Regeringskansliets rättsdatabaser

Regeringens proposition Anpassning av lagen om passagerarregister till EU:s dataskyddsreform Prop. 2018/19:37 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 17 januari 2019 Stefan Löfven Heléne Fritzon (Justitiedepartementet) Propositionens huvudsakliga innehåll I propositionen föreslår regeringen ändringar i lagen (2006:444) om passagerarregister och utlänningslagen (2005:716). EU:s dataskyddsförordning, som började tillämpas den 25 maj 2018, är direkt tillämplig i Sverige. Förordningen kräver dock att svenska författningar anpassas för att säkerställa både att förordningen får ett effektivt genomslag och att svensk rätt inte strider mot förordningen. EU:s nya dataskyddsdirektiv genomförs i huvudsak genom brottsdatalagen (2018:1177) som trädde i kraft den 1 augusti 2018. Brottsdatalagen är generellt tillämplig inom det område som direktivet reglerar men subsidiär i förhållande till annan författning. I propositionen finns förslag till anpassningar av lagen om passagerarregister och utlänningslagen till EU:s dataskyddsreform. Vidare föreslår regeringen vissa ändringar som inte är en direkt följd av reformen, utan som bl.a. syftar till att göra regleringen mer ändamålsenlig. Lagändringarna föreslås träda i kraft den 1 maj 2019. Innehållsförteckning 1 Förslag till riksdagsbeslut 4 2 Lagtext 5 2.1 Förslag till lag om ändring i lagen (2006:444) om passagerarregister 5 2.2 Förslag till lag om ändring i utlänningslagen (2005:716) 9 3 Ärendet och dess beredning 10 4 Bestämmelser om behandling av personuppgifter 11 4.1 EU:s dataskyddsreform - dataskyddsförordningen och dataskyddsdirektivet 11 4.2 Nationell reglering anpassas till EU:s dataskyddsreform 11 4.3 Lagen om passagerarregister bygger på API-direktivet 12 5 Anpassning av bestämmelserna i lagen om passagerarregister 13 5.1 Anpassning till både dataskyddsförordningen och brottsdatalagen 13 5.2 Utrymmet för särskild reglering om personuppgiftsbehandling i lagen om passagerarregister 16 5.3 Förhållandet till annan lagstiftning 18 5.3.1 Förhållandet till den generella dataskyddsregleringen 18 5.3.2 Förhållandet till brottsdatalagen och lagen om polisens behandling av personuppgifter inom brottsdatalagens område 20 5.3.3 Inga hänvisningar i upplysningssyfte 21 5.4 Personuppgiftsansvar, ändamålet med registret och utlämnande av uppgifter 21 5.5 Enskildas rättigheter 22 5.6 Direktåtkomst 26 5.7 Elektroniskt utlämnande på annat sätt än genom direktåtkomst 28 5.8 Gallring 31 5.9 Föreskriftsrätt 32 6 Transportörers informationsskyldighet enligt utlänningslagen 34 7 Ikraftträdande- och övergångsbestämmelser 35 8 Konsekvenser av förslagen 36 9 Författningskommentar 37 Bilaga 1 Europaparlamentets och rådets förordning (EU) 2016/679 43 Bilaga 2 Rättelse till Europaparlamentets och rådets förordning (EU) 2016/679 131 Bilaga 3 Sammanfattning av departementspromemorian Anpassning av lagen om passagerarregister till EU:s dataskyddsreform (Ds 2018:12) 145 Bilaga 4 Promemorians lagförslag 146 Bilaga 5 Förteckning över remissinstanser 151 Bilaga 6 Lagrådsremissens lagförslag 152 Bilaga 7 Lagrådets yttrande 157 Utdrag ur protokoll vid regeringssammanträde den 17 januari 2019 158 1 Förslag till riksdagsbeslut Regeringens förslag: 1. Riksdagen antar regeringens förslag till lag om ändring i lagen (2006:444) om passagerarregister. 2. Riksdagen antar regeringens förslag till lag om ändring i utlänningslagen (2005:716). 2 Lagtext Regeringen har följande förslag till lagtext. 2.1 Förslag till lag om ändring i lagen (2006:444) om passagerarregister Härigenom föreskrivs i fråga om lagen (2006:444) om passagerarregister dels att rubriken närmast före 8 § ska utgå, dels att nuvarande 7 § ska betecknas 8 § och nuvarande 8 § ska betecknas 7 §, dels att 2, 3, 6, den nya 7, den nya 8, 9 och 10 §§ och rubrikerna närmast före 2, 6 och 10 §§ ska ha följande lydelse, dels att det ska införas tre nya paragrafer, 2 a, 2 b och 11 §§, och närmast före 11 § en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse Lagens tillämpningsområde Förhållandet till annan reglering 2 § Om inget annat följer av denna lag eller föreskrifter som har meddelats med stöd av den, tillämpas personuppgiftslagen (1998:204) vid behandlingen av personuppgifter i passagerarregistret. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. En registrerad person har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag. 2 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 2 b § När en behörig myndighet enligt 1 kap. 6 § brottsdatalagen (2018:1177) behandlar personuppgifter enligt denna lag för syften som faller inom tillämpningsområdet för brottsdatalagen gäller den lagen och föreskrifter som har meddelats i anslutning till den, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 3 § I denna lag avses med personkontroll: kontroll av personer vid inresa i Sverige, Schengenkonventionen: konventionen om tillämpning av Schengenavtalet av den 14 juni 1985. De begrepp som i övrigt används i denna lag har samma betydelse som i personuppgiftslagen (1998:204). Utlämnande av uppgifter Utlämnande av uppgifter och direktåtkomst 6 § Personuppgifter ur passagerarregistret ska lämnas ut på begäran av Säkerhetspolisen och Tullverket för sådan verksamhet som avses i 4 §. Regeringen får meddela föreskrifter om att uppgifter ur registret ska lämnas ut även till annan myndighet än dem som anges i första stycket för sådan verksamhet som avses i 4 §. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter ur registret ska lämnas ut även till annan myndighet än dem som anges i första stycket för sådan verksamhet som avses i 4 §. 8 § 7 § Säkerhetspolisen får för sådan verksamhet som avses i 4 § ha direktåtkomst till personuppgifterna i passagerarregistret. Regeringen får meddela föreskrifter om att även annan myndighet får ha direktåtkomst till registret för sådan verksamhet som avses i 4 §. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att även annan myndighet får ha direktåtkomst till registret för sådan verksamhet som avses i 4 §. 7 § 8 § Personuppgifter ur passagerarregistret får inte lämnas ut på medium för automatiserad behandling. Personuppgifter ur passagerarregistret får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt första stycket. 9 § En uppgift i passagerarregistret ska gallras inom 24 timmar efter överföringen till Polismyndigheten. Om uppgifter i registret behövs för att Polismyndigheten, Säkerhetspolisen eller Tullverket ska kunna verkställa personkontroller enligt 4 §, får uppgifterna i registret dock stå kvar till dess att myndighetens kontroller är slutförda. Regeringen får meddela föreskrifter om att uppgifter i registret får stå kvar till dess att någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt 4 §, har slutfört kontrollerna. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter i registret får stå kvar till dess att någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt 4 §, har slutfört kontrollerna. Rättelse och skadestånd Skadestånd inom tillämpningsområdet för brottsdatalagen 10 § Vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen gäller bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd. Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till lagen. Detta gäller endast vid behandling av personuppgifter som omfattas av tillämpningsområdet för brottsdatalagen. Rätten att göra invändningar 11 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 1. Denna lag träder i kraft den 1 maj 2019. 2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet. 2.2 Förslag till lag om ändring i utlänningslagen (2005:716) Härigenom föreskrivs att 9 kap. 3 e § utlänningslagen (2005:716) ska upphöra att gälla vid utgången av april 2019. 3 Ärendet och dess beredning Europeiska unionen har enats om en genomgripande dataskyddsreform som ska vara genomförd under våren 2018. Reformen omfattar dels Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad dataskyddsförordningen, dels Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här kallat dataskyddsdirektivet. Dataskyddsförordningen och en rättelse till den finns i svensk lydelse i bilagorna 1 och 2. I Justitiedepartementet har promemorian Anpassning av lagen om passagerarregister till EU:s dataskyddsreform tagits fram (Ds 2018:12). I promemorian behandlas även en begäran från Tullverket om att få direktåtkomst till personuppgifterna i passagerarregistret (Ju2017/02018/L7). En sammanfattning av promemorian finns i bilaga 3 och promemorians lagförslag finns i bilaga 4. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5. Promemorian och remissyttrandena finns tillgängliga i Justitiedepartementet (dnr Ju2018/02809/L7). Några remissinstanser har synpunkter och förslag när det gäller lagen om passagerarregister i frågor som inte har samband med anpassningen till EU:s dataskyddsreform och som inte heller i övrigt behandlas i promemorian. Det gäller bl.a. Polismyndigheten som efterfrågar ändringar i offentlighets- och sekretesslagen (2009:400) och att passagerarregistret även bör innehålla uppgift om kön samt Journalistförbundet som anser att det bör tillsättas en utredning i syfte att säkerställa en generell rätt att ta del av allmänna handlingar i elektronisk form. Dessa frågor behandlas inte i propositionen. Lagrådet Regeringen beslutade den 29 november 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 6. Lagrådets yttrande finns i bilaga 7. Lagrådets förslag behandlas i avsnitt 5.6 och 5.7 och i författningskommentaren. Regeringen följer Lagrådets förslag. I förhållande till lagrådsremissen görs också några redaktionella ändringar. 4 Bestämmelser om behandling av personuppgifter 4.1 EU:s dataskyddsreform - dataskyddsförordningen och dataskyddsdirektivet Europeiska unionens nya dataskyddsreglering består huvudsakligen av två rättsliga instrument. Det ena är dataskyddsförordningen och det andra är dataskyddsdirektivet. Reformen innebär att reglerna om personuppgiftsbehandling kommer att finnas i två parallella regelverk. Dataskyddsförordningen utgör från och med den 25 maj 2018 grunden för generell personuppgiftsbehandling inom EU. Det huvudsakliga syftet med förordningen är bl.a. att säkerställa en enhetlig skyddsnivå över hela unionen och att undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Förordningen är direkt tillämplig i alla EU:s medlemsstater men förutsätter och möjliggör samtidigt kompletterande och specificerade nationella bestämmelser av olika slag. Dataskyddsdirektivet, som ska vara genomfört i nationell rätt senast den 6 maj 2018, innehåller bestämmelser om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Även sådan personuppgiftsbehandling som utförs av behöriga myndigheter för att skydda mot, förebygga och förhindra hot mot den allmänna säkerheten ingår i tillämpningsområdet. Syftet med direktivet är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, samt att säkerställa att det utbyte av personuppgifter som krävs inom unionen mellan behöriga myndigheter varken begränsas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. Sådan behandling av personuppgifter som omfattas av det nya dataskyddsdirektivet är undantagen från dataskyddsförordningens tillämpningsområde (artikel 2.2 d i dataskyddsförordningen). 4.2 Nationell reglering anpassas till EU:s dataskyddsreform I propositionen Ny dataskyddslag föreslår regeringen att personuppgiftslagen (1998:204) ska upphävas och att en ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen (2018:218), ska införas (prop. 2017/18:105). Förslaget antogs av riksdagen den 18 april 2018 och trädde i kraft den 25 maj 2018. Personuppgiftslagen upphörde att gälla samma dag. Dataskyddslagen innehåller bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan i svensk rätt. Enligt övergångsbestämmelserna till lagen (p. 5) gäller personuppgiftslagen fortfarande i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i sektorsspecifika registerförfattningar. I propositionen Brottsdatalag föreslår regeringen att det nya dataskyddsdirektivet ska genomföras i svensk rätt huvudsakligen genom en ny ramlag, brottsdatalagen (prop. 2017/18:232). Förslaget antogs av riksdagen den 13 juni 2018 och trädde i kraft den 1 augusti 2018. Lagen är generellt tillämplig inom det område som direktivet reglerar men subsidiär i förhållande till annan lag eller förordning. 