerarinformation.
3 kap. Behandling av PNR-information vid enheten för passagerarinformation
PNR-databas
1 § PNR-uppgifter som har överförts från ett lufttrafikföretag ska bevaras i en databas vid enheten för passagerarinformation.
2 § Enheten för passagerarinformation ska behandla PNR-informationen i Sverige.
Personuppgiftsansvar
3 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinformation.
Tillåtna ändamål för behandling av PNR-uppgifter
4 § Enheten för passagerarinformation får, om inte 1 kap. 6 § är tillämplig, endast behandla PNR-uppgifter som har överförts från ett lufttrafikföretag för att
1. göra en förhandsbedömning av passagerare före deras beräknade ankomst till eller avresa från Sverige i syfte att välja ut personer som behöver utredas ytterligare av behöriga myndigheter eller Europol, på grund av att dessa personer kan vara inblandade i terroristbrottslighet eller annan allvarlig brottslighet,
2. fullgöra sina uppgifter att överföra PNR-information till behöriga mottagare eller tredjeländer, eller
3. göra analyser för att uppdatera eller skapa nya kriterier som ska användas vid förhandsbedömningar.
5 § Vid en förhandsbedömning får PNR-uppgifter
1. jämföras med register eller andra uppgiftssamlingar som är relevanta för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, och
2. behandlas enligt på förhand utformade och fastställda kriterier som är riktade, proportionella och avgränsade och som inte grundas på sådana känsliga personuppgifter som avses i 1 kap. 7 §.
6 § Om enheten för passagerarinformation har mottagit PNR-information från motsvarande enheter i andra medlemsstater får enheten bara behandla informationen för att vidarebefordra den till behöriga myndigheter.
Tillgång till PNR-information
7 § Endast den som tjänstgör vid enheten för passagerarinformation och den som fullgör uppgifter enligt lagen får ha tillgång till PNR-information som behandlas vid enheten. Tillgången ska begränsas till vad han eller hon behöver för att kunna fullgöra sina arbetsuppgifter.
Förbud mot direktåtkomst
8 § Direktåtkomst till PNR-information som behandlas vid enheten för passagerarinformation får inte medges.
Tid som PNR-uppgifter ska bevaras
9 § PNR-uppgifter som behandlas vid enheten för passagerarinformation ska bevaras i fem år från det att de kommit in från ett lufttrafikföretag. Därefter ska de förstöras.
10 § PNR-uppgifter som inte anges i bilagan till lagen eller som utgör sådana känsliga personuppgifter som avses i 1 kap. 7 § ska omedelbart förstöras om de kommer in till enheten för passagerarinformation.
Behörighetsbegränsning av PNR-uppgifter
11 § Följande PNR-uppgifter ska behörighetsbegränsas sex månader efter att de har kommit in från ett lufttrafikföretag om de kan användas för att identifiera en person:
1. namn på passagerare,
2. antal passagerare som reser tillsammans,
3. adress och kontaktuppgifter,
4. alla former av betalningsinformation, inklusive faktureringsadress,
5. uppgifter om bonusprogram,
6. allmänna anmärkningar, och
7. uppgifter enligt punkt 18 i bilagan till lagen.
Dataskyddsombud
12 § Polismyndigheten ska utse ett dataskyddsombud för enheten för passagerarinformation.
Dataskyddsombudet ska ha tillgång till alla uppgifter som behandlas vid enheten.
13 § Dataskyddsombudet vid enheten för passagerarinformation ansvarar för att fullgöra de uppgifter som anges i 3 kap. 14 § brottsdatalagen (2018:000).
En enskild ska ha rätt att kontakta dataskyddsombudet i alla frågor som rör behandling av hans eller hennes PNR-uppgifter enligt denna lag.
14 § Om dataskyddsombudet vid enheten för passagerarinformation anser att den personuppgiftsansvarige bryter mot bestämmelser för behandling av PNR-uppgifter, ska han eller hon anmäla det till tillsynsmyndigheten.
Rätt att meddela föreskrifter
15 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om enheten för passagerarinformations behandling av PNR-information och dataskyddsombudets uppgifter.
4 kap. Överföring av PNR-information från enheten
för passagerarinformation
Överföring till behöriga myndigheter
1 § Enheten för passagerarinformation ska så snart som möjligt överföra PNR-information till en eller flera behöriga myndigheter för att
1. en vidare granskning ska göras av PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning,
2. besvara en begäran från en behörig myndighet om att ta del av PNR-information, eller
3. vidarebefordra PNR-information som har mottagits från en motsvarande enhet i en annan medlemsstat.
En befattningshavare vid enheten ska före överföring enligt första stycket 1 bedöma om PNR-informationen är relevant för vidare granskning av den behöriga myndigheten.
Överföring till andra medlemsstater
2 § Enheten för passagerarinformation ska så snart som möjligt överföra PNR-information till en motsvarande enhet i en annan medlemsstat för att
1. en vidare granskning ska göras av PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning, eller
2. besvara en begäran från enheten i den andra medlemsstaten om att ta del av PNR-information.
En befattningshavare vid enheten ska före överföring enligt första stycket 1 bedöma om PNR-informationen är relevant för vidare granskning i den andra medlemsstaten.
3 § När det i ett enskilt brådskande fall är absolut nödvändigt ska enheten för passagerarinformation besvara en begäran från en myndighet som har utsetts som behörig i en annan medlemsstat och överföra PNR-information direkt till den myndigheten.
4 § När det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet, ska enheten för passagerarinformation på begäran av en motsvarande enhet i en annan medlemsstat inhämta PNR-uppgifter vid andra tidpunkter än de som anges i 2 kap. 2 § och överföra dessa till den enhet som har begärt dem.
Överföring till Europol
5 § Enheten för passagerarinformation ska så snart som möjligt överföra PNR-information till Europol för att
1. en vidare granskning ska göras av PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning, eller
2. besvara en begäran från Europol om att ta del av PNR-information.
En befattningshavare vid enheten ska före överföring enligt första stycket 1 bedöma om PNR-informationen är relevant för vidare granskning av Europol.
Villkor för överföring
6 § Överföring enligt 1 § första stycket 2, 2 § första stycket 2, 3 § och 5 § första stycket 2 får endast ske om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Överföring till tredjeland
7 § Enheten för passagerarinformation får besvara en begäran och överföra PNR-information till en myndighet i ett tredjeland som är behörig att bedriva verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. PNR-information får överföras under förutsättning att
1. överföringen omfattas av ett beslut om adekvat skyddsnivå, tillräckliga skyddsåtgärder eller ett undantag för särskilda situationer enligt 8 kap. 1 § första stycket 3 brottsdatalagen (2018:000),
2. överföringen är nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, och
3. tredjelandet har godtagit att uppgifterna får vidareöverföras till ett annat tredjeland endast om det är absolut nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och efter det att ett uttryckligt medgivande till vidareöverföringen har inhämtats från enheten för passagerarinformation.
8 § Enheten för passagerarinformation ska vid överföring av PNR-information till ett tredjeland ställa upp villkor som begränsar möjligheten att använda informationen i strid med lagens syften.
9 § Om enheten för passagerarinformation har fått PNR-information från en annan medlemsstat krävs ett medgivande från den medlemsstaten till överföringen enligt 8 kap. 2 § första stycket brottsdatalagen (2018:000).
Om medgivande till överföringen på grund av tidsbrist inte kan hämtas in i förväg, får informationen ändå överföras om det är absolut nödvändigt för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet.
Rätt att meddela föreskrifter
10 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om uppställande av villkor vid överföring till tredjeland och om information till en annan medlemsstat när PNR-information har överförts utan förhandsmedgivande.
Överföring av behörighetsbegränsade PNR-uppgifter i sin fullständiga form
11 § PNR-uppgifter som är behörighetsbegränsade enligt 3 kap. 11 § får endast överföras i sin fullständiga form till behöriga mottagare eller ett tredjeland om det rimligen kan antas vara nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Om en förundersökning pågår ska en begäran från en behörig myndighet om att få tillgång till fullständiga PNR-uppgifter beslutas av en åklagare.
I de fall som inte omfattas av andra stycket krävs att tillstånd till överföringen har lämnats av Polismyndigheten.
5 kap. Behöriga myndigheters behandling av PNR-information
Förstöring av PNR-information
1 § En behörig myndighet som har mottagit PNR-information från enheten för passagerarinformation efter enhetens förhandsbedömning ska omedelbart förstöra informationen om den visar sig sakna betydelse för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
2 § Om en behörig myndighet mottar PNR-uppgifter som utgör sådana känsliga personuppgifter som avses i 1 kap. 7 § ska uppgifterna omedelbart förstöras.
Behandling av PNR-information för annan brottslighet
3 § Om det har kommit fram uppgifter om ett annat brott än terroristbrottslighet eller annan allvarlig brottslighet i samband med en brottsbekämpande åtgärd som en behörig myndighet vidtar till följd av behandling av PNR-information, får informationen, utöver vad som anges i 1 kap. 5 §, användas för att förhindra, utreda eller lagföra brottet.
Automatiserade beslut
4 § Ett beslut som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne får inte enbart grundas på en automatiserad behandling av PNR-uppgifter.
Rätt att meddela föreskrifter
5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om behöriga myndigheters inhämtande av PNR-information.
6 kap. Sanktionsavgifter
Överträdelser av lufttrafikföretag
1 § En sanktionsavgift ska tas ut av ett lufttrafikföretag som inte har överfört PNR-uppgifter enligt bestämmelserna i denna lag eller föreskrifter som har meddelats i anslutning till lagen.
2 § Sanktionsavgiften ska för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet bestämmas till lägst 20 000 kronor och högst 100 000 kronor. När sanktionsavgiftens storlek fastställs ska särskild hänsyn tas till antal passagerare på flygningen och om lufttrafikföretaget tidigare har begått en överträdelse.
Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
3 § Polismyndigheten beslutar om sanktionsavgift för lufttrafikföretag.
Sanktionsavgiften tillfaller staten.
4 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från den dag då överträdelsen ägde rum.
5 § En sanktionsavgift ska betalas till Polismyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften fick laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska Polismyndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
Avgiften faller bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet fick laga kraft.
6 § Polismyndighetens beslut om sanktionsavgift får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Överträdelser av personuppgiftsansvarig myndighet
7 § En sanktionsavgift får tas ut av en personuppgiftsansvarig myndighet vid överträdelse av bestämmelserna i
1. 1 kap. 5 eller 7 §,
2. någon av 3 kap. 2 eller 4-11 §§,
3. 4 kap. 7, 9 eller 11 §, eller
4. 5 kap. 1, 2 eller 4 §.
8 § Vad som anges i 6 kap. 3 § tredje stycket och 4-8 §§ brottsdatalagen (2018:000) ska tillämpas när en sanktionsavgift tas ut enligt 7 §.
Sanktionsavgiften ska vara högst 10 000 000 kronor.
Det framgår av 7 kap. 3 § brottsdatalagen att tillsynsmyndighetens beslut om sanktionsavgift kan överklagas.
Rätt att meddela föreskrifter
9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om sanktionsavgifter enligt denna lag.
7 kap. Övriga bestämmelser
Enskildas rättigheter
1 § Vid behandling i strid med 1 kap. 5 eller 7 § eller 3 kap. 9 § ska 4 kap. 10 § brottsdatalagen (2018:000) om en registrerads rätt till radering eller begränsning av behandling av personuppgifter tillämpas.
2 § Vid behandling i strid med bestämmelser till skydd för personuppgifter i denna lag eller föreskrifter som har meddelats i anslutning till lagen ska bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) tillämpas.
Tillsyn
3 § Tillsyn över personuppgiftsbehandling enligt denna lag ska utföras av den nationella tillsynsmyndigheten enligt brottsdatalagen (2018:000) och i enlighet med bestämmelserna om tillsyn i den lagen.
Denna lag träder i kraft den 1 augusti 2018.
Bilaga
PNR-uppgifter som enligt 2 kap. 1 § ska överföras från lufttrafikföretag till enheten för passagerarinformation:
1. PNR-uppgifternas lokaliseringskod,
2. datum för bokning och utfärdande av biljett,
3. planerat eller planerade resedatum,
4. namn,
5. adress och kontaktuppgifter (telefonnummer och e-postadress),
6. all betalningsinformation, inklusive faktureringsadress,
7. fullständig resplan,
8. uppgifter om bonusprogram,
9. resebyrå eller reseagent,
10. passagerarens resestatus, inklusive resebekräftelser, incheckningsstatus, upplysningar om passagerare som inte infinner sig och passagerare utan bokning,
11. delade PNR-uppgifter,
12. allmänna anmärkningar, inklusive alla tillgängliga uppgifter om ensamresande barn under 18 år, såsom namn, kön, ålder, språkkunskaper, namn och kontaktuppgifter för den person som följer barnet till incheckning för avresan och denna persons förhållande till barnet, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet samt flygplatspersonal som ledsagar barnet vid avresan respektive ankomsten,
13. biljettinformation, inklusive biljettnummer, datum för utfärdande av biljetten, enkelbiljetter och automatisk biljettprisuppgift,
14. platsnummer och annan platsinformation,
15. information om gemensam linjebeteckning,
16. all bagageinformation,
17. antal medresenärer och deras namn,
18. all eventuell förhandsinformation (API-uppgifter) som har samlats in, inklusive typ av identitetshandling, identitetshandlingens nummer, utfärdandeland, sista giltighetsdag, nationalitet, efternamn, förnamn, kön, födelsedatum, lufttrafikföretag, flygnummer, utresedatum, ankomstdatum, avreseflygplats, ankomstflygplats, avresetid och ankomsttid, och
19. alla ändringar som har gjorts av de PNR-uppgifter som anges i punkt 1-18.
2.2 Förslag till lag om ändring i polislagen (1984:387)
Härigenom föreskrivs att 25 § polislagen (1984:387) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
25 §
Ett transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige ska på begäran av Polismyndigheten eller Säkerhetspolisen skyndsamt lämna de aktuella uppgifter om ankommande och avgående transporter, som företaget har tillgång till. Transportföretaget har endast skyldighet att lämna de uppgifter om passagerare som avser namn, resrutt, bagage och medpassagerare samt sättet för betalning och bokning.
Polismyndigheten får begära uppgifter enligt första stycket endast om uppgifterna kan antas ha betydelse för den brottsbekämpande verksamheten.
Lufttrafikföretag som omfattas av skyldigheten att överföra uppgifter enligt lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen är endast skyldiga att lämna uppgifter i enlighet med första och andra styckena om de behövs i verksamhet som rör nationell säkerhet.
Denna lag träder i kraft den 1 augusti 2018.
2.3 Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns
mot ett annat land inom Europeiska unionen
Härigenom föreskrivs att 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
15 §
Transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige skall på begäran av Tullverket skyndsamt lämna de aktuella uppgifter om ankommande och avgående transporter, som företaget har tillgång till. Transportföretag har endast skyldighet att lämna de uppgifter om passagerare som avser namn, resrutt, bagage och medpassagerare samt sättet för betalning och bokning.
Tullverket får begära uppgifter enligt första stycket endast om uppgifterna kan antas ha betydelse för Tullverkets brottsbekämpande verksamhet.
Vad som anges i första och andra styckena ska inte gälla lufttrafikföretag som omfattas av skyldigheten att överföra uppgifter enligt lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen.
Denna lag träder i kraft den 1 augusti 2018.
2.4 Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs att det i polisdatalagen (2010:361) ska införas en ny paragraf, 1 kap. 4 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
4 a §
I lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen och i föreskrifter som regeringen har meddelat i anslutning till den lagen finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
Denna lag träder i kraft den 1 augusti 2018.
2.5 Förslag till lag om ändring i tullagen (2016:253)
Härigenom föreskrivs att det i tullagen (2016:253) ska införas en ny paragraf, 4 kap. 6 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
4 kap.
6 a §
Vad som anges i 6 § ska inte gälla lufttrafikföretag som omfattas av skyldigheten att överföra uppgifter enligt lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen.
Denna lag träder i kraft den 1 augusti 2018.
2.6 Förslag till lag om ändring i tullbrottsdatalagen (2017:447)
Härigenom föreskrivs att 2 kap. 8 § tullbrottsdatalagen (2017:447) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 kap.
8 §
Personuppgifter som har lämnats till Tullverket från transportföretag enligt 4 kap. 6 § tullagen (2016:253) eller 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen får behandlas i den utsträckning det är tillåtet enligt dessa lagar och enbart i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt.
Om det behövs i ett enskilt fall får sådana personuppgifter behandlas för något annat ändamål som anges i 5 § och göras gemensamt tillgängliga.
I lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen och i föreskrifter som regeringen har meddelat i anslutning till den lagen finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
Denna lag träder i kraft den 1 augusti 2018.
3 Ärendet och dess beredning
Den 27 april 2016 antog Europaparlamentet och rådet direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (nedan kallat PNR-direktivet). Direktivet ska vara genomfört i svensk rätt senast den 25 maj 2018. Direktivet och rättelse av detta bifogas som bilaga 1 och 2.
I mars 2016 gav regeringen en särskild utredare i uppdrag att föreslå hur PNR-direktivet ska genomföras i svensk rätt (dir. 2016:22). Utredningen som antog namnet PNR-utredningen (Ju 2016:07), överlämnade betänkandet Lag om flygpassageraruppgifter i brottsbekämpningen (SOU 2017:57) den 20 juni 2017. En sammanfattning av betänkandet och dess lagförslag finns i bilaga 3 och 4. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2017/05570/L4).
Lagrådet
Regeringen beslutade den 1 mars 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 6. Lagrådets yttrande finns i bilaga 7. Regeringen följer i allt väsentligt Lagrådets synpunkter. Lagrådets synpunkter behandlas i avsnitten 9.2, 9.10, 10.1, 10.2.2, 10.3, 14.1.3, 14.1.5 och 14.1.6 och i författningskommentaren. Vissa redaktionella och språkliga ändringar har gjorts i förhållande till lagrådsremissens lagförslag.
4 PNR-direktivet
Bakgrund
Terroristattentat har under senare årtionden lett till nya initiativ för att förbättra säkerheten. Samtidigt har den internationella organiserade brottsligheten ökat. Organiserad brottslighet och terrorism är företeelser som ofta inbegriper internationella resor. Som en följd av detta har myndigheter i flera länder i allt större utsträckning börjat samla in och analysera flygpassageraruppgifter (PNR-uppgifter) i syfte att bekämpa terrorism och annan allvarlig brottslighet.
Ett unionsgemensamt regelverk för insamling och användning av PNR-uppgifter i brottsbekämpande verksamhet har diskuterats under flera år. År 2007 överlämnade kommissionen ett förslag till rådets rambeslut om användande av PNR-uppgifter i brottsbekämpningssyfte. Förslaget förhandlades under två år men blev inaktuellt när Lissabonfördraget trädde i kraft 2009. År 2011 lade kommissionen fram ett förslag till direktiv om användning av PNR-uppgifter för bekämpande av terroristbrott och allvarliga brott. Förslaget syftade till att enhetligt reglera insamling, sparande och behandling av flygpassageraruppgifter. I huvudsak fanns det två skäl till förslaget. Det första var att bidra till medlemsstaternas möjligheter att bekämpa och skydda medborgarna från allvarliga brott, inklusive terroristbrottslighet. Det andra var att undvika utvecklandet av olika PNR-system inom EU vilket skulle kunna leda till rättsosäkerhet, ökade kostnader och risk för bristande skydd för den personliga integriteten.
Rådet var tidigt positivt till förslaget. Europaparlamentet dröjde dock länge med att ta ställning, bl.a. eftersom det ansågs behövas ett starkare skydd för den personliga integriteten. Efter år av förhandlingar och sedan ett antal terroristattentat genomförts i Europa, kom rådet och parlamentet i december 2015 överens om ett gemensamt förslag till reglering.
Direktivets innehåll och syfte
PNR är en förkortning av den engelska benämningen Passenger Name Record. I den svenska versionen av direktivet har detta begrepp översatts till passageraruppgiftssamling och PNR-uppgifter. Det som åsyftas är uppgifter som passagerare lämnar vid bokning av flygresor samt vid incheckning. Uppgifterna kan till exempel avse namn, resedatum, resväg, bagageinformation och betalningssätt.
PNR-direktivet utgör ett uniongemensamt regelverk för insamling och användning av PNR-uppgifter i viss brottsbekämpande verksamhet. Uppgifterna kan t.ex. användas för att sålla ut tidigare okända passagerare som skulle kunna vara intressanta för myndigheterna att kontrollera. PNR-uppgifterna kan även användas i samband med brottsutredningar eller för att analysera och fastställa misstänkta rese- och beteendemönster.
Direktivet reglerar skyldigheten för lufttrafikföretag att överföra redan insamlade uppgifter till enheter för passagerarinformation i medlemsstaterna. Direktivet anger också för vilka ändamål uppgifterna får behandlas samt hur länge uppgifterna får och ska lagras och under vilka förutsättningar de ska överföras till olika mottagare. Målen för direktivet är bl.a. att trygga säkerheten, skydda personers liv och säkerhet samt att inrätta en rättslig ram till skydd för PNR-uppgifterna vid behöriga myndigheters behandling av dessa.
Direktivet är indelat i fyra kapitel och innehåller sammanlagt 22 artiklar. Artiklarnas innehåll redovisas i anslutning till regeringens överväganden om artiklarnas implementering.
5 Dagens reglering och användning av PNR-uppgifter i brottsbekämpningen
Polismyndigheten och Säkerhetspolisen
Brottsbekämpande myndigheter hanterar redan i dag information från transportföretag, inklusive flygbolag, för brottsbekämpande ändamål. Flygbolagen är under vissa förutsättningar skyldiga att överlämna uppgifter om sina passagerare till brottsbekämpande myndigheter.
För Polismyndighetens och Säkerhetspolisens del regleras detta i 25 och 26 §§ polislagen (1984:387). På begäran av Polismyndigheten eller Säkerhetspolisen ska ett transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige skyndsamt lämna de aktuella uppgifter om ankommande och avgående transporter som företaget har tillgång till. Uppgifter om passagerare ska avse namn, resrutt, bagage, medpassagerare samt sättet för betalning och bokning. Polisen får begära in uppgifterna endast om de kan antas ha betydelse för den brottsbekämpande verksamheten. I övrigt innehåller regleringen ingen begränsning i fråga om för vilken slags brottslighet uppgifterna får användas. Avsikten är dock inte att uppgifterna ska begäras in för att bekämpa rena bagatellbrott. Detta framgår redan av proportionalitetsprincipen i 8 § polislagen (se prop. 1996/97:175 s. 68).
Uppgifterna kan lämnas genom terminalåtkomst dvs. direktåtkomst. Detta innebär att myndigheterna har möjlighet att söka direkt i lufttrafikföretagens databaser. Polismyndigheten och Säkerhetspolisen får emellertid ta del av uppgifterna på detta sätt endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Regleringen är inte avsedd att tillåta någon systematisk kartläggning av resandeströmmar eller något generellt insamlande av uppgifter. Det är inte heller avsett att uppgifter om resande ska registreras, bevaras eller bearbetas på ett sådant sätt att personregister med uppgifter om resande skapas. Uppgifter som inhämtas genom terminalåtkomst anses fortfarande tillhöra och förvaras hos transportföretaget (jfr prop. 1995/96:166 s. 84). Uppgifter om enskilda som har lämnats ut på annat sätt än genom terminalåtkomst ska omedelbart förstöras, om de visar sig sakna betydelse för utredning eller lagföring av brott. För det fall uppgifterna anses ha betydelse för utredning eller lagföring får informationen sparas i enskilda brottsutredningar med stöd av bestämmelserna i polisdatalagen (2010:361).
Polismyndigheten arbetar i dag i en begränsad omfattning med PNR-uppgifter för att förhindra allvarlig brottslighet i form av narkotikasmuggling, människosmuggling och penningtvätt. PNR-uppgifterna används både för att hitta kända personer och för att leta efter mönster som kan indikera att en person är av intresse, s.k. profilering. Endast ett flygbolag tillhandahåller terminalåtkomst till sitt bokningssystem. De PNR-uppgifter som behandlas utgörs främst av sådan information som finns tillgänglig på de passagerarlistor som flygbolagen manuellt tillhandahåller vid förfrågan. Vid sådana förfrågningar kan uppgifterna överlämnas i pappersform från flygbolagen över disk. Uppgifterna kan även levereras via fax eller e-post. Kvaliteten på informationen skiljer sig åt då flygbolagen har olika reservations- och incheckningssystem. Även analysen av de uppgifter som inhämtas sker manuellt eftersom Polismyndigheten saknar tekniskt stöd för hantering av uppgifterna. Varje passagerare hanteras individuellt vilket är ett tidskrävande arbete. Arbetet ställer också höga krav på analytikern eftersom antalet parametrar som ska granskas kan vara stort. Bristen på it-stöd hindrar en kontinuerlig bevakning då antalet resenärer är för stort för att uppgifterna ska kunna hanteras manuellt. Analysarbetet blir också extremt krävande med långa handläggningstider och innebär att enbart ett fåtal av alla resenärer kan profileras.
Säkerhetspolisen arbetar i dag med insamling av PNR-uppgifter i sitt arbete med kontraterrorism, kontraspionage, författningsskydd och personskydd. PNR-uppgifter används främst för kartläggning. Vid de tillfällen då PNR-uppgifter behövs tas en direktkontakt med det flygbolag som bedöms kunna ge efterfrågade uppgifter. Säkerhetspolisen saknar terminalåtkomst till system som lagrar PNR-uppgifter. Vissa passageraruppgifter kan komma myndigheten till handa via myndighetssamverkan. Säkerhetspolisen saknar tekniskt stöd för hantering av PNR-uppgifter och all hantering sker manuellt. Underlaget är varierande beroende på vilket flygbolag som har levererat uppgifterna och det krävs ett stort manuellt arbete för att mata in informationen i analyssystemen.
Tullverket
Även Tullverket har till uppgift att bl.a. bekämpa brott. I den brottsbekämpande verksamheten har Tullverket till uppgift att förebygga och motverka brottslighet i samband med in- och utförsel av varor. Det är Polismyndigheten som ansvarar för personkontrollen vid våra yttre gränser, medan Tullverket svarar för varukontrollen.
I likhet med Polismyndigheten och Säkerhetspolisen har Tullverket i dag möjlighet att inhämta vissa passageraruppgifter från transportföretag om uppgifterna kan antas ha betydelse för dess brottsbekämpande verksamhet. Bestämmelserna finns i 4 kap. 6-8 §§ tullagen (2016:253) samt i 15 och 16 §§ lagen (1996:701) om Tullverkets befogenhet vid Sveriges gräns mot ett annat land inom Europeiska unionen. Bestämmelserna motsvarar de i 25 och 26 §§ polislagen. Kompletterande bestämmelser finns i 4 kap. 4-9 §§ tullförordningen (2016:287) och i 3-7 §§ förordningen (1996:702) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen. Användningen av passageraruppgifter inom Tullverket regleras i övrigt i 2 kap. 8 och 9 §§ tullbrottsdatalagen (2017:447).
Tullverket är den myndighet som i störst utsträckning använder PNR-uppgifter i dag. Uppgifterna används främst för att upptäcka brottslighet i form av smuggling av bl.a. narkotika och dopningsmedel.
Tullverket begär in eller hämtar själv in PNR-uppgifter från flygbolagen. Tullverket har terminalåtkomst till vissa flygbolags bokningssystem. Uppgifterna skickas även till Tullverket från flygbolagen via e-post eller fax. Informationen inkommer i ett stort antal olika format. För att underlätta en snabb och effektiv sökning för planering och urval av lämpliga kontrollobjekt formateras uppgifterna om till ett användarvänligt format och sammanställs elektroniskt. Sammanställningen sker i ett avgränsat system. Tullverket har således visst systemstöd till sin hjälp vid överföringen av uppgifterna. All inhämtning, profilering och analys av uppgifterna hanteras dock manuellt. Tullverket använder PNR-uppgifter för att profilera sedan tidigare okända personer.
Tullverket har dagligen åtkomst till bokningsuppgifter från 32 flygbolag, antingen via terminalåtkomst eller genom att flygbolagen skickar sina uppgifter till Tullverket. Hur stor del av dessa uppgifter som Tullverket faktiskt tar del av varierar.
Alla grova narkotikabeslag i passagerartrafiken 2015 på Arlanda var baserade på tillgång till PNR-uppgifter. Alla gripna kurirer var tidigare okända för svenska myndigheter. Samtliga beslag avsåg flygningar inom EU.
API-uppgifter
PNR-uppgifter bör skiljas från s.k. API-uppgifter (Advance Passenger Information). API-uppgifter avser främst sådan information som finns på passets maskinläsbara del, såsom namn, födelsedatum, nationalitet och passnummer. I rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (API-direktivet) regleras transportörers skyldighet att på begäran förse nationella myndigheter med sådana passageraruppgifter inför resor från länder som inte tillhör Europeiska unionen och inte heller har träffat avtal om samarbete enligt Schengenkonventionen med konventionsstaterna. API-direktivet syftar till att förbättra gränskontrollerna och bekämpa olaglig invandring. Direktivet har genomförts i svensk rätt främst genom nya bestämmelser i utlänningslagen (2005:716) och lagen (2006:444) om passagerarregister.
API-uppgifter används huvudsakligen som ett verktyg för identifiering. Uppgifterna kan därmed användas som ett led i gränskontrollerna. API-uppgifterna kan dock även användas av brottsbekämpande myndigheter för att identifiera misstänkta och eftersökta personer. Uppgifterna kan även komma till användning i underrättelsearbetet med att exempelvis kartlägga var vissa personer har befunnit sig vid olika tidpunkter. Transportörers uppgiftsskyldighet m.m. regleras i 9 kap. 3 a-f §§ utlänningslagen. Bestämmelser om behandlingen av de uppgifter som överförts till Polismyndigheten enligt 9 kap. 3 a § utlänningslagen finns i lagen om passagerarregister.
6 EU:s dataskyddsreform
Europeiska unionen har enats om en genomgripande dataskyddsreform som ska vara genomförd under våren 2018. Reformen omfattar dels Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad dataskyddsförordningen, dels Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här kallat dataskyddsdirektivet.
Dataskyddsförordningen
Dataskyddsförordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och kommer att ersätta dataskyddsdirektivet från 1995. Förordningen, som är direkt tillämplig, kommer att utgöra den generella regleringen för skyddet av personuppgifter inom EU. Den kommer därigenom att gälla t.ex. för lufttrafikföretags behandling av PNR-uppgifter.
Förordningen reglerar bl.a. grundläggande principer för behandling av personuppgifter, den registrerades rättigheter, personuppgiftsansvar, tillsyn över personuppgiftsbehandling och rätten för enskilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav.
Regeringen har den 15 februari 2018 beslutat propositionen Ny dataskyddslag. I propositionen föreslås att personuppgiftslagen upphävs och att en ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning införs.
Dataskyddsdirektivet
Dataskyddsdirektivet ska dels skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt. Direktivet ersätter dataskyddsrambeslutet. I förhållande till nuvarande svensk reglering innehåller det nya dataskyddsdirektivet en delvis ny eller mer detaljerad reglering om rättigheter för enskilda och om skyldigheter för personuppgiftsansvariga eller biträden när det gäller bl.a. datasäkerhet, dokumentation och loggning, konsekvensanalyser och förhandssamråd med tillsynsmyndighet och regler om underrättelser vid s.k. personuppgiftsincidenter. Direktivet innehåller också regler som anpassats för rättsaktens tillämpningsområde om överföring av personuppgifter till tredjeland och internationella organisationer. Även när det gäller uppgifter och befogenheter för en tillsynsmyndighet innehåller direktivet särskilt anpassade bestämmelser. Enligt direktivet har enskilda vissa rättigheter, bl.a. att få vända sig till en tillsynsmyndighet med klagomål, att få tillgång till rättsmedel både mot tillsynsmyndighetens beslut och mot åtgärder av en personuppgiftsansvarig eller biträde samt att få ersättning av ansvariga som inte lever upp till direktivets krav. Direktivet förpliktar även medlemsstater att föreskriva regler om sanktioner vid överträdelser av bestämmelser som genomför direktivet.
Regeringen har den 19 april 2018 beslutat propositionen Brottsdatalag. I propositionen föreslås att direktivet i huvudsak ska genomföras genom en ny ramlag, brottsdatalagen. Enligt förslaget ska lagen vara generellt tillämplig inom det område som direktivet reglerar. Lagen ska vara subsidiär till annan lagstiftning. Den föreslagna lagen ska tillämpas av myndigheter som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder vid behandling av personuppgifter. Lagen ska också gälla för personuppgiftsbehandling vid upprätthållande av allmän ordning och säkerhet. Myndigheter som har sådana arbetsuppgifter betecknas som behöriga myndigheter. Lagen ska även tillämpas av andra aktörer som har fått i uppgift att utöva myndighet för något av de nämnda syftena.
De myndigheter som bedriver verksamhet inom brottsdatalagens tillämpningsområde har i allmänhet särskilda registerförfattningar som reglerar personuppgiftsbehandlingen. I lagrådsremissen Brottsdatalag - kompletterande lagstiftning föreslås de anpassningar som krävs i berörda registerförfattningar.
7 En ny lag om flygpassageraruppgifter i brottsbekämpningen
7.1 En ny lag och en kompletterande förordning
Regeringens förslag: PNR-direktivet ska i huvudsak genomföras genom en ny lag. Lagen ska benämnas lagen om flygpassageraruppgifter i brottsbekämpningen.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna är positiva eller har i huvudsak inget att invända mot förslaget. Polismyndigheten, Säkerhetspolisen, Tullverket och Åklagarmyndigheten välkomnar genomförandet av PNR-direktivet och anser att det kommer att bidra till att öka effektiviteten i de brottsutredande myndigheternas arbete och stärka förmågan att bekämpa terrorism och annan allvarlig brottslighet. Även Ekobrottsmyndigheten är positiv till förslaget. Hovrätten för Nedre Norrland bedömer att inhämtande av PNR-uppgifter kan vara ett bra verktyg i den brottsbekämpande verksamheten, förutsatt att kravet på skydd för uppgifterna och de enskildas integritet efterlevs. Även Polisförbundet, som är positivt inställt till införandet, lyfter fram vikten av att den personliga integriteten upprätthålls och att det måste finnas en vaksamhet mot den inskränkning av rätten till privatliv och dataskydd som lagringen kan innebära. Stockholms tingsrätt menar att förslaget är väl övervägt och balanserar integritetsskyddsaspekter på ett bra sätt. Advokatsamfundet avstyrker förslaget och anser att en förutsättning för att direktivet ska kunna genomföras i svensk rätt är att de rättssäkerhetsgarantier som EU-domstolen pekat på i sitt yttrande över EU:s avtal om överföring av PNR-uppgifter till Kanada beaktas. Även Polismyndigheten, Säkerhetspolisen och Stockholms tingsrätt framhåller vikten av att EU-domstolens yttrande analyseras i det fortsatta lagstiftningsarbetet. Svenska Journalistförbundet ifrågasätter om regleringen är förenlig med Europeiska unionens stadga om de grundläggande rättigheterna och bestämmelserna om rätt till respekt för privatliv och skydd för personuppgifter. Förbundet anser vidare att regleringen innebär en inskränkning av den personliga integriteten och rörelsefriheten som skyddas av 2 kap. 6 och 8 §§ regeringsformen (RF). Polismyndigheten föreslår att överföringsskyldigheten ska utökas genom att resebyråer och researrangörer åläggs att överföra samtliga PNR-uppgifter som de samlar in som ett led i sin normala verksamhet till lufttrafikföretagen. Om så inte sker anser Polismyndigheten att det endast kommer att finnas ytterst begränsade PNR-uppgifter att tillgå rörande merparten av samtliga flygpassagerare vilket kraftigt begränsar enhetens möjlighet att vara framgångsrik i sina tilltänkta arbetsuppgifter och står i motsats till PNR-direktivets primära syfte att ge bättre verktyg mot terrorism och annan allvarlig brottslighet. Säkerhetspolisen delar Polismyndighetens synpunkter. Säkerhetspolisen anser att det är angeläget att ett arbete inleds snarast för att se över hur också resebyråer och researrangörer kan åläggas en skyldighet att via lufttrafikföretagen lämna PNR-uppgifter till den nationella enheten för passagerarinformation. Även Åklagarmyndigheten, Tullverket, TULL-KUST och Ekobrottsmyndigheten anser att det finns skäl att fortsatt bevaka frågan. Svenska resebyrå- och arrangörsföreningen anser att ett utvidgat ansvar till att avse annan aktör än flygbolagen skulle motverka syftet med direktivet och leda till ökade risker för felaktig information då det är flygbolagen som har den senaste uppdaterade informationen. Svenska flygbranschen anser att resebyråer och researrangörer redan i dag överför PNR-uppgifter till flygbolagen och att överföringsskyldigheten inte bör utvidgas och framhåller att det medför krav på investeringar i nya system om charterbolag åläggs att överföra ytterligare information. Polismyndigheten föreslår att den nya lagen ska heta lagen om flygpassagerarinformation i brottsbekämpningen.
Skälen för regeringens förslag
En ny reglering i lag
PNR-direktivet innehåller flera nyheter i jämförelse med gällande svensk lagstiftning. Genom direktivet åläggs lufttrafikföretag att överföra PNR-uppgifter till en enhet för passagerarinformation på flygresor utanför EU. Medlemsstaterna kan även på frivillig grund tillämpa direktivet på flygresor inom EU. Lufttrafikföretag är i dag endast skyldiga att på begäran lämna över vissa uppgifter om sina passagerare till den efterfrågande myndigheten. Dagens uppgiftsskyldighet omfattar även färre uppgifter än vad som ska överföras enligt direktivet. PNR-direktivet innehåller vidare för svensk rätt nya företeelser som en databas för PNR-uppgifter och en enhet för passagerarinformation som ska bearbeta uppgifterna. Bevarande, analys och utbyte av PNR-uppgifter på det sätt som föreskrivs i direktivet förekommer inte i Sverige i dag. PNR-direktivet innebär att det införs ett nytt system för behandling av PNR-uppgifter. För att Sverige ska uppfylla sina skyldigheter enligt direktivet behöver det därför införas helt nya bestämmelser.
Enligt 2 kap. 6 § andra stycket RF är var och en skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar av detta skydd kan enligt 2 kap. 20 och 21 §§ RF enbart göras genom lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. I förarbetena till 2 kap. 6 § andra stycket RF framhåller regeringen att flera omständigheter ska vägas in vid bedömningen av vad som kan anses vara ett betydande intrång, bl.a. uppgifternas karaktär och omfattning. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Vid bedömningen av intrångets karaktär är också ändamålet med behandlingen och omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen av betydelse. En hantering som syftar till att utreda brott kan normalt anses vara mer känslig än t.ex. en behandling som uteslutande görs för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har. Vad som avses med övervakning respektive kartläggning får bedömas med utgångspunkt från vad som enligt normalt språkbruk läggs i dessa begrepp (prop. 2009/10:80 s. 183-185 och 250).
Den nya regleringen som genomför PNR-direktivet medför att en stor mängd PNR-uppgifter kommer att bevaras i en databas vid enheten för passagerarinformation under fem års tid. Uppgiftssamlingen kommer att vara omfattande och potentiellt kunna möjliggöra en ökad kartläggning av individers flygresor till och från Sverige. I den nya lagen finns det visserligen bestämmelser till skydd för enskildas personliga integritet, bl.a. ett förbud mot behandling av s.k. känsliga personuppgifter, bestämmelser om att uppgifterna ska behörighetsbegränsas efter sex månader och om begränsningar i tillgången till informationen. De uppgifter som samlas in, t.ex. namn, resedatum, resväg, bagageinformation och betalningssätt kan vidare, sedda var för sig, inte anses vara av särskilt integritetskänslig karaktär. Sammantaget kan dock uppgifterna utvisa t.ex. passagerarnas resvanor, rörelsemönster och resesällskap. Det är vidare fråga om användning av personuppgifter för andra ändamål än de uppgifterna samlades in för och för användning i brottsbekämpande verksamhet. Mot denna bakgrund gör regeringen bedömningen att regleringen omfattas av regeringsformens bestämmelse om integritetsskydd. Direktivet ska därmed genomföras i svensk rätt huvudsakligen genom lag. Ändamålet med den nya lagen är att både trygga den allmänna säkerheten genom att tillgodose behovet av tillgång till PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och att skydda människor mot att deras personliga integritet kränks vid behandlingen av uppgifterna. Lagförslagen beaktar därmed såväl de behöriga mottagarnas behov av tillgång till PNR-information som behovet av att skydda enskildas personliga integritet. Den nya regleringen får därför anses vara godtagbar och inte gå utöver vad som är nödvändigt.
Ett samlat genomförande
Frågan är då hur regleringen lämpligen bör struktureras rent lagtekniskt. PNR-direktivet innehåller såväl verksamhets- som dataskyddsreglering. Till verksamhetsregleringen hör sådana bestämmelser som anger vad som ska göras med PNR-uppgifterna, bl.a. att de ska sändas från lufttrafikföretagen till nationella enheter för passagerarinformation, att de ska bevaras av enheterna en viss period och i vissa fall överföras vidare till behöriga mottagare m.m. Till dataskyddsregleringen hör sådana bestämmelser som sätter gränser för vad behöriga myndigheter får göra med uppgifterna eller som anger vissa rättigheter för enskilda registrerade m.m., dvs. bestämmelser som syftar till att ge skydd för personuppgifter vid den personuppgiftsbehandling som systemet med användning av PNR-uppgifter inom brottsbekämpningen för med sig. Ibland är bestämmelsernas utformning dock sådan att de olika typerna av reglering är sammanvävda och svåra att särskilja. Direktivet är vidare omfattande och komplext eftersom det bl.a. berör helt olika slags aktörer, såsom kommersiellt verksamma flygbolag och brottsbekämpande myndigheter.
Det finns olika tänkbara sätt att helt eller delvis inarbeta PNR-direktivet i redan gällande lagstiftning. En möjlighet vore att inarbeta verksamhetsregleringen i t.ex. polislagen (1984:387) och lagen (2017:496) om internationellt polisiärt samarbete. Dataskyddsregleringen skulle kunna tas in i polisdatalagen (2010:361) och andra registerförfattningar som gäller för de behöriga myndigheter som kommer att få motta PNR-uppgifter. Regleringen av lufttrafikföretagens skyldigheter skulle kunna tas in i luftfartslagen (2010:500) eller lagen (2010:510) om lufttransporter. En sådan uppsplittrad lagteknisk lösning skulle dock vara komplicerad, oöverskådlig och kräva korshänvisningar som skulle göra tillämpningen besvärlig. För att skapa en överskådlig reglering av området för PNR-uppgifter bör i stället direktivets bestämmelser samlas i en ny lag.
Lagen bör kompletteras av en förordning
De bestämmelser som är av central betydelse för integritetsskyddet kommer att ges i lagform. Direktivet innehåller i vissa artiklar mycket detaljerade bestämmelser i fråga om exempelvis hanteringen av PNR-uppgifter. Sådana bestämmelser bör i vissa fall kunna regleras i förordning. Regeringen delar utredningens bedömning att det är nödvändigt att komplettera den nya lagen med en förordning. I vilken utsträckning genomförandet bör ske genom förordning kommer att behandlas löpande genom propositionen. De föreskrifter regeringen meddelar får inte innebära ett betydande intrång i den personliga integriteten (2 kap. 6 § andra stycket RF).
Lagens benämning
Eftersom den nya lagen kommer att innehålla såväl verksamhets- som dataskyddsreglering bör lagens namn inte ge intrycket av att enbart vara en reglering av det ena eller det andra slaget.
Utredningen har föreslagit att den nya lagen ska heta lagen om flygpassageraruppgifter i brottsbekämpningen. Polismyndigheten föredrar lagen om flygpassagerarinformation i brottsbekämpningen. Detta bl.a. med anledning av att den nya lagen även reglerar användning av andra uppgifter än PNR-uppgifter.
Det är riktigt, som Polismyndigheten påpekat, att lagen reglerar behandling av andra uppgifter än PNR-uppgifter. Regeringen håller dock med utredningen om att den föreslagna benämningen, lagen om flygpassageraruppgifter i brottsbekämpningen, fångar kärnan i regleringen, nämligen att sådana uppgifter ska bli tillgängliga för användning inom den brottsbekämpande verksamheten. Regeringen anser därför att lagen ska benämnas lagen om flygpassageraruppgifter i brottsbekämpningen.
EU-domstolens yttrande över EU:s avtal om överföring av PNR-uppgifter till Kanada
Ett antal länder utanför EU har i dag särskilda system för inhämtande och analys av PNR-uppgifter. Efter terroristattentaten den 11 september 2001 antog USA lagstiftning som innebär att lufttrafikföretag med trafik till, från eller genom dess territorium ska tillhandahålla de amerikanska myndigheterna PNR-uppgifter. Snart beslutade Kanada och Australien att göra samma sak. Flera länder har följt i deras fotspår.
I mitten av 2000-talet ingick EU avtal som reglerar överföringen av PNR-uppgifter från lufttrafikföretag till USA, Australien och Kanada. Avtalen har därefter omförhandlats. De senaste avtalen med USA och Australien har godkänts av Europaparlamentet och trädde i kraft 2012. Avtalet med Kanada förlängdes genom ett beslut i rådet 2014. Europaparlamentet anhängiggjorde därefter ett mål i EU-domstolen med en begäran om att domstolen skulle uttala sig bl.a. i frågan om avtalet är förenligt med fördraget om Europeiska unionen och Europeiska unionens stadga om de grundläggande rättigheterna vad gäller fysiska personers rätt till skydd av personuppgifter.
EU-domstolen förklarade i ett yttrande den 26 juli 2017 (yttrande 1/15) att det planerade avtalet inte får ingås i dess nuvarande form eftersom flera av bestämmelserna i avtalet ansågs vara oförenliga med de grundläggande rättigheter som erkänns av unionen. Domstolen fann att överföringen av PNR-uppgifter mellan unionen och Kanada samt det planerade avtalets regler avseende lagring, användning och eventuellt senare överföring av uppgifterna till kanadensiska, europeiska eller utländska myndigheter utgör ett ingrepp i den grundläggande rätten till respekt för privatlivet och rätten till skydd för personuppgifter. Ingreppen ansågs dock vara motiverade av ett mål av allmänt samhällsintresse (att garantera den allmänna säkerheten inom ramen för bekämpningen av terroristbrott och allvarlig gränsöverskridande brottslighet) och överföringen av PNR-uppgifter till Kanada och deras senare behandling ansågs vara ägnade att säkerställa uppnåendet av detta mål. Beträffande frågan om ingreppen ansågs vara nödvändiga fann domstolen att vissa av bestämmelserna i avtalet inte var begränsade till vad som är strängt nödvändigt och att de inte föreskriver tydliga och precisa regler. Domstolen ansåg därför sammanfattningsvis att det planerade avtalet inte kan ingås i sin nuvarande form utan måste specificeras på ett antal punkter för att vara förenligt med de grundläggande rättigheterna.
Advokatsamfundet har i sitt remissvar framfört att en förutsättning för att PNR-direktivet ska kunna genomföras i svensk rätt är att de rättssäkerhetsgarantier som EU-domstolen pekat på i sitt yttrande uppfylls. Även Polismyndigheten, Säkerhetspolisen och Stockholms tingsrätt har framhållit vikten av att EU-domstolens yttrande analyseras i det fortsatta lagstiftningsarbetet.
EU-domstolens yttrande rör ett avtal mellan EU och ett tredjeland. Avtalet innehåller visserligen bestämmelser som liknar de som finns i PNR-direktivet, bestämmelserna är dock inte likalydande och skiljer sig åt i vissa fall. Flera av de krav som domstolen ställer är även specifika för avtal med tredjeland, som inte har samma dataskyddsreglering som finns inom EU, och kan därför inte direkt jämföras med motsvarande bestämmelser i PNR-direktivet. I vissa fall, t.ex. när det gäller känsliga personuppgifter, uppfyller dessutom PNR-direktivet de krav som domstolen ställer på Kanada-avtalet.
PNR-direktivets giltighet har inte varit föremål för EU-domstolens prövning. Utgångspunkten måste vara att lagstiftarna vid antagandet av direktivet säkerställt att det uppfyller alla krav enligt EU-rätten, inklusive respekten för grundläggande rättigheter. EU-domstolens yttrande bör därför inte påverka PNR-direktivets genomförande i svensk rätt.
Insamling av PNR-uppgifter från resebyråer och researrangörer
Medlemsstaterna har i en deklaration som antogs samtidigt som PNR-direktivet angett att de, i enlighet med sin nationella lagstiftning och med förbehåll för parlamentsbehandling i vissa medlemsstater, åtar sig att utvidga insamlingen av PNR-uppgifter till att omfatta även aktörer som inte är lufttrafikföretag. Som exempel anges i deklarationen resebyråer och researrangörer som tillhandahåller reserelaterade tjänster. Någon tidsgräns för när detta ska vara genomfört i nationell lagstiftning anges inte i deklarationen. Kommissionen ska senast den 25 maj 2020 utföra en översyn av PNR-direktivet. Vid denna översyn ska det beaktas huruvida det är nödvändigt att låta resebyråer och researrangörer omfattas av direktivets tillämpningsområde (artikel 19.3). Mot bakgrund av översynen ska kommissionen, om det är lämpligt, lägga fram ett lagstiftningsförslag i syfte att ändra direktivet (artikel 19.4).
Resebyråer och researrangörer omfattas redan av systemet med insamling av PNR-uppgifter eftersom de överför PNR-uppgifter till lufttrafikföretagen för vidareöverföring till enheten för passagerarinformation. I vissa fall överförs dock ett mindre antal uppgifter. Flera myndigheter, däribland Polismyndigheten, Säkerhetspolisen, Åklagarmyndigheten, Ekobrottsmyndigheten och Tullverket har betonat betydelsen av att all PNR-information samlas in och är därför angelägna om att regleringen även ålägger resebyråer och researrangörer skyldighet att överföra PNR-uppgifter. Utredningens bedömning är emellertid att frågan om överföring av PNR-uppgifter från resebyråer och researrangörer bör behandlas på samma sätt inom samtliga medlemsstater och att det därför i nuläget inte är lämpligt att föreslå en svensk reglering för researrangörer och resebyråer. Några förslag på reglering i den delen lämnas därför inte. Det finns mot den bakgrunden inget beredningsunderlag för att inom ramen för detta lagstiftningsärende utvidga insamlingen av PNR-uppgifter till att omfatta även resebyråer och researrangörer. Regeringen avser dock att noggrant följa frågan.
7.2 Lagens innehåll
Regeringens förslag: Den nya lagen ska innehålla bestämmelser om lufttrafikföretags överföring av PNR-uppgifter till enheten för passagerarinformation och bestämmelser om behandling av PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Med PNR-uppgifter ska avses uppgifter om varje enskild passagerare som har lämnats vid bokning av en flygresa och vid incheckning.
I lagen ska det anges att den genomför PNR-direktivet.
Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår att begreppet flygpassageraruppgifter ska användas synonymt med begreppet PNR-uppgifter samt att begreppet grov brottslighet ska användas i stället för allvarlig brottslighet.
Remissinstanserna: Polismyndigheten ställer sig frågan om inte termen flygpassageraruppgifter kan utgå medan Hovrätten för Nedre Norrland anser att begreppet flygpassageraruppgifter bör användas genomgående i stället för PNR-uppgifter. Förvaltningsrätten i Stockholm föreslår att begreppet flygpassageraruppgifter används i 1 kap 1 § i den föreslagna lagen i stället för förkortningen PNR-uppgifter. Övriga remissinstanser har inga synpunkter på förslaget.
Skälen för regeringens förslag
Vad avses med PNR-uppgifter?
Med passageraruppgiftssamlingar eller PNR-uppgifter avses enligt artikel 3.5 i PNR-direktivet en sammanställning av för resan nödvändiga uppgifter om varje enskild passagerare som gör det möjligt för det lufttrafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera reservationen för varje resa som bokas av en person eller för en persons räkning, oavsett om uppgifterna finns i reservationssystemet, i avgångskontrollsystemet som används för att checka in passagerare på flygningar eller i likvärdiga system med motsvarande uppgifter.
I utredningen likställs begreppet flygpassageraruppgifter med PNR-uppgifter. Utredningen använder dock i huvudsak begreppet PNR-uppgifter i den nya lagen. Hovrätten för Nedre Norrland menar att det eventuellt skulle underlätta för personer som inte är insatta i direktivets begrepp om termen flygpassageraruppgifter användes genomgående i stället för PNR-uppgifter. Förvaltningsrätten i Stockholm föreslår att begreppet flygpassageraruppgifter används i 1 kap 1 § i lagförslaget i stället för förkortningen PNR-uppgifter eftersom definitionen av förkortningen ges först i en senare bestämmelse medan Polismyndigheten anser att begreppet flygpassageraruppgift helt kan utgå.
Regeringen delar visserligen domstolarnas uppfattning att begreppet flygpassageraruppgifter är mer lättförståeligt än begreppet PNR-uppgifter. PNR (Passenger Name Record) är emellertid ett vedertaget begrepp inom luftfartsområdet som används såväl nationellt som internationellt. Begreppet PNR är också enklare att använda vid utformningen av lagen. PNR-uppgifter bör därför användas genomgående i författningstexten. Med PNR-uppgifter bör enligt den nya lagen avses uppgifter om varje enskild passagerare som har lämnats vid bokning av en flygresa och vid incheckning.
Den nya lagens innehåll
Artikel 1 i PNR-direktivet har rubriken syfte och tillämpningsområde. Artikeln innehåller dels en sammanfattande beskrivning av direktivets innehåll, dels ett initialt klargörande av den mest centrala begränsningen av för vilka syften insamlade uppgifter får behandlas enligt direktivet. När det gäller PNR-direktivets innehåll framgår av punkten a i artikel 1.1 att direktivet innehåller bestämmelser om lufttrafikföretags överföring av PNR-uppgifter om passagerare på flygningar utanför EU. I punkten b framgår att direktivet också innehåller bestämmelser om behandlingen av de uppgifterna. I den behandling av PNR-uppgifter som omfattas av direktivet inbegrips enligt artikeln medlemsstaternas insamling, användning, lagring och inbördes utbyte av dessa uppgifter. De PNR-uppgifter som samlas in i enlighet med direktivet får enligt artikel 1.2 endast behandlas på det sätt som anges i direktivets artikel 6.2 a, b och c och endast i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.
Att informationen får inhämtas även för lagföringssyfte får anses innebära en specialreglering i förhållande till vad som annars gäller vid inhämtande av bevisning i brottmål, t.ex. enligt Europaparlamentets och rådets direktiv 2014/41/EU av den 3 april 2014 om en europeisk utredningsorder på det straffrättsliga området. En enhet för passagerarinformation eller, i undantagsfall, en behörig myndighet i en annan medlemsstat kan alltså begära ut PNR-uppgifter direkt från den svenska enheten för passagerarinformation även om syftet är att dessa ska användas som bevisning i ett brottmål.
Den nya lagen om flygpassageraruppgifter är relativt omfattande och kommer att innehålla såväl verksamhets- som dataskyddsreglering. För att underlätta för tillämparen finns det därför enligt regeringens uppfattning anledning att redogöra för lagens innehåll i en inledande bestämmelse. Av bestämmelsen bör framgå att lagen innehåller bestämmelser om lufttrafikföretags överföring av PNR-uppgifter till enheten för passagerarinformation och bestämmelser om behandlingen av PNR-uppgifter i stort.
Av PNR-direktivet framgår att PNR-uppgifter får behandlas i verksamhet för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Eftersom direktivet inte endast omfattar terroristbrott utan även brott med anknytning till en terroristgrupp och brott med anknytning till terroristverksamhet bör begreppet terroristbrottslighet användas i stället för terroristbrott. För att tydliggöra att direktivet inte omfattar samtliga brott som kan betraktas som grov brottslighet bör vidare begreppet allvarlig brottslighet användas i stället för grov brottslighet.
Till skillnad från den svenska översättningen av PNR-direktivet bör ordet "eller" användas i uttrycken "utreda eller lagföra" och "terroristbrottslighet eller annan allvarlig brottslighet" i stället för ordet "och" som används på motsvaranden ställen i den svenska översättningen, vilket torde vara en felöversättning. Det är alltså inte nödvändigt att alla de angivna syftena är uppfyllda samtidigt för att uppgifterna ska få behandlas i ett enskilt fall. Inte heller behöver ett syfte med behandlingen vara att både bekämpa terroristbrottslighet och annan allvarlig brottslighet, utan det är tillräckligt att den ena sortens brottslighet är aktuell.
Redan i den inledande bestämmelsen bör framgå vad som avses med terroristbrottslighet och annan allvarlig brottslighet, se vidare angående begreppen nedan.
Av artikel 18.1 andra stycket i PNR-direktivet framgår att en hänvisning till direktivet ska göras vid den nationella implementeringen. Genom att det i den nya lagen införs en bestämmelse som upplyser om att lagen genomför PNR-direktivet uppfylls direktivets krav i den delen.
7.3 Terroristbrottslighet och annan allvarlig brottslighet
Regeringens förslag: Med terroristbrottslighet avses i lagen brott enligt artiklarna 3-12 och 14 i terrorismdirektivet.
Med allvarlig brottslighet avses i lagen de brott som anges i bilaga II till PNR-direktivet och som det i Sverige eller andra medlemsstater föreskrivs fängelse i tre år eller mer för.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att terroristbrottslighet ska definieras som de brott enligt nationell rätt i Sverige eller andra medlemsstater som avses i artiklarna 1-4 i terrorismrambeslutet.
Remissinstanserna: Säkerhetspolisen och Försvarsmakten har synpunkter på att vissa grova brott inte faller in under definitionen terroristbrottslighet eller annan allvarlig brottslighet. Dessa synpunkter behandlas i avsnitt 7.5. Hovrätten för Nedre Norrland framhåller att det är viktigt att det är tydligt för enskilda vilka brott som träffas av lagens bestämmelser. Övriga remissinstanser har inte några synpunkter på förslaget.
Skälen för regeringens förslag
Definitionen av terroristbrott i PNR-direktivet och terrorismrambeslutet
I artikel 3.8 i PNR-direktivet definieras terroristbrott som de brott enligt nationell rätt som avses i artiklarna 1-4 i rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism (terrorismrambeslutet). Någon kvalifikation i fråga om straffets svårhetsgrad anges inte i direktivet.
Vad som utgör ett terroristbrott definieras i artikel 1 i terrorismrambeslutet. Med ett sådant brott avses i korthet vissa uppsåtliga handlingar som genom sin art eller sitt sammanhang allvarligt kan skada ett land eller en internationell organisation och som begås i syfte att injaga allvarlig fruktan hos en befolkning, otillbörligen tvinga offentliga organ eller en internationell organisation att utföra eller att avstå från att utföra en handling, eller allvarligt destabilisera eller förstöra de grundläggande politiska, konstitutionella, ekonomiska eller sociala strukturerna i ett land eller i en internationell organisation. Artiklarna 2-4 i rambeslutet innehåller bestämmelser om bl.a. brott som begås av en terroristgrupp och brott med anknytning till terroristverksamhet.
Det huvudsakliga genomförandet av terrorismrambeslutet har i svensk rätt skett genom införandet av lagen (2003:148) om straff för terroristbrott. Artiklarna 1-4 i rambeslutet motsvaras i svensk rätt av 2-5 §§ i denna lag. Artiklarna 3 och 4 i rambeslutet ändrades genom rådets rambeslut 2008/919/RIF av den 28 november 2008 om ändring av rambeslut 2002/475/RIF om bekämpande av terrorism. Ändringarna innebar att ytterligare vissa gärningar med anknytning till terroristverksamhet skulle vara kriminaliserade, t.ex. offentlig uppmaning till terroristbrott och rekrytering för terroristsyften. Ändringarna har genomförts i svensk rätt genom införandet av lagen (2010:299) om straff för offentlig uppmaning, rekrytering och utbildning avseende terroristbrott och annan särskilt allvarlig brottslighet.
