Post 1197 av 7178 träffar
Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet - anpassningar till EU:s dataskyddsreform Prop. 2018/19:65
Ansvarig myndighet: Justitiedepartementet
Dokument: Prop. 65
Regeringens proposition
2018/19:65
Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet - anpassningar till EU:s dataskyddsreform
Prop.
2018/19:65
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 14 mars 2019
Stefan Löfven
Mikael Damberg
(Justitiedepartementet)
Propositionens huvudsakliga innehåll
Regeringen föreslår en ny kustbevakningsdatalag samt ändringar av vissa andra lagar som reglerar personuppgiftsbehandling i verksamhet som rör allmän ordning och säkerhet.
EU:s dataskyddsförordning började tillämpas den 25 maj 2018. Förordningen kräver att svenska författningar anpassas för att säkerställa både att förordningen får ett effektivt genomslag och att svensk rätt inte strider mot förordningen. EU:s nya dataskyddsdirektiv har genomförts i huvudsak genom brottsdatalagen som trädde i kraft den 1 augusti 2018. Brottsdatalagen är generellt tillämplig inom det område som direktivet reglerar men om det finns bestämmelser i andra författningar som avviker gäller de före den lagen.
I propositionen finns förslag till en ny kustbevakningsdatalag som kompletterar dataskyddsförordningen samt förslag till anpassningar till EU:s dataskyddsreform genom bl.a. ändringar i vapenlagen och lagen om belastningsregister. Utöver en anpassning till dataskyddsreformen innebär förslagen även en förenklad reglering av den behandling av personuppgifter som sker vid uppbörd av böter, t.ex. när en person frivilligt betalar utdömda böter.
Den nya lagen och lagändringarna föreslås träda i kraft den 30 juni 2019.
Innehållsförteckning
1 Förslag till riksdagsbeslut 8
2 Lagtext 9
2.1 Förslag till kustbevakningsdatalag 9
2.2 Förslag till lag om ändring i vapenlagen (1996:67) 13
2.3 Förslag till lag om ändring i lagen (1998:620) om belastningsregister 16
2.4 Förslag till lag om ändring i lagen (1998:621) om misstankeregister 19
2.5 Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem 22
2.6 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) 24
2.7 Förslag till lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område 26
2.8 Förslag till lag om ändring i lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område 30
2.9 Förslag till lag om ändring i lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område 33
3 Ärendet och dess beredning 34
4 Bakgrund och utgångspunkter 35
4.1 Personuppgiftslagen och 1995 års dataskyddsdirektiv 35
4.2 EU:s dataskyddsreform 36
4.2.1 Dataskyddsförordningen och 2016 års dataskyddsdirektiv 36
4.2.2 Dataskyddslagen 37
4.2.3 Brottsdatalagen 37
4.2.4 Gränsdragningen mellan dataskyddsförordningen och brottsdatalagen 37
4.3 Utgångspunkter för anpassningarna av de aktuella registerförfattningarna 38
5 Allmänna överväganden om anpassningar till dataskyddsförordningen och dataskyddslagen 39
5.1 Dataskyddsförordningens tillämpningsområde 39
5.2 Rättslig grund för personuppgiftsbehandlingen 40
5.3 Övergripande om möjligheten att behålla och införa särreglering 41
5.4 Bestämmelser som är förenliga med dataskyddsförordningen 42
5.4.1 Bestämmelser om syfte och tillämpningsområde 42
5.4.2 Bestämmelser om personuppgiftsansvar 43
5.4.3 Ändamålsbestämmelser 43
5.4.4 Bestämmelser om utlämnande 44
5.4.5 Bestämmelser om vilka uppgifter som får behandlas 45
5.4.6 Åtkomst till personuppgifter inom myndigheten och sökbegränsningar 46
5.4.7 Bestämmelser om bevarande och gallring 47
5.4.8 Bestämmelser om föreskriftsrätt 48
5.5 Bestämmelser som inte kan behållas 48
5.6 Känsliga personuppgifter 49
5.7 Bestämmelser om registrerades rättigheter 50
5.7.1 Rättelse och komplettering 50
5.7.2 Radering 51
5.7.3 Begränsning av behandling 52
5.7.4 Invändningar 53
5.7.5 Information om personuppgiftsincidenter 54
5.8 Behovet av nya bestämmelser 55
5.8.1 Bestämmelser om förhållandet till den generella dataskyddsregleringen 55
5.8.2 Det behövs inga bestämmelser om skadestånd eller överklagande 56
5.8.3 Det behövs inga bestämmelser om tillsyn eller administrativa sanktionsavgifter 57
6 Allmänna överväganden om anpassningar till dataskyddsdirektivet och brottsdatalagen 58
6.1 Övergripande om anpassningar till dataskyddsdirektivet och brottsdatalagen 58
6.2 Rättslig grund för personuppgiftsbehandlingen 58
6.3 Bestämmelser som är förenliga med dataskyddsdirektivet och brottsdatalagen 59
6.3.1 Bestämmelser om syfte och tillämpningsområde 59
6.3.2 Bestämmelser om personuppgiftsansvar 59
6.3.3 Ändamålsbestämmelser 60
6.3.4 Bestämmelser om utlämnande 61
6.3.5 Bestämmelser om vilka uppgifter som får behandlas 61
6.3.6 Bestämmelser om gallring 62
6.3.7 Bestämmelser om föreskriftsrätt 62
6.4 Bestämmelser som inte kan behållas 63
6.5 Bestämmelser om registrerades rättigheter 63
6.6 Behovet av nya bestämmelser 64
6.6.1 Bestämmelser om förhållandet till den generella dataskyddsregleringen 64
6.6.2 Bestämmelser om tillsyn 64
6.6.3 Bestämmelser om administrativa sanktionsavgifter 65
6.6.4 Bestämmelser om skadestånd 68
6.6.5 Bestämmelser om överklagande 68
7 Ny Kustbevakningsdatalag 69
7.1 Nuvarande reglering 69
7.2 Kustbevakningens personuppgiftsbehandling inom dataskyddsförordningens område vilar på rättslig grund 70
7.3 En ny kustbevakningsdatalag inom dataskyddsförordningens tillämpningsområde 71
7.4 Den nya kustbevakningsdatalagens innehåll 72
7.4.1 Lagens tillämpningsområde och förhållandet till dataskyddsförordningen och dataskyddslagen 72
7.4.2 Lagens syfte, tillgången till personuppgifter och personuppgiftsansvar 74
7.4.3 Ändamålsbestämmelser och finalitetsprincipen 75
7.4.4 Känsliga personuppgifter 78
7.4.5 Utlämnande av personuppgifter och direktåtkomst 80
7.4.6 Information till den registrerade 82
7.4.7 Bevarande och gallring 85
7.4.8 Bestämmelser som inte behövs i den nya kustbevakningsdatalagen 87
8 Lagen om belastningsregister 87
8.1 Kort om författningen 87
8.2 Är brottsdatalagen eller dataskyddsförordningen tillämplig? 88
8.3 Vilka ändringar bör göras som en följd av dataskyddsreformen? 91
8.3.1 Bestämmelsernas förhållande till brottsdatalagen och dataskyddsförordningen 91
8.3.2 Skyldighet att föra belastningsregistret, personuppgiftsansvar samt registrets ändamål och innehåll 92
8.3.3 Förhållandet till andra bestämmelser om personuppgiftsbehandling 94
8.3.4 Utlämnanden av uppgifter ur belastningsregistret för användning vid svenska myndigheter 95
8.3.5 Enskildas rätt till utdrag ur belastningsregistret för egen användning 98
8.3.6 Utlämnanden av uppgifter ur belastningsregistret för andra enskildas användning 101
8.3.7 Utlämnanden av uppgifter ur belastningsregistret för användning vid utländska myndigheter 102
8.3.8 Gallring 103
8.3.9 Rättelse och skadestånd 104
8.3.10 Användningsbegränsningar 105
9 Lagen om misstankeregister 105
9.1 Är brottsdatalagen eller dataskyddsförordningen tillämplig? 106
9.2 Vilka ändringar bör göras som en följd av dataskyddsreformen? 108
9.2.1 Bestämmelsernas förhållande till brottsdatalagen och dataskyddsförordningen 108
9.2.2 Skyldighet att föra misstankeregistret, personuppgiftsansvar samt registrets ändamål och innehåll 109
9.2.3 Förhållandet till andra bestämmelser om personuppgiftsbehandling 111
9.2.4 Utlämnanden av uppgifter ur misstankeregistret för användning vid svenska myndigheter 112
9.2.5 Enskildas rätt till utdrag ur misstankeregistret för egen användning 115
9.2.6 Utlämnanden av uppgifter ur misstankeregistret för andra enskildas användning 116
9.2.7 Utlämnanden av uppgifter ur misstankeregistret för användning vid utländska myndigheter 116
9.2.8 Gallring 117
9.2.9 Rättelse och skadestånd 118
10 Vapenlagen 119
10.1 Är brottsdatalagen eller dataskyddsförordningen tillämplig? 119
10.2 Vilka ändringar bör göras som en följd av dataskyddsreformen? 122
10.2.1 Bestämmelsernas förhållande till brottsdatalagen och dataskyddsförordningen 122
10.2.2 Personuppgiftsansvar, personuppgiftsombud och förhållandet till andra bestämmelser om personuppgiftsbehandling 123
10.2.3 Skyldighet att föra vapenregistren samt registrens ändamål och innehåll 124
10.2.4 Känsliga personuppgifter 125
10.2.5 Tillgång till personuppgifter 126
10.2.6 Rättelse och skadestånd 126
10.2.7 Bevarande och gallring 127
10.2.8 Utlämnande av uppgifter 128
11 Lagen om Schengens informationssystem 130
11.1 Schengensamarbetet 130
11.2 Lagens innehåll 131
11.3 Är brottsdatalagen eller dataskyddsförordningen tillämplig? 132
11.4 Vilka ändringar bör göras som en följd av dataskyddsreformen? 133
11.4.1 Skyldighet att föra SIS-registret, personuppgiftsansvar samt registrets ändamål och innehåll 133
11.4.2 Förhållandet till andra bestämmelser om personuppgiftsbehandling 136
11.4.3 Förbud mot registrering av vissa känsliga personuppgifter 136
11.4.4 Utlämnanden ur SIS-registret 137
11.4.5 Användningsbegränsningar 138
11.4.6 Bevarande och gallring 140
11.4.7 Rättelse, skadestånd och överklagande 141
11.4.8 Genomförandet av rådsbeslutet 142
12 Regleringen om registrering av förelägganden och uppbörd av böter 146
12.1 Utdömande och föreläggande av böter 146
12.1.1 Bötesstraff 146
12.1.2 Annan betalningsskyldighet som omfattas av reglerna om uppbörd 147
12.2 Uppbörd av böter 148
12.2.1 Verkställighet av uppbörd av böter 148
12.2.2 Vad omfattas av reglerna om uppbörd? 149
12.2.3 Uppbördsförfarandet 150
12.3 Nuvarande reglering av personuppgiftsbehandlingen 151
12.4 Tillämplig reglering efter dataskyddsreformen 153
12.5 Personuppgiftsbehandling vid registrering av förelägganden 154
12.5.1 Personuppgiftsbehandlingen ska styras av myndigheternas registerförfattningar 154
12.5.2 Myndigheternas registerförfattningar behöver inte anpassas 155
12.5.3 Sekretess 158
12.6 Personuppgiftsbehandling vid uppbörd av böter 159
12.6.1 Personuppgiftsbehandlingen ska styras av myndigheternas registerförfattningar 159
12.6.2 Bestämmelserna om gemensamt tillgängliga uppgifter bör styra personuppgiftsbehandlingen 161
12.6.3 Rättslig grund 164
12.6.4 Gemensamt tillgängliga uppgifter 164
12.6.5 Längsta tid för behandling 165
12.6.6 Uppbörd av viten 167
12.6.7 Sekretess 169
13 Ikraftträdande- och övergångsbestämmelser 174
14 Konsekvenser av förslagen 175
15 Författningskommentar 176
15.1 Förslaget till kustbevakningsdatalag 176
15.2 Förslaget till lag om ändring i vapenlagen (1996:67) 182
15.3 Förslaget till lag om ändring i lagen (1998:620) om belastningsregister 184
15.4 Förslaget till lag om ändring i lagen (1998:621) om misstankeregister 187
15.5 Förslaget till lag om ändring i lagen (2000:344) om Schengens informationssystem 190
15.6 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400) 191
15.7 Förslaget till lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område 192
15.8 Förslaget till lag om ändring i lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område 194
15.9 Förslaget till lag om ändring i lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område 196
Bilaga 1 Sammanfattning av promemorian EU:s dataskyddsreform - anpassningar av vissa författningar om allmän ordning och säkerhet (Ds 2017:58) 197
Bilaga 2 Promemorians lagförslag 200
Bilaga 3 Förteckning över remissinstanserna 213
Bilaga 4 Sammanfattning av promemorian Uppbörd av böter efter EU:s dataskyddsreform (Ds 2018:3) 214
Bilaga 5 Promemorians lagförslag 216
Bilaga 6 Förteckning över remissinstanserna 225
Bilaga 7 Lagrådsremissens lagförslag 226
Bilaga 8 Lagrådets yttrande 252
Utdrag ur protokoll vid regeringssammanträde den 14 mars 2019 256
1
Förslag till riksdagsbeslut
Regeringens förslag:
1. Riksdagen antar regeringens förslag till kustbevakningsdatalag.
2. Riksdagen antar regeringens förslag till lag om ändring i vapenlagen (1996:67).
3. Riksdagen antar regeringens förslag till lag om ändring i lagen (1998:620) om belastningsregister.
4. Riksdagen antar regeringens förslag till lag om ändring i lagen (1998:621) om misstankeregister.
5. Riksdagen antar regeringens förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem.
6. Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).
7. Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område.
8. Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
9. Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område.
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till kustbevakningsdatalag
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin operativa verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Kust-bevakningens operativa verksamhet som rör
1. sjöövervakning,
2. räddningstjänst,
3. samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation, och
4. internationellt samarbete.
Lagen gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Förhållandet till annan reglering
3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till lagen.
Lagens tillämpning på juridiska personer
5 § Följande bestämmelser om personuppgifter gäller även vid behandling av uppgifter om juridiska personer:
1. 6 § om personuppgiftsansvar,
2. 7-11 §§ om ändamålen för behandlingen,
3. 15 § om tillgången till personuppgifter, och
4. 24 § om bevarande och gallring.
Personuppgiftsansvar
6 § Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Ändamål
7 § Personuppgifter får behandlas om det är nödvändigt för att
1. bedriva sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss samt bedriva den kontroll och tillsyn som Kustbevakningen är skyldig att utföra,
2. bedriva räddningstjänst,
3. samordna civila behov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter,
4. utreda och besluta i ärenden om vattenföroreningsavgift och ta emot sådana avgifter, eller
5. fullgöra skyldigheter inom ramen för internationellt samarbete med sjöövervakning och räddningstjänst.
8 § Utöver vad som anges i 7 § får personuppgifter behandlas om
1. behandlingen är nödvändig för diarieföring, eller
2. uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
9 § Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i
1. Kustbevakningens verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet,
2. någon annan myndighets verksamhet, om
a) Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med en viss uppgift, eller
b) informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan, eller
3. likartad verksamhet hos en utländsk myndighet.
10 § Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldigheten att lämna uppgifter följer av lag eller förordning, till någon annan.
11 § Personuppgifter som behandlas enligt 7 § får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Behandling av känsliga personuppgifter
12 § Om uppgifter om en person behandlas får de kompletteras med sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) när det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter får också behandlas med stöd av 8 §.
13 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.
Uppgifter som beskriver en persons utseende
14 § Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.
Tillgången till personuppgifter
15 § Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.
16 § Personuppgifter som får behandlas enligt 7 § får göras gemensamt tillgängliga.
Med gemensamt tillgängliga uppgifter avses personuppgifter som görs eller har gjorts gemensamt tillgängliga i Kustbevakningens operativa verksamhet och som fler än endast ett fåtal personer inom myndigheten har rätt att ta del av.
Utlämnande av personuppgifter
17 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om i vilken utsträckning personuppgifter får lämnas ut till svenska och utländska myndigheter.
18 § Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av 20-22 §§.
19 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.
Direktåtkomst
20 § Direktåtkomst får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Direktåtkomsten får inte avse känsliga personuppgifter.
21 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka svenska och utländska myndigheter som får ha direktåtkomst till personuppgifter som behandlas med stöd av 7 § i denna lag.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet.
22 § En svensk myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Information till den registrerade
23 § Information enligt artikel 13 i EU:s dataskyddsförordning behöver inte lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud, såvida behandlingen i övrigt inte innebär en direkt identifiering av en person. Sådan information behöver inte heller lämnas om uppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.
Bevarande och gallring
24 § Personuppgifter som behandlas automatiserat ska gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om digital arkivering.
Denna lag träder i kraft den 30 juni 2019.
2.2
Förslag till lag om ändring i vapenlagen (1996:67)
Härigenom föreskrivs i fråga om vapenlagen (1996:67)
dels att 1 a kap. 2 och 9 §§ ska upphöra att gälla,
dels att nuvarande 1 a kap. 1 § ska betecknas 1 a kap. 2 §,
dels att 1 a kap. 3, 4, 6 och 10 §§ och rubriken närmast före 1 a kap. 6 § ska ha följande lydelse,
dels att rubriken närmast före 1 a kap. 1 § ska sättas närmast före 1 a kap. 2 §,
dels att det ska införas två nya paragrafer, 1 a kap. 1 och 1 a §§, och närmast före 1 a kap. 1 § en ny rubrik av följande lydelse,
Nuvarande lydelse
Föreslagen lydelse
1 a kap.
Förhållandet till annan reglering
1 §
Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
1 a §
Vid behandling av personuppgifter som omfattas av brottsdatalagen (2018:1177) gäller bestämmelserna i detta kapitel utöver den lagen.
3 §
Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.
Om uppgifter om en person behandlas på annan grund, får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Polismyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
Om uppgifter om en person behandlas, får de kompletteras med känsliga personuppgifter när detta är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter får också behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Polismyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
Vad som avses med känsliga personuppgifter framgår av artikel 9.1 i EU:s dataskyddsförordning och 2 kap. 11-13 §§ brottsdatalagen (2018:1177).
4 §
Vid sökning i personuppgifter som behandlas med stöd av denna lag får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.
Rättelse och skadestånd
Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Skadestånd vid personuppgiftsbehandling som omfattas av brottsdatalagen
6 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som avses i 15 §.
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
10 §
Utan hinder av vad som sägs i 9 § ska uppgifter om skjutvapen och sådana vapendelar som avses i 2 a kap. bevaras i vapenregister i 20 år. Detsamma gäller uppgifter om namn, adress och organisations- eller personnummer avseende den som har meddelats tillstånd att inneha skjutvapen eller tillstånd att driva handel med skjutvapen.
Uppgifter om skjutvapen och sådana vapendelar som avses i 2 a kap. ska bevaras i vapenregister i 20 år. Detsamma gäller uppgifter om namn, adress och organisations- eller personnummer avseende den som har meddelats tillstånd att inneha skjutvapen eller tillstånd att driva handel med skjutvapen.
Denna lag träder i kraft den 30 juni 2019.
2.3 Förslag till lag om ändring i lagen (1998:620) om belastningsregister
Härigenom föreskrivs i fråga om lagen (1998:620) om belastningsregister
dels att 1 a, 2, 9 och 20 §§ och rubriken närmast före 20 § ska ha följande lydelse,
dels att det ska införas tre nya paragrafer, 1 b, 5 a och 22 §§, och närmast före 5 a och 22 §§ nya rubriker av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 a §
Denna lag gäller utöver personuppgiftslagen (1998:204).
Denna lag gäller utöver brottsdatalagen (2018:1177).
1 b §
Vid behandling av personuppgifter som inte omfattas av brottsdatalagen (2018:1177) kompletterar denna lag Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personuppgifter enligt första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
2 §
Belastningsregistret ska föras för att ge information om sådana belastningsuppgifter som behövs i verksamhet hos
1. Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen för att förebygga, upptäcka och utreda brott,
1. Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen för att förebygga, förhindra eller upptäcka brottslig verksamhet och utreda brott,
2. åklagarmyndigheter för beslut om förundersökning och åtal samt för utfärdande av strafföreläggande,
3. allmänna domstolar för straffmätning och val av påföljd och
3. allmänna domstolar för straffmätning och val av påföljd, och
4. Polismyndigheten och andra myndigheter vid sådan lämplighetsprövning, tillståndsprövning eller annan prövning som anges i författning.
Registret får användas också för att till en enskild lämna uppgifter som är av särskild betydelse i hans eller hennes verksamhet.
Sökbegrepp vid sökning i registret
5 a §
Sökförbudet i 2 kap. 14 § brotts-datalagen hindrar inte att brottsrubriceringar och uppgifter om verkställighet av påföljd används som sökbegrepp vid sökning i belastningsregistret.
9 §
En enskild har rätt att på begäran skriftligen få ta del av samtliga uppgifter ur registret om sig själv. Sådana uppgifter ska på begäran lämnas ut utan avgift en gång per kalenderår.
En enskild har rätt att på begäran skriftligen få ta del av samtliga uppgifter ur registret om sig själv. Om sådana uppgifter finns har den enskilde även rätt att få sådan skriftlig information som anges i 4 kap. 3 § första stycket 1-8 brottsdatalagen (2018:1177). Uppgifterna ska på begäran lämnas ut utan avgift en gång per kalenderår.
En enskild som behöver ett registerutdrag om sig själv har rätt att få ett begränsat utdrag ur registret
1. för att kunna ta till vara sin rätt i ett främmande land eller få tillstånd att resa in, bosätta sig eller arbeta där,
2. enligt bestämmelser i skollagen (2010:800),
3. enligt bestämmelser i lagen (2018:1219) om försäkringsdistribution,
4. enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn,
5. enligt bestämmelser i lagen (2010:479) om registerkontroll av personal som utför vissa insatser åt barn med funktionshinder, eller
6. enligt bestämmelser i lagen (2013:852) om registerkontroll av personer som ska arbeta med barn.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka uppgifter ett sådant utdrag som avses i andra stycket 1-3 ska innehålla.
Regeringen får meddela föreskrifter om vilka uppgifter ett sådant utdrag som avses i andra stycket 4-6 ska innehålla.
En begäran om uppgifter ur registret ska vara skriftlig och undertecknad av den sökande.
En begäran om uppgifter ur registret ska vara skriftlig. Polismyndigheten ska säkerställa att begäran görs av en behörig person.
Rättelse och skadestånd
Skadestånd vid personuppgiftsbehandling som omfattas av brottsdatalagen
20 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen.
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Administrativa sanktionsavgifter vid personuppgiftsbehandling som omfattas av brottsdatalagen
22 §
En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna om gallring i 16-18 §§, om överträdelsen skett vid behandling av personuppgifter som omfattas av brottsdatalagen.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Denna lag träder i kraft den 30 juni 2019.
2.4 Förslag till lag om ändring i lagen (1998:621) om misstankeregister
Härigenom föreskrivs i fråga om lagen (1998:621) om misstankeregister
dels att 1 a, 2, 8 a och 15 §§ och rubriken närmast före 15 § ska ha följande lydelse,
dels att det ska införas tre nya paragrafer, 1 b, 4 a och 16 §§, och närmast före 4 a och 16 §§ nya rubriker av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 a §
Denna lag gäller utöver personuppgiftslagen (1998:204).
Denna lag gäller utöver brottsdatalagen (2018:1177).
1 b §
Vid behandling av personuppgifter som inte omfattas av brottsdatalagen (2018:1177) kompletterar denna lag Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personuppgifter enligt första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
2 §
Misstankeregistret ska föras för att underlätta tillgången till sådana uppgifter om skälig misstanke om brott som behövs i verksamhet hos
1. Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen för att samordna förundersökningar mot en person och för att förebygga, upptäcka och utreda brott,
1. Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen för att samordna förundersökningar mot en person och för att förebygga, förhindra eller upptäcka brottslig verksamhet och utreda brott,
2. åklagarmyndigheter för beslut om förundersökning och åtal och
2. åklagarmyndigheter för beslut om förundersökning och åtal, och
3. Polismyndigheten och andra myndigheter vid sådan lämplighetsprövning, tillståndsprövning eller annan prövning som anges i författning.
Registret får användas också för att till en enskild lämna uppgifter som är av särskild betydelse i hans eller hennes verksamhet.
Sökbegrepp vid sökning i registret
4 a §
Sökförbudet i 2 kap. 14 § brotts-datalagen hindrar inte att brottsrubriceringar används som sökbegrepp vid sökning i misstankeregistret.
8 a §
En enskild som behöver ett registerutdrag om sig själv enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn har rätt att få ett begränsat utdrag ur registret. Regeringen får meddela föreskrifter om vilka uppgifter ett sådant utdrag ska innehålla.
En begäran om uppgifter ur registret ska vara skriftlig och undertecknad av den sökande.
En enskild som behöver ett registerutdrag om sig själv enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn, har rätt att få ett begränsat utdrag ur registret.
Regeringen får meddela föreskrifter om vilka uppgifter ett sådant utdrag ska innehålla.
En begäran om uppgifter ur registret ska vara skriftlig. Polismyndigheten ska säkerställa att begäran görs av en behörig person.
Rättelse och skadestånd
Skadestånd vid personuppgiftsbehandling som omfattas av brottsdatalagen
15 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen.
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Administrativa sanktionsavgifter vid personuppgiftsbehandling som omfattas av brottsdatalagen
16 §
En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelsen om gallring i 13 §, om överträdelsen skett vid behandling av personuppgifter som omfattas av brottsdatalagen.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Denna lag träder i kraft den 30 juni 2019.
2.5 Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem
Härigenom föreskrivs i fråga om lagen (2000:344) om Schengens informationssystem
dels att 15 § ska upphöra att gälla,
dels att rubriken närmast före 15 § ska utgå,
dels att 16 och 17 §§ och rubrikerna närmast före 16 och 17 §§ ska ha följande lydelse,
dels att rubriken närmast före 7 § ska lyda "Förbud mot registrering av vissa uppgifter",
dels att det ska införas två nya paragrafer, 1 a och 1 b §§, och närmast före 1 a § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till annan reglering
1 a §
Denna lag gäller utöver brottsdatalagen (2018:1177).
1 b §
Vid behandling av personuppgifter som inte omfattas av brottsdatalagen (2018:1177) kompletterar denna lag Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personuppgifter enligt första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Skadestånd
Skadestånd vid personuppgiftsbehandling som omfattas av brottsdatalagen
16 §
Vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen gäller i fråga om skadestånd 48 § första stycket personuppgiftslagen (1998:204).
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Överklagande
Administrativa sanktionsavgifter vid personuppgiftsbehandling som omfattas av brottsdatalagen
17 §
Polismyndighetens beslut enligt 15 § får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna om gallring och bevarande av personuppgifter i 11 och 14 §§, om överträdelsen skett vid behandling av personuppgifter som omfattas av brottsdatalagen.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Denna lag träder i kraft den 30 juni 2019.
2.6 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 35 kap. 1 och 4 §§ offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Lydelse enligt SFS 2018:1716
Föreslagen lydelse
35 kap.
1 §
Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i
1. utredning enligt bestämmelserna om förundersökning i brottmål,
2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,
3. angelägenhet som avser säkerhetsprövning enligt säkerhetsskydds-lagen (2018:585),
4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,
4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott eller verkställa uppbörd och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,
5. register som förs av Polismyndigheten enligt 5 kap. lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas med stöd av de bestämmelserna,
6. register som förs enligt lagen (1998:621) om misstankeregister,
7. register som förs av Skatteverket enligt lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag,
8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller
9. register som förs av Tullverket enligt lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag.
Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Första stycket gäller inte om annat följer av 2, 6 eller 7 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Nuvarande lydelse
Föreslagen lydelse
4 §
I annat fall än som avses i 1 § första stycket 5 och 6 och 3 § gäller sekretess i verksamhet som avser förande av eller uttag ur register
1. för uppgift som har tillförts ett särskilt register som förs över strafföreläggande och föreläggande av ordningsbot,
1. för uppgift som har tillförts register över strafförelägganden och förelägganden av ordningsbot,
2. för annan uppgift hos Polismyndigheten, som rör brott eller den som har misstänkts, åtalats eller dömts för brott, om uppgiften har lämnats dit för databehandling inom rättsväsendets informationssystem i ett annat register än som avses i 1,
3. för belastningsuppgift som har tillförts vägtrafikregistret, och
4. för uppgift som har tillförts ett särskilt register som författningsenligt förs hos myndighet angående brott eller tjänsteförseelser begångna av personer som är eller har varit verksamma hos myndigheten.
Sekretessen enligt första stycket 1 gäller inte i ärende om strafföreläggande eller föreläggande av ordningsbot.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Denna lag träder i kraft den 30 juni 2019.