4.3 Lagen om passagerarregister bygger på API-direktivet Europeiska unionens råd antog den 29 april 2004 direktiv 2004/82/EG om skyldighet för transportörer att lämna uppgifter om passagerare, det s.k. API-direktivet. I direktivet regleras flygtransportörers skyldighet att översända förhandsinformation om passagerare (API-uppgifter) till behöriga nationella myndigheter. Syftet med direktivet är att förbättra gränskontrollerna och att bekämpa olaglig invandring. Direktivet utgör också ett led i kampen mot terrorism. API-direktivets bestämmelser om transportörers uppgiftsskyldighet har i Sverige genomförts genom bestämmelserna i 9 kap. 3 a-f §§ utlänningslagen (2005:716). Bestämmelserna innebär att en transportör som luftvägen transporterar passagerare till Sverige direkt från en stat som inte tillhör Europeiska unionen och inte heller har slutit avtal om samarbete enligt Schengenkonventionen med konventionsstaterna, på begäran av Polismyndigheten ska överföra uppgifter om de ankommande passagerarna så snart incheckningen avslutats. Informationen ska föras över till Polismyndigheten som ska spara uppgifterna i ett passagerarregister. Uppgiftsskyldigheten omfattar bl.a. namn, födelsedatum, medborgarskap, avgångs- och ankomsttid för transporten samt det totala antalet passagerare vid transporten. Lagen om passagerarregister (2006:444) är en registerförfattning som reglerar hur API-uppgifterna som har förts över till Polismyndigheten får behandlas. Lagen innehåller bl.a. bestämmelser om ändamålet med behandlingen, utlämnande av uppgifter, direktåtkomst, rättelse och skadestånd. Lagen gäller i dag utöver personuppgiftslagen. Om bestämmelserna i lagen om passagerarregister avviker från bestämmelserna i personuppgiftslagen ska alltså bestämmelserna i lagen om passagerarregister tillämpas. 5 Anpassning av bestämmelserna i lagen om passagerarregister 5.1 Anpassning till både dataskyddsförordningen och brottsdatalagen Regeringens bedömning: Behandlingen av personuppgifter enligt lagen om passagerarregister faller inom både dataskyddsförordningens och brottsdatalagens tillämpningsområde. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig i denna del. Polismyndigheten anser att den gränskontrollerande verksamheten är brottsbekämpande och att den därför enbart omfattas av dataskyddsdirektivets och brottsdatalagens tillämpningsområde. Datainspektionen anser att det tydligare bör framgå när passagerarregistret förs för syften som faller inom brottsdatalagens respektive dataskyddsförordningens tillämpningsområde. Enligt Sveriges advokatsamfund kan oklarheten kring vilket regelverk som gäller för personuppgiftsbehandlingen riskera att undergräva de registrerades rättigheter. Advokatsamfundet föreslår därför att behandlingen enligt lagen om passagerarregister renodlas på så sätt att lagen endast används för migrationskontroll så att endast dataskyddsförordningen är tillämplig och att de brottsbekämpande ändamål för vilka Polismyndigheten vill behandla passageraruppgifter kan tillgodoses av lagen (2018:1180) om flygpassageraruppgifter i brottsbekämpningen. Transportstyrelsen efterfrågar vägledning i hur bedömningen ska göras av vilket regelverk som är tillämpligt. Skälen för regeringens bedömning Vilket regelverk är tillämpligt? Vid en anpassning av lagen om passagerarregister till EU:s dataskyddsreform är en inledande fråga vilket regelverk som är tillämpligt, dataskyddsförordningen eller brottsdatalagen? Brottsdatalagen gäller enligt 1 kap. 2 § vid behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också vid behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet. För att brottsdatalagen ska vara tillämplig krävs alltså dels att den som behandlar personuppgifter är en behörig myndighet, dels att behandlingen utförs för något av de syften som anges i lagen. Med behörig myndighet avses bl.a. en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte (1 kap. 6 § brottsdatalagen). Exempelvis är Polismyndigheten en behörig myndighet när den behandlar personuppgifter som omfattas av lagens tillämpningsområde. Personuppgiftsbehandling inom brottsdatalagens tillämpningsområde är undantagen från dataskyddsförordningens tillämpningsområde. Syftet med personuppgiftsbehandlingen enligt lagen om passagerarregister blir därför avgörande för vilket regelverk som är tillämpligt. API-direktivet syftar enligt artikel 1 till att förbättra gränskontrollerna och bekämpa olaglig invandring genom att transportörer översänder förhandsuppgifter om passagerare. Vidare anges i artikel 6 att personuppgifter ska översändas i syfte att underlätta verkställandet av personkontroller vid de yttre gränser som passeras när passagerarna reser in på en medlemsstats territorium för att mer effektivt kunna bekämpa den olagliga invandringen. I lagen om passagerarregister är syftet annorlunda uttryckt. Enligt 4 § ska passagerarregistret föras för att underlätta verkställandet av personkontroller vid Sveriges gräns mot stater som inte tillhör EU och inte heller har träffat avtal om samarbete enligt Schengenkonventionen med konventionsstaterna. Bedömningen av vilken reglering som är tillämplig på personuppgiftsbehandling enligt lagen bör därför ta sin utgångspunkt i syftet med personkontrollen. Personkontrollen kan ha flera syften Enligt 9 kap. 1 § utlänningslagen ansvarar Polismyndigheten för kontroll av personer enligt kodexen om Schengengränserna. Tullverket och Kustbevakningen är skyldiga att hjälpa Polismyndigheten vid sådan kontroll och Migrationsverket får efter överenskommelse hjälpa till vid kontrollen. Polismyndigheten anser att den gränskontrollerande verksamheten enbart faller under dataskyddsdirektivets och brottsdatalagens tillämpningsområde och att dataskyddsförordningen inte är tillämplig. Regeringen instämmer i att personkontrollen, som är en del av den svenska gränskontrollen, kan ha brottsbekämpande syften, t.ex. att förhindra gränsöverskridande brottslighet och att kontrollera om den inresande är efterlyst för brott. Kontrollen är också ett verktyg för att avvärja hot mot allmän ordning och säkerhet. Som anförs i promemorian syftar personkontrollen emellertid även till att kontrollera behörigheten för icke-svenska medborgare att resa in och vistas här i landet. Kontrollen inriktas då på att identitet, pass, visering och andra handlingar är i ordning. Att kontrollen innefattar såväl migrationskontroll som brottsbekämpning anfördes också i förarbetena som skäl för att passagerarregistret skulle regleras i en egen registerförfattning, och inte i den dåvarande polisdatalagen (1998:622) som främst innehöll bestämmelser om register för den brottsbekämpande verksamheten (prop. 2005/06:129 s. 48). Som anges ovan syftar API-direktivet både till att förbättra gränskontrollerna och bekämpa olaglig invandring. Eftersom lagen genomför API-direktivet finns det därför inte heller förutsättningar att, såsom Sveriges advokatsamfund föreslår, bara tillämpa lagen för migrationskontroll. I likhet med promemorian anser regeringen att det dubbla syftet innebär att behandling av personuppgifter enligt lagen om passagerarregister kan falla inom både dataskyddsförordningens och brottsdatalagens tillämpningsområde. Det finns därför behov av att se över vilka anpassningar av lagens bestämmelser som krävs i förhållande till båda regelverken. Gränsdragningsfrågor Några remissinstanser har synpunkter på att det inte alltid är tydligt vilket regelverk som är tillämpligt i olika situationer vid behandlingen av personuppgifter enligt lagen om passagerarregister. Enligt Datainspektionen bör det tydligare framgå när passagerarregistret förs för syften som faller inom brottsdatalagens respektive dataskyddsförordningens tillämpningsområde. Sveriges advokatsamfund anser att oklarheten kring vilket regelverk som gäller för personuppgiftsbehandlingen kan riskera att undergräva de registrerades rättigheter. Transportstyrelsen framhåller att även Polismyndighetens mottagande av uppgifterna, liksom transportörens insamlande och översändande, är att betrakta som personuppgiftsbehandling och att det i dessa skeenden kan vara svårt att avgöra syftet med behandlingen. Regeringen har förståelse för dessa synpunkter men anser att gränsdragningsfrågorna är oundvikliga. Vilket regelverk som ska tillämpas i det enskilda fallet beror nämligen på syftet med personuppgiftsbehandlingen. I det enskilda fallet blir det myndigheten och den handläggande tjänstemannen som får avgöra vilken lagstiftning som är tillämplig. Detta är ett resultat av den nya EU-regleringen på området som är svårt att undvika. I vissa fall kan samma personuppgiftsbehandling ha flera olika syften, varav det ena ligger inom brottsdatalagens tillämpningsområde och det andra utanför. Ett sådant exempel är just kontroll av pass och resehandlingar vid inresa till Sverige, som kan kontrolleras både med avseende på om personen har rätt att resa in i Sverige (innehav av giltigt pass, behov av visum och liknande) och mot bl.a. SIS-registret, som innehåller uppgifter om personer som är efterlysta för brott. Den behandling som görs med stöd av utlännings- och medborgarskapslagstiftningen omfattas av dataskyddsförordningens tillämpningsområde, medan brottsdatalagen ska tillämpas på den behandling som har ett brottsbekämpande syfte. Regelverken kan då vara tillämpliga parallellt. Sådana situationer bör alltså betraktas som olika behandlingar av personuppgifter som var och en måste ha stöd i och följa gällande regelverk (prop. 2017/18:232 s. 101). Svårigheterna med att avgöra vilket regelverk som ska tillämpas bör enligt regeringen inte överdrivas. Sedan tidigare är myndigheter vana att tillämpa olika regelverk - den numera upphävda personuppgiftslagen och myndighetsanknutna registerförfattningar - beroende på i vilken verksamhet personuppgifterna behandlas. Frågan om dubbla regleringar när det gäller personuppgiftsbehandling är således inte ny. I propositionen Brottsdatalag (prop. 2017/18:232) redovisar regeringen vissa principer som bör vara vägledande i gränsdragningen mellan dataskyddsförordningen och brottsdatalagen. Bland annat anges att personuppgiftsbehandling inom ramen för kontrollverksamhet, t.ex. gränskontrollverksamhet, ligger utanför brottsdatalagens tillämpningsområde i den mån den inte utförs i brottsbekämpande syfte. Det gäller även i de fall där kontrollen utförs av tjänstemän som också har brottsbekämpande uppgifter (s. 113). 5.2 Utrymmet för särskild reglering om personuppgiftsbehandling i lagen om passagerarregister Regeringens bedömning: Dataskyddsförordningen och brottsdatalagen ger utrymme för en sådan särskild reglering om behandling av personuppgifter som finns i lagen om passagerarregister. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Uppsala universitet efterfrågar ett resonemang om att dataskyddsförordningen och dataskyddsdirektivet syftar till att skydda vissa grundläggande rättigheter och att lagen om passagerarregister har karaktären av en undantagslagstiftning från dessa rättigheter. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen. Skälen för regeringens bedömning Dataskyddsförordningen ger utrymme för en sådan särskild reglering av personuppgiftsbehandling som finns i lagen om passagerarregister EU-förordningar ska enligt artikel 288 i fördraget om Europeiska unionens funktionssätt ha allmän giltighet samt vara till alla delar bindande och direkt tillämpliga i varje medlemsstat i EU. Förordningar gäller alltså fullt ut och med samma innehåll inom hela EU och ska inte genomföras i nationell rätt. En medlemsstat kan behålla eller införa nationell lagstiftning på det område som en förordning omfattar, bara om förordningen ger utrymme för det. Som Uppsala universitet påpekar är skyddet för fysiska personer vid behandling av personuppgifter en grundläggande rättighet (artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna). En förutsättning för all personuppgiftsbehandling är att den sker i enlighet med de grundläggande principerna för behandling som uppställs i artikel 5 i dataskyddsförordningen, t.ex. att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Detta förutsätter emellertid att det är fråga om sådan personuppgiftsbehandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). I enlighet med skäl 8 i dataskyddsförordningen kan medlemsstaterna dessutom under vissa förutsättningar, och i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga, införliva delar av förordningen i nationell rätt. Enligt artikel 6.3 första stycket i dataskyddsförordningen ska de grunder för behandlingen som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten. Enligt artikel 6.3 andra stycket ska vidare syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan enligt artikel 6.3 andra stycket innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Bestämmelserna kan bl.a. gälla de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas och vilka registrerade som berörs. Bestämmelserna kan vidare gälla de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstider samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. De särskilda bestämmelserna i den nationella rätten ska i detta avseende uppfylla ett mål av allmänt intresse och vara proportionerliga mot det legitima mål som eftersträvas. Enligt artikel 23 i dataskyddsförordningen får begränsningar ske av vissa av de rättigheter och skyldigheter som föreskrivs i förordningen. Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker i syfte att säkerställa något av de ändamål som anges i artikel 23, t.ex. unionens eller en medlemsstats viktiga mål av generellt allmänt intresse eller skydd av rättsväsendets oberoende och rättsliga åtgärder. Polismyndighetens skyldighet att föra passagerarregistret är fastställd genom lag. Personuppgiftsbehandlingen är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Vidare uppfyller den ett mål av allmänt intresse och är proportionell mot det legitima mål som eftersträvas. Personuppgiftsbehandling enligt lagen om passagerarregister är därmed förenlig med dataskyddsförordningens krav på laglig behandling. Som redogjorts för ovan ger dataskyddsförordningen utrymme att såväl begränsa möjligheten att behandla personuppgifter som att utöka skyldigheten genom mer specificerade krav i förhållande till förordningen. Det måste dock vara fråga om sådana begränsningar till dataskyddsförordningens bestämmelser, eller sådana specifika bestämmelser som kan anses anpassa tillämpningen av förordningens bestämmelser, som är tillåtna. I lagen om passagerarregister finns bestämmelser om bl.a. tillåtna ändamål (4 §), vilka uppgifter som passagerarregistret får innehålla (5 §), utlämnande av uppgifter (6 och 7 §§), direktåtkomst (8 §), gallring (9 §) samt rättelse och skadestånd (10 §). Bestämmelserna utgör specifika krav för uppgiftsbehandlingen som säkerställer en laglig och rättvis behandling av personuppgifter. Det bedöms vara möjligt att behålla lagens kompletterande reglering även nu när dataskyddsförordningen har börjat tillämpas. Det finns dock behov av att förändra regleringen om hur lagen förhåller sig till annan lagstiftning. Vidare finns det skäl att överväga om vissa av bestämmelserna bör ändras eller upphävas med anledning av dataskyddsförordningen. Detta behandlas i de följande avsnitten. Brottsdatalagen ger utrymme för en sådan särskild reglering av personuppgiftsbehandling som finns i lagen om passagerarregister Ett direktiv innebär en skyldighet för medlemsstaterna att införa föreskrifter i enlighet med direktivet. Det nya dataskyddsdirektivet genomförs i huvudsak genom brottsdatalagen. Lagen är en ramlag som är anpassad till skyldigheterna och kraven i direktivet. I 2 kap. 1 § brottsdatalagen anges att personuppgifter får behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Med en behörig myndighets uppgift avses en uppgift som framgår av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften. Paragrafen reglerar, tillsammans med 2 §, de tillåtna rättsliga grunderna för behandling av personuppgifter enligt lagen. Brottsdatalagen är subsidiär i förhållande till bestämmelser i annan lag eller förordning. I avsnitt 5.3.2 föreslås att bestämmelserna i lagen om passagerarregister och anslutande föreskrifter ska ha företräde framför brottsdatalagens bestämmelser. Som nämns i det föregående innehåller lagen om passagerarregister specifika bestämmelser som bl.a. preciserar syftet med behandlingen, vilka personuppgifter som får behandlas och behandlingens ändamål. Att Polismyndigheten åläggs att föra ett passagerarregister innebär att myndigheten uttryckligen getts en uppgift som omfattas av de syften som ingår i brottsdatalagens tillämpningsområde. Brottsdatalagen ger därför utrymme för en sådan särskild reglering om behandling av personuppgifter som finns i lagen om passagerarregister. Det finns dock även i förhållande till brottsdatalagen behov av att göra vissa anpassningar av bestämmelserna i lagen. Detta behandlas i de följande avsnitten. 5.3 Förhållandet till annan lagstiftning 5.3.1 Förhållandet till den generella dataskyddsregleringen Regeringens förslag: Bestämmelsen i lagen om passagerarregister om hur lagen förhåller sig till personuppgiftslagen ska upphävas och alla hänvisningar till personuppgiftslagen ska tas bort. I lagen införs i stället en bestämmelse som klargör att lagen kompletterar EU:s dataskyddsförordning. Det införs också en bestämmelse som anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av lagen om passagerarregister eller föreskrifter som har meddelats i anslutning till lagen. Promemorians förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens förslag Hänvisningarna till personuppgiftslagen tas bort I 2 § första stycket lagen om passagerarregister regleras lagens förhållande till personuppgiftslagen. Om inget annat följer av lagen om passagerarregister eller föreskrifter som har meddelats med stöd av den, tillämpas personuppgiftslagen vid behandlingen av personuppgifter i passagerarregistret. Enligt 3 § har de begrepp som används i lagen samma betydelse som i personuppgiftslagen. Vidare anges i 10 § att bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen om passagerarregister eller enligt föreskrifter som har meddelats med stöd av lagen. När dataskyddsförordningen började tillämpas den 25 maj 2018 upphävdes personuppgiftslagen, vilket innebär att hänvisningar till personuppgiftslagen inte kan finnas kvar. Bestämmelsen om hur lagen om passagerarregister förhåller sig till personuppgiftslagen bör därför upphävas och alla hänvisningar till personuppgiftslagen tas bort. Lagen om passagerarregisters förhållande till dataskyddsförordningen Dataskyddsförordningen utgör den generella reglering för behandling av personuppgifter som lagen om passagerarregister måste anpassas till. Lagen om passagerarregister kommer, som konstateras i avsnitt 5.2, att innehålla bestämmelser som kompletterar dataskyddsförordningen. Det bör införas en bestämmelse i lagen som upplyser om detta. De hänvisningar som föreslås i propositionen bör vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i dataskyddsförordningen får omedelbart genomslag. Det kan emellertid inte uteslutas att lagen om passagerarregister ändå kan behöva ändras i samband med framtida ändringar i förordningen. Lagen om passagerarregisters förhållande till dataskyddslagen Lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) innehåller de bestämmelser som på ett generellt plan kompletterar dataskyddsförordningen. Dataskyddslagen är, i likhet med personuppgiftslagen, subsidiär i förhållande till bestämmelser i annan lag eller förordning (1 kap. 6 §). Lagen om passagerarregister bör ha motsvarande förhållande till dataskyddslagen som den har till personuppgiftslagen. Dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen bör alltså gälla, om inte annat följer av lagen om passagerarregister eller anslutande föreskrifter. Det bör införas en bestämmelse i lagen om passagerarregister som upplyser om detta. 5.3.2 Förhållandet till brottsdatalagen och lagen om polisens behandling av personuppgifter inom brottsdatalagens område Regeringens förslag: När en behörig myndighet behandlar personuppgifter enligt lagen om passagerarregister för syften som faller inom brottsdatalagens tillämpningsområde ska brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen gälla, om inte annat följer av lagen om passagerarregister eller föreskrifter som har meddelats i anslutning till lagen. En bestämmelse med sådant innehåll ska införas i lagen om passagerarregister. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig i denna del. Uppsala universitet anser att relationen mellan lagen om passagerarregister, brottsdatalagen och polisdatalagen (2010:361) med fördel kan förtydligas. Transportstyrelsen påpekar att all behandling som sker med stöd av lagen om passagerarregister är undantagen polisdatalagen vare sig behandlingen sker i syften som omfattas av brottsdatalagen eller dataskyddsförordningen. Transportstyrelsen har också, liksom Kammarrätten i Sundsvall, lagtekniska synpunkter. Skälen för regeringens förslag Lagen om passagerarregisters förhållande till brottsdatalagen Personuppgiftsbehandling enligt lagen om passagerarregister som sker för brottsbekämpande syften faller inom brottsdatalagens tillämpningsområde (se avsnitt 5.1). Även brottsdatalagen är subsidiär i förhållande till bestämmelser i annan lag eller förordning (1 kap. 5 § brottsdatalagen). Det bör i lagen om passagerarregister införas en bestämmelse som anger att brottsdatalagen och anslutande föreskrifter gäller, om inte annat följer av lagen om passagerarregister eller föreskrifter som har meddelats i anslutning till den. Förutom att syftet med personuppgiftsbehandlingen är avgörande för om brottsdatalagen är tillämplig krävs det också att myndigheten agerar i egenskap av behörig myndighet enligt 1 kap. 6 § den lagen. Bestämmelsen i lagen om passagerarregister bör anpassas till detta. Enligt Transportstyrelsen bör det bl.a. framgå av lagen om passagerarregister att termer och uttryck enligt lagen har samma betydelse som i dataskyddsförordningen och brottsdatalagen. En bestämmelse med liknande innehåll som Transportstyrelsen föreslår finns i 1 kap. 1 § andra stycket dataskyddslagen. Den bestämmelsen förhåller sig enbart till dataskyddsförordningen. I registerförfattningar som anpassas till EU:s dataskyddsreform förekommer däremot i princip inte sådana bestämmelser. Enligt regeringen saknas det skäl att införa en sådan bestämmelse i lagen om passagerarregister. Det finns inte heller skäl att i övrigt göra några lagtekniska förändringar. Lagen om passagerarregisters förhållande till lagen om polisens behandling av personuppgifter inom brottsdatalagens område Lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område - som ersätter den nu upphävda polisdatalagen - är en registerförfattning som gäller bl.a. när Polismyndigheten, i egenskap av behörig myndighet, behandlar personuppgifter i brottsbekämpande syfte (1 kap. 1 §). Lagen gäller inte vid behandling av personuppgifter enligt vissa uppräknade lagar, bl.a. lagen om passagerarregister (1 kap. 2 §). Enligt regeringen är det genom bestämmelsen tydligt att i den mån personuppgifter behandlas med stöd av lagen om passagerarregister ska lagen om polisens behandling av personuppgifter inom brottsdatalagens område inte tillämpas. Det saknas skäl att, såsom Uppsala universitet och Transportstyrelsen är inne på, förtydliga detta ytterligare. 5.3.3 Inga hänvisningar i upplysningssyfte Regeringens bedömning: Det bör inte införas några hänvisningar till dataskyddsförordningen, dataskyddslagen eller brottsdatalagen endast i upplysningssyfte. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens bedömning: I lagen om passagerarregister finns som nämns i avsnitt 5.3.1 vissa hänvisningar till personuppgiftslagens bestämmelser. Det skulle kunna ligga nära till hands att ersätta hänvisningarna till personuppgiftslagen med hänvisningar till motsvarande bestämmelser i dataskyddsförordningen, dataskyddslagen och brottsdatalagen. Att enbart i upplysningssyfte hänvisa till vissa bestämmelser i dessa regelverk, som dessutom är relativt komplexa, innebär emellertid en risk för otydlighet för tillämparen. Vidare finns det risk för missuppfattningen att de bestämmelser i regelverken som det inte hänvisas till inte är tillämpliga. Dataskyddsförordningen är dessutom direkt tillämplig. Det bör därför inte införas några sådana hänvisningar i lagen om passagerarregister. 5.4 Personuppgiftsansvar, ändamålet med registret och utlämnande av uppgifter Regeringens bedömning: Bestämmelserna om personuppgiftsansvar, ändamålet med registret och utlämnande av uppgifter i lagen om passagerarregister är förenliga med dataskyddsförordningen och brottsdatalagen och kan behållas. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens bedömning: Lagen om passagerarregister innehåller, i likhet med många andra registerförfattningar, en verksamhetsspecifik ändamålsbestämmelse som anger den yttersta ram inom vilken personuppgifter får behandlas. Enligt 4 § ska passagerarregistret föras för att underlätta verkställandet av personkontroller vid Sveriges gräns mot stater som inte tillhör Europeiska unionen och inte heller har träffat avtal om samarbete enligt Schengenkonventionen med konventionsstaterna. Av 1 § framgår att Polismyndigheten är personuppgiftsansvarig för behandlingen av personuppgifter i passagerarregistret. Enligt 6 § ska personuppgifter ur passagerarregistret lämnas ut på begäran av Säkerhetspolisen och Tullverket för sådan verksamhet som avses i ändamålsbestämmelsen i 4 §. Regeringen får meddela föreskrifter om att uppgifter ur registret ska lämnas ut även till annan myndighet för sådan verksamhet. Regeringen har inte utnyttjat sin föreskriftsrätt. I promemorian görs bedömningen att bestämmelserna om personuppgiftsansvar, ändamålet med registret och utlämnande av uppgifter är förenliga med dataskyddsförordningen och brottsdatalagen. Ingen remissinstans invänder mot detta. Även regeringen delar promemorians bedömning att bestämmelserna är förenliga med dataskyddsförordningen och brottsdatalagen och därför inte behöver ändras. I avsnitt 5.9 föreslås att bestämmelsen om regeringens föreskriftsrätt i 6 § omformuleras till en upplysningsbestämmelse. 5.5 Enskildas rättigheter Regeringens förslag: Bestämmelsen om rättelse i lagen om passagerarregister ska upphävas. Det ska i bestämmelsen om skadestånd införas en hänvisning till brottsdatalagens bestämmelse om skadestånd. Bestämmelsen om att en registrerad inte har rätt att motsätta sig sådan behandling som är tillåten enligt lagen ska anpassas språkligt till dataskyddsförordningen. Regeringens bedömning: Det bör även fortsättningsvis framgå av lagen om passagerarregister att en registrerad inte har rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen. Promemorians förslag och bedömning överensstämmer med regeringens. Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig i denna del. Sveriges advokatsamfund ifrågasätter nödvändigheten av en begränsning av de registrerades rätt att göra invändningar mot personuppgiftsbehandlingen. Transportstyrelsen motsätter sig inte förslaget att begränsa rätten att göra invändningar men efterlyser ett resonemang kring kravet på lagstiftningsåtgärder som innehåller specifika bestämmelser avseende de registrerades rätt att bli informerade om begränsningen. Skälen för regeringens förslag och bedömning I lagen om passagerarregister finns vissa bestämmelser som tar sikte på enskildas rättigheter. Av 2 § andra stycket framgår att den registrerade inte har rätt att motsätta sig sådan behandling som är tillåten enligt lagen och i 10 § regleras rätten till rättelse och skadestånd genom en hänvisning till personuppgiftslagen. Möjligheten att begränsa rätten att göra invändningar Dataskyddsförordningen innehåller en rätt för den registrerade att invända mot behandling av personuppgifter i artikel 21. Där stadgas att den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning) eller 6.1 f (den allmänna intresseavvägningen som inte gäller för myndigheter när de fullgör sina uppgifter). Följden av att en invändning görs enligt artikel 21.1 är att den personuppgiftsansvarige inte längre får behandla personuppgifterna om denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Genom artikel 23.1 i dataskyddsförordningen ges medlemsstaterna möjlighet att begränsa vissa av förordningens rättigheter och skyldigheter, inklusive rätten att göra invändningar enligt artikel 21. Enligt artikel 23.1 får en sådan begränsning göras om den sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa bl.a. den nationella och allmänna säkerheten, förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten (artikel 23.1 d), eller andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse (artikel 23.1 e). I artikel 23.2 anges vidare att lagstiftningsåtgärder som avses i punkt 1 ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende bl.a. ändamålen med behandlingen eller kategorierna av behandling och lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling. Den behandling av personuppgifter som regleras i lagen om passagerarregister kan, som framgår av avsnitt 5.2, vara nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). När behandling sker på den sistnämnda grunden är rätten att göra invändningar enligt artikel 21 tillämplig. I de fall en sådan behandling sker för att fastställa, utöva eller försvara ett rättsligt anspråk kan den personuppgiftsansvarige, i enlighet med artikel 21.1, fortsätta att behandla uppgifterna även efter en invändning från den enskilde. I likhet med promemorian anser regeringen att det är av stor betydelse att personuppgifter får behandlas i verksamhet som avser verkställandet av personkontroller oberoende av den registrerades inställning. Den personuppgiftsansvarige kan i princip undantagslöst visa på skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet. Under dessa omständigheter, och för att fullt ut säkerställa förutsättningarna att behandla relevanta personuppgifter anser regeringen, till skillnad från Sveriges advokatsamfund, att den registrerade inte heller fortsättningsvis bör ha någon rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen. En sådan begränsning måste anses utgöra en nödvändig och proportionell åtgärd i syfte att bl.a. säkerställa ett viktigt mål av generellt allmänt intresse. Lagen om passagerarregister innehåller dessutom specifika bestämmelser om ändamålet med behandlingen, de kategorier av personuppgifter som får behandlas samt gallring. Regleringen innebär en relativt snäv ram för personuppgiftsbehandlingen och minimerar risken för kränkning av den registrerades rättigheter och friheter. Transportstyrelsen efterfrågar ett särskilt resonemang kring kravet på lagstiftningsåtgärder som innehåller specifika bestämmelser avseende de registrerades rätt att bli informerade om begränsningen (artikel 23. 2 h). Regeringen anser, i likhet med promemorian, att lagen får anses uppfylla de krav som ställs i artikel 23.2 i dataskyddsförordningen i de avseenden som är relevanta. Någon ytterligare reglering behövs inte. Bestämmelsen i 2 § andra stycket lagen om passagerarregister om att en registrerad inte har rätt att motsätta sig behandling kan med utgångspunkt i dataskyddsförordningen därför i princip behållas. Den bör dock omformuleras så att det tydligt framgår att den utgör en begränsning av rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen. Bestämmelsen bör även ges en annan placering i lagen. Detta innebär inte någon förändring i sak. I brottsdatalagen finns inga motsvarande bestämmelser om rätt att göra invändningar som i dataskyddsförordningen. Den föreslagna bestämmelsen i lagen om passagerarregister är alltså förenlig även med brottsdatalagen. Rätten till rättelse och radering av personuppgifter Enligt 28 § personuppgiftslagen är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Bestämmelsen gäller vid behandling av personuppgifter enligt lagen om passagerarregister (10 §). Av 28 § personuppgiftslagen framgår också att den personuppgiftsansvarige i vissa fall ska underrätta tredje man, till vilken uppgifterna har lämnats ut, om korrigeringsåtgärden. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Regleringen i 28 § personuppgiftslagen motsvaras i dataskyddsförordningen av artikel 16 om rätten till rättelse, artikel 17 om rätten till radering, artikel 18 om rätten till begränsning av behandling och artikel 19 om anmälningsskyldighet avseende rättelse, radering eller begränsning av behandling. Artikel 16 innebär att den registrerade har rätt att utan onödigt dröjsmål få felaktiga personuppgifter rättade. Den registrerade har även rätt att, med beaktande av ändamålet med behandlingen, komplettera ofullständiga uppgifter. Artikel 17 innebär att den registrerade under vissa förutsättningar har rätt att utan onödigt dröjsmål få sina personuppgifter raderade, bl.a. om personuppgifterna har behandlats på ett olagligt sätt. Av artikel 18 följer att den registrerade har rätt att kräva att behandlingen begränsas, bl.a. om behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning. Enligt artikel 19 ska den personuppgiftsansvarige underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller radering eller begränsningar av behandling som skett enligt artiklarna 16, 17.1 och 18, om detta inte visar sig vara omöjligt eller medför en oproportionell ansträngning. Utformningen av dessa artiklar innebär att de, till skillnad från 28 § personuppgiftslagen, kommer att vara direkt tillämpliga även vid sådan personuppgiftsbehandling som sker i strid med lagen om passagerarregister. Någon hänvisning till dataskyddsförordningens bestämmelser om rättelse behövs därför inte. I 4 kap. 9 § brottsdatalagen regleras i vilka fall den enskilde kan begära bl.a. rättelse och begränsning av behandling av personuppgifter som behandlas inom brottsdatalagens tillämpningsområde. I 4 kap. 10 § brottsdatalagen regleras den enskildes rätt att vid otillåten behandling av personuppgifter begära radering, eller, om personuppgifterna behöver finnas kvar av bevisskäl, begränsning av behandlingen. Dessa bestämmelser är generella och inte begränsade till behandling som sker enligt brottsdatalagen. Brottsdatalagen föreslås gälla inom tillämpningsområdet för lagen om passagerarregister, under förutsättning att annat inte följer av lagen om passagerarregister eller anslutande föreskrifter (avsnitt 5.3.2). Det krävs därför inte någon hänvisning till bestämmelserna i brottsdatalagen för att de ska bli tillämpliga även vid personuppgiftsbehandling enligt lagen om passagerarregister. Rätten till skadestånd Artikel 82 i dataskyddsförordningen föreskriver att en person ska ha rätt till ersättning för skada som denne har lidit till följd av en överträdelse av förordningen. Av skäl 146 i dataskyddsförordningen framgår att med behandling som strider mot förordningen avses också behandling som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser. I 7 kap. 1 § dataskyddslagen tydliggörs att rätten till ersättning enligt dataskyddsförordningen även gäller vid överträdelser av dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen. Någon hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen eller dataskyddslagen behövs inte i lagen om passagerarregister. Enligt 7 kap. 1 § brottsdatalagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integriteten som personuppgiftsbehandling i strid med brottsdatalagen, eller föreskrifter som har meddelats i anslutning till den, har orsakat. Rätten till skadestånd vid skada och kränkning bör vara densamma när personuppgifter behandlas i strid med bestämmelserna i lagen om passagerarregister, för syften som faller inom brottsdatalagens tillämpningsområde, som vid behandling i strid med brottsdatalagen. Det bör framgå genom att det i lagen om passagerarregister föreskrivs att 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med lagen om passagerarregister eller anslutande föreskrifter. Det bör anges att bestämmelsen endast gäller vid behandling av personuppgifter inom brottsdatalagens tillämpningsområde. 5.6 Direktåtkomst Regeringens bedömning: Bestämmelsen om direktåtkomst i lagen om passagerarregister är förenlig med dataskyddsförordningen och brottsdatalagen och kan behållas. Det saknas för närvarande skäl att ge Tullverket direktåtkomst till personuppgifterna i passagerarregistret. Promemorians bedömning överensstämmer huvudsakligen med regeringens. I promemorian föreslås att regeringens föreskriftsrätt om direktåtkomst ska preciseras genom att det i lagen om passagerarregister anges att regeringen kan meddela föreskrifter om att Tullverket får ha direktåtkomst till registret för sådan verksamhet som avses i ändamålsbestämmelsen. Remissinstanserna: Polismyndigheten anser att det finns goda skäl att medge Tullverket direktåtkomst till passagerarregistret. I övrigt yttrar sig ingen remissinstans särskilt över förslaget och bedömningen. Skälen för regeringens bedömning Dataskyddsförordningen och brottsdatalagen reglerar inte hur personuppgifter tillhandahålls I 8 § lagen om passagerarregister anges att Säkerhetspolisen får ha direktåtkomst till personuppgifterna i passagerarregistret för sådan verksamhet som avses i ändamålsbestämmelsen i 4 §. Regeringen får meddela föreskrifter om att även annan myndighet får ha direktåtkomst till registret för sådan verksamhet. Regeringen har inte utnyttjat sin föreskriftsrätt. Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. Enligt Informationshanteringsutredningen bör direktåtkomst anses föreligga om en myndighet hos en annan myndighet har sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen, dvs. om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (SOU 2015:39 s. 390 f.). Högsta förvaltningsdomstolen använde i rättsfallet HFD 2015 ref. 61 samma definition av direktåtkomst. I begreppet direktåtkomst ligger också att den som är personuppgiftsansvarig för registret eller databasen saknar kontroll över vilka uppgifter som den som har direktåtkomst vid ett visst tillfälle tar del av. Från integritetssynpunkt har det därför ansetts viktigt att frågor om tillgång till uppgifter genom direktåtkomst regleras särskilt i registerlagstiftningarna (se t.ex. prop. 2000/01:129 s. 73 f. och prop. 2001/02:144 s. 35 f.). Varken dataskyddsförordningen eller brottsdatalagen innehåller några bestämmelser som specifikt reglerar frågan om elektroniskt utlämnande av personuppgifter. Det gör inte heller dataskyddslagen. Att lämna ut personuppgifter elektroniskt innebär behandling av personuppgifter och ett utlämnande förutsätter därmed att reglerna om behandling av personuppgifter följs och att inte annan lagstiftning hindrar utlämnandet. Eftersom dataskyddsförordningen och brottsdatalagen inte särskilt reglerar på vilket sätt personuppgifter får lämnas ut, finns det inget som hindrar att den nuvarande bestämmelsen om direktåtkomst behålls. I avsnitt 5.9 föreslås dock att bestämmelsen om regeringens föreskriftsrätt omformuleras till en upplysningsbestämmelse. Bör Tullverket få direktåtkomst till personuppgifter i passagerarregistret? Tullverket har i en skrivelse till regeringen (Ju2017/02018/L7) begärt att få direktåtkomst till personuppgifterna i passagerarregistret enligt 8 § lagen om passagerarregister. I promemorian görs bedömningen att det för närvarande saknas skäl att ge Tullverket direktåtkomst till personuppgifterna i passagerarregistret. Tullverket har i sitt remissvar inte några synpunkter på denna bedömning. Polismyndigheten anser emellertid att det finns skäl att medge Tullverket direktåtkomst. Enligt Polismyndigheten kan sådan åtkomst stärka Tullverkets möjligheter att bidra till att identifiera och ingripa mot internationella stöldligor. Som anges i avsnitt 5.1 ansvarar Polismyndigheten för kontroll av personer enligt kodexen om Schengengränserna. Bland annat Tullverket är skyldigt att hjälpa Polismyndigheten vid sådan kontroll. Lagen om passagerarregister trädde i kraft före kodexen om Schengengränserna. En liknande ordning för gränskontroll gällde i detta avseende dock redan före gränskodexen började tillämpas. Vid införandet av lagen om passagerarregister resonerade regeringen därför kring frågan om någon annan myndighet än polismyndigheterna, t.ex. Tullverket, borde kunna begära in passageraruppgifter från transportörerna samt ges direktåtkomst till registret (prop. 2005/06:129 s. 37 f. och s. 79). Det anfördes bl.a. att polisen och Tullverket hade träffat en central överenskommelse om samverkan när det gäller person- och tullkontroll vid yttre gräns. Samtidigt påpekades att Tullverket inte helt hade övertagit ansvaret för personkontroll vid någon flygplats. Om Tullverket eller någon annan myndighet i framtiden skulle få ett sådant ansvar borde de enligt regeringen dock få samma befogenheter som polisen när det gäller möjligheten att begära in uppgifter samt ges direktåtkomst till registret. Regeringen gavs därför föreskriftsrätt om bl.a. direktåtkomst. Det kan konstateras att det är Polismyndigheten som ansvarar för personkontrollen vid Sveriges yttre gräns. För närvarande bistår Tullverket Polismyndigheten endast i mycket begränsad omfattning vid personkontroller. Tullverket har inte heller övertagit ansvaret för personkontroll vid någon flygplats. Regeringen delar därför promemorians bedömning att det för närvarande saknas skäl att frångå den bedömning som regeringen gjorde vid införandet av lagen om passagerarregister när det gäller Tullverkets möjlighet till direktåtkomst. För det fall Tullverket framöver i större utsträckning skulle bistå Polismyndigheten vid personkontroller finns dock möjlighet att, enligt 8 § andra stycket, i förordning föreskriva att Tullverket får ha direktåtkomst till personuppgifterna i passagerarregistret. Det bör, med anledning av Polismyndighetens remissvar, påpekas att en användning av personuppgifterna för andra ändamål än för att underlätta verkställandet av personkontroller inte är möjlig enligt lagens bestämmelser utan kräver en större översyn som inte kan tas om hand inom ramen för denna anpassning av lagens bestämmelser till EU:s dataskyddsreform. Regeringen anser, till skillnad från promemorian, att en upplysningsbestämmelse bör utformas mer neutralt. Tullverket bör därför inte pekas ut i bestämmelsen. Paragrafen om direktåtkomst bör byta plats med paragrafen om elektroniskt utlämnande I avsnitt 5.7 föreslås att 7 § lagen om passagerarregister ändras på så vis att personuppgifter ur passagerarregistret ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt. Enligt Lagrådet ger bestämmelsen intrycket att det inte är tillåtet att lämna ut uppgifter genom direktåtkomst. För att regleringen ska bli lättare att förstå anser regeringen, i likhet med Lagrådet, att 7 och 8 §§ bör byta plats med varandra. 5.7 Elektroniskt utlämnande på annat sätt än genom direktåtkomst Regeringens förslag: Personuppgifter ur passagerarregistret ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt. Regeringen ska genom föreskrifter kunna begränsa möjligheten att tillhandahålla personuppgifter på det sättet. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Journalistförbundet anser att det är oklart vad som avses med begreppet olämpligt och anser därför i första hand att bestämmelsen helt ska tas bort. I andra hand välkomnar Journalistförbundet förslaget men efterfrågar ett klargörande av vad som avses med begreppet olämpligt. Uppsala universitet invänder inte mot möjligheten att ta del av personuppgifter elektroniskt men ifrågasätter om den föreslagna bestämmelsen i 7 § andra stycket lagen om passageraruppgifter tillför något. Övriga remissinstanser tillstyrker eller lämnar förslaget utan invändning. Skälen för regeringens förslag Dataskyddsförordningen och brottsdatalagen reglerar inte hur personuppgifter tillhandahålls Enligt 7 § lagen om passagerarregister får personuppgifter ur passagerarregistret inte lämnas ut på medium för automatiserad behandling. Med utlämnande av personuppgifter på medium för automatiserad behandling avses t.ex. utlämnande genom e-post eller usb-minne. Som nämns i avsnitt 5.6 innehåller varken dataskyddsförordningen eller brottsdatalagen några bestämmelser som specifikt reglerar frågan om elektroniskt utlämnande av personuppgifter. Detsamma gäller utlämnande på sådant sätt som anges i lagen om passagerarregister. Det gör inte heller dataskyddslagen eller API-direktivet. Att lämna ut personuppgifter på sådant sätt som anges i lagen om passagerarregister innebär behandling av personuppgifter och ett utlämnande förutsätter därför att reglerna om behandling av personuppgifter följs och att inte annan lagstiftning hindrar utlämnandet. Eftersom dataskyddsförordningen och brottsdatalagen inte särskilt reglerar hur personuppgifter får lämnas ut, finns det inget som hindrar att den nuvarande bestämmelsen i lagen om passagerarregister om utlämnande behålls. Frågan är dock om bestämmelsen bör utformas på ett mer ändamålsenligt sätt. Detta behandlas i det följande. Bör bestämmelsen utformas mer ändamålsenligt? Numera förväntar sig både myndigheter och enskilda att handlingar i stor utsträckning kan förmedlas elektroniskt. Trots det får utlämnande av personuppgifter ur passagerarregistret bara ske på papper. Mottagaren måste därefter vid behov vidta åtgärder för att överföra uppgifterna till elektronisk form igen. En sådan ordning framstår som otidsenlig och ineffektiv, särskilt som exempelvis myndigheter i allt större utsträckning övergår till helt elektronisk informationshantering. Behovet av snabb och effektiv kommunikation måste emellertid vägas mot de risker för den personliga integriteten som ett elektroniskt utlämnande av personuppgifter kan innebära. Sådant utlämnande innebär nämligen som regel att mottagaren kan bearbeta informationen, t.ex. genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Det ökar riskerna för att uppgifterna kan behandlas i strid med de grundläggande kraven på dataskydd. Riskerna med elektroniskt utlämnande bör dock inte överdrivas. Uppgifter på papper kan nämligen ganska enkelt omvandlas till elektroniska uppgifter. I vissa avseenden är elektronisk kommunikation också säkrare än traditionell postbefordran, eftersom spårbarheten är större. Uppgifterna som behandlas i passagerarregistret kan inte heller i sig anses vara särskilt integritetskänsliga. Enligt 32 kap. 7 § offentlighets- och sekretesslagen (2009:400) gäller dessutom absolut sekretess i verksamhet som avser förande av eller uttag ur passagerarregistret för uppgift om en enskilds namn och födelsedatum samt nummer på resehandling. Sekretess gäller också för uppgift om en enskilds ekonomiska förhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs. Viss sekretessreglering har också införts för att minska de risker som ett ökat elektroniskt utlämnande medför. Enligt 21 kap. 7 § offentlighets- och sekretesslagen gäller sekretess för personuppgifter, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Sekretessbestämmelserna, tillsammans med regleringen av personuppgiftsbehandling, skyddar enskilda mot att personuppgifter som lämnas ut elektroniskt missbrukas. Den som överväger att lämna ut personuppgifter, oavsett i vilken form det görs, måste alltid överväga om sekretessregleringen lägger hinder i vägen och, om så inte är fallet, om regelverket för personuppgiftsbehandling gör det möjligt att lämna uppgifterna i elektronisk form. Mottagaren måste dessutom alltid ha rättslig grund för behandlingen och är även i övrigt skyldig att leva upp till de krav som finns i reglerna om personuppgiftsbehandling. Det bedöms därför finnas ett gott skydd för den personliga integriteten. Sammantaget görs bedömningen att personuppgifter ur passagerarregistret bör få lämnas ut i elektronisk form. Detta ligger också i linje med hur många andra registerförfattningar som tillämpas av de brottsbekämpande myndigheterna är utformade, och som i översynen med anledning av EU:s dataskyddsreform har getts än större utrymme för sådant utlämnande (se t.ex. lagen om polisens behandling av personuppgifter inom brottsdatalagens område och lagen [2018:1694] om Tullverkets behandling av personuppgifter inom brottsdatalagens område). Samma lagtekniska lösning bör väljas i lagen om passagerarregister som föreslås där. Bestämmelsen bör därför ändras på det sättet att personuppgifter ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt. I avsnitt 5.6 föreslås, efter synpunkt från Lagrådet, att paragrafen byter plats med 8 § om direktåtkomst. När kan elektroniskt utlämnande komma i fråga? Vid elektroniskt utlämnande på annat sätt än genom direktåtkomst bör det göras skillnad mellan utlämnande till myndigheter och utlämnande till enskilda. Det bör normalt inte anses olämpligt att lämna ut personuppgifter elektroniskt till andra myndigheter (prop. 2014/15:148 s. 113). Om det i ett enskilt fall skulle bedömas vara olämpligt bör emellertid personuppgifterna lämnas ut på annat sätt. När det gäller utlämnande till enskilda bör det beaktas vem mottagaren är och vilken säkerhet personuppgifterna kan antas få hos mottagaren. I de fallen är det svårare att göra en generell bedömning av om elektroniskt utlämnande kan vara lämpligt. Det bör därför finnas utrymme för regeringen att meddela föreskrifter som begränsar möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. Journalistförbundet anser att det är oklart vad som avses med begreppet olämpligt och pekar på att detta kan medföra godtyckliga bedömningar om när personuppgifter ska lämnas ut elektroniskt. Samma formulering återfinns dock i ett flertal andra lagar som anpassas till EU:s dataskyddsreform, t.ex. i lagen om polisens behandling av personuppgifter inom brottsdatalagens område, lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område. Bestämmelsen är tänkt att tolkas på samma sätt som i dessa lagar vilket bidrar till enhetlighet. Regeringen delar därför inte Journalistförbundets farhågor utan anser, i likhet med promemorian, att den närmare innebörden av vad som ska anses vara ett sådant olämpligt utlämnande får utvecklas i rättstillämpningen. Uppsala universitet ifrågasätter om upplysningsbestämmelsen i nuvarande 7 § andra stycket lagen om passageraruppgifter tillför något. Upplysningsbestämmelser med motsvarande innebörd finns emellertid i en rad andra författningar inom det dataskyddsrättsliga området, bl.a. i de lagar som nyss räknats upp. Enligt regeringen har bestämmelsen en klargörande funktion. Bestämmelsen bör därför behållas. 5.8 Gallring Regeringens bedömning: Bestämmelsen om gallring i lagen om passagerarregister är förenlig med dataskyddsförordningen och brottsdatalagen och kan behållas. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Polismyndigheten anser att begreppet gallring bör bytas ut till exempelvis längsta tid för bevarandet. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens bedömning: Liksom många andra registerförfattningar innehåller lagen om passagerarregister regler om gallring. I 9 § anges att en uppgift i passagerarregistret ska gallras inom 24 timmar efter överföringen till Polismyndigheten. Om uppgifter i registret behövs för att Polismyndigheten, Säkerhetspolisen eller Tullverket ska kunna verkställa personkontroller enligt ändamålsbestämmelsen i 4 §, får uppgifterna i registret dock stå kvar till dess att myndighetens kontroller är slutförda. Regeringen får meddela föreskrifter om att uppgifter i registret får stå kvar till dess att någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt 4 §, har slutfört kontrollerna. Regeringen har inte utnyttjat sin föreskriftsrätt. Av artikel 5.1 e i dataskyddsförordningen följer att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Dataskyddsförordningen tillåter under vissa förutsättningar dock att avsteg görs från huvudregeln, t.ex. när personuppgifterna enbart behandlas för arkivändamål av allmänt intresse. Enligt artikel 6.3 i dataskyddsförordningen är nationella bestämmelser som anpassar tillämpningen av dataskyddsförordningens bestämmelser om bl.a. lagringstid tillåtna när behandlingen grundar sig på en rättslig förpliktelse, en arbetsuppgift av allmänt intresse eller myndighetsutövning. Bestämmelsen i lagen om passagerarregister om gallring preciserar principen om lagringstid i artikel 5.1 e. Den bedöms därför vara förenlig med dataskyddsförordningen. Enligt 2 kap. 17 § första stycket brottsdatalagen får personuppgifter inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Enligt andra stycket hindrar bestämmelsen inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet. Bestämmelsen i lagen om passagerarregister om gallring bedöms vara förenlig även med brottsdatalagen och kan alltså behållas. Polismyndigheten efterfrågar en enhetlig användning av begreppet gallring och påpekar att regeringen tidigare har föreslagit att den arkivrättsliga och dataskyddsrättsliga terminologin renodlas och att begreppet gallring förbehålls arkivrättslig lagstiftning. Polismyndigheten anser att begreppet gallring i lagen om passagerarregister därför bör ändras till längsta tid för bevarandet eller liknande. Vid anpassningen av lagstiftning till EU:s dataskyddsreform används i vissa författningar uttrycket längsta tid som personuppgifter får behandlas, medan begreppet gallring behålls i vissa andra författningar. Avsikten är dock inte att den ändrade terminologin ska föranleda några ändringar i sak (jfr prop. 2017/18:269 s. 121). Det finns alltså inte något hinder mot att behålla begreppet gallring i lagen om passagerarregister. I sammanhanget kan även noteras att Riksarkivet inte har några synpunkter i denna del. I avsnitt 5.9 föreslås att bestämmelsen om regeringens föreskriftsrätt omformuleras till en upplysningsbestämmelse. 5.9 Föreskriftsrätt Regeringens förslag: Bestämmelserna om föreskriftsrätt i lagen om passagerarregister ska omformuleras på så vis att det upplyses om att regeringen kan meddela sådana föreskrifter som anges i bestämmelserna. Regeringens bedömning: Bestämmelserna om föreskriftsrätt är förenliga med dataskyddsförordningen och brottsdatalagen. Promemorians förslag och bedömning överensstämmer med regeringens. Remissinstanserna: Datainspektionen anser att de uppgifter som samlas in och behandlas inom ramen för lagen om passageraruppgifter innebär en sådan kartläggning av enskilda personers inresa i Sverige att kravet på lagform gäller enligt 2 kap. 6 § regeringsformen. Det måste därför tas in ett bemyndigande i lagen för regeringen att meddela föreskrifter om exempelvis direktåtkomst och annat utlämnande. Uppsala universitet föreslår att 6 § andra stycket lagen om passagerarregister ska behålla sin nuvarande utformning som en delegationsbestämmelse. Att regeringen på egen hand ska kunna bestämma vilka ytterligare myndigheter som ska ges tillgång till uppgifterna innebär nämligen en ytterligare inskränkning i rätten till dataskydd och privatliv, vilket inte kan anses falla inom regeringens restkompetens. Samma resonemang gäller enligt universitetet för bestämmelsen i 8 § andra stycket. I övrigt yttrar sig ingen remissinstans särskilt i denna del. Skälen för regeringens förslag och bedömning Bestämmelserna om föreskriftsrätt är förenliga med dataskyddsförordningen och brottsdatalagen Lagen om passagerarregister innehåller bestämmelser om föreskriftsrätt för regeringen i 6 § andra stycket, 8 § andra stycket och 9 § tredje stycket. Föreskriftsrätten har inte utnyttjats. Regeringen föreslår i avsnitt 5.7 att en bestämmelse om föreskriftsrätt även ska införas i nuvarande 7 § andra stycket. Medlemsstaterna har, enligt artikel 6.2 och 6.3 i dataskyddsförordningen, rätt att under vissa förutsättningar i nationell lagstiftning behålla eller införa mer specifika bestämmelser för personuppgiftsbehandling. Det finns inte något krav på att bestämmelserna måste regleras i lag. Följaktligen bör det vara upp till varje medlemsstat att bedöma på vilken nivå i normhierarkin sådana bestämmelser införs. Dataskyddsförordningen bedöms därför inte hindra att bestämmelser om personuppgiftsbehandling införs i en förordning, förutsatt att bestämmelserna är förenliga med dataskyddsförordningen. Inte heller brottsdatalagen bedöms föranleda någon ändring av bestämmelserna om föreskriftsrätt. Frågan är emellertid om de befintliga bestämmelserna om föreskriftsrätt bör omformuleras. Detta behandlas i det följande. Bör bestämmelserna om föreskriftsrätt omformuleras? I promemorian föreslås att bestämmelserna i 6 § andra stycket, nuvarande 8 § andra stycket och 9 § tredje stycket omformuleras till upplysningsbestämmelser eftersom rätten att meddela sådana föreskrifter som anges där faller inom ramen för restkompetensen enligt 8 kap. 7 § första stycket 2 regeringsformen. Datainspektionen och Uppsala universitet motsätter sig förslaget och anser att 6 § andra stycket och 8 § andra stycket bör utformas som bemyndiganden. När det gäller sektorspecifika registerförfattningar som enbart rör behandling av personuppgifter som utförs av statliga myndigheter som lyder under regeringen, och med undantag för de fall som avses i 2 kap. 6 § andra stycket regeringsformen, anser regeringen, i linje med vad som tidigare uttalats, att föreskrifter som direkt eller indirekt rör behandling av personuppgifter kan meddelas av regeringen med stöd av dess restkompetens enligt 8 kap. 7 § första stycket 2 regeringsformen (prop. 2017/18:105 s. 26 f.). Det saknas skäl att göra någon annan bedömning nu. Regeringen delar alltså promemorians bedömning att de aktuella bestämmelserna i lagen om passageraruppgifter får anses falla under regeringens restkompetens. Upplysningsbestämmelser med liknande innebörd som exempelvis 6 § andra stycket lagen om passagerarregister finns dessutom i många andra registerförfattningar, t.ex. i lagen om polisens behandling av personuppgifter inom brottsdatalagens område, lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område och lagen om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område. Som föreslås i promemorian bör bestämmelserna om föreskriftsrätt alltså inte utformas som bemyndiganden utan som upplysningsbestämmelser som syftar till att tydliggöra vilket utrymme att meddela föreskrifter som ska ligga kvar på regeringen sedan riksdagen lagstiftat på området. I de aktuella bestämmelserna ska det således anges att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela sådana föreskrifter som framgår av bestämmelserna. Eftersom det redan nu står helt klart att regeringen inte kommer att utnyttja rätten till vidaredelegation är det lämpligt att bestämmelserna formuleras på så sätt att det är regeringen som kan meddela sådana föreskrifter (jfr prop. 2017/18:248 s. 31). 6 Transportörers informationsskyldighet enligt utlänningslagen Regeringens förslag: Bestämmelsen i utlänningslagen om transportörers skyldighet att informera passagerare enligt personuppgiftslagen ska upphävas. Promemorians förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens förslag: I 9 kap. 3 e § utlänningslagen anges att en transportör som samlar in uppgifter som är avsedda att överföras enligt 3 a § ska informera passagerarna enligt bestämmelserna i 23-26 §§ personuppgiftslagen. Eftersom personuppgiftslagen upphävs måste även hänvisningarna till den lagen upphävas. Transportörernas informationsskyldighet gentemot passagerarna faller inom dataskyddsförordningens tillämpningsområde. I dataskyddsförordningen har den registrerades rättigheter förstärkts i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den information som ska tillhandahållas den registrerade har preciserats och utvidgats och det anges uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form. Artikel 13 och 14 i dataskyddsförordningen reglerar vilken information som ska lämnas till den registrerade. Artiklarna har i allt väsentligt motsvarande innebörd som 23 och 24 §§ personuppgiftslagen, även om omfattningen av den information som ska tillhandahållas har utvidgats. Artikel 15 i dataskyddsförordningen reglerar den registrerades rätt till tillgång till personuppgifter och viss annan information och motsvarar 26 § personuppgiftslagen om information som ska lämnas efter ansökan (s.k. registerutdrag). Bestämmelserna i dataskyddsförordningen om information och tillgång till personuppgifter är direkt tillämpliga. Det finns därför inget behov av att reglera frågan i utlänningslagen. Det är inte heller lämpligt att ta in en hänvisning till dataskyddsförordningens bestämmelser endast i upplysningssyfte (se avsnitt 5.3.3). Bestämmelsen i 9 kap. 3 e § utlänningslagen bör därför upphävas. I dataskyddslagen finns undantag från vissa av dataskyddsförordningens rättigheter och skyldigheter. Rätten till information och tillgång enligt artiklarna 13-15 i dataskyddsförordningen ska enligt dataskyddslagen inte gälla sådana uppgifter som omfattas av sekretess eller tystnadsplikt (5 kap. 1 § första stycket dataskyddslagen). Om den personuppgiftsansvarige inte är en myndighet, gäller undantaget även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (5 kap. 1 § andra stycket dataskyddslagen). Vidare ska rätten till registerutdrag som huvudregel inte gälla personuppgifter som finns i löpande text som inte har fått sin slutliga utformning eller som utgör minnesanteckning eller liknande (5 kap. 2 § dataskyddslagen). Eftersom dataskyddslagen kompletterar dataskyddsförordningen blir även dessa bestämmelser i förekommande fall tillämpliga. 7 Ikraftträdande- och övergångsbestämmelser Regeringens förslag: Lagändringarna ska träda i kraft den 1 maj 2019. Äldre föreskrifter om straff ska gälla för överträdelser som har skett före ikraftträdandet. Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås ett tidigare datum för ikraftträdande. Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens förslag Ikraftträdande Dataskyddsförordningen började tillämpas den 25 maj 2018. Samma dag trädde dataskyddslagen i kraft. Brottsdatalagen trädde i kraft den 1 augusti 2018. I propositionen föreslås ändringar som anpassar lagen om passagerarregister, och i ett avseende även utlänningslagen, till dataskyddsförordningen, dataskyddslagen och brottsdatalagen. Lagändringarna bör därför träda i kraft så snart som möjligt. De bör träda i kraft den 1 maj 2019. Övergångsbestämmelser Genom dataskyddslagen har den straffrättsliga regleringen i personuppgiftslagen upphävts. Eftersom regeringen föreslår att hänvisningarna till personuppgiftslagen i 2 § första stycket lagen om passagerarregister tas bort utmönstras straffregleringen även från denna lag. Varken dataskyddslagen eller brottsdatalagen innehåller någon straffbestämmelse. En personuppgiftsansvarig eller ett personuppgiftsbiträde som bryter mot förordningen eller brottsdatalagen kan i stället drabbas av sanktionsavgifter. Enligt övergångsbestämmelserna till dataskyddslagen (p. 7) ska äldre straffbestämmelser tillämpas på överträdelser som skett före den nya lagens ikraftträdande. Även övergångsbestämmelserna till brottsdatalagen (p. 5) anger att äldre föreskrifter ska fortsätta att gälla för överträdelser som har skett före ikraftträdandet. Denna bedömning görs även här. Det bör därför införas en särskild övergångsbestämmelse med motsvarande innebörd. Det följer av allmänna grundsatser att ny lagstiftning ska gälla för skadestånd med anledning av skadefall som inträffar efter ikraftträdandet, medan äldre lag ska tillämpas på skadefall som har inträffat dessförinnan (prop. 1972:5 s. 593). Det behövs därför inte någon övergångsbestämmelse i denna del. Enligt allmänna förvaltningsrättsliga principer gäller att de föreskrifter som är i kraft när prövningen hos en myndighet eller förvaltningsdomstol sker som huvudregel ska tillämpas. Detta gäller i fråga om både förfarandet och prövningen i sak och även om ett överklagat beslut har fattats före ikraftträdandet. Principen är dock inte undantagslös och det kan följa av övergångsbestämmelser eller motiven till lagstiftningen att en annan ordning är avsedd (jfr RÅ 1996 ref. 57). Enligt övergångsbestämmelserna till dataskyddslagen (p. 5) gäller personuppgiftslagen fortfarande i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen. Vidare gäller personuppgiftslagen fortfarande för överklagande av beslut som har meddelats med stöd av den lagen (p. 6). Det behövs därför inte någon övergångsbestämmelse i denna del heller. 