Den 15 mars 2017 antogs Europaparlamentets och rådets direktiv (EU) 2017/541 om bekämpande av terrorism, om ersättande av rådets rambeslut 2002/475/RIF och om ändring av rådets beslut 2005/671/RIF (terrorismdirektivet). Direktivet har trätt i kraft. Direktivet fastställer minimiregler om fastställande av brottsrekvisit och påföljder på området för terroristbrott, brott med anknytning till en terroristgrupp och brott med anknytning till terroristverksamhet samt åtgärder för skydd av, och stöd och hjälp till, offer för terrorism. Direktivet innehåller flera nyheter i förhållande till rambeslutet. Artiklarna 3-12 och 14 i terrorismdirektivet innehåller de olika straffbara gärningarna på terrorismområdet.
Terrorismdirektivet ersätter terrorismrambeslutet, dvs. det rambeslut som anges i PNR-direktivet. I artikel 27 i terrorismdirektivet anges att hänvisningar till terrorismrambeslutet ska anses som hänvisningar till terrorismdirektivet för de medlemsstater som är bundna av direktivet.
Medlemsstaterna ska senast den 8 september 2018 sätta i kraft de bestämmelser i lagar och andra författningar som är nödvändiga för att följa direktivet.
En hänvisning bör ske till de brott som avses i terrorismdirektivet
PNR-direktivets definition av terroristbrott omfattar de brott enligt nationell rätt som avses i artiklarna 1-4 i terrorismrambeslutet, med de ändringar som har införts genom 2008 års rambeslut. Terrorismdirektivet ersätter terrorismrambeslutet för de medlemsstater som är bundna av direktivet. Arbete pågår med att genomföra direktivet i svensk rätt, något som bl.a. kommer att ske genom utvidgning av flera av de straffbestämmelser som genomför rambesluten. Det svenska genomförandet av rambesluten kommer därmed inom kort att vara inaktuellt.
Som utredningen har anfört är det främsta skälet mot en uppräkning av olika nationella straffbestämmelser som avser terroristbrottslighet att även terroristbrottslighet i andra medlemsstaters nationella rätt, vari 2002 års rambeslut genomförts eller det nya terrorismdirektivet kommer att genomföras, är av betydelse för tillämpningen av den nya lagen. När Sverige lämnar ut PNR-information till andra medlemsstater är nämligen ett villkor för utlämnandet att mottagaren bara får använda uppgifterna för sådana brott som avses i PNR-direktivet. Det är därför olämpligt att bara ha svensk lagstiftning i åtanke vid utformningen av den nya lagens definition av begreppet terroristbrott. Utredningen har föreslagit att en hänvisning ska ske till de brott enligt nationell rätt i Sverige eller andra medlemsstater som avses i artiklarna 1-4 i rambeslutet, dvs. samtliga artiklar som behandlar brott och osjälvständiga brottsformer. Eftersom rambeslutet är upphävt och hänvisningar till rambeslutet enligt artikel 27 i terrorismdirektivet ska ses som hänvisningar till terrorismdirektivet anser dock regeringen att hänvisningen bör ske till terrorismdirektivet i stället för det upphävda rambeslutet. Regeringen anser att det är lämpligt att låta hänvisningen till bestämmelser i direktivet avse samtliga bestämmelser om brott och osjälvständiga brottsformer, i likhet med PNR-direktivets hänvisning till bestämmelser i rambeslutet, även om direktivet innehåller brott som inte har någon motsvarighet i rambeslutet. Definitionen bör därför hänvisa till samtliga artiklar i terrorismdirektivet som behandlar straffbara gärningar på terrorismområdet, dvs. artiklarna 3-12 och 14.
Annan allvarlig brottslighet än terroristbrottslighet
I PNR-direktivet definieras grov brottslighet som de brott som förtecknas i bilaga II till direktivet och som kan leda till fängelse eller annan frihetsberövande åtgärd i minst tre år enligt en medlemsstats nationella rätt (se rättelse av PNR-direktivet, bilaga 2). Förteckningen omfattar 26 punkter. Uppräkningen innefattar flera brottsbalksbrott, t.ex. mord, grov misshandel, rån och bedrägeri, liksom brott och gärningstyper i specialstraffrätten, t.ex. narkotikabrott och miljöbrott. En del punkter avser brott som inte har någon direkt svensk motsvarighet. Samtliga brott, förutom brottet industrispionage (punkten 26), omfattas av den uppräkning som finns i artikel 2.2 i Rådets rambeslut av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna (2002/584/RIF). Den aktuella artikeln i rambeslutet omfattar däremot fler brott än de som upptas i bilaga II till PNR-direktivet.
Utredningen har föreslagit att allvarlig brottslighet ska definieras genom en hänvisning till de brott som anges i bilaga II till PNR-direktivet och för vilka det i Sverige eller andra medlemsstater är föreskrivet fängelse i tre år eller mer. En sådan konstruktion har den fördelen att regleringen inte behöver ändras om det i den svenska lagstiftningen skulle införas nya brott med tre års fängelse i straffskalan eller om straffskalan för vissa brott höjs. Det som talar emot en sådan hänvisning är att en viss otydlighet kan uppstå. Hovrätten för Nedre Norrland har påpekat att det för en enskild som har bokat en resa är av vikt att ett agerande inte leder till att uppgifterna behandlas olika beroende på vilket land som hanterar uppgifterna och att det därför är viktigt att det görs tydligt för den enskilde vad dennes uppgifter kan komma att behandlas i för syfte och vilka ageranden som kan träffas, såväl i Sverige som i andra anslutna stater. På samma sätt som när det gäller terroristbrottslighet är det dock inte endast svensk lagstiftning som är av intresse för tillämpningen av den nya lagen. Vid utlämnande av PNR-information till en behörig mottagare i en annan medlemsstat är ett villkor att det sker för användning i mottagarlandet vid bekämpning av just sådan brottslighet som avses i PNR-direktivet. Att tydligare reglera vilka brott som ingår såväl i Sverige som i andra anslutna stater, än genom en hänvisning till direktivets bilaga, är därför komplicerat.
Sammantaget anser regeringen att en direkt hänvisning till direktivets bilaga är både den enklaste och lämpligaste lösningen. Eftersom direktivets definition har rättats bör det av tydlighetsskäl framgå av lagen att brottsligheten ska vara sådan för vilken det i Sverige eller andra medlemsstater är föreskrivet fängelse i tre år eller mer. Bedömningen är alltså hänförlig till straffskalan för ett brott och inte till en straffvärdebedömning. Kravet innebär enligt svensk rätt att brott i flera fall måste bedömas som grova för att de ska omfattas av direktivets tillämpningsområde även om de i och för sig omfattas av listan. Som exempel kan nämnas stöld, bedrägeri och barnpornografibrott. Narkotikabrott och narkotikasmuggling av normalgraden omfattas dock. Inom tillämpningsområdet faller också t.ex. mord och dråp, grov och synnerligen grov misshandel, människorov, människohandel, olaga frihetsberövande, våldtäkt, rån och sabotage.
Dynamiska hänvisningar till EU-rättsakterna
Hänvisningar till EU-rättsakter i författningar kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. För att säkerställa att eventuella ändringar av den brottslighet som omfattas av regleringen kan få genomslag utan en ändring i den nya lagen anser regeringen att hänvisningarna till PNR-direktivet när det gäller allvarlig brottslighet och terrorismdirektivet när det gäller terroristbrottslighet bör vara dynamiska, dvs. avse den vid var tid gällande lydelsen av bilaga II till PNR-direktivet och artiklarna 3-12 och 14 i terrorismdirektivet.
7.4 Lagens syfte
Regeringens förslag: Syftet med den nya lagen ska vara dels att tillgodose behovet av tillgång till PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, dels att skydda människor mot att deras personliga integritet kränks när uppgifterna om dem behandlas.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna har inga synpunkter på förslaget.
Skälen för regeringens förslag: Direktivets syfte framgår av dess ingress. I skäl 5 anges att målen för direktivet är att dels trygga säkerheten och skydda personers liv och säkerhet, dels inrätta en rättslig ram till skydd för PNR-uppgifter vid behöriga myndigheters behandling av dessa. I skäl 6 anges att en effektiv behandling av PNR-uppgifter är nödvändig för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och därigenom förbättra den inre säkerheten. En sådan behandling av PNR-uppgifter anges även vara nödvändig för att samla in bevisning och i förekommande fall för att hitta medbrottslingar och avslöja kriminella nätverk. Vidare anges i skäl 7 att bedömningen av PNR-uppgifter gör det möjligt att identifiera personer som tidigare inte har varit misstänkta för delaktighet i terroristbrott eller grov brottslighet och som bör undersökas närmare av de behöriga myndigheterna. Det anges även att det genom att använda PNR-uppgifter är möjligt att möta hotet från terroristbrott och grov brottslighet från en annan utgångspunkt än vid behandling av andra kategorier av personuppgifter.
Ytterligare ett syfte bakom direktivet är enligt skäl 35 att det är nödvändigt att på unionsnivå inrätta en gemensam rättslig ram för överföring och behandling av personuppgifter, däribland PNR-uppgifter, för att undvika rättsliga och tekniska skillnader mellan olika nationella bestämmelser om behandling av PNR-uppgifter. Dessa skillnader innebär att lufttrafikbolagen möts av olika krav på vilken typ av information som ska översändas och vilka villkor som gäller för översändandet och kan vara till skada för ett effektivt samarbete mellan de behöriga nationella myndigheterna. Behandlingen av personuppgifterna bör enligt skäl 11 stå i proportion till de särskilda säkerhetsmål som direktivet syftar till att uppfylla.
PNR-direktivets innehåll avspeglar en avvägning mellan, å ena sidan, viljan att skapa ett harmoniserat och enhetligt system för informationsanvändning och utbyte inom EU för en effektiv bekämpning av allvarlig brottslighet och, å andra sidan, viljan att tillgodose berörda passagerares grundläggande rättigheter om respekt för privatlivet och skydd för personuppgifter. Olika intressen ställs alltså mot varandra. Eftersom den nya lagen således kommer att ha dubbla syften anser regeringen att det finns skäl att införa en bestämmelse om lagens syfte där detta tydligt framgår. Regleringen bör ge uttryck för en väl avvägd balans mellan skyddet för den personliga integriteten och tillgången till information för att kunna bekämpa terroristbrottslighet och annan allvarlig brottslighet. Detta uttrycks lämpligen genom en bestämmelse som anger att syftet med lagen är att tillgodose behovet av tillgång till PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet och annan allvarlig brottslighet och att skydda människor mot att deras personliga integritet kränks vid behandlingen av uppgifterna om dem.
7.5 Lagens förhållande till annan dataskyddsreglering
Regeringens förslag: Om det finns avvikande bestämmelser om personuppgiftsbehandling i den nya lagen eller i föreskrifter som har meddelats i anslutning till lagen ska de tillämpas i stället för bestämmelserna i polisdatalagen och tullbrottsdatalagen.
Den nya lagens bestämmelser om behandling av personuppgifter ska inte gälla för behöriga myndigheter i verksamhet som rör nationell säkerhet. Enheten för passagerarinformation får behandla PNR-information när det är nödvändigt för att tillhandahålla uppgifter som behövs för sådan verksamhet.
Regeringens bedömning: Några ytterligare bestämmelser som reglerar den nya lagens förhållande till annan dataskyddsreglering bör inte införas i den nya lagen.
Utredningens förslag och bedömning överensstämmer delvis med regeringens. Utredningen föreslår att bestämmelserna om personuppgiftsbehandling i den nya lagen och föreskrifter som har meddelats med stöd av lagen även ska tillämpas i stället för bestämmelserna i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst (FM-PUL). Något undantag för behandling av personuppgifter i verksamhet som rör nationell säkerhet föreslås inte.
Remissinstanserna: Säkerhetspolisen påpekar att den nationella säkerheten är varje medlemsstats eget ansvar och påtalar att i princip all behandling av PNR-uppgifter som myndigheten kommer att utföra kommer att avse nationell säkerhet och att denna behandling behöver regleras enhetligt i Säkerhetspolisens nya datalag. Försvarsmakten motsätter sig att det införs en bestämmelse i FM-PUL som innebär att den nya lagens bestämmelser om personuppgiftsbehandling ska gälla i stället för FM-PUL. Säkerhetspolisen påpekar vidare att viss brottslighet som myndigheten ska motverka, framför allt högmålsbrott och brott mot Sveriges säkerhet enligt 18 eller 19 kap. brottsbalken, inte faller in under definitionen terroristbrottslighet och annan allvarlig brottslighet. Även Försvarsmakten lyfter fram att viss brottslighet, t.ex. spioneri, faller utanför direktivets område och anför att det kan medföra tillämpningssvårigheter för Försvarsmaktens verksamhet.
Skälen för regeringens förslag och bedömning
Förhållandet till dataskyddsförordningen
Den nya lagen reglerar en skyldighet för lufttrafikföretag att leverera PNR-uppgifter till enheten för passagerarinformation, som ska finnas hos Polismyndigheten. Skyldigheten innebär att lufttrafikföretag kommer att behöva behandla personuppgifter vid översändandet till enheten. Av artikel 21.2 i PNR-direktivet framgår att direktivet inte påverkar tillämpligheten av 1995-års dataskyddsdirektiv på lufttrafikföretagens behandling av personuppgifter. Av artikel 94.2 i dataskyddsförordningen följer att hänvisningar till 1995-års dataskyddsdirektiv ska anses som hänvisningar till dataskyddsförordningen när den börjar tillämpas den 25 maj 2018. Lufttrafikföretagens personuppgiftsbehandling kommer alltså att styras av dataskyddsförordningens bestämmelser. Förpliktelsen att leverera PNR-uppgifter till enheten för passagerarinformation kommer att utgöra en sådan laglig grund för behandlingen som avses i artikel 6.1 c i dataskyddsförordningen om nödvändig behandling för att fullgöra en rättslig förpliktelse. Även den i propositionen Ny dataskyddslag föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförordning kommer att bli tillämplig för lufttrafikföretagen. De flesta bestämmelser som föreslås för att genomföra PNR-direktivet kommer emellertid inte att rikta sig till lufttrafikföretagen. Mot den bakgrunden och med hänsyn till karaktären på de bestämmelser som faktiskt riktar sig till lufttrafikföretagen anser regeringen att det inte finns skäl att ta in en bestämmelse i lagen som mer allmänt upplyser om dess förhållande till dataskyddsförordningen och lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. Dessa regelverk kommer att gälla oavsett.
Förhållandet till brottsdatalagen
Den personuppgiftsbehandling som kommer att ske vid den nationella enheten för passagerarinformation faller in under den nya brottsdatalagens tillämpningsområde. Enhetens arbete med PNR-uppgifterna kommer att ingå i Polismyndighetens verksamhet i stort med att förebygga, förhindra, upptäcka, utreda eller lagföra brott, om än bara avseende terroristbrottslighet och annan allvarlig brottslighet.
Regeringen har utsett Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Försvarsmakten till behöriga myndigheter att ta emot PNR-information från enheten för passagerarinformation. Brottsdatalagen kommer i vart fall att vara tillämplig på behandling av PNR-uppgifter vid Polismyndigheten, Tullverket och Ekobrottsmyndigheten. Brottsdatalagen är dock subsidiär till annan lagstiftning, vilket innebär att om det i en annan lag eller en förordning finns bestämmelser som avviker från brottsdatalagen, ska de bestämmelserna gälla.
Den nya lagen bör vara kompletterande och gälla utöver brottsdatalagen. Frågan är om detta bör framgå i lagen eller om det är tillräckligt med den bestämmelse i brottsdatalagen som anger att avvikande bestämmelser i lag eller förordning gäller före den lagen. Brottsdatalagen är utformad för och kommer att, med vissa undantag, gälla generellt för brottsbekämpande verksamhet vid myndigheter som har till uppgift att bedriva sådan verksamhet. Detta kommer att bli väl inarbetat hos dessa myndigheter. Något behov av att i den nya lagen upplysa om att brottsdatalagen gäller utöver de regler som finns i lagen eller, motsatsvis, att den föreslagna lagens bestämmelser ersätter eller gäller utöver brottsdatalagens bestämmelser finns därför inte. Till detta kommer att Säkerhetspolisen föreslås stå utanför brottsdatalagens tillämpningsområde vid behandling av personuppgifter som rör nationell säkerhet. Även sådan verksamhet som omfattas av FM-PUL föreslås falla utanför lagens tillämpningsområde. För Säkerhetspolisens och Försvarsmaktens del skulle det därför behövas en specialreglering som inte skulle underlätta begripligheten i lagstiftningen. En bestämmelse som upplyser om förhållandet till brottsdatalagen bör därför inte införas i den nu föreslagna lagen.
Förhållandet till registerförfattningar
Utöver bestämmelserna i brottsdatalagen regleras de behöriga myndigheternas personuppgiftsbehandling i s.k. registerförfattningar. Den för närvarande tillämpliga registerförfattningen för Polismyndighetens och Säkerhetspolisens del är polisdatalagen. Lagen gäller även för den polisiära verksamheten vid Ekobrottsmyndigheten, som är den del av myndigheten som det bör bli aktuellt att överföra PNR-information till. För Tullverket gäller sedan den 1 juli 2017 en ny lag om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, tullbrottsdatalagen (2017:447). När det gäller Försvarsmakten regleras personuppgiftsbehandlingen i den del av myndigheten som kommer att ta emot PNR-uppgifter i FM-PUL.
Som framgått tidigare görs för närvarande en översyn av registerförfattningarna, som bl.a. ska anpassas till dataskyddsreformen. Eftersom ändringarna i registerförfattningarna kommer att träda i kraft efter den nya lagen måste förslagen utgå från dagens utformning av registerförfattningarna. Frågan är då hur den nya lagen ska förhålla sig till dessa registerförfattningar.
Den nationella enheten för passagerarinformation ska inrättas vid Polismyndigheten. Enhetens arbete kommer därmed att omfattas av tillämpningsområdet för polisdatalagen i dess nuvarande lydelse (1 kap. 2 § första stycket 1). Flera bestämmelser i den nya lagen kommer att avvika från regleringen i polisdatalagen. Det gäller t.ex. bestämmelser om tillåtna ändamål, behandling av känsliga personuppgifter, bevarande och åtkomst. Även de behöriga myndigheterna kommer att behandla PNR-information när de har mottagit sådan från enheten för passagerarinformation. Även för den behandlingen kommer det att finnas bestämmelser i den nya lagen som avviker från de behöriga myndigheternas registerförfattningar. Utgångspunkten bör därför vara att den nya lagen ska ha företräde framför registerförfattningarna.
Utredningen har föreslagit att förhållandet mellan den nya lagen och registerförfattningarna ska regleras genom att man i samtliga behöriga myndigheters registerförfattningar tar in en bestämmelse om att avvikande bestämmelser i den nya lagen ska gälla framför bestämmelserna i registerförfattningarna. Som Säkerhetspolisen har påpekat är emellertid den nationella säkerheten enligt artikel 4.2 i fördraget om Europeiska unionen varje medlemsstats eget ansvar. Den nya lagen bör därför inte vara tillämplig på berörda myndigheters behandling av personuppgifter i verksamhet som rör nationell säkerhet, vilket bör tydliggöras i den nya lagen. Undantaget innebär att behöriga myndigheter i verksamhet som rör nationell säkerhet ska tillämpa bestämmelserna i respektive registerförfattning i stället för bestämmelser om behandling av personuppgifter i den nya lagen.
Eftersom nationell säkerhet faller utanför EU:s kompetens bör enheten för passagerarinformation ges ett stöd för att kunna lämna ut PNR-information som behövs för sådan verksamhet. Av bestämmelsen bör därför även framgå att enheten för passagerarinformation får behandla PNR-information när det är nödvändigt för att tillhandahålla uppgifter som behövs i verksamhet som rör nationell säkerhet. Det kan t.ex. handla om att förebygga högmålsbrott och brott mot Sveriges säkerhet i 18 eller 19 kap. brottsbalken som, i enlighet med vad Säkerhetspolisen och Försvarsmakten har anfört, inte faller in under definitionen av terroristbrottslighet eller annan allvarlig brottslighet och därmed faller utanför den nya lagens tillämpningsområde. Det ankommer på enheten för passagerarinformation att i samråd med behöriga myndigheter ta fram rutiner för sådana utlämnanden.
Försvarsmakten har motsatt sig att den nya lagens bestämmelser om personuppgiftsbehandling ska gälla i stället för FM-PUL. Den behandling av PNR-uppgifter som kan komma att aktualiseras vid Försvarsmakten kommer att ske i myndighetens försvarsunderrättelsetjänst och militära säkerhetstjänst, dvs. i verksamhet som rör nationell säkerhet. Regeringen gör därför bedömningen att det, med hänsyn till undantaget som rör nationell säkerhet i den nya lagen, inte finns något behov av att föra in ett sådant undantag som föreslagits av utredningen i FM-PUL. En bestämmelse om att avvikande bestämmelser i den nya lagen ska tillämpas i stället för registerförfattningen bör dock införas i polisdatalagen och tullbrottsdatalagen. Dessa bestämmelser kommer att träffa Polismyndighetens, inklusive enheten för passagerarinformation, Ekobrottsmyndighetens och Tullverkets personuppgiftsbehandling. Bestämmelsen i polisdatalagen kommer även att vara tillämplig på Säkerhetspolisen, om än i liten utsträckning eftersom myndighetens verksamhet i princip uteslutande rör nationell säkerhet.
7.6 PNR-direktivets förhållande till den nuvarande regleringen om inhämtande av flygpassageraruppgifter
Regeringens förslag: Skyldigheten att överföra passageraruppgifter enligt polislagen, tullagen och inregränslagen ska inte gälla lufttrafikföretag som omfattas av skyldigheten att överföra uppgifter enligt den nya lagen. Undantaget i polislagen ska inte gälla om uppgifterna behövs i verksamhet som rör nationell säkerhet.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår inte något undantag i polislagen för uppgifter som behövs i verksamhet som rör nationell säkerhet.
Remissinstanserna: Polismyndigheten, Tullverket, TULL-KUST och Säkerhetspolisen framhåller vikten av att man i lagstiftningsprocessen tar hänsyn till Polismyndighetens etablering av enheten för passagerarinformation så att möjligheten att få tillgång till PNR-uppgifter inte försämras under en övergångsperiod. Säkerhetspolisen har vidare synpunkter på att viss brottslighet som myndigheten bekämpar faller utanför den nya lagens tillämpningsområde och hur den nya lagen ska förhålla sig till den nuvarande lagstiftningen.
Skälen för regeringens förslag: Direktivet innebär att de lufttrafikföretag som omfattas av regleringen ska överföra PNR-uppgifter till enheten för passagerarinformation på flygningar utanför EU. Medlemsstaterna kan även på frivillig grund tillämpa direktivet på flygresor inom EU. Listan över PNR-uppgifter som ska överföras är lång och omfattar bl.a. uppgifter som transportörer i dag är skyldiga att lämna ut om sina passagerare enligt bestämmelserna i polislagen, tullagen (2016:253) och lagen (1996:701) om Tullverkets befogenhet vid Sveriges gräns mot ett annat land inom Europeiska unionen (inregränslagen). PNR-direktivet innehåller inte några bestämmelser om insamling av PNR-uppgifter från andra transportörer än lufttrafikföretag, t.ex. buss, båt- eller tågtransporter. I skäl 33 anges att direktivet inte påverkar medlemsstaternas möjligheter att tillhandahålla system för insamling och behandling av PNR-uppgifter från andra transportföretag, under förutsättning att den nationella rätten är förenlig med unionsrätten. PNR-direktivet påverkar således inte insamling och behandling av PNR-uppgifter från andra transportörer än lufttrafikföretag. För de transportörer som inte omfattas av skyldigheten att överföra uppgifter enligt den nya lagen bör därför bestämmelserna i polislagen, tullagen och inregränslagen om transportörers överföring av bokningsuppgifter gälla även efter att PNR-direktivet har genomförts.
När det gäller de lufttrafikföretag som omfattas av PNR-direktivet utesluter direktivet inte uttryckligen att medlemsstaterna får behålla sina nationella system parallellt med det system PNR-direktivet föreskriver. Tanken bakom direktivet är dock att uppnå en enhetlig och rättssäker reglering inom EU av hanteringen av viss information som kan röra EU-medborgare, för att genom ett utvecklat samarbete förbättra möjligheterna att förebygga, förhindra, upptäcka, utreda och lagföra allvarliga brott. En ordning enligt vilken medlemsstaterna skulle kunna behålla sina nationella system vid sidan av det system som direktivet föreskriver skulle därmed kunna motverka direktivets bakomliggande syften, dvs. att förbättra den inre säkerheten samtidigt som man upprätthåller skyddet för de överförda uppgifterna. Det kan därför inte anses vara möjligt att behålla de gamla reglerna när det gäller de lufttrafikföretag som omfattas av överföringsskyldigheten enligt den nya lagen.
Det föreslås därför att det i polislagen, tullagen och inregränslagen införs ett tillägg som anger att bestämmelserna om transportföretags skyldighet att överföra bokningsuppgifter inte ska gälla lufttrafikföretag som omfattas av skyldigheten att överföra uppgifter enligt den nya lagen. Undantaget innebär att lufttrafikföretag som omfattas av överföringsskyldigheten enligt den nya lagen inte har någon skyldighet att överföra uppgifter enligt polislagen, tullagen eller inregränslagen. Det kommer dock fortfarande att vara möjligt att inhämta uppgifter enligt dessa bestämmelser när det gäller andra transportörer än lufttrafikföretag, t.ex. buss-, båt- eller tågtransportörer. Även de lufttrafikföretag som inte omfattas av överföringsskyldigheten enligt den nya lagen, kommer fortfarande vara skyldiga att överlämna uppgifter enligt bestämmelserna.
Säkerhetspolisen anser att det, även efter att den nya lagen har trätt i kraft, måste finnas kvar en legal möjlighet att kunna hämta in uppgifter som rör sådan brottslighet som faller utanför direktivets tillämpningsområde. Säkerhetspolisen anser dessutom att det är viktigt att myndigheten i enskilda brådskande fall, även för brottslighet som faller inom direktivets tillämpningsområde, har en möjlighet att vända sig direkt till lufttrafikföretagen enligt 25 § polislagen.
Det kan enligt regeringens mening inte anses vara rimligt att myndigheterna genom den nya lagen ska få en sämre förmåga att bekämpa brott som rör nationell säkerhet än vad de har i dag. Som framgått tidigare är vidare den nationella säkerheten varje medlemsstats eget ansvar. Det kan därför inte anses strida mot direktivet att låta de nuvarande reglerna vara fortsatt tillämpliga i verksamhet som rör nationell säkerhet. Undantaget i polislagen ska därför inte gälla om uppgifterna behövs i verksamhet som rör nationell säkerhet.
Säkerhetspolisen anser att det behöver belysas vad som gäller för det fall lufttrafikföretagen inte fullgör sin skyldighet att överföra uppgifter enligt den nya lagen och har föreslagit att 25 § polislagen ska fortsätta att gälla fram till dess att lufttrafikföretagen har överfört uppgifterna. En sådan bestämmelse skulle innebära att myndigheterna kan fortsätta att inhämta information direkt från lufttrafikföretagen fram till dess att överföringsskyldigheten uppstår, vilket enligt regeringens mening skulle strida mot direktivets syfte att uppnå en enhetlig och rättssäker reglering inom EU. En sådan lösning kan därför inte anses vara förenlig med direktivet. För det fall lufttrafikföretagen inte fullgör sin skyldighet att överföra informationen finns det möjlighet att tillämpa bestämmelserna om sanktioner, se vidare avsnitt 14.
I och med att den nuvarande regleringen inte kommer att vara tillämplig på lufttrafikföretag som omfattas av den nya lagen är det av vikt att enheten för passagerarinformation vid ikraftträdandet har ett system på plats och kan ta emot PNR-uppgifter från dessa lufttrafikföretag. Polismyndigheten, Tullverket, TULL-KUST och Säkerhetspolisen har framhållit vikten av att man i lagstiftningsprocessen tar hänsyn till Polismyndighetens etablering av enheten för passagerarinformation så att möjligheten att få tillgång till PNR-uppgifter inte försämras under en övergångsperiod. Regeringen ser allvarligt på problematiken och utgår från att Polismyndigheten, för det fall att det uppstår en övergångsperiod, vidtar de åtgärder som krävs för att undvika eller i vart fall minimera negativa konsekvenser för de brottsbekämpande myndigheterna.
7.7 Vissa uttryck ska definieras
Regeringens förslag: Vissa uttryck som används i lagen ska definieras. Definitionerna ska ligga så nära PNR-direktivets definitioner som möjligt.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna har inga synpunkter på förslaget. Säkerhets- och integritetsskyddsnämnden anser att även uttrycket brottslig verksamhet bör definieras.
Skälen för regeringens förslag: I artikel 3 i PNR-direktivet definieras vissa uttryck som är av grundläggande betydelse både för förståelsen av bestämmelserna i direktivet och för att ringa in direktivets närmare tillämpningsområde. Vissa av dessa definitioner bör tas in i den nya lagen och definitionerna bör ligga nära lydelserna i direktivet.
För att förenkla utformningen av de materiella bestämmelserna i lagen föreslås definitioner av några ytterligare begrepp än de som anges i artikel 3 i direktivet. Vilka definitioner som föreslås kommer att framgå i senare avsnitt.
Säkerhets- och integritetsskyddsnämnden har framfört att också uttrycket brottslig verksamhet bör definieras eftersom syftet med lagen är att ge behöriga myndigheter tillgång till PNR-uppgifter i både utrednings- och underrättelseverksamhet. I innehållsbestämmelsen till den nya lagen framgår att PNR-uppgifter får behandlas i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra viss brottslighet. Redan härav framgår att uppgifterna kan användas i såväl utrednings- som i underrättelseverksamhet. Någon definition av begreppet brottslig verksamhet för att tydliggöra att det är fråga om både utrednings- och underrättelseverksamhet är enligt regeringens mening därför inte nödvändig.
7.8 En enhet för passagerarinformation vid Polismyndigheten
Regeringens förslag: Det ska finnas en enhet för passagerarinformation vid Polismyndigheten. Enheten ska samla in PNR-uppgifter från lufttrafikföretagen, bevara och i övrigt behandla uppgifterna. Enheten ska vidare överföra PNR-information till behöriga mottagare och tredjeländer.
Begreppen PNR-information, passagerare och behörig mottagare ska definieras i lagen.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna har inga synpunkter på förslaget.
Skälen för regeringens förslag
En enhet för passagerarinformation ska inrättas vid Polismyndigheten
Varje medlemsstat ska enligt artikel 4.1 i direktivet inrätta eller utse en myndighet med behörighet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet eller en avdelning inom en sådan myndighet vilken ska fungera som medlemsstatens enhet för passagerarinformation.
Enheten ska, enligt artikel 4.2, ansvara för att:
- samla in PNR-uppgifter från lufttrafikföretagen, lagra och behandla dessa uppgifter och överföra dessa uppgifter eller resultatet av behandlingen av dem till behöriga myndigheter,
- utbyta både PNR-uppgifter och resultatet av behandlingen av dessa uppgifter med andra medlemsstaters enheter för passagerarinformation och med Europol, i enlighet med artiklarna 9 och 10.
Enligt artikel 4.3 kan personal vid enheten för passagerarinformation utgöras av tjänstemän som har avdelats från behöriga myndigheter. Två eller flera medlemsstater får inrätta eller utse en och samma myndighet till sin gemensamma enhet för passagerarinformation (artikel 4.4.).
Utredningen har föreslagit att den nationella enheten för passagerarinformation ska placeras vid Polismyndigheten. Ingen remissinstans har uttryckt någon annan uppfattning. Med hänsyn till att Polismyndigheten har till uppgift att förebygga, förhindra, upptäcka och utreda de flesta av de brott som omfattas av direktivet delar regeringen utredningens uppfattning. Den nationella enheten bör alltså placeras vid Polismyndigheten.
Enhetens övergripande uppgifter bör uttryckas klart i lagen
För att enheten för passagerarinformations uppgifter tydligt ska framgå bör, utöver att enheten för passagerarinformation ska vara placerad vid Polismyndigheten, enhetens övergripande uppgifter komma till klart uttryck i lagen. I artikel 4.2 i PNR-direktivet anges att utbyte av PNR-uppgifter och resultatet av behandlingen av dessa uppgifter ska ske med behöriga myndigheter i den egna medlemsstaten, andra medlemsstaters enheter för passagerarinformation och med Europol. Av artikel 9.3 framgår att även sådana myndigheter som utsetts som behöriga i andra medlemsstater har rätt att ta del av uppgifter från enheten. För att förenkla regleringen bör det införas ett samlingsbegrepp som omfattar samtliga dessa aktörer, dvs. svenska behöriga myndigheter, enheter för passagerarinformation i andra medlemsstater, myndigheter som har utsetts som behöriga i andra medlemsstater och Europol. Samlingsbegreppet bör vara behöriga mottagare. En definition av behöriga mottagare bör därmed föras in i definitionsparagrafen. Tredjeländer omfattas inte av definitionen. Av artikel 11 framgår dock att överföring av PNR-information även får ske till tredjeländer. Det bör därför framgå av bestämmelsen att det i enhetens uppdrag även ingår att överföra uppgifter till tredjeländer.
En samlingsbeteckning bör också införas för uttrycket "PNR-uppgifter eller resultatet av behandlingen av dem". Som framgår i artikel 4.2 avser enhetens uppgifter inte bara att lagra, analysera och utbyta PNR-uppgifter som mottagits från lufttrafikföretagen. Analyserna m.m. kommer också att leda till så kallade träffar eller andra slags resultat av behandlingen av PNR-uppgifterna. Uttrycket PNR-uppgifter eller resultatet av behandlingen av dem eller motsvarande återkommer ett stort antal tillfällen i direktivet. Det finns därför ett behov av att referera inte bara till själva PNR-uppgifterna utan även till resultatet av behandlingen av dem. En lämplig samlingsbeteckning är PNR-information.
Sammanfattningsvis bör det i den nya lagen framgå att det ska finnas en enhet för passagerarinformation vid Polismyndigheten och att enheten ska ansvara för att samla in PNR-uppgifter från lufttrafikföretag, bevara och i övrigt behandla uppgifterna, och överföra PNR-information till behöriga mottagare och tredjeländer.
Hur enheten närmare ska organiseras, bemannas och administreras m.m. bör överlåtas till Polismyndigheten att bestämma, lämpligen i samråd med behöriga myndigheter. Som Hovrätten för Nedre Norrland har påpekat kommer det att ligga ett stort ansvar på enheten som kommer att hantera många svåra bedömningar. Det är således av vikt att enheten organiseras på ett sådant sätt att den upprätthåller det förtroende som behandling av den här typen av uppgifter innebär.
En definition av passagerare bör införas i definitionsparagrafen
Enligt artikel 3.4 i PNR-direktivet avses med passagerare alla personer, inbegripet personer i transfer eller transit, som transporteras eller ska transporteras med ett flygplan med lufttrafikföretagets godkännande. Detta godkännande ska framgå av att personen står med i passagerarförteckningen. Från begreppet passagerare exkluderas besättningsmedlemmar. En definition av passagerare bör föras in i den nya lagen. Passagerare bör definieras som alla personer, förutom besättningsmedlemmar, som transporteras eller ska transporteras med ett flygplan och som finns upptagna i passagerarförteckningen.
7.9 Tillåten behandling av PNR-information
Regeringens förslag: PNR-information får endast behandlas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Undantag gäller i verksamhet som rör nationell säkerhet och för behandling av PNR-information för annan brottslighet hos behöriga myndigheter.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår inget undantag i verksamhet som rör nationell säkerhet.
Remissinstanserna har inga synpunkter på förslaget.
Skälen för regeringens förslag: Av artikel 1.2 i direktivet framgår att PNR-uppgifter som samlas in i enlighet med direktivet endast får behandlas i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet i enlighet med artikel 6.2 a, b och c.
Begränsningen bör gälla oavsett om PNR-uppgifterna har samlats in från lufttrafikföretag i Sverige eller från lufttrafikföretag i en annan medlemsstat men kommit till Sverige i enlighet med direktivets bestämmelse om utbyte av PNR-uppgifter mellan medlemsstaterna enligt artikel 9.1-9.4. Begränsningen är även, enligt artikel 7.4, tillämplig för behöriga myndigheters behandling av mottagna PNR-uppgifter. Av direktivets olika bestämmelser följer vidare att inte heller resultatet av en enhet för passagerarinformations behandling av PNR-uppgifter får användas för andra syften.
Det är lämpligt att i den nya lagen slå fast den begränsning av användning av PNR-information som följer av direktivet. Begränsningen bör formuleras i enlighet med direktivets bestämmelse. Undantag föreslås gälla i verksamhet som rör nationell säkerhet och vid användning av överskottsinformation, se vidare avsnitt 7.5 och 11.3.
7.10 Förbud mot behandling av känsliga personuppgifter
Regeringens förslag: PNR-uppgifter som avslöjar en persons ras, etniska ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning ska inte få behandlas.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Förvaltningsrätten i Stockholm anser att det bör framgå direkt av lagen vilka känsliga personuppgifter som inte får behandlas.
Skälen för regeringens förslag: Enligt artikel 13.4 i PNR-direktivet ska medlemsstaterna förbjuda behandling av PNR-uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religion eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning. Om enheten för passagerarinformation mottar sådana PNR-uppgifter ska enheten enligt artikeln omedelbart radera uppgifterna.
De i artikel 13.4 uppräknade uppgifterna utgör vad som i dataskyddssammanhang brukar betecknas som känsliga personuppgifter. Även det nya dataskyddsdirektivet innehåller en bestämmelse om känsliga personuppgifter (artikel 10). Artikeln förslås genomföras i 2 kap. 11-14 §§ brottsdatalagen. Även i den nya dataskyddsförordningen, som framöver kommer att vara tillämplig exempelvis hos lufttrafikföretagen, finns i artikel 9 ett principiellt förbud mot behandling av känsliga personuppgifter samt vissa undantagsgrunder.
Eftersom det finns ett förbud mot behandling av känsliga personuppgifter ska inte lufttrafikföretagen överföra sådana uppgifter till enheten för passagerarinformation. Sådana uppgifter kan dock komma att överföras av misstag. Känsliga personuppgifter kan t.ex. komma att ingå bland de allmänna anmärkningarna (punkten 12 i bilaga I till direktivet), som utgör ett fritextfält för kommunikation mellan t.ex. resebokare och flygbolagspersonal. Här kan finnas uppgifter om t.ex. specialkost, behov av assistans, medicinska behov och andra hälsouppgifter. Dessa uppgifter kan avslöja en persons religion eller hälsotillstånd och får i sådana fall inte behandlas enligt direktivet. Också andra PNR-uppgifter kan innehålla information som avslöjar känsliga personuppgifter.
En bestämmelse som förbjuder behandling av känsliga personuppgifter bör föras in i lagen. Med tanke på dess centrala betydelse och att den bör gälla för samtliga aktörer som omfattas av lagen bör den tas in bland lagens inledande bestämmelser. I likhet med Förvaltningsrätten i Stockholm anser regeringen att bestämmelsen inte bör hänvisa till 2 kap. 11 § brottsdatalagen utan att det i stället bör framgå direkt av lagen vilka känsliga personuppgifter som inte får behandlas. Av lagen bör därför framgå att PNR-uppgifter som utgör sådana personuppgifter som avslöjar en persons ras, etniska ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning inte får behandlas. Förbudet gäller i stället för bestämmelsen i 2 kap. 11 § brottsdatalagen. Det bör vidare föras in bestämmelser som anger att enheten för passagerarinformation och de behöriga myndigheterna omedelbart ska förstöra sådana uppgifter för det fall de skulle motta sådana, se vidare avsnitt 9.8.2 och 11.2.
8 Lufttrafikföretagens skyldigheter
8.1 Överföring av PNR-uppgifter till enheten för passagerarinformation
Regeringens förslag: Lufttrafikföretag ska inför varje flygning som ankommer till eller avgår från Sverige överföra PNR-uppgifter till enheten för passagerarinformation.
Om flyglinjens beteckning delas med ett eller flera andra lufttrafikföretag, ska det lufttrafikföretag som utför flygningen överföra PNR-uppgifter om samtliga passagerare.
Begreppet lufttrafikföretag ska definieras i lagen.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Svenska Flygbranschen föreslår att lufttrafikföretagen bara ska lämna information till det land där flygresan påbörjas och att vidarebefordran av uppgifterna till ankomstlandet bör hanteras mellan respektive enheter för passagerarinformation. Övriga remissinstanser har inga synpunkter.
Skälen för regeringens förslag
Överföringen omfattar flygningar såväl inom som utanför EU
Enligt artiklarna 1.1 a och 8.1 och i direktivet ska medlemsstaterna anta de åtgärder som är nödvändiga för att se till att lufttrafikföretag överför vissa i direktivet angivna PNR-uppgifter i samband med flygningar utanför EU. Inför sådana flygningar ska enligt bestämmelsen PNR-uppgifter överföras till databasen hos enheten för passagerarinformation i den medlemsstat på vars territorium flygningen kommer att ankomma eller från det territorium varifrån flygningen kommer att avgå. I artikeln anges vidare att för det fall en flygning utanför EU omfattar en eller flera mellanlandningar på medlemsstaternas flygplatser, ska lufttrafikföretagen överföra PNR-uppgifter för alla passagerare till enheterna för passagerarinformation i alla berörda medlemsstater. Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag ska, enligt samma artikel, det företag som utför flygningen ha en skyldighet att överföra PNR-uppgifter om samtliga passagerare ombord.
Av artikel 2.1 framgår att medlemsstaterna, utöver flygningar utom EU, på frivillig grund även kan tillämpa direktivet på flygningar inom EU. I en deklaration som antogs av rådet i samband med antagandet av PNR-direktivet har Sverige och övriga medlemsstater förklarat att de, mot bakgrund av det aktuella säkerhetsläget i Europa, fullt ut kommer att utnyttja denna möjlighet. Enligt deklarationen ska detta ske senast det datum då direktivet ska införlivas i nationell rätt.
För att minimera flygbolagens arbetsuppgifter, samtidig som risken för felsändningar minskar, har Svenska Flygbranschen föreslagit att lufttrafikföretagen bara ska lämna information till det land där flygresan påbörjas och att vidarebefordran av uppgifterna till ankomstlandet bör hanteras mellan respektive enheter för passagerarinformation. Tanken bakom direktivet är dock att det i samtliga rättsordningar i de EU-länder som är bundna av direktivet ska finnas en harmoniserad skyldighet för lufttrafikföretagen att överföra PNR-uppgifter till såväl avgångslandets som ankomstlandets nationella enhet för passagerarinformation. Den svenska regleringen är begränsad till passagerartrafik som berör Sverige och svenska flygplatser samt överföringen av PNR-uppgifter till den svenska enheten för passagerarinformation. I den svenska regleringen bör därför finnas en uppgiftsskyldighet för lufttrafikföretagen att överföra PNR-uppgifter till enheten för passagerarinformation såväl när ett flyg ska ankomma som när det ska avgå från Sverige.
Vad är ett lufttrafikföretag?
Ett lufttrafikföretag definieras i direktivet som ett lufttrafikföretag med giltig operativ licens eller motsvarande som ger rätt att bedriva passagerarflygtrafik (artikel 3.1). Gemensamma bestämmelser för tillhandahållande av lufttrafik i gemenskapen finns även i Europaparlamentets och rådets förordning (EG) nr 1008/2008 av den 24 september 2008 om gemensamma regler för tillhandahållande av lufttrafik i gemenskapen (EU:s lufttrafikförordning). Med lufttrafik avses enligt förordningen en flygning eller en serie flygningar för befordran av passagerare, gods, och/eller post som utförs mot ersättning och/eller hyra. Ett företag definieras i förordningen som en fysisk eller juridisk person, oavsett om verksamheten bedrivs i vinstsyfte eller inte. Med företag kan enligt förordningen även avses ett officiellt organ, oavsett om det har självständig status som juridisk person eller inte.
Den kommersiella luftfarten för transport av passagerare brukar delas in i reguljärflyg och charterflyg. Med reguljärflyg avses luftfart som regelbundet trafikerar vissa flyglinjer. Vid en reguljärflygning köper passagerarna en plats, flygstol, på ett flygplan i linjetrafik. Med charterflyg avses i stället oregelbunden luftfart under en viss säsong. En charterflygning innebär vanligtvis att ett helt flygplan hyrs och används som en del av en paketresa. Ett flygplan kan dock chartras även för att utföra en enstaka flygresa. Det finns även så kallad taxiflygning, som innebär att hela flygplan eller helikoptrar hyrs ut tillfälligt. Med taxiflyg avses i detta sammanhang icke regelbunden luftfart med mindre luftfartyg, som är typgodkänt för befordran av högst tio passagerare. Destinationen väljs av den som beställt transporten.
För att få utföra lufttransporter mot betalning åt allmänheten krävs enligt 7 kap. 1 § luftfartslagen (2010:500) drifttillstånd oavsett om det handlar om reguljärflyg, charterflyg eller taxiflyg. Beträffande luftfart inom EU krävs det utöver ett drifttillstånd en operativ licens enligt EU:s lufttrafikförordning.
PNR-direktivets definition av ett lufttrafikföretag innefattar alla företag som utför lufttransport av passagerare mot betalning eller hyra så länge de har den angivna licensen. I begreppet företag innefattas, på samma sätt som enligt EU:s lufttrafikförordning, både fysiska och juridiska personer samt officiella organ. Enligt EU:s lufttrafikförordning undantas från kravet på operativ licens endast lufttrafik som utförs med icke-motordrivna luftfartyg och ultralätta motordrivna luftfartyg samt lokala flygningar. Alla övriga företag som utför lufttransporter mot betalning eller hyra inom unionen ska således ha en operativ licens och träffas därmed av PNR-direktivet. Således omfattas charterflygningarna av direktivets definition, även i de fall charterbolagen äger sina egna flygplan. Även taxiflygen omfattas av direktivets definition och träffas rent definitionsmässigt av direktivets överföringsskyldighet när de mot ersättning eller hyra utför lufttransporter med hjälp av mindre flyg eller helikopter över ett lands gränser.
PNR-direktivets definition av begreppet lufttrafikföretag bör införas i den nya lagen. I kravet på en giltig operativ licens ligger även ett krav på att lufttrafikföretaget har ett giltigt drifttillstånd. Definitionen omfattar således krav på såväl ett giltigt operativt tillstånd som ett drifttillstånd. Genom tillägget "eller motsvarande" innefattas även sådana utländska lufttrafikföretag som inte har en operativ licens utfärdad i ett land inom EU men som har en motsvarande licens från ett tredjeland. Utöver direktivets definition bör det även framgå att licensen ska ge rätt att bedriva passagerarflygtrafik, dvs. ge rätt att mot betalning eller hyra utföra lufttransporter av passagerare.
PNR-uppgifter definieras enligt artikel 3.5 i direktivet som en sammanställning av för resan nödvändiga uppgifter om varje enskild passagerare som gör det möjligt för det lufttrafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera reservationen för varje resa. Definitionen synes syfta till en systematisk behandling av uppgifter om passagerare via ett reservationssystem, ett avgångskontrollsystem som används för att checka in passagerare på flygningar eller likvärdiga system med liknande uppgifter. Av artikel 8.3 b framgår vidare att lufttrafikföretagen ska ha tillgång till en gate som passagerarna ska passera på vägen till flygplanet, varefter den andra omgången PNR-uppgifter ska överföras. Tanken bakom PNR-direktivet synes således vara att PNR-uppgifterna ska överföras från större aktörer, som normalt samlar in PNR-uppgifter från sina passagerare för operativa och kommersiella ändamål, systematiskt behandlar dem i reservationssystem, avgångskontrollsystem eller likvärdiga system samt själva eller genom en mellanman sköter ombordstigningen på flygplanen genom en gate. För att närmare ringa in de lufttrafikföretag som ska åläggas en grundläggande skyldighet att överföra PNR-uppgifter enligt lagförslaget bör således ett tillägg göras till definitionen av ett lufttrafikföretag. Detta tillägg bör innebära att lufttrafikföretaget i sin verksamhet ska samla in och behandla PNR-uppgifter i ett elektroniskt system. Genom en sådan skrivning faller de lufttrafikföretag som saknar sådana system för behandling av PNR-uppgifter utanför överföringsskyldigheten.
De lufttrafikföretag som utför charterflygningar innehar i många fall endast en mindre mängd PNR-uppgifter. De uppgifter som de innehar behandlas dock oftast systematiskt i företagens datorsystem. Behandlingen av PNR-uppgifter får därmed anses ingå som en normal del i dessa företags verksamhet. Ombordstigningen på flygplanen sker, i de flesta fall, genom en gate och hanteras elektroniskt på samma sätt som för reguljärflygningarna. Några problem med hänsyn till direktivets överföringstidpunkter föreligger därför i normalfallet inte. Som utgångspunkt omfattas således de lufttrafikföretag som utför charterflygningar av direktivets överföringsskyldighet.
De lufttrafikföretag som utför taxiflygningar saknar emellertid i många fall ett system för behandling av PNR-uppgifter i den mening som avses i direktivet. De namnuppgifter som samlas in för att uppfylla kravet på innehav av passagerarlistor antecknas i vissa fall endast manuellt eller med hjälp av excelblad. Någon sådan datoriserad behandling och kontroll av reservationer som avses i direktivet förekommer generellt inte. På mindre flygplatser saknas dessutom gater och incheckningen sker därför manuellt. Den i direktivet angivna skyldigheten att överföra PNR-uppgifter omedelbart efter det att gatens dörrar har stängts synes därmed svår att uppfylla. De mindre taxiflygföretag som inte behandlar PNR-uppgifter på det sätt som avses i direktivet omfattas således inte av överföringsskyldigheten. För dessa aktörer får efterfrågade passageraruppgifter i stället begäras in med stöd av gällande bestämmelser för transportföretag i polislagen (1984:387), tullagen (2016:253) och lagen (1996:701) om Tullverkets befogenhet vid Sveriges gräns mot ett annat land inom Europeiska unionen, som det finns anledning att behålla för sådan lufttrafik som utförs av företag som inte kommer att omfattas av skyldigheter enligt den nya lagen, se avsnitt 7.6.
8.2 Vilka PNR-uppgifter ska överföras?
Regeringens förslag: De PNR-uppgifter som ska överföras ska framgå av en bilaga till den nya lagen. Uppgifterna ska dock endast överföras i de fall lufttrafikföretagen samlar in uppgifterna som en del av sin normala verksamhet.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna har inga synpunkter på förslaget.
Skälen för regeringens förslag
PNR-uppgifter som omfattas av direktivet
Enligt artikel 8.1 i PNR-direktivet ska lufttrafikföretag till enheten för passagerarinformation överföra de PNR-uppgifter som återfinns i bilaga I till direktivet, förutsatt att de redan samlar in sådana uppgifter som en del av sin normala affärsverksamhet. Direktivet ålägger alltså inte lufttrafikföretag att inhämta ytterligare uppgifter eller några uppgifter alls om sina passagerare och medför inte någon skyldighet för passagerare att tillhandahålla några uppgifter utöver dem som redan tillhandahålls lufttrafikföretagen. Vad direktivet handlar om är således att redan insamlade uppgifter ska lämnas ut för ny användning i brottsbekämpande syfte. För det fall företaget inte samlar in PNR-uppgifter i dag, kan överföringsskyldigheten dock inträda i samband med att företaget påbörjar en sådan insamling.
Förteckningen i bilaga I har enligt skäl 15 i PNR-direktivet till syfte att återspegla de offentliga myndigheternas legitima krav på att kunna förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och därigenom förbättra den inre säkerheten i EU, samtidigt som grundläggande rättigheter skyddas, särskilt rätten till privatlivet och rätten till skydd av personuppgifter. Vid framtagandet av förteckningen har Europeiska unionens stadga, Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen) samt Europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) beaktats. Det anges vidare att förteckningen inte är avsedd att grundas på en persons ras eller etniska ursprung, religion eller övertygelse, politiska eller annan åskådning, medlemskap i fackförening, hälsotillstånd, sexualliv eller sexuella läggning. De i förteckningen angivna PNR-uppgifterna ska endast omfatta sådan information om passagerarens bokning och resrutt som gör det möjligt för de behöriga myndigheterna att identifiera flygpassagerare som utgör ett hot mot den inre säkerheten.
Förteckningen över PNR-uppgifter i bilagan omfattar 19 punkter. Uppräkningen innefattar exempelvis datum för bokning/utfärdande av biljett, namn, adress och kontaktuppgifter. PNR-uppgifternas lokaliseringskod enligt punkt 1 avser en kod innehållande siffror och bokstäver som är specifik för en särskild resenärs resa. Koden är detsamma som ett boknings- eller reservationsnummer. Med delade PNR-uppgifter enligt punkt 11 avses en uppgift om att det tidigare har funnits ytterligare resenärer med samma lokaliseringskod. När delade PNR-uppgifter finns har alltså inledningsvis två passagerare eller fler haft en gemensam bokning, men en eller flera har gjort ombokningar. Vid en ombokning får de utvalda passagerarna en ny lokaliseringskod. I punkt 12 i bilagan anges allmänna anmärkningar, vilket utgör ett fritextsfält för kommunikation mellan t.ex. resebokare och flygbolagspersonal. I detta fält kan t.ex. anges uppgifter om ensamresande barn under 18 år, cykel med ombord, specialkost, funktionshinder m.m. Uppgifterna om barn som reser utan vuxet sällskap är här särskilt angivna eftersom de kan ha betydelse vid utredningar om människosmuggling.
I rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (API-direktivet) regleras transportörers skyldighet att på begäran förse nationella myndigheter med passageraruppgifter inför resor från länder som inte tillhör EU och inte heller har träffat avtal om samarbete enligt Schengenkonventionen med konventionsstaterna. API-uppgifter avser främst sådan information som finns på passets maskinläsbara del, t.ex. typ av identitetshandling, identitetshandlingens nummer, utfärdandeland och sista giltighetsdag. Av punkten 18 framgår att API-uppgifter omfattas av de uppgifter som ska överföras till enheterna. Att använda PNR-uppgifter tillsammans med API-uppgifter anges i skäl 9 i PNR-direktivet tillföra ett mervärde, genom att det hjälper medlemsstaterna att kontrollera en individs identitet, vilket ökar PNR-uppgifternas betydelse för brottsbekämpningen och minimerar risken för att man kontrollerar och utreder oskyldiga personer. I artikel 8.2 anges därför att om lufttrafikföretagen har samlat in sådana API-uppgifter om passagerare som förtecknas i punkten 18 i bilagan, men inte lagrar denna information med hjälp av samma tekniska metoder som för andra PNR-uppgifter, ska medlemsstaterna vidta nödvändiga åtgärder för att säkerställa att lufttrafikföretagen överför även dessa uppgifter till enheten för passagerarinformation i de medlemsstater som avses i artikel 8.1. Direktivets samtliga bestämmelser är därmed tillämpliga även vid överföring av dessa uppgifter.
Utredningen har kommit fram till att PNR-direktivet varken ersätter eller påverkar API-direktivet eller dess genomförande i Sverige och att direktiven därför kommer att vara parallellt tillämpliga. Regeringen delar denna bedömning.
De PNR-uppgifter som ska överföras bör framgå av en bilaga till lagen
Det bör av den nya lagen framgå vilka PNR-uppgifter som omfattas av lufttrafikföretagens överföringsskyldighet. Vidare bör det av lagen framgå att PNR-uppgifterna endast ska överföras i de fall lufttrafikföretagen samlar in uppgifterna som en del av sin normala verksamhet.
En förteckning över de PNR-uppgifter som omfattas kan föras in i en bilaga till lagen. En hänvisning endast till den bilaga till direktivet där PNR-uppgifterna framgår bedöms inte som lämplig med hänsyn till att den svenska versionen av bilagan har rättats och i övrigt innehåller vissa oklarheter i översättningen. Det föreslås därför att det till lagen fogas en bilaga som listar de PNR-uppgifter som anges i bilaga I till direktivet.
8.3 Överföringar ska ske vid två tillfällen
Regeringens förslag: PNR-uppgifterna ska som huvudregel överföras vid två tillfällen. Det första tillfället ska vara 24-48 timmar före flygningens avgång och det andra tillfället omedelbart efter att gatens dörrar har stängts.
Den andra överföringen ska få begränsas till uppdateringar och kompletteringar av de uppgifter som överfördes vid det första tillfället.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna har inga synpunkter i denna del.
Skälen för regeringens förslag: Av artikel 8.3 i PNR-direktivet framgår att lufttrafikföretagen ska överföra sina PNR-uppgifter vid två tillfällen. Det första tillfället då en överföring ska ske är 24-48 timmar före flygningens planerade avgång. Det andra tillfället är omedelbart efter det att gatens dörrar har stängts. Den sista överföringen av uppgifter anses vara av avgörande betydelse för brottsbekämpningen eftersom t.ex. narkotikakurirer ofta bokar sina resor sent, alternativt bokar om dem. Enligt artikel 8.4 ska medlemsstaterna tillåta lufttrafikföretagen att begränsa den sista överföringen till uppdateringar av de överföringar som har gjorts dessförinnan.
Direktivets bestämmelser om överföringstidpunkter bör föras in i den nya lagen. Den tidsram om 24-48 timmar som anges i direktivet bör bibehållas i den svenska regleringen. Den andra överföringstidpunkten kan i lagen, på samma sätt som i direktivet, avgränsas till när gatens dörrar har stängts, dvs. när passagerarna har stigit ombord på planet inför avgång och passagerare inte längre tillåts stiga ombord eller gå av. Tidpunkten för överföringen borde därmed vara tillräckligt definierad. Vidare bör det av lagen framgå att den andra överföringen får begränsas till uppdateringar eller kompletteringar av de uppgifter som överfördes vid det första tillfället. En andra överföring ska således alltid omfatta även nytillkomna PNR-uppgifter, t.ex. avseende passagerare som bokat flygresan mindre än ett dygn före avgång.
8.4 Överföringar vid andra tidpunkter
Regeringens förslag: Lufttrafikföretag ska på begäran av enheten för passagerarinformation överföra PNR-uppgifter även vid andra tidpunkter än enligt huvudregeln, om enheten bedömer att det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna har inga synpunkter på förslaget.
Skälen för regeringens förslag: I vissa situationer kan lufttrafikföretag behöva överföra PNR-uppgifter även vid andra tidpunkter än de som angetts ovan. I artikel 8.5 i PNR-direktivet anges att i situationer där åtkomst till PNR-uppgifter är nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet, ska lufttrafikföretag på begäran av en enhet för passagerarinformation överföra PNR-uppgifter vid andra tidpunkter än de som anges i artikel 8.3. En sådan begäran kan exempelvis bli aktuell då omständigheterna medför att tillgång till PNR-uppgifter avseende en viss person eller en viss flygresa är nödvändig för att reagera på en särskild risk för sådan brottslighet som avses i direktivet.