2.7 Förslag till lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs i fråga om lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område
dels att 1 kap. 1 och 6 §§, 2 kap. 1 §, 3 kap. 2 och 3 §§, 4 kap. 6 och 9-11 §§ och 7 kap. 1 § ska ha följande lydelse,
dels att rubriken närmast före 4 kap. 3 § ska lyda "Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott eller om uppbörd",
dels att det ska införas en ny paragraf, 4 kap. 5 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
1 §
Denna lag gäller utöver brottsdatalagen (2018:1177) när någon av följande myndigheter i egenskap av behöriga myndigheter behandlar personuppgifter:
1. Polismyndigheten, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet,
1. Polismyndigheten, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa uppbörd eller upprätthålla allmän ordning och säkerhet,
2. Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet, och
3. Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.
För Ekobrottsmyndigheten och Säkerhetspolisen gäller endast 1-4 och 7 kap.
För Ekobrottsmyndigheten och Säkerhetspolisen gäller endast 1-4 kap. och 7 kap.
6 §
Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:
1. 4 § om personuppgiftsansvar,
2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
3. 3 kap. 2 § om gemensamt tillgängliga uppgifter,
4. 4 kap. 1-4 och 6-11 §§ om längsta tid som personuppgifter får behandlas,
4. 4 kap. 1-4 och 5 a-11 §§ om längsta tid som personuppgifter får behandlas,
5. 5 kap. 18-20 §§ om behandling av personuppgifter i penningtvättsregister, och
6. 5 kap. 21 och 22 §§ om behandling av personuppgifter i det internationella registret.
Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:1177) gäller också vid sådan behandling:
1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,
2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,
3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,
4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och
5. 3 kap. 6 § om tillgången till personuppgifter.
2 kap.
1 §
Personuppgifter får behandlas om det är nödvändigt för att en myndighet som nämns i 1 kap. 1 § ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott,
3. upprätthålla allmän ordning och säkerhet, eller
4. fullgöra förpliktelser som följer av internationella åtaganden.
3. verkställa uppbörd,
4. upprätthålla allmän ordning och säkerhet, eller
5. fullgöra förpliktelser som följer av internationella åtaganden.
3 kap.
2 §
Följande personuppgifter får göras gemensamt tillgängliga:
1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten
a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller
b) sker systematiskt.
2. Uppgifter som behövs för övervakningen av en person som
a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och
b) är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.
3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.
4. Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd.
5. Uppgifter som har rapporterats till Polismyndighetens ledningscentraler.
6. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.
7. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
4. Uppgifter som förekommer i ett ärende om uppbörd.
5. Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd.
6. Uppgifter som har rapporterats till Polismyndighetens ledningscentraler.
7. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.
8. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
Dna-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 5 kap.
Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.
3 §
Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5.
Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 6.
4 kap.
5 a §
Personuppgifter i ett ärende om uppbörd får inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft eller strafföreläggandet eller föreläggandet av en ordningsbot godkändes. Personuppgifter som avser värdeförverkande eller företagsbot får dock behandlas i tio år.
6 §
Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2 eller 4-7 får som längst behandlas under den tid som anges i 7-11 §§.
Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2 eller 5-8 får som längst behandlas under den tid som anges i 7-11 §§.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av 7-11 §§.
9 §
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades.
10 §
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 eller 6 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 6 eller 7 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
11 §
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 7 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 8 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
7 kap.
1 §
En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller
3. 4 kap. 2-4 eller 7-11 §, 5 kap. 7, 15, 16, 20, 22 eller 26 § eller 6 kap. 6 § om längsta tid som personuppgifter får behandlas.
3. 4 kap. 2-4, 5 a eller 7-11 §, 5 kap. 7, 15, 16, 20, 22 eller 26 § eller 6 kap. 6 § om längsta tid som personuppgifter får behandlas.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Denna lag träder i kraft den 30 juni 2019.
2.8 Förslag till lag om ändring i lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs i fråga om lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område
dels att 1 kap. 1 och 4 §§, 2 kap. 1 §, 3 kap. 2 §, 4 kap. 7, 10 och 11 §§ och 5 kap. 1 § ska ha följande lydelse,
dels att rubriken närmast före 4 kap. 4 § ska lyda "Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott eller om uppbörd",
dels att punkt 2 i ikraftträdande- och övergångsbestämmelserna ska ha följande lydelse,
dels att det ska införas en ny paragraf, 4 kap. 6 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
1 §
Denna lag gäller utöver brottsdatalagen (2018:1177) när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.
Denna lag gäller utöver brottsdatalagen (2018:1177) när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa uppbörd.
4 §
Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:
1. 3 § om personuppgiftsansvar,
2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och
4. 4 kap. 1-5 och 8-11 §§ om längsta tid som personuppgifter får behandlas.
4. 4 kap. 1-5, 6 a och 8-11 §§ om längsta tid som personuppgifter får behandlas.
Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:1177) gäller också vid sådan behandling:
1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,
2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,
3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,
4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och
5. 3 kap. 6 § om tillgången till personuppgifter.
2 kap.
1 §
Tullverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott, eller
3. fullgöra förpliktelser som följer av internationella åtaganden.
2. utreda eller lagföra brott,
3. verkställa uppbörd, eller
4. fullgöra förpliktelser som följer av internationella åtaganden.
3 kap.
2 §
Följande personuppgifter får göras gemensamt tillgängliga:
1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten
a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller
b) sker systematiskt.
2. Uppgifter som behövs för övervakningen av en person som
a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och
b) är allvarligt kriminellt belastad.
3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.
4. Uppgifter som har rapporterats till Tullverkets ledningscentraler.
5. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
4. Uppgifter som förekommer i ett ärende om uppbörd.
5. Uppgifter som har rapporterats till Tullverkets ledningscentraler.
6. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
Personuppgifter från transportföretag som behandlas enligt 2 kap. 10 § första stycket får göras gemensamt tillgängliga endast om det behövs i ett enskilt fall.
Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.
4 kap.
6 a §
Personuppgifter i ett ärende om uppbörd får inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft eller strafföreläggandet eller föreläggandet av en ordningsbot godkändes.
7 §
Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2, 4 eller 5 får som längst behandlas under den tid som anges i 8-11 §§.
Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2, 5 eller 6 får som längst behandlas under den tid som anges i 8-11 §§.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av 8-11 §§.
10 §
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
11 §
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 6 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
5 kap.
1 §
En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller
3. 4 kap. 2-5 eller 8-11 § om längsta tid som personuppgifter får behandlas.
3. 4 kap. 2-5, 6 a eller 8-11 § om längsta tid som personuppgifter får behandlas.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
2. Genom lagen upphävs tullbrottsdatalagen (2017:447).
3. En sanktionsavgift enligt 5 kap. 1 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.
Denna lag träder i kraft den 30 juni 2019.
2.9 Förslag till lag om ändring i lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs att punkt 4 i ikraftträdande- och övergångsbestämmelserna till lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område ska upphöra att gälla.
Denna lag träder i kraft den 30 juni 2019.
3 Ärendet och dess beredning
Europeiska unionen har enats om en genomgripande dataskyddsreform som ska vara genomförd under våren 2018. Reformen omfattar dels Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad dataskyddsförordningen, dels Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här kallat dataskyddsdirektivet.
Inrikesministern gav i oktober 2016 en utredare i uppdrag att biträda Justitiedepartementet med att undersöka vilka anpassningar som är behövliga eller lämpliga och lämna förslag på de författningsändringar som EU:s dataskyddsreform föranleder i fråga om den personuppgiftsreglering som departementets enhet för lagstiftning om allmän ordning och säkerhet och samhällets krisberedskap ansvarar för och som inte tagits om hand av Dataskyddsutredningen (SOU 2017:39) eller Utredningen om 2016 års dataskyddsdirektiv (SOU 2017:29 och SOU 2017:74). Uppdraget redovisades i november 2017 i promemorian EU:s dataskyddsreform - anpassningar av vissa författningar om allmän ordning och säkerhet (Ds 2017:58). En sammanfattning av promemorian och dess lagförslag finns i bilaga 1 och bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2017/09003/L4).
Justitieministern gav i april 2014 en utredare i uppdrag att biträda departementet med att utreda bl.a. hur behandlingen av personuppgifter vid ärendehandläggning respektive uppbörd av böter i samband med förelägganden av ordningsbot samt vid uppbörd av böter efter strafförelägganden och uppbörd av domstolsböter bör regleras. Uppdraget redovisades i januari 2015 i promemorian Uppbörd av böter (Ds 2015:5). Justitieministern gav sedan i november 2017 en utredare i uppdrag att biträda departementet med att se över de författningsförslag som lämnades i Ds 2015:5 och lämna förslag på de ändringar som behövs med anledning av EU:s dataskyddsreform. Uppdraget redovisades i februari 2018 i promemorian Uppbörd av böter efter EU:s dataskyddsreform (Ds 2018:3). En sammanfattning av promemorian och dess lagförslag finns i bilaga 4 och bilaga 5. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 6. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2018/01394/L4).
I denna proposition behandlas både förslagen i Ds 2017:58 (kapitel 4-11) och i Ds 2018:3 (kapitel 12).
Lagrådet
Regeringen beslutade den 17 januari 2019 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga 8. Regeringen följer i allt väsentligt Lagrådets förslag. Lagrådets synpunkter och förslag behandlas i avsnitt 6.6.5 och 7.4.2 och i författningskommentaren.
I förhållande till lagrådsremissen föreslås ändringar i ikraftträdande- och övergångsbestämmelserna till lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Förslaget är författningstekniskt och även i övrigt av sådan beskaffenhet att Lagrådets hörande skulle sakna betydelse. Regeringen har därför inte inhämtat Lagrådets yttrande över det förslaget.
Vidare har några språkliga och redaktionella ändringar gjorts.
4 Bakgrund och utgångspunkter
4.1 Personuppgiftslagen och 1995 års dataskyddsdirektiv
Den generella regleringen om behandling av personuppgifter inom EU har hittills funnits i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1995 års dataskyddsdirektiv). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Direktivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen. Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen, som gäller för myndigheter och enskilda som behandlar personuppgifter, följer i princip samma struktur som direktivet och innehåller bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade. Personuppgiftslagen har emellertid ett vidare tillämpningsområde än direktivet, bl.a. eftersom den omfattar även områden som faller utanför unionsrätten och inte gör något generellt undantag för personuppgiftsbehandling på straffrättens område.
Personuppgiftslagen är subsidiär, vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande regler i en annan författning. Det finns en stor mängd sådana bestämmelser i vad som brukar kallas särskilda registerförfattningar eller annan sektorsspecifik reglering. Dessa reglerar framför allt hur olika myndigheter får behandla personuppgifter och är ibland avgränsade till att avse ett specifikt register. Syftet med sådana författningar är att anpassa personuppgiftsregleringen till de särskilda behov som myndigheterna har i sina respektive verksamheter samt att göra avvägningar mellan verksamhetens behov av effektivitet och den enskildes rätt till skydd för sin integritet.
4.2 EU:s dataskyddsreform
4.2.1 Dataskyddsförordningen och 2016 års dataskyddsdirektiv
Europeiska kommissionen presenterade den 25 januari 2012 förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Reformen omfattar dels en allmän dataskyddsförordning (dataskyddsförordningen) som ersätter 1995 års dataskyddsdirektiv, dels ett nytt direktiv med särregler för personuppgiftsbehandling i främst den brottsbekämpande sektorn (dataskyddsdirektivet).
Dataskyddsförordningen utgör från och med den 25 maj 2018 grunden för generell personuppgiftsbehandling inom EU. Det huvudsakliga syftet med förordningen är bl.a. att säkerställa en enhetlig skyddsnivå över hela unionen och att undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Förordningen baseras till stor del på den struktur och reglering som finns i 1995 års dataskyddsdirektiv, men är i många avseenden mer detaljerad och innehåller även en rad nyheter. Förordningen är direkt tillämplig i alla EU:s medlemsstater men både förutsätter och medger samtidigt kompletterande och specificerande nationella bestämmelser av olika slag.
Dataskyddsdirektivet, som ska vara genomfört i nationell rätt senast den 6 maj 2018, innehåller bestämmelser om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Även sådan personuppgiftsbehandling som utförs av behöriga myndigheter för att skydda mot, förebygga och förhindra hot mot den allmänna säkerheten ingår i tillämpningsområdet. Syftet med direktivet är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, samt att säkerställa att det utbyte av personuppgifter som krävs inom unionen mellan behöriga myndigheter varken begränsas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. På många områden överensstämmer regleringen i dataskyddsdirektivet med motsvarande i dataskyddsförordningen.
Av artikel 2.2 d i dataskyddsförordningen jämförd med artikel 1.1 i dataskyddsdirektivet framgår att förordningen inte gäller för sådan personuppgiftsbehandling som omfattas av direktivets tillämpningsområde.
Viss behandling av personuppgifter undantas från både dataskyddsdirektivets och dataskyddsförordningens tillämpningsområde. Det gäller bl.a. personuppgiftsbehandling i verksamhet som inte omfattas av unionsrätten (artikel 2 i respektive rättsakt).
4.2.2 Dataskyddslagen
Som en nödvändig följd av att dataskyddsförordningen är direkt tillämplig upphävdes personuppgiftslagen den 25 maj 2018. Samtidigt trädde lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) i kraft.
Dataskyddslagen innehåller kompletterande bestämmelser av generell karaktär till dataskyddsförordningen och reglerar bl.a. frågor om rättslig grund för behandling av personuppgifter, känsliga personuppgifter, begränsningar av vissa rättigheter och skyldigheter, administrativa sanktionsavgifter samt skadestånd och överklagande. Dataskyddslagen utvidgar dessutom tillämpningen av bestämmelserna i dataskyddsförordningen till att, med vissa undantag, gälla även vid personuppgiftsbehandling i verksamhet som inte omfattas av unionsrätten.
Dataskyddslagen är subsidiär till annan författning. I den mån dataskyddsförordningen medger det kan alltså andra författningar innehålla avvikande bestämmelser i förhållande till dataskyddslagen.
4.2.3 Brottsdatalagen
Dataskyddsdirektivet har i huvudsak genomförts genom en ny ramlag, brottsdatalagen (2018:1177), innehållande bestämmelser om hantering av personuppgifter inom direktivets tillämpningsområde. Brottsdatalagen, som trädde i kraft den 1 augusti 2018, innehåller bestämmelser bl.a. om rättslig grund och ändamål för behandling av personuppgifter, känsliga personuppgifter, längsta tid som personuppgifter får behandlas, personuppgiftsansvarigas skyldigheter, enskildas rättigheter, administrativa sanktionsavgifter samt skadestånd och överklagande.
Även brottsdatalagen är subsidiär till annan författning. I den mån dataskyddsdirektivet medger det kan alltså andra författningar innehålla avvikande bestämmelser i förhållande till brottsdatalagen.
4.2.4 Gränsdragningen mellan dataskyddsförordningen och brottsdatalagen
Flera av de registerförfattningar som omfattas av förslagen i denna proposition reglerar behandling av personuppgifter för syften som ligger i gränsområdet mellan dataskyddsförordningens och brottsdatalagens tillämpningsområden.
Ett grundläggande krav för att brottsdatalagen ska vara tillämplig är att den som behandlar personuppgifterna är en myndighet som fullgör arbetsuppgifter inom brottsdatalagens tillämpningsområde eller annars anförtrotts myndighetsutövning i samma syften. Utöver kravet på att personuppgiftsbehandlingen görs av en sådan myndighet uppställer brottsdatalagen också krav på att behandlingen i det enskilda fallet sker för vissa syften, för att den behandlande myndigheten ska anses vara en behörig myndighet och lagen ska bli tillämplig. Typen av personuppgiftsbehandling, vilken verksamhet den behandlas i eller personuppgiftens karaktär är alltså inte avgörande för vilket regelverk som ska tillämpas. En myndighets behandling av samma personuppgift kan därför antingen styras av brottsdatalagens eller dataskyddsförordningens regler.
Att syftet i det enskilda fallet är avgörande för om personuppgiftsbehandling omfattas av brottsdatalagen eller inte innebär att det är möjligt att en registerförfattning, som tidigare kompletterat personuppgiftslagen, framöver både kommer gälla utöver brottsdatalagen och komplettera dataskyddsförordningen.
Regeringen återkommer till frågor om gränsdragningen mellan dataskyddsförordningen och dataskyddsdirektivet i flera av de avsnitt där behovet av anpassningar i de enskilda registerförfattningarna prövas. Redan här kan emellertid hänvisas till propositionen Brottsdatalag, där ytterligare ett antal allmänna principer att tillämpa vid bedömningen av om brottsdatalagen är tillämplig eller inte redovisas (prop. 2017/18:232 s. 111-113).
4.3 Utgångspunkter för anpassningarna av de aktuella registerförfattningarna
Regeringens bedömning: Detta lagstiftningsärende bör begränsas till att hantera de ändringar i de aktuella registerförfattningarna som behövs eller är lämpliga med hänsyn till EU:s dataskyddsreform.
Utformningen av bestämmelserna i registerförfattningarna bör så långt möjligt anpassas till motsvarande bestämmelser i andra författningar på dataskyddsområdet.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Förvaltningsrätten i Stockholm har framfört att det bör övervägas om inte dataskyddslagar avseende en och samma myndighet ska slås samman till en lag som reglerar all personuppgiftsbehandling i myndighetens verksamhet. Alternativt att de lagar som ska komplettera brottsdatalagen bör lyftas in som kapitel i den lagen och motsvarande för de bestämmelser i lagar som reglerar annan verksamhet än brottsbekämpande sådan. Dataskydd.net har ifrågasatt lämpligheten av den existerande särregleringen på dataskyddsområdet av enskilda databaser samt efterlyst en genomlysning av registerförfattningarna med avseende på vilka av deras bestämmelser som faktiskt bidrar till ett starkare integritetsskydd och vilka som inte gör det. Ett antal remissinstanser, däribland Justitiekanslern och Kammarrätten i Stockholm, har påtalat vikten av att bestämmelserna i de olika registerförfattningarna på dataskyddsområdet ges en så likartad utformning som möjligt och att en del av de bestämmelser som föreslås i promemorian skiljer sig från motsvarande i andra författningar.
Skälen för regeringens bedömning: Den utredare som bistått Justitiedepartementet med utarbetandet av promemorian har endast haft i uppdrag att undersöka vilka anpassningar av personuppgiftsregleringen i de aktuella registerförfattningarna som är behövliga eller lämpliga med anledning av EU:s dataskyddsreform. En utgångspunkt för detta arbete har varit att den författningsreglering som för närvarande finns avseende personuppgiftsbehandling ska behållas oförändrad i så stor utsträckning som möjligt och att det inte finns skäl att nu ompröva redan gjorda ställningstaganden och överväganden i den mån de fortfarande är relevanta. Dataskyddsförordningen började tillämpas den 25 maj 2018 och brottsdatalagen, som genomför dataskyddsdirektivet, trädde i kraft den 1 augusti 2018. Även om utredaren gjort den övergripande bedömningen att befintlig personuppgiftsreglering i huvudsak är förenlig med de nämnda rättsakterna, är det angeläget att anpassningarna görs så snart det är möjligt.
Mot den bakgrunden finns inte utrymme att inom ramen för detta lagstiftningsärende göra ändringar utöver vad som behövs eller är lämpligt för att anpassa de aktuella registerförfattningarna till EU:s dataskyddsreform. Någon möjlighet att i propositionen hantera frågor om ändringar av sådana slag som Förvaltningsrätten i Stockholm och Dataskydd.net föreslår finns alltså inte.
Som Justitiekanslern och Kammarrätten i Stockholm har påtalat är det, inte minst för att underlätta för de enskilda tillämparna, av vikt att det dataskyddsrättsliga regelverket ges en så enhetlig utformning som möjligt. Vid utformningen av de ändringar som föreslås i detta lagstiftningsärende måste därför hänsyn tas till regleringens utformning i andra författningar på dataskyddsområdet.
5 Allmänna överväganden om anpassningar till dataskyddsförordningen och dataskyddslagen
5.1 Dataskyddsförordningens tillämpningsområde
Regeringens bedömning: Den behandling av personuppgifter som regleras i de aktuella registerförfattningarna omfattas av bestämmelserna i dataskyddsförordningen, i den utsträckning behandlingen inte omfattas av dataskyddsdirektivets tillämpningsområde.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Av artikel 2 i dataskyddsförordningen framgår att förordningens materiella tillämpningsområde är avgränsat till behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (se definitionen i artikel 4.6). Samtliga registerförfattningar som omfattas av propositionen reglerar sådan personuppgiftsbehandling som är helt eller delvis automatiserad eller avser regelrätta register. Den behandling av personuppgifter som sker enligt de aktuella författningarna är alltså sådan att den omfattas av dataskyddsförordningens tillämpningsområde, såvida inte något av undantagen i artikel 2.2 är aktuellt.
Det undantag från dataskyddsförordningens tillämpningsområde som återfinns i artikel 2.2 a innebär att förordningen inte ska tillämpas på behandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Utsträckningen av undantaget är inte helt klar. Genom regleringen i 1 kap. 2 § dataskyddslagen har tillämpningsområdet för bestämmelserna i dataskyddsförordningen emellertid utsträckts i svensk rätt till att omfatta även sådan personuppgiftsbehandling som annars skulle ha undantagits enligt artikel 2.2 a. Det nämnda undantaget påverkar därför inte tillämpligheten av dataskyddsförordningens bestämmelser vad gäller nu aktuella författningar. Detsamma gäller undantaget i artikel 2.2 b avseende verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken.
De nu aktuella registerförfattningarna avser samtliga personuppgiftsbehandling vid olika myndigheter. Undantaget från förordningens tillämpningsområde i artikel 2.2 c, rörande behandling som en fysisk person utför i verksamhet av rent privat natur, är därför inte heller aktuellt.
Enligt artikel 2.2 d undantas slutligen personuppgiftsbehandling som omfattas av dataskyddsdirektivets tillämpningsområde från dataskyddsförordningens tillämpningsområde. Såvida personuppgiftsbehandlingen enligt registerförfattningarna inte omfattas av dataskyddsdirektivets, och därmed även brottsdatalagens, tillämpningsområde omfattas den alltså av bestämmelserna i dataskyddsförordningen.
5.2 Rättslig grund för personuppgiftsbehandlingen
Den europeiska dataskyddsregleringen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. I dataskyddsförordningen räknas dessa rättsliga grunder upp i artikel 6.1. Behandling av personuppgifter är enligt denna bestämmelse endast laglig om och i den mån som åtminstone ett av de villkor som räknas upp i bestämmelsen är uppfyllt. De olika villkoren är i viss mån överlappande och kan därför vara tillämpliga samtidigt avseende en och samma behandling. Den behandling av personuppgifter som myndigheter utför kommer huvudsakligen att ske med stöd av de rättsliga grunder som kommer till uttryck i artikel 6.1 c eller e, vilka enligt artikel 6.3 första stycket ska fastställas i enlighet med unionsrätten eller nationell rätt.
I normalfallet utgör en myndighets uppdrag enligt författning, instruktion eller regleringsbrev en rättslig grund för behandling av personuppgifter enligt artikel 6.1 e (propositionen Ny dataskyddslag, prop. 2017/18:105, s. 53 f.). Enligt nämnda artikel gäller att behandlingen är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. All verksamhet som myndigheter bedriver, inom ramen för sin befogenhet, anses vara av allmänt intresse och även privata aktörer kan utföra uppgifter av allmänt intresse (prop. 2017/18:105 s. 56-59). Av 2 kap. 2 § 1 dataskyddslagen följer att en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning utgör en rättslig grund för behandling av personuppgifter.
Tydliga uppdrag att behandla personuppgifter i författning, exempelvis en myndighets instruktion, kan dock också utgöra en rättslig förpliktelse. Enligt artikel 6.1 c är personuppgiftsbehandling laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Begreppet omfattar i första hand offentligrättsliga förpliktelser och av 2 kap. 1 § dataskyddslagen följer att en förpliktelse utgör en rättslig grund för behandling av personuppgifter om förpliktelsen följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Gemensamt för artikel 6.1 c och e är att personuppgiftsbehandlingen ska vara nödvändig i förhållande till den rättsliga grunden för att vara laglig. Detta innebär inte att det måste vara omöjligt att utföra en uppgift utan att behandla personuppgifter, utan det är tillräckligt att personuppgiftsbehandlingen bidrar till effektivitetsvinster. På motsvarande sätt bör det i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag (prop. 2017/18:105 s. 46 f.).
Utöver det grundläggande kravet på att all behandling måste vara laglig, i betydelsen att någon av de rättsliga grunder som anges i artikel 6.1 i dataskyddsförordningen är tillämplig, omgärdas varje behandling av personuppgifter också av andra krav. Principerna för behandling av personuppgifter, dvs. vilka allmänna krav som gäller för all personuppgiftsbehandling, anges i artikel 5.1 i dataskyddsförordningen. Den första principen som läggs fast i artikel 5.1 är att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (led a). Vidare ska personuppgifterna samlas in för särskilda, uttryckligt angivna och berättigade ändamål och de får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (led b). Uppgifterna ska även bl.a. vara adekvata och riktiga och får inte förvaras under en längre tid än vad som är nödvändigt (leden c, d och e). Uppgifterna måste också behandlas på ett sätt som säkerställer lämplig säkerhet (led f).
Artiklarna 5 och 6 i dataskyddsförordningen är grundläggande och kumulativa. Dels måste någon av de rättsliga grunder som anges i artikel 6.1 vara tillämplig, dels måste samtliga principer i artikel 5.1 följas.
5.3 Övergripande om möjligheten att behålla och införa särreglering
Regeringens bedömning: Dataskyddsförordningen ger fortsatt utrymme för sådan sektorsspecifik särreglering om behandling av personuppgifter inom offentlig sektor som finns i de aktuella registerförfattningarna.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Trots att dataskyddsförordningen är direkt tillämplig i alla EU:s medlemsstater kan den, framför allt när det gäller den offentliga sektorn, sägas ha en direktivliknande karaktär på så vis att den tillåter att dess regler specificeras i nationell rätt. Detta följer bl.a. av artikel 6.2, där det anges att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Detta får ske genom att medlemsstaterna närmare fastställer specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Av skäl 10 framgår att detta även gäller för behandlingen av känsliga personuppgifter. Av artikel 6.3 framgår vidare att vid behandling enligt artikel 6.1 c och e, ska den rättsliga grunden fastställas i unionsrätten eller i nationell rätt. Där anges också att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Förordningen innehåller också andra artiklar som tillåter kompletterande bestämmelser i vissa avseenden, exempelvis när det gäller särskilda kategorier av personuppgifter (artikel 9.2 g) och inskränkningar av den registrerades rättigheter (artikel 23). Som framgår av den bedömning regeringen har gjort i propositionen Ny dataskyddslag innebär detta att det även fortsättningsvis finns ett utrymme för sådan sektorsspecifik särreglering om behandling av personuppgifter inom offentlig sektor som finns i registerförfattningarna (prop. 2017/18:105 s. 21 f.).
5.4 Bestämmelser som är förenliga med dataskyddsförordningen
5.4.1 Bestämmelser om syfte och tillämpningsområde
Regeringens bedömning: Bestämmelser i registerförfattningar som anger syftet med lagen eller avgränsar dess tillämpningsområde till en viss verksamhet eller en viss typ av behandling är förenliga med dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Vissa registerförfattningar inleds med en allmän bestämmelse som anger syftet med lagstiftningen. Detta kan exempelvis vara att möjliggöra personuppgiftsbehandling och samtidigt skydda människors personliga integritet. Sådana bestämmelser har inget direkt materiellt innehåll och utgör i sig ingen reglering av den förekommande personuppgiftsbehandlingen. Bestämmelser av detta slag är därför förenliga med dataskyddsförordningen.
Regeringen delar bedömningen i promemorian att också bestämmelser som avgränsar tillämpningsområdet för en viss registerförfattning är förenliga med dataskyddsförordningen. Eftersom särreglering är möjlig enligt förordningen måste den nationella lagstiftaren också kunna specificera inom vilken verksamhet eller för vilken typ av personuppgiftsbehandling en viss särreglering gäller.
5.4.2 Bestämmelser om personuppgiftsansvar
Regeringens bedömning: Bestämmelser i registerförfattningar som preciserar personuppgiftsansvaret är förenliga med dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Av definitionen i artikel 4.7 i dataskyddsförordningen framgår att en personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt enligt samma artikel. Dataskyddsförordningen ger alltså möjlighet att fastställa eller precisera personuppgiftsansvaret i författning. Sådana bestämmelser i registerförfattningarna är därför förenliga med dataskyddsförordningen.
5.4.3 Ändamålsbestämmelser
Regeringens bedömning: Ändamålsbestämmelser i registerförfattningar är förenliga med dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Dataskydd.net ifrågasätter promemorians bedömning och menar att denna bygger på en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilt bestämda ändamål och tillåtna rättsliga grunder för behandling. Övriga remissinstanser yttrar sig inte över bedömningen.
Skälen för regeringens bedömning: Registerförfattningar - däribland de nu aktuella - innehåller vanligen ändamålsbestämmelser som anger den yttersta ram inom vilken personuppgifter får behandlas. I vissa författningar kategoriseras ändamålen som primära och sekundära ändamål. De primära ändamålen reglerar behandlingen av de personuppgifter som behövs i den berörda myndighetens egen verksamhet. De sekundära ändamålen reglerar i vilken utsträckning personuppgifter som behandlas för något av de primära ändamålen får behandlas för att lämnas ut till andra myndigheter eller till enskilda för att tillgodose deras behov. Syftet med uppdelningen i primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels får användas i myndighetens egen verksamhet, dels får behandlas för att lämnas ut till andra.