8 Konsekvenser av förslagen Regeringens bedömning: Förslagen innebär en viss förstärkning av enskildas skydd för den personliga integriteten. Förslaget om att personuppgifter ur passagerarregistret ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt ger möjlighet till ökat informationsutbyte mellan brottsbekämpande myndigheter, vilket är positivt för det brottsbekämpande arbetet. Förslagen förväntas inte få några andra konsekvenser. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens bedömning: Inledningsvis kan det konstateras att konsekvenserna av dataskyddsförordningens direkt tillämpliga bestämmelser, och brottsdatalagens bestämmelser, inte analyseras inom ramen för propositionen. När det gäller konsekvenserna av de förslag som läggs fram i propositionen ska det först framhållas att det huvudsakliga syftet är att föreslå de anpassningar som är nödvändiga med anledning av den nya dataskyddsregleringen. Det innebär att merparten av bestämmelserna i lagen om passagerarregister kvarstår oförändrade och att vissa bestämmelser anpassas till dataskyddsreformen utan att det sakliga innehållet förändras på ett avgörande sätt. Det kan dock noteras att förslagen innebär att ett antal hänvisningar till personuppgiftslagen ska upphävas och att dataskyddsförordningens bestämmelser, och i tillämpliga delar dataskyddslagens och brottsdatalagens bestämmelser, i stället ska gälla. Det gäller hänvisningarna till personuppgiftslagen i 2, 3 och 10 §§ lagen om passagerarregister samt 9 kap. 3 e § utlänningslagen. Dataskyddsreformen ger i viss utsträckning ett starkare integritetsskydd än personuppgiftslagen (t.ex. avseende den registrerades rätt till information). Dataskyddslagen och brottsdatalagen syftar till att stärka skyddet för den enskildes personliga integritet. Sammantaget görs bedömningen därför att förslagen innebär en viss förstärkning av enskildas skydd för den personliga integriteten. Förslaget om att personuppgifter ur passagerarregistret ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt ger möjlighet till ökat informationsutbyte mellan brottsbekämpande myndigheter, vilket är positivt för det brottsbekämpande arbetet. I övrigt görs bedömningen att förslagen inte har några ekonomiska konsekvenser, vare sig för det allmänna eller för enskilda, och att de inte har någon betydelse för brottsligheten. De bedöms inte heller ha någon påverkan på jämställdheten mellan kvinnor och män eller få några sociala eller miljömässiga konsekvenser. 9 Författningskommentar Förhållandet till annan reglering 2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. I paragrafen anges lagens förhållande till EU:s dataskyddsförordning. Övervägandena finns i avsnitt 5.3.1. I paragrafen anges att lagen kompletterar dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Denna lag innehåller de kompletterande bestämmelser som gäller för passagerarregistret. Hänvisningarna i lagen till dataskyddsförordningen är dynamiska, dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen. 2 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Paragrafen, som är ny, upplyser om hur lagen förhåller sig till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) och föreskrifter som har meddelats i anslutning till den lagen. Övervägandena finns i avsnitt 5.3.1. Paragrafen klargör att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt denna lag. Detta gäller dock endast om inte något annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen. 2 b § När en behörig myndighet enligt 1 kap. 6 § brottsdatalagen (2018:1177) behandlar personuppgifter enligt denna lag för syften som faller inom tillämpningsområdet för brottsdatalagen gäller den lagen och föreskrifter som har meddelats i anslutning till den, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Paragrafen, som är ny, upplyser om hur lagen förhåller sig till brottsdatalagen (2018:1177) och föreskrifter som har meddelats i anslutning till den lagen. Övervägandena finns i avsnitt 5.3.2. Paragrafen klargör att brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen gäller när en behörig myndighet behandlar personuppgifter enligt denna lag för syften som faller inom brottsdatalagens tillämpningsområde. Detta gäller dock endast om inte något annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen. Enligt 1 kap. 2 § brottsdatalagen gäller den lagen vid behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder samt upprätthålla allmän ordning och säkerhet. Behörig myndighet definieras i 1 kap. 6 § brottsdatalagen. Polismyndigheten är en behörig myndighet när den behandlar personuppgifter i passagerarregistret för ändamål som faller inom brottsdatalagens tillämpningsområde. Behandling av personuppgifter som omfattas av brottsdatalagen är undantagen från dataskyddsförordningens tillämpningsområde (artikel 2.2 d i dataskyddsförordningen). Behandling av personuppgifter i passagerarregistret som sker för något av de syften som anges i 1 kap. 2 § brottsdatalagen faller alltså inom brottsdatalagens tillämpningsområde. Personkontroll vid Sveriges gräns kan utföras för såväl brottsbekämpande som andra syften. Det betyder att både dataskyddsförordningen och brottsdatalagen kan bli tillämpliga. Det blir därför nödvändigt för myndigheten att göra en bedömning av syftet med behandlingen av personuppgifter i passagerarregistret för att avgöra om behandlingen faller inom dataskyddsförordningens eller brottsdatalagens tillämpningsområde. 3 § I denna lag avses med personkontroll: kontroll av personer vid inresa i Sverige, Schengenkonventionen: konventionen om tillämpning av Schengenavtalet av den 14 juni 1985. Paragrafen innehåller definitioner av vissa uttryck som används i lagen. Övervägandena finns i avsnitt 5.3.1. Paragrafen ändras genom att det andra stycket tas bort. Utlämnande av uppgifter och direktåtkomst 6 § Personuppgifter ur passagerarregistret ska lämnas ut på begäran av Säkerhetspolisen och Tullverket för sådan verksamhet som avses i 4 §. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter ur registret ska lämnas ut även till annan myndighet än dem som anges i första stycket för sådan verksamhet som avses i 4 §. Paragrafen reglerar utlämnande av personuppgifter ur passagerarregistret. Övervägandena finns i avsnitt 5.4 och 5.9. Andra stycket ändras på så sätt att det upplyser om att regeringen kan meddela föreskrifter om att uppgifter ur registret ska lämnas ut även till annan myndighet än dem som anges i första stycket för sådan verksamhet som anges i ändamålsbestämmelsen i 4 §. 7 § Säkerhetspolisen får för sådan verksamhet som avses i 4 § ha direktåtkomst till personuppgifterna i passagerarregistret. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att även annan myndighet får ha direktåtkomst till registret för sådan verksamhet som avses i 4 §. Paragrafen, som tidigare hade beteckningen 8 §, reglerar när personuppgifter ur passagerarregistret får lämnas ut genom direktåtkomst. Paragrafen har placerats i enlighet med Lagrådets förslag. Övervägandena finns i avsnitt 5.6 och 5.9. Andra stycket ändras på så sätt att det upplyser om att regeringen kan meddela föreskrifter om att även annan myndighet får ha direktåtkomst till passagerarregistret för sådan verksamhet som avses i ändamålsbestämmelsen i 4 §. 8 § Personuppgifter ur passagerarregistret får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt första stycket. Paragrafen, som tidigare hade beteckningen 7 §, reglerar när personuppgifter ur passagerarregistret får lämnas ut elektroniskt på annat sätt än genom direktåtkomst. Paragrafen har placerats i enlighet med Lagrådets förslag. Övervägandena finns i avsnitt 5.7. Första stycket ändras på så sätt att personuppgifter ur passagerarregistret får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Med sådant utlämnande avses bl.a. utlämnande genom e-post eller annan elektronisk överföring eller på ett usb-minne eller annat motsvarande medium. Lämplighetsprövningen ska ske i varje enskilt fall. Det har betydelse vem mottagaren är för frågan om det är olämpligt att lämna ut uppgifter elektroniskt. Som regel kan det inte anses vara olämpligt att lämna ut uppgifter på det sättet till en myndighet (se prop. 2014/15:148 s. 113). När det gäller utlämnande till enskilda krävs en mer nyanserad bedömning. Om det finns en författningsreglerad skyldighet att lämna ut en handling till en viss person får det avgöras om elektroniskt utlämnande är olämpligt med hänsyn till bl.a. innehållet i handlingen, vem som är mottagare, behovet av att kunna visa att personen i fråga har tagit del av handlingen och andra omständigheter. Lämplighetsprövningen blir särskilt viktig när utlämnande ska ske till en enskild och det på grund av uppgifternas art, struktur, antal eller någon annan särskild omständighet finns anledning att befara att utlämnandet kan leda till integritetsrisker (jfr prop. 2014/15:148 s. 114). Om det kan antas att personuppgifterna efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen gäller sekretess enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400). De får då inte lämnas ut till följd av sekretess. Vid prövningen av om det är lämpligt att lämna ut personuppgifter elektroniskt ska även informationssäkerheten vägas in. Om någon begär att få tillgång till en allmän handling med stöd av tryckfrihetsförordningen får den utlämnande myndigheten som huvudregel inte efterforska syftet med begäran, vilket kan ha betydelse vid prövningen av om det i ett enskilt fall är lämpligt att lämna ut en handling med personuppgifter elektroniskt. I andra stycket, som är nytt, finns en upplysning om att regeringen kan meddela föreskrifter om ytterligare begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. 9 § En uppgift i passagerarregistret ska gallras inom 24 timmar efter överföringen till Polismyndigheten. Om uppgifter i registret behövs för att Polismyndigheten, Säkerhetspolisen eller Tullverket ska kunna verkställa personkontroller enligt 4 §, får uppgifterna i registret dock stå kvar till dess att myndighetens kontroller är slutförda. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter i registret får stå kvar till dess att någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt 4 §, har slutfört kontrollerna. Paragrafen reglerar gallring av uppgifter i passagerarregistret. Övervägandena finns i avsnitt 5.8 och 5.9. Tredje stycket ändras på så sätt att det upplyser om att regeringen kan meddela föreskrifter om att uppgifter i registret får stå kvar till dess att någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt ändamålsbestämmelsen, har slutfört kontrollerna. Skadestånd inom tillämpningsområdet för brottsdatalagen 10 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till lagen. Detta gäller endast vid behandling av personuppgifter som omfattas av tillämpningsområdet för brottsdatalagen. I paragrafen regleras den registrerades rätt till skadestånd för behandling av personuppgifter inom brottsdatalagens tillämpningsområde. Övervägandena finns i avsnitt 5.5. Enligt första meningen ska 7 kap. 1 § brottsdatalagen (2018:1177) tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare författningskommentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.). Av andra meningen framgår att paragrafen endast gäller vid behandling av personuppgifter inom brottsdatalagens tillämpningsområde. Skadestånd med anledning av behandling av personuppgifter som omfattas av dataskyddsförordningens tillämpningsområde regleras i dataskyddsförordningen (artikel 82 i dataskyddsförordningen och 7 kap. 1 § dataskyddslagen). Rätten att göra invändningar 11 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Paragrafen, som är ny, föreskriver en begränsning av en registrerads rätt att göra invändningar enligt artikel 21.1 i dataskyddsförordningen. Övervägandena finns i avsnitt 5.5. Paragrafen, som delvis motsvarar den hittillsvarande bestämmelsen i 2 § andra stycket, innebär ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i dataskyddsförordningen. Undantaget har stöd i artikel 23 i dataskyddsförordningen. Vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den gäller alltså inte rätten att göra invändningar enligt artikel 21.1. Paragrafen gäller endast vid behandling av personuppgifter inom dataskyddsförordningens tillämpningsområde. I brottsdatalagen saknas bestämmelser som ger den enskilde rätt att göra invändningar mot behandling av personuppgifter. Även när personuppgifter behandlas enligt lagen om passagerarregister för syften som faller inom brottsdatalagens tillämpningsområde saknas alltså en rätt för den enskilde att göra invändningar mot behandlingen. Ikraftträdande- och övergångsbestämmelser 1. Denna lag träder i kraft den 1 maj 2019. 