Enligt direktivet ska en sådan extra överföring ske efter en bedömning i det enskilda fallet. En bedömning huruvida det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter bör göras av enheten för passagerarinformation, eventuellt efter framställan av en behörig myndighet. Det är ju enheten för passagerarinformation och de behöriga myndigheterna som har bäst kunskap i en sådan fråga och som har tillgång till de, troligen sekretessbelagda, uppgifter som bedömningen vilar på. Det är således inte upp till lufttrafikföretagen att bestämma om en överföring av PNR-uppgifter ska ske i dessa fall, utan överföringen ska ske när en sådan begäran kommer in från enheten för passagerarinformation. Detta bör framgå av regleringen. Således föreslås att det i den nya lagen anges att ytterligare överföringar ska ske när det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet.
8.5 Uppgifterna ska överföras elektroniskt
Regeringens förslag: Lufttrafikföretag ska överföra PNR-uppgifterna elektroniskt.
Enheten för passagerarinformation får inte medges direktåtkomst till lufttrafikföretagens PNR-uppgifter.
Regeringens bedömning: Närmare bestämmelser om lufttrafikföretagens överföring av PNR-uppgifter till enheten för passagerarinformation bör meddelas i förordning.
Utredningens förslag och bedömning överensstämmer i sak med regeringens.
Remissinstanserna: Svenska Flygbranschen ser problem för det fall kommissionen kommer att tillåta användning av flera olika dataprotokoll och format vilket kan försvåra överföringen av informationen.
Skälen för regeringens förslag och bedömning
Lufttrafikföretagen ska överföra uppgifterna elektroniskt
All överföring av PNR-uppgifter från lufttrafikföretag till enheter för passagerarinformation inom ramen för PNR-direktivet ska enligt artikel 8.3 ske på elektronisk väg. Av artikeln framgår också att överföringarna ska ske genom användning av de gemensamma protokoll och understödda dataformat som kommer att antas av kommissionen. Vid eventuella tekniska problem får överföringarna ske på något annat sätt som säkerställer ett lämpligt dataskydd (artiklarna 8.3 och 16.1).
I artikel 16.2 finns närmare bestämmelser om formen för överföringarna. Här framgår att kommissionen ska anta en förteckning över godkända gemensamma protokoll och understödda dataformat som ska användas vid överföring av PNR-uppgifter. Alla lufttrafikföretag ska bestämma vilket gemensamt protokoll och vilket dataformat i förteckningen som de avser att använda för sina överföringar och underrätta enheterna för passagerarinformation om detta.
Kommissionen har i genomförandebeslut (EU) 2017/759 av den 28 april 2017 om gemensamma protokoll och dataformat som ska användas av lufttrafikföretag när PNR-uppgifter överförs till enheterna för passagerarinformation antagit en sådan förteckning över gemensamma protokoll och understödda format. Förteckningen kan senare komma att ändras (artikel 16.3). I genomförandebeslutet anges att mindre lufttrafikföretag, som inte tillhandahåller flygförbindelser i enlighet med en särskild och offentlig tidtabell och som inte har den nödvändiga infrastrukturen för att använda de gemensamma protokollen och understödda formaten, ska undantas från skyldigheten att använda dessa format och protokoll. Ett sådant lufttrafikföretag ska i stället överföra sina uppgifter på något annat elektroniskt sätt som tillhandahåller tillräckliga garantier med avseende på de tekniska säkerhetsåtgärderna, och som ska överenskommas mellan lufttrafikföretaget och den berörda medlemsstaten. Ett år från den dag då kommissionen för första gången har antagit gemensamma protokoll och understödda dataformat ska all överföring av PNR-uppgifter från lufttrafikföretag till enheter för passagerarinformation inom ramen för direktivet ske enligt de gemensamma protokollen och understödda dataformaten (artikel 16.2). Inom samma tid ska medlemsstaterna vidta de tekniska åtgärder som krävs för att dessa gemensamma protokoll och dataformat ska kunna börja användas (artikel 16.5). Enligt artikel 16.2 ska de gemensamma protokollen användas för alla överföringar, så att PNR-uppgifternas säkerhet under överföringen tryggas och uppgifterna överförs i ett understött format, för att säkerställa att det kan läsas av alla berörda parter. En användning av de av kommissionen utsedda dataprotokollen och formaten bör därmed inte försvåra överföringen av informationen som Svenska Flygbranschen befarar.
Av lagen bör framgå att överföringarna ska ske elektroniskt. De närmare formerna för överföringarna kommer dock att skifta mellan lufttrafikföretagen och bero på vilket format och protokoll de kommer att välja för överföringarna och huruvida företagen är sådana att de enligt kommissionens beslut kan använda sig av någon annan form för överföringen. Enligt direktivets artikel 14 ska sanktioner träffa de lufttrafikföretag som inte överför PNR-uppgifter i det fastställda formatet. Det behöver därför finnas närmare bestämmelser om formaten för överföringarna. Vid eventuella tekniska problem ska vidare överföringarna enligt artikel 8.3 ske på något annat sätt som säkerställer ett lämpligt dataskydd. Dessa frågor kan enligt regeringens mening regleras i förordning eller myndighetsföreskrifter. En bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela sådana föreskrifter bör införas i den nya lagen.
Direktåtkomst är inte tillåten
Det finns enligt skäl 16 i PNR-direktivet två möjliga metoder för överföring av PNR-uppgifter. Den ena metoden är direktåtkomst (även kallad pull-metoden) som innebär att de behöriga myndigheterna i den medlemsstat som begär tillgång till PNR-uppgifter kan få direktåtkomst till lufttrafikföretagets bokningssystem för att hämta en kopia av de PNR-uppgifter som behövs. Den andra metoden är sändmetoden (även kallad push-metoden), som innebär att lufttrafikföretagen överför de begärda PNR-uppgifterna till den myndighet som har begärt dem. Sändmetoden gör det möjligt för lufttrafikföretagen att behålla kontroll över vilka uppgifter som tillhandahålls. Den metoden anses därför ge en bättre skyddsnivå för uppgifterna (jfr skäl 16 i PNR-direktivet). Direktivet föreskriver att all överföring av PNR-uppgifter från lufttrafikföretagen ska ske enligt sändmetoden (artiklarna 3.7 och 8.1).
Det bör av lagen framgå vilken metod som ska användas för överföringarna. Detta görs lämpligast genom en bestämmelse som anger att enheten för passagerarinformation inte får medges direktåtkomst till lufttrafikföretagens PNR-uppgifter. Av en sådan bestämmelse framgår motsatsvis att sändmetoden ska användas för överföringarna.
8.6 Anlitande av personuppgiftsbiträde
Regeringens förslag: Lufttrafikföretag som är skyldiga att överföra PNR-uppgifter får anlita ett personuppgiftsbiträde för att utföra överföringen.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna har inte några invändningar i denna del.
Skälen för regeringens förslag: Den nya lagen kommer att ålägga vissa lufttrafikföretag att överföra PNR-uppgifter till enheten för passagerarinformation. Lufttrafikföretagen är personuppgiftsansvariga för att överföringarna till enheten för passagerarinformation sker på ett säkert sätt, se vidare avsnitt 9.3. Det finns dock inget i direktivet som hindrar att lufttrafikföretagen använder sig av mellanmän, s.k. personuppgiftsbiträden, för att utföra själva överföringen. Det är således möjligt att överföringarna kommer att ske via systemleverantörer och datoriserade bokningssystem. Detta bör av tydlighetsskäl framgå av lagen.
8.7 Information till passagerare
Regeringens förslag: Lufttrafikföretag ska informera passagerarna om överföringen av PNR-uppgifter till enheten för passagerarinformation och om skälen till överföringen.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Advokatsamfundet anser att den föreslagna bestämmelsen är otillräcklig när det gäller kravet på information till den registrerade. Övriga remissinstanser har inga synpunkter på förslaget.
Skälen för regeringens förslag: En viktig aspekt av personuppgiftsskyddet är enskildas rätt att få veta hur deras personuppgifter behandlas. Information om den personuppgiftsbehandling som pågår är en förutsättning för att någon ska kunna kontrollera om behandlingen är författningsenlig och i övrigt kunna bevaka sina intressen. Enligt PNR-direktivets skäl 37 bör medlemsstaterna se till att passagerarna klart och tydligt informeras om insamlingen av PNR-uppgifterna och om sina rättigheter. Även i skäl 29 anges att medlemsstaterna bör se till att passagerare förses med korrekt, lättåtkomlig och lättbegriplig information om insamlingen av PNR-uppgifter och överföringen av dessa uppgifter till enheten för passagerarinformation samt om sina rättigheter i egenskap av registrerade. Vem som ska lämna denna information till passagerarna anges inte. Informationen skulle således kunna lämnas såväl av lufttrafikföretagen som av enheten för passagerarinformation. Kommissionen har angett att den mest praktiska och önskvärda lösningen är att informationen lämnas av lufttrafikföretagen.
Lufttrafikföretagens personuppgiftsbehandling kommer efter den 25 maj 2018 att regleras av dataskyddsförordningen. Enskildas rätt till information regleras i artiklarna 12-14 i förordningen. Enligt bestämmelserna ska lufttrafikföretagen, om informationen samlas in från den registrerade, lämna viss information till den registrerade, bl.a. vilka mottagare eller kategorier av mottagare som ska ta del av personuppgifterna. Således följer det redan av dataskyddsförordningen att lufttrafikföretagen ska informera sina passagerare om att de insamlade PNR-uppgifterna kommer att överföras till enheten för passagerarinformation. För det fall lufttrafikföretagen inte har samlat in uppgifterna från den registrerade själv, utan erhållit dem från en researrangör eller resebyrå, gäller dock inte informationsskyldigheten eftersom utlämnande av uppgifterna följer av en författningsreglerad skyldighet (se artikel 14.5 c i förordningen).
Regeringen delar kommissionens uppfattning att den mest praktiska lösningen är att lufttrafikföretagen åläggs en skyldighet att informera sina passagerare, oavsett om de själva samlat in uppgifterna eller om de erhållit dem från en researrangör eller resebyrå. Lufttrafikföretagen lämnar redan i dag liknande information till sina resenärer inför resor till länder som kräver tillgång till PNR-uppgifter. Informationen kan lämpligen lämnas tillsammans med övrig information som lufttrafikföretagen ska lämna till sina passagerare enligt dataskyddsförordningen.
Advokatsamfundet har framhållit att den enskilde, genom att kontakta ett lufttrafikföretag via nätet eller göra en bokning på annat sätt, inte kan anses ha samtyckt till att information om honom eller henne samlas in och nyttjas av lufttrafikföretaget. Advokatsamfundet har vidare framhållit att den registrerade innan den kan samtycka till att personuppgifterna behandlas genom att vidarebefordras till andra aktörer tydligt måste ha informerats om detta.
För överföringen av uppgifterna till enheten för passagerarinformation krävs inget samtycke från den enskilde eftersom behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar lufttrafikföretagen (artikel 6.1 c dataskyddsförordningen). När det gäller lufttrafikföretagens insamling av uppgifterna förutsätter regeringen att lufttrafikföretagen efter den 25 maj 2018 följer dataskyddsförordningens bestämmelser och att insamlingen av uppgifterna vilar på en rättslig grund enligt artikel 6.1 i förordningen.
Den enskildes rätt till information följer, som framgått ovan, redan av dataskyddsförordningen. Eftersom förordningen inte ställer krav på information för det fall lufttrafikföretagen har erhållit PNR-informationen från resebyråer eller researrangörer anser regeringen att lufttrafikföretagen även i den nya lagen bör åläggas att informera passagerarna om överföringen av PNR-uppgifter till enheten för passagerarinformation. Skyldigheten gäller därmed oavsett om PNR-uppgifterna samlats in direkt från passagerare eller via en resebyrå eller en researrangör. Eftersom endast en upplysning om att PNR-uppgifterna kommer att överföras till enheten för passagerarinformation kan vara svår att förstå för den enskilde resenären bör lufttrafikföretagen även informera om skälen till överföringen. Ett åläggande att lämna denna information påverkar inte lufttrafikföretagens övriga informationsskyldighet enligt dataskyddsförordningen och får i enlighet med artikel 6.2 och 6.3 i dataskyddsförordningen anses utgöra en sådan tillåten nationell bestämmelse som säkerställer en laglig och rättvis behandling. Det medför inte heller någon inskränkning i Polismyndighetens skyldighet att i egenskap av personuppgiftsansvarig lämna information om den personuppgiftsbehandling som kommer att ske vid enheten för passagerarinformation.
9 Behandling av PNR-information vid enheten för passagerarinformation
9.1 En databas för PNR-uppgifter
Regeringens förslag: PNR-uppgifter som har överförts från lufttrafikföretag ska bevaras i en databas vid enheten för passagerarinformation.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna yttrar sig inte särskilt i denna fråga.
Skälen för regeringens förslag: Medlemsstaterna ska enligt artikel 12.1 i direktivet se till att PNR-uppgifter som lämnas av lufttrafikföretag till enheten för passagerarinformation lagras i en databas.
Det bör framgå av den nya lagen att det vid enheten för passagerarinformation ska finnas en datoriserad uppgiftssamling där PNR-uppgifter som har överförts från lufttrafikföretagen ska bevaras. Bestämmelsen bör vara utformad nära direktivets ordalydelse.
9.2 Behandling av PNR-information ska ske i Sverige
Regeringens förslag: Enheten för passagerarinformations behandling av PNR-information ska ske i Sverige.
Utredningens förslag överensstämmer inte med regeringens. Utredningen föreslår att enheten för passagerarinformations behandling av PNR-information inte får ske utanför medlemsstaternas territorium.
Remissinstanserna: Tullverket anser att det kan finnas anledning att på ett tydligare sätt genomföra direktivets krav på säkerhetsbestämmelser i artikel 6.8. Övriga remissinstanser har inte några synpunkter på förslaget.
Skälen för regeringens förslag: Enligt artikel 6.8 i PNR-direktivet ska lagring, behandling och analys av PNR-uppgifter vid enheten för passagerarinformation uteslutande utföras på en eller flera säkra platser på en medlemsstats territorium. Av skäl 13 i direktivet framgår att medlemsstater gemensamt får inrätta en enhet för passagerarinformation.
I lagrådsremissen föreslår regeringen att enheten för passagerarinformations behandling av PNR-information ska ske på en medlemsstats territorium, dvs. inte nödvändigtvis i Sverige. Enligt Lagrådet kan det ifrågasättas om genomförandet är förenligt med vad som föreskrivs i artikel 6.8. Lagrådet menar att ordalydelsen i artikeln snarare ger stöd för att PNR-information ska behandlas i den medlemsstat där den aktuella enheten för passagerarinformation är belägen. Lagrådet förordar därför att enheten för passagerarinformations behandling av PNR-information begränsas till behandling i Sverige. Regeringen instämmer i att direktivet kan utläsas på det sätt som Lagrådet menar och delar bedömningen att enhetens behandling av PNR-information bör begränsas till svenskt territorium. Bestämmelsen bör därför ändras i enlighet med Lagrådets förslag. Med tanke på att de generella säkerhetsbestämmelserna i 3 kap. brottsdatalagen och registerförfattningarna kommer att gälla utöver den nya lagen, är det enligt regeringens mening inte nödvändigt att särskilt föreskriva att hanteringen även ska ske på säkra platser. Det framgår redan av de generella bestämmelserna. Regeringen delar därför inte Tullverkets uppfattning att direktivets krav på säkerhetsbestämmelser behöver genomföras på ett tydligare sätt.
9.3 Personuppgiftsansvar vid enheten för passagerarinformation
Regeringens förslag: Polismyndigheten ska vara personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinformation.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna har inte några synpunkter på förslaget.
Skälen för regeringens förslag: PNR-direktivet innehåller inte några särskilda bestämmelser om personuppgiftsansvar. Däremot innehåller direktivet en rad skyldigheter för de nationella enheterna för passagerarinformation när det gäller krav på behandling av personuppgifter.
Den svenska enheten för passagerarinformation kommer att inrättas vid Polismyndigheten och ingå som en organisatorisk enhet i den myndigheten. Personuppgiftsansvaret för den behandling av personuppgifter som enheten utför enligt den nya lagen bör därför ligga på Polismyndigheten. Frågan är om detta behöver regleras särskilt.
För Polismyndighetens personuppgiftsbehandling vid enheten för passagerarinformation kommer brottsdatalagen och polisdatalagen (2010:361) att bli tillämplig, för det fall inte annat anges i den nya lagen. Av polisdatalagen framgår att Polismyndigheten är personuppgiftsansvarig för den personuppgiftsbehandling som utförs vid myndigheten. Det är därför inte nödvändigt att i den nya lagen ange att det är Polismyndigheten som har personuppgiftsansvaret för enhetens personuppgiftsbehandling. Eftersom frågan förtjänar tydlighet anser dock regeringen att det i den nya lagen bör införas en bestämmelse om Polismyndighetens personuppgiftsansvar. Bestämmelsen är således av upplysande karaktär och förtydligar att det är Polismyndigheten som ansvarar för den behandling av personuppgifter som utförs vid enheten för passagerarinformation.
Efter att PNR-uppgifterna har överförts från enheten för passagerarinformation till olika behöriga myndigheter kommer respektive myndighet att ansvara för de överförda personuppgifterna och dess fortsatta behandling av dem. Någon särskild reglering av personuppgiftsansvaret hos de behöriga myndigheterna behöver inte tas in i den nya lagen.
Lufttrafikföretagen har ansvaret för de uppgifter som de samlar in och behandlar i sin verksamhet. Lufttrafikföretagens personuppgiftsansvar framgår av dataskyddsförordningen. Det förhållandet att lufttrafikföretagen åläggs en skyldighet att översända redan insamlade uppgifter till enheten för passagerarinformation medför inget behov av en särskild reglering av personuppgiftsansvaret eftersom bestämmelserna i dataskyddsförordningen kommer att omfatta även den behandlingen av uppgifterna. För det fall att ett lufttrafikföretag anlitar en systemleverantör för överföringen till enheten för passagerarinformation uppträder denne, i fråga om överföringen, som ett personuppgiftsbiträde som behandlar personuppgifter för det personuppgiftsansvariga lufttrafikföretagets räkning. Ansvaret för att överföringen till enheten för passagerarinformation sker på ett säkert sätt ligger således hos lufttrafikföretagen. De har dock givetvis inget ansvar för den hanteringen som sker efter att enheten för passagerarinformation har mottagit uppgifterna.
9.4 Personuppgiftsincident
Regeringens bedömning: Bestämmelserna i brottsdatalagen om personuppgiftsincidenter bör i sin helhet tillämpas på personuppgiftsincidenter vid enheten för passagerarinformation. Personuppgiftsincidenter behöver därför inte regleras särskilt i den nya lagen.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna har inte några synpunkter på förslaget.
Skälen för regeringens bedömning: Enligt artikel 13.8 i PNR-direktivet ska enheten för passagerarinformation utan onödigt dröjsmål informera den registrerade och den nationella tillsynsmyndigheten om en personuppgiftsincident kan antas medföra ett avsevärt hot mot skyddet av den registrerades personuppgifter eller negativt påverka dennes integritet. Bestämmelsen har sin motsvarighet i 3 kap. 9 § och 10 § första stycket i förslaget till brottsdatalag vilka kommer att gälla för eventuella personuppgiftsincidenter vid enheten för passagerarinformation i den mån det inte införs avvikande bestämmelser i den nya lagen.
I 3 kap. 9 § brottsdatalagen föreskrivs att en personuppgiftsincident ska anmälas till tillsynsmyndigheten senast 72 timmar efter det att den personuppgiftsansvarige har fått kännedom om incidenten, utom i de fall incidenten ska rapporteras enligt säkerhetsskyddslagen (1996:627) eller föreskrifter som har meddelats i anslutning till den lagen. Ett sådant undantag finns inte angivet i PNR-direktivet. Nationell säkerhet omfattas dock inte av unionsrätten. Det finns därför inte något hinder mot att ha ett motsvande undantag vid genomförandet av PNR-direktivet.
Om en personuppgiftsincident som ska anmälas enligt 3 kap. 9 § första stycket brottsdatalagen har medfört eller kan medföra risk för otillbörligt intrång i registrerades personliga integritet ska den personuppgiftsansvarige enligt 3 kap 10 § första stycket brottsdatalagen underrätta den registrerade om incidenten.
I brottsdatalagen finns alltså bestämmelser om rapportering av personuppgiftsincidenter till både tillsynsmyndigheten och den registrerade. Regeringen anser att bestämmelserna i brottsdatalagen lever upp till kraven i PNR-direktivet. I 3 kap. 10 § andra och tredje styckena och 11 § brottsdatalagen regleras vissa undantag från underrättelseskyldigheten, t.ex. om den personuppgiftsansvarige har tillämpat lämpliga tekniska och organisatoriska skyddsåtgärder, har säkerställt att det inte längre finns risk för otillbörligt intrång i den personliga integriteten eller om den personuppgiftsansvarige skulle behöva göra oproportionerliga ansträngningar för att underrätta alla berörda. PNR-direktivet saknar motsvarigheter till dessa undantag. Undantagen och deras genomförande i brottsdatalagen är emellertid resultatet av rimliga och nödvändiga avvägningar. Om inte samma undantag skulle gälla för enheten för passagerarinformation skulle enheten åläggas orimliga krav som inte står i proportion till enskildas behov av information. Undantagen i brottsdatalagen bör därför vara tillämpliga även för sådana personuppgiftsincidenter som kan komma att uppstå vid enheten för passagerarinformation. Särskilda bestämmelser om personuppgiftsincidenter behöver således inte införas i den nya lagen.
9.5 Tillåtna ändamål för behandling av PNR-uppgifter från lufttrafikföretag
Regeringens förslag: Enheten för passagerarinformation ska endast få behandla PNR-uppgifter som har överförts från lufttrafikföretag för vissa särskilda ändamål.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Nästan alla remissinstanser tillstyrker förslaget eller lämnar det utan erinran. Säkerhets- och integritetsskyddsnämnden föreslår att ordet ändamål i bestämmelsen och rubriken till bestämmelsen byts ut till rättsliga grunder i likhet med brottsdatalagens utformning.
Skälen för regeringens förslag
Tillåtna ändamål för behandlingen
I artikel 6.2 i PNR-direktivet finns bestämmelser om vad enheten för passagerarinformation får göra med de insamlade PNR-uppgifterna. Av bestämmelsen framgår att enheten endast får behandla PNR-uppgifterna för följande tre ändamål:
- Göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från den berörda medlemsstaten, för att identifiera personer som de behöriga myndigheterna och i förekommande fall Europol behöver utreda ytterligare, på grund av att dessa personer kan vara inblandade i terroristbrott eller grov brottslighet.
- I enskilda fall, besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla PNR-uppgifter i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet och tillhandahålla de behöriga myndigheterna eller, när så är lämpligt, Europol resultaten av sådan behandling.
- Analysera PNR-uppgifter för att uppdatera och skapa nya kriterier som ska användas vid de bedömningar som genomförs enligt artikel 6.3 b, i syfte att identifiera personer som kan vara delaktiga i terroristbrott eller grov brottslighet.
Av artiklarna 9 och 11 i PNR-direktivet framgår att PNR-uppgifterna även får lämnas ut till andra medlemsstater och tredjeländer.
I den nya lagen bör regleras för vilka ändamål PNR-uppgifter som har mottagits från lufttrafikföretagen får behandlas. Artikel 6.2 bör genomföras genom en bestämmelse som på ett enkelt sätt beskriver för vilka ändamål enheten får behandla PNR-uppgifter och som dessutom inkluderar behandling för sådana ändamål som anges i artiklarna 9 och 11.
Säkerhets- och integritetsskyddsnämnden har föreslagit att bestämmelsen ska benämnas rättslig grund i stället för tillåtna ändamål. I förslaget till ny brottsdatalag skiljer man på bestämmelser om rättslig grund och bestämmelser om ändamål. Bestämmelser om ändamål är bestämmelser som är tillräckligt specificerade för att ge ledning för bedömningen av vilka uppgifter som är adekvata och relevanta för behandlingen och för att kunna avgöra att inte för många uppgifter behandlas. Sådana bestämmelser ska skiljas från bestämmelser om rättslig grund för behandlingen som inte ger någon egentlig ledning för prövningen av vilka personuppgifter som får behandlas. Den nu föreslagna bestämmelsen är enligt regeringens mening en sådan tillräckligt specificerad bestämmelse som ger ledning i hur personuppgifterna får behandlas och är därmed en ändamålsbestämmelse och inte en rättslig grund. Bestämmelsen bör därför, som föreslagits av utredningen, benämnas tillåtna ändamål.
Uppräkningen i bestämmelsen innebär att PNR-uppgifter som har överförts från ett lufttrafikföretag endast får behandlas för något av de angivna ändamålen. PNR-uppgifterna får också behandlas när det är nödvändigt för att tillhandahålla uppgifter som behövs för verksamhet som rör nationell säkerhet enligt 1 kap. 6 §. Paragrafen ersätter de ändamålsbestämmelser som anges i 2 kap. 7 och 8 §§ polisdatalagen och utesluter en tillämpning av 2 kap. 4 § brottsdatalagen om nya ändamål. Behandling är dock alltid tillåten för att uppfylla de syften som anges i 2 kap. tryckfrihetsförordningen om allmänna handlingars offentlighet. Vidare får PNR-uppgifterna alltid behandlas för att besvara en förfrågan från en enskild om huruvida dennes personuppgifter behandlas vid enheten eller för att ge tillsynsmyndigheten tillgång till behandlade uppgifter.
Hur de olika ändamålen ska regleras i lagen behandlas nedan.
9.5.1 Förhandsbedömningar
Regeringens förslag: PNR-uppgifter ska få behandlas för att göra en förhandsbedömning av passagerare. Bedömningen ska göras före den beräknade ankomsten till eller avresan från Sverige i syfte att välja ut personer som behöver utredas ytterligare av behöriga myndigheter eller Europol, på grund av att de kan vara inblandade i terroristbrottslighet eller annan allvarlig brottslighet.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Polismyndigheten anser att ordet utreda bör bytas ut mot ordet undersöka för att undvika oklarheter rörande för vilka ändamål förhandsbedömningar får göras. Övriga remissinstanser har inte några synpunkter på förslaget.
Skälen för regeringens förslag: Enheten för passagerarinformation har enligt artikel 6.2 a i PNR-direktivet en möjlighet att använda de insamlade PNR-uppgifterna för att göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från den berörda medlemsstaten. En sådan kontroll av PNR-uppgifter innebär en möjlighet för de behöriga myndigheterna att utifrån objektiva bedömningskriterier och tidigare erfarenheter göra en bedömning av personer som kan utgöra ett säkerhetshot. Syftet med en sådan användning är att övervaka eller gripa personer innan ett brott har begåtts. Uppgifterna kan även användas för att ingripa mot personer som har begått eller håller på att begå ett brott. PNR-uppgifterna kan således vara ett användbart verktyg för behöriga myndigheter i realtid och ger de behöriga myndigheterna möjlighet att identifiera personer som kanske inte tidigare har varit misstänkta för inblandning i terrorism eller annan allvarlig brottslighet, men som enligt en analys av uppgifterna kan vara involverade i sådan brottslighet och därför bör bli föremål för ytterligare utredning.
En bestämmelse som i stort sett motsvarar ordalydelsen i artikel 6.2 a bör införas i den nya lagen. I likhet med utredningen anser regeringen dock att uttrycket välja ut bör användas i stället för direktivets uttryck identifiera. Polismyndigheten anser att direktivets begrepp utreda bör bytas ut mot begreppet undersöka, för att undvika oklarheter avseende för vilka ändamål förhandsbedömningar får göras och en förväxling med ordet utreda i 1 kap. 2 § i lagförslaget. På så sätt uppnås enligt myndigheten även den distinktion som finns i den engelska språkversionen av PNR-direktivet, av vilket det enligt artikel 6.2 a framgår att förhandsbedömningen ska göras to identify persons who require further examination medan ordet utreda motsvaras av ordet investigate i artikel 1.2. Regeringen delar dock inte Polismyndighetens farhåga för oklarheter eller förväxling utan anser i likhet med utredningen att direktivets begrepp utreda bör användas även i den nya lagen.
Sammanfattningsvis bör det därför framgå av den nya lagen att enheten för passagerarinformation får göra en förhandsbedömning av passagerare före deras beräknade ankomst till eller avresa från Sverige i syfte att välja ut personer som behöver utredas ytterligare av behöriga myndigheter eller Europol, på grund av att dessa personer kan vara inblandade i terroristbrottslighet eller annan allvarlig brottslighet. Eftersom syftet med behandlingen är att PNR-informationen ska utredas vidare av nationella behöriga myndigheter eller av Europol ska behandlingen inte ske för att finna personer som bör utredas vidare vid andra medlemsstaters enheter för passagerarinformation. För det fall enheten skulle finna att den framtagna informationen kan vara av intresse även för en annan medlemsstat ska dock informationen lämnas ut även till den medlemsstatens enhet för passagerarinformation. Se vidare avsnitt 10.2.
9.5.2 Överföring till behöriga mottagare och tredjeland
Regeringens förslag: PNR-uppgifter ska få behandlas för att enheten för passagerarinformation ska kunna fullgöra sina uppgifter att överföra PNR-information till behöriga mottagare eller tredjeländer.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna yttrar sig inte särskilt över förslaget.
Skälen för regeringens förslag: Enligt artikel 6.2 b i PNR-direktivet ska enheten för passagerarinformation tillhandahålla de behöriga myndigheterna eller, när så lämpligt, Europol resultatet av behandlingen av PNR-uppgifterna, dvs. resultatet av förhandsbedömningen. Av artikel 9.1 framgår att enheten även får behandla PNR-uppgifter genom att på eget initiativ överföra relevanta och nödvändiga PNR-uppgifter eller resultatet av en eventuell behandling av dessa uppgifter till motsvarande enheter i andra medlemsstater.
PNR-uppgifter fyller dock inte bara behovet av att kunna användas i realtid för att förhindra brottslighet. Uppgifterna kan även behöva användas efter att ett brott har begåtts för att ta fram bevisning och, i förekommande fall, hitta medbrottslingar och nysta upp kriminella nätverk. I brottsutredningar kan PNR-uppgifter användas exempelvis för att kartlägga var en misstänkt har befunnit sig vid vissa tidpunkter, vem personen har rest med och vem som har betalat för resan. Exempelvis kan kreditkortsinformation som ingår bland PNR-uppgifterna göra det möjligt för de behöriga myndigheterna att identifiera och styrka kopplingar mellan en person och en känd brottsling eller ett kriminellt nätverk. Bevarade PNR-uppgifter kan även vara av intresse i underrättelseverksamhet eller annan verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet.
I artikel 6.2 b i direktivet anges därför att PNR-uppgifterna även får användas i enskilda fall för att besvara en vederbörligen motiverad förfrågan från en behörig myndighet om att tillhandahålla och behandla PNR-uppgifter i ett specifikt fall. Behöriga myndigheter kan alltså vända sig till enheten för passagerarinformation och begära att få ut PNR-uppgifter som kan vara av värde för dem i deras arbete. En förfrågan ska enligt direktivet bygga på tillräckliga skäl och vara ställd i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrott eller grov brottslighet.
Av andra bestämmelser i direktivet framgår att enheten för passagerarinformation under vissa förutsättningar även ska besvara förfrågningar från andra än behöriga myndigheter om att få ta del av sådana PNR-uppgifter som lagras vid enheten. Sådana förfrågningar kan komma från andra medlemsstaters enheter för passagerarinformation (artikel 9.2), myndigheter som har utsetts till behöriga i andra medlemsstater (artikel 9.3) och Europol (artikel 10.2). Enligt artikel 11 i direktivet får PNR-uppgifter även i vissa fall behandlas för att överföras till ett tredjeland.
Av den nya lagen bör det framgå att enheten för passagerarinformation får behandla PNR-uppgifter för att kunna överföra PNR-information till samtliga mottagare som enligt direktivet är behöriga att motta sådan information. Detta kan lösas genom att det i lagen hänvisas till behöriga mottagare och tredjeland. De närmare förutsättningarna för när överföring får ske bör dock inte framgå av ändamålsbestämmelsen utan i andra bestämmelser i lagen, vilka behandlas i avsnitt 10.
9.5.3 Utformning av kriterier
Regeringens förslag: PNR-uppgifter ska få användas för att uppdatera eller skapa nya kriterier som ska användas vid förhandsbedömningar.
Utredningens förslag överensstämmer i sak med regeringens förslag.
Remissinstanserna har inga synpunkter på förslaget.
Skälen för regeringens förslag: När enheten för passagerarinformation utför förhandsbedömningar får den behandla PNR-uppgifter i enlighet med på förhand fastställda kriterier, se nedan i avsnitt 9.5.4. Dessa fastställda kriterier ska enligt artikel 6.4 i PNR-direktivet regelbundet ses över av enheterna för passagerarinformation i samarbete med behöriga myndigheter. Av artikel 6.2 c i direktivet framgår att PNR-uppgifter som har samlats in från lufttrafikföretagen och finns lagrade i databasen vid enheten för passagerarinformation även får användas för att uppdatera och skapa nya kriterier som ska användas vid förhandsbedömningar i syfte att identifiera personer som kan vara delaktiga i terroristbrott eller grov brottslighet. Uppgifterna får således även användas för att uppdatera riskprofilerna eller skapa nya sådana. Det är därmed möjligt för enhetens personal att gå igenom de PNR-uppgifter som finns samlade i databasen för att leta efter mönster som kan indikera att personer kan vara av intresse för vidare kontroller. PNR-uppgifterna kan på detta sätt användas för att förbättra urvalet av de passagerare som kan komma att vara intressanta för vidare granskning. Även denna ändamålsbestämmelse bör föras in i den nya lagen. Det bör av bestämmelsen framgå att PNR-uppgifter får analyseras för att uppdatera eller skapa nya kriterier som ska användas vid förhandsbedömningar.
9.5.4 Tillåten behandling vid förhandsbedömningar
Regeringens förslag: PNR-uppgifter ska vid förhandsbedömningar dels få jämföras med register eller andra uppgiftssamlingar, dels få behandlas enligt på förhand utformade och fastställda kriterier.
Regeringens bedömning: Att kriterierna ska fastställas och regelbundet ses över av enheten för passagerarinformation i samarbete med behöriga myndigheter bör regleras i förordning.
Utredningens förslag och bedömning överensstämmer i sak med regeringens.
Remissinstanserna: Datainspektionen anser att den föreslagna bestämmelsen, mot bakgrund av bestämmelsen i 2 kap. 6 § regeringsformen och kravet på lagreglering för sådana myndighetsregister, är för allmänt hållen och att det bör specificeras i lag vilka slags register som uppgifterna i PNR-databasen ska kunna jämföras mot. Även Hovrätten för Nedre Norrland och Säkerhets- och integritetsskyddsnämnden anser att det bör tydliggöras vilka register eller andra uppgiftssamlingar som enheten för passagerarinformation ska ha tillgång till eller vilka jämförelser som får göras.
Skälen för regeringens förslag och bedömning
Jämförelser med register eller andra uppgiftssamlingar
I artikel 6.3 i direktivet anges att enheten för passagerarinformation vid förhandsbedömningar får jämföra PNR-uppgifter dels med uppgifter i relevanta databaser, dels med på förhand fastställda kriterier. Direktivet anger inte vilka databaser som får användas vid förhandsbedömningarna. I artikel 6.3 a anges i stället att databaserna ska vara relevanta för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och att det inkluderar databaser över personer eller föremål som är eftersökta eller finns uppförda på en spärrlista. Vidare anges att jämförelserna ska göras i enlighet med unionsbestämmelser eller internationella eller nationella bestämmelser som är tillämpliga på sådana databaser. Direktivet innehåller således en generell begränsning av vilka typer av uppgiftssamlingar PNR-uppgifterna kan jämföras med. Medlemsstaterna får dock själva bestämma vilka databaser som ska användas. Artikeln är inte tvingande utan ger endast medlemsstaterna en möjlighet att söka mot relevanta databaser.
Enheten för passagerarinformation kommer att få del av PNR-uppgifter från miljontals flygresor. För att enheten utifrån dessa uppgifter ska kunna välja ut personer som kan vara intressanta för vidare utredning bör den ha tillgång till vissa hjälpmedel. Regeringen anser att det är av stor vikt för PNR-uppgifternas användning att de kan jämföras med uppgifter i andra relevanta databaser. En bestämmelse motsvarande artikel 6.3 a i direktivet bör därför införas i den nya lagen.
Utredningen har föreslagit att det av den nya lagen ska framgå att PNR-uppgifter vid förhandsbedömningar får jämföras med sådana register eller andra uppgiftssamlingar som är relevanta för direktivets syften, dvs. för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Utredningen har dock inte ansett att det är nödvändigt att i den nya lagen reglera vilka register eller uppgiftssamlingar som PNR-uppgifterna får jämföras med. Datainspektionen har haft synpunkter på utredningens bedömning och anser att det av lagen bör framgå vilka register eller andra uppgiftssamlingar som PNR-uppgifterna ska kunna jämföras med, eller att regeringen bör bemyndigas att utifrån regleringen i lag närmare peka ut de särskilda register som ska kunna komma ifråga för jämförelse. Även Hovrätten för Nedre Norrland och Säkerhets- och integritetsskyddsnämnden har framfört att det bör tydliggöras vilka register som avses.
Det kan bli aktuellt att jämföra PNR-uppgifter med både internationella och nationella databaser. Som exempel kan nämnas SIS-registret, där bl.a. efterlysta för brott registreras, Interpols databas över kända internationella brottslingar och misstankeregistret. Vilka register och uppgiftssamlingar som finns kan dock variera över tid. Regeringen delar därför utredningens uppfattning att det inte är lämpligt att i den nya lagen peka ut exakt med vilka register eller uppgiftssamlingar jämförelser ska få ske. Regeringen anser inte heller att det finns skäl att bemyndiga regeringen att peka ut specifika uppgiftssamlingar. Vilka jämförelser som är möjliga kommer, eftersom det inte föreslås någon särreglering i den nya lagen, att begränsas av vilken behandling som är tillåten enligt polisdatalagen och brottsdatalagen samt annan lagstiftning där Polismyndighetens tillgång till registret eller uppgiftssamlingen regleras. Möjligheterna till jämförelse med register och andra uppgiftssamlingar bör dessutom, i enlighet med utredningens förslag, begränsas till register eller andra uppgiftssamlingar som är relevanta för direktivets syften, dvs. för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Eftersom de aktuella uppgiftssamlingarna normalt utgör register och inte databaser bör uttrycket "register eller andra uppgiftssamlingar" användas i lagtexten i stället för databaser
Jämförelser med på förhand fastställda kriterier
Vid förhandsbedömningarna får enheten för passagerarinformation enligt artikel 6.3 b i PNR-direktivet även behandla PNR-uppgifter i enlighet med på förhand fastställda kriterier. Med detta avses vad som i polisiära sammanhang kallas för profilering. Med en profil menas en icke personanknuten företeelse som kan avse uppgifter om t.ex. avreseort, resrutt, betalningssätt, bokningsrutin och bagage. Vissa mönster och beteenden i resandeflödet utgör riskprofiler som kan ge anledning att kontrollera en viss person. En analys av PNR-uppgifter kan exempelvis ge indikationer på de vanligaste rutterna för människohandel och narkotikahandel, vilket är information som sedan kan användas som bedömningskriterier.
I artikel 6.4 i direktivet anges att förhandsbedömningen av passagerare i enlighet med på förhand fastställda kriterier ska utföras på ett icke-diskriminerande sätt. De på förhand fastställda kriterierna måste vara riktade, proportionella och specifika. Medlemsstaterna ska se till att kriterierna fastställs och regelbundet ses över av enheterna för passagerarinformation i samarbete med behöriga myndigheter. Dessa på förhand fastställda kriterier får dessutom under inga omständigheter vara baserade på känsliga personuppgifter.
Inte heller direktivets bestämmelse om de på förhand fastställda kriterierna i artikel 6.3 b är tvingande. Det utgör således en frivillig möjlighet för medlemsstaterna att använda sig av profilering. Om en profilering sker ska dock bestämmelserna i artikel 6.4 vara uppfyllda. Möjligheten till profilering är enligt regeringens mening av sådan vikt för PNR-uppgifternas användning att det bör möjliggöras i lagen. Av lagen bör framgå att PNR-uppgifter får behandlas i enlighet med på förhand utformade och fastställda kriterier i samband med förhandsbedömningar av passagerare. Vidare bör det anges att dessa kriterier ska vara riktade, proportionella och avgränsade och inte grunda sig på känsliga personuppgifter.
Det kan i förordning eller myndighetsföreskrifter regleras att kriterierna ska fastställas och regelbundet ses över av enheten för passagerarinformation i samarbete med behöriga myndigheter.
9.5.5 Behandling av PNR-information från andra medlemsstater
Regeringens förslag: Enheten för passagerarinformation ska endast få behandla PNR-information som har mottagits från motsvarande enheter i andra medlemsstater i syfte att vidarebefordra den till behöriga myndigheter.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna har inte några synpunkter på förslaget.
Skälen för regeringens förslag: En enhet för passagerarinformation som vid en förhandsbedömning av passagerare har identifierat en person som är av intresse kan i vissa fall överföra informationen om personen inte bara till en myndighet som har utsetts till behörig i det egna landet, utan även till en motsvarande enhet i en annan medlemsstat. Detta framgår av artikel 9.1 i direktivet och behandlas närmare i avsnitt 10.2.2. Enheten för passagerarinformation i Sverige kommer således inte bara att behandla PNR-uppgifter som har kommit in från lufttrafikföretagen till den egna databasen, utan kommer därutöver också att motta och behandla PNR-information från andra medlemsstaters enheter för passagerarinformation. Enligt artikel 9.1 ska den mottagande enheten överföra de mottagna uppgifterna till sina behöriga myndigheter. Enheten för passagerarinformation kommer vidare att motta PNR-information från andra medlemsstaters enheter för passagerarinformation som svar på sådana förfrågningar som enheten har ställt till den andra enheten (artikel 9.2). Det framgår dock inte av direktivet vad enheten ska göra med denna information. Enligt regeringens bedömning bör enheten för passagerarinformation i dessa fall uppfattas som en förmedlare av PNR-information. PNR-information som har hämtats in med stöd av bestämmelserna i lagen ska således inte bevaras hos enheten, i vart fall inte någon längre tid. Denna fråga behandlas vidare i avsnitt 9.8.1. PNR-information som mottagits från andra medlemsstater kan därmed inte användas för att enheten för passagerarinformation ska kunna verifiera sin egen databas eller finslipa sina kriterier etc.
Den behandling som ska ske av PNR-information som har mottagits från andra medlemsstaters motsvarande enheter ska syfta till att uppgifterna ska föras vidare till behöriga myndigheter för användning i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. För det fall det kan konstateras att den mottagna informationen inte avser terroristbrottslighet eller annan allvarlig brottslighet får informationen inte sändas vidare till behöriga myndigheter, se avsnitt 7.9. Hur enheten i övrigt ska gå till väga vid överlämnandet av PNR-information till behöriga myndigheter behandlas i avsnitt 10.1.
9.6 Tillgången till PNR-information bör begränsas
Regeringens förslag: Bara den som tjänstgör vid enheten för passagerarinformation och den som fullgör uppgifter enligt lagen ska få tillgång till PNR-information som behandlas vid enheten. Tillgången till informationen ska begränsas till vad han eller hon behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringens bedömning: Närmare bestämmelser om tillgången till PNR-information bör meddelas i förordning eller myndighetsföreskrifter.
Utredningens förslag och bedömning överensstämmer delvis med regeringens. Utredningen föreslår inte att den som fullgör uppgifter enligt lagen ska få tillgång till PNR-information.
Remissinstanserna har inga synpunkter på förslaget.
Skälen för regeringens förslag och bedömning: Inom enheten för passagerarinformation kommer det att finnas personuppgifter om enskilda som, för att PNR-direktivets krav på tillfredsställande integritetsskydd ska uppnås, inte bör vara allmänt tillgängliga inom Polismyndigheten. I 2 kap. 11 § polisdatalagen slås fast att tillgången till personuppgifter inom Polismyndigheten ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Polismyndigheten ska således organisera sin verksamhet på ett sådant sätt att obefogad spridning av personuppgifter motverkas. I bestämmelsens andra stycke finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela närmare föreskrifter om förutsättningarna för tillgången till personuppgifter. Regeringen har i 3 § polisdataförordningen (2010:1155) föreskrivit att Polismyndigheten och Säkerhetspolisen får meddela närmare föreskrifter om tillgången till personuppgifter för sina respektive verksamhetsområden.
Regleringen i polisdatalagen och polisdataförordningen skulle kunna anses vara tillräcklig för att begränsa tillgången till PNR-information till endast den som tjänstgör vid enheten för passagerarinformation. Regeringen anser emellertid att frågan om en begränsning av tillgången till PNR-information är av central betydelse för integritetsskyddet och att den bör regleras särskilt i den nya lagen. Dessutom kan även andra än de som arbetar vid enheten för passagerarinformation i vissa fall behöva ha tillgång till PNR-information som behandlas vid enheten, t.ex. den som ska pröva utlämnade av behörighetsbegränsade PNR-uppgifter i sin fullständiga form. Av lagen bör därför framgå att även den som fullgör uppgifter enligt lagen ska få tillgång till PNR-information som behandlas vid enheten.
Det är också viktigt att det inte förekommer en onödigt bred åtkomst till PNR-informationen, alldeles oavsett om det är motiverat för verksamhetens effektivitet och ändamålsenlighet eller inte. Det föreslås därför att det i den nya lagen också anges att tillgången till PNR-information ska begränsas till vad varje person behöver för att kunna fullgöra sina arbetsuppgifter. Närmare bestämmelser om tillgången, inom denna ram, bör dock kunna meddelas i förordning eller genom myndighetsföreskrifter.
9.7 Förbud mot direktåtkomst
Regeringens förslag: Direktåtkomst till PNR-information som behandlas vid enheten för passagerarinformation får inte medges.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Försvarsmakten anser att det vore en fördel om myndigheten medges direktåtkomst till PNR-uppgifterna som behandlas vid enheten för passagerarinformation. Övriga myndigheter har inte uttalat sig särskilt om förslaget.
Skälen för regeringens förslag: Med direktåtkomst avses att en myndighet har getts direkt tillgång till någon annan myndighets register eller databas och på egen hand kan söka efter information, normalt utan att kunna påverka innehållet i registret eller databasen (se bl.a. prop. 2009/10:85 s. 168). I begreppet ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av.
Försvarsmakten anser att det vore en fördel om de behöriga myndigheterna kan medges direktåtkomst till PNR-uppgifterna hos enheten för passagerarinformation. Som har framgått ovan får PNR-uppgifterna enligt artikel 6 i direktivet endast behandlas för vissa särskilda ändamål. Av dessa följer att behöriga myndigheter ska få tillgång till PNR-information först efter att enheten för passagerarinformation har behandlat och överfört uppgifterna. Det får därför anses strida mot direktivet att ge de behöriga myndigheterna direktåtkomst till de uppgifter som behandlas vid enheten.
Polisdatalagen kommer att vara tillämplig vid enhetens behandling av PNR-uppgifter och andra personuppgifter i den utsträckning den nya lagen inte innehåller avvikande bestämmelser. Med tanke på att 3 kap. 8 § polisdatalagen föreskriver att direktåtkomst får medges vissa av de myndigheter som är behöriga myndigheter enligt PNR-direktivet, behövs en uttrycklig bestämmelse i den nya lagen som förbjuder direktåtkomst till den PNR-information som behandlas vid enheten. En bestämmelse som förbjuder direktåtkomst till PNR-informationen bör därför införas i den nya lagen.
9.8 Tid som PNR-uppgifterna ska bevaras
9.8.1 Tid för bevarande
Regeringens förslag: PNR-uppgifter som behandlas vid enheten för passagerarinformation ska bevaras i fem år från det att de har kommit in från ett lufttrafikföretag. Därefter ska uppgifterna förstöras.
Regeringens bedömning: Det bör regleras i förordning att viss dokumentation ska bevaras, att loggning ska utföras och att loggarna ska bevaras i fem år. Även hur länge resultatet av förhandsbedömningar ska få bevaras bör tas in i förordning.
Utredningens förslag och bedömning överensstämmer i sak med regeringens.
Remissinstanserna framför inte några synpunkter på förslaget.
Skälen för regeringens förslag och bedömning
PNR-uppgifterna ska förstöras efter fem år
Av skäl 25 i PNR-direktivet framgår att lagringstiden för PNR-uppgifter bör vara tillräckligt lång dels för att stå i proportion till ändamålen att bekämpa terroristbrott och grov brottslighet, dels för att möjliggöra att PNR-uppgifterna kan användas i samband med analyser och utredningar. Med dessa utgångspunkter fastställs tiden för lagring av PNR-uppgifter som lämnas till enheten för passagerarinformation i artikel 12.1 i direktivet till fem år. Vid utgången av femårsperioden ska medlemsstaterna, enligt artikel 12.4 i direktivet, se till att PNR-uppgifterna slutgiltigt raderas. PNR-uppgifterna ska således bevaras i en databas vid enheten för passagerarinformation i fem år, varken längre eller kortare tid.
I skäl 30 till direktivet anges att direktivet inte påverkar tillämpningen av nationell rätt om principen om allmänhetens tillgång till allmänna handlingar. Något bärande intresse av insyn i PNR-uppgifterna som kommer att lagras i databasen vid enheten för passagerarinformation bör inte finnas. Utifrån de intressen som bär upp handlingsoffentligheten bör därför inte en längre tids bevarande än den i direktivet angivna tidsgränsen föreslås.
Av den nya lagen bör, utöver att PNR-uppgifterna som behandlas vid enheten för passagerarinformation ska bevaras i fem år efter det att uppgifterna kommit in till enheten, även framgå att uppgifterna efter femårsperioden ska förstöras. Bestämmelsen medför att uppgifter successivt måste förstöras.
Skyldigheten att bevara viss dokumentation och loggning
Av PNR-direktivets skäl 37 framgår att all behandling av PNR-uppgifter bör loggas eller dokumenteras i syfte att kontrollera att den är laglig och för att möjliggöra självövervakning och säkerställande av uppgifternas integritet och en säker behandling. Artikel 13.5 i direktivet behandlar frågan om bevarande av dokumentation. I bestämmelsen anges att enheten för passagerarinformation ska bevara dokumentation om alla system och förfaranden för uppgiftsbehandling inom dess ansvarsområde. Dokumentationen ska minst innehålla
- namn och kontaktuppgifter för den organisatoriska enhet och den personal vid enheten för passagerarinformation som anförtrotts behandlingen av PNR-uppgifter och de olika nivåerna av åtkomstbehörighet,
- begäran från behöriga myndigheter och enheter för passagerarinformation i andra medlemsstater, och
- begäran om och överföring av PNR-uppgifter till ett tredjeland.
I bestämmelsen anges vidare att enheten för passagerarinformation på begäran ska göra all dokumentation tillgänglig för den nationella tillsynsmyndigheten.
Av artikel 13.6 i direktivet framgår att medlemsstaterna ska se till att enheten för passagerarinformation för loggar över behandling av PNR-uppgifter. Enligt bestämmelsen ska loggar föras över åtminstone insamling, läsning, utlämning och radering. Loggarna över läsning och utlämning ska särskilt visa ändamål, datum och tidpunkt för sådan behandling och i möjligaste mån identitetsuppgifter för den person som har läst eller lämnat ut PNR-uppgifterna samt identitetsuppgifter för de personer som har mottagit uppgifterna. Loggarna ska uteslutande användas för kontroll och självövervakning, för att säkerställa dataintegritet och datasäkerhet och för revision. Enheten för passagerarinformation ska på begäran göra loggarna tillgängliga för den nationella tillsynsmyndigheten. Av artikeln framgår vidare att loggarna ska bevaras i fem år.
Enligt förslaget till brottsdatalag ska den personuppgiftsansvarige föra ett register över alla kategorier av verksamheter som den ansvarar för. Den information som ska bevaras är i många fall begränsad till kategorier av uppgifter. Enligt PNR-direktivet ska mer detaljerade uppgifter bevaras än de som anges i brottsdatalagen. Dessutom ska dokumentation bevaras om vissa faktiska enskilda behandlingar. Bestämmelser om bevarande av dokumentation behöver därför föras in i den nya regleringen. Vidare bör en bestämmelse som anger att Polismyndigheten ska se till att det utförs loggning över enheten för passagerarinformations personuppgiftsbehandling införas. Av bestämmelsen bör framgå att loggarna ska bevaras i fem år. Bestämmelserna kan tas in i förordning.
Att dokumentationen och loggarna på begäran ska göras tillgängliga för tillsynsmyndigheten framgår av brottsdatalagen och behöver inte regleras särskilt i den nya lagen.
Bevarande av resultatet av förhandsbedömningar
Av artikel 12.5 i PNR-direktivet framgår att ett resultat från en förhandsbedömning av en passagerare endast får bevaras av enheten för passagerarinformation så länge som det krävs för att informera de behöriga myndigheterna och enheterna för passagerarinformation i andra medlemsstater om träffen. Bestämmelsen skulle kunna tolkas som att en s.k. positiv träff från en förhandsbedömning bara får sparas tills den har sänts vidare till en eller flera behöriga myndigheter och eventuellt en enhet för passagerarinformation. Eftersom en behörig myndighet kan komma att återrapportera att även en annan behörig myndighet eller medlemsstat bör informeras om träffen bör dock en möjlighet finnas för enheten att behålla resultatet en viss tid efter att en träff har skickats till en behörig myndighet för vidare granskning. Artikeln bör därför tolkas på så sätt att ett resultat ska förstöras så snart det inte längre behövs för att informera behöriga myndigheter och eventuellt andra medlemsstaters enheter för passagerarinformation om resultatet. Frågan kan regleras i förordning.
Falska träffar får enligt artikel 12.5 andra meningen bevaras så länge de bakomliggande PNR-uppgifterna inte har raderats. Med en falsk träff avses resultatet av en förhandsbedömning som efter en individuell granskning inte bedöms behöva utredas närmare och därför inte har översänts till en behörig myndighet. Syftet med bestämmelsen är att undvika upprepning av samma felaktiga träff mot urvalskriterierna. Sparade uppgifter om falska träffar kan nämligen medföra att oskyldiga personer inte blir kontrollerade på nytt vid en ny resa. De falska träffarna kan även användas för att förbättra urvalskriterierna. En reglering bör därför införas som innebär att falska träffar får bevaras som längst till dess att de bakomliggande PNR-uppgifterna har raderats, dvs. vid utgången av den femåriga bevarandetiden. Detsamma ska gälla om en positiv träff sänts vidare till behöriga myndigheter men dessa hinner återrapportera att träffarna inte föranlett vidare misstankar innan träffarna har hunnit raderas av enheten för passagerarinformation. Även denna fråga kan regleras i förordning.
PNR-direktivet innehåller inga uttryckliga bestämmelser om hur länge PNR-information som har översänts från andra medlemsstaters enheter för passagerarinformation till vår motsvarande enhet får bevaras. Som har angetts tidigare får enheten för passagerarinformation i dessa fall ses som en förmedlare av PNR-information. Den PNR-information som överförs till enheten från andra medlemsstaters motsvarande enheter ska således sändas vidare till de behöriga myndigheterna för att användas där, se avsnitt 9.5.5. Tanken är alltså inte att dessa uppgifter ska bevaras hos enheten. De PNR-uppgifter som har översänts till vår nationella enhet för passagerarinformation från andra medlemsstaters motsvarande enheter kan således inte anses omfattas av de lagringsbestämmelser som finns i artikel 12. Enligt regeringens mening bör det därför regleras i förordning hur länge PNR-information som har översänts från andra medlemsstater till enheten för passagerarinformation får bevaras.
9.8.2 PNR-uppgifter som inte omfattas av lagen eller som utgör känsliga personuppgifter ska omedelbart förstöras
Regeringens förslag: PNR-uppgifter som inte anges i bilagan till lagen eller som utgör känsliga personuppgifter ska omedelbart förstöras om de kommer in till enheten för passagerarinformation.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att förstöring av PNR-uppgifter som inte omfattas av lagen ska regleras i förordning.
Remissinstanserna: Polismyndigheten framhåller att det saknas såväl reella som realistiska möjligheter att efterleva förbudet mot behandling av känsliga personuppgifter, dels utifrån den stora mängd uppgifter som kommer att översändas till enheten, dels med anledning av svårigheterna att identifiera vad som är känsliga personuppgifter. Polismyndigheten framhåller vidare att myndighetens kostnadsansvar för behandling av känsliga personuppgifter kan bli mycket stort eftersom enskilda enligt lagförslaget har rätt till radering, rättelse och skadestånd samt att tillsynsmyndigheten föreslås få rätt att ta ut sanktionsavgifter vid behandling av känsliga personuppgifter. Även Hovrätten för Nedre Norrland ser att det kan uppstå problem med hur kravet på omedelbar radering av känsliga personuppgifter ska efterlevas. Justitiekanslern betonar vikten av en noggrann granskning av uppgifterna som ingår i allmänna anmärkningar i punkten 12 i bilagan till lagen för att inte känsliga personuppgifter ska behandlas av misstag.
Skälen för regeringens förslag: Av artikel 6.1 i PNR-direktivet framgår att enheten för passagerarinformation omedelbart ska radera överförda uppgifter som avser andra uppgifter än de som framgår av direktivets bilaga 1. Som framgått tidigare finns det även i artikel 13.4 i direktivet ett förbud mot behandling av PNR-uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religion eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning. En bestämmelse med denna innebörd har föreslagits i den nya lagens inledande bestämmelser, se avsnitt 7.10. Om enheten för passagerarinformation mottar sådana känsliga PNR-uppgifter ska uppgifterna enligt samma artikel omedelbart raderas. Direktivet ger inte några närmare anvisningar kring hur raderingen ska gå till. Det är således upp till varje medlemsstat att finna lämpliga lösningar för att uppfylla denna skyldighet.
Förutom när det gäller överföring av känsliga personuppgifter finns det inget förbud mot att lufttrafikföretagen överför andra PNR-uppgifter än de som framgår av bilagan till lagen. Enheten för passagerarinformation kan därför komma att motta andra PNR-uppgifter än de som ska överföras enligt den nya lagen. Trots att det finns ett förbud mot behandling av känsliga personuppgifter går det inte heller att utesluta att känsliga personuppgifter kan komma att överföras till enheten för passagerarinformation. Känsliga personuppgifter kan t.ex. förekomma i de allmänna anmärkningarna enligt punkten 12 i bilagan till lagen, som är ett fritextfält för kommunikation mellan t.ex. resebokare och flygbolagspersonal. Det kan här finnas uppgifter om t.ex. specialkost, behov av assistans, medicinska behov och andra hälsouppgifter. En lösning för att minimera risken att känsliga personuppgifter överförs till enheten för passagerarinformation hade kunnat vara att inte ålägga lufttrafikföretagen att överföra uppgifter enligt punkten 12 i bilagan till direktivet. Uppgifter som enligt direktivet ska överföras av lufttrafikföretagen skulle dock därmed helt tas bort. En sådan lösning kan därför inte anses vara förenlig med direktivet.
Regeringen har förståelse för bl.a. Polismyndighetens uppfattning att det kan vara svårt att i den stora mängd uppgifter som kommer in till enheten för passagerarinformation sortera ut eventuella känsliga personuppgifter. Direktivets bestämmelser om radering av känsliga personuppgifter samt de uppgifter som inte omfattas av bilagan till direktivet måste dock genomföras i den nya regleringen. Det innebär att de tekniska lösningar som tas fram måste utformas så att enheten för passagerarinformation på bästa sätt kan tillgodose direktivet och dess krav på radering. Som Justitiekanslern har anfört är det viktigt att undvika att känsliga personuppgifter överförs till enheten för passagerarinformation. Till skillnad från utredningen anser regeringen att såväl skyldigheten att förstöra känsliga personuppgifter som andra uppgifter som inte omfattas av lagen bör regleras i lag.