Ändamålsbestämmelser av detta slag kan ses som sådana specifika bestämmelser som anpassar tillämpningen av bestämmelserna i dataskyddsförordningen och säkerställer en laglig och rättvis behandling och som är tillåtna enligt artikel 6.2 i dataskyddsförordningen när det gäller behandling som grundar sig på artikel 6.1 c och e. Av artikel 6.3 framgår också att den rättsliga grunden för sådan personuppgiftsbehandling kan innehålla ändamålsbegränsningar. I enlighet med artikel 23.2 a i förordningen ska dessutom, när så är relevant, lagstiftning som begränsar tillämpningsområdet för förordningens rättigheter och skyldigheter innehålla specifika ändamålsbestämmelser. Dataskyddsförordningen ger alltså utrymme för att ha bestämmelser om tillåtna ändamål i nationella registerförfattningar och regeringen ansluter sig därför till bedömningen i promemorian.
Det sagda innebär att ändamålsbestämmelser i många fall torde kunna ses som en del av den rättsliga grunden för personuppgiftsbehandlingen. Dataskydd.net har påtalat att det kan finnas en risk för sammanblandning av begreppen i myndigheternas praktiska behandling av personuppgifter. I brottsdatalagen och de registerförfattningar som uteslutande reglerar personuppgiftsbehandling inom brottsdatalagens tillämpningsområde görs av detta skäl en tydligare åtskillnad mellan bestämmelser om rättslig grund och ändamål (prop. 2017/18:232 och propositionen Brottsdatalag - kompletterande lagstiftning, prop. 2017/18:269). Regeringen återkommer till frågor om utformningen av ändamålsbestämmelserna i samband med behandlingen av de enskilda registerförfattningarna.
5.4.4 Bestämmelser om utlämnande
Regeringens bedömning: Sekretessbrytande bestämmelser i registerförfattningar om utlämnande av personuppgifter, liksom bestämmelser om elektroniskt utlämnande, är förenliga med dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning
Bestämmelser om utlämnande av personuppgifter
Som framgår av föregående avsnitt kan frågor om utlämnande regleras i sekundära ändamålsbestämmelser. Många registerförfattningar innehåller emellertid bestämmelser om utlämnande av personuppgifter vars syfte är att möjliggöra ett uppgiftsutbyte som annars skulle förhindras av sekretess. Uppgiftsskyldighet mellan svenska myndigheter bryter exempelvis eventuell sekretess och kan förekomma i registerförfattningar (10 kap. 28 § offentlighets- och sekretesslagen [2009:400]). När det gäller utländska myndigheter föreskrivs normalt sett inte uppgiftsskyldighet utan att uppgifter får lämnas ut under vissa förutsättningar. Även sådana bestämmelser innebär att sekretessbelagda uppgifter kan lämnas (8 kap. 3 § offentlighets- och sekretesslagen).
Även om sekretessbrytande bestämmelser inte i första hand reglerar förutsättningar för automatiserad personuppgiftsbehandling får de en sådan betydelse för personuppgiftsbehandlingen att de bör ingå i en bedömning av regleringens förenlighet med dataskyddsförordningen. Sekretessbrytande bestämmelser möjliggör nämligen utlämnanden som annars inte hade kunnat komma i fråga. Uppgiftsskyldighet för en myndighet som för ett automatiserat register som innehåller personuppgifter kommer dessutom alltid innebära en automatiserad personuppgiftsbehandling för att kunna fullgöras.
Regeringen delar bedömningen i promemorian att regler som syftar till att bryta sekretess får anses vara sådana preciseringar av principer om personuppgiftsbehandling som är tillåtna enligt artikel 6.2. Att automatiserat utlämnande kan regleras i nationell rätt har också stöd i artikel 6.3, av vilken det framgår att den rättsliga grunden kan innehålla bestämmelser om till vilka "enheter" personuppgifter får lämnas och för vilka ändamål. Även om sekretessbrytande bestämmelser inte är ändamålsbestämmelser i egentligen mening framgår dessutom ofta syftet med utlämnandet av bestämmelserna.
Elektroniskt utlämnande av personuppgifter
I registerförfattningar regleras ibland vissa särskilda tekniska former av utlämnande, exempelvis s.k. direktåtkomst. I artikel 6.3 nämns särskilt "typer av behandling och förfaranden för behandling". Regeringen delar därför bedömningen i promemorian att nationella bestämmelser som preciserar förutsättningarna för elektroniskt utlämnande, inklusive direktåtkomst, får anses förenliga med dataskyddsförordningen.
5.4.5 Bestämmelser om vilka uppgifter som får behandlas
Regeringens bedömning: Bestämmelser i registerförfattningar om vilka uppgifter som får behandlas är generellt förenliga med dataskyddsförordningen. I de fall bestämmelsen innebär att person- eller samordningsnummer ska behandlas måste lämpliga skyddsåtgärder finnas.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: I registerförfattningar föreskrivs ofta vilka personuppgifter som får behandlas. Detta kan göras allmänt genom en bestämmelse om att möjligheten att behandla personuppgifter gäller personuppgifter som behövs för ett visst angivet ändamål. I författningar som avser ett särskilt register kan dessutom mer precisa bestämmelser finnas, där en uppräkning ibland görs av de personuppgifter som ska ingå i registret.
I artikel 6.3 i dataskyddsförordningen sägs uttryckligen att den rättsliga grunden kan innehålla bestämmelser om vilka uppgifter som får behandlas. En bestämmelse om vilka uppgifter som får behandlas kan också uppfattas som en precisering som syftar till att följa principen om uppgiftsminimering i artikel 5.1 c och det följer därmed även av artikel 6.2 att nationell rätt kan innehålla sådana bestämmelser. Generellt är bestämmelser av nämnda slag alltså förenliga med dataskyddsförordningen.
I de fall det i bestämmelsen föreskrivs att person- eller samordningsnummer ska ingå i registret krävs emellertid ytterligare överväganden. Sådana uppgifter har nämligen getts en särställning i dataskyddsförordningen genom att medlemsstaterna getts möjlighet att införa särskilda villkor för behandlingen, och villkoren ska i sådana fall säkerställa att identifikationsuppgifterna bara får användas med iakttagande av lämpliga skyddsåtgärder för de registrerades fri- och rättigheter (artikel 87). I 3 kap. 10 § dataskyddslagen har sådana särskilda villkor ställts upp. Enligt bestämmelsen får personnummer och samordningsnummer behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. I samband med införandet av bestämmelsen konstaterades att en bestämmelse som tillåter behandling av personnummer och samordningsnummer i andra fall än enligt 3 kap. 10 § dataskyddslagen måste leva upp till förordningens krav på lämpliga skyddsåtgärder för de registrerades fri- och rättigheter (prop. 2017/18:105 s. 101 f.).
I några av de registerförfattningar som behandlas i propositionen finns sådana bestämmelser som anger att person- eller samordningsnummer ska eller får behandlas i vissa sammanhang. För att dessa ska vara förenliga med dataskyddsförordningen krävs alltså att det finns lämpliga skyddsåtgärder enligt artikel 87. Regeringen återkommer till dessa frågor i samband med att de enskilda bestämmelserna behandlas.
5.4.6 Åtkomst till personuppgifter inom myndigheten och sökbegränsningar
Regeringens bedömning: Bestämmelser i registerförfattningar som begränsar åtkomsten till personuppgifter inom myndigheten samt bestämmelser om sökbegränsningar är förenliga med dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: I registerförfattningar kan den interna åtkomsten till personuppgifter regleras, exempelvis vilka uppgifter som får göras gemensamt tillgängliga. Med detta begrepp brukar avses tillgänglighet för en vidare krets tjänstemän inom myndigheten. Andra begränsande bestämmelser kan vara att det anges att åtkomsten till personuppgifter för varje tjänsteman ska begränsas till vad som är nödvändigt för att han eller hon ska kunna fullgöra sin arbetsuppgift eller bestämmelser som reglerar behörigheter att ta del av personuppgifter.
En annan typ av reglering som kan sägas minska åtkomsten till personuppgifter är bestämmelser som begränsar sökmöjligheterna, exempelvis genom att ange att vissa sökbegrepp inte får användas.
Regeringen delar bedömningen i promemorian att bestämmelser som på sådana sätt begränsar åtkomsten till personuppgifter får ses som preciseringar av antingen principen om uppgiftsminimering (artikel 5.1 c) eller principen om integritet och konfidentialitet (artikel 5.1 f). De bör därför betraktas som tillåtna kompletteringar i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen.
5.4.7 Bestämmelser om bevarande och gallring
Regeringens bedömning: Bestämmelser i registerförfattningar om gallring är förenliga med dataskyddsförordningen.
Det måste bedömas från fall till fall om bestämmelser i registerförfattningar om att man inte får bevara personuppgifter när uppgifterna inte längre behövs för vissa ändamål är förenliga med dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Att personuppgifter inte får lagras i identifierbar form under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas är en grundläggande princip för behandling av personuppgifter enligt artikel 5.1 e i dataskyddsförordningen. Vad gäller bevarande för exempelvis arkivändamål av allmänt intresse anges i bestämmelsen samtidigt att sådant bevarande är tillåtet under förutsättning att bl.a. tekniska åtgärder säkerställer den registrerades rättigheter.
Bestämmelser i registerförfattningar om bevarande och gallring kan ha formen av absoluta tidsgränser för när en uppgift ska gallras eller när den inte längre får bevaras. En precisering av när uppgifter senast ska gallras är en integritetsskyddande åtgärd, och av artikel 6.3 i dataskyddsförordningen framgår att lagringstid kan regleras i nationell rätt. Sådana bestämmelser om gallring är alltså förenliga med dataskyddsförordningen (jfr propositionen Anpassning av utlänningsdatalagen till EU:s dataskyddsreform, prop. 2017/18:254, s. 52 f.).
Det förekommer också bestämmelser som mer allmänt anger att bevarande av personuppgifter inte får ske eller att gallring ska ske, om personuppgifterna inte längre behövs för vissa ändamål. När det gäller sådana bestämmelser kan det ifrågasättas om de tillför något utöver dataskyddsförordningens allmänna princip om lagringsminimering. Vissa sådana bestämmelser fyller dock en funktion i förtydligande syfte och bör behållas med stöd av skäl 8 i dataskyddsförordningen. En bedömning av om bestämmelserna bör behållas måste därför göras i det enskilda fallet med hänsyn till den närmare utformningen av bestämmelsen.
I de nya registerförfattningarna på brottsdatalagens område används inte längre begreppet gallring, eftersom bedömningen gjorts att begreppet inte bör användas i bestämmelser som avser dataskydd (prop. 2017/18:269 s. 122 f.). Regeringen återkommer till denna fråga i anslutning till att gallringsbestämmelserna i de enskilda registerförfattningarna behandlas.
5.4.8 Bestämmelser om föreskriftsrätt
Regeringens bedömning: Dataskyddsförordningen påverkar inte nuvarande bestämmelser i registerförfattningar om rätt för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om personuppgiftsbehandling.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Registerförfattningar som är lagar ger ofta en rätt för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter i något eller några avseenden som rör personuppgiftsbehandling, eller upplyser om att regeringen eller den myndighet regeringen bestämmer meddelar sådana föreskrifter. Regeringen delar bedömningen i promemorian att sådana bestämmelser inte berörs av dataskyddsförordningen. Förordningen använder ofta uttryck som nationell rätt eller bestämmelser, se exempelvis artikel 6.2 eller 6.4. Som framgår av skäl 41 avses inte heller med uttrycket rättslig grund eller lagstiftningsåtgärd att det måste vara fråga om en lag antagen av ett nationellt parlament. Att frågor regleras i förordnings- eller föreskriftsform får alltså i sig anses vara förenligt med dataskyddsförordningen.
5.5 Bestämmelser som inte kan behållas
Regeringens bedömning: Bestämmelser i registerförfattningar som innehåller hänvisningar till personuppgiftslagen och bestämmelser om skyldighet att utse personuppgiftsombud kan inte behållas.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: I samband med att dataskyddslagen trädde i kraft upphävdes personuppgiftslagen. Bestämmelser i registerförfattningar som hänvisar till personuppgiftslagen måste därför tas bort, antingen genom att bestämmelserna upphävs eller genom att hänvisningar i stället görs till dataskyddsförordningen och dataskyddslagen. Regeringen återkommer till behovet av sådana bestämmelser (se avsnitt 5.8.1).
I registerförfattningar föreskrivs ibland en skyldighet för den personuppgiftsansvarige att utse personuppgiftsombud. Begreppet härrör från personuppgiftslagen och har varit nödvändigt för att genomföra 1995 års dataskyddsdirektiv. I dataskyddsförordningen finns i stället bestämmelser om dataskyddsombud (artikel 37). Av förordningen framgår en direkt skyldighet att utse sådant ombud om personuppgiftsbehandling genomförs av en myndighet eller ett offentligt organ (artikel 37.1 a). Bestämmelser om skyldighet att utse personuppgiftsombud innebär därför en otillåten nationell reglering av en direkt tillämplig bestämmelse i dataskyddsförordningen. Sådana bestämmelser bör därför inte behållas.
5.6 Känsliga personuppgifter
Regeringens bedömning: Bestämmelser i de befintliga registerförfattningarna som i förhållande till regleringen i dataskyddslagen inskränker myndigheters möjligheter att behandla känsliga personuppgifter, eller i vart fall inte utvidgar dessa, är förenliga med dataskyddsförordningen.
Det måste bedömas från fall till fall om bestämmelser i de befintliga registerförfattningarna som i förhållande till regleringen i dataskyddslagen utvidgar myndigheters möjligheter att behandla känsliga personuppgifter är förenliga med dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Artikel 9 i dataskyddsförordningen innehåller särskild reglering av behandling av särskilda kategorier av personuppgifter. Med detta begrepp avses sådana uppgifter som i personuppgiftslagen benämndes känsliga personuppgifter, alltså uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Dessutom omfattar begreppet genetiska och biometriska uppgifter samt uppgifter om sexuell läggning. I dataskyddslagen används numera begreppet känsliga personuppgifter om samtliga uppgifter som omfattas av regleringen i artikel 9.
Utgångspunkten enligt artikel 9.1 är att behandling av känsliga personuppgifter är förbjuden. Från förbudet görs sedan vissa undantag i artikel 9.2. För personuppgiftsbehandling som utförs av myndigheter är det i första hand undantaget i artikel 9.2 g som kan bli aktuellt. Enligt detta tillåts behandling av känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Den nationella rätten ska i så fall uppfylla vissa krav, bl.a. ska den vara förenlig med det väsentliga innehållet i rätten till dataskydd.
I prop. 2017/18:105 har regeringen närmare analyserat kraven för att kunna göra undantag från dataskyddsförordningens förbud att behandla känsliga personuppgifter. Detta har bl.a. utmynnat i den generella regleringen i 3 kap. 3 § dataskyddslagen av myndigheters möjligheter att under vissa förutsättningar behandla känsliga personuppgifter med stöd av artikel 9.2 g samt tillhörande sökförbud.
Regeringen har alltså tidigare gjort bedömningen att det är förenligt med dataskyddsförordningen att myndigheter ges möjlighet att behandla känsliga personuppgifter i den utsträckning som framgår av 3 kap. 3 § dataskyddslagen. Även de bestämmelser i registerförfattningarna som i förhållande till 3 kap. 3 § dataskyddslagen inskränker, eller i vart fall inte utvidgar, myndigheters möjligheter att behandla känsliga uppgifter bör i enlighet med detta vara förenliga med dataskyddsförordningen.
Även bestämmelser som ger utrymme för en behandling i större omfattning än 3 kap. 3 § dataskyddslagen är tänkbar, men förenligheten med dataskyddsförordningen måste då prövas särskilt.
5.7 Bestämmelser om registrerades rättigheter
Dataskyddsförordningen innehåller en rad bestämmelser om registrerades rättigheter, såsom rätt till rättelse (artikel 16), radering (artikel 17), begränsning av behandling (artikel 18), att göra invändningar mot behandling (artikel 21) samt att få information om personuppgiftsincidenter (artikel 34). Motsvarigheter till dessa rättigheter finns delvis i personuppgiftslagen, medan de i andra delar innebär nyheter i svensk rätt.
I den mån rättigheterna innebär att den registrerade, i större utsträckning än vad som tidigare gällt, kan förhindra eller försvåra personuppgiftsbehandlingen vid någon myndighet finns det, som anges i promemorian, anledning att överväga att utnyttja möjligheterna till inskränkningar i artikel 23 i dataskyddsförordningen. Regeringen gör i detta avsnitt sådana bedömningar avseende ovannämnda rättigheter.
Dataskyddsförordningen innehåller dessutom bestämmelser om registrerades rätt till information i artikel 13-15. Dessa bestämmelser behandlas inte i detta avsnitt, utan regeringen återkommer till vissa överväganden kring bestämmelserna i anslutning till att de enskilda registerförfattningarna behandlas.
5.7.1 Rättelse och komplettering
Regeringens bedömning: Det saknas skäl att i registerförfattningarna inskränka den registrerades rätt till rättelse eller komplettering enligt artikel 16 i dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Artikel 16 i dataskyddsförordningen innehåller en rätt för den registrerade att få felaktiga personuppgifter som rör honom eller henne rättade. Motsvarande rätt fanns tidigare i 28 § personuppgiftslagen, vilken de flesta registerförfattningar hänvisar till. Bestämmelsen i artikel 16 om rätt till rättelse innebär inte någon förändring i förhållande till vad som gällt sedan tidigare. Regeringen delar därför bedömningen i promemorian att det saknas anledning att inom ramen för detta lagstiftningsärende överväga om det finns skäl att göra inskränkningar i denna rättighet.
Artikel 16 i dataskyddsförordningen innehåller även en rätt för den registrerade att få ofullständiga personuppgifter kompletterade, bland annat genom att tillhandahålla ett kompletterande utlåtande. Denna rättighet, som också återfinns i artikel 16.1 i dataskyddsdirektivet, saknade motsvarighet i personuppgiftslagen. I prop. 2017/18:232 s. 247 konstateras att det är oklart vad motsvarande bestämmelse i dataskyddsdirektivet syftar på, men att en möjlig tolkning är att den registrerade ska ha rätt att ge in en skrivelse till den personuppgiftsansvarige där den registrerade utvecklar skälen för sin begäran. En sådan rätt följer redan av förvaltningslagen och regeringen delar därför bedömningen i promemorian att det inte finns skäl att inskränka den enskildes rätt till komplettering.
I detta sammanhang förtjänar det att påpekas att rätten till komplettering inte kan uppfattas som en rättighet för en registrerad att tillföra uppgifter till ett författningsreglerat register. Om det i författningen regleras vilka uppgifter registret ska innehålla och uppgifterna om den registrerade inte är ofullständiga i förhållande till författningens krav, innebär alltså inte artikel 16 någon rätt för den registrerade att föra in ytterligare uppgifter i registret. I sådana fall är omfattningen av vilka personuppgifter som ska behandlas redan övervägd med beaktande av ändamålet med behandlingen. Oavsett detta kan givetvis den registrerade ge in ett utlåtande till myndigheten med sina synpunkter på den aktuella behandlingen.
5.7.2 Radering
Regeringens bedömning: Det saknas skäl att i registerförfattningarna inskränka den registrerades rätt att få sina personuppgifter raderade enligt artikel 17 i dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Artikel 17 i dataskyddsförordningen innehåller en rätt för den registrerade att under vissa förhållanden få sina personuppgifter raderade, exempelvis då personuppgifterna har behandlats på olagligt sätt (artikel 17.1 d). Motsvarande rätt fanns i 28 § personuppgiftslagen, där i stället uttrycket utplåning användes. Till skillnad från i 28 § personuppgiftslagen anges dock i artikel 17 på ett utförligt sätt i vilka situationer den enskilde har rätt till radering.
Samtidigt finns ett undantag från rätten till radering i artikel 17.3 som anger att rätten till radering inte ska gälla i den utsträckning behandlingen är nödvändig för att bl.a. uppfylla en rättslig förpliktelse som kräver behandling enligt medlemsstaternas nationella rätt eller för att utföra en uppgift av allmänt intresse eller vid myndighetsutövning. De grunder för behandling som anges i artikel 17.3 är alltså desamma som gör en behandling laglig i enlighet med artikel 6.1 c eller e. Den enskilde kan alltså inte framtvinga radering av personuppgifter som behövs för myndigheternas författningsreglerade verksamhet.
Som anförs i promemorian bör behandling av personuppgifter som behövs för diarieföring eller för bevarande av allmänna handlingar alltid kunna betraktas som laglig med hänvisning till ett allmänt intresse, även om sådan behandling inte alltid behövs för myndighetens kärnverksamhet och därmed inte omfattas av någon författningsreglering som gäller specifikt för den aktuella myndigheten.
Mot bakgrund av ovanstående delar regeringen bedömningen i promemorian att det inte finns skäl att i de aktuella registerförfattningarna föreslå några inskränkningar i rätten till radering enligt artikel 17.
5.7.3 Begränsning av behandling
Regeringens bedömning: Det saknas skäl att i registerförfattningarna inskränka den enskildes rätt att begära att behandlingen av hans eller hennes personuppgifter begränsas enligt artikel 18 i dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Artikel 18 i dataskyddsförordningen innehåller en rätt för den registrerade att under vissa förhållanden kräva att personuppgiftsbehandlingen begränsas. Begreppet begränsning av behandling definieras i artikel 4.3 som en "markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden". Motsvarigheten till begränsning i personuppgiftslagen var blockering enligt 28 §. Den begränsning av behandling som avses med blockering är dock endast att personuppgifterna inte ska lämnas ut till tredje man. Av artikel 18.2 följer i stället att begränsning i princip innebär att behandling av personuppgifterna utöver lagring inte längre får ske, med vissa undantag. Rätten till begränsning är alltså inte helt jämförbar med rätten till blockering enligt tidigare gällande rätt.
Enligt artikel 18.1 finns det olika förutsättningar under vilka den registrerade har rätt att kräva begränsning av behandlingen. En av dem (led b) är att behandlingen är olaglig, men den registrerade motsätter sig att uppgifterna raderas. Som konstaterats ovan finns inte skäl för att inskränka rätten till radering i motsvarande situation. I enlighet med detta anser regeringen att det inte heller finns skäl för att inskränka rätten till begränsning i samband med olaglig behandling.
En annan situation då behandlingen ska begränsas enligt artikel 18.1 är när den personuppgiftsansvarige inte längre behöver personuppgifterna för behandling, men den registrerade behöver dem bl.a. för att göra gällande rättsliga anspråk (led c). Även i en sådan situation framstår det som rimligt att behandlingen ska begränsas; det är ju inte lagligt att fortsätta behandla personuppgifter om det inte finns ett godtagbart ändamål med behandlingen. Inte heller i sådana situationer finns därför skäl att inskränka rätten till begränsning.
En tredje förutsättning för begränsning av behandlingen är att den registrerade bestrider uppgifternas korrekthet och den personuppgiftsansvarige behöver tid att kontrollera deras riktighet (led a). Regeringen delar bedömningen i promemorian att begränsningskravet i en sådan situation inte generellt kan sägas innebära en sådan olägenhet i en myndighets verksamhet att rättigheten bör inskränkas. Att myndigheter kontrollerar uppgifters korrekthet, oavsett om det är den enskilde själv eller någon annan som framför omständigheter som tyder på att uppgifterna inte stämmer, framstår som självklart och följer redan av den personuppgiftsansvariges allmänna skyldighet att se till att personuppgifter är korrekta. Att behandlingen av uppgifterna, utöver att de bevaras, i normalfallet inte fortsätter under den tid det tar att fastställa riktigheten framstår även det som rimligt. Av artikel 18.2 följer dessutom att behandling av personuppgifter för skäl som rör ett viktigt allmänintresse inte förhindras av rätten till begränsning. Det kan också noteras att skyldigheten att begränsa behandlingen av personuppgifter inom dataskyddsdirektivets tillämpningsområde (artikel 16.3 i direktivet) kommer att gälla under i princip samma förutsättningar som enligt dataskyddsförordningens artikel 18.1 a och c och att det enligt direktivet inte finns några möjligheter att inskränka den personuppgiftsansvariges skyldigheter i det avseendet (jfr 4 kap. 9 § andra stycket brottsdatalagen som genomför artikel 16.3). Mot denna bakgrund finns enligt regeringen inte heller skäl att inskränka rätten till begränsning enligt artikel 18.1 a.
Slutligen ska behandlingen, enligt led d, begränsas om den registrerade har invänt mot behandling i enlighet med artikel 21.1 (se nästa avsnitt). Personuppgiftsbehandlingen ska begränsas under den tid det tar för den personuppgiftsansvarige att visa att förutsättningar att upphöra med behandlingen på grund av invändningen inte föreligger. I linje med att regeringen inte ser något generellt behov av att inskränka rätten till invändningar enligt artikel 21.1, och med beaktande av möjligheten att ändå behandla personuppgifter för skäl som rör ett viktigt allmänintresse, anser regeringen inte heller att rätten till begränsning bör inskränkas i det avseendet.
5.7.4 Invändningar
Regeringens bedömning: Det saknas skäl att i registerförfattningarna inskränka den enskildes rätt att göra invändningar enligt artikel 21 i dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Artikel 21 i dataskyddsförordningen innehåller en rätt för den registrerade att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot personuppgiftsbehandling som grundar sig på artikel 6.1 e eller f. Om en myndighet har en rättslig förpliktelse (artikel 6.1 c) att föra exempelvis ett visst register, gäller alltså inte rätten att göra invändningar enligt artikel 21.
Efter invändning från den registrerade får den personuppgiftsansvarige inte längre behandla personuppgifterna såvida denne inte kan visa på avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
Rätten till invändningar har en motsvarighet i 1995 års dataskyddsdirektiv, artikel 14, som också ger den registrerade rätt att göra invändningar och anger att personuppgiftsbehandlingen ska upphöra om skälen för invändningen är berättigade. Denna rättighet gäller dock endast om nationell rätt inte föreskriver något annat och någon generell rätt till invändningar genomfördes inte i personuppgiftslagen. I stället följde av 12 § andra stycket personuppgiftslagen att den registrerade inte hade rätt att invända mot behandling som var tillåten enligt lagen, utom i de fall då behandlingen grundade sig på samtycke (12 § första stycket) eller rörde direkt marknadsföring (11 §).
Som regeringen konstaterat i tidigare lagstiftningsärende fyller rätten att göra invändningar en viktig funktion ur rättssäkerhetssynpunkt (prop. 2017/18:105 s. 105). Detta innebär att en inskränkning i denna rätt bör föregås av noggranna överväganden.
Som anförs i promemorian finns det rent allmänt skäl för att personuppgiftsbehandling vid en myndighet ska kunna fortgå även om den enskilde gör invändningar mot den. En stor del av den personuppgiftsbehandling som regleras i registerförfattningarna sker emellertid med stöd av bl.a. artikel 6.1 c och som framgår ovan gäller den enskildes rätt att invända inte mot sådan behandling. Rätten att invända berör alltså endast sådan behandling som sker enbart med stöd av artikel 6.1 e. Redan av detta skäl är behovet av en inskränkning av rätten att invända begränsat. Det kan också konstateras att det för invändningar som är helt obefogade vanligtvis bör vara tillräckligt att hänvisa till de författningar som ger stöd för personuppgiftsbehandlingen för att det ska anses visat att intresset av behandling väger tyngre. Mot denna bakgrund delar regeringen bedömningen i promemorian att det i detta lagstiftningsärende inte finns tillräckliga skäl för några inskränkningar i rätten att göra invändningar enligt artikel 21.
5.7.5 Information om personuppgiftsincidenter
Regeringens bedömning: Det saknas skäl att i registerförfattningarna inskränka den registrerades rätt till information om personuppgiftsincidenter enligt artikel 34 i dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Enligt artikel 34 i dataskyddsförordningen ska den personuppgiftsansvarige utan dröjsmål informera den registrerade om personuppgiftsincidenter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Information krävs emellertid inte om den personuppgiftsansvarige antingen genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa tillämpats på de personuppgifter som påverkats av incidenten eller vidtagit ytterligare åtgärder som säkerställer att hög risk för registrerades rättigheter och friheter sannolikt inte längre kommer att uppstå. Den enskilde behöver inte heller informeras om sådan information skulle innebära en oproportionell ansträngning, då ska istället allmänheten informeras eller en liknande åtgärd vidtas.
Informationsplikten enligt artikel 34 inträder alltså först vid personuppgiftsincidenter som är allvarliga för den enskilde och är även då begränsad på olika sätt. De direkt tillämpliga undantagen från informationsplikten omfattar dock inte situationen att de uppgifter som ska lämnas till den registrerade omfattas av sekretess eller tystnadsplikt. I fall då redan informationen om att den registrerades personuppgifter behandlas vid viss myndighet i sig omfattas av sekretess har regeringen därför i andra lagstiftningsärenden ansett att informationsplikten enligt artikel 34 bör inskränkas till att inte omfatta sådana uppgifter som inte får lämnas ut till den registrerade (propositionen Anpassning av domstolsdatalagen till EU:s dataskyddsförordning, prop. 2017/18:113, s. 35-37 och prop. 2017/18:254 s. 38 f.).