2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet. Övervägandena om ikraftträdande- och övergångsbestämmelser finns i avsnitt 7. Enligt punkt 1 träder lagändringarna i kraft den 1 maj 2019. Bestämmelsen i punkt 2 innebär att personuppgiftslagens straffbestämmelse fortfarande gäller för straffbelagda gärningar som har begåtts vid behandling av personuppgifter före den 1 maj 2019. Europaparlamentets och rådets förordning (EU) 2016/679 Rättelse till Europaparlamentets och rådets förordning (EU) 2016/679 Sammanfattning av departementspromemorian Anpassning av lagen om passagerarregister till EU:s dataskyddsreform (Ds 2018:12) Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen. Förordningen ska börja tillämpas den 25 maj 2018. Samtidigt med dataskyddsförordningen antogs Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan dataskyddsdirektivet. Direktivet ska vara genomfört i svensk rätt senast den 6 maj 2018. I promemorian görs bedömningen att dataskyddsförordningen och dataskyddsdirektivet ger utrymme för en sådan särskild reglering om personuppgiftsbehandling som finns i lagen (2006:444) om passagerarregister. Samtidigt görs bedömningen att det krävs vissa ändringar i lagen för att anpassa den till de nya regelverken. I promemorian lämnas förslag till sådana ändringar. Promemorians lagförslag Förslag till lag om ändring i lagen (2006:444) om passagerarregister Härigenom föreskrivs i fråga om lagen (2006:444) om passagerarregister dels att 2, 3 och 6-10 §§ och rubrikerna närmast före 2 och 10 §§ ska ha följande lydelse, dels att det ska införas tre nya paragrafer, 2 a, 2 b och 11 §§, och närmast före 11 § en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse Lagens tillämpningsområde Förhållandet till annan reglering 2 § Om inget annat följer av denna lag eller föreskrifter som har meddelats med stöd av den, tillämpas personuppgiftslagen (1998:204) vid behandlingen av personuppgifter i passagerarregistret. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. En registrerad person har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag. 2 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 2 b § När en behörig myndighet behandlar personuppgifter enligt denna lag för syften som faller inom tillämpningsområdet för brottsdatalagen (2018:000) gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 3 § I denna lag avses med personkontroll: kontroll av personer vid inresa i Sverige, Schengenkonventionen: konventionen om tillämpning av Schengenavtalet av den 14 juni 1985. De begrepp som i övrigt används i denna lag har samma betydelse som i personuppgiftslagen (1998:204). 6 § Personuppgifter ur passagerarregistret ska lämnas ut på begäran av Säkerhetspolisen och Tullverket för sådan verksamhet som avses i 4 §. Regeringen får meddela föreskrifter om att uppgifter ur registret ska lämnas ut även till annan myndighet än dem som anges i första stycket för sådan verksamhet som avses i 4 §. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter ur registret ska lämnas ut även till annan myndighet än dem som anges i första stycket för sådan verksamhet som avses i 4 §. 7 § Personuppgifter ur passagerarregistret får inte lämnas ut på medium för automatiserad behandling. Personuppgifter ur passagerarregistret får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt första stycket. 8 § Säkerhetspolisen får för sådan verksamhet som avses i 4 § ha direktåtkomst till personuppgifterna i passagerarregistret. Regeringen får meddela föreskrifter om att även annan myndighet får ha direktåtkomst till registret för sådan verksamhet som avses i 4 §. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att även Tullverket får ha direktåtkomst till registret för sådan verksamhet som avses i 4 §. 9 § En uppgift i passagerarregistret ska gallras inom 24 timmar efter överföringen till Polismyndigheten. Om uppgifter i registret behövs för att Polismyndigheten, Säkerhetspolisen eller Tullverket ska kunna verkställa personkontroller enligt 4 §, får uppgifterna i registret dock stå kvar till dess att myndighetens kontroller är slutförda. Regeringen får meddela föreskrifter om att uppgifter i registret får stå kvar till dess att någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt 4 §, har slutfört kontrollerna. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter i registret får stå kvar till dess att någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt 4 §, har slutfört kontrollerna. Rättelse och skadestånd Skadestånd inom tillämpningsområdet för brottsdatalagen 10 § Vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen gäller bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd. Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:000) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till lagen. Detta gäller endast vid behandling av personuppgifter som omfattas av tillämpningsområdet för brottsdatalagen. Rätten att göra invändningar 11 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 1. Denna lag träder i kraft den 1 mars 2019. 2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet. Förslag till lag om ändring i utlänningslagen (2005:716) Härigenom föreskrivs att 9 kap. 3 e § utlänningslagen (2005:716) ska upphöra att gälla vid utgången av februari 2019. Förteckning över remissinstanser Följande remissinstanser har getts tillfälle att yttra sig: Riksdagens ombudsmän (JO), Malmö tingsrätt, Kammarrätten i Sundsvall, Förvaltningsrätten i Stockholm, Justitiekanslern, Polismyndigheten, Säkerhetspolisen, Säkerhets- och integritetsskyddsnämnden, Kustbevakningen, Migrationsverket, Datainspektionen, Tullverket, Uppsala universitet (Juridiska fakulteten), Transportstyrelsen, Riksarkivet, Sveriges advokatsamfund, Svenska Journalistförbundet, Dataskydd.net, SAS, Svenska flygbranschen och Swedavia. Lagrådsremissens lagförslag Förslag till lag om ändring i lagen (2006:444) om passagerarregister Härigenom föreskrivs i fråga om lagen (2006:444) om passagerarregister dels att 2, 3 och 6-10 §§ och rubrikerna närmast före 2 och 10 §§ ska ha följande lydelse, dels att det ska införas tre nya paragrafer, 2 a, 2 b och 11 §§, och närmast före 11 § en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse Lagens tillämpningsområde Förhållandet till annan reglering 2 § Om inget annat följer av denna lag eller föreskrifter som har meddelats med stöd av den, tillämpas personuppgiftslagen (1998:204) vid behandlingen av personuppgifter i passagerarregistret. Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. En registrerad person har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag. 2 a § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 2 b § När en behörig myndighet enligt 1 kap. 6 § brottsdatalagen (2018:1177) behandlar personuppgifter enligt denna lag för syften som faller inom tillämpningsområdet för brottsdatalagen gäller den lagen och föreskrifter som har meddelats i anslutning till den, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 3 § I denna lag avses med personkontroll: kontroll av personer vid inresa i Sverige, Schengenkonventionen: konventionen om tillämpning av Schengenavtalet av den 14 juni 1985. De begrepp som i övrigt används i denna lag har samma betydelse som i personuppgiftslagen (1998:204). 6 § Personuppgifter ur passagerarregistret ska lämnas ut på begäran av Säkerhetspolisen och Tullverket för sådan verksamhet som avses i 4 §. Regeringen får meddela föreskrifter om att uppgifter ur registret ska lämnas ut även till annan myndighet än dem som anges i första stycket för sådan verksamhet som avses i 4 §. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter ur registret ska lämnas ut även till annan myndighet än dem som anges i första stycket för sådan verksamhet som avses i 4 §. 7 § Personuppgifter ur passagerarregistret får inte lämnas ut på medium för automatiserad behandling. Personuppgifter ur passagerarregistret får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt första stycket. 8 § Säkerhetspolisen får för sådan verksamhet som avses i 4 § ha direktåtkomst till personuppgifterna i passagerarregistret. Regeringen får meddela föreskrifter om att även annan myndighet får ha direktåtkomst till registret för sådan verksamhet som avses i 4 §. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att även annan myndighet får ha direktåtkomst till registret för sådan verksamhet som avses i 4 §. 9 § En uppgift i passagerarregistret ska gallras inom 24 timmar efter överföringen till Polismyndigheten. Om uppgifter i registret behövs för att Polismyndigheten, Säkerhetspolisen eller Tullverket ska kunna verkställa personkontroller enligt 4 §, får uppgifterna i registret dock stå kvar till dess att myndighetens kontroller är slutförda. Regeringen får meddela föreskrifter om att uppgifter i registret får stå kvar till dess att någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt 4 §, har slutfört kontrollerna. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter i registret får stå kvar till dess att någon annan myndighet, som behöver uppgifterna för att kunna verkställa personkontroller enligt 4 §, har slutfört kontrollerna. Rättelse och skadestånd Skadestånd inom tillämpningsområdet för brottsdatalagen 10 § Vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen gäller bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd. Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till lagen. Detta gäller endast vid behandling av personuppgifter som omfattas av tillämpningsområdet för brottsdatalagen. Rätten att göra invändningar 11 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. 1. Denna lag träder i kraft den 1 maj 2019. 2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet. Förslag till lag om ändring i utlänningslagen (2005:716) Härigenom föreskrivs att 9 kap. 3 e § utlänningslagen (2005:716) ska upphöra att gälla vid utgången av april 2019. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2018-12-05 Närvarande: F.d. justitieråden Severin Blomstrand och Ella Nyström samt justitierådet Erik Nymansson Anpassning av lagen om passagerarregister till EU:s dataskyddsreform Enligt en lagrådsremiss den 29 november 2018 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till 1. lag om ändring i lagen (2006:444) om passagerarregister, 2. lag om ändring i utlänningslagen (2005:716). Förslagen har inför Lagrådet föredragits av rättssakkunniga Anna Nordström. Förslagen föranleder följande yttrande av Lagrådet: Förslaget till lag om ändring i lagen om passagerarregister 7 och 8 §§ Enligt 7 § första stycket får personuppgifter ur passagerarregistret lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Bestämmelsen ger intrycket att det inte är tillåtet att lämna ut uppgifter genom direktåtkomst. I 8 § föreskrivs emellertid att direktåtkomst får förekomma i vissa fall. Regleringen skulle bli lättare att förstå, om paragraferna bytte plats. Förslaget till lag om ändring i utlänningslagen Lagrådet lämnar förslaget utan erinran. Justitiedepartementet Utdrag ur protokoll vid regeringssammanträde den 17 januari 2019 Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Wallström, Y Johansson, M Johansson, Baylan, Hallengren, Hultqvist, Andersson, Hellmark Knutsson, Bolund, Damberg, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Eriksson, Linde, Skog, Ekström, Fritzon, Eneroth Föredragande: statsrådet Fritzon Regeringen beslutar proposition Anpassning av lagen om passagerarregister till EU:s dataskyddsreform