9.9 Behörighetsbegränsning av vissa PNR-uppgifter
Regeringens förslag: Vissa PNR-uppgifter som kan användas för att direkt identifiera en person ska behörighetsbegränsas sex månader efter mottagandet från lufttrafikföretagen. Begreppet behörighetsbegränsade PNR-uppgifter ska definieras.
Regeringens bedömning: Det bör i förordning införas bestämmelser som begränsar tillgången till behörighetsbegränsade uppgifter.
Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens. Utredningen föreslår att avidentifieringen av uppgifterna benämns maskering och att begreppen maskering, maskerade och avmaskerade PNR-uppgifter definieras i lagen.
Remissinstanserna: Stockholms tingsrätt anser att bestämmelserna om maskering kan förtydligas. Datainspektionen efterfrågar ett förtydligande gällande offentlighetsprincipen och förhållandet till uppgifter som har maskerats men fortfarande finns lagrade hos enheten för passagerarinformation. Övriga remissinstanser har inga synpunkter på förslaget.
Skälen för regeringens förslag och bedömning: Enligt direktivets artikel 12.2 ska PNR-uppgifterna i PNR-databasen avidentifieras genom maskering efter en inledande sexmånadersperiod. Det innebär, enligt direktivets definition i artikel 3.10, att de uppgifter som kan användas för att omedelbart identifiera den registrerade görs osynliga för användare. Syftet med maskeringen är enligt direktivets skäl 25 att en oproportionerlig användning av uppgifterna ska undvikas.
De uppgifter som ska avidentifieras efter sex månader är enligt artikel 12.2:
- namn, inklusive namn på andra passagerare i PNR samt antal passagerare i PNR som reser tillsammans,
- adress och kontaktuppgifter,
- alla former av betalningsinformation, inbegripet faktureringsadress om denna innehåller uppgift som kan användas för att omedelbart identifiera den passagerare som passageraruppgiftssamlingar avser eller andra personer,
- uppgifter om bonusprogram,
- allmänna anmärkningar, om dessa innehåller uppgifter som kan användas för att omedelbart identifiera den passagerare som personuppgiftssamlingar avser, och
- alla API-uppgifter som samlats in.
Artikel 12.2 bör genomföras genom en motsvarande bestämmelse i den nya lagen. I den svenska översättningen av direktivet används begreppet avidentifiering genom maskering för att beskriva att uppgifterna görs osynliga för användaren. Eftersom uppgifterna under vissa förutsättningar ska kunna tas fram igen är inte tanken att kopplingen mellan PNR-uppgifterna och den fysiska personen ska brytas. Med avidentifiering avses i andra sammanhang att kopplingen mellan uppgifterna och en fysik person har raderats. Begreppet avidentifiering bör därför inte användas i författningstexten. Utredningen har föreslagit att begreppet maskering ska användas. Regeringen anser dock att begreppet behörighetsbegränsade personuppgifter i stället bör användas eftersom begreppet på ett bra sätt avspeglar att uppgifterna fortfarande finns kvar i databasen men är otillgängliga för en användare som saknar särskild behörighet till uppgifterna. Bestämmelsen blir därmed tydligare, vilket har efterfrågats av Stockholms tingsrätt. Av lagen bör framgå att vissa PNR-uppgifter ska behörighetsbegränsas sex månader efter mottagandet från lufttrafikföretagen om de kan användas för att identifiera en person. Begreppet behörighetsbegränsade uppgifter bör i lagen definieras som personuppgifter som gjorts otillgängliga för en användare som saknar särskild behörighet för tillgång till uppgifterna.
Med anledning av Datainspektionens begäran om förtydligande gällande offentlighetsprincipen och förhållandet till uppgifter som har behörighetsbegränsats kan det påpekas att utlämnande med stöd av tryckfrihetsförordningen inte kan begränsas på grund av de bestämmelser om behörighetsbegränsning som föreslås för att genomföra direktivet.
Enligt direktivets skäl 25 bör åtkomst till maskerade uppgifter endast beviljas under mycket strikta och begränsade villkor för att säkerställa högsta möjliga nivå av dataskydd. Som ett komplement till bestämmelserna om behörighetsbegränsning bör det därför införas bestämmelser som ställer krav på att åtkomst till sådana uppgifter ska vara särskilt begränsad. Sådana bestämmelser bör tas in i förordning.
9.10 Dataskyddsombud
Regeringens förslag: Polismyndigheten ska utse ett dataskyddsombud för enheten för passagerarinformation. Dataskyddsombudet ska ansvara för att fullgöra de uppgifter som anges i brottsdatalagen och ha tillgång till alla uppgifter som behandlas vid enheten. En enskild ska ha rätt att kontakta ombudet i alla frågor som rör behandling av hans eller hennes PNR-uppgifter enligt den nya lagen. Om dataskyddsombudet anser att den personuppgiftsansvarige bryter mot bestämmelser för behandling av PNR-uppgifter, ska han eller hon anmäla det till tillsynsmyndigheten.
Regeringens bedömning: Att den personuppgiftsansvarige ska tillhandahålla nödvändiga resurser för att dataskyddsombudet ska kunna utföra sina uppgifter bör regleras i förordning.
Utredningens förslag och bedömning överensstämmer delvis med regeringens. Utredningen föreslår att dataskyddsombudet ska ansvara för genomförandet av relevanta skyddsåtgärder. Utredningen föreslår inte någon bestämmelse om tillhandahållande av nödvändiga resurser för dataskyddsombudet.
Remissinstanserna: Säkerhets- och integritetsskyddsnämnden framhåller att det är den personuppgiftsansvarige, och inte enheten för passagerarinformation, som kan bryta mot bestämmelserna om behandling av PNR-uppgifter. Nämnden föreslår därför en justerad utformning av bestämmelsen. Övriga remissinstanser har inga synpunkter på förslaget.
Skälen för regeringens förslag och bedömning: Enheten för passagerarinformation ska, enligt artikel 5.1 i PNR-direktivet, utse ett dataskyddsombud som ska ansvara för övervakningen av behandlingen av PNR-uppgifter och för genomförandet av relevanta skyddsåtgärder. I artikel 5.2 anges att medlemsstaterna ska förse dataskyddsombuden med de resurser som de behöver för att utföra sina uppgifter på ett effektivt och oberoende sätt. Vidare ska medlemsstaterna, enligt artikel 5.3, se till att en registrerad har rätt att kontakta dataskyddsombudet, i egenskap av enda kontaktpunkt, i alla frågor som rör behandlingen av den registrerades PNR-uppgifter. Även i andra artiklar i direktivet finns bestämmelser som rör dataskyddsombudet. I artikel 6.7 anges att medlemsstaterna ska se till att dataskyddsombudet har åtkomst till alla uppgifter som enheten för passagerarinformation behandlar. Om dataskyddsombudet anser att behandlingen av vissa uppgifter inte har varit lagenlig, ska dataskyddsombudet hänskjuta ärendet till den nationella tillsynsmyndigheten. Enligt artikel 11.4 ska dataskyddsombudet informeras varje gång en medlemsstat överför PNR-uppgifter till ett tredjeland enligt artikel 11. I artikel 11.2 anges dessutom att överföringar utan förhandssamtycke av den medlemsstat från vilken uppgifterna hämtades ska genomgå efterhandskontroll. Vidare ska dataskyddsombudet, enligt artikel 12.3, informeras och genomföra en efterhandsutvärdering när en annan nationell myndighet än en rättslig sådan har lämnat tillstånd till utlämnande av avmaskerade PNR-uppgifter.
Någon definition av begreppet dataskyddsombud finns inte i PNR-direktivet. Termen används dock i det nya dataskyddsdirektivet och i den föreslagna brottsdatalagen. I 1 kap. 6 § brottsdatalagen definieras ett dataskyddsombud som den som utses av den personuppgiftsansvarige för att självständigt kontrollera att personuppgifter behandlas författningsenligt och på ett korrekt sätt. Enligt 3 kap. 13 § brottsdatalagen ska den personuppgiftsansvarige utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas. Dataskyddsombudets uppgifter framgår av 3 kap. 14 § brottsdatalagen.
I PNR-direktivet anges att enheten för passagerarinformation ska utse ett eget dataskyddsombud. En skyldighet för Polismyndigheten att utse ett dataskyddsombud vid enheten för passagerarinformation bör därför föras in i den nya lagen. Det bör dock inte finnas något hinder mot att ombudet har sin anställning utanför enheten. Skyldigheten att anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas bör också åligga den personuppgiftsansvarige, dvs. Polismyndigheten. Detta framgår dock av brottsdatalagen och behöver inte regleras särskilt i den nya lagen.
I lagrådsremissen föreslår regeringen att dataskyddsombudet vid enheten för passagerarinformation, utöver de uppgifter som anges i 3 kap. 14 § brottsdatalagen, ska ansvara för genomförandet av relevanta skyddsåtgärder. Lagrådet anser att det under den fortsatta beredningen behöver klargöras vad som avses med bestämmelsen. Med anledning av Lagrådets synpunkt kan det konstateras att det rätteligen bör vara övervakningen av genomförandet av relevanta skyddsåtgärder som ingår i dataskyddsombudets uppgifter, förutom övervakningen av behandlingen av PNR-uppgifter. Dessa uppgifter får anses ingå i ombudets uppgifter enligt 3 kap. 14 § brottsdatalagen. Det är därför enligt regeringens uppfattning tillräckligt med en hänvisning till 3 kap. 14 § brottsdatalagen i den nya lagen.
Uppgiften att vara kontaktpunkt för enskilda enligt artikel 5.3 i direktivet motsvarar i huvudsak bestämmelsen i 3 kap. 14 § 4 brottsdatalagen. I PNR-direktivet framhålls dock att registrerade ska ha rätt att kontakta dataskyddsombudet i egenskap av kontaktpunkt i alla frågor som rör behandlingen av den registrerades PNR-uppgifter. Enskilda bör alltså ha en möjlighet att få hjälp eller information av dataskyddsombudet vid enheten även om behandlingen i det särskilda fallet helt eller delvis utförts av ett lufttrafikföretag, en behörig myndighet eller av utländska mottagare, bara det har varit fråga om en tillämpning av den nya lagen. Detta bör uttryckas genom en bestämmelse i den nya lagen som gäller utöver 3 kap. 14 § 4 brottsdatalagen. Om en enskild har invändningar mot t.ex. ett lufttrafikföretags insamling av PNR-uppgifter får han eller hon däremot vända sig till det aktuella lufttrafikföretaget.
Att den personuppgiftsansvarige ska tillhandahålla nödvändiga resurser för att dataskyddsombudet ska kunna utföra sina uppgifter (jfr artikel 5.2 i PNR-direktivet) kan regleras i förordning.
Enligt artikel 6.7 i PNR-direktivet ska dataskyddsombudet ha åtkomst till alla uppgifter som enheten för passagerarinformation behandlar. Den föreslagna bestämmelsen i 3 kap. 7 § innebär att den som fullgör uppgifter enligt lagen har rätt att få tillgång till den PNR-information som han eller hon behöver för att fullgöra sina arbetsuppgifter. Dataskyddsombudets kontinuerliga tillgång till uppgifter som behandlas vid enheten för passagerarinformation är emellertid så pass central för att lagligheten i behandlingen ska kunna kontrolleras, att frågan bör regleras särskilt i den nya lagen. En bestämmelse som anger att dataskyddsombudet ska ges tillgång till alla uppgifter som behandlas vid enheten bör därför införas.
I artikel 6.7 anges vidare att dataskyddsombudet ska hänskjuta en fråga till tillsynsmyndigheten om denne anser att behandlingen av vissa uppgifter inte har varit lagenlig. Frågan bör regleras i den nya lagen. Som Säkerhets- och integritetsskyddsnämnden har framhållit är det den personuppgiftsansvarige, och inte enheten för passagerarinformation, som kan bryta mot bestämmelserna om behandling av PNR-uppgifter. Bestämmelsen bör därför, som föreslagits av nämnden, omformuleras så att det framgår att dataskyddsombudet vid enheten för passagerarinformation ska anmäla till tillsynsmyndigheten om han eller hon bedömer att den personuppgiftsansvarige bryter mot bestämmelser om behandling av PNR-uppgifter.
10 Överföring av PNR-information från enheten för passagerarinformation
10.1 Överföring av PNR-information till behöriga myndigheter i Sverige
Regeringens förslag: Enheten för passagerarinformation ska så snart som möjligt överföra PNR-information till en eller flera behöriga myndigheter för att
1. en vidare granskning ska göras av PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning,
2. besvara en begäran från en behörig myndighet om att ta del av PNR-information, om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, eller
3. vidarebefordra PNR-information som har mottagits från en motsvarande enhet i en annan medlemsstat.
En befattningshavare vid enheten ska före överföring enligt punkt 1 bedöma om PNR-informationen är relevant för vidare granskning av den behöriga myndigheten.
Begreppet behörig myndighet ska definieras i den nya lagen.
Utredningens förslag överensstämmer i huvudsak med regeringens.
Remissinstanserna: Säkerhets- och integritetsskyddsnämnden ifrågasätter om Försvarsmakten kan vara en behörig myndighet enligt PNR-direktivet. Hovrätten för Nedre Norrland anser att det av legalitetsskäl och för att undvika tillämpningsproblem är av vikt att det tydliggörs vilken nivå som krävs på brottsmisstanken och grunden för begäran om att få ut uppgifter från enheten för passagerarinformation, för att begäran ska anses vara tillräckligt motiverad.
Skälen för regeringens förslag
Definition av behörig myndighet
Av direktivets artikel 7.1 framgår att varje medlemsstat ska utse de myndigheter som ska vara behöriga att begära eller ta emot PNR-information från enheten för passagerarinformation. De behöriga myndigheterna ska ansvara för den vidare granskningen av informationen och för att vidta lämpliga åtgärder för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Regeringen utsåg den 4 maj 2017 Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Försvarsmakten till behöriga myndigheter och meddelade den 23 maj samma år kommissionen vilka myndigheter som har utsetts. Utpekandet av de behöriga myndigheterna får enligt artikel 7.3 när som helst ändras. Ytterligare behöriga myndigheter kan således komma att utses i framtiden.
För att undvika att lagen behöver ändras för det fall nya myndigheter behöver utses som behöriga eller om någon myndighet behöver tas bort bör de behöriga myndigheterna inte framgå direkt av lagen. Regeringen bör i stället avgöra vilka brottsbekämpande myndigheter som ska vara behöriga enligt direktivet. Vilka myndigheter som kan utses bör begränsas genom en definition av begreppet behörig myndighet i den nya lagen. Av definitionen bör framgå att en behörig myndighet är en myndighet utsedd av regeringen som har behörighet att behandla PNR-information i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Säkerhets- och integritetsskyddsnämnden har ifrågasatt om Försvarsmakten kan vara en behörig myndighet enligt PNR-direktivet. Enligt artikel 7.2 ska de behöriga myndigheterna vara behöriga att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Det är inte nödvändigt att myndigheten har till uppgift att utföra samtliga dessa uppgifter utan det är tillräckligt att myndigheten utför någon av uppgifterna. Uppföljning av individer som reser in och ut ur Sverige är av mycket stor betydelse för flera verksamhetsområden kopplade till den militära säkerhetstjänst som Försvarsmakten bedriver. Försvarsmakten har t.ex. i uppgift att följa upp säkerhetshotande verksamhet som i sig är brottslig, t.ex. terrorism, spionage och sabotage som är kopplad till individer som reser även om det inte är i brottsutredande syfte. Myndigheten uppfyller därmed kravet som ställs i artikel 7.2 på att ha verksamhetsuppgifter kopplade till att förebygga, upptäcka och förhindra t.ex. terrorism och sabotageverksamhet. I ett större perspektiv har Försvarsmakten i ett framtida eventuellt beredskapsläge även till uppgift att hävda territoriell integritet där uppgifter om vissa in- och utresande individer blir relevant.
När får PNR-information överföras till behöriga myndigheter?
Enheten för passagerarinformation ska enligt direktivet överföra PNR-information till behöriga nationella myndigheter i tre olika situationer.
För det första ska en överföring ske av PNR-information beträffande personer som har valts ut vid en förhandsbedömning och som den behöriga myndigheten behöver utreda ytterligare på grund av att dessa kan vara inblandade i terroristbrottslighet eller annan allvarlig brottslighet (jfr artikel 6.2 a och 6.6). För det andra ska PNR-information överföras för att besvara en förfrågan från en behörig myndighet (artikel 6.2 b). För det tredje ska enheten för passagerarinformation vidarebefordra sådan PNR-information som den har mottagit från andra medlemsstaters motsvarande enheter (artikel 9.1).
Direktivets bestämmelser om förutsättningarna för när en överföring till de behöriga myndigheterna ska få ske bör genomföras i den nya lagen.
Överföring efter en förhandsbedömning
I artikel 6.5 och 6.6 i PNR-direktivet finns närmare bestämmelser om hur enheten för passagerarinformation ska gå till väga när en träff har uppkommit i samband med en förhandsbedömning av en passagerare. Av artikel 6.5 framgår att alla träffar vid en förhandsbedömning måste genomgå en individuell granskning med icke automatiska metoder innan uppgifterna får användas vidare. Detta innebär att en individuell bedömning alltid måste göras innan PNR-information sänds vidare till behöriga myndigheter och att PNR-information därmed inte per automatik kan föras vidare från enheten till en behörig myndighet. Vid granskningen ska det avgöras om det finns anledning att agera vidare på uppgifterna. Om så är fallet ska enheten, enligt artikel 6.6, översända PNR-uppgifterna eller resultaten av behandlingen av dessa uppgifter till behöriga myndigheter i samma stat för vidare granskning.
Av den nya lagen bör det framgå att enheten för passagerarinformation så snart som möjligt ska överföra PNR-information till en eller flera behöriga myndigheter för att en vidare granskning ska göras av PNR-information av passagerare som valts ut vid en förhandsbedömning. I lagen bör det även regleras att en befattningshavare vid enheten ska ha gjort en bedömning av PNR-informationen före överföringen till en behörig myndighet. Som Lagrådet påpekar bör det i lagen tydliggöras att befattningshavaren vid bedömningen ska granska att bara relevant information överförs och att en sådan bedömning endast ska göras när det gäller överföring av PNR-information som har valts ut vid en förhandsbedömning. Direktivet innehåller inte några närmare bestämmelser om vilka överväganden som bör göras vid bedömningen av om en träff i samband med en förhandsbedömning av passagerare ska överföras till behöriga myndigheter. Det uppställs således inte något krav på att en person ska finnas med i något eller några relevanta register eller andra uppgiftssamlingar för att informationen ska anses vara tillräckligt intressant för att föras vidare. Den granskning som ska utföras vid enheten för passagerarinformation innan PNR-information får sändas vidare till de behöriga myndigheterna bör dock syfta till att den aktuella PNR-informationen avser personer som kan vara inblandade i sådan brottslighet som omfattas av direktivet. Det kan vara svårt, för att inte säga omöjligt, för personalen vid enheten för passagerarinformation att bedöma om den PNR-information som har tagits fram vid en förhandsbedömning är relevant för att bekämpa den aktuella brottsligheten. Inför en överföring av den framtagna informationen kan man emellertid se till att det inte av misstag följer med PNR-uppgifter som avser sådana personer som inte alls kan bedömas vara intressanta för vidare granskning på den grunden att de kan vara inblandade i terroristbrottslighet eller annan allvarlig brottslighet. Så kan vara fallet t.ex. om en sökning mot på förhand fastställda kriterier ger ett orimligt stort utfall. Av artikel 6.5 och 6.6 följer rimligen också att granskningen ska omfatta att överföring bara sker till en behörig myndighet som kan antas behöva PNR-informationen för att göra en närmare granskning av informationen och eventuellt vidta åtgärder för att bekämpa aktuell brottslighet. Exempelvis bör en överföring till Ekobrottsmyndigheten endast ske när det kan vara fråga om sådan brottslighet som den myndigheten arbetar mot.
Överföring efter en begäran
Hur enheten ska gå till väga när den ska besvara en begäran om att ta del av PNR-information framgår av artikel 6.2 b i PNR-direktivet. Enligt bestämmelsen ska enheten i enskilda fall besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla PNR-uppgifter i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrott eller annan allvarlig brottslighet. Enheten ska också, när så är lämpligt, tillhandahålla de behöriga myndigheterna resultaten av en sådan behandling.
Av den nya lagen bör det framgå att enheten för passagerarinformation ska besvara en begäran från en behörig myndighet om att ta del av PNR-information. Direktivet bör tolkas som att ett svar på en begäran endast ska överföras till den myndighet som har ställt frågan. Av artikel 6.2 b framgår vidare att svar, när så är lämpligt, även ska överföras till Europol. Med att en begäran från behöriga myndigheter ska vara vederbörligen motiverad och bygga på tillräckliga skäl bör avses att begäran ska vara tillräckligt motiverad för att det ska framgå att PNR-informationen som begärs ut ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra sådan brottslighet som avses i direktivet. Även detta bör framgå av den nya lagen. Om så inte är fallet ska informationen inte lämnas ut.
Hovrätten för Nedre Norrland befarar att det kan uppstå tillämpningsproblem eftersom det ska vara frågan om en vederbörligen motiverad begäran som bygger på tillräckliga skäl. För att undvika tillämpningsproblem anser hovrätten att det bör tydliggöras vilken nivå som krävs på brottsmisstanken och grunden för begäran för att den ska anses vara tillräckligt motiverad.
Det är enheten för passagerarinformation som kommer att hantera behöriga myndigheters begäran om att få ut PNR-uppgifter. Det får förutsättas att sådana förfrågningar kommer att bli en vanligt återkommande uppgift för enheten och att enheten snabbt kommer att arbeta fram en rutin för när ett utlämnande kan ske. Eftersom även till synes mindre intressanta träffar kan visa sig vara högintressanta för de behöriga myndigheterna, som kan ha annan information om passagerarna än den som är tillgänglig för enheten för passagerarinformation, kan det vara svårt att ställa upp ett visst krav för när en begäran ska vara tillräckligt motiverad. Det får därför anses vara tillräckligt att enheten granskar att det av begäran framgår att PNR-informationen ska användas för att förebygga, förhindra, upptäcka, utreda eller lagföra sådan brottslighet som avses i direktivet. Några ytterligare krav på när en begäran ska anses vara tillräckligt motiverad bör därför inte ställas.
Om de begärda uppgifterna är äldre än sex månader och därmed har behörighetsbegränsats får enheten för passagerarinformation tillhandahålla fullständiga PNR-uppgifter endast om det rimligen kan antas vara nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, och endast efter tillstånd från en sådan myndighet som avses i artikel 12.3, se vidare avsnitt 10.5.
Vidarebefordran av PNR-information från andra medlemsstater
Enligt artikel 9.1 i PNR-direktivet ska enheten för passagerarinformation vidarebefordra sådan PNR-information som den har mottagit från andra medlemsstaters motsvarande enheter. Enheten kan också enligt artikel 9.2 motta svar på frågor som enheten har ställt på uppdrag av en behörig myndighet till andra länders enheter för passagerarinformation. Av direktivet framgår inte uttryckligen vad enheten ska göra med den informationen. Det får dock förutsättas att informationen ska överföras till den behöriga myndighet som ursprungligen har ställt frågan. Det bör framgå av den nya lagen att enheten ska vidarebefordra sådan PNR-information till de behöriga myndigheterna.
10.2 Överföring till andra medlemsstater
10.2.1 Definition av medlemsstat
Regeringens förslag: En medlemsstat ska definieras som en stat som är medlem i EU och har antagit PNR-direktivet.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: De flesta av remissinstanserna har inga synpunkter på förslaget. Polismyndigheten anser att definitionen av medlemsstat bör knytas till de stater som är bundna av direktivet eftersom lagen annars kan behöva ändras för det fall det sker förändringar på unionsrättslig nivå.
Skälen för regeringens förslag: Ordet medlemsstat används på flera ställen i direktivet. Någon definition av ordet finns inte i direktivet men vanligtvis menas med begreppet en stat som är medlem i EU. Direktivet är enligt skäl 40 inte tillämpligt på Danmark. För att undvika att räkna upp alla stater som är bundna av direktivet bör begreppet definieras i lagen. Genom att definiera medlemsstat blir det tydligt för vilka stater bestämmelserna gäller utan att lagen tyngs av långa uppräkningar. I likhet med Polismyndigheten anser regeringen att definitionen av medlemsstat bör knytas till de stater som deltar i antagandet av direktivet i stället för att undantag görs för Danmark. En medlemsstat bör därför definieras som en stat som är medlem i EU och har antagit direktivet. På så sätt behöver definitionen inte ändras eller tas bort för det fall t.ex. Danmark ansluter sig till direktivet.
10.2.2 Överföring av PNR-information till enheter för passagerarinformation i andra medlemsstater
Regeringens förslag: Enheten för passagerarinformation ska så snart som möjligt överföra PNR-information till en motsvarande enhet i en annan medlemsstat
1. för vidare granskning där av PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning, eller
2. för att besvara en begäran från en enhet i en annan medlemsstat om att ta del av PNR-information, om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
En befattningshavare vid enheten ska före överföring enligt punkt 1 bedöma om PNR-informationen är relevant för vidare granskning i den andra medlemsstaten.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår inte att en befattningshavare före överföringen ska göra en bedömning av PNR-informationens relevans.
Remissinstanserna har inte några synpunkter på förslaget.
Skälen för regeringens förslag: Resultatet av en förhandsbedömning av passagerare kan vara av intresse inte bara för behöriga nationella myndigheter utan även för en eller flera behöriga myndigheter i andra medlemsstater. När personer har identifierats av en enhet för passagerarinformation i enlighet med artikel 6.2 i direktivet ska därför enheten enligt artikel 9.1 även översända alla relevanta och nödvändiga PNR-uppgifter eller resultaten av en eventuell behandling av dessa uppgifter till motsvarande enheter i de andra medlemsstaterna. Enheterna för passagerarinformation i de mottagande medlemsstaterna ska därefter översända den mottagna informationen till sina behöriga myndigheter i enlighet med artikel 6.6.
Enligt artikel 9.2 i PNR-direktivet ska enheten för passagerarinformation i en medlemsstat även ha rätt att vid behov begära att en enhet i en annan medlemsstat tillhandahåller PNR-uppgifter som lagras i den senares databas och som ännu inte har genomgått en maskering. Vid behov ska även resultaten av en eventuell behandling av dessa uppgifter tillhandahållas, om en förhandsbedömning redan har utförts i enlighet med artikel 6.2 a. Det innebär att enheten för passagerarinformation inte är skyldig att på begäran av en annan enhet exempelvis jämföra PNR-uppgifterna med uppgifterna i något annat register eller någon annan uppgiftssamling. Endast för det fall en sådan bedömning redan är genomförd och alltjämt finns sparad vid enheten, ska resultatet av förhandsbedömningen också översändas. Som framgått i avsnitt 9.8.1 är det troligen bara i undantagsfall sådana resultat finns sparade vid enheten. En begäran om att få ta del av uppgifter ska enligt artikel 9.2 i direktivet vederbörligen motiveras och får avse en viss uppgift eller en kombination av sådana uppgifter, beroende på vilken information den begärande enheten för passagerarinformation anser vara nödvändig i ett särskilt fall för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet. Enheterna för passagerarinformation ska tillhandahålla den begärda informationen så snart som möjligt.
En bestämmelse som genomför artikel 9.1 och 9.2 bör införas i den nya lagen. Av bestämmelsen bör det framgå att enheten för passagerarinformation så snart som möjligt ska överföra PNR-information till en motsvarande enhet i en annan medlemsstat för att en vidare granskning ska göras av PNR-informationen beträffande passagerare som har valts ut vid en förhandsbedömning. Av bestämmelsen bör det vidare framgå att enheten för passagerarinformation så snart som möjligt ska besvara en begäran från en motsvarande enhet i en annan medlemsstat och överföra informationen dit. Av den nya lagen bör det även framgå att överföring efter en särskild begäran endast får ske om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Om så inte är fallet får PNR-informationen inte behandlas och ska inte lämnas ut.
Lagrådet har synpunkter på lagrådsremissens utformning av bestämmelsen och föreslår ett tillägg om att PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning först ska ha överförts till en behörig myndighet för att tydliggöra att det måste ha skett en bedömning av informationens relevans före överföringen. Regeringen anser att det i stället bör införas en bestämmelse som motsvarar bestämmelsen om överföring till behöriga myndigheter i Sverige där det framgår att en befattningshavare vid enheten före överföringen ska bedöma om PNR-informationen är relevant för vidare granskning av mottagaren. En sådan bedömning ska även göras före sådana överföringar till Europol, se avsnitt 10.3. Bestämmelserna blir därmed likalydande och det framgår direkt av den aktuella bestämmelsen vilken prövning som måste ske innan informationen överförs.
Om de begärda uppgifterna är äldre än sex månader och därmed har behörighetsbegränsats får enheten för passagerarinformation tillhandahålla fullständiga PNR-uppgifter endast om det rimligen kan antas vara nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och endast efter tillstånd från en sådan myndighet som avses i artikel 12.3, se vidare avsnitt 10.5.
10.2.3 Överföring på begäran av en behörig myndighet i en annan medlemsstat
Regeringens förslag: När det i ett enskilt brådskande fall är absolut nödvändigt ska enheten för passagerarinformation besvara en begäran från en behörig myndighet i en annan medlemsstat och överföra PNR-information direkt till den myndigheten. Överföring får endast ske om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna har inga synpunkter på förslaget.
Skälen för regeringens förslag: PNR-uppgifter ska som huvudregel utbytas mellan medlemsstaterna bara via medlemsstaternas enheter för passagerarinformation. I artikel 9.3 i PNR-direktivet ges dock en möjlighet för medlemsstaternas behöriga myndigheter att i undantagsfall vända sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begäran om att få ut PNR-uppgifter som finns bevarade hos enheten. En sådan begäran får endast framställas i nödfall och i övrigt på samma villkor som anges i artikel 9.2. Även en sådan begäran ska vara vederbörligen motiverad. En kopia av begäran ska alltid skickas till enheten för passagerarinformation i den begärande medlemsstaten.
Enheten för passagerarinformations skyldigheter enligt artikel 9.3 bör regleras i den nya lagen. Det bör av bestämmelsen framgå att enheten för passagerarinformation endast i ett enskilt brådskande fall och om det är absolut nödvändigt ska besvara en begäran från en behörig myndighet i en annan medlemsstat och överföra PNR-information direkt till den myndigheten. I direktivets svenska översättning används ordet nödfall. Med nödfall torde menas detsamma som att det är absolut nödvändigt i ett brådskande fall. Det uttryckssättet passar bättre in i svensk lagstiftning och bör därför användas. Överföring ska i övrigt ske endast under samma förutsättningar som överföring till en annan enhet för passagerarinformation. För det fall en förfrågan avser behörighetsbegränsade PNR-uppgifter ska förutsättningarna för överföring av sådana vara uppfyllda, se vidare i avsnitt 10.5.
10.2.4 Överföring för att avvärja en specifik och faktisk fara
Regeringens förslag: När det är nödvändigt för att avvärja en specifik och faktisk fara ska enheten för passagerarinformation på begäran av en enhet i en annan medlemsstat inhämta PNR-uppgifter från lufttrafikföretag vid andra tidpunkter än vad som gäller som huvudregel och överföra dessa till den enhet som har begärt dem.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna har inga synpunkter på förslaget.
Skälen för regeringens förslag: Som framgår av avsnitt 8.4 kan enheten för passagerarinformation begära att lufttrafikföretag ska överföra PNR-uppgifter även vid andra tidpunkter än de som gäller som huvudregel om det i ett enskilt fall bedöms nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet. Av artikel 9.4 i PNR-direktivet framgår att även en enhet för passagerarinformation i en annan medlemsstat har rätt att begära att en enhet i en annan medlemsstat hämtar in PNR-uppgifter från lufttrafikföretag vid andra tidpunkter och vidarebefordrar dessa till den begärande enheten för passagerarinformation. En sådan begäran får endast ske i undantagsfall och om det är nödvändigt för att reagera på ett specifikt och faktiskt hot med anknytning till terrorism eller grov brottslighet.
En motsvarande bestämmelse bör införas i den nya lagen. Av bestämmelsen bör framgå att enheten för passagerarinformation på begäran av en motsvarande enhet i annan medlemsstat ska inhämta uppgifter från lufttrafikföretagen på andra tider än de som framgår i 2 kap. 2 § i den nya lagen och överföra dessa till den begärande enheten. Uppgifterna ska enligt direktivet hämtas in endast i undantagsfall, vilket torde innebära att det endast är tillåtet i vissa särskilda situationer. I den nya lagen bör därför föreskrivas att en sådan inhämtning endast får ske i ett enskilt fall. Vidare krävs att uppgifterna är nödvändiga för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet.
10.2.5 Enhetens inhämtande av PNR-uppgifter från andra medlemsstaters motsvarande enheter
Regeringens bedömning: Det bör regleras i förordning vilka skyldigheter enheten för passagerarinformation har i samband med att enheten begär att få ta del av PNR-information från en motsvarande enhet i en annan medlemsstat.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna har inga synpunkter på bedömningen.
Skälen för regeringens bedömning: Artikel 9.2 och 9.4 i PNR-direktivet innehåller bestämmelser om hur en nationell enhet för passagerarinformation ska gå till väga när den vill ha tillgång till PNR-information som lagras hos en motsvarande enhet i en annan medlemsstat. Av artikel 9.2 framgår att en enhet för passagerarinformation har rätt att vid behov begära att få del av sådan information och att en begäran ska vara vederbörligen motiverad. Det får, som framgår ovan, anses innebära att begäran ska vara tillräckligt motiverad för att det ska framgå att PNR-informationen ska användas för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Begäran får vidare enligt artikel 9.2 avse en viss uppgift eller en kombination av uppgifter. Av artikel 9.5 framgår att informationsutbytet får ske via alla befintliga kanaler för samarbete mellan staterna. En begäran om att få ta del av PNR-information som finns lagrad vid en annan medlemsstats enhet för passagerarinformation kommer troligen normalt sett att överföras elektroniskt och därmed skriftligt, men det finns inget hinder mot att en begäran framställs muntligen.
Enligt regeringens mening kan frågan om enheten för passagerarinformations skyldigheter i samband med en begäran om att få ta del av PNR-information från en motsvarande enhet i ett annat land enligt artikel 9.2 regleras i förordning. Även möjligheten enligt artikel 9.4 att begära att en annan medlemsstats motsvarande enhet hämtar in uppgifter från lufttrafikföretag på andra tider än som i övrigt följer av direktivet kan regleras i förordning.
10.3 Överföring till Europol
Regeringens förslag: Enheten för passagerarinformation ska så snart som möjligt överföra PNR-information till Europol
1. för vidare granskning där av PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning, eller
2. för att besvara en begäran från Europol om att få ta del av PNR-information, om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
En befattningshavare vid enheten ska före överföring enligt punkt 1 bedöma om PNR-informationen är relevant för vidare granskning av Europol.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår inte att det av lagen ska framgå att enheten för passagerarinformation ska få överföra PNR-information till Europol för vidare granskning där av informationen beträffande passagerare som har valts ut vid en förhandsbedömning, eller att en befattningshavare före överföringen ska göra en bedömning av PNR-informationens relevans.
Remissinstanserna: Polismyndigheten ställer sig frågande till om inte enheten för passagerarinformation kan lämna ut information från förhandsbedömningar till Europol även utan en särskild begäran. Övriga remissinstanser har inte några synpunkter på förslaget.
Skälen för regeringens förslag: Europol är EU:s gemensamma polisbyrå och utgör en del av det brottsbekämpande samarbetet i unionen. Europol har till uppgift att stödja och stärka medlemsstaternas polismyndigheter och andra brottsbekämpande organs insatser och deras samarbete för att förebygga och bekämpa viss brottslighet. Europol arbetar till stor del med insamling, behandling och analys av underrättelser om allvarlig och gränsöverskridande brottslighet inom unionen och fungerar som en knutpunkt för utbyte av uppgifter mellan medlemsstaterna. Det styrande regelverket för Europol finns i Europaparlamentets och rådets förordning (EU) 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF (Europolförordningen) som tillämpas från och med den 1 maj 2017. Enligt artikel 7.6 i Europolförordningen ska varje medlemsstat tillhandahålla Europol den information som är nödvändig för att Europol ska kunna uppfylla sina mål. Enligt förordningen föreligger således en uppgiftsskyldighet för de nationella myndigheterna gentemot Europol.
Europols rätt att få del av PNR-uppgifter framgår på flera ställen i PNR-direktivet. I artikel 4.2 anges att enheten för passagerarinformation ska ansvara för att bl.a. utbyta PNR-uppgifter och resultatet av behandlingen av dessa uppgifter med Europol. Även av artikel 6.2 a och b framgår att enheten för passagerarinformation får behandla PNR-uppgifter för ändamålet att tillhandahålla Europol resultatet av en behandling av dessa uppgifter. I artikel 6.2 a, som behandlar enhetens förhandsbedömningar, anges bl.a. att sådana ska göras för att identifiera personer som Europol i förekommande fall enligt artikel 10 behöver utreda ytterligare.
De närmare bestämmelserna om Europols tillgång till PNR-uppgifter finns i artikel 10 i direktivet. Av artikel 10.1 framgår att Europol, inom ramen för sina befogenheter och för fullgörandet av sina arbetsuppgifter, ska ha rätt att begära ut specifika PNR-uppgifter eller resultatet av behandlingen av dessa uppgifter från enheterna för passagerarinformation i medlemsstaterna. Det ska, enligt artikel 10.2, gå till på så sätt att Europol från fall till fall via sin nationella enhet lämnar in en elektronisk, vederbörligen motiverad begäran om översändande av specifika PNR-uppgifter eller resultaten av behandlingen av dessa uppgifter till enheten för passagerarinformation i en medlemsstat. Europol får lämna in en sådan begäran när det är absolut nödvändigt för att stödja och stärka medlemsstaternas åtgärder för att förebygga, förhindra, upptäcka eller utreda ett specifikt terroristbrott eller grovt brott i den mån brottet i fråga omfattas av Europols behörighet enligt Europolrådsbeslutet. I den motiverade begäran ska rimliga skäl anges till varför Europol anser att översändandet av PNR-uppgifterna eller resultaten av behandlingen av PNR-uppgifterna väsentligt kommer att bidra till att brottet i fråga förebyggs, upptäcks eller utreds.
En tanke bakom PNR-direktivet är att det inte ska påverka andra unionsinstrument om informationsutbyte på det brottsbekämpande området, se skäl 23. Uppgiftsskyldigheten i Europolförordningen kan därför sägas gälla framför PNR-direktivet. Som framgått tidigare innebär regleringen i Europolförordningen bl.a. att Sverige, liksom övriga medlemsstater, har en skyldighet att lämna sådan information till Europol som är nödvändig för att Europol ska kunna uppfylla sina mål. PNR-uppgifterna utgör sådana uppgifter som kan vara nödvändiga för att Europol ska kunna uppfylla sina mål och utföra sina arbetsuppgifter. Uppgiftsskyldigheten omfattar således även PNR-uppgifter. Enligt regeringens bedömning är det dock inte tillräckligt att luta sig mot uppgiftsskyldigheten i Europolförordningen för att genomföra PNR-direktivet på ett korrekt sätt. Den nya lagen bör därför innehålla en bestämmelse som reglerar att Europol även på begäran har rätt att få ut PNR-uppgifter. Enheten för passagerarinformation ska därför så snart som möjligt besvara en begäran från Europol och överföra PNR-information dit. En sådan överföringsskyldighet innebär att Europol på begäran kan få del av såväl förhandsinformation om passagerare som av uppgifter som lagras i databasen. Av den nya lagen bör det även framgå att överföring endast får ske om det framgår av begäran att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Om så inte är fallet får PNR-informationen inte behandlas och ska inte lämnas ut.
Polismyndigheten anser att det är otydligt när uppgifter kan lämnas ut till Europol och undrar om inte enheten för passagerarinformation också ska kunna lämna ut PNR-information från förhandsbedömningar även utan en föregående begäran från Europol. Även Lagrådet anser att frågan bör klargöras. Som framgått ovan finns redan en uppgiftsskyldighet enligt Europolförordningen. För att tydliggöra att enheten för passagerarinformation, utöver överföring av information på begäran, även ska kunna överföra PNR-information till Europol utan en föregående begäran bör det dock framgå av lagen att enheten för passagerarinformation även får överföra PNR-information till Europol för vidare granskning där av PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning. På samma sätt som vid överföring till andra behöriga mottagare ska en person som tjänstgör vid enheten för passagerarinformation före överföringen bedöma om PNR-informationen är relevant för vidare granskning av Europol. Vid bedömningen ska eventuell information om personer som kan avfärdas som ointressanta för vidare granskning rensas bort. Hur uppgifterna får behandlas av Europol och hur en eventuell vidarebefordran av uppgifter därifrån får gå till samt dataskyddsfrågor som har med detta att göra regleras av Europolförordningen.
I artikel 10 anges inte närmare i vilken form de efterfrågade uppgifterna ska tillhandahållas. För det fall de begärda PNR-uppgifterna är äldre än sex månader kommer de uppgifter som kan användas för att omedelbart identifiera passagerare att vara behörighetsbegränsade. För att utlämnande av fullständiga uppgifter i sådant fall ska få ske krävs att de förutsättningar som anges i artikel 12.3 är uppfyllda. Det finns inte något undantag i den bestämmelsen för det fall uppgifterna ska tillhandahållas Europol. Bestämmelsen är därför tillämplig även på sådana uppgifter som ska överföras dit. Denna fråga behandlas närmare i avsnitt 10.5.
10.4 Överföring till tredjeland
10.4.1 Definition av tredjeland
Regeringens förslag: Tredjeland ska definieras som en stat som inte är en medlemsstat.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna har inga synpunkter på förslaget.
Skälen för regeringens förslag: PNR-direktivet innehåller inte någon definition av tredjeland. Med tredjeland avses i EU-sammanhang vanligtvis ett land som inte är medlem i unionen. Som tidigare har angetts är dock Danmark inte bundet av PNR-direktivet. En definition av begreppet tredjeland är därför nödvändig i den nya lagen. Utgångspunkten för en sådan definition bör vara hur begreppet medlemsstat definieras. Som framgått av avsnitt 10.2.1 föreslås att en medlemsstat ska definieras som en stat som är medlem i EU och har antagit direktivet. Stater som inte är medlemsstater enligt direktivet ska betraktas som tredjeländer. Definitionen av tredjeland bör därför vara en stat som inte är en medlemsstat.
10.4.2 Förutsättningar för överföring till tredjeland
Regeringens förslag: Enheten för passagerarinformation får besvara en begäran och överföra PNR-information till en myndighet i ett tredjeland som är behörig att bedriva verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet under förutsättning att
- överföringen omfattas av ett beslut om adekvat skyddsnivå, tillräckliga skyddsåtgärder eller ett undantag för särskilda situationer enligt brottsdatalagen,
- överföringen är nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, och
- tredjelandet har godtagit att uppgifterna får vidareöverföras till ett annat tredjeland endast om det är absolut nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och efter det att ett uttryckligt medgivande till vidareöverföringen har inhämtats från enheten för passagerarinformation.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Polismyndigheten efterfrågar dels ett förtydligande av om uppgifter endast kan lämnas ut till tredjeland i de fall den påstådda brottsligheten omfattas av direktivets definitioner av terroristbrottslighet eller annan allvarlig brottslighet, dels en närmare analys av hur en sådan prövning i sådana fall ska gå till i praktiken. Säkerhets- och integritetsskyddsnämnden anser att bestämmelsen kan formuleras på ett enklare sätt. Övriga remissinstanser har inga synpunkter på förslaget.
Skälen för regeringens förslag
Förutsättningar för överföring till tredjeland
Överföringar från enheten för passagerarinformation till tredjeland behandlas i artikel 11 i PNR-direktivet. Av artikel 11.1 framgår att en medlemsstat får överföra PNR-uppgifter och resultatet av behandling av sådana uppgifter som lagras av enheten för passagerarinformation till ett tredjeland efter en bedömning i det enskilda fallet och endast under förutsättning att
- de villkor som fastställs i artikel 13 i rambeslut 2008/977/RIF (dataskyddsrambeslutet) är uppfyllda,
- överföringen är nödvändig för direktivets syften enligt artikel 1.2, dvs. för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet,
- det berörda tredjelandet godtar att överföra uppgifterna till ett annat tredjeland endast om det är strikt nödvändigt för direktivets ändamål enligt artikel 1.2 och endast efter uttryckligt samtycke av medlemsstaten, och
- samma villkor för överföring till en annan medlemsstat som anges i artikel 9.2 är uppfyllda.
Överföring får bara ske till en behörig myndighet
Enligt artikel 11.3 i PNR-direktivet får överföringar endast ske till en behörig myndighet i tredjeland. Det är således enligt direktivet inte möjligt att överföra PNR-information till internationella organisationer, vilket är möjligt enligt den föreslagna brottsdatalagen. Med en behörig myndighet avses i brottsdatalagen en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte (1 kap. 6 §). Med en behörig myndighet enligt PNR-direktivet bör dock i det här sammanhanget avses en myndighet som i tredjelandet är behörig att bedriva verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Det bör av den nya lagen framgå att överföringar endast får ske till en sådan myndighet i ett tredjeland.
Grundläggande villkor ska vara uppfyllda
PNR-direktivet innehåller inte några grundläggande bestämmelser med allmänna principer för överföring av personuppgifter till tredjeland. I stället anges i artikel 11.1 a i direktivet att en överföring får ske till ett tredjeland bl.a. om de villkor som fastställs i artikel 13 i dataskyddsrambeslutet är uppfyllda. Dataskyddsrambeslutet upphävs emellertid i samband med genomförandet av det nya dataskyddsdirektivet. PNR-direktivets hänvisningar till dataskyddsrambeslutet får därför läsas som hänvisningar till det nya dataskyddsdirektivet.
Bestämmelser om överföring till tredjeland i det nya dataskyddsdirektivet föreslås genomföras i brottsdatalagen och tillhörande förordning. Brottsdatalagen innehåller således de grundläggande bestämmelserna för överföring av personuppgifter till tredjeland inom det brottsbekämpande området. De grundläggande förutsättningarna framgår av 8 kap. 1 § första stycket 3 brottsdatalagen. Bestämmelsen hänvisar till 3, 4 och 5 §§ i samma kapitel, som anger att överföringen ska omfattas av ett beslut om adekvat skyddsnivå, av tillräckliga skyddsåtgärder eller av ett undantag för särskilda situationer för att uppgifterna ska få överföras till ett tredjeland. Dessa bestämmelser är alltså tillämpliga även vid överföring av PNR-information. För att tydliggöra det bör i den nya lagen göras en hänvisning till 8 kap. 1 § första stycket 3 brottsdatalagen. Av bestämmelsen bör uttryckligen framgå att överföringen ska omfattas av ett beslut om adekvat skyddsnivå, tillräckliga skyddsåtgärder eller ett undantag för särskilda situationer. Det framgår därmed tydligare vilka grundläggande villkor som ska vara uppfyllda för att en överföring ska få ske, vilket tillmötesgår Säkerhets- och integritetsskyddsnämnden synpunkt om att bestämmelsen kan formuleras på ett enklare sätt.
Överföringen ska vara nödvändig för direktivets syften
Av artikel 11.1 b i PNR-direktivet framgår att en överföring av PNR-information till tredjeland endast får ske om det är nödvändigt för direktivets syften enligt artikel 1.2. Således krävs att en överföring till tredjeland är nödvändig för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet. Uppgifter kan således endast lämnas ut till ett tredjeland i de fall brottsligheten omfattas av direktivets definitioner av grov brottslighet eller terroristbrottslighet. Bestämmelsen kommer att bli tillämplig i stället för bestämmelsen i 8 kap. 1 § 1 brottsdatalagen enligt vilken mer allmängiltiga ändamål ska vara uppfyllda för att en överföring ska få ske.
Polismyndigheten har efterfrågat ett förtydligande av hur prövningen av om brottsligheten omfattas av direktivets syften ska gå till. Enheten för passagerarinformation får i dessa fall, utifrån begäran från tredjelandet, göra en bedömning av om överföringen är nödvändig för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrottslighet eller annan allvarlig brottslighet. Hur en sådan bedömning ska gå till får avgöras från fall till fall. I sammanhanget kan konstateras att bestämmelsen inte innebär en skyldighet att lämna ut PNR-information till ett tredjeland. När det gäller tredjeland så finns inte någon förteckning över vilka myndigheter som är behöriga, på samma sätt som för behöriga myndigheter i medlemsstater (jfr artikel 7.1 i PNR-direktivet). Enheten för passagerarinformation får därför göra en bedömning i det enskilda fallet om den begärande myndigheten i det tredjelandet är behörig att bedriva verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Villkor för vidareöverföring från ett tredjeland
Artikel 11.1 c i PNR-direktivet behandlar frågan om vidareöverföring från ett tredjeland till ett annat tredjeland. Enligt bestämmelsen ska ett tredjeland som vill motta PNR-information godta att de överförda uppgifterna endast får föras vidare till ett annat tredjeland om det är strikt nödvändigt för PNR-direktivets ändamål och efter uttryckligt samtycke av medlemsstaten. I brottsdatalagen finns inga motsvarande krav för att en överföring ska få ske till tredjeland. En bestämmelse som motsvarar artikel 11.1 c i PNR-direktivet bör därför införas i den nya lagen.
Medgivandet bör enligt regeringen lämnas av enheten för passagerarinformation.
Förutsättningarna för överföring till en annan medlemsstat ska vara uppfyllda
Enligt artikel 11.1 d i PNR-direktivet ska även de villkor som fastställs i artikel 9.2 vara uppfyllda vid en överföring av PNR-information till ett tredjeland. Bestämmelsen bör tolkas på så sätt att det krävs att tredjelandet motiverar sin begäran och att förutsättningarna för att överföra fullständiga PNR-uppgifter efter att de har behörighetsbegränsats enligt artikel 9.2 är uppfyllda. Det innebär att om överföringen avser PNR-uppgifter som är äldre än sex månader och därmed är behörighetsbegränsade, får fullständiga PNR-uppgifter endast överföras om även de bestämmelser som genomför artikel 12.3 är uppfyllda, se avsnitt 10.5. Utredningen har föreslagit att det i den nu aktuella bestämmelsen ska göras en hänvisning till bestämmelsen om överföring av fullständiga uppgifter som har varit behörighetsbegränsade. Den bestämmelsen omfattar överföring till tredjeländer och regeringen anser inte att en sådan hänvisning är nödvändig.
10.4.3 Användningsbegränsningar för PNR-information som överförts till tredjeland
Regeringens förslag: I syfte att säkerställa att PNR-information inte används i strid med PNR-direktivet ska enheten för passagerarinformation vid överföring av PNR-information till ett tredjeland ställa upp villkor som begränsar möjligheten att använda informationen i strid med lagens syften.
Regeringens bedömning: Närmare bestämmelser om sådana villkor och att dataskyddsombudet vid enheten för passagerarinformation ska informeras om varje överföring av PNR-information till tredjeland bör regleras i förordning eller myndighetsföreskrifter.
Utredningens bedömning överensstämmer delvis med regeringens förslag och bedömning. Utredningen föreslår att bestämmelsen som gäller villkor om användningsbegränsningar ska tas in i förordning.
Remissinstanserna: Advokatsamfundet anser att det inte finns tillräckliga garantier för att PNR-uppgifterna inte kommer att användas för andra ändamål än de som anges i lagförslaget och att det finns anledning att vara observant på hur uppgifterna kommer att behandlas utomlands. Övriga remissinstanser har inga synpunkter på bedömningen.
Skälen för regeringens förslag och bedömning: Enligt artikel 11.3 i PNR-direktivet ska medlemsstaterna säkerställa att PNR-information översänds enligt PNR-direktivets bestämmelser om överföring till tredjeländer och att den överförda informationen är planerad att användas i överensstämmelse med direktivets syften och begränsningar. Vid en överföring till ett tredjeland fordras således att enheten för passagerarinformation försäkrar sig om att den planerade användningen av informationen inte kommer att strida mot lagens grundläggande bestämmelser, framför allt att informationen bara används för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
I 8 kap. 10 § brottsdatalagen anges att en svensk behörig myndighet får ställa upp villkor som begränsar mottagarens möjlighet att använda överförda uppgifter. Det är dock inte obligatoriskt för en myndighet att ställa villkor. Enligt regeringens mening bör det, för ett korrekt genomförande av artikel 11.3 i PNR-direktivet, vara obligatoriskt för enheten att ställa upp villkor om användningsbegränsningar. En bestämmelse som anger att enheten för passagerarinformation vid överföring av PNR-information till ett tredjeland ska ställa upp villkor som begränsar möjligheten att använda informationen i strid med lagens syften bör därför införas. På detta sätt säkerställs, så långt som möjligt, att PNR-uppgifterna inte används för andra ändamål än de som anges i lagförslaget, vilket Advokatsamfundet påpekat att det inte finns tillräckliga garantier för. Bestämmelsen bör enligt regeringens mening tas in i lag. De närmare villkoren, som t.ex. kan avse för vilket eller vilka specifika syften den överförda informationen får behandlas av mottagarlandet, begränsning av spridningen inom landet eller myndigheten samt under vilka förutsättningar informationen får överföras vidare, kan regleras i förordning.
Enligt artikel 11.4 i PNR-direktivet ska dataskyddsombudet vid enheten för passagerarinformation informeras om varje överföring till tredjeland. Även detta kan regleras i förordning.
10.4.4 Överföring av PNR-information som enheten har fått från en annan medlemsstat
Regeringens förslag: Om enheten för passagerarinformation har fått PNR-information från en annan medlemsstat krävs enligt brottsdatalagen ett medgivande från medlemsstaten till överföringen av informationen. Om ett medgivande till överföringen på grund av tidsbrist inte kan inhämtas i förväg ska informationen ändå få överföras om det är absolut nödvändigt för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet.
Regeringens bedömning: En bestämmelse om att enheten för passagerarinformation utan dröjsmål ska informera den andra medlemsstaten om att PNR-information har överförts till ett tredjeland utan förhandsmedgivande bör tas in i förordning. Det bör också regleras i förordning att en efterhandskontroll av överföringen ska utföras av dataskyddsombudet vid enheten för passagerarinformation.
Utredningens förslag och bedömning överensstämmer i sak med regeringens.
Remissinstanserna har inga synpunkter.
Skälen för regeringens förslag och bedömning: I artikel 11.2 i PNR-direktivet regleras behandling av PNR-information som enheten för passagerarinformation har fått från andra medlemsstater. För att överföring av sådan PNR-information ska få ske utan samtycke från medlemsstaten krävs enligt artikeln att överföringen är absolut nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet i en medlemsstat eller ett tredjeland och att ett förhandssamtycke inte kan erhållas i tid. Den myndighet som ansvarar för att ge samtycke i den ursprungliga medlemsstaten ska informeras utan dröjsmål och överföringen ska registreras och genomgå en efterhandskontroll.
Enligt den föreslagna bestämmelsen i 8 kap. 2 § första stycket brottsdatalagen får personuppgifter som en svensk myndighet har fått från en annan medlemsstat överföras till ett tredjeland endast om den medlemsstat som har lämnat personuppgifterna har medgett att de överförs till tredjeland. Bestämmelsen är tillämplig även när enheten för passagerarinformation överför PNR-uppgifter, vilket av tydlighetsskäl bör framgå av den nya lagen. I 8 kap. 2 § andra stycket brottsdatalagen finns ett undantag från denna huvudregel. Eftersom undantaget i artikel 11.2 i PNR-direktivet är snävare än undantaget i brottsdatalagen bör en bestämmelse föras in i den nya lagen som ska gälla i stället för undantaget i brottsdatalagen. För att underlätta för tillämparen bör bestämmelsen genomföras på liknande sätt som den angivna bestämmelsen i brottsdatalagen. Således bör det i den nya lagen anges att det krävs ett medgivande till överföringen enligt 8 kap. 2 § första stycket brottsdatalagen om enheten har fått informationen från en annan medlemsstat och att en överföring utan förhandsmedgivande endast får ske om det är absolut nödvändigt för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet. Med uttrycket absolut nödvändigt markeras att undantaget ska tillämpas restriktivt och att det därmed kan bli fråga om överföring utan förhandssamtycke endast i undantagsfall. Bestämmelsen skulle exempelvis kunna tillämpas om överföringen är nödvändig för att avvärja ett terroristattentat i en medlemsstat eller ett tredjeland. Att faran inte förverkligas behöver dock inte innebära att överföringen har varit otillåten. Bedömningen måste göras med hänsyn till vad som är känt när prövningen görs.
Enligt andra stycket i artikel 11.2 i PNR-direktivet ska den myndighet som ansvarar för att ge samtycke informeras om överföringen utan dröjsmål. En motsvarande bestämmelse bör tas in i förordning.
Vidare ska enligt artikel 11.2 överföringar utan samtycke registreras och genomgå efterhandskontroll. Att överföringar till tredjeländer ska registreras anges även i artikel 13.5 c. Frågan har behandlats i samband med förslaget till genomförande av den artikeln, se avsnitt 9.8.1. Att dataskyddsombudet ska utföra en efterhandskontroll bör regleras i förordning.
10.5 Överföring av behörighetsbegränsade PNR-uppgifter i sin fullständiga form
10.5.1 När får PNR-uppgifter som är behörighetsbegränsade överföras i sin fullständiga form?
Regeringens förslag: PNR-uppgifter som har bevarats vid enheten för passagerarinformation i mer än sex månader och därför är behörighetsbegränsade får endast överföras i sin fullständiga form om det rimligen kan antas vara nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. För överföring krävs tillstånd.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Försvarsmakten anser att förfarandet är komplicerat och kan innebära fördröjning och anser att tillståndsprocessen bör ses över så att behöriga myndigheter får möjlighet att bedriva sitt arbete på ett effektivt och proaktivt sätt. Övriga remissinstanser har inga synpunkter på förslaget.
Skälen för regeringens förslag
Särskilda förutsättningar för överföring
Enligt PNR-direktivets artikel 12.2 ska PNR-uppgifter vid enheten för passagerarinformation avidentifieras genom maskering efter en inledande sexmånadersperiod. Uppgifter som har bevarats vid enheten för passagerarinformation i mer än sex månader kommer därför att vara avidentifierade på ett sådant sätt att uppgifter som identifierar en person görs otillgängliga för användare som saknar särskild behörighet. Uppgifterna kommer alltså att vara behörighetsbegränsade. Om någon som enligt direktivet har rätt att få ta del av PNR-uppgifter begär tillgång till uppgifter kommer därmed, om uppgifterna är mer än sex månader gamla, avidentifierade uppgifter att lämnas ut. Fullständiga PNR-uppgifter kan dock i vissa fall lämnas ut även efter den inledande sexmånadersperioden.
I artikel 12.3 anges att utlämnande av fullständiga PNR-uppgifter endast ska tillåtas efter utgången av sexmånadersperioden om två förutsättningar är uppfyllda.
För det första ska ett utlämnande rimligen kunna antas vara nödvändigt för de ändamål som anges i artikel 6.2 b. Det innebär enligt regeringens mening att en motiverad begäran har ställts till enheten och att enheten har funnit att en överföring kan ske enligt bestämmelserna i 4 kap. 1-9 §§ och att enheten har funnit att det rimligen kan antas vara nödvändigt att mottagaren får tillgång till fullständiga uppgifter, och inte bara behörighetsbegränsade PNR-uppgifter, för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
För det andra krävs tillstånd från en rättslig myndighet alternativt en annan nationell myndighet som i enlighet med nationell rätt är behörig att kontrollera om villkoren för tillgång är uppfyllda. En sådan nationell myndighet får dock bara ge tillstånd under förutsättning att dataskyddsombudet vid enheten för passagerarinformation informeras och genomför en efterhandsutvärdering.