I promemorian har gjorts bedömningen att skäl för inskränkningar av informationsplikten saknas avseende den personuppgiftsbehandling som regleras i nu aktuella registerförfattningar. Den information som ska lämnas till den enskilde torde som regel kunna utformas så att sekretessbelagda uppgifter inte lämnas ut. Det har inte heller vid remitteringen eller i övrigt framkommit att redan informationen om att den registrerades personuppgifter behandlas enligt registerförfattningarna, skulle vara så känslig att det motiverar en inskränkning av informationsplikten. Regeringen anser därför att det inte finns skäl att inskränka den registrerades rätt till information om personuppgiftsincidenter enligt artikel 34.
5.8 Behovet av nya bestämmelser
5.8.1 Bestämmelser om förhållandet till den generella dataskyddsregleringen
Regeringens bedömning: I registerförfattningarna bör det införas bestämmelser som klargör att lagen kompletterar dataskyddsförordningen.
I registerförfattningarna bör det även införas bestämmelser som anger att dataskyddslagen och föreskrifter som meddelas i anslutning till lagen gäller, om inte något annat följer av registerförfattningen eller föreskrifter som meddelats i anslutning till den.
Hänvisningarna till dataskyddsförordningen i registerförfattningarna bör vara dynamiska.
Promemorians bedömning överensstämmer med regeringens, med det undantaget att det i promemorian inte hänvisas till föreskrifter som meddelats i anslutning till dataskyddslagen.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Sedan den 25 maj 2018 utgör dataskyddsförordningen den generella regleringen för behandling av personuppgifter utanför den föreslagna brottsdatalagens tillämpningsområde. Registerförfattningarna kommer alltså, i den utsträckning de reglerar personuppgiftsbehandling inom förordningens tillämpningsområde, att innehålla bestämmelser som kompletterar dataskyddsförordningen. Regeringen delar bedömningen i promemorian att det bör införas bestämmelser i registerförfattningarna som upplyser om detta.
Författningarna kommer även att behöva innehålla vissa andra hänvisningar till dataskyddsförordningen. Det är fråga om bestämmelser av upplysningskaraktär eller bestämmelser som begränsar eller preciserar förordningens tillämpning på något område. Som konstateras i promemorian bör hänvisningarna, i likhet med vad som med några få undantag gäller i dataskyddslagen, vara dynamiska (prop. 2017/18:105 s. 24 f.). Valet av dynamiska hänvisningar innebär att hänvisningarna kommer att omfatta eventuella ändringar i dataskyddsförordningen. Detta hindrar dock inte att den nationella lagstiftningen kan komma att behöva ändras om förordningens innehåll förändras.
Dataskyddslagen innehåller de bestämmelser som på ett generellt plan kompletterar dataskyddsförordningen. Regeringen delar bedömningen i promemorian att det i registerförfattningarna bör upplysas om detta samt om att dataskyddslagen är subsidiär i förhållande till bestämmelserna om behandling av personuppgifter i registerförfattningarna eller föreskrifter som meddelats i anslutning till dessa. Eftersom det sagda även gäller föreskrifter som meddelats i anslutning till dataskyddslagen anser regeringen, till skillnad från vad som föreslås i promemorian, att de upplysande bestämmelserna i registerförfattningarna bör hänvisa även till dessa.
Regeringen återkommer till utformningen av bestämmelserna om förhållandet till den generella dataskyddsregleringen i samband med att de enskilda registerförfattningarna behandlas.
5.8.2 Det behövs inga bestämmelser om skadestånd eller överklagande
Regeringens bedömning: Dataskyddsförordningen medför inget behov av bestämmelser om skadestånd eller överklagande i registerförfattningarna.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Av 7 kap. 1 § dataskyddslagen framgår att rätten till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet enligt artikel 82 i EU:s dataskyddsförordning också gäller vid överträdelse av dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen. Det behövs därför inga hänvisningar till dataskyddsförordningen avseende skadestånd i registerförfattningar som kompletterar förordningen.
Personuppgiftsansvariga myndigheters beslut avseende personuppgiftsbehandling enligt en registerförfattning kommer framöver att fattas med direkt tillämpning av dataskyddsförordningen. Sådana beslut kommer därmed att kunna överklagas med stöd av 7 kap. 2 § dataskyddslagen. Det finns alltså inget behov att införa några bestämmelser om överklagande i nu aktuella registerförfattningar.
5.8.3 Det behövs inga bestämmelser om tillsyn eller administrativa sanktionsavgifter
Regeringens bedömning: Dataskyddsförordningen medför inget behov av bestämmelser om tillsyn eller administrativa sanktionsavgifter i registerförfattningarna.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Tillsynsmyndighetens behörighet, uppgifter och befogenheter regleras utförligt i artikel 55-59 i dataskyddsförordningen. Enligt dessa bestämmelser har tillsynsmyndigheten bl.a. befogenhet att behandla klagomål från registrerade, utfärda varningar och reprimander mot personuppgiftsansvariga, rikta förelägganden mot personuppgiftsansvariga samt besluta om begränsning av eller förbud mot viss behandling. Enligt artikel 83 i dataskyddsförordningen har tillsynsmyndigheten i vissa fall möjlighet att påföra de personuppgiftsansvariga administrativa sanktionsavgifter vid överträdelser av förordningens bestämmelser. Varje medlemsstat får fastställa regler för om och i vilken utsträckning sådana sanktionsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlemsstaten.
Den föreslagna dataskyddslagen innehåller bestämmelser som kompletterar dataskyddsförordningens reglering i dessa delar. I 6 kap. 1 § föreskrivs att de befogenheter som tillsynsmyndigheten har enligt dataskyddsförordningen även ska gälla vid tillsyn över efterlevnaden av bestämmelserna i dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen. I kapitel 6 finns även kompletterande bestämmelser avseende tillsynsmyndighetens handläggning och beslut. Vad gäller sanktionsavgifter anges det i 6 kap. 1 § dataskyddslagen att sanktionsavgifter ska få tas ut av myndigheter vid vissa överträdelser av dataskyddsförordningen. Bestämmelsen reglerar även avgiftens storlek. I kapitel 6 finns även vissa kompletterande bestämmelser om sanktionsavgifter.
I prop. 2017/18:105 utvecklar regeringen skälen för att tillsynsmyndigheten ska ha möjlighet att ta ut administrativa sanktionsavgifter från myndigheter (s. 139-142). Regeringen anser att det saknas skäl att inom ramen för nu aktuella registerförfattningars tillämpningsområde ha ett annat förfarande för tillsyn och sanktioner än det som kommer att gälla för andra myndigheter enligt dataskyddslagen. Eftersom dataskyddslagen (i den utsträckning brottsdatalagen inte är tillämplig) kommer att gälla inom registerförfattningarnas område, under förutsättning att annat inte följer av författningarna eller föreskrifter som har meddelats i anslutning till dessa, krävs det inte någon särskild reglering i registerförfattningarna för att dataskyddslagens bestämmelser om tillsyn och sanktionsavgifter ska bli tillämpliga. Regeringen delar därför bedömningen i promemorian att det, såvitt gäller personuppgiftsbehandling som omfattas av dataskyddsförordningen, inte bör införas några regler om tillsyn eller om sanktionsavgifter i registerförfattningarna.
6 Allmänna överväganden om anpassningar till dataskyddsdirektivet och brottsdatalagen
6.1 Övergripande om anpassningar till dataskyddsdirektivet och brottsdatalagen
Ett EU-rättsligt direktiv innebär en skyldighet för medlemsstaterna att införa föreskrifter i överensstämmelse med direktivet. Medlemsstaterna är dock fria att bestämma form och tillvägagångssätt för genomförandet; avgörande är att lagstiftningen uppnår det resultat i sak som direktivet eftersträvar. Av artikel 8.2 i dataskyddsdirektivet - som anger att medlemsstaternas nationella rätt som reglerar behandling enligt direktivet åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål - framgår dessutom att det är förutsatt att nationell rätt kommer att innehålla specificeringar i förhållande till direktivet. Eftersom dataskyddsdirektivet är ett s.k. minimidirektiv (se artikel 1.3) finns också möjligheter för medlemsstaterna att införa starkare skyddsåtgärder än vad direktivet kräver för den enskildes rättigheter och friheter med avseende på personuppgiftsbehandling inom direktivets tillämpningsområde.
På dataskyddsdirektivets område är brottsdatalagen den grundläggande regleringen av personuppgiftsbehandling. Lagen genomför direktivet på ett generellt plan och dess bestämmelser har bedömts vara förenliga med direktivet. I den mån en fråga är reglerad i brottsdatalagen och ingen särreglering är nödvändig i registerförfattningarna, tillgodoses alltså direktivets krav redan genom brottsdatalagen. Om det i stället är så att en registerförfattning bör innehålla särreglering i förhållande till brottsdatalagen krävs, förutom att den är förenlig med direktivet, överväganden kring hur bestämmelsen kommer att förhålla sig till brottsdatalagen.
6.2 Rättslig grund för personuppgiftsbehandlingen
Enligt artikel 8.1 i dataskyddsdirektivet är behandling av personuppgifter laglig endast om behandlingen är nödvändig för att en behörig myndighet ska kunna utföra en uppgift för brottsbekämpande eller något av de andra ändamål som omfattas av direktivets tillämpningsområde. För att vara laglig måste behandlingen också ske på grundval av unionsrätt eller nationell rätt.
Artikeln genomförs på generell nivå genom bestämmelsen i 2 kap. 1 § brottsdatalagen. Av denna framgår att personuppgifter får behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra en arbetsuppgift i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa en straffrättslig påföljd eller upprätthålla allmän ordning och säkerhet. Arbetsuppgiften måste också framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt den behöriga myndigheten att utföra en sådan uppgift. Utöver detta får personuppgifter, enligt 2 kap. 2 § brottsdatalagen, även behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.
Liksom motsvarande bestämmelse i dataskyddsförordningen innehåller dataskyddsdirektivet och brottsdatalagen alltså krav på att personuppgiftsbehandlingen måste vara nödvändig i förhållande till ändamålet med behandlingen. Regeringen har tidigare gjort bedömningen att detta begrepp har samma innebörd som i dataskyddsförordningen (prop. 2017/18:105 s. 46 f. och prop. 2017/18:232 s. 117). Se vidare vad som sagts om begreppet i avsnitt 5.2.
Utan att ta slutlig ställning till de enskilda författningarnas förenlighet med artikel 8.1 kan redan nu konstateras att alla de registerförfattningar som behandlas i propositionen och som reglerar personuppgiftsbehandling som omfattas av dataskyddsdirektivets tillämpningsområde, innehåller bestämmelser som ålägger Polismyndigheten en specifik uppgift att föra register av olika slag, i syfte att informationen i registren bl.a. ska användas av Polismyndigheten eller andra behöriga myndigheter för sådana syften som anges i 2 kap. 1 § brottsdatalagen.
6.3 Bestämmelser som är förenliga med dataskyddsdirektivet och brottsdatalagen
6.3.1 Bestämmelser om syfte och tillämpningsområde
Regeringens bedömning: Bestämmelser i registerförfattningar som anger syftet med lagen eller avgränsar dess tillämpningsområde till viss verksamhet eller viss typ av behandling är förenliga med dataskyddsdirektivet och brottsdatalagen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Som konstaterats i avsnitt 5.4.1 har bestämmelser om syftet med en viss registerförfattning inget direkt materiellt innehåll och utgör därför i sig ingen reglering av den förekommande personuppgiftsbehandlingen. Sådana bestämmelser är således förenliga med dataskyddsdirektivet.
Regeringen delar bedömningen i promemorian att också bestämmelser som avgränsar tillämpningsområdet för en viss registerförfattning är förenliga med dataskyddsdirektivet och brottsdatalagen (se vidare prop. 2017/18:269 s. 98-100).
6.3.2 Bestämmelser om personuppgiftsansvar
Regeringens bedömning: Bestämmelser i registerförfattningar som preciserar personuppgiftsansvaret är förenliga med dataskyddsdirektivet och brottsdatalagen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Av definitionen i artikel 3.8 i dataskyddsdirektivet framgår att personuppgiftsansvarig är en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt enligt samma artikel. Dataskyddsdirektivet ger alltså möjlighet att fastställa personuppgiftsansvaret i författning och brottsdatalagen innehåller inte några bestämmelser som förhindrar detta. Sådana bestämmelser i registerförfattningarna är därför förenliga med dataskyddsdirektivet och brottsdatalagen.
6.3.3 Ändamålsbestämmelser
Regeringens bedömning: Ändamålsbestämmelserna i de aktuella registerförfattningarna som reglerar personuppgiftsbehandling på dataskyddsdirektivets område är förenliga med dataskyddsdirektivet och brottsdatalagen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Dataskydd.net ifrågasätter promemorians bedömning och menar att denna bygger på en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilt bestämda ändamål och tillåtna rättsliga grunder för behandling. Övriga remissinstanser yttrar sig inte över bedömningen.
Skälen för regeringens bedömning: De nu aktuella registerförfattningarna som reglerar personuppgiftsbehandling inom dataskyddsdirektivets område innehåller samtliga bestämmelser om ändamålen med de register som ska föras enligt författningarna. Som framgått av avsnitt 5.4.3 och som Dataskydd.net påtalat kan det ifrågasättas om sådana bestämmelser är ändamålsbestämmelser i egentlig mening eller om de utgör preciseringar av personuppgiftsbehandlingens rättsliga grunder. Oavsett hur de betecknas fyller de en funktion som avgränsande ramar för personuppgiftsbehandlingen och kan inte anses strida emot direktivets krav (jfr prop. 2017/18:232 s. 123 f.). Ändamålsbestämmelserna i de aktuella registerförfattningarna som reglerar personuppgiftsbehandling på dataskyddsdirektivets område är alltså förenliga med direktivet och brottsdatalagen. Detta utesluter inte att det kan finnas skäl att anpassa bestämmelserna till dataskyddsdirektivet och brottsdatalagen, vilket regeringen återkommer till när de enskilda registerförfattningarna behandlas.
6.3.4 Bestämmelser om utlämnande
Regeringens bedömning: Sekretessbrytande bestämmelser i registerförfattningar om utlämnande av personuppgifter och bestämmelser som reglerar elektroniskt utlämnande är förenliga med dataskyddsdirektivet och brottsdatalagen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning
Bestämmelser om utlämnande av personuppgifter
Som redogjorts för i föregående kapitel innehåller många registerförfattningar bestämmelser om utlämnande av personuppgifter vars syfte är att möjliggöra ett uppgiftsutbyte som annars skulle förhindras av sekretess. Även om sådana bestämmelser alltså inte i första hand avser att reglera dataskydd innebär de att det finns grundläggande förutsättningar för ett informationsutbyte som annars hade varit förhindrat av sekretess. Dataskyddsdirektivet lägger inga hinder för sådana sekretessbrytande bestämmelser och de nya registerförfattningarna på brottsdatalagens område innehåller sådana bestämmelser (prop. 2017/18:269 s. 100 f.).
Elektroniskt utlämnande av personuppgifter
Som framgått regleras i registerförfattningar ibland vissa särskilda tekniska former av utlämnande, exempelvis s.k. direktåtkomst. Regeringen har i prop. 2017/18:269 konstaterat att dataskyddsdirektivet inte särskilt reglerar på vilket sätt personuppgifter får lämnas ut samt att bestämmelserna om direktåtkomst och elektroniskt utlämnande i övrigt i de registerförfattningar som behandlas i propositionen är förenliga med direktivet (s. 132-136). Regeringen delar bedömningen i promemorian att detsamma gäller motsvarande bestämmelse i nu aktuella registerförfattningar.
6.3.5 Bestämmelser om vilka uppgifter som får behandlas
Regeringens bedömning: Bestämmelser i registerförfattningar om vilka uppgifter som får behandlas är förenliga med dataskyddsdirektivet och brottsdatalagen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Som redogjorts för i föregående kapitel föreskrivs i registerförfattningar ofta vilka personuppgifter som får behandlas, antingen genom en allmän bestämmelse eller genom mer precisa bestämmelser såsom uppräkningar av de personuppgifter som ska ingå i ett visst register. Regeringen delar bedömningen i promemorian att artikel 8.2 i dataskyddsdirektivet, som anger att nationell rätt ska innehålla preciseringar av vilka personuppgifter som får behandlas, måste anses medföra att sådana specificeringar är tillåtna enligt direktivet.
6.3.6 Bestämmelser om gallring
Regeringens bedömning: Bestämmelser i registerförfattningar om gallring är förenliga med dataskyddsdirektivet och brottsdatalagen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Dataskyddsdirektivet innehåller både en skyldighet för medlemsstaterna att föreskriva att personuppgifter inte ska bevaras längre än vad som behövs för det ändamål de behandlas för (artikel 4.1 e) och en skyldighet för medlemsstaterna att fastställa lämpliga tidsgränser för radering av personuppgifter eller för periodisk översyn av behovet att bevara uppgifterna (artikel 5). I 2 kap. 17 § och 2 kap. 18 § brottsdatalagen finns generella bestämmelser om längsta tid för bevarande av uppgifter och periodisk översyn.
I flera av registerförfattningarna finns gallringsbestämmelser som anger en exakt tidpunkt för när uppgifter ska gallras. Sådana bestämmelser är, i enlighet med artikel 5, förenliga med direktivet och en tillåten särreglering i förhållande till 2 kap. 18 § brottsdatalagen.
Som angetts i föregående kapitel används gallringsbegreppet inte längre i de nya registerförfattningarna på brottsdatalagens område, eftersom man bedömt att det inte bör användas i bestämmelser som avser dataskydd. Regeringen återkommer till denna fråga i anslutning till att gallringsbestämmelserna i de enskilda registerförfattningarna behandlas.
6.3.7 Bestämmelser om föreskriftsrätt
Regeringens bedömning: Dataskyddsdirektivet påverkar inte nuvarande bestämmelser i registerförfattningar om rätt för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om personuppgiftsbehandling.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Som redogjorts för i föregående kapitel ger registerförfattningar ofta en rätt för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter i något eller några avseenden som rör personuppgiftsbehandling, eller upplyser om att regeringen eller den myndighet regeringen bestämmer meddelar sådana föreskrifter. Sådana bestämmelser berörs inte av dataskyddsdirektivet eftersom detta, i likhet med dataskyddsförordningen, inte förhindrar att frågor om personuppgiftsbehandling regleras i förordnings- eller föreskriftsform. Att frågor regleras i förordnings- eller föreskriftsform får alltså anses vara förenligt med dataskyddsdirektivet.
6.4 Bestämmelser som inte kan behållas
Regeringens bedömning: Bestämmelser i registerförfattningar som innehåller hänvisningar till personuppgiftslagen kan inte behållas.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Som framgått upphävdes personuppgiftslagen den 25 maj 2018. Bestämmelser i registerförfattningar som hänvisar till personuppgiftslagen måste därför tas bort, antingen genom att bestämmelserna upphävs eller genom att hänvisningar i stället görs till brottsdatalagen.
6.5 Bestämmelser om registrerades rättigheter
Regeringens bedömning: Det behövs inte några bestämmelser i registerförfattningarna om den registrerades rätt till rättelse, radering eller begränsning av behandling av personuppgifter.
För det fall nuvarande bestämmelser i en registerförfattning innebär en uttömmande reglering av den enskildes rätt till information, måste bestämmelsernas förenlighet med dataskyddsdirektivet övervägas särskilt.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Liksom dataskyddsförordningen innehåller dataskyddsdirektivet i artikel 16 bestämmelser om rätt för den registrerade till rättelse, radering och begränsning av behandling av personuppgifter. Till skillnad från dataskyddsförordningen innehåller direktivet emellertid inga möjligheter att i nationell rätt inskränka dessa rättigheter.
Bestämmelserna om rätt till rättelse och begränsning av behandling genomförs i 4 kap. 9 § brottsdatalagen. Eftersom denna bestämmelse inte är begränsad till behandling som sker enbart enligt brottsdatalagen behövs det ingen hänvisning till bestämmelsen i registerförfattningarna för att den ska kunna tillämpas, även om den personuppgift som den registrerade anser vara felaktig eller ofullständig behandlas med stöd av en registerförfattning.
Bestämmelsen om rätt till radering genomförs i 4 kap. 10 § brottsdatalagen. Denna bestämmelse innebär att den personuppgiftsansvarige, på begäran av den registrerade, ska radera personuppgifter om de behandlas i strid med vissa uppräknade bestämmelser i 2 kap. brottsdatalagen. Detsamma gäller om det krävs radering för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse. Av prop. 2017/18:232 s. 472 framgår att en rättslig förpliktelse kan avse en skyldighet som rör hur personuppgifter får behandlas enligt brottsdatalagen, myndighetens registerförfattning eller annan författning om ett enskilt register, t.ex. lagen (1998:621) om misstankeregister. Också denna bestämmelse blir därför, utan att någon hänvisning krävs, tillämplig även om den personuppgift som den registrerade begär raderad behandlas med stöd av en registerförfattning.
När det gäller den registrerades rätt att få del av egna personuppgifter som behandlas samt information om behandlingen genomförs direktivet i 4 kap. 3 § brottsdatalagen. Enligt 4 kap. 5 § samma lag finns emellertid möjlighet att i annan författning inskränka rätten till information, om detta sker i vissa specificerade syften. För det fall en registerförfattning innehåller en uttömmande reglering av den enskildes rätt till information (dvs. reglering som i enlighet med 1 kap. 5 § brottsdatalagen ska tillämpas i stället för 4 kap. 3 § brottsdatalagen), måste det därför övervägas om detta är en tillåten inskränkning eller inte. Regeringen återkommer särskilt till frågan i avsnitt 8.3.5.
Liksom dataskyddsförordningen innehåller dataskyddsdirektivet en rätt för den registrerade att få information om personuppgiftsincidenter (artikel 31). Eftersom 3 kap. 11 § brottsdatalagen, till skillnad från artikel 34 i dataskyddsförordningen, innebär att sådan information inte behöver lämnas ut om det rör uppgifter som enligt lag eller annan författning inte får lämnas ut av hänsyn till vissa angivna intressen, saknas emellertid behov av sådana överväganden som gjorts i avsnitt 5.7.5.
6.6 Behovet av nya bestämmelser
6.6.1 Bestämmelser om förhållandet till den generella dataskyddsregleringen
Regeringens bedömning: I registerförfattningar som kommer att gälla utöver brottsdatalagen bör det införas bestämmelser som klargör detta.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: I prop. 2017/18:269 föreslås att det, i de registerförfattningar som kommer att gälla utöver brottsdatalagen, ska införas bestämmelser som anger att lagen i fråga gäller utöver brottsdatalagen (se s. 101 f.). Av de skäl som anges där bör detsamma gälla även nu aktuella lagar som kommer att gälla utöver brottsdatalagen.
6.6.2 Bestämmelser om tillsyn
Regeringens bedömning: Dataskyddsdirektivet medför inget behov av bestämmelser om tillsyn i registerförfattningarna.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: 5 kap. brottsdatalagen innehåller bestämmelser om tillsyn. Av 5 kap. 2 § framgår, liksom av definitionen av tillsynsmyndighet i 1 kap. 6 §, att tillsynen omfattar all personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. Tillsynen omfattar alltså även personuppgiftsbehandling enligt registerförfattningarna, i den mån registerförfattningarna gäller utöver brottsdatalagen. Det krävs därför inte några särskilda bestämmelser i registerförfattningarna för att tillsyn ska kunna utövas i enlighet med kraven i dataskyddsdirektivet.
6.6.3 Bestämmelser om administrativa sanktionsavgifter
Regeringens förslag: Det ska införas bestämmelser i lagen om belastningsregister, lagen om misstankeregister och lagen om Schengens informationssystem om att en sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i författningarna om bevarande och gallring av personuppgifter, om överträdelsen skett vid personuppgiftsbehandling som omfattas av brottsdatalagens tillämpningsområde.
Sanktionsavgiften ska vara högst 10 000 000 kronor.
Promemorians bedömning överensstämmer inte med regeringens. I promemorian görs bedömningen att det inte behövs särskilda bestämmelser om sanktionsavgifter i registerförfattningarna.
Remissinstanserna: Datainspektionen anser att sanktionsavgifter ska kunna utdömas även vid överträdelse av nu aktuella registerförfattningar som gäller utöver brottsdatalagen. Övriga remissinstanser yttrar sig inte över promemorians bedömning.
Skälen för regeringens förslag
Ska en administrativ sanktionsavgift kunna tas ut?
I direktivet överlåts det till medlemsstaterna att välja sanktioner. Enligt artikel 57 ska medlemsstaterna föreskriva sanktioner för överträdelser av bestämmelser som antas enligt direktivet och vidta de åtgärder som krävs för att säkerställa att de genomförs. Sanktionerna ska vara effektiva, proportionerliga och avskräckande. Enligt skäl 89 ska både fysiska och juridiska personer, oavsett om de är privaträttsliga eller offentligrättsliga subjekt, kunna träffas av sanktioner om de överträder bestämmelserna om personuppgiftsbehandling.
Bestämmelser om möjlighet att ta ut administrativa sanktionsavgifter vid överträdelser av bestämmelser i brottsdatalagen har tagits in i 6 kap. den lagen. Sanktionsavgifter har bedömts kunna säkerställa efterlevnaden av bestämmelser i brottsdatalagen på nödvändigt sätt och har ansetts vara den lämpligaste reaktionen på överträdelser av regleringen även för myndigheternas del (prop. 2017/18:232 s. 313-317).
I propositionen Brottsdatalag - kompletterande lagstiftning har regeringen gjort bedömningen att det inte finns skäl att välja någon annan lösning i fråga om sanktioner vid överträdelser av bestämmelser i de där behandlade registerförfattningarna som gäller utöver brottsdatalagen, än den som har valts för överträdelser av bestämmelserna i brottsdatalagen (prop. 2017/18:269 s. 113-115). Av dessa registerförfattningar framgår därför att sanktionsavgift även kan tas ut vid överträdelse av de bestämmelser i författningarna om tillåtna rättsliga grunder för behandling av personuppgifter, särskilda upplysningar och längsta tid för behandling av personuppgifter, som ersätter, preciserar eller på annat sätt kompletterar en bestämmelse i brottsdatalagen.
I promemorian konstateras att nu aktuella registerförfattningar som ska gälla utöver brottsdatalagen avser behandling i tydligt avgränsade behandlingssystem och att både vilka personuppgifter som får behandlas och under hur lång tid är väl preciserat, liksom användningen av personuppgifter ur registren. Personuppgiftsbehandlingen anses med hänsyn till detta vara relativt begränsad. Som Datainspektionen påtalat kan emellertid det faktum att regleringen av personuppgiftsbehandlingen i ett register är väl preciserad inte i sig innebära att behandlingen är begränsad. Personuppgiftsbehandlingen i de aktuella registren måste tvärtom snarast betecknas som omfattande. Som Datainspektionen också påtalat rör registren dessutom mycket integritetskänsliga personuppgifter, varför felaktig behandling av dessa kan få långtgående konsekvenser för enskilda som drabbas. Detta talar enligt regeringens mening för att sanktionsavgifter ska kunna tas ut även vid överträdelser av bestämmelser i dessa registerförfattningar.
I promemorian görs bedömningen att detta, genom sanktionssystemet i brottsdatalagen, bör vara möjligt även utan särskilda bestämmelser i registerförfattningarna om sanktionsavgifter. Exempelvis anges att överträdelser i form av att personuppgifter behandlats under för lång tid, dvs. överträdelser av registerförfattningarnas bestämmelser om bevarande och gallring, bör kunna medföra sanktionsavgift enligt regleringen i brottsdatalagen. De aktuella registerförfattningarna innehåller emellertid en mycket preciserad reglering, innefattande särskilt angivna tider, av när personuppgifter av olika slag inte längre får behandlas i de specifika registren. Överträdelser av sådana bestämmelser kan enligt regeringens mening knappast anses vara en överträdelse också av den allmänt hållna bestämmelsen i 2 kap. 17 § brottsdatalagen om att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Utan särskilda bestämmelser om detta i registerförfattningarna kommer det alltså inte vara möjligt att påföra sanktionsavgifter vid överträdelser av bestämmelserna i registerförfattningarna om bevarande och gallring av personuppgifter. Regeringen anser därför att sådana bestämmelser bör införas.
Datainspektionen har framfört att det är önskvärt att frågan om sanktionsavgifter regleras fullt ut i de tillämpliga registerförfattningarna, så att den sanktionsskyldighet som ska gälla framgår klart och tydligt. Det finns därför skäl att, liksom i propositionen Brottsdatalag - kompletterande lagstiftning, även överväga behovet av särskilda bestämmelser om sanktionsavgifter vid överträdelse av bestämmelser i registerförfattningarna om tillåtna rättsliga grunder för behandling av personuppgifter.