Regeringen har förståelse för Försvarsmaktens synpunkt att förfarandet med behörighetsbegränsning kan innebära fördröjning och därmed försvåra för myndigheterna att arbeta effektivt och på ett proaktivt sätt när det gäller uppgifter som är äldre än sex månader. Bestämmelsen har dock en central funktion för integritetsskyddet i PNR-direktivet och måste genomföras av medlemsstaterna.
Bestämmelsen är generellt formulerad och det framgår inte att den endast är tillämplig vid överföring till någon särskild mottagare. Att bestämmelsen är tillämplig på andra medlemsstaters enheter för passagerarinformation och behöriga myndigheter framgår av artiklarna 9.2 sista meningen och 9.3. I artikel 11.1 d framgår att samma villkor också gäller vid överföring till ett tredjeland. Av den nya lagen bör därför framgå att bestämmelsen är tillämplig på samtliga behöriga mottagare och tredjeländer. Det bör vidare framgå att det krävs tillstånd för överföring av behörighetsbegränsade PNR-uppgifter i sin fullständiga form. Vilka som föreslås lämna detta tillstånd framgår nedan.
10.5.2 Vem ska lämna tillstånd till att få ta del av fullständiga PNR-uppgifter?
Regeringens förslag: Om en förundersökning pågår ska en begäran från en behörig myndighet om att få tillgång till fullständiga PNR-uppgifter ha beslutats av åklagare. I andra fall ska tillstånd till överföringen lämnas av Polismyndigheten
Regeringens bedömning: Närmare bestämmelser om att Polismyndigheten ska informera dataskyddsombudet vid enheten för passagerarinformation om att myndigheten har beslutat att överföra behörighetsbegränsade PNR-uppgifter i sin fullständiga form och att dataskyddsombudet i efterhand ska göra en utvärdering av överföringen bör regleras i förordning.
Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens. Utredningen föreslår bestämmelser i lag som reglerar möjligheten till delegation.
Remissinstanserna: Säkerhets- och integritetsskyddsnämnden anser att en domstol eller oberoende förvaltningsmyndighet bör pröva frågor om överföring av fullständiga PNR-uppgifter som är behörighetsbegränsade i stället för Polismyndigheten. Övriga remissinstanser har inga synpunkter.
Skälen för regeringens förslag och bedömning
Beslut ska fattas av en rättslig eller annan nationell myndighet
Som redan nämnts är en förutsättning för överföring av behörighetsbegränsade PNR-uppgifter i sin fullständiga form att det finns tillstånd till överföringen från en rättslig myndighet eller en annan nationell myndighet som i enlighet med nationell rätt är behörig att kontrollera om villkoren för tillgång är uppfyllda.
I EU:s rättsakter för samarbete i rättsliga frågor används ofta begreppet rättslig myndighet. Med en sådan myndighet avses enligt en vedertagen uppfattning i första hand domstol eller, för svenska förhållanden, åklagare. PNR-direktivet öppnar dock även upp för att en annan nationell myndighet kan lämna behövligt tillstånd. Frågan är hur detta krav ska tillgodoses i Sverige.
Det kan konstateras att det inte finns någon myndighet som är självskriven för tillståndsgivningen. Något system med bevarande och tillgång till PNR-uppgifter i viss brottsbekämpning på det sätt som föreskrivs i PNR-direktivet förekommer inte i Sverige i dag. Det finns därför inte någon ordning att ta avstamp i vid bedömningen av hur direktivets krav på tillstånd till utlämnande ska genomföras. Det är vidare osäkert hur behöriga myndigheter kommer att nyttja systemet och i hur stor omfattning behörighetsbegränsade uppgifter kommer att efterfrågas och om uppgifterna kommer att behövas i såväl förundersökningsverksamhet som underrättelseverksamhet. Det måste därför tas höjd för att uppgifter kan komma att begäras ut i båda dessa verksamheter.
Begäran under en pågående förundersökning
Förundersökning regleras i 23 kap. rättegångsbalken och förundersökningskungörelsen (1947:948). Beslut att inleda förundersökning kan fattas av Polismyndigheten, Säkerhetspolisen eller åklagare. Även Tullverket kan fatta beslut om inledande av förundersökning enligt 19 § lagen (2000:1225) om straff för smuggling (smugglingslagen). De befogenheter och skyldigheter som undersökningsledaren har enligt rättegångsbalken gäller i sådant fall Tullverket.
Om en förundersökning har inletts av Polismyndigheten eller Säkerhetspolisen och saken inte är av enkel beskaffenhet ska åklagaren ta över ledningen av förundersökningen så snart någon skäligen kan misstänkas för brottet. Åklagaren ska också i annat fall överta ledningen när det är motiverat av särskilda skäl (23 kap. 3 § rättegångsbalken). Liknande bestämmelser finns i smugglingslagen. En förundersökning kan alltså ledas av en åklagare, en polisiär undersökningsledare eller en tulltjänsteman. När förundersökningen leds av åklagaren, får han eller hon anlita biträde av Polismyndigheten, Säkerhetspolisen eller Tullverket för att genomföra den. Åklagaren får också uppdra åt en polisman eller tjänsteman vid Tullverket att vidta en viss åtgärd som hör till förundersökningen, om det är lämpligt med hänsyn till åtgärdens beskaffenhet.
Av PNR-direktivets skäl 25 framgår att den maskering av PNR-uppgifter som ska ske efter sex månader syftar till att undvika oproportionerlig användning av uppgifterna. Åtkomst till fullständiga PNR-uppgifter ska därefter endast få ske under mycket strikta och begränsade villkor för att säkerställa högsta möjliga nivå av dataskydd. Syftet med kravet på tillstånd är således att säkerställa att personuppgifter inte används i onödan och att skydda den personliga integriteten. Samtidigt är förutsättningen för en överföring till behöriga myndigheter knuten till vad som kan antas vara nödvändigt för den brottsbekämpande verksamheten i fråga. Det är därför lämpligt att, i de fall en förundersökning har inletts, prövningen om det finns ett behov av full åtkomst till PNR-uppgifterna görs av någon som har relevant erfarenhet och kunskap för att bedöma behoven av uppgifterna i en förundersökning.
En svensk åklagare uppfyller rekvisiten för att vara en sådan rättslig myndighet som avses i artikel 12.3 b i direktivet. Det ingår i åklagarens ordinarie arbete som förundersökningsledare att fatta beslut om ingripande åtgärder på ett rättssäkert sätt och med beaktande av proportionalitetsprincipen. Det torde också vara förundersökningsledaren som, bättre än någon annan, kan bedöma om förutsättningarna för att få ut behörighetsbegränsade PNR-uppgifter är uppfyllda, dvs. om de kan antas vara nödvändiga för brottsutredningen och därmed utgöra en proportionerlig användning. Enligt regeringens mening tillgodoses direktivets krav och enskildas anspråk på ett tillfredsställande integritetsskydd om det förs in en bestämmelse i den nya lagen som föreskriver att en begäran från en behörig myndighet om att få ut behörighetsbegränsade PNR-uppgifter ska beslutas av en åklagare, i de fall en förundersökning har inletts. Detta bör gälla oavsett om förundersökningen är i ett så pass inledande skede att den leds av en undersökningsledare som inte är åklagare.
Lydelsen av artikel 12.3 b i direktivet kan ge vid handen att enheten för passagerarinformation ska inhämta ett tillstånd till utlämnande av fullständiga PNR-uppgifter. I praktiken uppnås dock samma resultat om den behöriga myndigheten inhämtar tillstånd från åklagaren att begära ut fullständiga PNR-uppgifter från enheten för passagerarinformation. I de fall en förundersökning har inletts föreslås därför att den behöriga myndigheten, inför en begäran om att få ut fullständiga PNR-uppgifter som har behörighetsbegränsats, inhämtar ett åklagarbeslut om att uppgifterna ska hämtas in. Åklagaren ska inför sitt beslut avgöra om tillgången till uppgifterna rimligen kan antas vara nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Begäran som sker i underrättelseverksamhet
Eftersom åklagaren inte har någon roll i polisens allmänna underrättelsearbete får det anses vara mindre lämpligt att åklagaren beslutar om att hämta in fullständiga PNR-uppgifter som är behörighetsbegränsade när de behövs i underrättelseverksamhet. Inte heller domstolarna, som saknar möjlighet att tillgodose behovet av snabba beslut utom kontorstid, får anses vara lämpliga att meddela tillstånd i dessa fall. En annan lösning vore att lägga tillståndsgivningen hos någon av de myndigheter som har till uppgift att utöva tillsyn över den brottsbekämpande verksamheten dvs. Datainspektionen eller Säkerhets- och integritetsskyddsnämnden. Även dessa myndigheter saknar dock möjlighet att tillgodose behovet av snabba beslut utanför ordinarie arbetstid.
Det alternativ som återstår att överväga är därmed om frågan om tillstånd till en överföring kan beslutas av någon av de behöriga myndigheterna. PNR-direktivet föreskriver nämligen inte att det måste vara en oberoende myndighet som ska ge tillstånd, som alternativ till en rättslig myndighet, när det handlar om överföring av behörighetsbegränsade PNR-uppgifter.
En jämförelse skulle i detta fall, som Säkerhets- och integritetsskyddsnämnden har gjort, kunna göras med datalagringsdirektivet där en av de brister med direktivet som framhållits har varit avsaknaden av kontroll av en oberoende myndighet i förhållande till brottsbekämpande myndigheters tillgång till lagrade trafik- och lokaliseringsuppgifter (EU-domstolens förhandsavgörande i de förenade målen C-203/15 och C-698/15, Tele2 Sverige AB och Watson m.fl., den 21 december 2016). Regeringen anser dock att det finns väsentliga skillnader mellan användning av datalagrad elektronisk kommunikation i brottsbekämpningen respektive användning av PNR-uppgifter. Det finns därför goda skäl att inte dra så långtgående slutsatser av EU-domstolens avgörande i datalagringsfrågorna att någon oberoende kontrollinstans måste ges i uppgift att godkänna överföring av behörighetsbegränsade PNR-uppgifter trots att detta inte är ett krav enligt PNR-direktivet.
När det gäller överföring av behörighetsbegränsade PNR-uppgifter i sin fullständiga form till behöriga myndigheter för användning i underrättelseverksamhet anser regeringen därför att det bör vara tillräckligt att tillstånd inhämtas från en behörig myndighet, som lämpligen är Polismyndigheten. Tillstånd bör inte kunna ges av någon som själv deltar i den verksamhet som har begärt ut informationen eller av någon som arbetar vid enheten för passagerarinformation. Frågor som rör möjligheten till delegation kan regleras i förordning. Den som ger tillståndet ska avgöra om tillgången till fullständiga PNR-uppgifter rimligen kan antas vara nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Om en annan tillståndsmyndighet än en rättslig sådan ska lämna tillstånd till överföringen ska, enligt direktivets bestämmelser, dataskyddsombudet vid enheten för passagerarinformation informeras och göra en efterhandsutvärdering varje gång behörighetsbegränsade PNR-uppgifter överförts i sin fullständiga form till en behörig myndighet. En sådan bestämmelse kan tas in i förordning.
Begäran från andra länder och Europol
När det gäller en begäran från andra medlemsstater och Europol om att få ut behörighetsbegränsade PNR-uppgifter hade det i och för sig varit tänkbart att den svenska enheten för passagerarinformation skulle kunna godta ett beslut från en utländsk domstol eller annan rättslig myndighet som tillåtit inhämtningen i en brottsutredning om terroristbrottslighet eller annan allvarlig brottslighet. Eftersom det är oklart vilken information som kommer att bifogas en begäran bör dock enligt regeringens mening en begäran från andra medlemsstaters enheter och Europol behandlas på samma sätt som en begäran från svenska myndigheter utanför förundersökningsförfarandet. Detta innebär att oavsett om uppgifterna begärs ut för att användas i en förundersökning eller i underrättelseverksamhet så ska Polismyndigheten ge tillstånd till utlämnandet och informera dataskyddsombudet vid enheten för passagerarinformation. Vidare ska dataskyddsombudet göra en efterhandsutvärdering. Detsamma föreslås gälla när det kan bli aktuellt att lämna ut behörighetsbegränsade PNR-uppgifter i sin fullständiga form till ett tredjeland.
11 Behöriga myndigheters behandling av PNR-information
11.1 Bevarande och förstöring av PNR-information
Regeringens förslag: PNR-information som de behöriga myndigheterna har mottagit från enheten för passagerarinformation efter enhetens förhandsbedömning ska omedelbart förstöras, om den visar sig sakna betydelse för arbetet med att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Hovrätten för Nedre Norrland anser att det bör övervägas om föreskrifter som säkerställer att reglerna om gallring efterlevs ska införas, särskilt eftersom förslaget ställer höga krav på omedelbar gallring av uppgifter som inte omfattas av direktivet. Säkerhets- och integritetsskyddsnämnden anser att det av integritetsskyddsskäl bör övervägas om frågan om märkning av PNR-uppgifterna hos de behöriga myndigheterna bör författningsregleras. Övriga remissinstanser har inga synpunkter på förslaget.
Skälen för regeringens förslag: Av artikel 7.4 i PNR-direktivet framgår att de behöriga myndigheterna endast får vidarebehandla sådan PNR-information som de har mottagit av enheten för passagerarinformation om det specifika syftet är att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet. I lagens inledande kapitel har föreslagits en bestämmelse som sätter en yttre ram för vilken behandling som är tillåten när det gäller PNR-information. Enligt bestämmelsen, som även behöriga myndigheter är skyldiga att följa, får således PNR-information inte behandlas för andra syften än att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrottslighet eller annan allvarlig brottslighet, såvida inte annat följer av lagen.
I artikel 12.4 framgår att medlemsstaterna ska se till att PNR-uppgifterna slutligt raderas efter fem år. Skyldigheten gäller dock inte om PNR-uppgifter har överförts till behöriga myndigheter och används i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrott eller grov brottslighet. Då ska de behöriga myndigheternas lagring av uppgifterna i stället regleras av nationell rätt. När behöriga myndigheter mottar PNR-information från enheten för passagerarinformation sker det som en del av myndigheternas ordinarie verksamhet. Detsamma gäller när en behörig myndighet undantagsvis får PNR-information direkt från en motsvarande enhet i en annan medlemsstat.
Bestämmelser om längsta tid för behandling av personuppgifter finns i den föreslagna brottsdatalagen, för de behöriga myndigheter som har verksamhet som omfattas av lagen, och i de behöriga myndigheternas registerförfattningar. Den regleringen får anses uppfylla en rimlig avvägning mellan de olika intressen som står mot varandra även när det gäller PNR-information. Det saknas därför - med ett undantag - anledning att föreslå några bestämmelser om hur länge behöriga myndigheter ska få behandla sådan information som de tar emot från en enhet för passagerarinformation.
Undantaget avser sådan PNR-information som enheten för passagerarinformation efter sin förhandsbedömning skickar till en eller flera behöriga myndigheter för vidare granskning. För det fall den behöriga myndigheten konstaterar att PNR-informationen visar sig sakna betydelse för att bekämpa terroristbrottslighet eller annan allvarlig brottslighet, bör informationen förstöras hos den behöriga myndigheten. Det ska observeras att det kan ta olika lång tid i olika fall att konstatera om en uppgift saknar betydelse för den angivna brottsligheten. Det är alltså först när detta har konstaterats som skyldigheten att förstöra uppgifterna träder in.
Hovrätten för Nedre Norrland har framfört att det bör övervägas om det ska införas föreskrifter som säkerställer att reglerna om gallring efterlevs. I den nya lagen föreslås bestämmelser om bl.a. tillsyn och bestämmelser om enskildas rättigheter vid behandling i strid med lagens bestämmelser. Även i brottsdatalagen och de behöriga myndigheternas registerförfattningar finns bestämmelser till skydd för den enskilde vid felaktig behandling av uppgifter. Regeringen anser att de föreslagna bestämmelserna är tillräckliga och att det därutöver inte är nödvändigt att införa föreskrifter som säkerställer att bestämmelserna efterlevs.
För att skyddet för enskilda ska bli effektivt krävs att de myndigheter som hanterar PNR-information är medvetna om uppgifternas ursprung. Som utredningen har påpekat kan det därför vara lämpligt att PNR-informationen förses med någon form av märkning i samband med att den erhålls från enheten för passagerarinformation. En sådan märkning skulle göra det enklare för de behöriga myndigheterna att leva upp till lagens krav på hantering av informationen. Säkerhets- och integritetsskyddsnämnden anser att det av integritetsskyddsskäl bör övervägas om frågan om märkning av PNR-uppgifterna hos de behöriga myndigheterna ska författningsregleras. Regeringen har i tidigare lagstiftningssammanhang funnit att frågan om märkning av uppgifter inte bör regleras på lag- eller förordningsnivå eftersom en sådan reglering skulle kunna innebära en onödig begränsning i myndigheternas arbete med moderna tekniklösningar (se prop. 2012/13:73 s. 113). Inte heller i detta fall anser regeringen att det är lämpligt att frågan om märkning författningsregleras.
11.2 Förstöring av känsliga personuppgifter
Regeringens förslag: Om behöriga myndigheter mottar PNR-uppgifter som utgör känsliga personuppgifter ska de omedelbart förstöras.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna har inga synpunkter på förslaget.
Skälen för regeringens förslag: Direktivet anger att varje medlemsstat ska förbjuda behandling av PNR-uppgifter som avslöjar känsliga personuppgifter. En bestämmelse med denna innebörd har därför föreslagits i lagens inledande bestämmelser, se avsnitt 7.10. En bestämmelse som reglerar att enheten för passagerarinformation ska förstöra PNR-uppgifter som utgör känsliga personuppgifter har föreslagits i avsnitt 9.8.2.
Eftersom enheten för passagerarinformation inte får behandla PNR-uppgifter som utgör känsliga personuppgifter ska sådana uppgifter inte heller överföras från enheten till de behöriga myndigheterna. Det kan dock ändå förekomma att sådana uppgifter förs vidare av misstag. Exempelvis kan det först sedan PNR-uppgifter har överförts från enheten uppmärksammas att uppgifterna innehåller känsliga personuppgifter. För det fall ett sådant misstag skulle inträffa bör det finnas en bestämmelse som reglerar att den behöriga myndigheten omedelbart ska förstöra dessa uppgifter. En sådan bestämmelse föreslås därför.
11.3 Behandling av PNR-information för annan brottslighet
Regeringens förslag: Om det har kommit fram uppgifter om annat brott än terroristbrottslighet eller annan allvarlig brottslighet i samband med en behörig myndighets brottsbekämpande åtgärd som görs till följd av behandling av PNR-information ska informationen få användas för att förhindra, utreda eller lagföra brottet.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanser: Hovrätten för Nedre Norrland anser att det, för att undvika en reducerad rättssäkerhet och integritetskränkningar för den enskilde, bör övervägas om det ska införas ett krav på att uppgifterna endast får användas för att utreda brott om det är föreskrivet fängelse i ett år eller däröver och det kan antas att brottet inte leder till endast dagsböter eller om det annars finns särskilda skäl. Övriga remissinstanser har inga synpunkter på förslaget.
Skälen för regeringens förslag: Av artikel 7.4 i PNR-direktivet framgår att de behöriga myndigheterna endast får vidarebehandla sådan PNR-information som de har mottagit av enheten för passagerarinformation om det specifika syftet är att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrott eller grov brottslighet.
Enligt artikel 7.5 ska artikel 7.4 inte påverka de brottsbekämpande eller rättsliga myndigheternas befogenheter på nationell nivå, om andra brott eller indikationer på sådana upptäcks i samband med brottsbekämpande insatser som görs till följd av sådan behandling av PNR-uppgifter. Om PNR-informationen leder till att en behörig myndighet genomför en brottsbekämpande åtgärd avseende terroristbrottslighet eller annan allvarlig brottslighet enligt lagen och det vid denna åtgärd framkommer misstankar om sådan brottslighet som faller utanför direktivet, har myndigheterna således rätt att använda PNR-informationen för att agera även på dessa misstankar för att förhindra, utreda eller lagföra brott. Vad som menas med en brottsbekämpande åtgärd anges inte i direktivet. Med en sådan åtgärd får dock avses t.ex. ett förhör, en husrannsakan, en brottsplatsundersökning eller ett beslag. Man kan också tänka sig en spaningsoperation. Huruvida en förundersökning har inletts bör inte vara av avgörande betydelse.
En bestämmelse som motsvarar artikel 7.5 bör införas i den nya lagen. I stället för begreppet insats bör begreppet åtgärd användas i lagtexten. Av bestämmelsen bör framgå att den utgör ett undantag från huvudregeln om att PNR-information endast får användas för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Utredningen har inte föreslagit några krav för att uppgifterna ska få användas. Hovrätten för Nedre Norrland anser att det bör övervägas om det ska införas ett krav, likt bestämmelsen i 27 kap. 23 a § rättegångsbalken, om att uppgifterna endast får användas om det är föreskrivet fängelse i ett år eller däröver och det kan antas att brottet inte leder till endast böter eller om det annars finns särskilda skäl. Med beaktande av integritetsintresset ställt mot intresset av en effektiv brottsbekämpning anser regeringen emellertid att det inte bör ställas något krav på brottets allvarlighetsgrad för att PNR-information ska få användas för att förhindra, utreda eller lagföra brottet.
11.4 Automatiserade beslut
Regeringens förslag: Ett beslut som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne, får inte enbart grundas på en automatiserad behandling av PNR-uppgifter.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att bestämmelsen även ska reglera att beslutet inte får grunda sig på känsliga personuppgifter.
Remissinstanserna har inga synpunkter på förslaget.
Skälen för regeringens förslag: I artikel 7.6 i PNR-direktivet anges att de behöriga myndigheterna inte får fatta några beslut som har negativa rättsliga konsekvenser för en person eller på annat sätt allvarligt påverkar en person endast på grund av en automatisk behandling av PNR-uppgifter. Besluten får inte heller grunda sig på känsliga personuppgifter.
En bestämmelse med liknande innehåll finns i artikel 11 i det nya dataskyddsdirektivet och föreslås genomföras i 2 kap. 19 § brottsdatalagen. Av bestämmelsen i brottsdatalagen framgår att om ett beslut, som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne, enbart grundas på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma hans eller hennes egenskaper, ska personen ha möjlighet att på begäran få beslutet omprövat av någon fysisk person. I bestämmelsen anges också att automatiserade beslut inte enbart får grundas på känsliga personuppgifter.
Bestämmelsen i PNR-direktivet innebär, till skillnad från brottsdatalagen, att en behörig myndighet inte får fatta några beslut som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne enbart på grund av en automatiserad behandling av PNR-uppgifter. En bestämmelse som genomför artikel 7.6 bör därför tas in i den nya lagen. Eftersom det finns ett allmänt förbud i den nya lagen mot att behandla PNR-uppgifter som utgör känsliga personuppgifter anser regeringen att det inte är nödvändigt att bestämmelsen reglerar den del av artikeln som innebär att beslutet inte får grunda sig på känsliga personuppgifter.
11.5 Behöriga myndigheters möjlighet att begära PNR-information från andra medlemsstater
Regeringens bedömning: De behöriga myndigheternas möjligheter att begära ut PNR-information från andra medlemsstater bör regleras i förordning.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot bedömningen.
Skälen för regeringens bedömning: Av artikel 9.3 i PNR-direktivet framgår att en framställning av en behörig myndighet om att få ut PNR-information från en enhet för passagerarinformation i en annan medlemsstat som huvudregel ska översändas via enheten för passagerarinformation i den egna medlemsstaten. Endast i nödfall och enligt de villkor som fastställts i artikel 9.2 får den behöriga myndigheten direkt vända sig till en medlemsstat med en begäran om att få ut PNR-uppgifter. Begäran ska enligt artikeln motiveras och en kopia på begäran ska skickas till enheten för passagerarinformation i den begärande medlemsstaten. Regeringen anser att en bestämmelse som motsvarar artikel 9.3 kan meddelas i förordning.
12 Enskildas rättigheter
12.1 Rätt till information, rättelse, radering eller begränsning av behandlingen av personuppgifter
Regeringens förslag: Enskildas rätt till radering eller begränsning av behandling av personuppgifter enligt brottsdatalagen ska tillämpas vid behandling i strid med bestämmelserna om för vilka syften PNR-information får behandlas, vid behandling av känsliga personuppgifter och vid förpliktelsen att förstöra PNR-uppgifterna slutligt efter fem år.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Advokatsamfundet framhåller att behandlingen av personuppgifterna även kan omfattas av sekretess gentemot den registrerade. Advokatsamfundet anser därför att förslaget inte i tillräcklig grad beaktar risken för att de registrerade på grund av felaktiga, ofullständiga eller missvisande uppgifter kan komma att drabbas av obefogade åtgärder eller olägenheter som de inte har någon reell möjlighet att värja sig emot. Övriga remissinstanser har inga synpunkter på förslaget.
Skälen för regeringens förslag: Enligt artikel 13.1 i PNR-direktivet ska medlemsstaterna föreskriva att alla passagerare har samma rätt till skydd av sina personuppgifter, rätt till åtkomst, rättelse, radering och begränsning samt rätt till ersättning och tillgång till rättsmedel som fastställs i unionsrätten och nationell rätt och för genomförande av artiklarna 17, 18, 19 och 20 i dataskyddsrambeslutet. Enligt PNR-direktivet ska således de angivna artiklarna i dataskyddsrambeslutet tillämpas även vid sådan personuppgiftsbehandling som omfattas av direktivet. Som har angetts tidigare får PNR-direktivets hänvisningar till dataskyddsrambeslutet läsas som hänvisningar till det nya dataskyddsdirektivet, som föreslås genomföras i brottsdatalagen.
En viktig aspekt av personuppgiftsskyddet är enskildas rätt att få veta hur deras personuppgifter behandlas. Information om den personuppgiftsbehandling som pågår är en förutsättning för att någon ska kunna kontrollera om behandlingen är författningsenlig och i övrigt kunna bevaka sina intressen. Det nya dataskyddsdirektivets bestämmelser om enskildas rätt till information föreslås genomföras i 4 kap. 1-7 §§ brottsdatalagen och i den tillhörande förordningen. I 4 kap. 12 § brottsdatalagen finns en bestämmelse om avgifter för informationen. Samtliga angivna bestämmelser är allmänt formulerade och kan tillämpas även för behandlingen av PNR-uppgifter. Brottsdatalagen kommer att gälla utöver den nya lagen för behandling som utförs vid enheten för passagerarinformation. Särskilda bestämmelser om enskildas rätt till information behöver därför inte införas i den nya lagen. Skyldigheten kan dock begränsas av bl.a. bestämmelserna i offentlighets- och sekretesslagen.
En bestämmelse om att lufttrafikföretagen ska informera passagerarna om överföringen av PNR-uppgifter till enheten för passagerarinformation och om syftet med överföringen har föreslagits i avsnitt 8.7.
Brottsdatalagen innehåller bestämmelser om den registrerades rätt till rättelse, radering och begränsning av behandling av personuppgifter i 4 kap. 9-11 §§. Bestämmelserna i 4 kap. 9 och 11 §§ är formulerade på ett sådant allmängiltigt sätt att de även blir tillämpliga vid personuppgiftsbehandling enligt den nya lagen, för det fall inget annat anges. Någon hänvisning till dessa bestämmelser behöver därför inte föras in i den nya lagen.
I 4 kap. 10 § brottsdatalagen anges att den registrerade har rätt till radering eller begränsning av personuppgifter om uppgifterna har behandlats i strid med vissa angivna bestämmelser i brottsdatalagen. En registrerad bör dock också ha rätt till radering eller begränsning av behandling av personuppgifter vid överträdelser av vissa centrala bestämmelser i den nya lagen. En sådan rätt bör finnas när personuppgifter har behandlats i strid med bestämmelserna om för vilka syften PNR-information får behandlas, förbud mot behandling av känsliga personuppgifter och förpliktelsen att förstöra PNR-uppgifterna slutligt efter fem år. Det föreslås därför att det i den nya lagen införs en bestämmelse som anger att 4 kap. 10 § brottsdatalagen ska tillämpas vid behandling i strid med de angivna bestämmelserna. I 7 kap. 2 § brottsdatalagen föreskrivs att beslut enligt 4 kap. 10 § brottsdatalagen kan överklagas till allmän förvaltningsdomstol. Förslagen genomför enligt regeringens mening PNR-direktivets krav på rätt till rättelse, radering eller begränsning av PNR-uppgifter. Advokatsamfundets synpunkter om att den enskilde på grund av sekretess i vissa fall inte har insyn i uppgifterna medför inte någon annan bedömning.
12.2 Rätt till skadestånd
Regeringens förslag: Om personuppgifter har behandlats i strid med bestämmelser i den nya lagen eller föreskrifter som har meddelats i anslutning till den ska den personuppgiftsansvarige ersätta den registrerade i enlighet med brottsdatalagens bestämmelse om skadestånd.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna har inte några synpunkter på förslaget.
Skälen för regeringens förslag: Enligt 7 kap. 1 § i förslaget till brottsdatalag ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med brottsdatalagen, eller föreskrifter som har meddelats i anslutning till den.
Bestämmelsen om skadestånd enligt brottsdatalagen kommer att gälla om personuppgifter behandlas i strid med den lagen eller föreskrifter som har meddelats i anslutning till den. För att bestämmelsen i brottsdatalagen även ska vara tillämplig vid behandling av personuppgifter i strid med den nya lagen eller med föreskrifter som har meddelats med stöd av lagen behöver en hänvisning till bestämmelsen föras in i den nya lagen. En sådan hänvisning föreslås därför. I artikel 82 i dataskyddsförordningen och 7 kap. 1 § lagen med kompletterande bestämmelser till EU:s dataskyddsförordning finns bestämmelser om rätt till skadestånd som ska tillämpas vid lufttrafikföretagens behandling av personuppgifter. Någon hänvisning till dessa bestämmelser är inte nödvändig.
13 Tillsyn
Regeringens förslag: Tillsynen över den nya lagens personuppgiftsbehandling ska utföras av tillsynsmyndigheten enligt brottsdatalagen och i enlighet med bestämmelserna om tillsyn i den lagen.
Utredningens förslag överensstämmer i sak med regeringens förslag.
Remissinstanserna: Statens inspektion för försvarsunderrättelseverksamheten (Siun) önskar att det klargörs hur Siun:s granskande uppgift av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst förhåller sig till utredningens förslag. Datainspektionen konstaterar att den tillsynsmyndighet som ska utses kommer att få ytterligare arbetsuppgifter och ökade kostnader vilket kräver ytterligare behov av resurser. Synpunkten behandlas i avsnitt 16.
Skälen för regeringens förslag: I artikel 15.1 i PNR-direktivet anges att varje medlemsstat ska föreskriva att den nationella tillsynsmyndighet som avses i artikel 25 i dataskyddsrambeslutet ska ansvara för att ge riktlinjer för och övervaka tillämpningen av de nationella bestämmelser som genomför direktivet. Vid tillsynen ska artikel 25 i dataskyddsrambeslutet tillämpas. Eftersom direktivets hänvisningar till rambeslutet ska läsas som hänvisningar till det nya dataskyddsdirektivet, ska således samma myndighet som ska utöva tillsyn enligt det nya dataskyddsdirektivet vara tillsynsmyndighet även enligt PNR-direktivet.
Datainspektionen utövar i dag tillsyn över all personuppgiftsbehandling, om inte ansvaret uttryckligen har anförtrotts någon annan myndighet. Säkerhets- och integritetsskyddsnämnden (SIN) utövar viss tillsyn över de brottsbekämpande myndigheterna. Nämnden utövar tillsyn över användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet. Nämnden utövar också tillsyn över Säkerhetspolisens och Polismyndighetens behandling av personuppgifter enligt polisdatalagen (2010:361). Både Datainspektionen och SIN utövar således tillsyn över den brottsbekämpande verksamheten. Justitieombudsmannen och Justitiekanslern utövar tillsyn över hur lagar och andra föreskrifter tillämpas i offentlig verksamhet. Deras tillsyn omfattar därmed även behandlingen av personuppgifter och skyddet av enskildas integritet vid sådan behandling.
I propositionen Brottsdatalag föreslås att Datainspektionen ska utses till svensk nationell tillsynsmyndighet enligt dataskyddsdirektivet. Det föreslås vidare att tillsynen över Polismyndighetens personuppgiftsbehandling inom dataskyddsdirektivets område även fortsättningsvis ska utföras både av Datainspektionen och SIN. Datainspektionen kommer alltså att vara nationell tillsynsmyndighet enligt dataskyddsdirektivet och är därmed den myndighet som även ska vara tillsynsmyndighet enligt den nya lagen.
Vid tillsynen ska, enligt PNR-direktivet, bestämmelserna om tillsyn i rambeslutet tillämpas, vilket alltså får tolkas som det nya dataskyddsdirektivets bestämmelser. De aktuella bestämmelserna i brottsdatalagen reglerar tillsyn över den lagens tillämpningsområde. Med anledning härav och då den nya lagen inte bara kommer att tillämpas av personuppgiftsansvariga som omfattas av brottsdatalagens tillämpningsområde utan också av t.ex. lufttrafikföretag och Försvarsmakten, bör i den nya lagen införas en allmän bestämmelse som anger att tillsyn över personuppgiftsbehandling enligt lagen ska utföras av tillsynsmyndigheten enligt brottsdatalagen och i enlighet med den lagens bestämmelser om tillsyn. Därmed regleras att tillsynsmyndigheten enligt brottsdatalagen ska ha tillsyn över all behandling av personuppgifter enligt den nya lagen. Bestämmelsen blir således tillämplig såväl för den behandling av personuppgifter enligt lagen som sker vid lufttrafikföretagen som vid enheten för passagerarinformation och de behöriga myndigheterna, oavsett vilken tillsynsmyndighet som i övrigt har tillsynsansvaret för den myndigheten. Det får nämligen anses vara en rimlig ordning att samma tillsynsmyndighet har tillsyn över hela lagens tillämpning, vilket också är den ordning som föreskrivs i artikel 15.1 i PNR-direktivet. En sådan ordning utesluter emellertid inte att även andra myndigheter kan bedriva tillsyn i enlighet med bestämmelser i andra författningar, t.ex. påverkas alltså varken Siun:s eller SIN:s tillsynsansvar av detta förslag.
I PNR-direktivet pekas vissa särskilda uppgifter ut som tillsynsmyndigheten ska utföra. Myndigheten ska, enligt artikel 15.3, hantera klagomål från enskilda och kontrollera att uppgiftsbehandlingen är laglig. Vidare ska tillsynsmyndigheten genomföra utredningar, inspektioner och revision i enlighet med nationell rätt. Dessa grundläggande tillsynsuppgifter omfattas enligt regeringens mening av 5 kap. 2 § brottsdatalagen. I det nya dataskyddsdirektivet anges inte särskilt att revision ska utföras och det föreslås således inga bestämmelser om detta i brottsdatalagen. Hänvisningen i PNR-direktivet till att revision ska utföras i enlighet med nationell rätt får dock enligt regeringens mening anses innebära att det inte finns någon skyldighet för medlemsstaterna att införa en ny tillsynsuppgift i nationell rätt. De tillsynsuppgifter som regleras i brottsdatalagen får därför anses vara tillräckliga för att uppfylla PNR-direktivets krav i denna del.
Tillsynsmyndigheten ska vidare, enligt artikel 15.4 i PNR-direktivet, på begäran ge registrerade råd om hur de kan utöva sina rättigheter. Detta får anses omfattas av den allmänna serviceskyldigheten i förvaltningslagen (2017:900) och bör inte kräva några lagstiftningsåtgärder. De tillsynsuppgifter som anges i brottsdatalagen kan således tillämpas på personuppgiftsbehandling som sker med stöd av den nya lagen och några bestämmelser om detta behöver inte föras in i den nya lagen.
I PNR-direktivet anges att tillsynsmyndigheten ska utföra sina uppgifter i syfte att skydda grundläggande rättigheter i samband med behandling av personuppgifter. Även enligt 5 kap. 1 § brottsdatalagen ska tillsynen ske i detta syfte. Enligt den bestämmelsen ska tillsynen också ske i syfte att underlätta det fria flödet av personuppgifter. Enligt regeringens mening kommer inte tillsynens dubbla syften enligt brottsdatalagen att medföra en lägre skyddsnivå för personuppgifterna. Bestämmelsen i brottsdatalagen uppfyller därmed PNR-direktivets krav.
14 Sanktionsavgifter
14.1 Överträdelser av lufttrafikföretag
14.1.1 Val av sanktionsform
Regeringens förslag: Administrativ sanktionsavgift ska användas som enda sanktionsform mot lufttrafikföretagen.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna har inga synpunkter på förslaget.
Skälen för regeringens förslag: PNR-direktivet innehåller krav på att medlemsstaterna ska införa bestämmelser om sanktioner. I artikel 14 anges bl.a. att medlemsstaterna ska fastställa bestämmelser om sanktioner, inklusive ekonomiska sådana, mot lufttrafikföretag som inte översänder uppgifter i enlighet med artikel 8 eller som inte översänder uppgifterna i det fastställda formatet. Vidare anges i artikel 14 att sanktionerna ska vara effektiva, proportionella och avskräckande. PNR-direktivet pekar inte ut vilka sanktioner som ska införas mot lufttrafikföretagen utöver att de ska inkludera ekonomiska sanktioner.
De sanktionsverktyg som normalt står till buds för staten är straff och sanktionsavgifter samt vite, förbud och återkallelse av tillstånd. Böter, företagsbot, sanktionsavgifter och vite är olika former av ekonomiska sanktioner.
Såväl böter som företagsbot förutsätter en kriminalisering. Generellt kan konstateras att kriminalisering inte är det enda och inte heller alltid det mest effektiva medlet för att motverka oönskade beteenden. De allmännas resurser för brottsbekämpning bör rimligen koncentreras på sådana förfaranden som kan leda till påtaglig skada eller fara och som inte kan hanteras på annat sätt (jfr prop. 1994/95:23 s. 54 ff.) Straffsanktioner ska således användas i sista hand och endast om det inte finns någon annan sanktion som är tillräckligt effektiv. Någon straffbestämmelse bör därför inte införas i den nya lagen.
Administrativa sanktionsavgifter används allt oftare och finns inom en rad områden. Sanktionsavgifter har bl.a. den fördelen att de medför ett enkelt och snabbt beivrande av överträdelser eftersom beslut om avgiften kan fattas av en myndighet. Användning av vite innebär ett mer omständligt förfarande, eftersom det först måste föreläggas och sedan överträdas för att kunna dömas ut.
Det finns givetvis även nackdelar med sanktionsavgifter. Om avgiften är satt för lågt kan verksamhetsutövaren se avgiften enbart som en kostnad som det går att kalkylera med.
Såväl i propositionen Ny dataskyddslag som i propositionen Brottsdatalag föreslås att sanktionsavgifter ska användas vid överträdelser av dataskyddsförordningen och brottsdatalagens bestämmelser om personuppgiftsbehandling. Även enligt rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (API-direktivet), som är genomfört i bl.a. utlänningslagen, kan en underlåtenhet att överföra s.k. API-uppgifter medföra en skyldighet för lufttrafikföretagen att betala en sanktionsavgift. En enhetlig utformning av regelverken på liknande rättsområden bör eftersträvas. Regeringen anser därför att administrativ sanktionsavgift bör användas som ekonomisk sanktionsform mot lufttrafikföretagen.
Förutom ekonomiska sanktioner finns det andra sanktionsformer som skulle kunna användas mot lufttrafikföretagen, t.ex. återtagande av lufttrafikföretagets operativa licens eller avgångsförbud. Några sådana sanktioner tillämpas dock inte vid liknande situationer i svensk rätt. Ekonomiska sanktioner får vidare anses vara tillräckliga för att förmå lufttrafikföretagen att fullgöra sin överföringsskyldighet. Några andra än ekonomiska sanktioner bör därför inte införas.
14.1.2 När ska sanktionsavgift få användas?
Regeringens förslag: En sanktionsavgift ska tas ut av lufttrafikföretag som inte överför PNR-uppgifter i enlighet med bestämmelserna i den nya lagen eller föreskrifter som har meddelats i anslutning till den.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna Svenska Flygbranschen (SFB) anser att det inte ska utgå någon sanktionsavgift om lufttrafikföretag använder fel format för överföringen av uppgifterna.
Skälen för regeringens förslag: Enligt artikel 14 i PNR-direktivet ska sanktioner träffa de lufttrafikföretag som inte översänder uppgifter i enlighet med artikel 8 eller som inte överför uppgifterna i det fastställda formatet. I artikel 8.3 anges att lufttrafikföretagen som huvudregel ska överföra PNR-uppgifterna elektroniskt med användning av de gemensamma protokoll och understödda dataformat som har antagits av kommissionen.
Enligt direktivet ska medlemsstaterna vidta de åtgärder som krävs för att säkerställa att de sanktioner som införs också genomförs. Det finns inga generella förfaranderegler för handläggningen av sanktionsavgifter. Regeringen har dock meddelat riktlinjer för hur sanktionsavgifter ska utformas och användas (se prop. 1981/82:142 s. 24 f.). Sådana riktlinjer följer även av internationella åtaganden. Vid utformningen av sanktionsavgiftssystemet bör hänsyn tas till hur sådana avgifter utformats inom andra rättsområden. Vidare bör de rättssäkerhetskrav som ställs på ett system med sanktionsavgift få genomslag. Det innebär att sanktionsavgiftssystemet bör regleras i lag och att det av lagen bör framgå när, hur och av vem en sanktionsavgift får tas ut. Systemet ska också vara förutsägbart. Det ska även möta kravet på rimlig handläggningstid, domstolsprövning och en rättssäker process.
Den nya lagen innehåller en bestämmelse om att lufttrafikföretag ska informera sina passagerare om överföringen av PNR-uppgifter till enheten för passagerarinformation och om skälen till överföringen. Denna informationsskyldighet följer inte av någon artikel i direktivet utan framgår endast av skälen till direktivet. Det kan därför ifrågasättas om det är lämpligt att införa sanktioner mot den som inte följer bestämmelsen. Det kan visserligen ses som grundläggande att passagerarna informeras fullt ut om överföringen av PNR-uppgifter, för att de ska ha möjlighet att utöva sina rättigheter enligt direktivet. Sanktionsavgifter bör dock endast användas vid överträdelser av de bestämmelser om behandling av personuppgifter som anses viktigast för att värna enskildas integritet, som innehåller de grundläggande reglerna om hur personuppgifter får behandlas och som - om de inte efterlevs - riskerar att leda till allvarliga kränkningar av registrerades integritet. Eftersom informationsskyldigheten till viss del redan följer av dataskyddsförordningen kan det inte anses leda till någon allvarlig kränkning av enskildas personliga integritet att de inte också informeras om skälen till överföringen enligt den nya lagen. Det saknas därmed tillräckliga skäl att i lagen införa sanktioner mot lufttrafikföretag för utebliven information till passagerarna.
För att knyta sanktionsavgiften till översändandet av PNR-uppgifterna bör det av den nya lagen framgå att en sanktionsavgift ska tas ut av lufttrafikföretag som inte överför uppgifter i enlighet med bestämmelserna i lagen eller föreskrifter som har meddelats i anslutning till den. Det innebär att sanktionsavgift kan utgå t.ex. om överföringar inte sker vid de tidpunkter som anges i lagen eller om de överförs i ett annat format än de som godkänts av kommissionen. Lufttrafikföretaget ansvarar dock inte för att uppgifterna som överförs är korrekta.
SFB anser att det inte ska utgå någon sanktionsavgift om fel format för överföringen av uppgifterna används. Bestämmelserna i artikel 8 måste emellertid genomföras av medlemsstaterna. Sanktionsavgifter bör därmed tas ut även vid sådana överträdelser.
Eftersom PNR-uppgifterna ska överföras av det lufttrafikföretag som utför själva flygningen drabbar sanktionerna inte de lufttrafikföretag som endast delar linjebeteckning med det företag som utför flygningen.
Bestämmelser om sanktionsavgift är oftast obligatoriska, dvs. utformade så att sanktionsavgift ska tas ut när förutsättningarna för det är uppfyllda. Bestämmelsen om sanktionsavgift enligt brottsdatalagen har dock utformats på så sätt att det inte är obligatoriskt att besluta om sanktionsavgift. Anledningen till det är att det inte har ansetts rimligt att ålägga en myndighet sanktionsavgift för att någon i enstaka fall har behandlat en personuppgift felaktigt. För lufttrafikföretagens del ska sanktionsavgift tas ut för det fall ett lufttrafikföretag inte har överfört PNR-uppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till den. Det får därför i detta fall anses vara rimligt att bestämmelserna om sanktionsavgift ska tas ut om förutsättningarna för det är uppfyllda. Bestämmelsen bör därför vara obligatorisk. Tillsynsmyndigheten bör dock ha möjlighet att i vissa fall helt eller delvis efterge sanktionsavgiften, se avsnitt 14.1.3.
Huvudregeln är att sanktionsavgift bygger på strikt ansvar, dvs. att avgiften ska tas ut oberoende av om överträdelsen har varit uppsåtlig eller berott på oaktsamhet. Beträffande de aktuella överträdelserna finns det ett starkt stöd för en presumtion om att överträdelser inte kan förekomma annat än som en följd av uppsåt eller oaktsamhet. Regeringen anser därför att det inte finns anledning att frångå huvudregeln om strikt ansvar i den nya lagen. Skrivningar om att avgiftsskyldigheten bygger på strikt ansvar bör inte tas med i lagtexten. I motsats till vad som gäller för straffbestämmelser finns det nämligen inte något formellt krav på uppsåt eller oaktsamhet för att besluta om sanktionsavgift. Det behöver därför inte i lagtext upplysas om att sanktionsavgift får tas ut även om en överträdelse inte har skett uppsåtligen eller av oaktsamhet.
14.1.3 Sanktionsavgiftens storlek
Regeringens förslag: Sanktionsavgiften ska uppgå till lägst 20 000 kronor och högst 100 000 kronor för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet. När sanktionsavgiftens storlek fastställs ska särskild hänsyn tas till antal passagerare på flygningen och om lufttrafikföretaget tidigare har begått en överträdelse.
Sanktionsavgiften ska få sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår inte att det ska regleras i lag vilka omständigheter som särskilt ska beaktas när sanktionsavgiftens storlek bestäms.
Remissinstanserna: Förvaltningsrätten i Stockholm anser att det är oklart om samma omständigheter kan beaktas både när det gäller avgiftens storlek, där rimlig förklaring ska beaktas vid storlekens sättande, och nedsättning av avgiften, där det ska beaktas om överträdelsen varit ursäktlig.
Skälen för regeringens förslag: Ett effektivt sanktionsavgiftssystem innebär att en sanktionsavgift ska kunna påföras frekvent och kort tid efter det att överträdelsen ägt rum. För att uppfylla grundläggande rättssäkerhetskrav krävs det också att systemet är förutsebart. Ett sådant system kan åstadkommas endast om det är enkelt att avgöra med vilket belopp som avgiften ska påföras vid varje enskilt tillfälle.
Underlåtenhet att överföra API-uppgifter kan, enligt API-direktivet, medföra en sanktionsavgift om högst 46 000 kronor. Avgiften är bestämd med ledning av den sanktionsavgift på samma belopp som enligt utlänningslagen (2005:716) ska betalas av de transportörer som inte uppfyller sin kontrollskyldighet enligt transportörsansvaret.
På samma sätt som vid sanktionsavgift riktad mot transportörer bör sanktionsavgiften vid underlåtenhet att överföra PNR-uppgifter bestämmas med ledning av vissa i lagen angivna belopp, och inte knytas till omsättningen av verksamheten, vinsten eller liknande kriterium. Vidare bör avgiftsnivåerna inte i alltför hög grad avvika från de nivåer som gäller i dag vid underlåten överföring av API-uppgifter. PNR-direktivet föreskriver inte några särskilda nivåer för sanktionsavgifterna. För att sanktionsavgiften ska få en tillräckligt avskräckande effekt för alla lufttrafikföretag bör underlåten eller felaktig överföring av PNR-uppgifter sättas något högre än de som gäller vid underlåten överföring av API-uppgifter. Det föreslås därför att den högsta avgiften som kan användas bör uppgå till 100 000 kronor. För att ett spann ska kunna föreligga bör även ett lägsta belopp för avgiften införas i lagen. Eftersom sanktionsavgifterna ska vara avskräckande bör minimibeloppet inte sättas alltför lågt utan bör bestämmas till 20 000 kronor. Således bör sanktionsavgiften för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet bestämmas till lägst 20 000 kronor och högst 100 000 kronor.
Lagrådet konstaterar att bestämmelsen inte ger någon vägledning i fråga om vilka omständigheter som ska beaktas när man bestämmer sanktionsavgiftens storlek. När storleken på sanktionsavgiften ska bestämmas i det enskilda fallet bör hänsyn tas till alla relevanta omständigheter. Det är inte möjligt att i den nya lagen ange samtliga omständigheter som kan behöva beaktas i enskilda fall. Det bör dock, som Lagrådet påpekar, tydliggöras vilka omständigheter som särskilt ska beaktas. De omständigheter som är särskilt viktiga att beakta och som bör anges i den nya lagen är enligt regeringens uppfattning hur många passagerare som fanns med på flygningen och om lufttrafikföretaget tidigare har underlåtit att överföra PNR-uppgifter i enlighet med lagen eller föreskrifter som har meddelats i anslutning till lagen. Dessa omständigheter kan påverka beloppets storlek både i försvårande och förmildrande riktning. Någon anledning att särskilt ange omständigheter som ska verka försvårande respektive förmildrande, som Lagrådet föreslår, finns därför inte enligt regeringens mening. Direktivets bestämmelse om att sanktionerna ska vara effektiva, proportionella och avskräckande ska alltid beaktas.
Lufttrafikföretagen kommer normalt sett ha möjlighet att lämna uppgifter i enlighet med PNR-direktivets bestämmelser. Det kan emellertid finnas olika orsaker till att ett lufttrafikföretag inte har fullgjort sin överföringsskyldighet. Det kan t.ex. vara så att det har skett ett tekniskt fel vid överföringen av uppgifterna. Vidare kan ett flyg som inte var tänkt att anlända till Sverige oväntat ha omdirigerats hit. Det kan således finnas situationer där det bedöms oskäligt att ta ut hela avgiften för att lufttrafikföretaget inte har överfört sina PNR-uppgifter. Det behöver därför i lagen finnas en möjlighet att i sådana situationer sätta ned avgiften helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Som Förvaltningsrätten i Stockholm har föreslagit bör avgiftens storlek bedömas mer schablonmässigt, utifrån överträdelsen i sig, medan rimliga förklaringar till överträdelsen bör få genomslag i bedömningen av om avgiften ska sättas ned.
14.1.4 Ansvarig myndighet och förfarandet vid beslut om sanktionsavgift
Regeringens förslag: Polismyndigheten ska besluta om sanktionsavgift för lufttrafikföretag. Sanktionsavgiften ska tillfalla staten.
En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från den dag då överträdelsen ägde rum.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna har inga synpunkter på förslaget.
Skälen för regeringens förslag: Beslut om sanktionsavgift fattas normalt av en tillsynsmyndighet eller en domstol. Som tidigare har angetts är dock ett av syftena med användandet av sanktionsavgift att man inte ska behöva gå via en domstol för att kunna använda sanktionen.
Transportstyrelsen utövar tillsyn över lufttrafikföretagen. Det är också den myndigheten som beslutar om sanktionsavgift vid överträdelser av regelverket om identitetskontroller vid transporter med buss, tåg eller passagerarfartyg. Transportstyrelsens tillsyn över lufttrafikföretagen innebär dock främst att myndigheten övervakar och kontrollerar att krav och regelverk följs av dem som har fått ett visst tillstånd. Det kan inte sägas ingå i Transportstyrelsens normala uppdrag att kontrollera att lufttrafikföretagen överför PNR-uppgifter till brottsbekämpande verksamhet.
Om ett lufttrafikföretag inte uppfyller sin överföringsskyldighet enligt den nya lagen kommer det att vara Polismyndigheten genom enheten för passagerarinformation som upptäcker detta. Polismyndigheten är också den myndighet som enligt dagens system prövar om sanktionsavgift ska betalas av ett lufttrafikföretag som inte har överfört sina API-uppgifter. Krav på effektivitet och rättssäkerhet måste balanseras mot varandra vid utformningen av ett system med sanktionsavgifter. Om uppgiften att besluta om sanktionsavgift läggs på Polismyndigheten även när det gäller lufttrafikföretagens överträdelser enligt den nya lagen kommer frågan att hanteras av den myndighet som har den största sakkunskapen. Handläggningen skulle troligtvis också gå snabbare, eftersom myndigheten redan har tillgång till det material som ett sanktionsbeslut kommer att grundas på. Övervägande skäl talar därför för att Polismyndigheten även bör pröva frågor om åläggande av sanktionsavgift enligt den nya lagen. En bestämmelse med denna innebörd bör därför införas i lagen.
En särskild fråga är vem vid Polismyndigheten som bör pröva frågor om sanktionsavgift. Det finns enligt regeringen starka skäl - inte minst från rättssäkerhetssynpunkt - som talar mot att samma person som har utrett en eventuell överträdelse får besluta om sanktionsavgift. Det är viktigt att verksamheten organiseras så att förtroendet för myndigheten inte riskerar att rubbas. Med tanke på sanktionsbeslutens betydelse bör det enligt regeringens mening ställas höga krav på den som får besluta om sanktionsavgift. Det kan därför vara lämpligt att sådana beslut bara får fattas av ett fåtal personer. Det bör dock inte uteslutas att en chef vid enheten för passagerarinformation kan pröva frågor om sanktionsavgift.
Innan Polismyndigheten beslutar om sanktionsavgift bör lufttrafikföretaget ges tillfälle att yttra sig. Det ger lufttrafikföretaget möjlighet att anföra omständigheter som kan påverka beslutet. Möjligheten att komma till tals innan beslut fattas i frågan är en förutsättning för materiellt riktiga avgöranden och är en viktig rättssäkerhetsfråga. Av 25 § förvaltningslagen (2017:900) framgår att en myndighet - innan den fattar ett beslut i ett ärende - ska underrätta den som är part om allt material av betydelse och ge parten tillfälle att yttra sig över materialet, om det inte är uppenbart obehövligt.
Det bör finnas en bortre gräns för när en sanktionsavgift får beslutas. En regel som anger när en avgift senast får beslutas, som blir en form av preskriptionsregel, bör därför tas in i lagen. Förfarandet är avsett att leda till snabbt beivrande av överträdelser och dessa kan inte anses vara svåra att upptäcka. Preskriptionstiden bör därför sättas kort. Enligt regeringens bedömning bör tiden uppgå till två år. Motsvarande preskriptionstid tillämpas t.ex. vid uttagande av sanktionsavgift från transportörer enligt regelverket om identitetskontroller vid transporter med buss, tåg eller passagerarfartyg.
Sanktionsavgiften bör som brukligt tillfalla staten. Även detta bör regleras i den nya lagen.
14.1.5 Betalning och verkställighet
Regeringens förslag: En sanktionsavgift ska betalas till Polismyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften fick laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom denna tid ska Polismyndigheten lämna den obetalda avgiften för indrivning. Vid indrivning ska verkställighet få ske enligt utsökningsbalken. Avgiften ska falla bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet fick laga kraft.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att bestämmelser om betalning, indrivning och om att avgiften faller bort om verkställighet inte skett inom en viss tid ska regleras på förordningsnivå.
Remissinstanserna: Ingen remissinstans yttrar sig i denna del.
Skälen för regeringens förslag: Utgångspunkten är att en sanktionsavgift ska betalas kort tid efter beslutet. Polismyndighetens beslut bör därför av rättssäkerhetsskäl delges lufttrafikföretaget. Detta kan regleras i förordning.
Betalningen bör göras inom 30 dagar från det att beslutet fick laga kraft eller inom den längre tid som anges i beslutet och bör lämpligen ske till Polismyndigheten. Utredningen har föreslagit att en bestämmelse med detta innehåll ska tas in i förordning. Enligt regeringens mening bör dock bestämmelsen tas in i den nya lagen.
Polismyndighetens beslut om sanktionsavgift bör jämställas med en dom och vara verkställbar. Genom en sådan lösning skapas förutsättningar för en effektiv och snabb handläggning. Ett beslut om sanktionsavgift bör få lämnas till indrivning efter sista betalningsdagen. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning tillämpas utsökningsbalken.
På samma sätt som det bör anges en tidpunkt för när sanktionsavgift inte längre får påföras, bör det finnas en bortre gräns för när ett beslut om sanktionsavgift får verkställas. När beslutet om sanktionsavgift har fått laga kraft bör beslutet verkställas inom fem år. Om så inte blir fallet bör avgiften falla bort till den del den inte har betalats. Detta bör regleras i lag.
I lagrådsremissen föreslås att regeringen ska bemyndigas att meddela ytterligare föreskrifter om sanktionsavgifter. Lagrådet ifrågasätter om ett sådant bemyndigande behövs och föreslår att en upplysningsbestämmelse kan ersätta bestämmelsen. Regeringen instämmer i Lagrådets uppfattning att det är tillräckligt med en upplysningsbestämmelse och föreslår därför att det införs en bestämmelse som innebär att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om sanktionsavgifter enligt den nya lagen.
14.1.6 Rätt att överklaga
Regeringens förslag: Polismyndighetens beslut om sanktionsavgift ska kunna överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna har inga synpunkter på förslaget.
Skälen för regeringens förslag: Den som har ålagts en sanktionsavgift bör ha rätt att överklaga beslutet till domstol. Det bör i den nya lagen därför införas en bestämmelse som anger att Polismyndighetens beslut om sanktionsavgift får överklagas till allmän förvaltningsdomstol. Av regeln bör framgå att det vid överklagande till kammarrätten krävs att domstolen beviljar prövningstillstånd för att klaganden ska få sitt överklagande prövat i sak.
I lagrådsremissen föreslår regeringen att det av tydlighetsskäl bör framgå av bestämmelsen att Polismyndigheten har ställning som motpart i ett sådant mål hos domstolen. Lagrådet påpekar att det av 7 a § förvaltningsprocesslagen (1971:291) följer att den myndighet som först beslutade i saken ska vara den enskildes motpart i domstolen och att det därmed inte är nödvändigt att i paragrafen ange att Polismyndigheten är motpart, om överklagande av någon annan än en enskild inte kan komma ifråga. En sanktionsavgift kan åläggas ett lufttrafikföretag som inte överför PNR-uppgifter i enlighet med bestämmelserna i lagen eller föreskrifter som har meddelats i anslutning till den. Någon annan klagande än en enskild kan i dessa fall därför inte komma ifråga. Regeringen delar därför Lagrådets bedömning att det i lagtexten inte behöver anges att Polismyndigheten är motpart i domstolen vid ett överklagande av sanktionsavgift.
14.2 Överträdelser av personuppgiftsansvarig myndighet
Regeringens förslag: En administrativ sanktionsavgift ska få tas ut av en personuppgiftsansvarig myndighet vid överträdelser av de bestämmelser i den nya lagen som har till syfte att skydda enskildas integritet.
Sanktionsavgiftssystemet i brottsdatalagen och den tillhörande förordningen ska tillämpas i handläggningsfrågor och när sanktionsavgiftens storlek bestäms. Beslut om sanktionsavgift ska kunna överklagas till allmän förvaltningsdomstol.