Till skillnad från de registerförfattningar som behandlades i den nämnda propositionen innehåller de nu aktuella registerförfattningarna emellertid inga uttryckliga bestämmelser om rättslig grund. Tvärtom är den rättsliga grunden reglerad genom ett flertal olika bestämmelser i respektive författning, såsom bestämmelser om skyldigheten att föra visst register, om ändamålet med registret och om vilka uppgifter som registret ska innehålla. Särskilda bestämmelser om sanktionsavgifter vid överträdelse av bestämmelserna om tillåtna rättsliga grunder för behandlingen av personuppgifter, i nu aktuella registerförfattningar, skulle därför behöva hänvisa till ett flertal olika bestämmelser på ett sådant sätt att detta knappast skulle innebära en klarare och tydligare reglering av sanktionsskyldigheten än den som återfinns i brottsdatalagen.
Mot bakgrund av ovanstående gör regeringen bedömningen att det, i de aktuella registerförfattningarna som gäller utöver brottsdatalagen, endast bör införas särskilda bestämmelser om att sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelser i registerförfattningarna om bevarande och gallring av personuppgifter. Det bör i respektive registerförfattning anges vilka överträdelser som kan föranleda sanktionsavgift.
I enlighet med resonemanget i avsnitt 5.8.3 bör bestämmelserna om sanktionsavgift begränsas till överträdelser som skett vid behandling av personuppgifter som omfattas av brottsdatalagens tillämpningsområde. Eftersom vapenlagens bestämmelser om bevarande och gallring i vapenregistren bara träffar behandling som omfattas av dataskyddsförordningens tillämpningsområde (se avsnitt 10.2.7), innebär begränsningen att det saknas behov av någon bestämmelse om sanktionsavgift i vapenlagen trots att den vid viss personuppgiftsbehandling gäller utöver brottsdatalagen.
Hur hög bör sanktionsavgiften vara?
Enligt 6 kap. 3 § första och andra styckena brottsdatalagen ska sanktionsavgift tas ut med ett lägre belopp vid mindre allvarliga överträdelser och med ett högre belopp vid allvarligare överträdelser. Det framgår av paragrafen vilka överträdelser som är mindre allvarliga respektive allvarliga.
Överträdelse av brottsdatalagens bestämmelser om längsta tid för behandling av personuppgifter är enligt paragrafen allvarliga överträdelser. Det bör gälla även vid överträdelse av motsvarande bestämmelser i registerförfattningarna. Det finns inte anledning att i registerförfattningarna avvika från de belopp som fastställs i brottsdatalagen. En bestämmelse som anger det högsta belopp som kan komma i fråga bör finnas i var och en av registerförfattningarna.
Vem ska betala en sanktionsavgift?
Den som är personuppgiftsansvarig ansvarar även för den behandling som ett personuppgiftsbiträde utför. Sanktionsavgift ska bara kunna tas ut av ett personuppgiftsbiträde i de fall där biträdet brutit mot uttryckliga skyldigheter enligt brottsdatalagen. Eftersom registerförfattningarna inte innehåller några sådana skyldigheter för personuppgiftsbiträden bör sanktionsavgift för överträdelser av bestämmelser i registerförfattningarna endast kunna tas ut av personuppgiftsansvariga. Om ett personuppgiftsbiträde i strid med brottsdatalagen har bestämt ändamålen med och medlen för behandlingen är biträdet att anse som personuppgiftsansvarig för den behandlingen och sanktionsavgift kan då tas ut i samma utsträckning som av en personuppgiftsansvarig (se 3 kap. 19 § andra stycket brottsdatalagen). Det kommer då att gälla även vid överträdelse av bestämmelser i en registerförfattning.
Brottsdatalagens handläggningsbestämmelser gäller
I brottsdatalagen finns det bestämmelser i 6 kap. 3 § tredje stycket, 4 och 5 §§ om hur sanktionsavgiften ska bestämmas och i 6 kap. 6 och 7 §§ om vad som gäller i fråga om beslut om sanktionsavgift. Att registerförfattningar föreslås gälla utöver brottsdatalagen innebär att de handläggnings- och verkställighetsregler som finns i brottsdatalagen även gäller i de fall där sanktionsavgift tas ut för överträdelser av bestämmelser i registerförfattningarna. Några bestämmelser om handläggningen behövs därför inte i registerförfattningarna.
6.6.4 Bestämmelser om skadestånd
Regeringens bedömning: I registerförfattningar som gäller utöver brottsdatalagen måste det anges att bestämmelsen i brottsdatalagen om skadestånd ska tillämpas vid behandling av personuppgifter som sker i strid med registerförfattningen eller föreskrifter som har meddelats i anslutning till den.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Dataskyddsdirektivets bestämmelse om skadestånd (artikel 56) genomförs i 7 kap. 1 § brottsdatalagen. Bestämmelsen i brottsdatalagen gäller endast om skada uppstått vid behandling av personuppgifter i strid med den lagen. I registerförfattningar som gäller utöver brottsdatalagen måste det därför införas en bestämmelse som innebär att bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med registerförfattningen eller föreskrifter som har meddelats i anslutning till den.
6.6.5 Bestämmelser om överklagande
Regeringens bedömning: Registerförfattningarna bör inte innehålla några bestämmelser om överklagande.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Brottsdatalagen innehåller generella bestämmelser om överklagande. I 7 kap. 2 § brottsdatalagen föreskrivs att beslut enligt lagen i fråga om rättelse eller komplettering, radering eller begränsning av behandlingen av personuppgifter, som har meddelats av en myndighet i egenskap av personuppgiftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut enligt lagen om att inte lämna information på begäran av en registrerad, att ta ut avgift för att lämna information eller att inte medge omprövning av ett automatiserat beslut. Enligt 7 kap. 3 § får tillsynsmyndighetens beslut enligt lagen eller enligt föreskrifter som har meddelats i anslutning till den överklagas till allmän förvaltningsdomstol. I 7 kap. 4 § föreskrivs att andra beslut enligt lagen än de nu nämnda inte får överklagas.
I brottsdatalagen anges uttömmande vilka beslut av behöriga myndigheter som får överklagas. Rätten att överklaga omfattar enbart sådana beslut som en myndighet har fattat i egenskap av personuppgiftsansvarig och som berör den enskilde och går honom eller henne emot. Några andra beslut av en behörig myndighet får inte överklagas. Polismyndigheten kommer - med undantag för beslut om information om behandling i belastningsregistret till den registrerade (se avsnitt 8.3.5) - att fatta samtliga beslut som rör enskilda och som kan gå dem emot med stöd av brottsdatalagen. Besluten kommer därför att kunna överklagas enligt brottsdatalagen. Därmed finns det inte något behov av särskilda bestämmelser om överklagande av sådana beslut i registerförfattningarna. I lagrådsremissen föreslogs en särskild bestämmelse i lagen om belastningsregister om rätt att överklaga Polismyndighetens beslut i fråga om information till den registrerade. Lagrådet har emellertid ifrågasatt behovet av en sådan bestämmelse och pekat på att den riskerar att leda till felaktiga motsatsslut. Mot bakgrund av vad som gäller i fråga om överklagbarhet enligt förvaltningslagen (jfr 41 § förvaltningslagen) bedömer regeringen att det saknas behov av att införa en särskild bestämmelse om överklagbarhet i den aktuella registerförfattningen.
I enlighet med regeringens ställningstagande i avsnitt 6.6.3 ska det i vissa av registerförfattningarna anges vilka överträdelser som kan föranleda sanktionsavgift. Tillsynsmyndigheten beslutar om sanktionsavgift med stöd av 5 kap. 7 § och 6 kap. 6 § brottsdatalagen även när det gäller överträdelser av bestämmelserna i registerförfattningarna. Tillsynsmyndighetens beslut om sanktionsavgifter vid dessa överträdelser får därför överklagas enligt brottsdatalagen och någon särskild reglering avseende rätten att överklaga sådana beslut behövs således inte i någon av registerförfattningarna.
7 Ny Kustbevakningsdatalag
7.1 Nuvarande reglering
Kustbevakningens uppdrag och befogenheter
Kustbevakningens uppgifter framgår i huvudsak av myndighetens instruktion (förordning [2007:853] med instruktion för Kustbevakningen). Kustbevakningens rättsliga befogenheter, särskilt när det gäller brottsbekämpning, ordningshållning och kontroll och tillsyn, regleras samtidigt i ett flertal andra författningar. Detta beror bl.a. på att Kustbevakningen är den myndighet som getts ett övergripande ansvar för myndighetsutövning till sjöss i det svenska territoriet. För en utförlig beskrivning av myndighetens verksamhet och den rättsliga regleringen kan hänvisas till propositionen En ny kustbevakningslag (prop. 2018/19:16). En kortfattad beskrivning är att verksamheten är indelad i två huvudområden, sjöövervakning och räddningstjänst. I uppgiften att bedriva sjöövervakning ingår att bistå andra myndigheter med övervakning, brottsbekämpande verksamhet, ordningshållning samt kontroll och tillsyn enligt vad som närmare framgår av instruktionen och av annan relevant lagstiftning. Av myndighetens instruktion framgår också att Kustbevakningen medverkar i internationellt samarbete för att utveckla gränskontroll, brottsbekämpning till sjöss, annan sjöövervakning och miljöräddningstjänst.
Kustbevakningsdatalagen från 2012
Tidigare har kustbevakningsdatalagen (2012:45) gällt vid all behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör brottsbekämpning, övrig sjöövervakning, räddningstjänst, samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation, samt internationellt samarbete. I prop. 2017/18:269 bedömde regeringen emellertid att Kustbevakningens personuppgiftsbehandling, som en följd av dataskyddsreformen, fortsättningsvis bör regleras i två olika registerförfattningar. Den del av Kustbevakningens personuppgiftsbehandling som omfattas av brottsdatalagen regleras därför sedan den 1 januari 2019 i stället i lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område (Kustbevakningens brottsdatalag). Samma datum upphävdes kustbevakningsdatalagen formellt, men ska enligt en övergångsbestämmelse till Kustbevakningens brottsdatalag fortsätta att gälla vid behandling av personuppgifter utanför brottsdatalagens tillämpningsområde. I det följande benämns den upphävda kustbevakningsdatalagen 2012 års kustbevakningsdatalag; vad som avses är då lagen i dess utformning före den 1 januari 2019.
2012 års kustbevakningsdatalag är indelad i fem kapitel. De två första innehåller bestämmelser som avser all personuppgiftsbehandling som omfattas av lagens tillämpningsområde och rör bl.a. lagens syfte, förhållandet till personuppgiftslagen, personuppgiftsansvar och behandling av känsliga personuppgifter. I de tredje och fjärde kapitlen regleras sedan särskilt personuppgiftsbehandlingen i den brottsbekämpande verksamheten, bestämmelser som alltså inte längre ska tillämpas, och i det femte regleras behandlingen av personuppgifter inom den övriga operativa verksamheten.
7.2 Kustbevakningens personuppgiftsbehandling inom dataskyddsförordningens område vilar på rättslig grund
Regeringens bedömning: Den behandling av personuppgifter som regleras i 2012 års kustbevakningsdatalag och som omfattas av dataskyddsförordningens tillämpningsområde är nödvändig för att utföra en uppgift av allmänt intresse.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Som framgår av avsnitt 5.2 måste varje behandling av personuppgifter inom dataskyddsförordningens tillämpningsområde vila på någon av de rättsliga grunderna i artikel 6.1 i förordningen. Behandlingen är exempelvis laglig om den är nödvändig för att utföra en uppgift av allmänt intresse (led e) som är fastställd enligt nationell rätt (artikel 6.3). Som också konstaterats i avsnitt 5.2 anses all verksamhet som myndigheter bedriver, inom ramen för sin befogenhet, vara av allmänt intresse. Något som kommit till uttryck i 2 kap. 2 § dataskyddslagen, där det slagits fast att en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning utgör en rättslig grund för behandling av personuppgifter.
De uppdrag som Kustbevakningen har att utföra och dess befogenheter framgår av olika författningar, bl.a. myndighetens instruktion. När Kustbevakningen behandlar personuppgifter sker detta alltså för att utföra uppgifter av allmänt intresse som följer av lag eller annan författning. Sådan behandling måste också som utgångspunkt anses nödvändig, i enlighet med vad som konstaterats om detta krav i avsnitt 5.2. Kustbevakningens behandling av personuppgifter inom dataskyddsförordningens tillämpningsområde kan således ske med stöd av åtminstone artikel 6.1 e (inte sällan torde även artikel 6.1 c om behandling för att fullgöra en rättslig förpliktelse vara tillämplig). Detta gäller under förutsättning att övriga krav i dataskyddsförordningen, såsom principerna för personuppgiftsbehandling i artikel 5.1, är uppfyllda och att inte bestämmelserna i kustbevakningsdatalagen innebär någon inskränkning av möjligheterna till behandling.
7.3 En ny kustbevakningsdatalag inom dataskyddsförordningens tillämpningsområde
Regeringens förslag: En ny kustbevakningsdatalag införs. Den nya lagen ska innehålla i huvudsak den reglering som fanns i 2012 års kustbevakningsdatalag och som omfattas av dataskyddsförordningens tillämpningsområde.
Den nya kustbevakningsdatalagen ska i förhållande till 2012 års kustbevakningsdatalag ges en delvis ny struktur.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.
Skälen för regeringens förslag: Till grund för införandet av Kustbevakningens brottsdatalag ligger bedömningen att en ordning med två separata regleringar blir tydligare och enklare att tillämpa för Kustbevakningens del, än en lösning som innebär att dataskyddsförordningens och dataskyddsdirektivets krav regleras i en och samma lag. Något skäl att omvärdera denna bedömning har inte framkommit under beredningen av detta ärende. En ny kustbevakningsdatalag bör därför införas, i vilken den del av Kustbevakningens personuppgiftsbehandling som ligger inom dataskyddsförordningens tillämpningsområde regleras. I enlighet med de utgångspunkter som behandlats i avsnitt 4.3 bör den nya lagen, med de ändringar som behövs eller är lämpliga för att anpassa bestämmelserna till dataskyddsförordningen, motsvara regleringen i 2012 års kustbevakningsdatalag av personuppgiftsbehandling på dataskyddsförordningens område (dvs. 1, 2 och 5 kap.).
Utöver förändringar i enskilda bestämmelser, som behandlas i följande avsnitt, innebär förslaget till ny kustbevakningsdatalag att regleringen av Kustbevakningens personuppgiftsbehandling inom dataskyddsförordningens område ges en i viss mån ny struktur. Eftersom antalet bestämmelser blir begränsat, till följd av att personuppgiftsbehandlingen i den brottsbekämpande verksamheten regleras i en egen lag, behöver den nya lagen inte vara kapitelindelad. När kapitelindelningen försvinner är det också befogat att placera vissa bestämmelser i en annan ordningsföljd än tidigare, för att göra författningen mer lättläst.
7.4 Den nya kustbevakningsdatalagens innehåll
7.4.1 Lagens tillämpningsområde och förhållandet till dataskyddsförordningen och dataskyddslagen
Regeringens förslag: Den nya kustbevakningsdatalagen ska gälla vid behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör sjöövervakning, räddningstjänst, samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation samt internationellt samarbete. Från tillämpningsområdet undantas sådan personuppgiftsbehandling som omfattas av Kustbevakningens brottsdatalag.
Vissa av lagens bestämmelser om personuppgifter ska gälla även vid behandling av uppgifter om juridiska personer.
Lagen ska innehålla upplysande bestämmelser som anger att den kompletterar dataskyddsförordningen samt att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt kustbevakningsdatalagen, om inte något annat följer av kustbevakningsdatalagen eller föreskrifter som meddelats i anslutning till denna.
Promemorians förslag överensstämmer i sak med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.
Skälen för regeringens förslag
Den grundläggande bestämmelsen om tillämpningsområdet
Enligt 1 kap. 2 § första stycket gällde 2012 års kustbevakningsdatalag vid behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör brottsbekämpning, övrig sjöövervakning, räddningstjänst, samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation, och internationellt samarbete. Bestämmelser om tillämpningsområdet är i sig förenliga med dataskyddsförordningen (se avsnitt 5.4.1) och den nya kustbevakningsdatalagen bör innehålla en motsvarande bestämmelse. Eftersom personuppgiftsbehandlingen i den del av Kustbevakningens operativa verksamhet som rör brottsbekämpning omfattas av Kustbevakningens brottsdatalag, måste emellertid den punkten utgå från uppräkningen.
Även behandling av personuppgifter i Kustbevakningens sjöövervakning som inte rör brottsbekämpning omfattas i viss mån av Kustbevakningens brottsdatalag. Främst gäller detta vid sådana ingripanden mot ordningsstörningar som innebär ett upprätthållande av allmän ordning och säkerhet (se vidare prop. 2017/18:269, avsnitt 9.2, för en närmare genomgång av gränsen för Kustbevakningens brottsdatalags tillämpningsområde). För att undvika att viss personuppgiftsbehandling i den operativa verksamheten omfattas av både den nya kustbevakningsdatalagen och Kustbevakningens brottsdatalag bör det därför framgå av bestämmelsen om lagens tillämpningsområde att kustbevakningsdatalagen inte gäller vid behandling av personuppgifter som omfattas av Kustbevakningens brottsdatalag.
Liksom 2012 års kustbevakningsdatalag (1 kap. 2 § andra stycket) bör den nya kustbevakningsdatalagen endast gälla om personuppgiftsbehandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (jfr prop. 2017/18:254 s. 19).
I 1 kap. 2 § tredje stycket 2012 års kustbevakningsdatalag anges att lagens bestämmelser är subsidiära till bestämmelserna i lagen (2017:496) om internationellt polisiärt samarbete eller i föreskrifter som meddelats i anslutning till den lagen. Bestämmelserna om uppgiftsutbyte i den lagen (6-10 kap.) rör emellertid endast uppgiftsutbyte för brottsbekämpande ändamål och saknar därför relevans i förhållande till personuppgiftsbehandlingen i de delar av Kustbevakningens operativa verksamhet som kommer att regleras i den nya kustbevakningsdatalagen. Någon bestämmelse om förhållandet till lagen om internationellt polisiärt samarbete behöver därför inte tas in i den nya kustbevakningsdatalagen.
Tillämpning på uppgifter om juridiska personer
Av 1 kap. 3 § i 2012 års kustbevakningsdatalag följer att vissa av bestämmelserna om personuppgifter även gäller vid behandling av uppgifter om juridiska personer. Eftersom behandling av sådana uppgifter inte omfattas av dataskyddsförordningen berörs bestämmelsen inte av denna och kan därmed behållas i den nya kustbevakningsdatalagen, i den mån den hänvisar till bestämmelser som avser behandling inom den nya lagens tillämpningsområde. Därutöver bör bestämmelsen, liksom motsvarande bestämmelse i Kustbevakningens brottsdatalag, även hänvisa till den ändamålsbestämmelse som möjliggör behandling som är nödvändig för diarieföring eller för handläggning när uppgifter lämnats i en anmälan eller liknande (se avsnitt 7.4.3).
Förhållandet till dataskyddsförordningen och dataskyddslagen
I 2012 års kustbevakningsdatalag finns bestämmelser om förhållandet till personuppgiftslagen (2 kap. 1-2 §§). I enlighet med bedömningarna i avsnitt 5.8.1 bör den nya kustbevakningsdatalagen i stället innehålla bestämmelser som upplyser om att lagen kompletterar dataskyddsförordningen samt att även bestämmelserna i den subsidiära dataskyddslagen, och i föreskrifter som meddelats i anslutning till denna, gäller vid behandlingen av personuppgifter om inte annat följer av kustbevakningsdatalagen eller föreskrifter som meddelats i anslutning till denna.
7.4.2 Lagens syfte, tillgången till personuppgifter och personuppgiftsansvar
Regeringens förslag: Den nya kustbevakningsdatalagen ska innehålla bestämmelser om lagens syfte, tillgången till personuppgifter och personuppgiftsansvar som motsvarar bestämmelserna i 2012 års kustbevakningsdatalag.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Kammarrätten i Stockholm har, med hänvisning till att Kustbevakningens brottsdatalag inte innehåller motsvarande, ifrågasatt att kustbevakningsdatalagen ska innehålla en bestämmelse om lagens syfte. Övriga remissinstanser yttrar sig inte över promemorians förslag.
Skälen för regeringens förslag: Av 1 kap. 1 § i 2012 års kustbevakningsdatalag framgår att syftet med lagen är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin operativa verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Som konstaterats i avsnitt 5.4.1 är sådana allmänna bestämmelser om lagens syfte förenliga med dataskyddsförordningen. I enlighet med de ovan redovisade utgångspunkterna för detta lagstiftningsärende bör den nya kustbevakningsdatalagen därför innehålla en bestämmelse med motsvarande innehåll. Att Kustbevakningens brottsdatalag, som Kammarrätten i Stockholm påtalat, inte innehåller någon sådan bestämmelse beror på att den lagen gäller utöver brottsdatalagen, som redan innehåller en sådan bestämmelse. Detsamma gäller i andra registerförfattningar som reglerar samma myndighets personuppgiftsbehandling inom dataskyddsförordningens respektive brottsdatalagens tillämpningsområde, exempelvis domstolsdatalagen (2015:728) och lagen (2018:1698) om domstolarnas behandling av personuppgifter inom brottsdatalagens område.
I 5 kap. 1 § andra stycket i 2012 års kustbevakningsdatalag finns en bestämmelse som innebär att de personuppgifter som behandlas av Kustbevakningen för andra ändamål än brottsbekämpning får göras gemensamt tillgängliga. Av 1 kap. 4 § framgår att man med "gemensamt tillgängliga uppgifter" avser personuppgifter som görs eller har gjorts gemensamt tillgängliga i Kustbevakningens operativa verksamhet och som fler än endast ett fåtal personer inom myndigheten har rätt att ta del av. I enlighet med bedömningen i avsnitt 5.4.6 måste sådana bestämmelser anses vara tillåtna preciseringar av personuppgiftsbehandlingen enligt artikel 6.2 i dataskyddsförordningen. Även den nya kustbevakningsdatalagen bör därför innehålla motsvarande bestämmelser. Lagrådet har ifrågasatt innebörden av uttrycket "som görs" i den befintliga definitionen av gemensamt tillgängliga uppgifter. Regeringen konstaterar emellertid att uttrycket "som görs eller har gjorts" används genomgående i de författningar som innehåller bestämmelser om gemensamt tillgängliga uppgifter, däribland 3 kap. 1 § Kustbevakningens brottsdatalag. Med hänsyn till intresset av en enhetlig reglering på dataskyddsområdet bör någon ändring i detta avseende därför inte göras i den nya kustbevakningsdatalagen.
I 2 kap. 3 § i 2012 års kustbevakningsdatalag finns en bestämmelse som innebär att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Som framgår av avsnitt 5.4.6 är även detta att se som en sådan precisering i nationell rätt som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Också upplysningen i bestämmelsens andra stycke, att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter, är förenlig med dataskyddsförordningen (se avsnitt 5.4.8). Bestämmelsen bör därför behållas i den nya kustbevakningsdatalagen, med det förtydligandet att föreskriftsrätten följer av 8 kap. 7 § regeringsformen.
I enlighet med bedömningen i avsnitt 5.4.2 är även utpekandet av Kustbevakningen som personuppgiftsansvarig i 2 kap. 4 § 2012 års kustbevakningsdatalag förenligt med dataskyddsförordningen och bör därför föras över till den nya lagen.
7.4.3 Ändamålsbestämmelser och finalitetsprincipen
Regeringens förslag: Den nya kustbevakningsdatalagen ska innehålla primära och sekundära ändamålsbestämmelser som motsvarar bestämmelserna i 2012 års kustbevakningsdatalag.
Lagen ska också, liksom 2012 års kustbevakningsdatalag, innehålla en bestämmelse om att personuppgifter som behandlas enligt en primär ändamålsbestämmelse även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Promemorians förslag överensstämmer i sak med regeringens, men innebär att finalitetsprincipen regleras genom en hänvisning till artikel 5.1 b och 6.4 a-e i dataskyddsförordningen.
Remissinstanserna: Kammarrätten i Stockholm konstaterar att det av flera utredningar förts fram att det ibland har skett en sammanblandning av tillåtna rättsliga grunder för behandling av personuppgifter och ändamålsbestämmelser samt att Kustbevakningens brottsdatalag och andra registerförfattningar på brottsdatalagens område, i stället för ändamålsbestämmelser, innehåller bestämmelser som avser rättsliga grunder för behandlingen. Kammarrätten framhåller att det kan framstå som mindre lämpligt att det i olika författningar som reglerar myndigheters behandling av personuppgifter används olika terminologi. Kammarrätten noterar även att Kustbevakningen föreslås få behandla personuppgifter enligt den primära ändamålsbestämmelsen i 7 § om det behövs för att utföra vissa närmare angivna arbetsuppgifter, medan begreppet nödvändigt används i motsvarande bestämmelse i Kustbevakningens brottsdatalag. Begreppet nödvändigt bör enligt kammarrätten användas genomgående. Dataskydd.net anser att ändamålsbestämmelserna är onödiga eftersom det skett en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilt bestämda ändamål och tillåtna rättsliga grunder för behandling.
Skälen för regeringens förslag
Ändamålsbestämmelserna i 2012 års kustbevakningsdatalag
I likhet med många andra registerförfattningar innehåller 2012 års kustbevakningsdatalag verksamhetsspecifika ändamålsbestämmelser, som anger den yttersta ram inom vilken personuppgifter får behandlas. Inom dataskyddsförordningens tillämpningsområde får Kustbevakningen i den operativa verksamheten, enligt 5 kap. 1 §, behandla personuppgifter om det behövs för att a) bedriva sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss samt bedriva den kontroll och tillsyn som kustbevakningen är skyldig att utföra, b) bedriva räddningstjänst, c) samordna civila behov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter, d) utreda och besluta i ärenden om vattenföroreningsavgift samt ta emot sådana avgifter, eller e) fullgöra skyldigheter inom ramen för internationellt samarbete med sjöövervakning och räddningstjänst. Enligt 2 kap. 6 § får Kustbevakningen därutöver behandla personuppgifter om behandlingen är nödvändig för diarieföring eller om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 2012 års kustbevakningsdatalag finns även sekundära ändamålsbestämmelser. Enligt 5 kap. 2 § första stycket får personuppgifter som behandlas enligt 5 kap. 1 § även behandlas om det är nödvändigt för att tillhandahålla information som behövs i a) Kustbevakningens brottsbekämpande verksamhet, b) en annan myndighets verksamhet om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan, och c) likartad verksamhet hos en utländsk myndighet. Enligt bestämmelsens andra stycke får samma personuppgifter även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till annan.
Bör ändamålsbestämmelser motsvarande dem i 2012 års kustbevakningsdatalag finnas i den nya kustbevakningsdatalagen?
I enlighet med bedömningen i avsnitt 5.4.3 är ändamålsbestämmelser av detta slag, som anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling, tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Detta innebär att ändamålsbestämmelser motsvarande de nuvarande kan föras in i den nya kustbevakningsdatalagen.
Som Dataskydd.net påtalat och som framgår av avsnitt 5.4.3 innebär sådana ändamålsbestämmelser emellertid att en sammanblandning kan ske mellan vad som i dataskyddsrättslig mening är särskilt bestämda ändamål och tillåtna rättsliga grunder för behandlingen. Av detta skäl görs, som också Kammarrätten i Stockholm noterat, i brottsdatalagen och ett flertal registerförfattningar som uteslutande reglerar personuppgiftsbehandling inom brottsdatalagens tillämpningsområde en tydligare åtskillnad mellan bestämmelser om rättslig grund och ändamål. Några motsvarande ändringar har dock inte föreslagits i övriga registerförfattningar som anpassats till dataskyddsförordningen (se exempelvis domstolsdatalagen och lagen [2001:183] om behandling av personuppgifter i verksamhet med val och folkomröstningar). Att, i stället för primära och sekundära ändamålsbestämmelser, införa bestämmelser i den nya kustbevakningsdatalagen av det slag som föreslagits på dataskyddsdirektivets område skulle alltså innebära ett avsteg från den systematik som för närvarande gäller inom dataskyddsförordningens område.
Mot bakgrund av ovanstående gör regeringen bedömningen att även den nya kustbevakningsdatalagen bör innehålla primära och sekundära ändamålsbestämmelser. Dessa bör motsvara de bestämmelser i 2012 års kustbevakningsdatalag som idag gäller inom dataskyddsförordningens tillämpningsområde, med de mindre justeringar som följer av att tillämpningsområdet för Kustbevakningens brottsdatalag inte bestäms helt i enlighet med tillämpningsområdet för 3 och 4 kap. i 2012 års lag. Detta innebär framför allt att den sekundära ändamålsbestämmelsen som möjliggör behandling av personuppgifter för att tillhandahålla information som behövs i Kustbevakningens brottsbekämpande verksamhet i stället ska hänvisa till Kustbevakningens verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet.
Upprätthållande av allmän ordning och säkerhet omfattas alltså av den sekundära ändamålsbestämmelsen, till skillnad från sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss som omfattas av den primära ändamålsbestämmelsen. En utgångspunkt vid gränsdragningen mellan dessa är att det för att viss verksamhet ska kunna anses utgöra ett upprätthållande av allmän ordning och säkerhet krävs fysisk närvaro på den plats där oordning förekommer eller riskerar att uppstå. När en kustbevakningstjänsteman ingriper eller är beredd att ingripa vid en konkret ordningsstörning, eller en potentiell sådan störning vid en specifik händelse, är det fråga om upprätthållande av allmän ordning och säkerhet. Den verksamhet som består av allmän övervakning i trygghetsskapande syfte och att genom närvaro se till att allmän ordning och säkerhet inte störs är i stället att se som övervakning av den allmänna ordningen och säkerheten (se vidare beträffande gränsdragningen i prop. 2017/18:269 s. 190 f.).
Ett grundläggande krav enligt artikel 6.1 b-f i dataskyddsförordningen är att behandlingen ska vara nödvändig. Regeringen har i ett tidigare lagstiftningsärende bedömt att terminologin i registerförfattningarnas ändamålsbestämmelser i detta avseende bör anpassas till dataskyddsförordningens terminologi, eftersom det är olämpligt att använda begrepp i svenska registerförfattningar som kan ge det felaktiga intrycket att det ställs lägre krav på behandlingen i de svenska registerförfattningarna än i dataskyddsförordningen (propositionen Anpassningar av registerförfattningar på arbetsmarknadsområdet till EU:s dataskyddsförordning, prop. 2017/18:112, s. 53). I enlighet med den synpunkt som Kammarrätten i Stockholm framfört bör dessutom samma begrepp användas i kustbevakningsdatalagen som i Kustbevakningens brottsdatalag. I den primära ändamålsbestämmelsen i 7 § bör därför anges att Kustbevakningen får behandla personuppgifter för angivna ändamål om det är nödvändigt.
Bör finalitetsprincipen regleras i den nya kustbevakningsdatalagen?
Till skillnad från de primära ändamålen i 2012 års kustbevakningsdatalag är de sekundära inte uttömmande angivna. Av 5 kap. 2 § tredje stycket framgår att personuppgifter som behandlas enligt 5 kap. 1 § i ett enskilt fall även får behandlas för att tillhandahålla information för något annat ändamål än de som anges i de sekundära ändamålsbestämmelserna, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen).
Enligt regeringens bedömning bör finalitetsprincipen utgöra den yttersta ram inom vilken personuppgifter får behandlas även enligt den nya kustbevakningsdatalagen. Som anges i promemorian gäller principen visserligen enligt artikel 5.1 b i dataskyddsförordningen vid sådan behandling. Enligt regeringens uppfattning bör detta dock av tydlighetsskäl framgå direkt av lagen. Denna bestämmelse utgör tillsammans med uppräkningen av tillåtna ändamål i 7-10 §§ en sådan ändamålsbegränsning som får införas i nationell rätt enligt artikel 6.3 i dataskyddsförordningen (propositionen anpassning till EU:s dataskyddsförordning av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar, prop. 2017/18:115, s. 17).
7.4.4 Känsliga personuppgifter
Regeringens förslag: Begreppet känsliga personuppgifter ska omfatta sådana personuppgifter som avses i artikel 9 i dataskyddsförordningen.
Känsliga personuppgifter ska få behandlas under samma förutsättningar som i dag och förbudet mot att använda känsliga personuppgifter som sökbegrepp ska behållas.
Bestämmelsen om förbud mot att använda känsliga personuppgifter som sökbegrepp ska anpassas språkligt till regleringen i dataskyddsförordningen och brottsdatalagen.
Den nuvarande bestämmelsen om att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt ska föras in i den nya lagen, men placeras i en egen paragraf.
Promemorians förslag överensstämmer i sak med regeringens, men innehåller en uttrycklig bestämmelse om att känsliga personuppgifter som utgångspunkt inte får behandlas. I promemorian föreslås att bestämmelsen om uppgifter som beskriver en persons utseende ska placeras tillsammans med bestämmelserna om känsliga personuppgifter.
Remissinstanserna: Förvaltningsrätten i Stockholm ifrågasätter om det är nödvändigt att Kustbevakningen ska få behandla känsliga personuppgifter för diarieföring. Förvaltningsrätten påtalar också att förslaget innebär att sådan behandling, liksom behandling av känsliga personuppgifter som lämnats i en anmälan eller liknande, får ske redan om det är nödvändigt och inte bara om det är absolut nödvändigt. Dataskydd.net anser att den föreslagna regleringen i praktiken innebär att känsliga personuppgifter alltid kommer att kunna behandlas och att regleringen därför framstår som oärlig. Dessutom är den enligt Dataskydd.net svår att förstå. Juridiska fakulteten vid Lunds universitet påtalar att det, under rubriken "Känsliga personuppgifter", i 12 § tredje stycket finns en bestämmelse som avser uppgifter som beskriver en persons utseende. Är det så att denna inte endast tar sikte på känsliga personuppgifter, skulle detta enligt fakulteten bli tydligare om bestämmelsen placeras i en egen paragraf. Dessutom ifrågasätter fakulteten behovet av bestämmelsen, som innebär att de uppgifter som avses ska utformas på ett objektivt sätt med respekt för människovärdet, eftersom detta följer redan av 1 kap. 9 § regeringsformen.
Skälen för regeringens förslag: Som redogjorts för i avsnitt 5.6 har begreppet känsliga personuppgifter i dataskyddsförordningen utvidgats till att avse fler kategorier av personuppgifter än vad som hittills gällt enligt både personuppgiftslagen och 2012 års kustbevakningsdatalag. Regleringen av behandlingen av känsliga personuppgifter i den nya kustbevakningsdatalagen bör därför omfatta även de nya kategorierna av personuppgifter, vilket lämpligen åstadkoms genom att regleringen i den nya lagen hänvisar till artikel 9.1 i dataskyddsförordningen.
Utgångspunkten enligt 2012 års kustbevakningsdatalag är att känsliga personuppgifter inte får behandlas (2 kap. 7 § första stycket). Detsamma bör gälla även fortsättningsvis. Eftersom det följer direkt av artikel 9.1 i dataskyddsförordningen att känsliga personuppgifter inte får behandlas anser regeringen, till skillnad från vad som föreslås i promemorian, emellertid inte att det behövs någon uttrycklig bestämmelse om detta i den nya lagen.
Enligt 2012 års kustbevakningsdatalag finns undantag som innebär att Kustbevakningen i vissa situationer får behandla känsliga personuppgifter. Enligt 2 kap. 7 § andra stycket får uppgifter om en person, som behandlas på annan grund, kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen. Den restriktivitet som ligger i begreppet "absolut nödvändigt" har ansetts innebära att behovet av att göra sådana kompletteringar måste prövas noga i det enskilda fallet. Det kan bl.a. handla om känsliga personuppgifter som är av avgörande betydelse för en utredning (propositionen Kustbevakningsdatalag, prop. 2011/12:45, s. 200 och prop. 2017/18:232 s. 447). Ett annat exempel kan vara Kustbevakningens behandling av fingeravtryck vid in- eller utresekontroll enligt 9 kap. 8 c § utlänningslagen (2005:716).
Som har konstaterats i avsnitt 5.6 är bestämmelser som i förhållande till regleringen i dataskyddslagen inte utvidgar möjligheterna att behandla känsliga personuppgifter förenliga med artikel 9.2 g i dataskyddsförordningen. Bestämmelsen i 2 kap. 7 § andra stycket 2012 års kustbevakningsdatalag motsvarar inte helt regleringen i 3 kap. 3 § dataskyddslagen, och skulle kunna tolkas som en viss utvidgning av möjligheten att behandla känsliga personuppgifter. Regeringen har emellertid i propositionen Kriminalvårdsdatalag - en ny lag med anpassning till EU:s dataskyddsförordning (prop. 2017/18:248) bedömt att en liknande bestämmelse i förslaget till Kriminalvårdens datalag är förenlig med dataskyddsförordningen. Något skäl att i detta ärende göra någon annan bedömning finns inte. Enligt 2 kap. 6 § andra stycket får känsliga personuppgifter vidare behandlas om behandlingen är nödvändig för diarieföring eller om uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Detta motsvarar i sak regleringen i 3 kap. 3 § första stycket 1 och 2 dataskyddslagen, men en särreglering är motiverad av tydlighetsskäl.
I 2012 års kustbevakningsdatalag finns även ett förbud mot att använda känsliga personuppgifter som sökbegrepp vid sökning i personuppgifter, med undantag för uppgifter som beskriver en persons utseende (5 kap. 4 §). Motsvarande bör enligt regeringens bedömning gälla även i den nya kustbevakningsdatalagen. Ett sådant sökförbud får anses utgöra en lämplig åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen enligt artikel 9.2 g i dataskyddsförordningen. Bestämmelsen bör emellertid anpassas språkligt så att den motsvarar sökförbudet i 3 kap. 3 § andra stycket dataskyddslagen och motsvarande bestämmelse i brottsdatalagen.
Av ovanstående följer att bestämmelserna om tillåten behandling av känsliga personuppgifter i 2012 års kustbevakningsdatalag är förenliga med dataskyddsförordningen. Något skäl att i den nya kustbevakningsdatalagen, som Förvaltningsrätten i Stockholm föreslagit, inskränka Kustbevakningens möjligheter att behandla känsliga personuppgifter finns därför inte enligt regeringen. Regeringen delar inte heller den uppfattning som Dataskydd.net framfört, dvs. att undantagen till huvudregeln är sådana att huvudregeln i sig blir onödig eller missvisande. Motsvarande bestämmelser bör således införas i den nya lagen.
Bestämmelsen om känsliga personuppgifter i 2 kap. 7 § 2012 års kustbevakningsdatalag innehåller i tredje stycket även en påminnelse om att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Som Juridiska fakulteten vid Lunds universitet påtalat följer detta redan av regeringsformens krav på objektivitet och saklighet. Som regeringen konstaterade i samband med införandet av 2012 års kustbevakningsdatalag finns emellertid anledning att i detta sammanhang särskilt betona vikten av att denna typ av uppgifter utformas på ett sätt som inte kan uppfattas som kränkande (prop. 2011/12:45 s. 95 f). Motsvarande bestämmelse gäller dessutom i Kustbevakningens brottsbekämpande verksamhet enligt 2 kap. 7 § andra stycket brottsdatalagen, varför det framstår som lämpligt att motsvarande regel förs in i den här föreslagna lagen. Signalementsuppgifter är i de flesta fall inte känsliga personuppgifter och motsvarande bestämmelse i brottsdatalagen har därför inte placerats i regleringen som avser känsliga personuppgifter (prop. 2017/18:232 s. 144). Av samma skäl bör bestämmelsen även i den nya kustbevakningsdatalagen, såsom Juridiska fakulteten vid Lunds universitet föreslagit, placeras åtskild från regleringen av känsliga personuppgifter.
7.4.5 Utlämnande av personuppgifter och direktåtkomst
Regeringens förslag: Personuppgifter ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.
I övrigt ska regleringen av utlämnade av personuppgifter och direktåtkomst i den nya kustbevakningsdatalagen motsvara bestämmelserna om detta i 2012 års kustbevakningsdatalag, med undantag för en hänvisning till offentlighets- och sekretesslagen.
Promemorians förslag överensstämmer i sak med regeringens.
Remissinstanserna: Förvaltningsrätten i Stockholm anser av tydlighetsskäl att det, i stället för en hänvisning till bestämmelsen om känsliga personuppgifter, bör framgå uttryckligen av bestämmelserna om direktåtkomst att denna inte får avse känsliga personuppgifter. Datainspektionen avstyrker förslaget om att personuppgifter ska få lämnas ut elektroniskt om det inte är olämpligt, eftersom det inte utan närmare analys kan avgöras om det innebär en proportionerlig utvidgning i förhållande till enskildas personliga integritet.
Skälen för regeringens förslag
Utlämnande av personuppgifter
I 2012 års kustbevakningsdatalag finns bestämmelser om utlämnande av personuppgifter som behandlas inom dataskyddsförordningens tillämpningsområde i 2 kap. 8 § och 5 kap. 6 §. Av förstnämnda bestämmelse följer att enstaka personuppgifter får lämnas ut på ett medium för automatiserad behandling. Bestämmelsen innehåller också en upplysning om att regeringen meddelar föreskrifter om att uppgifter får lämnas ut på ett sådant medium även i andra fall. I enlighet med bedömningarna i avsnitt 5.4.4 och 5.4.8 är bestämmelsen förenlig med dataskyddsförordningen och behöver alltså i och för sig inte ändras. I Kustbevakningens brottsdatalag, liksom i andra författningar på dataskyddsdirektivets område, ges emellertid större utrymme för sådana utlämnanden och dessutom har uttrycket "utlämnande på medium för automatiserad behandling" ersatts med "elektroniskt utlämnande". De personuppgifter som behandlas enligt Kustbevakningens brottsdatalag torde typiskt sett vara mer integritetskänsliga än de som kommer att behandlas enligt den nya kustbevakningsdatalagen. Regeringen anser därför, till skillnad från Datainspektionen, att regleringen är proportionerlig i förhållande till enskildas personliga integritet (jfr prop. 2017/18:269 s. 136). Dessutom torde det underlätta för Kustbevakningen om regleringen av utlämnande så långt möjligt är likadant utformad i myndighetens båda registerförfattningar. I enlighet med vad som gäller enligt Kustbevakningens brottsdatalag bör det därför även i kustbevakningsdatalagen föreskrivas att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt samt i anslutning till detta upplysas om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt. För vägledning i fråga om när elektroniskt utlämnande ska anses olämpligt kan hänvisas till regeringens resonemang i prop. 2017/18:269 s. 136.
Bestämmelsen i 5 kap. 6 § 2012 års kustbevakningsdatalag innehåller en upplysning om att regeringen i förordning kan meddela ytterligare bestämmelser om uppgiftslämnande. I enlighet med vad som angetts i avsnitt 5.4.8 är en sådan upplysningsbestämmelse förenlig med dataskyddsförordningen och bör därför tas in även i den nya kustbevakningsdatalagen, med det förtydligandet att regeringens föreskriftsmöjlighet följer av 8 kap. 7 § regeringsformen. Bestämmelsen i 5 kap. 6 § 2012 års kustbevakningsdatalag innehåller dessutom en upplysning om att bestämmelser om att uppgifter får lämnas ut även finns i offentlighets- och sekretesslagen (2009:400). Regeringen har vad gäller bl.a. Kustbevakningens brottsdatalag gjort bedömningen att en sådan upplysning inte fyller någon funktion och därför inte bör införas i den nya lagen (prop. 2017/18:269 s. 112). Något skäl att nu göra någon annan bedömning saknas. Någon sådan upplysning bör därför inte heller införas i den nya kustbevakningsdatalagen.
Direktåtkomst
I 2012 års kustbevakningsdatalag finns bestämmelser om direktåtkomst i 2 kap. 9 § och 5 kap. 5 §. Den förstnämnda bestämmelsen säger att utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av kustbevakningsdatalagen. Bestämmelsen innehåller även en upplysning om var i lagen bestämmelser om direktåtkomst finns. I enlighet med resonemanget i avsnitt 5.4.4 är bestämmelsen förenlig med dataskyddsförordningen och bör därför tas in även i den nya kustbevakningsdatalagen.
I 5 kap. 5 § finns upplysningar om att regeringen meddelar föreskrifter om vilka svenska myndigheter som får ha direktåtkomst till personuppgifter som behandlas med stöd av den primära ändamålsbestämmelsen och om att utländska myndigheter får ha sådan åtkomst samt om att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet. Som konstaterats i avsnitt 5.4.8 är sådana upplysningsbestämmelser förenliga med dataskyddsförordningen. De bör därför föras över till den nya kustbevakningsdatalagen, med det förtydligandet att föreskriftsmöjligheten följer av 8 kap. 7 § regeringsformen. Av regleringen i 5 kap. 5 § följer vidare både att direktåtkomst endast får avse personuppgifter som har gjorts gemensamt tillgängliga och att direktåtkomst inte får avse känsliga personuppgifter. Även detta är förenligt med dataskyddsförordningen (se avsnitt 5.4.4) och bör gälla också enligt den nya lagen. Liksom Förvaltningsrätten i Stockholm anser regeringen att det bör framgå uttryckligen av bestämmelserna om direktåtkomst att sådan inte får avse känsliga personuppgifter. Slutligen innehåller regleringen en bestämmelse som innebär att en svensk myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Som framgår av avsnitt 5.4.6 är detta förenligt med dataskyddsförordningen och motsvarande bör därför gälla även fortsättningsvis. Promemorians förslag i denna del bör därför justeras så att det framgår att bestämmelsen endast avser svenska myndigheter.
7.4.6 Information till den registrerade
Regeringens förslag: Kustbevakningen ska inte vara skyldig att lämna information till den registrerade enligt artikel 13 i dataskyddsförordningen när insamling av personuppgifter görs genom bilder eller ljud, såvida behandlingen i övrigt inte innebär en direkt identifiering av en person. Sådan information ska inte heller behöva lämnas när det i larmsituationer inte finns tid för det.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.
Skälen för regeringens förslag
Bör nuvarande inskränkningar i rätten till information behållas?
Genom en hänvisning i 2 kap. 2 § första stycket 5 2012 års kustbevakningsdatalag gäller i dag bl.a. bestämmelsen i 23 § personuppgiftslagen vid Kustbevakningens behandling av personuppgifter. Av denna följer att Kustbevakningen, i samband med att uppgifter om en person samlas in från personen själv, självmant ska lämna denne information om behandlingen av uppgifterna. Denna rätt till information inskränks emellertid genom bestämmelsen i 2 kap. 2 § tredje stycket 2012 års kustbevakningsdatalag, på så sätt att information inte behöver lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud och inte heller om uppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.
Undantaget för insamling genom bilder och ljud motiverades med hänvisning till att Kustbevakningen bl.a. bedriver spaning med kustbevakningsflyg och i samband med det filmar exempelvis oljeutsläpp från fartyg. I en sådan situation framstår det, menade regeringen, inte bara som orimligt utan också som praktiskt ogörligt att informera den eller de personer som kan tänkas komma att fångas på bild om att deras personuppgifter behandlas. Dessutom ansågs att värdet av sådan information kan ifrågasättas. När det gäller information i samband med larm anförde regeringen bl.a. att sådan information till någon som ringer in i avsikt att larma, eller lämna en motsvarande brådskande underrättelse som kräver omedelbar åtgärd, både riskerar att försena den efterfrågade åtgärden i det enskilda fallet och att leda till negativa konsekvenser i stort för den verksamhet som bedrivs. Det ifrågasattes också om den enskilde i en sådan situation överhuvudtaget är intresserad av informationen (prop. 2011/12:45 s. 81 f.).
Av promemorian framgår att företrädare för Kustbevakningen uttryckt att det finns ett stort praktiskt behov av att kunna fortsätta tillämpa samma ordning som i dag. I den mån dataskyddsförordningen tillåter det bör motsvarande därför gälla även när den nya kustbevakningsdatalagen tillämpas.
Dataskyddsförordningens krav på information
Dataskyddsförordningens krav på information till den registrerade vid insamling av personuppgifter finns i artiklarna 13 och 14. Utformningen av dessa skiljer sig åt på några punkter, och vilken av dem som ska tillämpas beror på om personuppgifterna samlas in från den enskilde själv (artikel 13) eller från någon annan källa (artikel 14). En skillnad mellan bestämmelserna är att artikel 14 ger möjlighet att underlåta att informera den registrerade i vissa situationer, bl.a. om informationsgivningen skulle visa sig vara omöjlig eller medför en oproportionerlig ansträngning (artikel 14.5 b). Någon liknande möjlighet att underlåta att informera finns däremot inte angiven i artikel 13. Emellertid finns det möjlighet att i nationell rätt, med stöd av artikel 23, göra inskränkningar av rätten till information också i fall då personuppgifterna samlas in från den enskilde själv.
Utöver nämnda reglering innehåller dataskyddsförordningen ytterligare en bestämmelse som kan få betydelse för kraven på informationslämnande, nämligen artikel 11. Enligt denna ska den personuppgiftsansvarige inte vara skyldig att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen, om de ändamål för vilka personuppgifterna behandlas inte kräver identifiering.
Det kan i sammanhanget också noteras att dataskyddsförordningens krav på information är mer långtgående än motsvarande krav i 4 kap. brottsdatalagen. Skälen för att något undantag från informationsskyldigheten vid behandling av personuppgifter i ljud- eller bildupptagningar, eller i samband med larm, inte behövs i Kustbevakningens brottsdatalag är därför inte relevanta vid regleringen av personuppgiftsbehandling på dataskyddsförordningens område (prop. 2017/18:269 s. 103 f.).
Kan inskränkningen vid insamling genom bilder eller ljud behållas?
När personuppgifter samlas in genom bilder eller ljud anses de insamlade från den enskilde själv (propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet, prop. 2009/10:85, s. 84-86 och prop. 2017/18:269 s. 103 f.). Detta bör gälla även när den personuppgiftsansvarige inte befinner sig i den registrerades omedelbara närhet, exempelvis vid insamling från ett flygplan. Den enskildes rätt till information i sådana situationer ska därför bedömas enligt artikel 13 i dataskyddsförordningen.
För att inskränkningar ska kunna göras i nationell rätt krävs att förutsättningarna för detta i artikel 23 är uppfyllda. Regeringen anser att den föreslagna regleringen utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle och att den även i övrigt måste anses utgöra en sådan inskränkning i syfte att säkerställa ett sådant viktigt mål av generellt allmänt intresse som regleras i artikel 23.1 e. De delar av Kustbevakningens verksamhet som omfattas av undantaget, exempelvis spaning med kustbevakningsflyg, bedrivs för sådana allmänna intressen. I den verksamheten är det inte möjligt att lämna information när uppgifterna erhålls på det sätt som föreskrivs i artikel 13 i dataskyddsförordningen. Den aktuella inskränkningen är således en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa viktiga mål av generellt allmänt intresse.
En inskränkning med stöd av artikel 23 kräver, förutom ett godtagbart syfte enligt artikel 23.1, även att den nationella lagstiftningen lever upp till kraven i artikel 23.2 på att vissa specifika bestämmelser ska finnas, när så är relevant. I likhet med vad som anförs i promemorian bedömer regeringen att den föreslagna kustbevakningsdatalagen uppfyller dessa krav. Lagen innehåller de i sammanhanget relevanta bestämmelser som nämns i artikel 23.2, däribland bestämmelser om ändamålet med behandlingen och om vilken myndighet som är personuppgiftsansvarig. Den föreslagna begränsningens omfattning är också klart avgränsad och de bestämmelser i lagen som begränsar personuppgiftsbehandlingen på olika sätt måste anses utgöra tillräckliga skyddsåtgärder. Den föreslagna bestämmelsen om bevarande och gallring (se nästa avsnitt) innebär vidare att kravet på en specifik bestämmelse om lagringstid måste anses uppfyllt.
Regeringen delar därför bedömningen i promemorian att regleringen kan ses som en inskränkning i enlighet med artikel 23. Den föreslagna inskränkningen ligger också väl i linje med regleringen i artikel 11, som ger ett självständigt stöd för att information till den enskilde kan underlåtas i situationer då denne inte är direkt identifierad.
Det faktum att insamlingen sker genom bilder eller ljud är dock i sig inte tillräckligt för att den ska vara tillåten. Det finns nämligen flera tänkbara situationer då insamling genom bilder eller ljud sker på ett sådant sätt att information kan lämnas direkt till den registrerade, exempelvis om muntlig kommunikation med enskilda spelas in och bevaras. Regeringen anser därför att det bör framgå direkt av den föreslagna bestämmelsen att inskränkningen i rätten till information endast gäller såvida behandlingen i övrigt inte innebär en direkt identifiering av en person.
Kan inskränkningen vid insamling i samband med larm behållas?
Syftet med inskränkningen av rätten till information när någon larmar Kustbevakningen är framför allt att de åtgärder som behöver vidtas med anledning av larmet inte ska försenas på ett sätt som kan äventyra deras effektivitet. Av bestämmelsen framgår att en prövning ska göras från fall till fall; det är alltså endast de fall där det faktiskt inte finns tid att lämna information som träffas. Inskränkningen måste därför anses uppfylla kraven i artikel 23.1 på nödvändighet och proportionalitet. Eftersom den dessutom syftar till att säkerställa allmän säkerhet eller något annat viktigt mål av generellt allmänt intresse enligt artikel 23.1 c och e, exempelvis vid en miljöräddningsinsats, eller skyddet av den registrerades eller andras rättigheter och friheter enligt artikel 23.1 i, exempelvis vid en sjöräddningsinsats, uppfyller den därför kraven i artikel 23.1. Vidare är begränsningens omfattning klart avgränsad och som redan konstaterats uppfyller den nya kustbevakningsdatalagen även i övrigt kraven i artikel 23.2. Den nu gällande inskränkningen av den enskildes rätt till information är därför tillåten enligt artikel 23 och kan föras in även i den nya kustbevakningsdatalagen.
7.4.7 Bevarande och gallring
Regeringens förslag: Bestämmelser om gallring, bevarande och digital arkivering som rör personuppgiftsbehandling på dataskyddsförordningens område överförs från 2012 års kustbevakningsdatalag till den nya kustbevakningsdatalagen. Formuleringen om bevarande för historiska, statistiska eller vetenskapliga ändamål ändras, i enlighet med dataskyddsförordningens terminologi, till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Säkerhets- och integritetsskyddsnämnden ifrågasätter bedömningen att det inte är motiverat att ändra bestämmelserna om bevarande och gallring till att i stället avse längsta tid för behandling av personuppgifter, i enlighet med regleringen i Kustbevakningens brottsdatalag, eftersom regleringen främst syftar till att skydda den enskildes integritet och inte utgör regler för arkivering. Övriga remissinstanser yttrar sig inte över promemorians förslag.
Skälen för regeringens förslag: I 2012 års kustbevakningsdatalag finns regleringen om bevarande och gallring av personuppgifter som behandlas inom dataskyddsförordningens tillämpningsområde i 5 kap. 7 §. Av bestämmelsen följer att personuppgifter som behandlas automatiserat ska gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas. Detta gäller om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Bestämmelsen innehåller också en upplysning om att regeringen meddelar föreskrifter om digital arkivering.
Att personuppgifter inte får bevaras längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas följer redan av artikel 5.1 e i dataskyddsförordningen. En bestämmelse om gallring innebär emellertid inte bara att uppgiften inte längre får behandlas i förordningens mening, utan även att arkivrättslig gallring ska ske. Bestämmelsen i 5 kap. 7 § 2012 års kustbevakningsdatalag innebär alltså en precisering i förhållande till artikel 5.1 e. Bestämmelsen, även vad gäller upplysningarna om föreskriftsrätt (se avsnitt 5.4.8), är därför förenlig med dataskyddsförordningen. och behöver inte ändras som en följd av införandet av denna. En justering bör dock göras av uttryckssättet i den del som avser föreskrifter om att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. I dataskyddsförordningen används i stället i olika sammanhang, exempelvis i artikel 5.1 b och e, uttrycket arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Regeringen bedömer inte att justeringen innebär någon skillnad i sak.
Som Säkerhets- och integritetsskyddsnämnden påtalat och som nämnts i avsnitt 5.4.7 används begreppet gallring inte längre i vissa registerförfattningar på brottsdatalagens område, bl.a. Kustbevakningens brottsdatalag, eftersom bedömningen gjorts att begreppet inte bör användas i bestämmelser som avser dataskydd. Motsvarande ändringar har emellertid inte föreslagits i någon av de registerförfattningar som reglerar personuppgiftsbehandling endast på dataskyddsförordningens område. Eftersom den nya kustbevakningsdatalagen endast kommer att reglera sådan personuppgiftsbehandling, skulle en ändring av gallringsbestämmelsen i enlighet med vad Säkerhets- och integritetsskyddsnämnden föreslagit innebära ett avsteg från den systematik som för närvarande gäller på dataskyddsförordningens område. Regeringen anser därför att det, i vart fall inom ramen för detta lagstiftningsärende, inte bör göras någon sådan ändring av bestämmelsen.
7.4.8 Bestämmelser som inte behövs i den nya kustbevakningsdatalagen
Regeringens bedömning: Den nya kustbevakningsdatalagen bör, till skillnad från 2012 års kustbevakningsdatalag, inte innehålla några bestämmelser om personuppgiftsombud, om markering av vilken verksamhet som behandlingen rör eller om tillämpliga regler när en misstanke om brott eller brottslig verksamhet uppstår.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: I 2012 års kustbevakningsdatalag finns ytterligare några bestämmelser av betydelse för behandlingen av personuppgifter inom dataskyddförordningens tillämpningsområde. Som framgår av avsnitt 5.5 kan bestämmelsen i 2 kap. 5 § om att Kustbevakningen ska utse personuppgiftsombud emellertid inte föras in i den nya kustbevakningsdatalagen. Inte heller bör den nya lagen innehålla någon motsvarighet till bestämmelsen i 2 kap. 10 §, av vilken det framgår att personuppgifter ska behandlas på ett sådant sätt att det klart framgår om behandlingen rör brottsbekämpning eller annan operativ verksamhet. Bestämmelsen måste nämligen, som anges i promemorian, ses mot bakgrund av att personuppgiftsbehandlingen i hela den operativa verksamheten i dag regleras i samma lag och något motsvarande behov kan inte anses finnas när frågorna nu kommer att regleras i två separata författningar. Detsamma gäller slutligen bestämmelsen i 5 kap. 3 § 2012 års kustbevakningsdatalag, som upplyser om att regleringen i 3 och 4 kap. tillämpas om det uppstår misstanke om brott eller brottslig verksamhet när Kustbevakningen behandlar personuppgifter i annan operativ verksamhet än den brottsbekämpande.