Utredningens förslag: överensstämmer i sak med regeringens.
Remissinstanserna: Polismyndigheten avstyrker förslaget och anser att det redan finns tillräckliga och avskräckande sanktioner. Säkerhets- och integritetsskyddsnämnden anser att bestämmelsen bör ange att sanktionsavgift får tas ut av en personuppgiftsansvarig myndighet och att även underrubriken omedelbart före paragrafen bör formuleras om. Förvaltningsrätten i Stockholm efterlyser en klar och tydlig reglering av hur överträdelser av flera regelverk på dataskyddsområdet ska hanteras. Förvaltningsrätten framför även samma resonemang som anförts gällande lufttrafikföretagen angående vilka omständigheter som bör beaktas vid sättande av avgiftens storlek respektive nedsättning av avgiften. Förvaltningsrätten anser vidare att det vore enklare och tydligare om lagen innehöll en fullständig sanktionsreglering i stället för att hänvisa till annan reglering. Även Kammarrätten i Jönköping finner det önskvärt med ett förtydligande resonemang om hur sanktionsavgiftens storlek ska bedömas.
Skälen för regeringens förslag
Sanktionsavgift vid överträdelser av personuppgiftsansvarig myndighet
Enligt artikel 14 i PNR-direktivet ska medlemsstaterna fastställa regler om sanktioner för överträdelser av nationella bestämmelser som antagits enligt direktivet och vidta nödvändiga åtgärder för att se till att de genomförs. Sådana sanktioner bör kunna träffa såväl den behandling av PNR-uppgifter som utförs vid enheten för passagerarinformation som vid de behöriga myndigheter som därefter får tillgång till PNR-information. Om enheten för passagerarinformation exempelvis behandlar PNR-uppgifter under längre tid än vad som är tillåtet eller om de behöriga myndigheterna skulle använda PNR-uppgifterna för bekämpande av annan brottslighet än den som avses i direktivet, utan stöd i lagen, ska det således finnas sanktioner att tillgripa.
I propositionen Brottsdatalag har regeringen föreslagit att administrativa sanktionsavgifter ska användas mot den som behandlar personuppgifter i strid med vissa närmare angivna bestämmelser i brottsdatalagen. Det finns stora effektivitetsvinster med att använda samma sanktion i den nya lagen som i den föreslagna brottsdatalagen. Det sanktionssystem som föreslås för brottsdatalagen är vidare lämpligt och väl avvägt. Till skillnad från Polismyndigheten anser regeringen därför att regler om sanktionsavgift bör införas vid överträdelser av enheten för passagerarinformation och behöriga myndigheter.
I brottsdatalagen föreslås inte någon annan sanktionsmöjlighet än sanktionsavgifter vid överträdelser av bestämmelserna om personuppgiftsbehandling på det brottsbekämpande området. Någon annan sanktionsmöjlighet än sanktionsavgifter bör därför inte heller föreslås i den nya lagen.
Förvaltningsrätten i Stockholm förespråkar att den nya lagen ska innehålla en fullständig sanktionsreglering. Det skulle emellertid innebära en dubbelreglering i vissa avseenden för enheten för passagerarinformation och de behöriga myndigheter som tillämpar brottsdatalagen. Ett fullständigt sanktionssystem bör därför inte tas in i den nya lagen utan en hänvisning till aktuella bestämmelser i brottsdatalagen är att föredra. Av den nya lagen behöver dock framgå vilka överträdelser som kan leda till sanktionsavgift, vem som kan träffas av sanktionsavgift och sanktionsavgiftens storlek.
För vilka överträdelser ska sanktionsavgift tas ut?
Av den nya lagen bör framgå vilka överträdelser som kan leda till sanktionsavgift. De bestämmelser som bör föranleda sanktionsavgift är som utgångspunkt de som innehåller grundläggande regler om hur PNR-uppgifterna får behandlas och som därför får anses vara av störst betydelse för att värna enskildas integritet.
Bestämmelsen om att PNR-uppgifter inte får behandlas för andra syften än att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet är av så grundläggande natur att överträdelser av den bör föranleda sanktionsavgift. Detsamma gäller för överträdelser av förbudet mot behandling av känsliga personuppgifter. Vidare bör överträdelser av bestämmelserna om hur enheten för passagerarinformation får behandla PNR-uppgifter kunna leda till sanktionsavgift. Till dessa bestämmelser hör bestämmelsen om att PNR-information ska behandlas i Sverige, lagens ändamålsbestämmelser och bestämmelser som begränsar tillgången till PNR-information och förbjuder direktåtkomst. Även överträdelser av lagens bestämmelser om bevarande och förstöring bör kunna föranleda sanktionsavgift liksom överträdelser av bestämmelserna om överföring av behörighetsbegränsade PNR-uppgifter i sin fullständiga form. Även överträdelser av bestämmelser om hur PNR-uppgifter får användas vid de behöriga myndigheterna bör kunna bli föremål för sanktionsavgift. Slutligen bör, på samma sätt som i brottsdatalagen, bestämmelser som begränsar möjligheten att överföra uppgifter till tredjeland kunna bli föremål för sanktionsavgift.
De bestämmelser som innebär att PNR-uppgifter ska överföras till behöriga myndigheter, andra medlemsstater och Europol bör inte föranleda sanktionsavgifter. Inte heller bör underlåtenhet att utse dataskyddsombud föranleda sanktionsavgift. Det får vidare anses vara tillräckligt att det i brottsdatalagen finns en skyldighet att anmäla att dataskyddsombud har utsetts och entledigats till tillsynsmyndigheten. Om en personuppgiftsansvarig inte skulle fullgöra den skyldigheten, kan tillsynsmyndigheten reagera och t.ex. utfärda ett föreläggande.
För det fall det inom enheten för passagerarinformation skulle ske överträdelser av andra tillämpliga dataskyddsbestämmelser än de som anges i den nya lagen, t.ex. bestämmelserna i brottsdatalagen, blir de sanktionsbestämmelser som anges i de lagarna tillämpliga.
Vem ska träffas av sanktionsavgift?
En personuppgiftsansvarig bär ansvaret inte bara för sin egen personuppgiftsbehandling utan även för den behandling ett personuppgiftsbiträde eller någon annan som behandlar personuppgifter på den personuppgiftsansvariges vägnar utför, dvs. anställda, personer som är att jämställa med anställda (inhyrd personal) eller uppdragstagare. För den behandling av PNR-uppgifter som enheten för passagerarinformation utför, är det Polismyndigheten som är personuppgiftsansvarig. De behöriga myndigheterna har personuppgiftsansvaret för den behandling som de utför. För Polismyndighetens del kommer personuppgiftsansvaret för behandling av personuppgifter enligt den nya lagen således att omfatta både enhetens behandling och den behandling som myndigheten utför i egenskap av behörig myndighet. Som Säkerhets- och integritetsskyddsnämnden har påpekat bör det i lagtexten anges att en sanktionsavgift får tas ut av en personuppgiftsansvarig myndighet för att tydliggöra att inte endast Polismyndigheten kan träffas av bestämmelsen utan även andra behöriga myndigheter.
Enligt brottsdatalagen får sanktionsavgift i vissa fall även påföras personuppgiftsbiträden, dock endast när de har uttryckliga skyldigheter som framgår direkt av författning. Eventuella personuppgiftsbiträden som kan komma att anlitas av enheten för passagerarinformation eller av behöriga myndigheter kommer inte att ha några uttryckliga skyldigheter enligt den nya regleringen. Det är därför tillräckligt att i den nya lagen ange att sanktionsavgifter kan åläggas en personuppgiftsansvarig myndighet.
Storleken på sanktionsavgifterna
Sanktionsavgift kan enligt brottsdatalagen tas ut enligt två nivåer. För mindre allvarliga överträdelser ska avgiften vara högst 5 000 000 kronor. För allvarliga överträdelser ska avgiften bestämmas till högst 10 000 000 kronor.
Enligt regeringens mening bör överträdelser av samtliga aktuella bestämmelser i den nya lagen anses vara så allvarliga att den högre nivån enligt brottsdatalagen ska tillämpas. Detta gäller även för skyldigheten att internt inom Polismyndigheten begränsa tillgången till PNR-information som behandlas vid enheten för passagerarinformation. Vilken sanktionsnivå som kan bli aktuell bör uttryckligen framgå av lagen.
Kammarrätten i Jönköping har efterfrågat ett förtydligande resonemang om hur sanktionsavgiftens storlek ska bedömas. Utgångspunkten vid bestämmandet av sanktionsavgift är den behandling som har skett av personuppgifterna. Närmare bestämmelser om hur en sanktionsavgift ska bestämmas i det enskilda fallet finns i 6 kap. 4 § brottsdatalagen. Särskild hänsyn ska enligt bestämmelsen tas till om överträdelsen varit uppsåtlig eller berott på oaktsamhet, den skada, fara eller kränkning som överträdelsen inneburit samt överträdelsens karaktär, svårhetsgrad och varaktighet. Vad den personuppgiftsansvarige har gjort för att begränsa skadan ska också vägas in liksom om den personuppgiftsansvarige tidigare ålagts sanktionsavgift. Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgift.
Det är möjligt att ett agerande i strid med den nya lagen skulle kunna föranleda sanktionsavgift enligt såväl den lagen som enligt den mer generella regleringen i brottsdatalagen. Tanken är inte att ett sådant agerande ska leda till dubbla sanktionsavgifter. Ett sådant agerande bör emellertid kunna föranleda en högre sanktionsavgift. Någon närmare reglering av hur överträdelser av flera regelverk på dataskyddsområdet ska hanteras, som efterfrågats av Förvaltningsrätten i Stockholm, bör dock inte införas utan får - som föreslagits av utredningen - avgöras från fall till fall av tillsynsmyndigheten.
Liksom när det gäller lufttrafikföretagen bör, som Förvaltningsrätten i Stockholm har föreslagit, även i dessa fall avgiftens storlek bedömas mer schablonmässigt, utifrån överträdelsen i sig, medan rimliga förklaringar till överträdelsen bör få genomslag i bedömningen av om avgiften ska sättas ned.
Beslut om sanktionsavgift kan överklagas
I 7 kap. 3 § brottsdatalagen föreskrivs att beslut om sanktionsavgifter kan överklagas till allmän förvaltningsdomstol. En bestämmelse som upplyser om detta bör införas i den nya lagen.
15 Sekretess
15.1 Behövs det några nya bestämmelser om sekretess till skydd för PNR-information?
Regeringens bedömning: Befintliga bestämmelser om sekretess i offentlighets- och sekretesslagen ger ett tillfredsställande skydd för behandlingen av PNR-information. Någon ny eller ändrad sekretessreglering behövs därför inte.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Polismyndigheten påpekar att de befintliga bestämmelserna i offentlighets- och sekretesslagen (2009:400) [OSL] innebär att enheten för passagerarinformation i vissa fall kommer att vara skyldig att lämna ut PNR-information till Åklagarmyndigheten. Justitieombudsmannen anser att meddelarfrihet inte bör gälla vid enheten för passagerarinformation. Datainspektionen ifrågasätter om uppgifterna kommer att omfattas av den sekretess som gäller till skydd för enskilda i 35 kap. 1 § första stycket OSL och anser att det behövs en särskild reglering av sekretess för personuppgifter till skydd för enskildas integritet hos enheten för passagerarinformation. Denna sekretess bör enligt inspektionen ha samma styrka som har bedömts nödvändig när det gäller trängselskatt och passagerarregistret, där absolut sekretess gäller.
Skälen för regeringens bedömning
Sekretessbestämmelser till skydd för enskilda och allmänna intressen
Den nya regleringen som genomför PNR-direktivet medför att en stor mängd uppgifter om flygpassagerare kommer att bevaras i en databas vid enheten för passagerarinformation. Uppgifterna kan sammantaget utvisa t.ex. passagerarnas resvanor, rörelsemönster och resesällskap. Det finns därför ett behov av sekretesskydd för att skydda passagerarnas personliga integritet. Bland uppgifterna kan också finnas skyddsvärda ekonomiska uppgifter såsom bank- eller kontokortsinformation. Likaså kan lufttrafikföretagen ha kommersiella intressen av att PNR-uppgifter inte blir offentliga och sammanförda med konkurrenters motsvarande uppgifter.
När det gäller skyddet för den brottsbekämpande verksamheten torde i och för sig flertalet PNR-uppgifter kunna röjas för vem som helst utan att skada verksamheten, eftersom de allra flesta uppgifter som enheten för passagerarinformation mottar från lufttrafikföretagen avser passagerare som inte är av intresse för bekämpningen av terroristbrottslighet eller annan allvarlig brottslighet enligt lagen. Däremot skulle ett röjande av resultatet av enhetens bearbetning och analys av PNR-uppgifterna kunna antas skada kommande insatser som grundas på denna information. Detsamma gäller för PNR-information som har mottagits från andra medlemsstater. Även framtagna riskkriterier torde behöva skyddas från offentlighet för att det långsiktiga brottsbekämpande arbetet vid enheten och hos behöriga myndigheter inte ska störas.
Sekretess gäller i förhållande till såväl enskilda (fysiska eller juridiska personer) som andra myndigheter (8 kap. 1 § OSL). Uppgifter som skyddas av sekretess får inte lämnas ut till enskild eller annan myndighet utan stöd i OSL. Detsamma gäller utländska myndigheter (8 kap. 3 § OSL).
Sekretessbestämmelser till skydd för intresset av att förebygga eller beivra brott finns i 18 kap. OSL. Enligt 18 kap. 1 § gäller sekretess för uppgift som hänför sig till en förundersökning i brottmål eller angelägenhet som avser användning av tvångsmedel i ett sådant mål eller i annan verksamhet för att förebygga brott. Enligt andra stycket punkt 2 gäller sekretess även för uppgifter som hänför sig till annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av bl.a. Polismyndigheten, Säkerhetspolisen och Tullverket. Även Åklagarmyndigheten omfattas av bestämmelsen vilket i sammanhanget innebär att också Ekobrottsmyndigheten omfattas av bestämmelsens räckvidd. Det som åsyftas med andra stycket punkt 2 är brottsförebyggande och brottsbeivrande verksamhet i allmänhet utan anknytning till något konkret fall. Sekretessen gäller exempelvis för uppgifter hänförliga till spaningsmetoder och för sådana uppgifter som finns i de register som används i polisär verksamhet. För uppgifter i t.ex. Polismyndighetens verksamhet för att förebygga brott etc. som hänför sig till underrättelseverksamhet ska dock 18 kap. 2 § OSL tillämpas. Sekretessen i 18 kap. 1 § har ett rakt skaderekvisit och gäller om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs.
Enligt 18 kap. 2 § gäller vidare sekretess för uppgift som hänför sig till bl.a. sådan verksamhet som avses i 2 kap. 7 § 1 (förebygga, förhindra eller upptäcka brottslig verksamhet) eller 6 kap. 1 § 1 polisdatalagen (2010:361) dvs. förebygga, förhindra eller upptäcka viss slags brottslig verksamhet som innefattar t.ex. terrorbrott. Det polisarbete som åsyftas är i första hand underrättelseverksamhet, dvs. arbete med insamling, bearbetning och analys av information för att förhindra eller upptäcka brottslig verksamhet när det inte finns konkreta misstankar om att ett visst brott har begåtts. Polisarbete som är inriktat på en redan begången individualiserad gärning faller inte in under punkten (se prop. 2009/10:85 s. 318). Sekretessen enligt bestämmelsen gäller med ett omvänt skaderekvisit, vilket innebär att uppgifterna inte får lämnas ut om det inte står klart att de kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Enligt andra stycket punkt 2 gäller motsvarande sekretess för uppgifter som hänför sig till Tullverkets underrättelseverksamhet.
Sekretessen enligt 18 kap. 1 och 2 §§ OSL avser uppgifter som hänför sig till förundersökning och underrättelseverksamhet m.m. som bedrivs av de i paragraferna angivna brottsbekämpande myndigheterna. Sekretessen följer med när uppgifterna lämnas vidare till en helt annan slags myndighet och gäller även hos myndigheter som inte bedriver brottsbekämpande verksamhet.
Sekretessen till skydd för brottsbekämpande verksamhet enligt 18 kap. 1 och 2 §§ OSL gäller enbart svensk sådan verksamhet. En särskild bestämmelse som skyddar utländsk verksamhet finns i 18 kap. 17 § OSL enligt vilken sekretess gäller i verksamhet som avser visst rättsligt samarbete samt utbyte inom ramen för Schengens informationssystem. I 18 kap. 17 a § OSL har vidare införts en ny sekretessbestämmelse enligt vilken sekretess ska gälla hos brottsbekämpande myndigheter för uppgift som lämnats av ett utländskt organ vid internationellt polisiärt samarbete i syfte att förebygga, uppdaga, utreda och beivra brott, om det kan antas att en förutsättning för att uppgiften lämnades var att den inte skulle röjas.
Sekretess till skydd för enskildas personliga och ekonomiska förhållanden i sådan verksamhet som syftar till att förebygga eller beivra brott regleras huvudsakligen i 35 kap. OSL. Med begreppet "enskilda" avses såväl fysiska som juridiska personer. Sekretessen enligt 35 kap. 1 § OSL skyddar enskilds personliga och ekonomiska förhållanden i bl.a. förundersökningar, brottsförebyggande verksamhet och vissa polisiära register m.m. Enligt första stycket 4 gäller sekretess för uppgift i annan verksamhet (annan än bl.a. förundersökning som regleras i punkt 1) som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs bl.a. av åklagarmyndighet (t.ex. Ekobrottsmyndigheten), Polismyndigheten, Säkerhetspolisen och Tullverket. Genom bestämmelsen blir det möjligt att hemlighålla uppgifter som mera allmänt hänför sig till de i bestämmelsen uppräknade myndigheternas brottsbekämpande verksamhet. Bestämmelsen är bl.a. tillämplig på sådana personregister som förs inom myndigheterna och som inte omfattas av särskilda bestämmelser (bl.a. punkterna 5, 6 och 9 i denna bestämmelse och 3 §). Även behandling av personuppgifter som inte sker i register omfattas av bestämmelsen. Enligt punkt 5 gäller sekretess för uppgifter i register som förs av Polismyndigheten enligt 4 kap. polisdatalagen eller som annars behandlas med stöd av de bestämmelserna. De register som avses är register över DNA-profiler, fingeravtrycks- och signalementsregister, penningtvättsregister och det internationella registret. Enligt punkt 6 gäller sekretess för uppgifter i register som förs enligt lagen om misstankeregister (1998:621). Register som förs av Tullverket omfattas av punkt 9. Sekretessen enligt bestämmelsen i 35 kap. 1 § första stycket gäller om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men. Presumtionen är alltså att sekretess gäller.
Behövs det några nya sekretessbestämmelser till skydd för PNR-information hos enheten för passagerarinformation?
Arbetet vid enheten för passagerarinformation utgör en del av Polismyndighetens verksamhet med att förebygga, förhindra, upptäcka och utreda brott. Det är regeringens bedömning att sekretessbestämmelserna i 18 kap. 1 och 2 §§ samt 35 kap. 1 § första stycket punkt 4 OSL kommer att vara tillämpliga på PNR-information som behandlas vid enheten för passagerarinformation. De sekretessbestämmelser som redan gäller ger därmed ett tillfredsställande sekretesskydd beträffande såväl det allmännas intresse av att skydda den brottsbekämpande verksamheten som intresset av att skydda passagerares integritet och berörda företags kommersiella verksamhet.
När det gäller integritetsintresset föreligger enligt regeringens mening inte tillräckliga skäl att såsom föreslagits av Datainspektionen införa en absolut sekretess för uppgifter hos enheten för passagerarinformation. Absolut sekretess bör användas återhållsamt och när det verkligen finns ett oundgängligt behov av det. Det omvända skaderekvisitet i 35 kap. 1 § med presumtion för sekretess ger enligt regeringens mening ett tillräckligt starkt skydd för uppgifterna. Regeringen instämmer därför i utredningens bedömning att det inte finns behov av ändrad sekretessreglering för att skydda PNR-information hos enheten för passagerarinformation.
Polismyndigheten har anfört att den befintliga sekretesslagstiftningen innebär att enheten för passagerarinformation i vissa fall kommer att vara skyldig att lämna ut PNR-information till Åklagarmyndigheten och att bestämmelser i OSL och polisdatalagen därmed kan komma i konflikt med lagförslaget eftersom Åklagarmyndigheten inte är en behörig myndighet enligt den nya lagen.
Av 6 kap. 5 § OSL framgår att en myndighet på begäran av en annan myndighet ska lämna ut en uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Om en sekretessbrytande bestämmelse är tillämplig på en uppgift, innebär bestämmelsen i 6 kap. 5 § att en myndighet är skyldig att lämna ut uppgiften till en myndighet som begär det. De begränsningar som gäller enligt den nya lagen för behandling av PNR-information får emellertid till följd att en myndighet inte kan utnyttja uppgifterna i sin verksamhet i andra fall än vad som anges i lagens bestämmelser. Det innebär att sekretessbrytande regler i praktiken enbart torde bli aktuella att åberopa när en myndighet har rätt att ta del av uppgifterna för sådana ändamål (jfr prop. 1990/91:131 s. 24 f.). Polismyndighetens synpunkt medför därför ingen annan bedömning i fråga om behovet av ändrad sekretessreglering.
Enligt 3 kap. 1 § OSL innebär sekretess ett förbud att röja en uppgift, vare sig det görs muntligen, genom utlämnande av allmän handling eller på något annat sätt. Sekretess innebär således både handlingssekretess och tystnadsplikt. Den rätt att meddela och offentliggöra uppgifter som följer av 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen har som huvudregel företräde framför tystnadsplikten. Justitieombudsmannen anser att meddelarfrihet inte bör gälla inom enheten för passagerarinformation. Enligt förarbetena till sekretesslagen bör som grundprincip alltid gälla stor återhållsamhet vid prövningen av om undantag ska göras från rätten att meddela och offentliggöra uppgifter. Den enskilda sekretessbestämmelsens konstruktion kan ge viss vägledning. När det är fråga om bestämmelser om absolut sekretess kan det finnas större anledning att överväga undantag från rätten att meddela och offentliggöra uppgifter än i andra fall. Undantag från huvudregeln är framför allt aktuellt ifråga om sekretessregler utan skaderekvisit eller med omvänt skaderekvisit. Att undantag görs med hänsyn till allmänna intressen är ovanligt. De undantag som finns i dag rör särskilt viktiga skyddsintressen. Enligt regeringen bör något undantag från huvudregeln inte göras i detta fall.
Behövs det några nya sekretessbestämmelser till skydd för PNR-information hos behöriga myndigheter?
De behöriga myndigheterna kommer att få PNR-information från enheten för passagerarinformation efter enhetens eller någon annan medlemsstats förhandsbedömning eller undantagsvis direkt från en enhet i en annan medlemsstat. I samtliga fall sker detta för att de ska använda PNR-informationen i sin verksamhet med att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Uppgifter inom Polismyndighetens, Säkerhetspolisens, Tullverkets, Ekobrottsmyndighetens och Försvarsmaktens verksamheter omfattas av bestämmelserna i OSL. För PNR-informationen bör samma sekretessbestämmelser gälla som för andra uppgifter som myndigheterna har eller hämtar in och använder i sin verksamhet, dvs. i huvudsak de bestämmelser som redogjorts för ovan. Dessa sekretessbestämmelser ger ett tillfredsställande skydd för PNR-informationen hos de behöriga myndigheterna. Det saknas därför anledning att föreslå någon ny eller ändrad reglering i sekretesslagstiftningen till skydd för PNR-information hos de behöriga myndigheterna.
När det gäller Försvarsmakten omfattas verksamheten inom Militära underrättelse- och säkerhetstjänsten (MUST) inte direkt av sekretessregleringen enligt de ovan redovisade bestämmelserna i 18 kap. 1 och 2 §§ eller 35 kap. 1 § OSL. PNR-informationen hänför sig dock till sådan verksamhet som avses i de angivna bestämmelserna och sekretessen överförs därför till Försvarsmakten. Sekretessregleringen kommer därmed att vara tillämplig även hos Försvarsmakten efter att PNR-informationen har mottagits från enheten. Även övriga bestämmelser i OSL som är tillämpliga på Försvarsmakten t.ex. 15 kap. 1 och 2 §§, 38 kap. 4 § och 21 kap. 5 §, innebär enligt regeringens mening att PNR-information som överförts till Försvarsmakten kommer att åtnjuta ett tillfredsställande sekretesskydd.
15.2 Behövs det nya sekretessbrytande bestämmelser?
Regeringens bedömning: Det behövs inte någon ny bestämmelse om sekretessgenombrott för att enheten för passagerarinformation ska kunna lämna ut PNR-information.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen av remissinstanserna yttrar sig särskilt över förslaget.
Skälen för regeringens bedömning: PNR-direktivet medför att enheten för passagerarinformation ska överföra PNR-information som omfattas av sekretess till behöriga myndigheter, mottagare i andra medlemsstater och Europol. Under vissa begränsade förutsättningar ska enheten vidare få överföra PNR-information till tredjeland.
I OSL finns flera bestämmelser som möjliggör utbyte av uppgifter mellan myndigheter trots den sekretess som annars gäller för uppgifterna. Flera bestämmelser av generell räckvidd finns i 10 kapitlet.
Skaderekvisiten i bestämmelserna om sekretess till skydd för den brottsbekämpande verksamheten torde normalt inte vara uppfyllda vid uppgiftsutbytet enligt PNR-direktivet och därmed kräva tillämpning av någon sekretessbrytande bestämmelse. Däremot är sekretessen i 35 kap. 1 § OSL till skydd för i första hand uppgifter om berörda passagerares personliga förhållanden sådan att tillämpning av sekretessbrytande bestämmelser krävs för att möjliggöra utbytet av PNR-information.
När det gäller Polismyndigheten är utredningens uppfattning att det inte kommer att finnas någon sekretessgräns mellan enheten för passagerarinformation och Polismyndighetens övriga brottsbekämpande verksamhet. Regeringen delar den uppfattningen. Någon sekretessbrytande bestämmelse krävs således inte gentemot Polismyndigheten såsom behörig myndighet utan enbart i förhållande till andra myndigheter, eftersom enhetens uppgiftslämnande till Polismyndigheten är en intern överföring inom myndigheten som inte korsar någon sekretessgräns eller kräver stöd i sekretessbrytande bestämmelser. När det gäller Säkerhetspolisen som mottagande behörig myndighet framgår av 35 kap. 10 a § OSL att sekretessen enligt 35 kap. 1 § inte utgör något hinder för utlämnande.
En central uppgift för enheten för passagerarinformation är informationsförsörjning till myndigheter som bekämpar terroristbrottslighet eller annan allvarlig brottslighet. Den sekretessbrytande bestämmelsen i 10 kap. 2 § OSL om nödvändigt uppgiftslämnande för att myndigheten ska kunna fullgöra sin verksamhet bör därför kunna tillämpas åtminstone vid utlämnande av träffar som enheten vid sin förhandsbedömning anser behöver granskas närmare av en behörig mottagare. Det är dock osäkert om 10 kap. 2 § räcker till för allt utlämnande till behöriga myndigheter.
Bestämmelserna om överföring till behöriga mottagare i 4 kap. 1-9 §§ i den nya lagen innebär dock att enheten har en skyldighet att överföra den PNR-information som mottagaren behöver för sin verksamhet med att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Det innebär att det gentemot de svenska behöriga myndigheterna föreligger en sådan uppgiftsskyldighet som aktualiserar en tillämpning av 10 kap. 28 § OSL. Den bryter sekretess oavsett vilken materiell sekretessbestämmelse som gäller för en uppgift i fråga. När det gäller utlämnade till utländska myndigheter bör sådant kunna ske med stöd av bestämmelsen i 8 kap. 3 § 1 OSL eftersom översändandet sker i enlighet med särskilda föreskrifter i lag eller förordning. Även beträffande behöriga mottagare i utlandet finns således förutsättningar att med stöd av OSL överföra PNR-information som omfattas av sekretess enligt 35 kap. 1 § OSL eller någon annan materiell sekretessbestämmelse.
Den samlade bedömningen är således att sekretess inte utgör något hinder för att enheten för passagerarinformation ska kunna lämna ut PNR-uppgifter i enlighet med de föreslagna bestämmelserna. Det finns inte skäl att tydliggöra detta genom någon upplysande bestämmelse i vare sig den nya lagen eller i offentlighets- och sekretesslagstiftningen. Ett sådant tydliggörande kan nämligen leda till osäkerhet om vad som gäller på andra områden som saknar motsvarande upplysningsbestämmelser.
16 Konsekvenser
Regeringens bedömning: Förslagen förväntas få positiva konsekvenser för arbetet med att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrottslighet och annan allvarlig brottslighet.
Förslagen kommer att belasta lufttrafikföretagen arbets- och kostnadsmässigt. Lufttrafikföretagens konkurrensförhållanden kommer inte att påverkas i någon större omfattning.
Förslagen innebär kostnader för Polismyndigheten som är kopplade till inrättandet av en enhet för passagerarinformation och till drivandet av enheten. Kostnaderna bör rymmas inom ramen för föreslagna anslag.
Förslagen kan även innebära kostnader för behöriga myndigheter, tillsynsmyndigheten och de allmänna förvaltningsdomstolarna. Även dessa kostnader bör rymmas inom ramen för befintliga anslag.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Polismyndigheten har framhållit att genomförandet av direktivet och inrättandet av en enhet för passagerarinformation är förenat med stora kostnader. Förslagen kommer enligt Polismyndigheten även att medföra kostnader i myndighetens egenskap av behörig myndighet. Polisförbundet anser att Polismyndigheten behöver mer resurser till inrättandet och drivandet av enheten. Hovrätten för Nedre Norrland anser att de höga krav som kommer att ställas på enheten för passagerarinformation innebär att det är svårt att tänka sig att verksamheten kan läggas till och rymmas inom Polismyndigheten utan att det krävs ytterligare resurser. Förvaltningsrätten i Stockholm menar att förslagen kan innebära viss ökad belastning för domstolarna och att det är svårt att i nuläget bedöma om det kan tas inom domstolarnas ekonomiska ramar. Datainspektionen konstaterar att den tillsynsmyndighet som ska utses kommer att få ytterligare arbetsuppgifter och därmed ökade kostnader för att övervaka behandlingen av PNR-uppgifter vid enheten för passagerarinformation och andra behöriga myndigheter.
Skälen för regeringens bedömning
Konsekvenser för brottsbekämpningen
För de behöriga myndigheter som i dag använder PNR-uppgifter kommer den nya regleringen att innebära en mer effektiv användning av uppgifterna och att ett större antal passagerare kan kontrolleras. Även för sådana behöriga myndigheter som inte tidigare har använt sig av PNR-uppgifter kommer tillgången till PNR-information att medföra effektivitetsvinster.
Förslagen innebär en stor möjlighet till utbyte av PNR-information mellan medlemsstaterna. Särskilt för Polismyndigheten har olika initiativ till utökat samarbete inom EU och med de andra nordiska länderna visat sig ha en positiv effekt. Även ett utbyte av PNR-information mellan medlemsstaterna bör leda till en effektivare brottsbekämpning.
Det nya systemets potential att tidigt hitta passagerare som kan misstänkas för inblandning i allvarlig brottslighet bör kunna medföra att fler sådana brott kan förhindras. En ökad risk för att kontrolleras av de behöriga myndigheterna i samband med en flygresa torde kunna ha en viss avskräckande effekt för en potentiell gärningsman och få denne att avstå från att t.ex. smuggla narkotika. Förslagen kan därför antas leda till en viss minskning av antalet begångna grova brott.
Konsekvenser för lufttrafikföretagen
De enskilda aktörer som främst berörs av förslagen är de lufttrafikföretag som åläggs att överföra PNR-uppgifter till enheten för passagerarinformation och att informera passagerarna om överföringen. Systemet med överföring av PNR-uppgifter kommer att beröra lufttrafikföretag som flyger till eller från någon av medlemsstaterna. Regleringen kommer att omfatta såväl svenska lufttrafikföretag som lufttrafikföretag från andra länder inom och utom EU som flyger till eller från Sverige. År 2016 var det 240 lufttrafikföretag som utförde flygningar till eller från Sverige antingen i linjefart eller som charterflyg. Av dessa utförde 100 lufttrafikföretag fem eller färre sådana resor.
För att inte i onödan belasta lufttrafikföretagen arbets- eller kostnadsmässigt ska lufttrafikföretagen enligt PNR-direktivet endast överföra sådana PNR-uppgifter som de redan i dag samlar in av kommersiella och operativa skäl.
Lufttrafikföretagen har förklarat att det främst är formen för överföringarna som har betydelse för hur stora kostnader genomförandet av PNR-direktivet kommer att ha för dem. Kommissionen har därför tagit fram en förteckning över gemensamma protokoll och understödda dataformat som ska användas vid överföringarna till de olika medlemsstaternas enheter för passagerarinformation. Lufttrafikföretagen får utifrån förteckningen själva välja vilka protokoll och format som de vill använda vid överföringarna. Genom att använda standardformat kan kostnaderna för lufttrafikföretagen hållas nere. I den mån överföringar kommer att ske från mindre lufttrafikföretag som inte flyger i linjetrafik och som inte har den nödvändiga tekniska infrastrukturen för att använda de gemensamma protokollen och understödda formaten ska dessa, enligt kommissionens beslut, överföra sina uppgifter på något annat elektroniskt sätt som ska överenskommas med varje medlemsstat. Detta gäller så länge överföringarna sker på ett säkert sätt. Även kostnaderna för sådana mindre aktörer kommer därmed att kunna begränsas.
Införandet av det nya regelverket kommer att medföra omställningskostnader för lufttrafikföretagen. Bland annat kommer det att krävas investeringar i och för löpande drift av nya och ändrade tekniska och administrativa system och rutiner. Därutöver uppstår kostnader till följd av administrativt och juridiskt merarbete, främst i samband med uppkopplingen mot enheterna för passagerarinformation. Kommissionen har i sin konsekvensanalys angett att kostnaden för att införa en möjlighet att överföra PNR-uppgifter från lufttrafikföretag till enheterna för passagerarinformation kommer att uppgå till 100 000 euro per lufttrafikföretag. Den årliga kostnaden för överföringarna beräknades uppgå till 33 500 euro per lufttrafikföretag. Därtill kommer extra resurser att krävas för att administrera och underhålla överföringssystemen och för att lufttrafikföretagen behöver vara tillgängliga för uppföljning. Det bör dock i sammanhanget påpekas att många lufttrafikföretag redan överför PNR-uppgifter till länder som kräver tillgång till sådana uppgifter. Det finns således redan internationellt standardiserad infrastruktur upparbetad kring dessa frågor.
Lufttrafikföretagen har redan i dag och kommer även enligt dataskyddsförordningen att ha en skyldighet att lämna viss information till sina passagerare. Informationsskyldigheten bör endast i försumbar omfattning leda till ytterligare kostnader.
De kostnader som överföringsskyldigheten innebär för lufttrafikföretagen bör huvudsakligen kunna överföras på kunderna. Det är således sannolikt att kostnaderna kommer att läggas till biljettpriset. Enligt kommissionens beräkningar kan överföringsskyldigheten som mest innebära att biljettpriserna höjs med mindre än 0,10 euro per biljett, vilket får anses vara en försumbar del av kostnaden för en flygbiljett. Det är således osannolikt att efterfrågan på utrikes flygresor kommer att påverkas av genomförandet av PNR-direktivet.
Förslaget omfattar inte sådana mindre lufttrafikföretag som strukturmässigt saknar elektroniska system för behandling av PNR-uppgifter. Det innebär att s.k. taxiflyg som utgångspunkt inte kommer att omfattas av överföringsskyldigheten enligt lagen. Någon möjlighet att därutöver, och utöver vad kommissionen gjort vid antagandet av de gemensamma protokollen och formaten, ta någon särskild hänsyn till mindre lufttrafikföretag föreligger inte.
En utgångspunkt i det nya regelverket är att lufttrafikföretagen behandlas lika och att som huvudregel alla flygningar till och från EU och mellan medlemsstaterna omfattas. Det innebär att konkurrensen mellan lufttrafikföretagen inte kommer att påverkas. Som tidigare har angetts undantas dock de allra minsta lufttrafikföretagen från förslaget. De företagen kan sägas få vissa konkurrensfördelar. De lufttrafikföretagen trafikerar emellertid inte de större flyglinjerna och konkurrerar därmed inte på samma marknad som övriga lufttrafikföretag. Med undantag av några enstaka linjer är konkurrensen från land- och sjötransporter obetydlig och bedöms inte påverkas av förslagen.
Konsekvenser för staten
Genomförandet av direktivet innebär att en enhet för passagerarinformation ska byggas upp dit lufttrafikföretagen ska överföra sina PNR-uppgifter, där uppgifterna ska behandlas och från vilken vissa av uppgifterna ska vidareöverföras till bl.a. behöriga myndigheter.
Som bl.a. Polismyndigheten har påpekat är genomförandet av direktivet och inrättandet av en enhet för passagerarinformation förenat med kostnader. Arbetet med att införa en enhet för passagerarinformation och genomföra direktivets tekniska delar pågår parallellt med lagstiftningsarbetet. Det är alltjämt mycket som är oklart kring projektets genomförande och kostnader. Det är vidare i nuläget oklart vilka långsiktiga effektivitetsvinster som kan bli följden av genomförandet av PNR-direktivet.
När det gäller kostnader för uppbyggnad av enheten för passagerarinformation, it-utveckling och utbildning är dessa beräknade att finansieras delvis av EU-medel från den inre säkerhetsfonden. Vad gäller övriga kostnader, bl.a. för fortsatt administration av enheten för passagerarinformation, bedömer regeringen till skillnad från Polisförbundet att dessa bör kunna rymmas inom ramen för de av regeringen föreslagna ramarna för Polismyndigheten.
Även de behöriga myndigheter som kommer få del av PNR-information kan komma att få ökade kostnader i form av administration av mottagandet av informationen. Även de frågor som ska ställas till enheten, i vissa fall efter beslut av åklagare, för att få tillgång till PNR-uppgifter t.ex. i pågående förundersökningar kommer att medföra viss administration. De analyser som ska göras av de mottagna uppgifterna kan också medföra kostnader. Mot detta får ställas den effektivitetsvinst som troligen blir resultatet av mottagandet av sådan PNR-information som kan vara av intresse för vidare granskning i den brottsbekämpande verksamheten. Enligt regeringens bedömning kommer en eventuell kostnadsökning i dessa delar endast att bli marginell.
Förslagen innebär vidare att Tullverkets arbete med PNR-uppgifter kommer att förenklas eftersom myndigheten inte längre på egen hand behöver administrera insamlandet av PNR-uppgifter från sådana lufttrafikföretag som omfattas av den nya lagen. Detta kan komma att leda till minskade kostnader för Tullverket i denna del. Som angetts ovan kommer dock sannolikt volymen av PNR-uppgifter som ska kontrolleras att öka på ett sådant sätt att det inte kommer att bli fråga om någon generell kostnadsminskning.
En ökad användning av PNR-uppgifter i brottsbekämpningen skulle kunna leda till att kostnaderna ökar inom vissa sektorer av rättsväsendet. Om t.ex. polisen blir effektivare kan det leda till en ökad arbetsbörda med krav på ökade resurser för åklagare och domstolar. Förslaget att sanktionsbeslut ska kunna överklagas till allmän förvaltningsdomstol kan också innebära en viss ökad belastning för domstolarna. Enligt regeringens bedömning kommer dock dessa fall att bli få. Bedömningen är att förslagen i sig inte kommer att medföra så många tillkommande ärenden årligen att det på grund av detta finns behov av några resursförstärkningar för rättsväsendet.
När ny lagstiftning införs krävs det normalt utbildningsinsatser. Kostnaderna för utbildning bör rymmas inom befintliga ramar. Ny lagstiftning kräver normalt också nya interna föreskrifter och styrande dokument. Det får anses ingå i de normala uppgifterna för myndigheterna.
Den tillsynsmyndighet som ska utses enligt det nya dataskyddsdirektivet kommer att få ytterligare arbetsuppgifter och därmed ökade kostnader då den även ska övervaka behandlingen av PNR-uppgifter vid bl.a. enheten för passagerarinformation. Till skillnad från Dataskyddsinspektionen anser regeringen att tillsynsmyndighetens kostnader får antas kunna rymmas inom ramen för befintliga anslag.
Konsekvenser för enskilda
För allmänheten innebär den föreslagna regleringen att PNR-uppgifter kommer att överföras och behandlas vid enheten för passagerarinformation. PNR-uppgifter har även tidigare använts av brottsbekämpande myndigheter. Förslagen innebär dock att uppgifter om samtliga utrikesresenärer ska samlas in och behandlas. Den föreslagna regleringen kan därmed sägas påverka resenärernas integritet.
Eftersom det endast är de PNR-uppgifter som ger träff vid en automatiserad behandling som kommer att läsas av tjänstemän vid enheten för passagerarinformation kommer PNR-uppgifter från det stora flertalet resenärer aldrig att granskas av en fysisk person. Behandlingen kan även väntas innebära att ett färre antal oskyldiga personer väljs ut för fysisk kontroll på en flygplats.
Regleringen innehåller stränga krav på hur de överförda PNR-uppgifterna får behandlas hos enheten för passagerarinformation och hos de behöriga myndigheter som senare tar del av uppgifterna. PNR-uppgifterna får som huvudregel endast behandlas i syfte att bekämpa terroristbrottslighet eller annan allvarlig brottslighet. PNR-uppgifter som avslöjar känsliga personuppgifter får inte behandlas över huvud taget. Vidare får och ska PNR-informationen endast överföras till behöriga myndigheter, andra medlemsstater, Europol och tredjeländer när vissa förutsättningar är uppfyllda. Regleringen ställer också krav på att PNR-uppgifterna behandlas på ett säkert sätt och ger enskilda rätt till information om behandlingen, att kräva rättelse av felaktig behandling och att begära skadestånd och överklaga beslut vid felaktig behandling. Enskilda kommer också ha rätt att vända sig till ett dataskyddsombud vid enheten för passagerarinformation för att få råd och information om behandlingen av PNR-uppgifterna. Förslagen ger således ett tillfredsställande skydd för enskildas personliga integritet vid enheten för passagerarinformations och de behöriga myndigheternas behandling av deras PNR-uppgifter.
Förslagen innebär att enskilda kommer att beröras i den utsträckning flygbiljetter blir dyrare. Som angetts ovan förväntas dock biljettpriserna öka endast i försumbar omfattning.
Konsekvenser i övrigt
Förslagen får inte några konsekvenser för kommuner eller landsting generellt eller för den kommunala självstyrelsen. Förslagen bedöms inte heller innebära några konsekvenser för jämställdheten eller miljön.
17 Ikraftträdande
Regeringens förslag: Författningsförslagen ska träda i kraft den 1 augusti 2018.
Utredningens förslag överensstämmer inte med regeringens. Utredningen föreslår att den nya lagen ska träda i kraft den 25 maj 2018.
Remissinstanserna: Ingen remissinstans invänder mot förslaget.
Skälen för regeringens förslag: Enligt artikel 18 i PNR-direktivet ska medlemsstaterna senast den 25 maj 2018 sätta i kraft de bestämmelser i lagar och andra författningar som är nödvändiga för att följa direktivet. Vid samma tidpunkt kommer dataskyddsförordningen att börja tillämpas.
Den lagstiftning som regeringen nu föreslår bör träda i kraft så snart som möjligt. Med hänsyn till att det i den nya lagen finns hänvisningar till brottsdatalagens bestämmelser bör dock lagen lämpligen träda i kraft tidigast när brottsdatalagen börjar gälla. Den tidigaste möjliga tidpunkten för ikraftträdande är därför den 1 augusti 2018.
Något behov av övergångsbestämmelser har inte identifierats.
18 Författningskommentar
18.1 Förslaget till lag om flygpassageraruppgifter
i brottsbekämpningen
1 kap. Inledande bestämmelser
Lagens innehåll
1 §
I paragrafen anges lagens innehåll och att den genomför PNR-direktivet. Paragrafen genomför, tillsammans med 5 §, artiklarna 1, 3.8 och 3.9 i PNR-direktivet. Definitionen av PNR-uppgifter motsvarar artikel 3.5 i direktivet. Paragrafen behandlas i avsnitt 7.2 och 7.3.
I första stycket tydliggörs att lagen genomför PNR-direktivet. Av första stycket framgår vidare vad som avses med PNR-uppgifter enligt lagen. Med PNR-uppgifter avses uppgifter om varje enskild passagerare som har lämnats vid bokning av en flygresa och vid incheckning. Uppgifterna består av t.ex. namn, resedatum, resväg, bagageinformation och betalningssätt.
Andra stycket innehåller en sammanfattande beskrivning av lagens innehåll. I ordet behandling inbegrips bl.a. insamling, användning, bevarande och medlemsstaternas inbördes utbyte av PNR-uppgifter. PNR-uppgifter får användas för att förebygga, förhindra, upptäcka eller utreda terroristbrottslighet eller annan allvarlig brottslighet. Med terroristbrottslighet avses i lagen enligt tredje stycket brott enligt artiklarna 3-12 och 14 i terrorismdirektivet. Med annan allvarlig brottslighet avses enligt fjärde stycket sådana brott i Sverige eller andra medlemsstater som har sin motsvarighet i bilaga II till direktivet och för vilka det är föreskrivet fängelse i tre år eller mer. Bedömningen är hänförlig till straffskalan för ett brott och inte till en straffvärdebedömning. Kravet innebär enligt svensk rätt att brott i flera fall måste bedömas som grova för att de ska omfattas av direktivets tillämpningsområde även om de i och för sig omfattas av bilagan. Inom det svenska tillämpningsområdet faller t.ex. mord och dråp, grov och synnerligen grov misshandel, människorov, människohandel, olaga frihetsberövande, våldtäkt och sabotage. PNR-uppgifter får behandlas både i underrättelseverksamhet och i förundersökning.
Lagens syfte
2 §
Paragrafen anger lagens övergripande syfte. Paragrafen behandlas i avsnitt 7.4.
Lagen har dubbla syften. Det ena syftet är att ge behöriga myndigheter tillgång till PNR-uppgifter för användning i viss brottsbekämpning. Det andra syftet är att värna de registrerades integritet vid insamlingen och vidarebehandlingen av PNR-uppgifterna.
Andra uttryck i lagen
3 §
I paragrafen definieras vissa uttryck som används i lagen. Paragrafen genomför artiklarna 3 och 7.2 i PNR-direktivet.
Behörighetsbegränsade PNR-uppgifter
Behörighetsbegränsade PNR-uppgifter definieras inte i PNR-direktivet. Uttrycket behandlas i avsnitt 9.9.
Med behörighetsbegränsade PNR-uppgifter avses sådana personuppgifter som har gjorts otillgängliga för en användare som saknar särskild behörighet för att få tillgång till uppgifterna.
Behörig mottagare
Behörig mottagare definieras inte i PNR-direktivet. Uttrycket behandlas i avsnitt 7.8.
Med behörig mottagare avses behöriga myndigheter i Sverige, behöriga myndigheter i andra medlemsstater, enheter för passagerarinformation i andra medlemsstater eller Europol. Mottagare i tredjeland omfattas inte av definitionen.
Behörig myndighet
Definitionen, som genomför artikel 7.2 i PNR-direktivet, behandlas i avsnitt 10.1.
En behörig myndighet är enligt definitionen en myndighet som har utsetts av regeringen och som har behörighet att behandla PNR-information i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Myndigheter som är behöriga har rätt att ta emot PNR-information från enheten för passagerarinformation, antingen efter enhetens förhandsbedömning eller efter en begäran enligt lagens bestämmelser.
Lufttrafikföretag
Definitionen motsvarar delvis definitionen i artikel 3.1 och 3.6 i PNR-direktivet. Uttrycket behandlas i avsnitt 8.1.
Med lufttrafikföretag avses sådana företag som har en giltig operativ licens utfärdad enligt bestämmelserna i Europaparlamentets och rådets förordning (EG) nr 1008/2008 av den 24 september 2008 om gemensamma regler för tillhandahållande av lufttrafik i gemenskapen och som ger rätt att mot betalning utföra lufttransporter av passagerare. Även sådana lufttrafikföretag som har en motsvarande licens utfärdad i en stat utanför EU innefattas. För att omfattas av överföringsskyldigheten enligt lagen fordras därutöver att lufttrafikföretagen i sin normala verksamhet samlar in och behandlar PNR-uppgifter systematiskt i någon form av elektroniskt system för hantering av reservationer. Det har ingen betydelse om systemet tillhör lufttrafikföretaget eller om PNR-uppgifterna samlas in och behandlas i ett system som tillhandahålls av en tredje part.
Medlemsstat
Definitionen har ingen motsvarighet i PNR-direktivet. Uttrycket behandlas i avsnitt 10.2.1.
Med medlemsstat avses en stat som är medlem i EU och har antagit PNR-direktivet, vilket för närvarande gäller samtliga medlemsstater förutom Danmark.
Passagerare
Definitionen motsvarar definitionen i artikel 3.4 i PNR-direktivet. Uttrycket behandlas i avsnitt 7.8.
Med passagerare avses alla personer som finns upptagna i passagerarförteckningen och därmed transporteras eller kommer att transporteras med ett flygplan med lufttrafikföretagets godkännande. Besättningsmedlemmar omfattas dock inte. Anställda som reser med flygplanet utan att tjänstgöra ombord transporteras med lufttrafikföretagets godkännande och ska stå med på passagerarlistan. De omfattas därmed av direktivets definition av passagerare.
PNR-information
Definitionen har ingen motsvarighet i PNR-direktivet. Uttrycket behandlas i avsnitt 7.8.
Med PNR-information avses såväl PNR-uppgifter som det resultat som framkommer när PNR-uppgifter behandlas vid en enhet för passagerarinformation och jämförs med uppgifter i relevanta register eller andra uppgiftssamlingar eller behandlas enligt på förhand fastställda kriterier.
Tredjeland
Definitionen har ingen motsvarighet i PNR-direktivet. Uttrycket behandlas i avsnitt 10.4.1.
Definitionen täcker alla stater som inte är medlemsstater i lagens mening och utgår alltså från hur uttrycket medlemsstat är definierat. En medlemsstat definieras i lagen som en stat som är medlem i EU och har antagit direktivet. Danmark är således i lagens mening för närvarande ett tredjeland.
Enhet för passagerarinformation
4 §
Paragrafen reglerar var enheten för passagerarinformation ska vara placerad och vilka enhetens övergripande arbetsuppgifter är. Paragrafen genomför artikel 4.1 och 4.2 i PNR-direktivet och behandlas i avsnitt 7.8.
I bestämmelsen slås fast att den nationella enheten för passagerarinformation ska vara en enhet vid Polismyndigheten. Vidare anges att enhetens övergripande uppgifter är att samla in, bevara och i övrigt behandla PNR-uppgifter samt att överföra PNR-information till behöriga mottagare och tredjeländer.
Tillåten behandling av PNR-information
5 §
Paragrafen reglerar för vilka syften PNR-information får behandlas och genomför artiklarna 1.2 och 7.4 samt delvis artiklarna 9.2 och 10.2 i PNR-direktivet. Paragrafen behandlas i avsnitt 7.9.
I paragrafen föreskrivs att PNR-information endast får behandlas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Det har ingen betydelse om PNR-uppgifterna har överförts till enheten för passagerarinformation från ett lufttrafikföretag eller från en annan medlemsstats motsvarande enhet. Det har inte heller någon betydelse om uppgifterna behandlas vid enheten för passagerarinformation eller vid en behörig myndighet. PNR-uppgifter som har samlats in i enlighet med PNR-direktivet får inte behandlas för andra syften än de som anges i bestämmelsen. Undantag gäller i verksamhet som rör nationell säkerhet enligt 6 § och för behandling av PNR-information för annan brottslighet hos behöriga myndigheter enligt 5 kap. 3 §.
Nationell säkerhet
6 §
I paragrafen regleras ett undantag för verksamhet som rör nationell säkerhet. Den behandlas i avsnitt 7.5.
I paragrafens första stycke regleras att lagens bestämmelser om behandling av personuppgifter inte ska gälla för behöriga myndigheter i verksamhet som rör nationell säkerhet. Bestämmelsen innebär att behöriga myndigheter i verksamhet som rör nationell säkerhet ska tillämpa bestämmelser i respektive registerförfattning i stället för bestämmelser om behandling av personuppgifter i den nya lagen.
För att ge enheten för passagerarinformation ett stöd för att kunna lämna ut PNR-information som behövs för verksamhet som rör nationell säkerhet framgår av andra stycket att enheten för passagerarinformation får behandla PNR-information när det är nödvändigt för att tillhandahålla uppgifter som behövs för sådan verksamhet. Det kan t.ex. handla om att förebygga högmålsbrott och brott mot Sveriges säkerhet i 18 eller 19 kap. brottsbalken som inte faller in under definitionen av terroristbrottslighet eller annan allvarlig brottslighet och därmed faller utanför den nya lagens tillämpningsområde.
Förbud mot behandling av känsliga personuppgifter
7 §
Paragrafen innehåller ett förbud mot behandling av känsliga personuppgifter. Paragrafen genomför artikel 13.4 i PNR-direktivet och behandlas i avsnitt 7.10.
Genom paragrafen förbjuds behandling av PNR-uppgifter som utgör känsliga personuppgifter. Med känsliga personuppgifter avses sådana uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning. För det fall enheten för passagerarinformation mottar sådana uppgifter ska dessa omedelbart förstöras, se 3 kap. 10 §. Inte heller en behörig myndighet får behandla PNR-uppgifter som utgör känsliga personuppgifter. För det fall en sådan myndighet av misstag skulle motta sådana uppgifter ska de omedelbart förstöras, se 5 kap. 2 §.
Förbudet mot behandling av PNR-uppgifter som utgör känsliga personuppgifter tar sikte på personuppgifter där det av uppgiften i sig själv direkt framgår att det är fråga om en känslig personuppgift. Det krävs alltså inte att en mottagare av uppgifterna gör några närmare analyser och bedömningar av uppgifterna och jämför med andra tillgängliga uppgifter för att avgöra huruvida en PNR-uppgift indirekt utgör en känslig personuppgift. Känsliga personuppgifter kan t.ex. komma att ingå bland de allmänna anmärkningarna (punkt 12 i bilagan till lagen), som utgör ett fritextfält för kommunikation mellan t.ex. resebokare och flygbolagspersonal. Här kan finnas uppgifter om t.ex. specialkost, behov av assistans, medicinska behov och andra hälsouppgifter. Dessa uppgifter kan avslöja en persons religion eller hälsotillstånd och får i sådana fall inte behandlas enligt direktivet. Även andra PNR-uppgifter kan avslöja känsliga personuppgifter.
2 kap. Lufttrafikföretagens skyldigheter
Överföring av PNR-uppgifter till enheten för passagerarinformation
1 §
Paragrafen reglerar skyldigheten för lufttrafikföretag att överföra PNR-uppgifter till enheten för passagerarinformation. Paragrafen genomför artikel 8.1 i PNR-direktivet och medlemsstaternas överenskommelse om att tillämpa direktivet även på flygningar inom EU. Paragrafen behandlas i avsnitt 8.1 och 8.2.
Första stycket innebär att lufttrafikföretagen ska överföra PNR-uppgifter inför varje flygning som ankommer till eller avgår från Sverige. Alla flygningar mellan Sverige och ett annat land omfattas, oavsett om det är fråga om ett annat EU-land eller ett land utanför EU, och även för det fall att det endast är fråga om en mellanlandning på svensk mark. Inrikesflygningar omfattas däremot inte. Av bestämmelsen framgår också att lufttrafikföretagen inte ska överföra fler uppgifter än de som företagen redan samlar in i sin normala verksamhet. Lagen ålägger alltså inte lufttrafikföretagen att hämta in ytterligare PNR-uppgifter om sina passagerare utan de är endast skyldiga att överföra sådana uppgifter som de redan har tillgång till. Vilka uppgifter som ska överföras framgår av bilagan till lagen.
I andra stycket regleras att om flera lufttrafikföretag samarbetar och har en gemensam linjebeteckning ska PNR-uppgifterna överföras av det lufttrafikföretag som utför själva flygningen.
2 §
Paragrafen reglerar vid vilken tidpunkt PNR-uppgifterna ska överföras. Paragrafen genomför delar av artikel 8.3 samt artikel 8.4 i PNR-direktivet. Den behandlas i avsnitt 8.3.
I första stycket framgår att PNR-uppgifterna ska överföras vid två tillfällen. Det första tillfället är 24-48 timmar före flygningens avgång och det andra tillfället är omedelbart efter det att gatens dörrar har stängts, dvs. när passagerarna har stigit ombord på planet inför avgång och passagerare inte längre tillåts stiga ombord eller gå av.
Av andra stycket framgår att den senare överföringen får begränsas till uppdateringar och kompletteringar av den information som överfördes vid det första tillfället. En sådan uppdatering kan avse såväl ändringar i tidigare lämnade PNR-uppgifter som tillkommande PNR-uppgifter, t.ex. avseende passagerare som har bokats in samma dag som flygets avgång. För det fall inga förändringar har skett sedan det första tillfället räcker det att lufttrafikföretaget meddelar enheten för passagerarinformation detta.
3 §
Paragrafen reglerar överföring av PNR-uppgifter vid andra tidpunkter än de som anges i 2 §. Paragrafen, som genomför artikel 8.5 i PNR-direktivet, behandlas i avsnitt 8.4.
Av paragrafen framgår att lufttrafikföretag, utöver vad som anges i 2 §, är skyldiga att överföra PNR-uppgifter även vid andra tidpunkter om enheten bedömer att det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet. En sådan begäran kan bli aktuell då omständigheterna medför att tillgång till PNR-uppgifter avseende en viss person eller en viss flygresa är nödvändig för att reagera på en särskild risk för sådan brottslighet som avses i lagen. Det är enheten för passagerarinformation som, vanligtvis efter framställan från en behörig myndighet, ska bedöma huruvida det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter vid andra tidpunkter än de som anges i 2 §. Det är således inte upp till lufttrafikföretagen att avgöra om en överföring av PNR-uppgifter ska ske i dessa fall utan överföringen ska ske när en sådan begäran kommer in från enheten för passagerarinformation.
4 §
Paragrafen reglerar på vilket sätt PNR-uppgifterna ska överföras till enheten för passagerarinformation. Paragrafen genomför delar av artikel 8.1 och 8.3 i direktivet. Den behandlas i avsnitt 8.5.
Första meningen i bestämmelsen anger att PNR-uppgifterna ska överföras elektroniskt från lufttrafikföretagen till enheten för passagerarinformation. Av andra meningen framgår att enheten för passagerarinformation inte får medges direktåtkomst till lufttrafikföretagens PNR-uppgifter. Det är alltså inte tillåtet för enheten att via direktåtkomst ta del av PNR-uppgifter i lufttrafikföretagens elektroniska system.
5 §
Paragrafen reglerar användandet av ett personuppgiftsbiträde vid överföringen. Den behandlas i avsnitt 8.6.
Enligt paragrafen har ett lufttrafikföretag möjlighet att låta t.ex. en systemleverantör av ett datoriserat bokningssystem överföra PNR-uppgifterna till enheten för passagerarinformation. Det är dock lufttrafikföretaget som har personuppgiftsansvaret för överföringen av uppgifterna. Det är även lufttrafikföretaget som riskerar sanktionsavgift om uppgiftsskyldigheten inte fullgörs.
Information till passagerare
6 §
Paragrafen reglerar lufttrafikföretagens skyldighet att informera passagerare. Paragrafen motsvarar delar av PNR-direktivets skäl 29 och 37 och behandlas i avsnitt 8.7.