8 Lagen om belastningsregister
8.1 Kort om författningen
Författningens innehåll
I lagen om belastningsregister föreskrivs en skyldighet för Polismyndigheten att med hjälp av automatiserad behandling föra ett belastningsregister som myndigheten är personuppgiftsansvarig för (1 §).
I lagens inledning finns bestämmelser om belastningsregistrets ändamål (2 §) och om förhållandet till personuppgiftslagen (1 a §). Lagen innehåller till största delen bestämmelser om belastningsregistrets innehåll (3-5 §§), utlämnande av uppgifter ur registret (6-15 §§) och gallring (16-18 §§). Regeringen har möjlighet att meddela närmare föreskrifter och förordningen (1999:1134) om belastningsregister innehåller också mer detaljerade bestämmelser på dessa områden.
När det gäller rättigheter för den registrerade innehåller lagen dels bestämmelser om rätt till utdrag från registret till den registrerade själv, dels en hänvisning till personuppgiftslagens bestämmelser om rättelse och skadestånd (9 § respektive 20 §).
Utbyte inom EU av uppgifter ur medlemsstaternas kriminalregister
Genom rådets rambeslut 2009/315/RIF om medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll (här kallat rambeslutet om kriminalregister eller rambeslutet) skapades förbättrade möjligheter för medlemsstaterna att rutinmässigt utbyta uppgifter ur de nationella kriminalregistren. Rambeslutet innebär en skyldighet att fortlöpande informera det land där en dömd person är medborgare om domar som meddelas i en annan medlemsstat. Sådana uppgifter ska registreras i medborgarstaten. På detta sätt ska kriminalregistret i den stat där en person är medborgare täcka in uppgifter från alla EU-länder.
Rambeslutet om kriminalregister innehåller också bestämmelser om utbyte av uppgifter efter särskild begäran från en medlemsstat. Bestämmelserna innebär en förenkling, genom att varje medlemsstat har utsett en centralmyndighet som administrerar uppgiftslämnandet. Rambeslutet gör skillnad på om begäran sker i syfte att använda uppgifterna i ett brottmålsförfarande eller om det sker för andra ändamål. Medlemsstaterna har möjlighet att begränsa åtkomsten till uppgifter i andra syften än brottmålsförfaranden. Vid genomförandet ansåg regeringen att det var rimligt att ge andra medlemsstaters myndigheter, vars verksamhet med exempelvis tillståndsprövning motsvarar svenska myndigheters, tillgång till uppgifter ur belastningsregistret (propositionen Utbyte av uppgifter ur kriminalregister mellan EU:s medlemsstater, prop. 2011/12:163, s. 42 f.).
Rambeslutet har genomförts i svensk rätt i huvudsak genom tillägg i lagen och förordningen om belastningsregister.
Tillämpliga sekretessbestämmelser
För uppgifter i belastningsregistret råder absolut sekretess. Uppgifter får inte lämnas ut utom i de fall som regleras i lagen om belastningsregister och i säkerhetsskyddslagen (1996:627) samt i förordningar som har meddelats med stöd av dessa lagar (35 kap. 3 § offentlighets- och sekretesslagen [2009:400]). Den absoluta sekretessen gäller dock bara i verksamhet som avser förande av eller uttag ur registret. När uppgifter tas ut av en myndighet för att användas i den egna verksamheten gäller i stället i förekommande fall sekretess enligt de bestämmelser som gäller för denna verksamhet. Enskilda som fått uppgifter ur belastningsregistret avseende någon annan än dem själva är i stället bundna av tystnadsplikt (19 §).
8.2 Är brottsdatalagen eller dataskyddsförordningen tillämplig?
Regeringens bedömning: Förandet av belastningsregistret och behandling av personuppgifter för utlämnande ur registret i brottsbekämpande syfte omfattas av brottsdatalagen.
När det gäller annan behandling av personuppgifter i registret, exempelvis för att lämna uppgifter ur belastningsregistret som underlag för olika slag av lämplighets- och tillståndsprövningar, tillämpas dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Polismyndigheten menar att myndighetens hantering av belastningsregistret i sin helhet ska anses falla under dataskyddsdirektivets tillämpningsområde, annars kommer regleringens komplexitet att medföra svårigheter som inte motsvaras av någon integritetsvinst för de registrerade. Övriga remissinstanser yttrar sig inte över bedömningen.
Skälen för regeringens bedömning
Både brottsdatalagen och dataskyddsförordningen kan vara tillämpliga
Belastningsregistret är ett helt automatiserat register som innehåller personuppgifter. Förandet av belastningsregistret och behandling av uppgifter i registret, exempelvis sökning och utlämnande, innefattar alltså sådan personuppgiftsbehandling som kan omfattas antingen av brottsdatalagen eller dataskyddsförordningen.
Belastningsregistret förs av Polismyndigheten, en myndighet som bland annat har till uppgift att förebygga, förhindra och upptäcka brottslig verksamhet samt att utreda brott, och därmed kan vara behörig i brottsdatalagens mening (1 kap. 6 § brottsdatalagen). Registret innehåller framförallt uppgifter om begångna brott och påföljderna för dessa. Härutöver innehåller belastningsregistret även uppgifter om kontaktförbud, förbud enligt 3 kap. 5 § lagen (2015:642) om europeisk skyddsorder och tillträdesförbud. Personuppgiftens karaktär eller innehåll är emellertid inte avgörande för om brottsdatalagen är tillämplig eller inte. Att en myndighet som kan vara behörig utför behandlingen är en förutsättning för att brottsdatalagen ska vara tillämplig. Utöver detta måste också syftet med behandlingen vara något av de som anges i 1 kap. 2 § brottsdatalagen, nämligen att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.
Av bestämmelsen i 2 § lagen om belastningsregister framgår att belastningsregistret har flera syften. Vissa av dessa avser uttryckligen brottsbekämpning och lagföring av brott (2 § första stycket 1-3), medan det är mer ovisst hur man ska se på syftet att tillhandahålla belastningsuppgifter för tillstånds- och lämplighetsprövningar m.m. (2 § första stycket 4). Det går därför inte utan vidare att säga att belastningsregistrets samtliga ändamål är sådana som omfattas av brottsdatalagens tillämpningsområde eller av dataskyddsförordningen. Regeringen anser att det, för den fortsatta analysen av vilken av författningarna som är tillämplig, är lämpligt att dela upp den personuppgiftsbehandling som sker enligt lagen om belastningsregister i två delar. Den ena avser förandet av registret, dvs. den behandling som behövs för att lägga in personuppgifter i registret och sedan bevara dem där. Den andra avser sökningar i och utlämnanden ur registret, som alltså görs för att informationen i registret behövs antingen i behöriga myndigheters brottsbekämpande verksamhet, eller i annan verksamhet och då i huvudsak för olika tillstånds- och lämplighetsprövningar som görs både av Polismyndigheten och av andra myndigheter.
Det är av vikt att frågan om vilken författning som är tillämplig på förandet av registret klargörs så långt möjligt. Dataskyddsförordningen och brottsdatalagen skiljer sig åt i vissa avseenden, exempelvis när det gäller möjligheten att behandla känsliga personuppgifter och den enskildes rätt till information.
Regeringens bedömning är, liksom den i promemorian, att förandet av registret primärt måste anses ske för de syften som anges i 2 § första stycket 1-3 lagen om belastningsregister. Dessa syften är sådana som omfattas av brottsdatalagen, nämligen att bekämpa och lagföra brott och verkställa straffrättsliga påföljder. Att utlämnande av uppgifter ur registret även kan komma att ske för andra ändamål, såsom olika lämplighetsbedömningar, kan enligt regeringens mening inte påverka frågan om registrets grundläggande syfte. Den behandling av personuppgifter det innebär att samla in uppgifterna och bevara dem i registret omfattas alltså av brottsdatalagen. När uppgifter sedan söks fram och i förekommande fall utlämnas för något av de ändamål som anges i 2 § första stycket 1-3 är brottsdatalagen också tillämplig.
När det sedan gäller hur man ska se på behandling för utlämnande ur registret när det gäller att ge information om brottslig belastning som underlag för olika tillstånds- och lämplighetsprövningar är det visserligen riktigt att det, som Polismyndigheten påtalat, skulle underlätta för Polismyndigheten som personuppgiftsansvarig om även sådan behandling kunde omfattas av brottsdatalagen. Regeringen kan emellertid konstatera att utrymmet för sådana hänsyn är begränsat, eftersom brottsdatalagen inte kan ges ett vidare tillämpningsområde än dataskyddsdirektivet. Regeringen konstaterar vidare att den aktuella frågan, som en av många gränsdragningsfrågor, har behandlats av Utredningen om 2016 års dataskyddsdirektiv i delbetänkandet Brottsdatalag (SOU 2017:29 s. 215 f.). Där görs bedömningen att behandling av personuppgifter för sådana ändamål ligger utanför den föreslagna brottsdatalagens tillämpningsområde. I propositionen Brottsdatalag (prop. 2017/18:232 s.112) har regeringen förklarat att den delar de bedömningar som Utredningen om 2016 års dataskyddsdirektiv har gjort när det gäller tillvägagångssätt i gränsdragningsfrågor samt för vägledning hänvisat till de bedömningar som utredningen gjort rörande enskilda verksamheter inom myndigheterna. Något bärande skäl för att i det här ärendet göra någon annan bedömning av den aktuella gränsdragningsfrågan finns enligt regeringen inte. Den behandling av personuppgifter som sker för utlämnande ur belastningsregistret i syfte att ge underlag för olika tillstånds- och lämplighetsprövningar omfattas alltså inte av brottsdatalagens tillämpningsområde, utan av dataskyddsförordningens.
Den närmare gränsdragningen mellan brottsdatalagen och dataskyddsförordningen
Som konstaterats är dels förandet av belastningsregistret, dels sökningar och i förekommande fall utlämnanden av uppgifter enligt 2 § första stycket 1-3 lagen om belastningsregister sådan behandling av personuppgifter som sker för syften som omfattas av brottsdatalagens tillämpningsområde. Detta gäller oavsett om sökningar och utlämnanden sker genom direktåtkomst eller inte. Motsvarande behandling enligt 2 § första stycket 4 avser däremot i flertalet fall utlämnanden vars syfte inte är brottsbekämpning eller annat som omfattas av brottsdatalagen.
Utöver 2 § finns det, som redan nämnts, flera bestämmelser både i lagen och i förordningen om belastningsregister som i detalj reglerar framförallt frågor om utlämnanden enligt 2 § första stycket 4. Med ledning av författningstexten kan det i många av dessa fall avgöras om det är brottsdatalagen eller dataskyddförordningen som är tillämplig. I andra fall är regleringen generell på ett sätt som gör att en bedömning måste göras från fall till fall. I promemorian har gjorts en noggrann genomgång (Ds 2017:58 s. 158-161) av hur man bör se på nämnda bestämmelser, med utgångspunkt i det synsätt på dataskyddsdirektivets - och därmed brottsdatalagens - tillämpningsområde som Utredningen om 2016 års dataskyddsdirektiv redovisat och som regeringen i prop. 2017/18:232 i stort anslutit sig till. De ställningstaganden som gjorts i promemorian kan tjäna som vägledning vid bedömningen av gränsdragningsfrågor.
Utbyte av uppgifter ur medlemsstaternas kriminalregister
Som redogjorts för i avsnitt 8.1 utbyts uppgifter ur nationella kriminalregister inom EU i enlighet med rambeslutet om kriminalregister. I förhållande till det nya dataskyddsdirektivet är rambeslutet en sådan rättsakt som inte påverkas av direktivets ikraftträdande i enlighet med artikel 60 (prop. 2017/18:232 s. 91). Uppgifter utbyts med stöd av rambeslutet inte enbart för syften som omfattas av direktivets tillämpningsområde, utan även för tillstånds- och lämplighetsfrågor m.m. (12 a § i lagen om belastningsregister). Därmed kommer visst uppgiftsutbyte att omfattas av dataskyddsförordningens tillämpningsområde.
8.3 Vilka ändringar bör göras som en följd av dataskyddsreformen?
8.3.1 Bestämmelsernas förhållande till brottsdatalagen och dataskyddsförordningen
Regeringens bedömning: Bestämmelserna i 1, 2-7, 9, 11-18, 20 och 21 §§ lagen om belastningsregister avser personuppgiftsbehandling som omfattas av brottsdatalagen.
Bestämmelserna i 1, 6-8, 10, 11, 12 a, 15, 19-21 §§ lagen om belastningsregister avser behandling av personuppgifter som omfattas av dataskyddsförordningen.
Promemorians bedömning överensstämmer i huvudsak med regeringens. I promemorian har dock 1 och 15 §§ lagen om belastningsregister inte bedömts avse behandling av personuppgifter som omfattas av dataskyddsförordningen.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Regeringen har ovan gjort bedömningen att regleringen i brottsdatalagen blir tillämplig på förandet av belastningsregistret, men att dataskyddsförordningen ändå blir tillämplig på viss behandling i belastningsregistret beroende på att ändamålen med en del utlämnanden ur registret inte avser brottsbekämpning eller något annat av de ändamål som avses i artikel 2.2 d i dataskyddsförordningen. Som en följd av detta kommer vissa bestämmelser i lagen om belastningsregister - sådana som blir tillämpliga vid utlämnanden av uppgifter för olika ändamål - att reglera personuppgiftsbehandling som omfattas av såväl brottsdatalagen som dataskyddsförordningen, medan andra bestämmelser kommer att reglera personuppgiftsbehandling som endast omfattas av ett av dessa regelverk.
Regeringen instämmer i den bedömning som gjorts i promemorian att bestämmelserna i 1, 2-7, 9, 11-18 och 20-21 §§ är sådana att de avser personuppgiftsbehandling som omfattas av brottsdatalagen och alltså måste vara förenliga med denna och dataskyddsdirektivet.
Regeringen instämmer även i den bedömning som gjorts i promemorian att bestämmelserna i 6-8, 10, 11, 12 a, 19 och 21 §§ är sådana att de avser personuppgiftsbehandling som omfattas av dataskyddsförordningen och alltså måste vara förenliga med denna.
Både utpekandet i 1 § andra meningen av Polismyndigheten som personuppgiftsansvarig och bestämmelsen i 15 § att Polismyndigheten ska pröva en begäran om att uppgifter ska lämnas ut avser, förutom behandling av uppgifter för ändamål som omfattas av brottsdalagen, även behandling för utlämnanden ur registret i sådana syften som omfattas av förordningen. Till skillnad från den bedömning som gjorts i promemorian anser regeringen därför att dessa bestämmelser även bör vara förenliga med dataskyddsförordningen.
8.3.2 Skyldighet att föra belastningsregistret, personuppgiftsansvar samt registrets ändamål och innehåll
Regeringens förslag: Ändamålen med belastningsregistret ska anpassas till brottsdatalagens terminologi.
Regeringens bedömning: Bestämmelserna om skyldighet att föra belastningsregistret, om personuppgiftsansvar och om registrets innehåll i lagen om belastningsregister bör inte ändras som en följd av dataskyddsreformen.
Promemorians förslag och bedömning överensstämmer med regeringens.
Remissinstanserna: Dataskydd.net motsätter sig att ändamålen med belastningsregistret anpassas till brottsdatalagen med hänvisning till att den föreslagna anpassningen inte är avsedd att innebära någon ändring i sak. Övriga remissinstanser yttrar sig inte över promemorians förslag och bedömning.
Skälen för regeringens förslag och bedömning
Bestämmelserna om skyldighet att föra belastningsregistret, om ändamålen med registret, om personuppgiftsansvar och om registrets innehåll är förenliga med dataskyddsreformen
I 1 § lagen om belastningsregister åläggs Polismyndigheten att föra ett belastningsregister och pekas ut som personuppgiftsansvarig för behandlingen av personuppgifter i registret. Åläggandet att föra registret innebär att Polismyndigheten getts en uppgift som omfattas av de syften som ingår i dataskyddsdirektivets tillämpningsområde. Denna del av bestämmelsen är alltså förenlig med dataskyddsdirektivet. Som framgår av resonemangen i avsnitt 5.4.2 och 6.3.2 är det vidare förenligt med både dataskyddsförordningen och dataskyddsdirektivet att Polismyndigheten pekas ut som personuppgiftsansvarig. Att det dessutom finns en bestämmelse som reglerar att det är Polismyndigheten som prövar frågor om utlämnande (15 §) får enligt regeringen ses som en precisering av vad som ingår i uppgiften att föra registret och i personuppgiftsansvaret. Varken 1 § eller 15 § behöver alltså ändras som en följd av regleringen i dataskyddsförordningen eller dataskyddsdirektivet.
I 2 § lagen om belastningsregister finns bestämmelser om ändamålen med förandet av belastningsregistret och i 3-5 §§ om vilka uppgifter som registret ska innehålla. Dessa bestämmelser, tillsammans med det ovan nämnda åläggandet för Polismyndigheten att föra ett belastningsregister, genomför kravet i artikel 8 i direktivet på att personuppgiftsbehandlingen ska ha rättslig grund.
Bestämmelserna om vad registret ska innehålla innebär dessutom en sådan särskild reglering av i vilken mån s.k. känsliga personuppgifter får behandlas i belastningsregistret, som ska tillämpas i stället för bestämmelserna i 2 kap. 11-12 §§ brottsdatalagen. Det följer av att exempelvis en uppgift om påföljd kan avslöja förhållanden kring den dömdes hälsa. För att känsliga personuppgifter ska få behandlas krävs enligt artikel 10, förutom att behandlingen måste vara tillåten enligt nationell rätt, att den är absolut nödvändig och att det finns lämpliga skyddsåtgärder. Enligt regeringen är dessa krav uppfyllda. Den utförliga författningsregleringen av belastningsregistret utgör i sig en skyddsåtgärd, liksom den stränga sekretess som gäller för uppgifter i registret. Det är absolut nödvändigt att behandla fullständiga uppgifter om alla dömda personer för att belastningsregistret ska fylla sitt syfte. Bestämmelserna i 2 § och 3-5 §§ är alltså förenliga med dataskyddsdirektivet.
Ändamålen med belastningsregistret bör anpassas till brottsdatalagens terminologi
De ändamål för vilka belastningsregistret förs regleras, som framgått, i 2 § lagen om belastningsregister. 2 § första stycket 1 avser ändamålen att förebygga, upptäcka och utreda brott, medan brottsdatalagens tillämpningsområde, såvitt nu är relevant, avser syftena att förebygga, förhindra eller upptäcka brottslig verksamhet och utreda brott. Eftersom bestämmelserna i brottsdatalagen är tillämpliga på den personuppgiftsbehandling som förandet av registret innebär, har i promemorian gjorts bedömningen att det framstår som en mer konsekvent och lättillämpad ordning om den nämnda ändamålsbestämmelsen också ansluter till brottsdatalagens uttryckssätt.
I enlighet med vad som anges i promemorian och som Dataskydd.net påtalat innebär den föreslagna anpassningen inte någon egentlig ändring av ändamålsbestämmelsens omfattning, utan innebär just en språklig anpassning till brottsdatalagens uttryckssätt. Ett uttryckssätt som även används i andra författningar som Polismyndigheten har att tillämpa, exempelvis lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område (polisens brottsdatalag). Regeringen delar med hänsyn till detta bedömningen i promemorian att den föreslagna ändringen i någon mån kan bidra till en, framför allt för Polismyndigheten, mer lättillämpad ordning samt att det inte finns några sakliga skäl emot den. Den föreslagna ändringen i 2 § första stycket 1 lagen om belastningsregister bör därför genomföras.
8.3.3 Förhållandet till andra bestämmelser om personuppgiftsbehandling
Regeringens förslag: Hänvisningen till personuppgiftslagen ersätts med en upplysning om att lagen om belastningsregister gäller utöver brottsdatalagen. Vidare införs en bestämmelse som innebär att sökförbudet i brottsdatalagen inte hindrar att uppgifter om brottsrubriceringar och om verkställighet av påföljd används vid sökning i belastningsregistret.
En ny bestämmelse införs som anger att lagen om belastningsregister kompletterar dataskyddsförordningen när det gäller behandling av personuppgifter som inte omfattas av brottsdatalagen, samt att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen också gäller för sådan behandling, om inte något annat följer av lagen om belastningsregister eller föreskrifter som har meddelats i anslutning till den lagen.
Promemorians förslag överensstämmer i huvudsak med regeringens. I förslaget till ny 1 b § anges inte att även föreskrifter som har meddelats i anslutning till dataskyddslagen gäller för behandlingen och även i övrigt har förslaget i promemorian till ny 1 b § en något annorlunda utformning. Bestämmelsen om undantag från brottsdatalagens sökförbud har också en annan placering i promemorian.
Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.
Skälen för regeringens förslag: Som framgått ovan kommer bestämmelserna i lagen om belastningsregister att tillämpas på personuppgiftsbehandling både inom brottsdatalagens och dataskyddsförordningens tillämpningsområde. I det förra fallet kommer lagen alltså att gälla utöver brottsdatalagen och i det senare kommer bestämmelserna i stället att komplettera dataskyddsförordningen samtidigt som även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller om inte annat följer av lagen eller förordningen om belastningsregister. I enlighet med bedömningarna i avsnitt 5.8.1 och 6.6.1 bör därför införas bestämmelser som klargör detta, samtidigt som hänvisningen till den upphävda personuppgiftslagen måste utgå. För att så långt möjligt uppnå enhetlighet med andra författningar inom dataskyddsområdet bör bestämmelsen i 1 b § ges en något annorlunda utformning än den som föreslagits i promemorian.
I föregående avsnitt konstateras att det är förenligt med dataskyddsdirektivet att s.k. känsliga personuppgifter behandlas i belastningsregistret, i den utsträckning sådan behandling följer av bestämmelserna om vad registret ska innehålla. Det följer emellertid av bestämmelsen i 2 kap. 14 § brottsdatalagen att det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Som konstateras i promemorian finns behov för de, i brottsdatalagens mening, behöriga myndigheterna att kunna göra vissa sådana sökningar i belastningsregistret. Regeringen delar därför bedömningen i promemorian att det i lagen om belastningsregister bör anges att sökförbudet i 2 kap. 14 § brottsdatalagen inte hindrar att uppgifter om brottsrubriceringar och om verkställighet av påföljd används vid sökning i belastningsregistret.
8.3.4 Utlämnanden av uppgifter ur belastningsregistret för användning vid svenska myndigheter
Regeringens bedömning: Bestämmelserna om utlämnande till svenska myndigheter i lagen om belastningsregister bör inte ändras som en följd av dataskyddsreformen.
Kraven på nödvändighet och proportionalitet i brottsdatalagen ska tillämpas vid behandling för uttag ur belastningsregistret åt Polismyndigheten i andra syften än brottsbekämpande.
Promemorians bedömning överensstämmer i sak med regeringens.
Remissinstanserna: Polismyndigheten anser att det bör införas ett undantag från kravet på nödvändighet och proportionalitet i 2 kap. 22 § brottsdatalagen när Polismyndigheten behandlar personuppgifter som ska användas av den egna myndigheten i syften som faller utanför brottsdatalagens tillämpningsområde. I annat fall menar myndigheten att det uppstår en omotiverad skillnad mellan Polismyndighetens egen användning av belastningsregistret och utlämnande till andra myndigheter. Övriga remissinstanser yttrar sig inte över bedömningen.
Skälen för regeringens bedömning
Bestämmelserna om när svenska myndigheter har rätt att få ut uppgifter ur belastningsregistret är förenliga med dataskyddsreformen
I 6 § lagen om belastningsregister finns de grundläggande bestämmelserna om svenska myndigheters möjligheter att få tillgång till uppgifter i belastningsregistret samt ett bemyndigande för regeringen att meddela föreskrifter om att en svensk myndighet får ha direktåtkomst till registret. Som framgått ovan kommer viss behandling av personuppgifter för utlämnanden med stöd av denna bestämmelse att omfattas av det nya dataskyddsdirektivets tillämpningsområde och annan av dataskyddsförordningens.
Regeringen delar bedömningen i promemorian att det måste anses förenligt med dataskyddsdirektivet att specificera vilka uppgifter ur registret som får lämnas ut och i vilka fall detta får ske, även i de fall det innebär att uppgifter som först behandlats inom direktivets tillämpningsområde sedan kommer att behandlas för andra syften. Sådan vidarebehandling är nämligen tillåten enligt artikel 9 i direktivet om den är tillåten enligt nationell rätt eller unionsrätten. Som framgår av avsnitt 6.3.4 är även en särskild reglering av direktåtkomst förenlig med direktivet.
Regeringen gör vidare bedömningen att Polismyndighetens behandling av personuppgifter i belastningsregistret för utlämnande till andra myndigheter för syften som faller under dataskyddsförordningens tillämpningsområde är nödvändig för att Polismyndigheten ska kunna fullgöra en rättslig förpliktelse. Förpliktelsen följer direkt av antingen lagen eller förordningen om belastningsregister. I enlighet med 2 kap. 1 § dataskyddslagen får behandling då ske med stöd av artikel 6.1 c i dataskyddsförordningen. I enlighet med resonemanget i avsnitt 5.4.4 måste bestämmelser om utlämnande av detta slag dessutom generellt anses vara sådana preciseringar som är tillåtna enligt artikel 6.2 i dataskyddsförordningen. Regeringen delar därför bedömningen i promemorian att bestämmelsen i 6 § lagen om belastningsregister även är förenlig med dataskyddsförordningen.
Bestämmelsen i 8 § lagen om belastningsregister, som endast reglerar personuppgiftsbehandling som omfattas av dataskyddsförordningen, möjliggör utlämnande för vissa statistiska ändamål. Bestämmelsen är ett uttryck för finalitetsprincipen, vilken gäller redan enligt artikel 5.1 b i dataskyddsförordningen. Förutom att möjliggöra behandling av personuppgifter fyller bestämmelsen en sekretessbrytande funktion och bör därför behållas. Detta är förenligt med dataskyddsförordningen eftersom det rör sig om en sådan ändamålsbestämmelse som är tillåten i nationell rätt enligt artikel 6.3 (prop. 2017/18:115 s. 17).
Bestämmelsen om proportionalitetsprövning är förenlig med dataskyddsreformen
I 7 § lagen om belastningsregister finns en bestämmelse som berör svenska myndigheter som har möjlighet att få uppgifter ur registret. Bestämmelsen innebär att myndigheten får begära att få uppgifter ur registret endast om skälet för att få ut uppgifterna uppväger den olägenhet detta innebär för den enskilde. Bestämmelsen riktar sig till såväl de brottsbekämpande myndigheterna som till andra myndigheter.
Bestämmelsen måste anses vara en precisering av kravet på korrekthet i 2 kap. 7 § brottsdatalagen respektive artikel 5.1 i dataskyddsförordningen. Något hinder mot att en registerförfattning innehåller sådan precisering av regleringen i brottsdatalagen finns inte. Eftersom bestämmelsen bidrar till att göra dataskyddsregleringen mer begriplig kan den inte heller, mot bakgrund av skäl 8 i dataskyddsförordningen, anses utgöra ett otillåtet införlivande av delar av förordningen. Bestämmelsen i 7 § är således förenlig med dataskyddsreformen.
Behandling för utlämnande åt andra myndigheter än Polismyndigheten
På förandet av belastningsregistret tillämpas regleringen i brottsdatalagen. I samband med behandling av personuppgifter för utlämnande ur belastningsregistret blir brottsdatalagens bestämmelser om behandling av personuppgifter både för nya ändamål inom lagens tillämpningsområde och för ändamål utanför lagens tillämpningsområde därför av intresse.
Av 2 kap. 4 § brottsdatalagen framgår bl.a. att personuppgifter får behandlas för ett nytt ändamål inom lagens tillämpningsområde endast om det säkerställts att det är nödvändigt och proportionerligt att uppgifterna behandlas för det nya ändamålet. På samma vis framgår av 2 kap. 22 § brottsdatalagen att personuppgifter får behandlas för ett ändamål utanför lagens tillämpningsområde endast om det säkerställts att det är nödvändigt och proportionerligt att uppgifterna behandlas för det ändamålet.
Enligt båda bestämmelserna ska någon prövning av nödvändighet och proportionalitet emellertid inte göras i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning. Regleringen i 6 § lagen om belastningsregister av Polismyndighetens utlämnande av uppgifter ur belastningsregistret till andra svenska myndigheter, både brottsbekämpande sådana och andra, är utformad som en sådan uppgiftsskyldighet (uppgifterna ska lämnas ut om de begärs). Vid utlämnanden till andra myndigheter blir det därför inte aktuellt för Polismyndigheten att göra någon prövning, varken enligt 2 kap. 4 § eller 22 § brottsdatalagen.