Paragrafen innebär att lufttrafikföretag ska informera passagerare som berörs om att PNR-uppgifter överförs till enheten för passagerarinformation och om skälen till överföringen. Informationen kan lämpligen lämnas tillsammans med övrig information som lufttrafikföretagen ska tillhandahålla enligt dataskyddsförordningen. Informationsskyldigheten gäller oavsett om lufttrafikföretaget själv har samlat in uppgifterna eller om det fått dem från en researrangör eller resebyrå. Vid samarbete mellan lufttrafikföretag ansvarar respektive lufttrafikföretag för att informera sina passagerare.
Rätt att meddela föreskrifter
7 §
I paragrafen, som behandlas i avsnitt 8.5, upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om lufttrafikföretagens överföring av PNR-uppgifter till enheten för passagerarinformation. Förskrifter kan meddelas om t.ex. formen för överföringarna.
3 kap. Behandling av PNR-information vid enheten
för passagerarinformation
PNR-databas
1 §
Paragrafen genomför delvis artikel 12.1 i PNR-direktivet och behandlas i avsnitt 9.1.
Paragrafen föreskriver att det ska finnas en databas för PNR-uppgifter vid enheten för passagerarinformation. I databasen ska PNR-uppgifter som har överförts från lufttrafikföretagen bevaras.
2 §
Paragrafen genomför artikel 6.8 i PNR-direktivet och behandlas i avsnitt 9.2.
Paragrafen, som har utformats i enlighet med Lagrådets förslag, innebär att enheten för passagerarinformations behandling av PNR-information ska ske i Sverige.
Personuppgiftsansvar
3 §
Paragrafen, som reglerar personuppgiftsansvar vid enheten för passagerarinformation, behandlas i avsnitt 9.3.
Bestämmelsen är av upplysande karaktär och anger att det är Polismyndigheten som är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinformation. Det är således Polismyndigheten som ska ansvara för att sådana skyldigheter som följer av bl.a. denna lag följs i den verksamhet som bedrivs vid enheten för passagerarinformation.
Tillåtna ändamål för behandling av PNR-uppgifter
4 §
Paragrafen innehåller de grundläggande ändamålen för vilka PNR-uppgifter som har överförts från lufttrafikföretag får behandlas vid enheten för passagerarinformation. Bestämmelsen genomför artikel 6.2 i PNR-direktivet och behandlas i avsnitt 9.5.
Paragrafen ersätter de ändamålsbestämmelser som anges i 2 kap. 7 och 8 §§ polisdatalagen (2010:361). Den utesluter även en tillämpning av bestämmelsen i 2 kap. 4 § brottsdatalagen om behandling av personuppgifter för nya ändamål. Bestämmelsen innebär att PNR-uppgifter som har överförts från ett lufttrafikföretag endast får behandlas för något av de angivna ändamålen. PNR-uppgifterna får dock även behandlas när det är nödvändigt för att tillhandahålla uppgifter som behövs för verksamhet som rör nationell säkerhet enligt 1 kap. 6 §.
Enligt första punkten får PNR-uppgifter behandlas för att göra en förhandsbedömning av passagerare innan de har anlänt till eller avrest från Sverige. En sådan bedömning av PNR-uppgifterna innebär en möjlighet att välja ut personer som enligt en analys av uppgifterna kan vara inblandade i terroristbrottslighet eller annan allvarlig brottslighet och därför bör bli föremål för ytterligare utredning av de behöriga myndigheterna eller Europol. Syftet med behandlingen är att PNR-informationen ska analyseras vidare av nationella behöriga myndigheter eller av Europol, för ställningstagande till om den ger anledning till ytterligare åtgärder, t.ex. att en eller flera passagerare kontrolleras.
Av andra punkten följer att enheten för passagerarinformation får behandla PNR-uppgifter för att fullgöra sina uppgifter att överföra PNR-information till behöriga mottagare eller tredjeland. Av 4 kap. framgår att enheten för passagerarinformation får överföra PNR-information på eget initiativ efter en förhandsbedömning eller för att besvara en begäran från en behörig mottagare eller ett tredjeland.
Enligt tredje punkten får PNR-uppgifter behandlas för att skapa nya eller uppdatera riskprofiler som ska användas vid förhandsbedömningar enligt första punkten. Det är därmed möjligt för personalen vid enheten för passagerarinformation att gå igenom de PNR-uppgifter som finns samlade i databasen för att förbättra urvalet, t.ex. genom att leta efter mönster som kan indikera att personer kan vara av intresse för vidare kontroller.
5 §
Paragrafen reglerar hur PNR-uppgifter får behandlas vid en förhandsbedömning. Bestämmelsen genomför artikel 6.3 i PNR-direktivet och behandlas i avsnitt 9.5.4.
Vid en förhandsbedömning får PNR-uppgifter enligt första punkten jämföras med register eller andra uppgiftssamlingar. För att en jämförelse ska få göras måste registren eller uppgiftssamlingarna vara relevanta för direktivets syften, dvs. att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Sökningarna i registren eller uppgiftssamlingarna behöver dock inte begränsas till att endast omfatta terroristbrottslighet eller annan allvarlig brottslighet eftersom en träff avseende mindre allvarlig brottslighet kan leda till andra antaganden och annan information, som i sin tur leder till misstanke om inblandning i terroristbrottslighet eller annan allvarlig brottslighet. Det kan bli aktuellt att jämföra PNR-uppgifter med både internationella och nationella uppgiftssamlingar t.ex. SIS-registret, där bl.a. efterlysta för brott registreras, Interpols databas över kända internationella brottslingar och misstankeregistret.
Enligt andra punkten får PNR-uppgifter behandlas i enlighet med på förhand utformade och fastställda kriterier, s.k. profilering. Uppgifterna får således jämföras med sådana i förväg bestämda profiler som kan ge anledning att kontrollera en viss person. En profil är en icke personanknuten företeelse och kan omfatta uppgifter om exempelvis avreseort, resrutt, betalningssätt, bokningsrutin, bagage m.m. Kriterierna kan användas för att leta efter mönster som kan indikera att en person är av intresse för vidare kontroller. Enligt bestämmelsen ska sådana kriterier vara riktade, proportionella och avgränsade och får inte grundas på känsliga personuppgifter.
6 §
Paragrafen reglerar enheten för passagerarinformations behandling av PNR-information som har mottagits från motsvarande enheter i andra medlemsstater. Paragrafen genomför delvis artikel 9.1 i PNR-direktivet och behandlas i avsnitt 9.5.5.
Enheten för passagerarinformation kommer inte bara att behandla PNR-uppgifter som har kommit in till enheten från lufttrafikföretag, utan kommer också att motta och behandla PNR-information som överförts från andra medlemsstaters motsvarande enheter. Av bestämmelsen framgår att enheten endast får behandla PNR-information som har mottagits från enheter i andra medlemsstater i syfte att vidarebefordra den till en eller flera behöriga myndigheter för fortsatt användning för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Enheten för passagerarinformation kan således inte använda PNR-informationen för att t.ex. verifiera sin egen databas, uppdatera eller skapa nya kriterier. För det fall det kan konstateras att den mottagna informationen inte avser terroristbrottslighet eller annan allvarlig brottslighet följer av 1 kap. 5 § att informationen inte får sändas vidare till behöriga myndigheter.
Tillgång till PNR-information
7 §
Paragrafen reglerar tillgången till PNR-information vid enheten för passagerarinformation. Paragrafen behandlas i avsnitt 9.6.
Paragrafen begränsar antalet personer som är behöriga att ta del av PNR-information som behandlas vid enheten för passagerarinformation. Endast de som arbetar vid enheten och de som fullgör uppgifter enligt lagen får ha tillgång till informationen. Tillgången ska dessutom begränsas till vad varje person behöver för att kunna fullgöra sina arbetsuppgifter. Förutom de som tjänstgör vid enheten kan t.ex. den som ska pröva utlämnade av behörighetsbegränsade PNR-uppgifter i sin fullständiga form behöva tillgång till PNR-information.
Vissa tjänstemän kan ha sin grundanställning vid en annan behörig myndighet än Polismyndigheten, men ha avdelats för att tjänstgöra vid enheten för passagerarinformation. När de utför arbete vid enheten anses de delta i Polismyndighetens verksamhet i den mening som avses i bl.a. 2 kap. 1 § offentlighets- och sekretesslagen (2009:400).
Förbud mot direktåtkomst
8 §
Paragrafen behandlas i avsnitt 9.7 och innebär att direktåtkomst inte får medges till PNR-uppgifterna i databasen vid enheten för passagerarinformation eller i övrigt till den PNR-information som behandlas vid enheten. Behöriga myndigheter har således endast rätt att få tillgång till uppgifterna sedan de har överförts till dem från enheten för passagerarinformation.
Tid som PNR-uppgifter ska bevaras
9 §
Paragrafen reglerar hur länge PNR-uppgifter ska bevaras vid enheten för passagerarinformation. Paragrafen genomför delvis artikel 12.1 och 12.4 i direktivet och behandlas i avsnitt 9.8.1.
I paragrafen föreskrivs att PNR-uppgifter som behandlas vid enheten för passagerarinformation ska bevaras i fem år från det att de kommit in från ett lufttrafikföretag. Det har ingen betydelse om PNR-uppgifterna överförs till enheten direkt från ett lufttrafikföretag eller från ett personuppgiftsbiträde, exempelvis en systemleverantör. Efter fem år ska PNR-uppgifterna förstöras.
För det fall PNR-uppgifter har överförts till behöriga myndigheter gäller samma regler för längsta behandling av PNR-uppgifterna som i övrigt är tillämpliga vid myndigheten. Dock ska sådana PNR-uppgifter som har överförts från enheten för passagerarinformation efter enhetens förhandsbedömning genast förstöras enligt 5 kap. 1 § om uppgifterna visar sig sakna betydelse för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
10 §
Paragrafen behandlar förstöring av PNR-uppgifter som inte anges i bilagan till lagen och uppgifter som utgör känsliga personuppgifter. Den genomför artikel 6.1 och delvis artikel 13.4 i PNR-direktivet och behandlas i avsnitt 9.8.2.
Lufttrafikföretag ska enligt 2 kap. 1 § överföra de PNR-uppgifter som anges i bilagan till lagen till enheten för passagerarinformation. I 1 kap. 7 § finns ett förbud mot att behandla PNR-uppgifter som utgör känsliga personuppgifter. Sådana PNR-uppgifter ska därför inte överföras till enheten för passagerarinformation. Om ett lufttrafikföretag överför sådana känsliga personuppgifter eller uppgifter som inte anges i bilagan till lagen ska enheten för passagerarinformation omedelbart förstöra uppgifterna. Bestämmelsen kräver inte manuell genomgång av varje inkommen uppgift. Däremot krävs att tekniska lösningar utformas så att direktivets krav på förstöring kan tillgodoses.
En motsvarande bestämmelse när det gäller känsliga personuppgifter finns för de behöriga myndigheterna i 5 kap. 2 §.
Behörighetsbegränsning av PNR-uppgifter
11 §
Paragrafen reglerar behörighetsbegränsning av PNR-uppgifter och genomför artikel 12.2 i PNR-direktivet. Paragrafen behandlas i avsnitt 9.9.
Av bestämmelsen framgår vilka kategorier av PNR-uppgifter som ska behörighetsbegränsas i databasen vid enheten för passagerarinformation sex månader efter att de har kommit in från ett lufttrafikföretag. Begreppet behörighetsbegränsade personuppgifter definieras i 1 kap. 3 § och innebär att uppgifterna fortfarande finns kvar i databasen men är otillgängliga för en användare som saknar särskild behörighet till dem. PNR-uppgifterna ska bara behörighetsbegränsas om de kan användas för att identifiera en person.
Dataskyddsombud
12 §
Paragrafen genomför delar av artiklarna 5.1 och 6.7 i PNR-direktivet. Den behandlas i avsnitt 9.10.
Av första stycket följer att Polismyndigheten ska utse ett eget dataskyddsombud för enheten för passagerarinformation. Av andra stycket följer att dataskyddsombudet i sitt arbete ska ha tillgång till samtliga uppgifter som behandlas vid enheten för passagerarinformation. Genom en sådan tillgång kan lagligheten i behandlingen fortlöpande kontrolleras.
13 §
Paragrafen reglerar dataskyddsombudets uppgifter. Paragrafen genomför delar av artikel 5.1 i PNR-direktivet och behandlas i avsnitt 9.10.
Dataskyddsombudets generella uppgifter regleras i brottsdatalagen. Av första stycket framgår att dataskyddsombudet ska ansvara för att fullgöra de uppgifter som anges i 3 kap. 14 § brottsdatalagen.
Av andra stycket följer att en enskild ska ha rätt att vända sig till dataskyddsombudet i alla frågor som gäller hans eller hennes behandling av PNR-uppgifter enligt lagen. Den enskilde ska alltså kunna få hjälp eller information av dataskyddsombudet vid enheten för passagerarinformation även om behandlingen helt eller delvis har utförts av ett lufttrafikföretag, en behörig myndighet eller av utländska mottagare. Det räcker att det har varit fråga om en tillämpning av lagens bestämmelser. Om den enskilde har invändningar mot t.ex. lufttrafikföretags insamling av PNR-uppgifter får denne däremot vända sig till det aktuella lufttrafikföretaget.
14 §
Paragrafen reglerar dataskyddsombudets skyldighet att anmäla brister till tillsynsmyndigheten. Paragrafen genomför delar av artikel 6.7 i PNR-direktivet och behandlas i avsnitt 9.10.
Om den personuppgiftsansvarige inte följer regelverket för behandling av personuppgifter inom enheten för passagerarinformation ska dataskyddsombudet anmäla detta till tillsynsmyndigheten. Någon rätt för den personuppgiftsansvarige att först vidta rättelse föreligger inte. Däremot får det givetvis förutsättas att rättelse ändå sker snarast möjligt.
Rätt att meddela föreskrifter
15 §
Paragrafen behandlas i avsnitt 9.5.4, 9.6, 9.8.1, 9.9, 10.4.3, 10.4.4 och 10.5.2.
I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om enheten för passagerarinformations behandling av PNR-information och dataskyddsombudets uppgifter. Föreskrifterna kan avse t.ex. utformande av kriterier vid förhandsbedömningar, tillgång till PNR-information, bevarande och förstöring, dokumentation och loggning, dataskyddsombudets uppgifter, information till dataskyddsombudet och enheten för passagerarinformations inhämtande av PNR-information från andra medlemsstater.
4 kap. Överföring av PNR-information från enheten
för passagerarinformation
Överföring till behöriga myndigheter
1 §
Paragrafen reglerar i vilka situationer PNR-information ska överföras från enheten för passagerarinformation till en behörig nationell myndighet. Paragrafen genomför delvis artikel 6.2 a och b, 6.5 och 6.6. i PNR-direktivet. Den behandlas i avsnitt 10.1. Andra stycket har i allt väsentligt utformats i enlighet med Lagrådets förslag.
Enligt första stycket första punkten ska enheten för passagerarinformation så snart som möjligt överföra PNR-information till behöriga myndigheter i Sverige för vidare granskning där av PNR-informationen beträffande passagerare som har valts ut vid en förhandsbedömning. Enligt andra punkten ska PNR-information även överföras för att besvara en begäran från en behörig myndighet om att ta del av PNR-information. Av 6 § framgår att en överföring endast får ske om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Om de begärda uppgifterna är äldre än sex månader och därför har behörighetsbegränsats ska även villkoren i 4 kap. 11 § vara uppfyllda för att en överföring av fullständiga PNR-uppgifter ska kunna göras. Enligt tredje punkten ska enheten för passagerarinformation även vidarebefordra sådan PNR-information som har mottagits från en motsvarande enhet i en annan medlemsstat.
Innan PNR-informationen enligt första stycket första punkten överförs ska informationen enligt andra stycket föregås av en bedömning av en person som tjänstgör vid enheten för passagerarinformation för att avgöra om informationen är relevant för vidare granskning av den behöriga myndigheten. Bedömningen ska ske för att rensa bort eventuell information om personer som snabbt kan avfärdas såsom ointressanta för vidare granskning så att endast uppgifter som myndigheten behöver för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet överförs. Uppgifterna ska bara överföras till en behörig myndighet som kan antas ha anledning att göra en vidare kontroll.
Överföring till andra medlemsstater
2 §
Paragrafen reglerar överföring av PNR-information till enheter för passagerarinformation i andra medlemsstater. Den genomför delvis artikel 9.1 och 9.2 i PNR-direktivet och behandlas i avsnitt 10.2.2.
Resultatet av en förhandsbedömning av passagerare kan vara av intresse inte bara för behöriga nationella myndigheter utan även för en eller flera andra medlemsstater. En överföring enligt bestämmelsen kan bli aktuell t.ex. när enheten för passagerarinformation har valt ut en viss person för vidare granskning inför dennes resa till en annan medlemsstat.
Enligt första stycket första punkten ska enheten för passagerarinformation så snart som möjligt överföra PNR-information till en enhet för passagerarinformation i en annan medlemsstat för vidare granskning där av PNR-informationen beträffande passagerare som har valts ut vid en förhandsbedömning. Enligt andra punkten ska PNR-information även överföras för att besvara en begäran från en enhet i en annan medlemsstat om att ta del av PNR-information. För det fall enheten har tillgång till ett resultat av en förhandsbedömning av uppgifterna, och detta resultat ännu inte har förstörts, ska även resultatet överföras. Enheten för passagerarinformation är dock inte skyldig att på begäran av en annan enhet göra en förhandsbedömning av uppgifterna och exempelvis jämföra dem med register eller andra uppgiftssamlingar. Av 6 § framgår att en överföring efter en begäran endast får ske om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Om de begärda PNR-uppgifterna är äldre än sex månader och därför har behörighetsbegränsats ska även villkoren i 4 kap. 11 § vara uppfyllda för att en överföring av fullständiga PNR-uppgifter ska kunna ske.
Innan PNR-informationen överförs enligt första stycket första punkten ska en person som tjänstgör vid enheten för passagerarinformation enligt andra stycket bedöma om informationen är relevant för vidare granskning av medlemsstaten. Bedömningen ska ske för att rensa bort eventuell information om personer som snabbt kan avfärdas såsom ointressanta för vidare granskning så att endast uppgifter som medlemsstaten behöver för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet överförs.
3 §
Paragrafen reglerar överföringar från enheten för passagerarinformation direkt till en behörig myndighet i en annan medlemsstat. Den genomför delar av artikel 9.3 i PNR-direktivet och behandlas i avsnitt 10.2.3.
PNR-uppgifter ska som huvudregel utbytas mellan medlemsstaterna bara via deras enheter för passagerarinformation. PNR-direktivet innehåller dock en möjlighet för en medlemsstats behöriga myndigheter att i undantagsfall vända sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begäran om överföring av PNR-information. Av bestämmelsen framgår att enheten för passagerarinformation endast är skyldig att besvara en begäran från en behörig myndighet i en annan medlemsstat och överföra PNR-information dit när det i ett enskilt brådskande fall är absolut nödvändigt.
Överföring av PNR-information direkt till en behörig myndighet i en annan medlemsstat ska i övrigt ske under samma förutsättningar som överföring till en annan enhet för passagerarinformation. Det innebär att en överföring i enlighet med 6 § endast får ske om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Om den begärda PNR-informationen är äldre än sex månader och därför har behörighetsbegränsats ska även villkoren i 4 kap. 11 § vara uppfyllda för att en överföring av fullständiga PNR-uppgifter ska kunna ske.
4 §
Paragrafen reglerar inhämtande av PNR-uppgifter från lufttrafikföretag på begäran av en enhet för passagerarinformation i en annan medlemsstat vid andra tidpunkter än vad som gäller som huvudregel. Bestämmelsen genomför artikel 9.4 i PNR-direktivet och behandlas i avsnitt 10.2.4.
Av 2 kap. 3 § framgår att enheten för passagerarinformation kan begära att lufttrafikföretag ska överföra PNR-uppgifter även vid andra tidpunkter än de som anges i 2 § samma kapitel om det i ett enskilt fall bedöms nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet. Av aktuell paragraf framgår att enheten för passagerarinformation under samma omständigheter, på begäran av en enhet i en annan medlemsstat, ska inhämta PNR-uppgifter från lufttrafikföretag vid andra tidpunkter än vad som gäller som huvudregel och översända uppgifterna till den efterfrågande enheten.
Överföring till Europol
5 §
Paragrafen reglerar förutsättningarna för överföring till Europol. Den genomför delar av artikel 10 i PNR-direktivet och behandlas i avsnitt 10.3.
Enligt första stycket första punkten ska enheten för passagerarinformation så snart som möjligt överföra PNR-information till Europol för vidare granskning där av PNR-informationen beträffande passagerare som har valts ut vid en förhandsbedömning. Enligt andra punkten ska PNR-information även överföras för att besvara en begäran från Europol om att ta del av PNR-information. Av 6 § framgår att en överföring endast får ske om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Om de begärda PNR-uppgifterna är äldre än sex månader och därför har behörighetsbegränsats ska även villkoren i 4 kap. 11 § vara uppfyllda för att en överföring av fullständiga PNR-uppgifter ska kunna ske.
Innan PNR-informationen överförs enligt första stycket första punkten ska en person som tjänstgör vid enheten för passagerarinformation enligt andra stycket bedöma om informationen är relevant för vidare granskning av Europol. Bedömningen ska ske för att rensa bort eventuell information om personer som snabbt kan avfärdas såsom ointressanta för vidare granskning så att endast uppgifter som Europol behöver för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet överförs.
Villkor för överföring
6 §
Paragrafen reglerar villkoren för överföring till behöriga mottagare efter en begäran om att ta del av PNR-information. Den behandlas i avsnitt 10.1, 10.2.2, 10.2.3 och 10.3.
Av paragrafen framgår att överföring till behöriga mottagare enligt 1 § första stycket 2, 2 § första stycket 2, 3 § och 5 § första stycket 2 endast får ske om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Detta är också en förutsättning för att enheten för passagerarinformation ska ha rätt att behandla och därmed överföra uppgifterna i enlighet med 1 kap. 5 §. Om så inte är fallet ska PNR-informationen alltså inte överföras.
Överföring till tredjeland
7 §
Paragrafen reglerar överföring av PNR-information från enheten för passagerarinformation till ett tredjeland. Paragrafen genomför artikel 11.1 i PNR-direktivet och behandlas i avsnitt 10.4.2.
Av paragrafen framgår att enheten för passagerarinformation får besvara en begäran och under vissa förutsättningar överföra PNR-information till ett tredjeland. Tredjeland definieras i 1 kap. 3 §. PNR-information får endast överföras till en sådan myndighet i ett tredjeland som där är behörig att bedriva verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Det är således inte tillåtet att överföra PNR-information till andra myndigheter eller internationella organisationer. Samtliga villkor i bestämmelsen ska vara uppfyllda för att enheten ska få överföra PNR-information till ett tredjeland.
Enligt första punkten ska de grundläggande förutsättningarna för överföring av personuppgifter enligt 8 kap. 1 § första stycket 3 brottsdatalagen vara uppfyllda. Det innebär att överföringen ska omfattas av ett beslut om adekvat skyddsnivå, av tillräckliga skyddsåtgärder eller ett undantag för särskilda situationer.
Av andra punkten framgår att en överföring ska vara nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Om en myndighet i ett tredjeland begär att få tillgång till PNR-information ska enheten för passagerarinformation således pröva om informationen är nödvändig för sådan brottslighet som omfattas av lagen.
Enligt tredje punkten ska tredjelandet också godta att uppgifterna får vidareöverföras till ett annat tredjeland endast om det är absolut nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och efter det att ett uttryckligt medgivande till vidareöverföringen har inhämtats från enheten för passagerarinformation.
Om den begärda PNR-informationen är äldre än sex månader och därför har behörighetsbegränsats ska även villkoren i 4 kap. 11 § vara uppfyllda för att en överföring av fullständiga PNR-uppgifter ska kunna ske.
8 §
Paragrafen reglerar villkor om användningsbegränsningar vid överföring av PNR-information till tredjeland. Paragrafen genomför artikel 11.3 i PNR-direktivet och behandlas i avsnitt 10.4.3.
Av paragrafen framgår att enheten för passagerarinformation vid överföring av PNR-information till ett tredjeland ska ställa upp villkor som begränsar möjligheten att använda informationen i strid med lagens syften. Sådana villkor kan exempelvis avse för vilket eller vilka specifika syften den överförda informationen får behandlas av den som tar emot den, att spridningen inom den mottagande myndigheten eller mottagarlandet ska begränsas eller om, och i så fall under vilka förutsättningar, den får överföras vidare.
9 §
Paragrafen reglerar frågan om medgivande till överföring av PNR-information som mottagits från en annan medlemsstat till ett tredjeland. Den genomför delvis artikel 11.2 i PNR-direktivet och behandlas i avsnitt 10.4.4.
Om PNR-information har erhållits från en annan medlemsstat får informationen enligt första stycket överföras till ett tredjeland endast om medlemsstaten har medgett att informationen överförs dit. Om ett medgivande till överföringen på grund av tidsbrist inte kan inhämtas i förväg av medlemsstaten får informationen ändå enligt andra stycket överföras om det är absolut nödvändigt för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet. Undantaget ska tillämpas restriktivt. Bestämmelsen kan t.ex. bli tillämplig om en överföring är nödvändig för att avvärja ett terroristattentat i ett tredjeland. Att det i efterhand visar sig att överföringen inte var nödvändig, t.ex. för att faran aldrig realiserades, innebär inte att överföringen var otillåten.
Rätt att meddela föreskrifter
10 §
I paragrafen, som behandlas i avsnitt 10.4.3 och 10.4.4, upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om uppställande av villkor vid överföring till tredjeland och om information till en annan medlemsstat när PNR-information har överförts utan förhandsmedgivande.
Överföring av behörighetsbegränsade PNR-uppgifter i sin fullständiga form
11 §
Paragrafen reglerar förutsättningarna för överföring av behörighetsbegränsade PNR-uppgifter i sin fullständiga form. Den genomför artikel 12.3 i PNR-direktivet och behandlas i avsnitt 10.5.1 och 10.5.2.
Med behörighetsbegränsade PNR-uppgifter avses enligt 1 kap. 3 § personuppgifter som har gjorts otillgängliga för en användare som saknar särskild behörighet för att få tillgång till uppgifterna.
Av första stycket framgår att PNR-uppgifter som är behörighetsbegränsade endast får överföras i sin fullständiga form om det rimligen kan antas vara nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Av andra stycket framgår att en begäran från en behörig myndighet om att få tillgång till fullständiga PNR-uppgifter ska beslutas av en åklagare, om en förundersökning har inletts. Så är fallet även om en åklagare inte är förundersökningsledare. Åklagaren ska inför sitt beslut avgöra om tillgången till fullständiga PNR-uppgifter rimligen kan antas vara nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Beslutet ska dokumenteras i förundersökningsmaterialet.
I de fall en begäran om att få tillgång till behörighetsbegränsade PNR-uppgifter i sin fullständiga form framställs i underrättelsearbete eller om en begäran kommer från en enhet för passagerarinformation i en annan medlemsstat, en myndighet som har utsetts som behörig i en annan medlemsstat, Europol eller ett tredjeland, framgår av tredje stycket att enheten för passagerarinformation ska inhämta tillstånd till överföring av fullständiga PNR-uppgifter från Polismyndigheten. Den som fattar beslutet ska avgöra om tillgången till fullständiga PNR-uppgifter rimligen kan antas vara nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Paragrafen kompletterar övriga bestämmelser i 4 kapitlet om överföring av PNR-information till behöriga mottagare och tredjeland. Förutsättningarna för överföring enligt bestämmelserna i 4 kap. 1-9 §§ måste således även vara uppfyllda för att överföring ska få ske.
5 kap. Behöriga myndigheters behandling av PNR-information
Förstöring av PNR-information
1 §
Paragrafen reglerar frågan om förstöring av resultatet av förhandsbedömningar hos de behöriga myndigheterna. Bestämmelsen genomför artikel 7.4 i PNR-direktivet och behandlas i avsnitt 11.1.
En behörig myndighet som har mottagit PNR-information från enheten för passagerarinformation efter enhetens förhandsbedömning ska omedelbart förstöra informationen om den visar sig sakna betydelse för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. Resultatet av förhandsbedömningar av passagerare som visar sig sakna betydelse för den brottslighet som omfattas av lagen ska således inte bevaras hos de behöriga myndigheterna. Det kan variera hur lång tid det tar innan det går att konstatera om en uppgift saknar betydelse för den angivna brottsligheten. Så snart detta har konstaterats ska dock PNR-informationen förstöras.
2 §
Paragrafen reglerar frågan om förstöring av känsliga personuppgifter hos de behöriga myndigheterna. Bestämmelsen genomför artikel 13.4 i PNR-direktivet och behandlas i avsnitt 11.2.
Eftersom enheten för passagerarinformation inte får behandla PNR-uppgifter som utgör känsliga personuppgifter ska sådana uppgifter inte heller överföras från enheten till de behöriga myndigheterna. Om PNR-uppgifter som utgör känsliga personuppgifter ändå överförs till en behörig myndighet, ska den behöriga myndigheten omedelbart förstöra uppgifterna. En bestämmelse som reglerar förstöring av känsliga personuppgifter vid enheten för passagerarinformation finns i 3 kap. 10 §.
Behandling av PNR-information för annan brottslighet
3 §
Paragrafen innehåller ett undantag från bestämmelsen om tillåten behandling av PNR-uppgifter i 1 kap. 5 §. Den genomför artikel 7.5 i PNR-direktivet och behandlas i avsnitt 11.3.
Bestämmelsen innebär en möjlighet för de behöriga myndigheterna att förhindra, utreda och lagföra mindre allvarliga brott som upptäcks i samband med en brottsbekämpande åtgärd som görs till följd av behandling av PNR-information som myndigheten har fått från en enhet för passagerarinformation. Om PNR-informationen leder till att den behöriga myndigheten genomför en brottsbekämpande åtgärd som rör terroristbrottslighet eller annan allvarlig brottslighet och det då framkommer misstankar om sådan brottslighet som faller utanför direktivet, har myndigheten alltså rätt att använda PNR-informationen för att agera även på dessa misstankar för att förhindra, utreda eller lagföra brott.
Med en brottsbekämpande åtgärd avses t.ex. ett förhör, en husrannsakan, en brottsplatsundersökning, ett beslag eller en spaningsoperation. Huruvida en förundersökning har inletts är inte avgörande.
Automatiserade beslut
4 §
Paragrafen reglerar automatiserade beslut hos de behöriga myndigheterna. Den genomför artikel 7.6 i PNR-direktivet och behandlas i avsnitt 11.4.
Av paragrafen framgår att ett beslut som har rättsliga konsekvenser för en person eller på annat sätt i betydande grad påverkar denne inte enbart får grundas på en automatiserad behandling av PNR-uppgifter. Ett beslut baserat på PNR-uppgifter måste således alltid föregås av en bedömning gjord av en tjänsteman vid myndigheten.
Rätt att meddela föreskrifter
5 §
I bestämmelsen, som behandlas i avsnitt 11.5, upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om behöriga myndigheters inhämtande av PNR-information.
6 kap. Sanktionsavgifter
Överträdelser av lufttrafikföretag
1 §
Paragrafen reglerar när sanktionsavgift ska tas ut av ett lufttrafikföretag. Den genomför delar av artikel 14 i PNR-direktivet och behandlas i avsnitt 14.1.2.
I paragrafen anges att sanktionsavgift ska tas ut av ett lufttrafikföretag som inte har överfört PNR-uppgifter enligt bestämmelserna i denna lag eller föreskrifter som har meddelats i anslutning till lagen. Bestämmelsen är obligatorisk, dvs. sanktionsavgift ska tas ut om förutsättningarna för det är uppfyllda. Polismyndigheten har dock möjlighet att i enskilda fall sätta ned sanktionsavgiften helt eller delvis, se 2 § andra stycket. Sanktionsavgift ska utgå t.ex. om överföringar inte sker vid de tidpunkter som anges i lagen eller om de överförs i ett annat format än de som godkänts av kommissionen. Lufttrafikföretaget ansvarar dock inte för att informationen som överförs är korrekt.
PNR-uppgifter ska överföras av det lufttrafikföretag som utför själva flygningen. Sanktioner kommer således inte att drabba de lufttrafikföretag som endast delar linjebeteckning med det företag som utför flygningen.
Ansvaret för överträdelser är strikt. Det krävs alltså varken uppsåt eller oaktsamhet för att en sanktionsavgift ska kunna tas ut. Det är tillräckligt att en överträdelse har ägt rum.
2 §
Paragrafen reglerar sanktionsavgiftens storlek och behandlas i avsnitt 14.1.3.
I första stycket fastställs ett lägsta och ett högsta belopp för sanktionsavgift och de omständigheter som särskilt ska beaktas när tillsynsmyndigheten bestämmer storleken på avgiften. När sanktionsavgiften fastställs ska särskild hänsyn tas till antalet passagerare på flygningen och om lufttrafikföretaget tidigare har begått en överträdelse. Uppräkningen är inte uttömmande. Direktivets föreskrift om att sanktionerna ska vara effektiva, proportionella och avskräckande ska alltid beaktas.
I andra stycket föreskrivs att sanktionsavgiften kan sättas ned helt eller delvis. Lufttrafikföretagen kommer normalt sett att ha möjlighet att överföra uppgifter i enlighet med lagens bestämmelser. Det kan emellertid finnas situationer där en överträdelse kan anses vara ursäktlig eller det annars med hänsyn till omständigheterna får anses vara oskäligt att ta ut hela avgiften. Det kan t.ex. vara så att det har skett ett tekniskt fel vid överföringen av uppgifterna eller att ett flyg som inte var tänkt att anlända till Sverige oväntat har omdirigerats hit. Det är då möjligt att sätta ned avgiften helt eller delvis.
Vid bedömningen bör avgiftens storlek enligt första stycket bedömas mer schablonmässigt, utifrån överträdelsen i sig, medan rimliga förklaringar till överträdelsen bör få genomslag vid bedömningen av om avgiften ska sättas ned.
3 §
I paragrafen, som behandlas i avsnitt 14.1.4, föreskrivs i första stycket att Polismyndigheten beslutar om sanktionsavgift för lufttrafikföretag. Av andra stycket framgår att sanktionsavgiften tillfaller staten.
4 §
Av paragrafen, som behandlas i avsnitt 14.1.4, följer att en sanktionsavgift endast får beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från den dag överträdelsen ägde rum. Bevisbördan för att kommunikation har skett ligger på Polismyndigheten.
5 §
Paragrafen reglerar betalning och verkställighet av sanktionsavgifter. Den behandlas i avsnitt 14.1.5.
Av första stycket framgår att en sanktionsavgift ska betalas till Polismyndigheten och att betalning ska ske inom 30 dagar från det att beslutet om att ta ut avgiften fick laga kraft eller inom den längre tid som anges i beslutet. Beslutet om sanktionsavgift gäller som en dom och är verkställbart.
Om sanktionsavgiften inte betalas inom 30 dagar ska Polismyndigheten enligt andra stycket lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
Av tredje stycket framgår att avgiften faller bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet fick laga kraft.
6 §
Paragrafen reglerar överklagande av Polismyndighetens beslut om sank-tionsavgift och behandlas i avsnitt 14.1.6. Paragrafen har utformats i enlighet med Lagrådets förslag.
Av första stycket framgår att Polismyndighetens beslut om sanktionsavgift får överklagas till allmän förvaltningsdomstol. Av andra stycket framgår att det krävs prövningstillstånd vid överklagande till kammarrätten.
Överträdelser av personuppgiftsansvarig myndighet
7 §
Paragrafen reglerar när sanktionsavgift får tas ut av en personuppgiftsansvarig myndighet. Den genomför delar av artikel 14 i PNR-direktivet och behandlas i avsnitt 14.2.
Enligt paragrafen får sanktionsavgift tas ut av en personuppgiftsansvarig myndighet vid överträdelse av vissa bestämmelser i lagen. Bestämmelsen är inte obligatorisk utan tillsynsmyndigheten avgör i det enskilda fallet om sanktionsavgift bör tas ut. Paragrafen är tillämplig oavsett om överträdelsen har skett vid enheten för passagerarinformation eller vid en behörig myndighet.
I paragrafen anges uttömmande vilka överträdelser som kan leda till sanktionsavgift. Enligt första punkten kan sanktionsavgift tas ut vid överträdelser av bestämmelserna i 1 kap. 5 eller 7 §, dvs. vid överträdelser av bestämmelserna om att PNR-uppgifter inte får behandlas för andra syften än att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet samt vid överträdelser av förbudet mot behandling av känsliga personuppgifter. Enligt andra punkten kan sanktionsavgift tas ut för överträdelser av flera av bestämmelserna i 3 kap. om hur PNR-information får behandlas vid enheten för passagerarinformation. Det innebär bl.a. att behandling av PNR-uppgifter för andra ändamål än de som anges i lagen kan leda till sanktionsavgift. Detsamma gäller vid överträdelse av de bestämmelser som begränsar tillgången till PNR-information och förbjuder direktåtkomst. Även överträdelser av lagens bestämmelser om bevarande och förstöring samt skyldigheten att behörighetsbegränsa PNR-uppgifter kan leda till sanktionsavgift. Av tredje punkten framgår att sanktionsavgift kan tas ut vid överträdelser av bestämmelserna om överföring till tredjeland och överföring av behörighetsbegränsade PNR-uppgifter. En sanktionsavgift kan enligt fjärde punkten även tas ut vid överträdelser av vissa bestämmelser om hur PNR-uppgifter får användas vid de behöriga myndigheterna.
8 §
Paragrafen, som genomför artikel 14 i PNR-direktivet, behandlas i avsnitt 14.2.
I första stycket föreskrivs att bestämmelserna i 6 kap. 3 § tredje stycket och 4-8 §§ brottsdatalagen ska tillämpas även vid överträdelser enligt denna lag. De aktuella bestämmelserna i brottsdatalagen reglerar bl.a. hur sanktionsavgiften ska bestämmas, att den kan sättas ned helt eller delvis samt att det är tillsynsmyndigheten som beslutar om sanktionsavgift. I andra stycket framgår att sanktionsavgiften i likhet med brottsdatalagen ska vara högst 10 000 000 kronor. I tredje stycket upplyses om att beslut om sanktionsavgift kan överklagas till allmän förvaltningsdomstol enligt 7 kap. 3 § brottsdatalagen.
Rätt att meddela föreskrifter
9 §
Paragrafen, som behandlas i avsnitt 14.1.5, har i allt väsentligt utformats i enlighet med Lagrådets förslag. I paragrafen upplyses det om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om sanktionsavgifter enligt denna lag.
7 kap. Övriga bestämmelser
Enskildas rättigheter
1 §
Paragrafen reglerar rätten till radering eller begränsning av behandling av personuppgifter. Bestämmelsen genomför till viss del artikel 13.1 i PNR-direktivet. Den behandlas i avsnitt 12.1.
Av paragrafen följer att 4 kap. 10 § brottsdatalagen ska tillämpas även för det fall personuppgifter behandlas i strid med 1 kap. 5 eller 7 § eller 3 kap. 9 § i denna lag. I den angivna bestämmelsen i brottsdatalagen finns bestämmelser om en registrerads rätt till radering eller begränsning av behandling av personuppgifter. Bestämmelserna i 1 kap. 5 och 7 §§ samt 3 kap. 9 § är centrala bestämmelser i lagen och reglerar tillåten behandling av personuppgifter, förbud mot behandling av känsliga personuppgifter och förstöring av PNR-uppgifter som har överförts från lufttrafikföretag efter fem år.
Beslut enligt 4 kap. 10 § brottsdatalagen kan överklagas till allmän förvaltningsdomstol.
2 §
Paragrafen reglerar frågan om skadestånd vid otillåten behandling av personuppgifter. Den genomför till viss del artikel 13.1 i PNR-direktivet och behandlas i avsnitt 12.2.
Av paragrafen följer att brottsdatalagens bestämmelser om skadestånd ska tillämpas även när personuppgifter behandlas i strid med denna lag eller föreskrifter som har meddelats med stöd av den. Paragrafen är bara tillämplig för överträdelser av lagens bestämmelser som avser att ge skydd för personuppgifter. I artikel 82 i dataskyddsförordningen och 7 kap. 1 § lagen med kompletterande bestämmelser till EU:s dataskyddsförordning finns bestämmelser om rätt till skadestånd som ska tillämpas vid lufttrafikföretagens behandling av personuppgifter.
Tillsyn
3 §
Paragrafen reglerar tillsyn över personuppgiftsbehandlingen enligt lagen. Paragrafen genomför artikel 15 i PNR-direktivet och behandlas i avsnitt 13.
Bestämmelsen föreskriver att den tillsynsmyndighet som avses i brottsdatalagen ska ha tillsyn över all personuppgiftsbehandling enligt lagen. Det har således ingen betydelse om personuppgiftsbehandlingen har utförts av enheten för passagerarinformation, ett lufttrafikföretag eller en behörig myndighet. Tillsynsmyndighetens uppgifter och befogenheter regleras i brottsdatalagen.
18.2 Förslaget till lag om ändring i polislagen (1984:387)
25 §
Paragrafen, som behandlas i avsnitt 7.6, reglerar skyldigheten för transportörer av varor, passagerare eller fordon till eller från Sverige att på begäran lämna vissa bokningsuppgifter till Polismyndigheten eller Säkerhetspolisen.
Första och andra styckena är oförändrade.
I ett nytt tredje stycke anges att lufttrafikföretag som omfattas av skyldigheten att överföra uppgifter enligt lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen endast är skyldiga att lämna uppgifter enligt första och andra styckena om de behövs i verksamhet som rör nationell säkerhet. Undantaget innebär att lufttrafikföretag som omfattas av överföringsskyldigheten enligt den nya lagen inte har någon skyldighet att överföra uppgifter enligt första och andra styckena. Det kommer dock fortfarande att vara möjligt att inhämta uppgifter enligt denna bestämmelse när det gäller andra transportörer än lufttrafikföretag, t.ex. buss-, båt- eller tågtransportörer. Även de lufttrafikföretag som inte omfattas av överföringsskyldigheten enligt lagen om flygpassageraruppgifter i brottsbekämpningen, kommer att vara skyldiga att överlämna uppgifter enligt bestämmelsen.
18.3 Förslaget till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen
15 §
Paragrafen, som behandlas i avsnitt 7.6, reglerar skyldigheten för transportörer av varor, passagerare eller fordon till eller från Sverige att på begäran lämna vissa bokningsuppgifter till Tullverket.
Första och andra styckena är oförändrade.
I ett nytt tredje stycke anges att första och andra styckena inte ska gälla lufttrafikföretag som omfattas av skyldigheten att överföra uppgifter enligt lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen. Undantaget innebär att lufttrafikföretag som omfattas av överföringsskyldigheten enligt lagen om flygpassageraruppgifter i brottsbekämpningen inte har någon skyldighet att överföra uppgifter enligt första och andra styckena. Det kommer dock fortfarande att vara möjligt att inhämta uppgifter enligt denna bestämmelse när det gäller andra transportörer än lufttrafikföretag, t.ex. buss-, båt- eller tågtransportörer. Även de lufttrafikföretag som inte omfattas av överföringsskyldigheten enligt den nya lagen, kommer att vara skyldiga att överlämna uppgifter enligt bestämmelsen.
18.4 Förslaget till lag om ändring i polisdatalagen (2010:361)
1 kap.
4 a §
Paragrafen, som behandlas i avsnitt 7.5, reglerar förhållandet till lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen.
Av paragrafen, som är ny, framgår det att avvikande bestämmelser om personuppgiftsbehandling i lagen om flygpassageraruppgifter i brottsbekämpningen ska tillämpas i stället för bestämmelserna i polisdatalagen. Det gäller oavsett om det handlar om personuppgiftsbehandling vid enheten för passagerarinformation eller en behörig myndighet som omfattas av polisdatalagens tillämpningsområde.
18.5 Förslaget till lag om ändring i tullagen (2016:253)
4 kap.
6 a §
Paragrafen, som behandlas i avsnitt 7.6, reglerar förhållandet mellan lagens bestämmelser om Tullverkets tillgång till transportörers bokningsuppgifter och lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen. Bestämmelsen är ny.
Av bestämmelsen framgår att skyldigheten för transportörer av varor, passagerare eller fordon till eller från Sverige att på begäran lämna vissa bokningsuppgifter till Tullverket enligt 4 kap. 6 § tullagen inte ska gälla lufttrafikföretag som omfattas av skyldigheten att överföra uppgifter enligt lagen om flygpassageraruppgifter i brottsbekämpningen. Undantaget innebär att lufttrafikföretag som omfattas av överföringsskyldigheten enligt lag om flygpassageraruppgifter i brottsbekämpningen inte har någon skyldighet att överföra uppgifter enligt 4 kap. 6 §. Det kommer dock fortfarande att vara möjligt att inhämta uppgifter enligt denna bestämmelse när det gäller andra transportörer än lufttrafikföretag, t.ex. buss-, båt- eller tågtransportörer. Även de lufttrafikföretag som inte omfattas av överföringsskyldigheten enligt lagen om flygpassageraruppgifter i brottsbekämpningen, kommer att vara skyldiga att överlämna uppgifter enligt bestämmelsen.
18.6 Förslaget till lag om ändring i tullbrottsdatalagen (2017:447)
2 kap.
8 §
Paragrafen, som behandlas i avsnitt 7.5, reglerar behandling av personuppgifter som har lämnats till Tullverket från transportföretag enligt 4 kap. 6 § tullagen (2016:253) och 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen. I ett nytt tredje stycke föreskrivs att avvikande bestämmelser i lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen ska tillämpas i stället för bestämmelserna i tullbrottsdatalagen. Paragrafen är i övrigt oförändrad.
PNR-direktivet
Rättelse till PNR-direktivet
Sammanfattning av betänkandet Lag om flygpassageraruppgifter i brottsbekämpningen (SOU 2017:57)
PNR-direktivet
Den 27 april 2016 antog Europaparlamentet och rådet direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (nedan kallat PNR-direktivet).
PNR är en förkortning av den engelska benämningen Passenger Name Record. Det som åsyftas är uppgifter som passagerare lämnar vid beställning och bokning av flygresor samt vid incheckning. Uppgifterna kan till exempel avse namn, resedatum, resväg, bagageinformation och betalningssätt. Lufttrafikföretagen samlar redan i dag in och behandlar sådana uppgifter om sina passagerare för sina egna operativa och kommersiella syften. PNR-uppgifter är också av intresse i det brottsbekämpande arbetet. Uppgifterna kan t.ex. användas för att sålla ut tidigare okända passagerare som skulle kunna vara intressanta för myndigheterna att kontrollera. PNR-uppgifterna kan även användas i samband med brottsutredningar eller för att analysera och fastställa misstänkta rese- och beteendemönster.
Myndigheter världen över har i allt större utsträckning börjat samla in PNR-uppgifter från lufttrafikföretag och analysera dem i syfte att bekämpa terrorism och grov brottslighet. För Sveriges del kan Polismyndigheten, Säkerhetspolisen och Tullverket redan i dag begära in vissa PNR-uppgifter från lufttrafikföretag och använda dessa för brottsbekämpande ändamål.
PNR-direktivet utgör ett unionsgemensamt regelverk för insamling och användning av PNR-uppgifter i viss brottsbekämpande verksamhet. Utredningens övergripande uppdrag är att lämna förslag till de lagändringar som krävs för att genomföra PNR-direktivet i svensk rätt.
En ny lag om flygpassageraruppgifter i brottsbekämpningen
Vi föreslår att PNR-direktivet i huvudsak ska genomföras i en ny lag, lagen om flygpassageraruppgifter i brottsbekämpningen. Lagen innehåller bestämmelser om lufttrafikföretags överföring av PNR-uppgifter till enheten för passagerarinformation och om behandlingen av PNR-uppgifter i verksamhet för att förebygga, förhindra, upp-täcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Syftet med lagen är att tillgodose behovet av tillgång till PNR-upp-gifter i sådan verksamhet och att skydda människor mot att deras personliga integritet kränks vid behandling av uppgifter om dem.
Lagen, liksom det bakomliggande PNR-direktivet, innehåller såväl verksamhetsreglering som dataskyddsreglering. I sistnämnt avseende har vi bedömt det som lämpligast att anpassa författningsförslaget så långt möjligt till den dataskyddsreform som kommer att genomföras under våren 2018. Bestämmelserna i lagen kommer att gälla utöver eller i stället för de generella bestämmelserna i dataskyddsförordningen, den nya ramlag, brottsdatalagen, som föreslås genomföra det nya dataskyddsdirektivet (SOU 2017:29) och annan särreglering för dataskydd som gäller eller kommer att gälla för berörda myndigheter.
Lagen kompletteras med en förordning, som genomför vissa detaljbestämmelser i direktivet.
Otillåten behandling av PNR-information
Lagen innehåller en portalbestämmelse som anger att PNR-uppgifter som överförts från lufttrafikföretag eller resultatet av en enhet för passagerarinformations behandling av sådana uppgifter, dvs. PNR-information, inte får behandlas för andra syften än att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet. Terroristbrottslighet definieras i lagen som de brott enligt nationell rätt i Sverige eller andra medlemsstater som avses i artiklarna 1-4 i rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism. Med grov brottslighet avses de brott som anges i en förteckning i bilaga II till PNR-direktivet och för vilka det i nationell rätt i Sverige eller andra medlemsstater är föreskrivet fängelse i tre år eller mer.
Lagen innehåller också ett generellt förbud mot behandling av PNR-uppgifter som utgör känsliga personuppgifter. För det fall enheten för passagerarinformation eller en behörig myndighet mottar sådana uppgifter ska dessa genast raderas.
En enhet för passagerarinformation
Det ska enligt lagen finnas en enhet för passagerarinformation inom Polismyndigheten. Denna enhet har till övergripande uppgift att samla in PNR-uppgifter från lufttrafikföretag, lagra och behandla dessa uppgifter och överföra PNR-information till behöriga svenska myndigheter. Enheten ska också ansvara för utbytet av PNR-information inom EU.
PNR-uppgifter som behandlas av enheten ska inte vara direkt tillgängliga för behöriga myndigheter eller för övriga som arbetar inom Polismyndigheten. Direktåtkomst till PNR-information som behandlas vid enheten ska därför inte tillåtas. Inom enheten ska tillgången till PNR-information begränsas genom särskilda behörighetsbestämmelser.
Lufttrafikföretagens skyldigheter
PNR-uppgifter ska enligt lagen överföras från lufttrafikföretag som har en giltig operativ licens eller motsvarande som ger rätt att mot vederlag utföra lufttransporter av passagerare, och som i sin normala verksamhet samlar och hanterar PNR-uppgifter i reservationssystem. Som utgångspunkt utesluts från överföringsskyldighet flertalet mindre lufttrafikföretag som utför taxiflygningar från mindre flygstationer som saknar system för avgångskontroll av passagerare.
PNR-uppgifterna ska överföras elektroniskt till enheten för passagerarinformation. Vilka PNR-uppgifter som ska överföras framgår av en bilaga till lagen. Även s.k. API-uppgifter (se om dessa slags uppgifter nedan) ingår bland de PNR-uppgifter som ska överföras. Uppgifterna i bilagan ska dock endast överföras i de fall lufttrafikföretagen samlar in dem som en del av sin normala verksamhet. Lagen ålägger alltså inte lufttrafikföretagen att hämta in ytterligare PNR-uppgifter om sina passagerare utan endast att överföra sådana uppgifter som de redan har tillgång till.
PNR-uppgifterna ska normalt överföras vid två tillfällen inför varje flygning ankommande till eller avgående från Sverige. Den första överföringen ska ske 24-48 timmar före flygningens avgång och den andra överföringen omedelbart efter det att gatens dörrar har stängts. Överföringsskyldigheten omfattar såväl flygningar inom EU som flygningar till eller från tredjeland.
Ett lufttrafikföretag som inte har överfört PNR-uppgifter i enlighet med bestämmelserna i lagen eller föreskrifter som utfärdats i anslutning till lagen ska betala en sanktionsavgift. Sanktionsavgiften ska för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet bestämmas till minst 20 000 kronor och högst 100 000 kronor. Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Lufttrafikföretag ska informera passagerare om överföringen av PNR-uppgifter till enheten för passagerarinformation och om skälen till överföringen.
Behandling av PNR-uppgifter vid enheten
för passagerarinformation
De PNR-uppgifter som har överförts till enheten för passagerarinformation från lufttrafikföretag ska lagras i en särskild databas vid enheten under fem års tid. Därefter ska de raderas. Efter sex månader ska PNR-uppgifterna i databasen maskeras, vilket innebär att tillgängliga uppgifter som direkt kan hänföras till en fysisk person ska göras osynliga för en användare som saknar särskild behörighet för tillgång till uppgifterna.
PNR-uppgifter som har överförts till enheten för passagerarinformation från lufttrafikföretag får endast behandlas för följande ändamål.
* Förhandsbedömning: Uppgifterna får behandlas för att enheten ska kunna göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från Sverige, för att välja ut personer som behöver utredas ytterligare av behöriga myndigheter eller Europol (användning i realtid). Vid en sådan förhandsbedömning av passagerare får PNR-uppgifterna jämföras dels med uppgifter i relevanta register eller andra uppgiftssamlingar, dels med på förhand fastställda kriterier.
* Besvara förfrågningar: Lagrade uppgifter får behandlas för att enheten för passagerarinformation ska kunna fullgöra sina uppgifter enligt lagen om att på begäran överföra PNR-information till behöriga mottagare (reaktiv användning).
* Utforma urvalskriterier: Uppgifterna får analyseras för att enheten ska kunna uppdatera eller skapa nya kriterier som ska användas vid förhandsbedömningar av passagerare.
Enheten för passagerarinformation kommer även att få del av PNR-information som har överförts till enheten från motsvarande enheter i andra medlemsstater. Sådan information får endast behandlas för att vidarebefordras till behöriga myndigheter.
Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinformation. Polismyndigheten ska utse ett dataskyddsombud för enheten för passagerarinformation. Ombudets uppgifter framgår av lagen.
Överföring av PNR-information från enheten
för passagerarinformation
Enheten för passagerarinformation ska fungera som en nod vid vilken massan av PNR-uppgifter som lufttrafikföretagen överför tas emot, lagras och analyseras översiktligt. Endast sådan PNR-information som bedömts vara av intresse för att bekämpa terroristbrottslighet eller grov brottslighet ska därefter nå ut till behöriga myndigheter i det egna landet för vidare analys och åtgärder. Regeringen har utsett Polismyndigheten, Säkerhetspolisen, Tullverket, Ekobrottsmyndigheten och Försvarsmakten såsom behöriga att ta emot och begära ut PNR-uppgifter från enheten för passagerarinformation. Ytterligare myndigheter kan komma att utses framöver. Enligt lagen ska enheten i enskilda fall överföra resultatet av sina förhandsbedömningar till en eller flera behöriga myndigheter så att de kan utföra en vidare granskning av PNR-informationen. Enheten ska också överföra PNR-information till behöriga myndigheter som svar på särskilda förfrågningar från en behörig myndighet. Vidare ska enheten vidarebefordra PNR-information som har mottagits från andra medlemsstaters enheter för passagerarinformation till behöriga myndigheter. En befattningshavare vid enheten ska alltid ha gjort en bedömning av PNR-informationen innan den lämnas från enheten.
Enheten för passagerarinformation ska enligt lagen även överföra PNR-information till motsvarande enheter i andra medlemsstater. Så ska ske om enheten vid en förhandsbedömning bedömt att viss information även är relevant och nödvändig för en annan medlemsstat. En överföring ska även ske till andra medlemsstater som svar på en begäran från den medlemsstaten. Vidare kan överföringar av PNR-information ske till Europol.
Lagen innehåller också bestämmelser om att enheten för passagerarinformation under vissa förutsättningar får överföra PNR-information till tredjeland.
Överföring av avmaskerade PNR-uppgifter, dvs. fullständiga PNR-uppgifter där personuppgifter tidigare genomgått en maskering, får bara ske om vissa närmare förutsättningar är uppfyllda. Om förundersökning pågår ska en begäran från en behörig myndighet om att få tillgång till avmaskerade PNR-uppgifter ha beslutats av allmän åklagare. I alla andra fall krävs att Polismyndighetens myndighetschef har godkänt utlämnandet. Rikspolischefen ska med vissa begränsningar kunna delegera beslutanderätten.
Behöriga myndigheters behandling av PNR-information
Det finns i lagen särskilda bestämmelser om behandling av PNR-information vid de behöriga myndigheterna. Bland annat anges att ett resultat av enheten för passagerarinformations förhandsbedömning av passagerare genast ska gallras av behöriga myndigheter om det visar sig sakna betydelse för något av de syften som anges i lagens portalbestämmelse. Vidare finns ett undantag från lagens portalbestämmelse om otillåten behandling av PNR-information. Om det har kommit fram uppgifter om annat slags brott än terroristbrottslighet eller grov brottslighet, s.k. överskottsinformation, i samband med en behörig myndighets insats som görs till följd av behandling av PNR-information, får uppgifterna användas för att förhindra, utreda eller lagföra det brottet.
Övriga bestämmelser
Direktivets krav på generella dataskyddsbestämmelser och rättigheter för enskilda omfattas i stor utsträckning av annan tillämplig dataskyddsreglering och behöver, med något undantag, inte särskilt regleras i den nya lagen.
Tillsyn över personuppgiftsbehandling enligt lagen ska utföras av tillsynsmyndigheten enligt den föreslagna brottsdatalagen och i enlighet med bestämmelserna om tillsyn i den lagen.
Sanktionsavgift får tas ut av personuppgiftsansvariga myndigheter vid överträdelser av vissa grundläggande bestämmelser i lagen som har till syfte att skydda enskildas integritet. Vid bestämmande av sanktionsavgiftens storlek och i handläggningsfrågor ska sanktionsavgiftssystemet i den föreslagna brottsdatalagen och den tillhörande förordningen tillämpas.
Sekretess
Befintlig sekretesslagstiftning bedöms ge ett tillfredsställande skydd för PNR-informationen såväl vid enheten för passagerarinformation som vid behöriga myndigheter. Någon ny eller ändrad sekretessreglering är inte motiverad. Inte heller behövs det någon särskild bestämmelse om sekretessgenombrott.
PNR-direktivets förhållande till API-direktivet
API-uppgifter (Advance Passenger Information) avser främst sådan information som finns på passets maskinläsbara del, såsom namn, födelsedatum, nationalitet och passnummer. API-uppgifter anses utgöra verifierbar information och används därför huvudsakligen som ett verktyg för identifiering. I rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (nedan kallat API-direktivet) regleras transportörers ansvar för att på begäran förse nationella myndigheter med sådana passageraruppgifter inför resor från länder utanför Schengensamarbetet. Direktivet är i Sverige genomfört främst genom vissa bestämmelser i utlänningslagen (2005:716) samt genom lagen (2006:444) om passagerarregister.
Enligt PNR-direktivet ska lufttrafikföretagen överföra såväl PNR- som API-uppgifter till enheterna för passagerarinformation. Skyldigheten att överföra API-uppgifter följer således inte bara av API-direktivet utan även av PNR-direktivet. Det ingår i vårt uppdrag att analysera om och i så fall hur PNR-direktivet påverkar det svenska genomförandet av API-direktivet samt att föreslå hur systemet med flygpassageraruppgifter ska möjliggöra hantering av både PNR-uppgifter och API-uppgifter.
Enligt vår bedömning varken ersätter eller påverkar PNR-direktivet API-direktivet eller dess genomförande i Sverige. Direktiven och deras respektive genomföranden kommer därför att vara parallellt tillämpliga. Vi har vidare funnit att en samordnad hantering av PNR- och API-uppgifter vid enheten för passagerarinformation är möjlig även avseende API-uppgifter som behandlas enligt lagen om passagerarregister. Det kräver dock att API-uppgifter som behandlas enligt lagen om passagerarregister hålls isär från de API-uppgifter som överförs från lufttrafikföretagen enligt den nya lagen, att det alltid står klart för vilket syfte och enligt vilket regelverk API-uppgifter behandlas samt att det säkerställs att regelverkens olikheter i fråga om t.ex. tillgång till uppgifterna följs.
PNR-direktivets betydelse för den nuvarande regleringen
Genomförandet av direktivet får också en effekt på den nuvarande regleringen. Vi föreslår därför att det i polislagen (1984:387), tullagen (2016:253) och lagen (1996:701) om Tullverkets befogenhet vid Sveriges gräns mot ett annat land inom Europeiska unionen (inregränslagen) förs in bestämmelser som innebär att transportföretags skyldigheter enligt de lagarna att överföra bokningsuppgifter till Polismyndigheten, Säkerhetspolisen och Tullverket inte ska gälla när lagen om flygpassageraruppgifter i brottsbekämpningen är tillämplig.
Resebyråer och researrangörer
Medlemsstaterna har i en deklaration som antogs samtidigt som PNR-direktivet, angett att de, i enlighet med sin nationella lagstiftning och med förbehåll för parlamentsbehandling i vissa medlemsstater, åtar sig att utvidga insamlingen av PNR-uppgifter till att omfatta även aktörer som inte är lufttrafikföretag. Som exempel anges i deklarationen resebyråer och researrangörer som tillhandahåller reserelaterade tjänster. Någon tidsgräns för när detta ska vara genomfört i nationell lagstiftning anges inte i deklarationen. Enligt vår bedömning omfattas resebyråer och researrangörer redan av systemet med insamling av PNR-uppgifter eftersom de överför PNR-uppgifter till lufttrafikföretagen för vidare överföring till enheten för passagerarinformation. Ytterligare utvidgningar av detta system bör enligt vår mening tills vidare anstå. Frågan bör dock bevakas och eventuellt utredas vidare.
Konsekvenser
Förslagen innebär att fler PNR-uppgifter avseende enskilda flygresenärer kommer att samlas in i brottsbekämpande syfte, vilket vi bedömer kommer att få positiva konsekvenser för det brottsbekämpande arbetet. Förslagen innebär också att skyddet för enskildas personliga integritet vid de brottsbekämpande behöriga myndigheternas behandling av uppgifterna säkerställs.
Lufttrafikföretagen kommer att belastas arbets- och kostnadsmässigt av förslagen. Dock bedömer vi inte att deras konkurrensförhållanden kommer att påverkas i någon större omfattning. Vidare medför förslagen ökade kostnader för Polismyndigheten kopplade till inrättandet av en enhet för passagerarinformation och till drivandet av enheten. De ekonomiska konsekvenserna för Polismyndigheten och övriga berörda myndigheter bedöms dock rymmas inom de befintliga ekonomiska ramarna.
Ikraftträdande
Den nya lagen föreslås träda i kraft den 25 maj 2018.
Betänkandets lagförslag
Förslag till lag om flygpassageraruppgifter i brottsbekämpningen
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens innehåll
1 § Denna lag innehåller bestämmelser om lufttrafikföretags överföring av PNR-uppgifter till enheten för passagerarinformation och om behandlingen av PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.
Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (PNR-direktivet).
Lagens syfte
2 § Syftet med lagen är att tillgodose behovet av tillgång till PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet och att skydda människor mot att deras personliga integritet kränks vid behandling av uppgifter om dem.
Definitioner
3 § I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck
Betydelse
Avmaskerade PNR-uppgifter
Fullständiga flygpassageraruppgifter (PNR-uppgifter) där personuppgifter tidigare genomgått en maskering.
Behörig mottagare
En behörig myndighet, en enhet för passagerarinformation i en annan medlemsstat, en myndighet som har utsetts som behörig i en annan medlemsstat eller Europol.
Behörig myndighet
En sådan av regeringen utsedd myndighet som har behörighet att behandla PNR-information i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet.
Flygpassageraruppgifter eller PNR-uppgifter
En sammanställning av uppgifter om varje enskild passagerare som gör det möjligt för det lufttrafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera reservationen.
Grov brottslighet
De brott som anges i bilaga II till PNR-direktivet och för vilka det i nationell rätt i Sverige eller andra medlemsstater är föreskrivet fängelse i tre år eller mer.
Lufttrafikföretag
Ett lufttrafikföretag med giltig operativ licens eller motsvarande som ger rätt att mot vederlag utföra lufttransporter av passagerare, och som i sin normala verksamhet samlar och hanterar PNR-uppgifter i reservationssystem.
Maskerade PNR-uppgifter
Personuppgifter som genomgått en maskering.
Maskering
Åtgärd som innebär att tillgängliga uppgifter som direkt kan hänföras till en fysisk person görs osynliga för en användare av ett informationssystem som saknar särskild behörighet för tillgång till uppgifterna.
Medlemsstat
En stat som är medlem i EU, med undantag för Danmark.
Passagerare
Alla personer, förutom besättningsmedlemmar, som transporteras eller ska transporteras med ett flygplan och som finns upptagna i passagerarförteckningen.
PNR-information
PNR-uppgifter och resultatet av en enhet för passagerarinformations behandling av sådana uppgifter.
Reservationssystem
System där PNR-uppgifter samlas för hantering av reservationer.
Terroristbrottslighet
De brott enligt nationell rätt i Sverige eller andra medlemsstater som avses i artiklarna 1-4 i rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism.
Tredjeland
En stat som inte är en medlemsstat.
Enhet för passagerarinformation
4 § Det ska hos Polismyndigheten finnas en enhet för passagerarinformation. Enheten ska ansvara för att
1. samla in PNR-uppgifter från lufttrafikföretag, lagra och behandla dessa uppgifter och överföra PNR-information till behöriga myndigheter, och
2. utbyta PNR-information med andra behöriga mottagare.
Otillåten behandling av PNR-information
5 § PNR-uppgifter som har överförts från lufttrafikföretag enligt denna lag eller föreskrifter som meddelats i anslutning till lagen och resultatet av enheten för passagerarinformations behandling av sådana uppgifter får inte behandlas för andra syften än att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller grov brottslighet, om inte annat anges i denna lag. Detsamma ska gälla PNR-information som har mottagits från en annan medlemsstat och som där samlats in och behandlats av en enhet för passagerarinformation enligt den nationella reglering som genomfört PNR-direktivet.
Förbud mot behandling av känsliga personuppgifter
6 § PNR-uppgifter som utgör sådana personuppgifter som avses i 2 kap. 11 § brottsdatalagen (2018:000) får inte behandlas enligt denna lag.
2 kap. Lufttrafikföretagens skyldigheter
Överföring av PNR-uppgifter till enheten
för passagerarinformation
1 § Lufttrafikföretag ska inför varje flygning ankommande till eller avgående från Sverige överföra samtliga de PNR-uppgifter som anges i bilagan till denna lag till enheten för passagerarinformation. PNR-uppgifterna ska dock endast överföras i de fall lufttrafikföretagen samlar in uppgifterna som en del av sin normala verksamhet.
Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska det lufttrafikföretag som utför flygningen överföra PNR-uppgifter om samtliga passagerare.
2 § PNR-uppgifterna ska överföras
1. 24-48 timmar före flygningens avgång, och
2. omedelbart efter det att gatens dörrar har stängts.
Överföringar enligt första stycket 2 får begränsas till uppdateringar och kompletteringar av de uppgifter som överförts vid den tidpunkt som avses i första stycket 1.
3 § När det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet, ska lufttrafikföretag på begäran av enheten för passagerarinformation överföra PNR-uppgifter även vid andra tidpunkter än de som anges i 2 §.
4 § Lufttrafikföretagen ska överföra PNR-uppgifterna i elektronisk form. Enheten för passagerarinformation får inte medges direktåtkomst till lufttrafikföretagens uppgiftssamlingar med PNR-uppgifter.
5 § Den som är skyldig att överföra uppgifter enligt denna lag får anlita ett personuppgiftsbiträde för att utföra överföringen.
Information till passagerare
6 § Lufttrafikföretag ska informera passagerare om överföringen av PNR-uppgifter till enheten för passagerarinformation och om skälen till överföringen.
Sanktionsavgift för lufttrafikföretag
7 § Ett lufttrafikföretag som inte har överfört PNR-uppgifter enligt bestämmelserna i denna lag eller föreskrifter som utfärdats i anslutning till lagen ska betala en sanktionsavgift.
8 § Sanktionsavgiften ska för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet bestämmas till minst 20 000 kronor och högst 100 000 kronor.
Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
9 § Polismyndigheten beslutar om sanktionsavgift för lufttrafikföretag enligt denna lag.
Sanktionsavgiften tillfaller staten.
10 § Sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från den dag då överträdelsen ägde rum.
11 § Polismyndighetens beslut om sanktionsavgift överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Föreskrifter
12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om lufttrafikföretagens överföring av PNR-uppgifter till enheten för passagerarinformation samt om handläggningen av beslut om och verkställighet av sanktionsavgifter.
3 kap. Behandling av PNR-information vid enheten
för passagerarinformation PNR-databas
1 § PNR-uppgifter som överförts från lufttrafikföretag ska lagras i en databas vid enheten för passagerarinformation.
Personuppgiftsansvar m.m.
2 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinformation.
3 § Enheten för passagerarinformations behandling av PNR-uppgifter får inte ske utanför medlemsstaternas territorium.
Tillåtna ändamål
4 § Enheten för passagerarinformation får endast behandla PNR-uppgifter som anges i 1 § för följande ändamål:
1. Göra en förhandsbedömning av passagerare före deras beräknade ankomst till eller avresa från Sverige, för att välja ut personer som behöver utredas ytterligare av behöriga myndigheter eller Europol, på grund av att dessa personer kan vara inblandade i terroristbrottslighet eller grov brottslighet.
2. I enskilda fall fullgöra sina uppgifter enligt 4 kap. att överföra PNR-information på eget initiativ eller för att besvara en begäran från en behörig mottagare.
3. Göra analyser för att uppdatera eller skapa nya kriterier som anges i 5 § 2.
Av 6 kap. framgår att PNR-uppgifter i vissa fall även får överföras till mottagare i tredjeland.
5 § Vid förhandsbedömning enligt 4 § första stycket 1 får PNR-uppgifter
1. jämföras med register eller andra uppgiftssamlingar som är relevanta för ett eller flera av de syften som anges i 1 kap. 5 §, eller
2. behandlas enligt på förhand utformade och fastställda kriterier som är riktade, proportionella och avgränsade och som inte grundas på sådana personuppgifter som avses i 2 kap. 11 § brottsdatalagen (2018:000).
6 § PNR-information som enheten för passagerarinformation mottagit från motsvarande enheter i andra medlemsstater får endast behandlas för att vidarebefordra uppgifterna till behöriga myndigheter för fortsatt användning för ett eller flera av de syften som anges i 1 kap. 5 §.
Tillgång till PNR-information
7 § Endast den som tjänstgör vid enheten för passagerarinformation får ha tillgång till PNR-information som behandlas vid enheten. Tillgången ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter vid enheten.
Förbud mot direktåtkomst
8 § Direktåtkomst till PNR-information som behandlas vid enheten för passagerarinformation får inte tillåtas.
Bevarande och gallring av PNR-uppgifter
9 § PNR-uppgifter som lagras i databasen för PNR-uppgifter ska bevaras där i fem år från det att de kommit in från ett lufttrafikföretag. Därefter ska de gallras genom att raderas.
10 § PNR-uppgifter som utgör sådana personuppgifter som avses i 2 kap. 11 § brottsdatalagen (2018:000) ska genast gallras genom att raderas, om de kommer in till enheten för passagerarinformation.
Maskering av PNR-uppgifter
11 § Följande PNR-uppgifter ska maskeras i databasen för PNR-uppgifter sex månader efter att de kommit in från lufttrafikföretagen:
1. Alla namn på passagerare.
2. Antal passagerare som reser tillsammans.
3. Adress och kontaktuppgifter.
4. Alla former av betalningsinformation, inklusive faktureringsadress, om informationen innehåller uppgifter som kan användas för att direkt identifiera en person.
5. Uppgifter om bonusprogram.
6. Allmänna anmärkningar, om dessa innehåller uppgifter som kan användas för att direkt identifiera en passagerare.
7. Alla API-uppgifter.
Dataskyddsombud
12 § Polismyndigheten ska utse ett dataskyddsombud för enheten för passagerarinformation.
Dataskyddsombudet ska ha tillgång till alla uppgifter som behandlas vid enheten.
13 § Utöver de uppgifter som anges i 3 kap. 14 § brottsdatalagen (2018:000) ska dataskyddsombudet vid enheten för passagerarinformation ansvara för genomförandet av relevanta skyddsåtgärder.
Enskilda ska ha rätt att kontakta dataskyddsombudet i egenskap av enda kontaktpunkt i alla frågor som gäller behandling enligt denna lag av PNR-uppgifter om denne.
14 § Om dataskyddsombudet anser att enheten för passagerarinformation bryter mot bestämmelser för behandling av PNR-uppgifter, ska han eller hon anmäla det till tillsynsmyndigheten.
Föreskrifter
15 § Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. utformande av kriterier,
2. tillgång till PNR-information,
3. dataskyddsombudets uppgifter,
4. bevarande och gallring,
5. dokumentation och loggning,
6. information till dataskyddsombud, och
7. enheten för passagerarinformations inhämtande av PNR-information från andra medlemsstater.
4 kap. Överföring av PNR-information från enheten
för passagerarinformation
Överföring till behöriga myndigheter
1 § Enheten för passagerarinformation ska i enskilda fall lämna PNR-information till en eller flera behöriga myndigheter för att
1. en vidare granskning ska ske av PNR-information rörande passagerare som valts ut vid en förhandsbedömning enligt 3 kap. 4 § första stycket 1,
2. besvara en motiverad begäran från en behörig myndighet om att tillhandahålla och behandla PNR-uppgifter för ett eller flera av de syften som anges i 1 kap. 5 § och tillhandahålla resultaten av sådan behandling, eller
3. vidarebefordra PNR-information som har mottagits från en motsvarande enhet i en annan medlemsstat.
En befattningshavare vid enheten ska ha gjort en bedömning av PNR-informationen innan den lämnas från enheten.
Överföring till andra medlemsstater
2 § Enheten för passagerarinformation ska till en motsvarande enhet i en annan medlemsstat överföra sådan PNR-information som behandlats för ändamålet förhandsbedömning enligt 3 kap. 4 § första stycket 1 och som bedömts relevant och nödvändig för vidare granskning i den andra medlemsstaten.
3 § Enheten för passagerarinformation ska så snart som möjligt besvara en motiverad begäran från en motsvarande enhet i en annan medlemsstat och överföra lagrade PNR-uppgifter och resultatet av en eventuell behandling enligt 3 kap. 4 § första stycket 1 av dessa uppgifter dit.
4 § Endast när det i ett enskilt brådskande fall är absolut nödvändigt ska enheten för passagerarinformation besvara en motiverad begäran från en myndighet som har utsetts som behörig i en annan medlemsstat och överföra PNR-uppgifter och resultatet av en eventuell behandling enligt 3 kap. 4 § första stycket 1 av dessa uppgifter direkt till den myndigheten.
5 § När det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet, ska enheten för passagerarinformation på begäran av en motsvarande enhet i en annan medlemsstat inhämta PNR-uppgifter i enlighet med 2 kap. 3 § och överföra dessa till den begärande enheten.
Överföring till Europol
6 § Enheten för passagerarinformation ska besvara en motiverad begäran från Europol och överföra PNR-information dit.
Överföring av avmaskerade PNR-uppgifter
7 § Avmaskerade PNR-uppgifter får lämnas från enheten för passagerarinformation till behöriga mottagare eller till ett tredjeland endast om det rimligen kan antas vara nödvändigt för ändamålet att besvara en sådan begäran som anges i 1 § första stycket 2, 3, 4 eller 6 §§ detta kapitel eller 6 kap. 1 §. Dessutom krävs sådant beslut eller tillstånd som anges i 8 eller 9 §.
8 § Om förundersökning pågår ska en begäran från en behörig myndighet om att få tillgång till avmaskerade PNR-uppgifter ha beslutats av allmän åklagare.
9 § I de fall som inte omfattas av 8 § krävs att tillstånd till överföringen har lämnats av Polismyndigheten.
Myndighetschefen får delegera rätten att besluta om tillstånd till en annan anställd vid myndigheten som har den särskilda kompetens, utbildning och erfarenhet som behövs.
Den som har fått rätten att fatta beslut får inte arbeta vid enheten för passagerarinformation eller fatta beslut om överföring till sådan verksamhet som han eller hon deltar i.
5 kap. Behöriga myndigheters behandling av PNR-information
Gallring av PNR-information
1 § En behörig myndighet som mottagit PNR-information enligt 4 kap. 1 § första stycket 1 ska genast gallra informationen genom att den raderas, om den visar sig sakna betydelse för något av de syften som anges i 1 kap. 5 §.
2 § För det fall en behörig myndighet mottar PNR-uppgifter som utgör sådana personuppgifter som avses i 2 kap. 11 § brottsdatalagen (2018:000) ska de uppgifterna genast gallras genom att raderas.
Annan behandling av PNR-information
3 § Om det har kommit fram uppgifter om annat brott än terroristbrottslighet eller grov brottslighet i samband med en behörig myndighets insats som görs till följd av behandling av PNR-information, får informationen, utöver vad som anges i 1 kap. 5 §, användas för att förhindra, utreda eller lagföra brottet.
Automatiserade beslut
4 § Ett beslut som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne får inte enbart grundas på en automatiserad behandling av PNR-uppgifter eller uppgifter som avses i 2 kap. 11 § brottsdatalagen (2018:000).
Föreskrifter
5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela bestämmelser om behöriga myndigheters inhämtande och behandling av PNR-information.
6 kap. Överföring till tredjeland
1 § Enheten för passagerarinformation får överföra PNR-information till en myndighet i ett tredjeland som där är behörig att bedriva verksamhet som motsvarar ett eller flera av de syften som anges i 1 kap. 5 §. PNR-informationen får dock endast överföras om
1. förutsättningarna i 8 kap. 1 § första stycket 3 och 2 § första stycket brottsdatalagen (2018:000), 4 kap. 3 och 7 §§ samt 2 § detta kapitel är uppfyllda,
2. överföringen är nödvändig för ett eller flera av de syften som anges i 1 kap. 5 §, och
3. det tredjelandet godtar att vidareöverföra uppgifterna till ett annat tredjeland endast om det är absolut nödvändigt för ett eller flera av de syften som anges i 1 kap. 5 § och enheten för passagerarinformation har lämnat ett uttryckligt medgivande till vidareöverföringen.
2 § Om medgivande till överföring på grund av tidsbrist inte kan hämtas in i förväg från en medlemsstat som har lämnat PNR-information till enheten för passagerarinformation, får, i stället för vad som anges i 8 kap. 2 § andra stycket brottsdatalagen (2018:000), informationen ändå överföras om det är absolut nödvändigt för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller grov brottslighet.
3 § När enheten för passagerarinformation överför PNR-information till ett tredjeland ska vad som anges i 8 kap. 8 § brottsdatalagen (2018:000) inte gälla.
4 § Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om
1. information till annan medlemsstat när personuppgifter överförts utan förhandsmedgivande enligt 2 §, och
2. uppställande av villkor om användningsbegränsning av PNR-information som överförts till ett tredjeland.
7 kap. Övriga bestämmelser
Enskildas rättigheter
1 § Vad som anges i 4 kap. 10 § brottsdatalagen (2018:000) om registrerads rätt till radering eller begränsning av behandling av personuppgifter ska tillämpas vid behandling i strid mot
1. 1 kap. 5 §,
2. 1 kap. 6 §, eller
3. 3 kap. 9 §.
Det framgår av 7 kap. 2 § brottsdatalagen att beslut enligt 4 kap. 10 § brottsdatalagen kan överklagas.
2 § Bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd ska tillämpas på motsvarande sätt vid behandling i strid med bestämmelser till skydd för personuppgifter i denna lag eller förordning som har meddelats i anslutning till den.
Tillsyn
3 § Tillsyn över personuppgiftsbehandling enligt denna lag ska utföras av tillsynsmyndigheten enligt brottsdatalagen (2018:000) och i enlighet med bestämmelserna om tillsyn i den lagen.
Sanktionsavgifter vid överträdelser av enheten för passagerarinformation eller en behörig myndighet
4 § Sanktionsavgift får tas ut av den personuppgiftsansvariga myndigheten vid överträdelse av bestämmelserna i
1. 1 kap. 5 eller 6 §,
2. 3 kap. 3-11 §§,
3. 4 kap. 7-9 §§,
4. 5 kap. 1, 2 eller 4 §§, eller
5. 6 kap. 1 eller 2 §§.
5 § Vad som sägs i 6 kap. 3 § tredje stycket och 4-8 §§ brottsdatalagen (2018:000) ska gälla även vid uttagande av sanktionsavgift enligt 4 §.
Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.
Det framgår av 7 kap. 4 § brottsdatalagen att tillsynsmyndighetens beslut om sanktionsavgift kan överklagas.
Bilaga
PNR-uppgifter som enligt 2 kap. 1 § ska föras över från lufttrafikföretag till enheten för passagerarinformation:
1. PNR-uppgifternas lokaliseringskod.
2. Datum för bokning/utfärdande av biljett.
3. Planerat eller planerade resedatum.
4. Namn.
5. Adress och kontaktuppgifter (telefonnummer och e-postadress).
6. All betalningsinformation, inklusive faktureringsadress.
7. Fullständig resplan.
8. Uppgifter om bonusprogram.
9. Resebyrå/reseagent.
10. Passagerarens resestatus, inklusive resebekräftelser, incheckningsstatus, upplysningar om passagerare som inte infinner sig (no show) och passagerare utan bokning (go show).
11. Delade PNR-uppgifter.
12. Allmänna anmärkningar, inklusive alla tillgängliga uppgifter om ensamresande barn under 18 år, såsom namn, kön, ålder, språkkunskaper, namn och kontaktuppgifter för den person som följer barnet till incheckning för avresan och denna persons förhållande till barnet, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet samt flygplatspersonal som ledsagar barnet vid avresan respektive ankomsten.
13. Biljettinformation, inklusive biljettnummer, datum för utfärdande av biljetten, enkelbiljetter och automatisk biljettprisuppgift.
14. Platsnummer och annan platsinformation.
15. Information om gemensam linjebeteckning.
16. All bagageinformation.
17. Antal medresenärer i PNR-uppgifterna och deras namn.
18. All eventuell förhandsinformation (API-uppgifter) som har samlats in, inklusive typ av identitetshandling, identitetshandlingens nummer, utfärdandeland, och sista giltighetsdag, nationalitet, efternamn, förnamn, kön, födelsedatum, lufttrafikföretag, flygnummer, utresedatum, ankomstdatum, avreseflygplats, ankomstflygplats, avresetid och ankomsttid.
19. Alla ändringar som har gjorts av de PNR-uppgifter som anges i punkterna 1-18.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i polislagen (1984:387)
Härigenom föreskrivs att 25 § polislagen (1984:387) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
25 §
Ett transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige ska på begäran av Polismyndigheten eller Säkerhetspolisen skyndsamt lämna de aktuella uppgifter om ankommande och avgående transporter, som företaget har tillgång till. Transportföretaget har endast skyldighet att lämna de uppgifter om passagerare som avser namn, resrutt, bagage och medpassagerare samt sättet för betalning och bokning.
Polismyndigheten får begära uppgifter enligt första stycket endast om uppgifterna kan antas ha betydelse för den brottsbekämpande verksamheten.
Vad som anges i första och andra stycket ska inte gälla när lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen är tillämplig.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns
mot ett annat land inom Europeiska unionen
Härigenom föreskrivs att 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
15 §
Transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige skall på begäran av Tullverket skyndsamt lämna de aktuella uppgifter om ankommande och avgående transporter, som företaget har tillgång till. Transportföretag har endast skyldighet att lämna de uppgifter om passagerare som avser namn, resrutt, bagage och medpassagerare samt sättet för betalning och bokning.
Tullverket får begära uppgifter enligt första stycket endast om uppgifterna kan antas ha betydelse för verkets brottsbekämpande verksamhet.
Vad som anges i första och andra stycket ska inte gälla när lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen är tillämplig.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2007:258) om behandling av personuppgifter i försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst
Härigenom föreskrivs att det i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst ska införas en ny paragraf, 1 kap. 1 a §, med följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
1 a §
I lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen och i föreskrifter som regeringen har meddelat i anslutning till den lagen finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs att det i polisdatalagen (2010:361) ska införas en ny paragraf, 1 kap. 4 a §, med följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
4 a §
I lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen och i föreskrifter som regeringen har meddelat i anslutning till den lagen finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i tullagen (2016:253)
Härigenom föreskrivs att det i tullagen (2016:253) ska införas en ny paragraf, 4 kap. 6 a §, med följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
4 kap.
6 a §
Vad som anges i 6 § ska inte gälla när lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen är tillämplig.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i tullbrottsdatalagen (2017:000)
Härigenom föreskrivs att 2 kap. 8 § tullbrottsdatalagen (2017:000) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 kap.
8 §
Personuppgifter som har lämnats till Tullverket från transportföretag enligt 4 kap. 6 § tullagen (2016:253) eller 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen får behandlas i den utsträckning det är tillåtet enligt dessa lagar och enbart i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt.
Om det behövs i ett enskilt fall får sådana personuppgifter behandlas för något annat ändamål som anges i 5 § och göras gemensamt tillgängliga.
I lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen och i föreskrifter som regeringen har meddelat i anslutning till den lagen finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
Denna lag träder i kraft den 25 maj 2018.
Förteckning över remissinstanserna
Remissinstanser som har gett in yttrande
Riksdagens ombudsmän, Hovrätten för Nedre Norrland, Stockholms tingsrätt, Kammarrätten i Jönköping, Förvaltningsrätten i Stockholm, Justitiekanslern, Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Säkerhets- och integritetsskyddsnämnden, Kriminalvården, Brottsförebyggande rådet, Kustbevakningen, Migrationsverket, Datainspektionen, Inspektionen för strategiska produkter, Försvarsmakten, Statens inspektion för försvarsunderrättelseverksamheten, Tullverket, Skatteverket, Göteborgs universitet, Försvarshögskolan, Strålsäkerhetsmyndigheten, Post- och telestyrelsen, Trafikverket, Transportstyrelsen, Sjöfartsverket, Luftfartsverket, Sveriges advokatsamfund, Polisförbundet, TULL-KUST, Svenska Journalistförbundet, Svenska flygbranschen, Svenska resebyrå- och arrangörsföreningen (SRF)
Remissinstanser som uttryckligen har avstått från att yttra sig
Uppsala universitet, IT&Telekomföretagen
Remissinstanser som inte har gett in något yttrande
Svensk Pilotförening, Tidningsutgivarna, Civil Rights Defenders, dataskydd.net Svenskt Flyg, Swedavia, Sveriges Regionala Flygplatser, IATA, SAS, Researrangörsföreningen i Sverige (RiS)
Lagrådsremissens lagförslag
Regeringen har följande förslag till lagtext.
Förslag till lag om flygpassageraruppgifter i brottsbekämpningen
Härigenom föreskrivs följande.
1 kap. Inledande bestämmelser
Lagens innehåll
1 § Denna lag genomför Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, här benämnt PNR-direktivet. Med PNR-uppgifter avses i lagen uppgifter om varje enskild passagerare som har lämnats vid bokning av en flygresa och vid incheckning.
Lagen innehåller bestämmelser om lufttrafikföretags överföring av PNR-uppgifter till enheten för passagerarinformation och om behandling av PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra
1. brott enligt artiklarna 3-12 och 14 i Europaparlamentets och rådets direktiv (EU) 2017/541 av den 15 mars 2017 om bekämpande av terrorism, om ersättande av rådets rambeslut 2002/475/RIF och om ändring av rådets beslut 2005/671/RIF (terroristbrottslighet), och
2. de brott som anges i bilaga II till PNR-direktivet och för vilka det i Sverige eller andra medlemsstater är föreskrivet fängelse i tre år eller mer (allvarlig brottslighet).
Lagens syfte
2 § Syftet med lagen är att tillgodose behovet av tillgång till PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och att skydda människor mot att deras personliga integritet kränks vid behandlingen av uppgifterna om dem.
Enhet för passagerarinformation
3 § Det ska vid Polismyndigheten finnas en enhet för passagerarinformation. Enheten ska ansvara för att
1. samla in PNR-uppgifter från lufttrafikföretag, bevara och i övrigt behandla uppgifterna, och
2. överföra PNR-information till behöriga mottagare och tredjeländer.
Övriga uttryck i lagen
4 § I lagen används följande uttryck med nedan angiven betydelse.
Uttryck
Betydelse
Behörighetsbegränsade PNR-uppgifter
Personuppgifter som har gjorts otillgängliga för en användare som saknar särskild behörighet för att få tillgång till uppgifterna.
Behörig mottagare
En behörig myndighet, en enhet för passagerarinformation i en annan medlemsstat, en myndighet som har utsetts som behörig i en annan medlemsstat eller Europol.
Behörig myndighet
En myndighet utsedd av regeringen som har behörighet att behandla PNR-information i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Lufttrafikföretag
Ett företag som har giltig operativ licens eller motsvarande som ger rätt att mot ersättning utföra lufttransporter av passagerare, och som i sin normala verksamhet samlar in och behandlar PNR-uppgifter i ett elektroniskt system för hantering av reservationer.
Medlemsstat
En stat som är medlem i Europeiska unionen och har antagit PNR-direktivet.
Passagerare
Alla personer, förutom besättningsmedlemmar, som transporteras eller ska transporteras med ett flygplan och som finns upptagna i passagerarförteckningen.
PNR-information
PNR-uppgifter och resultatet av en enhet för passagerarinformations behandling av sådana uppgifter.
Tredjeland
En stat som inte är en medlemsstat.
Tillåten behandling av PNR-information
5 § PNR-information får endast behandlas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, om inte annat anges i lagen.
Förbud mot behandling av känsliga personuppgifter
6 § PNR-uppgifter som utgör sådana personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas enligt lagen.
Nationell säkerhet
7 § Lagens bestämmelser om behandling av personuppgifter gäller inte för behöriga myndigheter i verksamhet som rör nationell säkerhet.
Enheten för passagerarinformation får behandla PNR-information när det är nödvändigt för att tillhandahålla uppgifter som behövs för sådan verksamhet.
2 kap. Lufttrafikföretagens skyldigheter
Överföring av PNR-uppgifter till enheten för passagerarinformation
1 § Lufttrafikföretag ska till enheten för passagerarinformation inför varje flygning som ankommer till eller avgår från Sverige överföra samtliga PNR-uppgifter som anges i bilagan till lagen. PNR-uppgifterna ska endast överföras i de fall lufttrafikföretagen samlar in uppgifterna som en del av sin normala verksamhet.
Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska det lufttrafikföretag som utför flygningen överföra PNR-uppgifter om samtliga passagerare.
2 § PNR-uppgifterna ska överföras
1. 24-48 timmar före flygningens avgång, och
2. omedelbart efter det att gatens dörrar har stängts.
Den andra överföringen får begränsas till uppdateringar och kompletteringar av de uppgifter som överfördes vid det första tillfället.
3 § Lufttrafikföretag ska på begäran av enheten för passagerarinformation överföra PNR-uppgifter även vid andra tidpunkter än de som anges i 2 §, om enheten bedömer att det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet.
4 § Lufttrafikföretag ska överföra PNR-uppgifterna elektroniskt. Enheten för passagerarinformation får inte medges direktåtkomst till PNR-uppgifter som behandlas vid lufttrafikföretagen.
5 § Den som är skyldig att överföra PNR-uppgifter enligt lagen får anlita ett personuppgiftsbiträde för att utföra överföringen.
Information till passagerare
6 § Lufttrafikföretag ska informera passagerare om överföringen av PNR-uppgifter till enheten för passagerarinformation och om skälen till överföringen.
Föreskrifter
7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om lufttrafikföretagens överföring av PNR-uppgifter till enheten för passagerarinformation.
3 kap. Behandling av PNR-information vid enheten för passagerarinformation
PNR-databas
1 § PNR-uppgifter som har överförts från ett lufttrafikföretag ska bevaras i en databas vid enheten för passagerarinformation.
2 § Enheten för passagerarinformation ska behandla PNR-information på en medlemsstats territorium.
Personuppgiftsansvar
3 § Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinformation.
Tillåtna ändamål för behandling av PNR-uppgifter
4 § Enheten för passagerarinformation får endast behandla PNR-uppgifter som har överförts från ett lufttrafikföretag för att
1. göra en förhandsbedömning av passagerare före deras beräknade ankomst till eller avresa från Sverige i syfte att välja ut personer som behöver utredas ytterligare av behöriga myndigheter eller Europol, på grund av att dessa personer kan vara inblandade i terroristbrottslighet eller annan allvarlig brottslighet,
2. fullgöra sina uppgifter att överföra PNR-information till behöriga mottagare eller tredjeländer, eller
3. göra analyser för att uppdatera eller skapa nya kriterier som ska användas vid förhandsbedömningar.
5 § Vid en förhandsbedömning får PNR-uppgifter
1. jämföras med register eller andra uppgiftssamlingar som är relevanta för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, och
2. behandlas enligt på förhand utformade och fastställda kriterier som är riktade, proportionella och avgränsade och som inte grundas på sådana känsliga personuppgifter som avses i 1 kap. 6 §.
6 § Enheten för passagerarinformation får endast behandla PNR-information som har överförts från motsvarande enheter i andra medlemsstater för att vidarebefordra uppgifterna till behöriga myndigheter.
Tillgång till PNR-information
7 § Endast den som tjänstgör vid enheten för passagerarinformation och den som fullgör uppgifter enligt lagen får ha tillgång till PNR-information som behandlas vid enheten. Tillgången ska begränsas till vad han eller hon behöver för att kunna fullgöra sina arbetsuppgifter.
Förbud mot direktåtkomst
8 § Direktåtkomst till PNR-information som behandlas vid enheten för passagerarinformation får inte medges.
Tid som PNR-uppgifter ska bevaras
9 § PNR-uppgifter som behandlas vid enheten för passagerarinformation ska bevaras i fem år från det att de kommit in från ett lufttrafikföretag. Därefter ska de förstöras.
10 § PNR-uppgifter som inte anges i bilagan till lagen eller som utgör sådana känsliga personuppgifter som avses i 1 kap. 6 § ska omedelbart förstöras om de kommer in till enheten för passagerarinformation.
Behörighetsbegränsning av PNR-uppgifter
11 § Följande PNR-uppgifter ska behörighetsbegränsas sex månader efter att de har kommit in från ett lufttrafikföretag om de kan användas för att identifiera en person
1. namn på passagerare,
2. antal passagerare som reser tillsammans,
3. adress och kontaktuppgifter,
4. alla former av betalningsinformation, inklusive faktureringsadress,
5. uppgifter om bonusprogram,
6. allmänna anmärkningar, och
7. uppgifter enligt punkten 18 i bilagan till lagen.
Dataskyddsombud
12 § Polismyndigheten ska utse ett dataskyddsombud för enheten för passagerarinformation.
Dataskyddsombudet ska ha tillgång till alla uppgifter som behandlas vid enheten.
13 § Utöver de uppgifter som anges i 3 kap. 14 § brottsdatalagen (2018:000) ska dataskyddsombudet vid enheten för passagerarinformation ansvara för genomförandet av relevanta skyddsåtgärder.
Enskilda ska ha rätt att kontakta dataskyddsombudet i alla frågor som rör behandling av den enskildas PNR-uppgifter enligt denna lag.
14 § Om dataskyddsombudet vid enheten för passagerarinformation anser att den personuppgiftsansvarige bryter mot bestämmelser för behandling av PNR-uppgifter, ska han eller hon anmäla det till tillsynsmyndigheten.
Föreskrifter
15 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om enheten för passagerarinformations behandling av PNR-information och dataskyddsombudets uppgifter.
4 kap. Överföring av PNR-information från enheten
för passagerarinformation
Överföring till behöriga myndigheter
1 § Enheten för passagerarinformation ska så snart som möjligt överföra PNR-information till en eller flera behöriga myndigheter för att
1. en vidare granskning ska göras av PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning,
2. besvara en begäran från en behörig myndighet om att ta del av PNR-information, eller
3. vidarebefordra PNR-information som har mottagits från en motsvarande enhet i en annan medlemsstat.
En befattningshavare vid enheten ska ha gjort en bedömning av PNR-informationen innan den lämnas ut från enheten.
Överföring till andra medlemsstater
2 § Enheten för passagerarinformation ska till en motsvarande enhet i en annan medlemsstat överföra sådan PNR-information som vid en förhandsbedömning bedömts vara relevant och nödvändig för vidare granskning i den andra medlemsstaten.
3 § Enheten för passagerarinformation ska så snart som möjligt besvara en begäran från en motsvarande enhet i en annan medlemsstat om att få ta del av PNR-information och överföra informationen dit.
4 § När det i ett enskilt brådskande fall är absolut nödvändigt ska enheten för passagerarinformation besvara en begäran från en myndighet som har utsetts som behörig i en annan medlemsstat och överföra PNR-information direkt till den myndigheten.
5 § När det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet, ska enheten för passagerarinformation på begäran av en motsvarande enhet i en annan medlemsstat inhämta PNR-uppgifter vid andra tidpunkter än de som anges i 2 kap. 2 § och överföra dessa till den enhet som har begärt dem.
Överföring till Europol
6 § Enheten för passagerarinformation ska så snart som möjligt besvara en begäran från Europol om att få ta del av PNR-information och överföra informationen dit.
Villkor för överföring
7 § Överföring enligt 1 § första stycket 2 samt 3, 4 och 6 §§ får endast ske om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Överföring till tredjeland
8 § Enheten för passagerarinformation får besvara en begäran och överföra PNR-information till en myndighet i ett tredjeland som är behörig att bedriva verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. PNR-information får överföras under förutsättning att
1. överföringen omfattas av ett beslut om adekvat skyddsnivå, tillräckliga skyddsåtgärder eller ett undantag för särskilda situationer enligt 8 kap. 1 § första stycket 3 brottsdatalagen (2018:000),
2. överföringen är nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, och
3. tredjelandet har godtagit att uppgifterna får vidareöverföras till ett annat tredjeland endast om det är absolut nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och efter det att ett uttryckligt medgivande till vidareöverföringen har inhämtats från enheten för passagerarinformation.
9 § Enheten för passagerarinformation ska vid överföring av PNR-information till ett tredjeland ställa upp villkor som begränsar möjligheten att använda informationen i strid med lagens syften.
10 § Om enheten för passagerarinformation har fått PNR-information från en annan medlemsstat krävs ett medgivande från den medlemsstaten till överföringen enligt 8 kap. 2 § första stycket brottsdatalagen (2018:000). Om medgivande till överföringen på grund av tidsbrist inte kan hämtas in i förväg, får informationen ändå överföras om det är absolut nödvändigt för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet.
Föreskrifter
11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om uppställande av villkor vid överföring till tredjeland och om information till en annan medlemsstat när personuppgifter har överförts utan förhandsmedgivande.
Överföring av behörighetsbegränsade PNR-uppgifter i sin fullständiga form
12 § PNR-uppgifter som är behörighetsbegränsade enligt 3 kap. 11 § får endast överföras i sin fullständiga form till behöriga mottagare eller ett tredjeland om det rimligen kan antas vara nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
Om en förundersökning pågår ska en begäran från en behörig myndighet om att få tillgång till fullständiga PNR-uppgifter beslutas av en åklagare.
I de fall som inte omfattas av andra stycket krävs att tillstånd till överföringen har lämnats av Polismyndigheten.
5 kap. Behöriga myndigheters behandling av PNR-information
Förstöring av PNR-information
1 § En behörig myndighet som har mottagit PNR-information från enheten för passagerarinformation efter enhetens förhandsbedömning ska omedelbart förstöra informationen om den visar sig sakna betydelse för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.
2 § För det fall en behörig myndighet mottar PNR-uppgifter som utgör sådana känsliga personuppgifter som avses i 1 kap. 6 § ska uppgifterna omedelbart förstöras.
Behandling av PNR-information för annan brottslighet
3 § Om det har kommit fram uppgifter om ett annat brott än terroristbrottslighet eller annan allvarlig brottslighet i samband med en brottsbekämpande åtgärd som en behörig myndighet vidtar till följd av behandling av PNR-information, får informationen, utöver vad som anges i 1 kap. 5 §, användas för att förhindra, utreda eller lagföra brottet.
Automatiserade beslut
4 § Ett beslut som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne får inte enbart grundas på en automatiserad behandling av PNR-uppgifter.
Föreskrifter
5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om behöriga myndigheters inhämtande av PNR-information.
6 kap. Sanktionsavgifter
Överträdelser av lufttrafikföretag
1 § En sanktionsavgift ska tas ut av ett lufttrafikföretag som inte har överfört PNR-uppgifter enligt bestämmelserna i denna lag eller föreskrifter som har meddelats i anslutning till lagen.
2 § Sanktionsavgiften ska för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet bestämmas till lägst 20 000 kronor och högst 100 000 kronor.
Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
3 § Polismyndigheten beslutar om sanktionsavgift för lufttrafikföretag.
Sanktionsavgiften tillfaller staten.
4 § En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från den dag då överträdelsen ägde rum.
5 § En sanktionsavgift ska betalas till Polismyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften fick laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska Polismyndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
Avgiften faller bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet fick laga kraft.
6 § Polismyndighetens beslut om sanktionsavgift får överklagas till allmän förvaltningsdomstol. När ett beslut överklagas är Polismyndigheten motpart i domstolen.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Överträdelser av personuppgiftsansvarig myndighet
7 § En sanktionsavgift får tas ut av en personuppgiftsansvarig myndighet vid överträdelse av bestämmelserna i
1. 1 kap. 5 eller 6 §,
2. någon av 3 kap. 2 eller 4-11 §§,
3. 4 kap. 8, 10 eller 12 §, eller
4. 5 kap. 1, 2 eller 4 §.
8 § Vad som anges i 6 kap. 3 § tredje stycket och 4-8 §§ brottsdatalagen (2018:000) ska tillämpas när en sanktionsavgift tas ut enligt 7 §.
Sanktionsavgiften ska vara högst 10 000 000 kronor.
Det framgår av 7 kap. 3 § brottsdatalagen att tillsynsmyndighetens beslut om sanktionsavgift kan överklagas.
Bemyndigande
9 § Regeringen får meddela ytterligare föreskrifter om sanktionsavgifter enligt denna lag.
7 kap. Övriga bestämmelser
Enskildas rättigheter
1 § Vad som anges i 4 kap. 10 § brottsdatalagen (2018:000) om en registrerads rätt till radering eller begränsning av behandling av personuppgifter ska tillämpas även vid behandling i strid med
1. 1 kap. 5 §,
2. 1 kap. 6 §, eller
3. 3 kap. 9 §.
Det framgår av 7 kap. 2 § brottsdatalagen att beslut enligt 4 kap. 10 § brottsdatalagen kan överklagas.
2 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling i strid med bestämmelser till skydd för personuppgifter i denna lag eller föreskrifter som har meddelats i anslutning till den.
Tillsyn
3 § Tillsyn över personuppgiftsbehandling enligt denna lag ska utföras av den nationella tillsynsmyndigheten enligt brottsdatalagen (2018:000) och i enlighet med bestämmelserna om tillsyn i den lagen.
Denna lag träder i kraft den 1 augusti 2018.
Bilaga
PNR-uppgifter som enligt 2 kap. 1 § ska överföras från lufttrafikföretag till enheten för passagerarinformation
1. PNR-uppgifternas lokaliseringskod,
2. datum för bokning och utfärdande av biljett,
3. planerat eller planerade resedatum,
4. namn,
5. adress och kontaktuppgifter (telefonnummer och e-postadress),
6. all betalningsinformation, inklusive faktureringsadress,
7. fullständig resplan,
8. uppgifter om bonusprogram,
9. resebyrå eller reseagent,
10. passagerarens resestatus, inklusive resebekräftelser, incheckningsstatus, upplysningar om passagerare som inte infinner sig och passagerare utan bokning,
11. delade PNR-uppgifter,
12. allmänna anmärkningar, inklusive alla tillgängliga uppgifter om ensamresande barn under 18 år, såsom namn, kön, ålder, språkkunskaper, namn och kontaktuppgifter för den person som följer barnet till incheckning för avresan och denna persons förhållande till barnet, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet samt flygplatspersonal som ledsagar barnet vid avresan respektive ankomsten,
13. biljettinformation, inklusive biljettnummer, datum för utfärdande av biljetten, enkelbiljetter och automatisk biljettprisuppgift,
14. platsnummer och annan platsinformation,
15. information om gemensam linjebeteckning,
16. all bagageinformation,
17. antal medresenärer och deras namn,
18. all eventuell förhandsinformation (API-uppgifter) som har samlats in, inklusive typ av identitetshandling, identitetshandlingens nummer, utfärdandeland, sista giltighetsdag, nationalitet, efternamn, förnamn, kön, födelsedatum, lufttrafikföretag, flygnummer, utresedatum, ankomstdatum, avreseflygplats, ankomstflygplats, avresetid och ankomsttid, och
19. alla ändringar som har gjorts av de PNR-uppgifter som anges i punkterna 1-18.
Förslag till lag om ändring i polislagen (1984:387)
Härigenom föreskrivs att 25 § polislagen (1984:387) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
25 §
Ett transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige ska på begäran av Polismyndigheten eller Säkerhetspolisen skyndsamt lämna de aktuella uppgifter om ankommande och avgående transporter, som företaget har tillgång till. Transportföretaget har endast skyldighet att lämna de uppgifter om passagerare som avser namn, resrutt, bagage och medpassagerare samt sättet för betalning och bokning.
Polismyndigheten får begära uppgifter enligt första stycket endast om uppgifterna kan antas ha betydelse för den brottsbekämpande verksamheten.
Vad som anges i första och andra styckena ska inte gälla lufttrafikföretag som omfattas av skyldigheten att överföra uppgifter enligt lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen, om inte uppgifterna behövs i verksamhet som rör nationell säkerhet.
Denna lag träder i kraft den 1 augusti 2018.
Förslag till lag om ändring i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns
mot ett annat land inom Europeiska unionen
Härigenom föreskrivs att 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
15 §
Transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige skall på begäran av Tullverket skyndsamt lämna de aktuella uppgifter om ankommande och avgående transporter, som företaget har tillgång till. Transportföretag har endast skyldighet att lämna de uppgifter om passagerare som avser namn, resrutt, bagage och medpassagerare samt sättet för betalning och bokning.
Tullverket får begära uppgifter enligt första stycket endast om uppgifterna kan antas ha betydelse för Tullverkets brottsbekämpande verksamhet.
Vad som anges i första och andra styckena ska inte gälla lufttrafikföretag som omfattas av skyldigheten att överföra uppgifter enligt lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen.
Denna lag träder i kraft den 1 augusti 2018.
Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs att 1 kap. 4 § polisdatalagen (2010:361) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
4 §
I lagen (2017:496) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
I lagen (2017:496) om internationellt polisiärt samarbete och i lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar, finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
Denna lag träder i kraft den 1 augusti 2018.
Förslag till lag om ändring i tullagen (2016:253)
Härigenom föreskrivs att det i tullagen (2016:253) ska införas en ny paragraf, 4 kap. 6 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
4 kap.
6 a §
Vad som anges i 6 § ska inte gälla lufttrafikföretag som omfattas av skyldigheten att överföra uppgifter enligt lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen.
Denna lag träder i kraft den 1 augusti 2018.
Förslag till lag om ändring i tullbrottsdatalagen (2017:447)
Härigenom föreskrivs att 2 kap. 8 § tullbrottsdatalagen (2017:447) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 kap.
8 §
Personuppgifter som har lämnats till Tullverket från transportföretag enligt 4 kap. 6 § tullagen (2016:253) eller 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen får behandlas i den utsträckning det är tillåtet enligt dessa lagar och enbart i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt.
Om det behövs i ett enskilt fall får sådana personuppgifter behandlas för något annat ändamål som anges i 5 § och göras gemensamt tillgängliga.
I lagen (2018:000) om flygpassageraruppgifter i brottsbekämpningen och i föreskrifter som regeringen har meddelat i anslutning till den lagen finns det särskilda bestämmelser om behandling av personuppgifter. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
Denna lag träder i kraft den 1 augusti 2018.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2018-03-21
Närvarande: F.d. justitieråden Ella Nyström och Olle Stenman samt justitierådet Per Classon
Lag om flygpassageraruppgifter i brottsbekämpningen
Enligt en lagrådsremiss den 1 mars 2018 har regeringen
(Justitiedepartementet) beslutat inhämta Lagrådets yttrande
över förslag till
1. lag om flygpassageraruppgifter i brottsbekämpningen,
2. lag om ändring i polislagen (1984:387),
3. lag om ändring i lagen (1996:701) om Tullverkets
befogenheter vid Sveriges gräns mot ett annat land inom
Europeiska unionen,
4. lag om ändring i polisdatalagen (2010:361),
5. lag om ändring i tullagen (2016:253),
6. lag om ändring i tullbrottsdatalagen (2017:447).
Förslagen har inför Lagrådet föredragits av rättssakkunniga
Sandra Melin.
Förslagen föranleder följande yttrande av Lagrådet:
I lagrådsremissen lämnas lagförslag som genomför Europaparlamentets och rådets direktiv 2016/681 om användning av passageraruppgiftssamlingar för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (PNR-direktivet). Direktivet genomförs huvudsakligen genom förslaget till lag om flygpassageraruppgifter i brottsbekämpningen. Lagen innehåller bl.a. bestämmelser om lufttrafikföretagens skyldigheter att överföra flygpassageraruppgifter (PNR-uppgifter) till enheten för passagerar-information och om behandlingen av sådana uppgifter. Syftet med lagen är att tillgodose behovet av tillgång till PNR-uppgifter i brottsbekämpningen men även att skydda enskilda mot att deras
personliga integritet kränks vid behandlingen av uppgifterna.
Förslaget till lag om flygpassageraruppgifter i brottsbekämpningen
3 kap. 2 §
I paragrafen anges att "Enheten för passagerarinformation ska
behandla PNR-information på en medlemsstats territorium". Den
föreslagna lydelsen möjliggör alltså att enheten för passagerar-information kan behandla PNR-information i en annan medlemsstat än Sverige.
Enligt remissen genomför paragrafen artikel 6.8 i PNR-direktivet. I artikeln föreskrivs att "Lagring, behandling och analys av PNR-uppgifter vid enheten för passagerarinformation ska uteslutande
utföras på en eller flera säkra platser på en medlemsstats
territorium". Av skäl 13 till direktivet framgår att denna enhet får ha olika avdelningar i en medlemsstat och att medlemsstater också
gemensamt får inrätta en enhet för passagerarinformation.
Enligt Lagrådets mening måste det ifrågasättas om genomförandet är förenligt med vad som föreskrivs i artikeln genom att den föreslagna bestämmelsen tillåter att enheten för passagerarinformation - som enligt förslaget ska vara en del av Polismyndigheten i Sverige - behandlar PNR-information utanför Sverige. Stöd för en sådan
tolkning kan enligt Lagrådets mening i vart fall inte utläsas av artikel 6.8 eller skäl 13. Ordalydelsen i artikeln ger snarare stöd för
tolkningen att PNR-uppgifter ska behandlas i den medlemsstat där den aktuella enheten för passagerarinformation är belägen men att enhetens behandling inte behöver vara organisatoriskt samlad till ett verksamhetsställe i medlemsstaten. Lagrådet förordar därför att detta ska framgå av paragrafen som då kan formuleras på följande sätt.
Enheten för passagerarinformation ska behandla PNR-informationen i
Sverige.
3 kap. 13 §
Paragrafen reglerar dataskyddsombudets uppgifter. Utöver de uppgifter som framgår av 3 kap. 14 § brottsdatalagen (2018:000), som i huvudsak innebär att kontrollera hur den personuppgiftsansvarige fullgör sina skyldigheter samt informera och ge råd, ska dataskyddsombudet ansvara för genomförandet av relevanta skyddsåtgärder. Av lagtexten framgår inte närmare innebörden av detta åliggande för dataskyddsombudet. Inte heller finns det i författningskommentaren något exempel på vad som kan vara relevanta skyddsåtgärder. Det bör under den fortsatta beredningen klargöras vad som avses.
4 kap. 1 §
I paragrafen regleras de situationer när enheten för passagerar-information ska överföra PNR-information till en behörig myndighet. I andra stycket föreskrivs att "En befattningshavare vid enheten ska ha gjort en bedömning av PNR-informationen innan den lämnas ut från enheten". Vid föredragningen har uppgetts att bestämmelsen bara avser den situation som regleras i första stycket 1, dvs. över-föring av PNR-information till en behörig myndighet för en vidare granskning beträffande passagerare som har valts ut vid en förhandsbedömning. Lagrådet anser att det i bestämmelsen i andra stycket bör klargöras att den bara avser denna situation.
Dessutom lämnas inte någon ledning i bestämmelsen om vad
bedömningen av PNR-informationen ska avse. I författnings-kommentaren till bestämmelsen anges att granskningen ska ske för att rensa bort eventuell information om personer som vid en snabb bedömning kan avfärdas såsom ointressanta för vidare granskning och att uppgifterna bara ska överföras till den behöriga myndighet som kan antas ha anledning att göra en vidare kontroll. Lagrådet förordar att denna relevansbedömning kommer till uttryck i bestämmelsen som då kan formuleras enligt följande.
I fall som avses i första stycket 1 ska en befattningshavare vid enheten innan PNR-informationen lämnas ut göra en bedömning av informationens relevans för en vidare granskning av den behöriga myndigheten.
4 kap. 2 §
Paragrafen reglerar överföringen av PNR-information från enheten för passagerarinformation till en motsvarande enhet i en annan medlemsstat. Bestämmelsen avser sådan information som avses i 4 kap. 1 § första stycket 1. Vid föredragningen har uppgetts att en överföring enligt denna paragraf bara får ske om enheten för passagerarinformation redan överfört informationen till en behörig myndighet, dvs. en myndighet i Sverige, och att en bedömning av informationen enligt 4 kap. 1 § andra stycket därför redan genomförts. Något behov av motsvarande bestämmelse om bedömning av informationen har därför inte ansetts nödvändig.
Enligt Lagrådet bör det komma till klart uttryck i paragrafen att överföring av information till en annan medlemsstat bara får ske om informationen dessförinnan överförts till en behörig myndighet. Paragrafen kan formuleras enligt följande.
Om enheten för passagerarinformation överfört PNR-information till en
behörig myndighet enligt 1 § första stycket 1 ska informationen överföras till en motsvarande enhet i en annan medlemsstat om den bedömts vara relevant och nödvändig för vidare granskning i den andra medlemsstaten.
4 kap. 6 §
Paragrafen reglerar överföring av PNR-information till Europol på begäran. Vid föredragningen har frågan uppkommit om enheten för passagerarinformation, utöver överföring av information på begäran enligt denna paragraf, även ska överföra information till Europol enligt den ordning som regleras i 4 kap. 1 § första stycket 1, dvs. överföring till en behörig myndighet utan någon föregående begäran. Europol är enligt definitionen i 1 kap. 4 § inte behörig myndighet i lagens mening. Samtidigt framstår det mot bakgrund av vad som föreskrivs i bestämmelsen i 3 kap. 4 § 1 att avsikten är att PNR-information ska kunna överföras utan begäran även till Europol enligt den ordning som gäller för överföring av information till behörig myndighet enligt 4 kap. 1 § första stycket 1. Frågan bör klargöras under den fortsatta beredningen.
6 kap. 2 §
I paragrafens första stycke föreskrivs att sanktionsavgiften ska för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet bestämmas till lägst 20 000 kronor och högst 100 000 kronor.
Sanktionsavgiften får enligt andra stycket sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Förvaltningsrätten i Stockholm framför i sitt remissyttrande över PNR-utredningens förslag att det är oklart om samma omständigheter kan beaktas både när det gäller avgiftens storlek, där rimlig förklaring ska beaktas vid storlekens sättande, och nedsättning av avgiften, där det ska beaktas om överträdelsen varit ursäktlig.
Med anledning av domstolens synpunkt anges bl.a. i författningskommentaren till bestämmelsen att vid bedömningen bör avgiftens storlek enligt första stycket bedömas mer schablonmässigt, utifrån överträdelsen i sig, medan rimliga förklaringar till överträdelsen bör få genomslag vid bedömningen av om avgiften ska sättas ned.
Lagrådet kan konstatera att paragrafen inte ger någon vägledning i den fråga som förvaltningsrätten väckt dvs. vilka omständigheter som ska bestämma den schablonmässiga avgiftsnivån. Andra stycket är dessutom utformat så att först när den nivån bestämts aktualiseras bedömningen av om avgiften ska sättas ned helt eller delvis därför att överträdelsen är ursäktlig etc.
Enligt Lagrådet skulle bestämmelsen vinna i tydlighet om det i en andra mening i första stycket anges exempel på omständigheter som ska vara vägledande för att bestämma avgiftsnivån i spannet 20 000 - 100 000 kronor i höjande eller sänkande riktning; jfr 25 kap. 10 § lagen (2007:528) om värdepappersrörelse. Det kan vara sådant som lufttrafikföretagets storlek i fråga om antalet passagerare som befordras, engångsförseelse eller upprepade förseelser, antalet passagerare på den enskilda flygningen, tekniska och andra fel som uppkommit med eller utan företagets förskyllan samt andra liknande omständigheter som verkar i försvårande eller förmildrande riktning.
6 kap. 6 §
I paragrafen, som rör överklagande till allmän förvaltningsdomstol av Polismyndighets beslut om sanktionsavgift, anges att Polismyndigheten är motpart i domstolen när ett beslut överklagas. Det framgår av 1 och 3 §§ att sanktionsavgift tas ut av lufttrafikföretag som inte har uppfyllt sina åligganden att överföra PNR-uppgifter.
För det fall en enskild överklagar en förvaltningsmyndighets beslut föreskrivs i 7 a § första stycket förvaltningsprocesslagen (1971:291) att den myndighet som först beslutade i saken ska vara den enskildes motpart sedan handlingarna i ärendet har överlämnats till domstolen. Den bestämmelsen synes vara tillämplig på överklaganden som görs av lufttrafikföretag. Vid föredragningen har angetts att överklagande av annan än enskild knappast kan komma i fråga. I så fall är det överflödigt att i paragrafen ange att Polismyndigheten är motpart.
6 kap. 9 §
I paragrafen bemyndigas regeringen att meddela ytterligare
föreskrifter om sanktionsavgifter.
Det framgår inte av lagrådsremissen vad som ska regleras i sådana föreskrifter. Om tanken är att förfarandet vid uttag av avgifterna ska regleras torde i detta avseende ett särskilt bemyndigande inte
behövas. En upplysningsbestämmelse med följande lydelse kan
ersätta bestämmelsen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare bestämmelser om sanktionsavgifter enligt denna lag.
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 19 april 2018
Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Y Johansson, M Johansson, Baylan, Hallengren, Bucht, Hultqvist, Hellmark Knutsson, Bolund, Damberg, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Eriksson, Linde, Skog, Ekström, Fritzon, Eneroth
Föredragande: statsrådet M Johansson
Regeringen beslutar proposition Lag om flygpassageraruppgifter i brottsbekämpningen