Behandling av personuppgifter för uttag ur belastningsregistret åt Polismyndigheten för användning i brottsbekämpande syften
Polismyndighetens egen användning av uppgifter ur belastningsregistret för brottsbekämpande syften regleras inte på annat sätt i lagen om belastningsregister än genom att sådan användning omfattas av registrets ändamål i 2 §. Av denna bestämmelse följer, som framgått, att när uppgifter tas in i belastningsregistret så sker detta för flera ändamål. Användning av uppgifter i registret görs däremot normalt sett endast för ett specifikt ändamål, som i de flesta fall kan inordnas under något av de mer allmänt hållna ändamålen i 2 §. Frågan blir då om Polismyndighetens användning av uppgifter i registret för brottsbekämpande syften ska anses ske för ett nytt ändamål i enlighet med 2 kap. 4 § brottsdatalagen.
Regeringen delar bedömningen i promemorian att så inte bör vara fallet. I propositionen Brottsdatalag har konstaterats att insamling av personuppgifter kan ske för flera parallella ändamål (prop. 2017/18:232 s. 120). Av detta följer enligt regeringen att en senare behandling för något av de ursprungliga ändamålen inte kan betraktas som en behandling för ett nytt ändamål. Eftersom Polismyndighetens egen användning av uppgifter ur belastningsregistret för brottsbekämpande syften således inte kan anses ske för ett nytt ändamål, blir det inte aktuellt med någon prövning enligt 2 kap. 4 § brottsdatalagen inför behandling av uppgifter för sådana uttag.
Behandling för uttag åt Polismyndigheten för användning i syften som inte är brottsbekämpande
Inte heller Polismyndighetens egen användning av uppgifter ur belastningsregistret för andra syften än brottsbekämpande regleras på annat sätt i lagen om belastningsregister än genom att sådan användning omfattas av registrets ändamål i 2 §. Någon uppgiftsskyldighet föreskrivs alltså inte och kravet i 2 kap. 22 § brottsdatalagen på nödvändighet och proportionalitet blir därmed tillämpligt. Polismyndigheten måste alltså, innan den behandlar personuppgifter i belastningsregistret för uttag som ska användas i den egna verksamheten och för ett icke-brottsbekämpande ändamål, göra en prövning av om det är nödvändigt och proportionerligt att uppgifterna behandlas för det ändamålet.
Polismyndigheten menar att detta innebär en omotiverad skillnad mellan Polismyndighetens egen användning av belastningsregistret och utlämnande till andra myndigheter. Som framgått är även andra myndigheter som begär uppgifter ur belastningsregistret emellertid, i enlighet med 7 § lagen om belastningsregister, skyldiga att göra en proportionalitetsprövning innan uppgifter begärs ut. Att Polismyndigheten i vissa fall måste göra en prövning enligt 2 kap. 22 § brottsdatalagen innan myndigheten använder uppgifter ur belastningsregistret i sin verksamhet innebär alltså inte i praktiken att högre krav ställs för sådan behandling än för behandling vid utlämnanden åt andra myndigheter. Däremot innebär det att högre krav ställs för Polismyndighetens användning utanför brottsdatalagens tillämpningsområde än för myndighetens användning i brottsbekämpande syfte. Regeringen delar emellertid bedömningen i promemorian att en tillämpning av 2 kap. 22 § brottsdatalagen inte kan förutsättas förhindra någon användning av uppgifter ur belastningsregistret i Polismyndighetens verksamhet som i dag är laglig. I de allra flesta fall bör en prövning i enlighet med bestämmelsen alltså utfalla så att uppgifter kan behandlas på samma sätt som i dag, eftersom det får anses både nödvändigt och proportionerligt (se även prop. 2017/18:232 s. 137). Mot denna bakgrund gör regeringen bedömningen att det inte finns skäl att införa någon sådan bestämmelse om uppgiftsskyldighet som skulle medföra att Polismyndigheten, innan den behandlar personuppgifter för uttag som ska användas i den egna verksamheten och för ett icke-brottsbekämpande ändamål, inte behöver göra någon prövning enligt 2 kap. 22 § brottsdatalagen.
8.3.5 Enskildas rätt till utdrag ur belastningsregistret för egen användning
Regeringens förslag: Det ska av bestämmelsen om enskildas rätt till utdrag ur belastningsregistret i lagen om belastningsregister framgå att den enskildes rätt till utdrag även omfattar viss övrig information som anges i brottsdatalagen.
Kravet på ett egenhändigt undertecknande av en begäran om utdrag ur belastningsregistret ersätts med att Polismyndigheten ska säkerställa att begäran görs av en behörig person.
Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås att den enskildes rätt att på begäran få information om behandling av personuppgifter i belastningsregistret, utöver begränsade utdrag för specifika syften, helt ska regleras genom bestämmelsen i 4 kap. 3 § brottsdatalagen.
Remissinstanserna: Riksdagens ombudsmän påtalar att det gäller absolut sekretess för uppgifter om enskilds personliga förhållanden i verksamhet som avser förande av eller uttag ur belastningsregistret, vilket kan innebära att bestämmelsen i 4 kap. 3 § brottsdatalagen inte medför någon rätt att på begäran få information om behandling av personuppgifter i belastningsregistret. Förvaltningsrätten i Stockholm anser att det i 9 § lagen om belastningsregister bör anges uttryckligen vad som står i 4 kap. 3 § brottsdatalagen, eftersom bestämmelsen riktar sig till allmänheten och avser den enskildes rätt. Dataskydd.net menar att den föreslagna bestämmelsen begränsar privatpersoners rätt till information alltför mycket och att regleringen i stället bör ta sin utgångspunkt i den enskildes rätt till information enligt dataskyddsförordningen.
Skälen för regeringens förslag
Bestämmelsen om enskildas rätt till uppgifter ur belastningsregistret om sig själva är inte förenlig med dataskyddsdirektivet och brottsdatalagen
En enskild har enligt 9 § första stycket lagen om belastningsregister rätt att på begäran få ta del av samtliga uppgifter ur belastningsregistret om sig själv. För vissa angivna syften kan en enskild också få ett begränsat utdrag (9 § andra stycket).
Som redogjorts för i avsnitt 6.5 har dataskyddsdirektivets bestämmelser om den registrerades rättigheter när det gäller tillgång till personuppgifter och information om behandlingen genomförts i 4 kap. 3 § brottsdatalagen. Utöver uppgifter om vilka personuppgifter som behandlas, ska den enskilde få skriftlig information om varifrån uppgifterna kommer, den rättsliga grunden för behandlingen, ändamålen med behandlingen, mottagare eller kategorier av mottagare av personuppgifterna, hur länge personuppgifterna får behandlas, rätten att begära rättelse, radering eller begränsning av behandlingen samt uppgifter om möjligheten att lämna in klagomål till tillsynsmyndigheten.
Möjligheten för den enskilde att begära att få del av uppgifter ur belastningsregistret om sig själv enligt 9 § lagen om belastningsregister uppfyller alltså bara till viss del direktivets informationskrav, eftersom den endast ger den registrerade tillgång till vilka uppgifter om honom eller henne som behandlas i registret. I promemorian har gjorts bedömningen att bestämmelsen i 9 § om information till den enskilde är en sådan uttömmande reglering som i enlighet med 1 kap. 5 § brottsdatalagen ska tillämpas i stället för bestämmelsen i 4 kap. 3 § brottsdatalagen (se även SOU 2017:29 s. 384). Regeringen delar denna bedömning.
Eftersom ett utdrag enligt 9 § lagen om belastningsregister alltså inte i alla delar uppfyller dataskyddsdirektivets krav på information (dvs. motsvarande 4 kap. 3 § brottsdatalagen) skulle 9 § lagen om belastningsregister i den nuvarande lydelsen innebära en inskränkning av den enskildes rättigheter. Av 4 kap. 5 § brottsdatalagen framgår att en sådan inskränkning endast får göras för att tillgodose vissa i bestämmelsen uppräknade syften. Som konstateras i promemorian är emellertid kravet på vilken information som ska lämnas sådant att det rör uppgifter som i princip kan utläsas redan av innehållet i lagen och förordningen om belastningsregister samt brottsdatalagen. Att inskränka rätten till sådan information kan inte tillgodose något av de i 4 kap. 5 § brottsdatalagen uppräknade syftena. 9 § belastningsregistret i dess nuvarande utformning innebär alltså en otillåten inskränkning av den registrerades rätt till information enligt dataskyddsdirektivet och brottsdatalagen.
Enskildas rätt till utdrag bör även i fortsättningen regleras i lagen om belastningsregister
För att dataskyddsdirektivet ska vara korrekt genomfört måste den enskilde tillförsäkras rätt inte bara till information om vilka uppgifter om honom eller henne som behandlas i belastningsregistret, utan också till den övriga information om behandlingen som anges i 4 kap. 3 § brottsdatalagen. I promemorian föreslås att detta sker genom att bestämmelsen i 9 § första stycket lagen om belastningsregister ersätts med en upplysning om att en enskilds rätt att på begäran få information om behandling av personuppgifter följer av 4 kap. 3 § brottsdatalagen.
Som Riksdagens ombudsmän påtalat råder emellertid enligt 35 kap. 3 § offentlighets- och sekretesslagen (2009:400) s.k. absolut sekretess för uppgifter om enskilds personliga förhållanden i verksamhet som avser förande av eller uttag ur belastningsregistret. I fråga om utlämnande av sådan uppgift gäller vad som är föreskrivet i lagen om belastningsregister och i säkerhetsskyddslagen (1996:627) samt i förordningar som har meddelats med stöd av dessa lagar. Utan någon hänvisning till brottsdatalagen i 35 kap. 3 § offentlighets- och sekretesslagen kan bestämmelsen i 4 kap. 3 § brottsdatalagen därför inte medföra någon rätt till information om vilka uppgifter som behandlas i belastningsregistret. Detta innebär att den enskildes rätt till utdrag ur belastningsregistret även i fortsättningen bör regleras i 9 § lagen om belastningsregister.
Ett alternativ som diskuteras i promemorian är att det görs ett tillägg till bestämmelsen i 9 § första stycket som anger att även information i enlighet med brottsdatalagen ska lämnas då den enskilde begär ett registerutdrag, dvs. sådan information utöver vilka uppgifter om den enskilde som behandlas i belastningsregistret som följer av 4 kap. 3 § brottsdatalagen. I promemorian har ansetts att detta skulle utgöra en dubbelreglering av den enskildes rätt till information som inte fyller någon funktion. Regeringen delar inte den uppfattningen. Med en uttrycklig reglering av den enskildes rätt till information enligt brottsdatalagen i samma paragraf som den befintliga rätten till utdrag ur belastningsregistret tydliggörs att regleringen om den enskildes rätt till information är uttömmande. För den enskilde är det också av värde att det tydligt framgår hur rätten till utdrag och till information enligt brottsdatalagen förhåller sig till varandra. Regeringen anser därför att en sådan lösning bör väljas.
En sådan bestämmelse skulle, som Dataskydd.net har föreslagit, även kunna innehålla rätt till ytterligare information. Detta skulle emellertid innebära ett avsteg från vad som i övrigt gäller på dataskyddsdirektivets område. Med hänsyn till intresset av enhetlighet på dataskyddsområdet anser regeringen därför inte att så bör ske.
Till skillnad från Förvaltningsrätten i Stockholm anser regeringen att det är tillräckligt att en hänvisning görs i 9 § första stycket till sådan skriftlig information som anges i 4 kap. 3 § första stycket 1-8 brottsdatalagen. Att uppgifter enligt 9 § första stycket endast lämnas avgiftsfritt en gång per år överensstämmer med vad som enligt 4 kap. 12 § brottsdatalagen gäller för information enligt 4 kap. 3 § den lagen; någon ändring i denna del behöver därför inte göras.
Slutligen kan konstateras att bestämmelsen i 9 § andra stycket lagen om belastningsregister, som ger den enskilde möjlighet att för vissa angivna syften få ett mer begränsat utdrag ur belastningsregistret, inte kan anses oförenlig med dataskyddsdirektivet.
Det bör inte längre krävas att en begäran om uppgifter ur belastningsregistret är egenhändigt undertecknad
En enskilds begäran om uppgifter ur belastningsregistret ska enligt 9 § femte stycket lagen om belastningsregister vara skriftlig och undertecknad av den sökande. Att begäran ska vara undertecknad innebär bl.a. att en sådan begäran inte kan göras elektroniskt. Samtidigt har regeringen gjort bedömningen att en enskilds begäran om uppgifter enligt 4 kap. 3 § brottsdatalagen bör kunna göras både på papper och elektroniskt, vilket också ligger i linje med avsikten i direktivet att underlätta för den registrerade att utöva sina rättigheter (prop. 2017/18:232 s. 254 f.).
Mot denna bakgrund saknas skäl att vidhålla kravet på att en begäran om uppgifter ur belastningsregistret måste vara undertecknad av den enskilde. I stället bör det, som föreslås i promemorian, ankomma på Polismyndigheten att säkerställa att begäran gjorts av en behörig person.
8.3.6 Utlämnanden av uppgifter ur belastningsregistret för andra enskildas användning
Regeringens bedömning: Bestämmelserna om utlämnande till andra enskilda och om tystnadsplikt i lagen om belastningsregister bör inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: I 10 § lagen om belastningsregister regleras möjligheten för enskilda att ta del av uppgifter ur belastningsregistret om andra enskilda. Av bestämmelsen följer att sådan rätt finns om uppgifterna behövs för att pröva en fråga om anställning eller uppdrag i vissa verksamheter, vilka preciseras i förordningen om belastningsregister. Dessutom har en enskild som kan styrka att hans eller hennes rätt är beroende av uppgifter ur belastningsregistret om en annan enskild rätt att ta del av sådana uppgifter, om regeringen medger att de får lämnas ut.
Regeringen delar bedömningen i promemorian att Polismyndighetens behandling av personuppgifter för sådana utlämnanden är nödvändig för att Polismyndigheten ska kunna fullgöra en rättslig förpliktelse (dvs. att lämna ut uppgifterna). Förpliktelsen följer dessutom antingen av författning, när uppgifterna behövs för att pröva en fråga om anställning eller uppdrag, eller av beslut som har meddelats med stöd av lag, när regeringen medgett att uppgifter får lämnas ut. I enlighet med 2 kap. 1 § dataskyddslagen får behandling då ske med stöd av artikel 6.1 c i dataskyddsförordningen. Som framgått ovan måste bestämmelser om utlämnande av detta slag dessutom generellt anses vara sådana preciseringar som är tillåtna enligt artikel 6.2 i dataskyddsförordningen.
Eftersom bestämmelsen innebär att uppgifter ur belastningsregistret lämnas ut till andra än myndigheter måste även dataskyddsförordningens särskilda reglering av behandling av personuppgifter som rör fällande domar i brottmål beaktas (artikel 10). Denna reglering tillsammans med bestämmelserna i 3 kap. 8-9 §§ dataskyddslagen innebär att möjligheterna för enskilda att behandla sådana personuppgifter är starkt begränsade. I enlighet med 5 § förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning får sådan behandling emellertid ske dels om den är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, dels om behandlingen är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras. Dessa situationer torde regelmässigt vara för handen i de fall då utlämnande sker med stöd av 10 § lagen om belastningsregister. Som anges i promemorian måste i sådana fall bestämmelsen i 19 § lagen om belastningsregister, om tystnadsplikt för den som med stöd av lagen fått del av uppgifter om någon annans personliga förhållanden, anses vara en sådan i nationell rätt fastställd skyddsåtgärd som föreskrivs i artikel 10.
Ett utlämnande till en enskild kan dessutom vara tillåtet även om den enskilde inte har möjlighet att vidarebehandla uppgifterna på sådant vis - dvs. på automatisk väg eller för behandling i ett register - att behandlingen faller under regleringen i dataskyddsförordningen. Typiskt sett torde inte heller finnas behov av sådan vidarebehandling när uppgifterna ska användas för sådana syften som anges i 10 § lagen om belastningsregister.
Mot bakgrund av det ovan anförda delar regeringen bedömningen i promemorian att bestämmelserna i 10 och 19 §§ lagen om belastningsregister är förenliga med dataskyddsförordningen och att det saknas skäl att ändra bestämmelserna.
8.3.7 Utlämnanden av uppgifter ur belastningsregistret för användning vid utländska myndigheter
Regeringens bedömning: Bestämmelserna om utlämnande till utländska myndigheter i lagen om belastningsregister bör inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Utlämnande av uppgifter ur belastningsregistret till utländska myndigheter regleras i 11-14 §§ lagen om belastningsregister samt genom bestämmelser i förordningen om belastningsregister. Bestämmelserna i 11-12 a och 14 §§ innebär att uppgifter ur registret ska eller får lämnas till olika utländska myndigheter i vissa angivna situationer. Utlämnande kan exempelvis ske om utlämnandet följer av en internationell överenskommelse (11 §), om det begärs av utländsk domstol eller polis- eller åklagarmyndighet för vissa angivna syften (12 §), om överflyttning av verkställighet av påföljd har skett (14 §) eller om begäran görs med stöd av en EU-rättsakt (11 och 12 a §§).
Regleringen avser utlämnanden av uppgifter både för användning i sådana syften som faller under dataskyddsdirektivets tillämpningsområde och för användning i sådana syften som faller under dataskyddsförordningens tillämpningsområde. Som framgått i avsnitt 8.3.4 delar regeringen bedömningen i promemorian att det måste anses förenligt med direktivet att specificera vilka uppgifter ur registret som får lämnas ut och i vilka fall detta får ske. Det gäller även i de fall det innebär att uppgifter som först behandlats inom direktivets tillämpningsområde sedan kommer att behandlas för andra syften.
I de fall uppgifter ur belastningsregistret ska lämnas kommer vidare Polismyndighetens behandling för utlämnande till utländska myndigheter för syften som faller under dataskyddsförordningens tillämpningsområde, i enlighet med bedömningen i avsnitt 8.3.4, att vara nödvändig för att Polismyndigheten ska kunna fullgöra en rättslig förpliktelse som följer direkt av lag eller förordning. I enlighet med 2 kap. 1 § dataskyddslagen får behandling då ske med stöd av artikel 6.1 c i dataskyddsförordningen. Det är ett allmänt intresse att utlämnande av uppgifter ur belastningsregistret kan ske till utländska myndigheter i de situationer som regleras i 11-12 a och 14 §§ lagen om belastningsregister. Polismyndighetens behandling av personuppgifter för utlämning i enlighet med dessa bestämmelser, både när uppgifterna ska lämnas till utländska myndigheter och när de får göra det, är därför nödvändig för att utföra en uppgift av allmänt intresse. Behandlingen är därmed, i enlighet med 2 kap. 2 § dataskyddslagen, tillåten även med stöd av artikel 6.1 e i dataskyddsförordningen. I enlighet med resonemanget i avsnitt 5.4.4 måste bestämmelser om utlämnande av detta slag dessutom generellt anses vara sådana preciseringar som är tillåtna enligt artikel 6.2 i dataskyddsförordningen.
Regeringen delar således bedömningen i promemorian att bestämmelserna i 11-12 a och 14 §§ lagen om belastningsregister inte behöver ändras med anledning av dataskyddsreformen. Detsamma gäller bestämmelsen i 13 § om föreskriftsrätt, som inte reglerar personuppgiftsbehandling som sådan.
För fullständighetens skull bör i sammanhanget slutligen uppmärksammas att det vid överföring av uppgifter till tredjeland och internationella organisationer finns särskild reglering i både 8 kap. brottsdatalagen och kapitel V i dataskyddsförordningen, som också måste vara uppfylld för att överföring ska kunna ske.
8.3.8 Gallring
Regeringens bedömning: Bestämmelserna om gallring i lagen om belastningsregister bör inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Som konstaterats i avsnitt 6.3.6 är bestämmelser om gallring som innehåller en tidpunkt för när uppgifter ska gallras, såsom 17 och 18 §§ lagen om belastningsregister, förenliga med dataskyddsdirektivet. Detsamma måste anses gälla bestämmelsen i 16 §, som reglerar gallring i de fall det registrerade avgörandet ändrats till den registrerades fördel samt då den registrerade avlidit. Bestämmelsen i 17 a § genomför delar av rambeslutet om kriminalregister och påverkas därmed inte av dataskyddsdirektivet (se avsnitt 8.2).
Som redogjorts för i avsnitt 5.4.7 har gallringsbegreppet utmönstrats ur vissa registerförfattningar på brottsdatalagens område. Detta är emellertid inte en direkt följd av dataskyddsreformen, utan syftar till att förtydliga att det rör sig om dataskyddsregler och inte arkivrättsliga regler. Samtidigt har, som framgår i avsnitt 7.4.7, motsvarande inte föreslagits i samband med de ändringar i registerförfattningar på dataskyddsförordningens område som skett i anledning av dataskyddsreformen. Eftersom lagen om belastningsregister reglerar behandling av personuppgifter såväl på brottsdatalagens område som på dataskyddsförordningens kan det inte sägas strida mot systematiken i dataskyddsregleringen att behålla de nuvarande bestämmelserna om gallring. I promemorian föreslås inte heller några ändringar.
Eftersom det inte är nödvändigt som en följd av dataskyddsreformen bör det mot denna bakgrund inte i nuläget göras några ändringar i bestämmelserna om gallring.
8.3.9 Rättelse och skadestånd
Regeringens förslag: Av lagen om belastningsregister ska det framgå att brottsdatalagens bestämmelse om skadestånd ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med lagen om belastningsregister eller föreskrifter som har meddelats i anslutning till den. I övrigt regleras inte frågor om rättelse och skadestånd i lagen om belastningsregister.
Promemorians förslag överensstämmer i sak med regeringens.
Remissinstanserna: Förvaltningsrätten i Stockholm menar att det i 20 § lagen om belastningsregister bör anges uttryckligen vad som står i 7 kap. 1 § brottsdatalagen, eftersom bestämmelsen riktar sig till allmänheten och avser den enskildes rätt. Övriga remissinstanser yttrar sig inte över förslaget.
Skälen för regeringens förslag: I 20 § lagen om belastningsregister regleras frågor om skadestånd och rättelse. Bestämmelsen hänvisar i dag till reglerna i personuppgiftslagen.
Eftersom förandet av belastningsregistret omfattas av brottsdatalagen kommer det endast vara aktuellt att pröva frågor om rättelse enligt bestämmelserna i denna. Som konstaterats i avsnitt 6.5 kan bestämmelsen i 4 kap. 9 § brottsdatalagen om rättelse tillämpas även om den personuppgift som den registrerade anser vara felaktig eller ofullständig behandlas med stöd av en registerförfattning. 20 § lagen om belastningsregister bör därför inte längre innehålla någon reglering av frågor om rättelse.
För att regleringen ska vara förenlig med dataskyddsdirektivet måste det, i enlighet med bedömningen i avsnitt 6.6.4, däremot framgå av 20 § att bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med lagen om belastningsregister eller föreskrifter som har meddelats i anslutning till den, om behandlingen omfattas av brottsdatalagen. Med hänsyn till intresset av en enhetlig reglering på dataskyddsområdet bör detta, till skillnad från vad Förvaltningsrätten i Stockholm föreslagit, ske genom en hänvisning till 7 kap. 1 § brottsdatalagen. Förslaget motsvarar därigenom regleringen i de nya registerförfattningarna på brottsdatalagens område (prop. 2017/18:269).
Om skada orsakas i samband med behandling för utlämnande som inte omfattas av brottsdatalagen blir, som framgår av avsnitt 5.8.2, dataskyddsförordningens reglering tillämplig utan att någon hänvisning krävs. 20 § lagen om belastningsregister bör därför inte omfatta frågor om skadestånd vid sådan behandling.
8.3.10 Användningsbegränsningar
Regeringens bedömning: Bestämmelsen om användningsbegränsningar i lagen om belastningsregister bör inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: När medlemsstaterna efter begäran utbyter uppgifter ur sina kriminalregister i enlighet med rambeslutet om kriminalregister har de rätt att ställa upp användningsbegränsningar. Uppgifterna får heller inte användas för andra ändamål än dem de begärdes för. Att svenska myndigheter har en skyldighet att respektera sådana användningsbegränsningar följer av 21 § lagen om belastningsregister. Eftersom det nya dataskyddsdirektivet inte är avsett att påverka tidigare EU-rättsakter om informationsutbyte på området för polis- och straffrättsligt samarbete påverkas inte den nämnda bestämmelsen av direktivets reglering i enlighet med artikel 60.
Av bestämmelsen i 21 § framgår vidare att den gäller oavsett vad som föreskrivits i annan författning. Bestämmelsen kommer därför att gälla i stället för 2 kap. 20 § brottsdatalagen, som annars inneburit att användningsbegränsningar i förhållande till andra medlemsstater inte får ställas upp om det inte finns någon sådan möjlighet i förhållande till svenska mottagare.
9 Lagen om misstankeregister
I lagen om misstankeregister föreskrivs en skyldighet för Polismyndigheten att med hjälp av automatiserad behandling föra ett register med uppgifter om dem som är skäligen misstänkta för brott (misstankeregistret), vilket Polismyndigheten är personuppgiftsansvarig för (1 §).
I lagens inledning finns bestämmelser om misstankeregistrets ändamål (2 §) och om förhållandet till personuppgiftslagen (1 a §). Lagen innehåller till största delen bestämmelser om misstankeregistrets innehåll (3-4 §§), utlämnande av uppgifter ur registret (5-12 §§) och gallring (13§). Regeringen har möjlighet att meddela närmare föreskrifter och förordningen (1999:1135) om misstankeregister innehåller också mer detaljerade bestämmelser på dessa områden.
När det gäller rättigheter för den registrerade innehåller lagen dels bestämmelser om rätt till utdrag från registret till den registrerade själv, dels en hänvisning till personuppgiftslagens bestämmelser om rättelse och skadestånd (8 a § respektive 15 §).
Sekretess gäller för uppgifter i misstankeregistret om enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs (35 kap. 1 § 6 offentlighets- och sekretesslagen [2009:400]). Uppgifterna i registret kan också vara sådana att bestämmelserna i 18 kap. offentlighets- och sekretesslagen blir tillämpliga.
9.1 Är brottsdatalagen eller dataskyddsförordningen tillämplig?
Regeringens bedömning: Förandet av misstankeregistret och behandling av personuppgifter för utlämnanden ur registret i brottsbekämpande syfte omfattas av brottsdatalagen.
När det gäller annan behandling av personuppgifter i registret, exempelvis för att lämna uppgifter om misstankar som underlag för olika slag av lämplighets- och tillståndsprövningar, tillämpas dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Polismyndigheten menar att myndighetens hantering av misstankeregistret i sin helhet ska anses falla under dataskyddsdirektivets tillämpningsområde, annars kommer regleringens komplexitet att medföra svårigheter som inte motsvaras av någon integritetsvinst för de registrerade. Övriga remissinstanser yttrar sig inte över bedömningen.
Skälen för regeringens bedömning
Både brottsdatalagen och dataskyddsförordningen kan vara tillämpliga
Misstankeregistret är ett helt automatiserat register som innehåller personuppgifter. Förandet av misstankeregistret och behandling av uppgifter i registret, exempelvis sökning och utlämnande, innefattar alltså sådan personuppgiftsbehandling som kan omfattas antingen av brottsdatalagen eller dataskyddsförordningen.
Misstankeregistret förs av Polismyndigheten, en myndighet som bland annat har till uppgift att förebygga, förhindra och upptäcka brottslig verksamhet samt att utreda brott, och därmed kan vara behörig i brottsdatalagens mening (1 kap. 6 § brottsdatalagen). Registret innehåller uppgifter om den som har fyllt 15 år och som är skäligen misstänkt för brott samt om den mot vilken utredning inletts i mål om förvandling av böter och om den som har begärts överlämnad eller utlämnad för brott. Personuppgiftens karaktär eller innehåll är emellertid inte avgörande för om brottsdatalagen är tillämplig eller inte. Att en myndighet som kan vara behörig utför behandlingen är en förutsättning för att brottsdatalagen ska vara tillämplig. Utöver detta måste också syftet med behandlingen vara något av de syften som anges i 1 kap. 2 § brottsdatalagen, nämligen att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.
Av bestämmelsen i 2 § lagen om misstankeregister framgår att misstankeregistret har flera syften. Vissa av dessa avser uttryckligen brottsbekämpning och lagföring av brott (2 § första stycket 1-2), medan det är mer ovisst hur man ska se på syftet att tillhandahålla uppgifter om misstankar för tillstånds- och lämplighetsprövningar m.m. (2 § första stycket 3). Det går därför inte utan vidare att säga att misstankeregistrets samtliga ändamål är sådana som omfattas av brottsdatalagens tillämpningsområde eller av dataskyddsförordningen. Liksom vad gäller personuppgiftsbehandling i belastningsregistret anser regeringen att det, för den fortsatta analysen av vilken av författningarna som är tillämplig, är lämpligt att dela upp den personuppgiftsbehandling som sker enligt lagen om misstankeregister i två delar. Den ena avser förandet av registret, dvs. den behandling som behövs för att lägga in personuppgifter i registret och sedan bevara dem där. Den andra avser sökningar i och utlämnanden ur registret, som alltså görs för att informationen i registret behövs antingen i behöriga myndigheters brottsbekämpande verksamhet, eller i annan verksamhet och då i huvudsak för olika tillstånds- och lämplighetsprövningar som görs både av Polismyndigheten och av andra myndigheter.
Som framgått av föregående kapitel är det av vikt att frågan om vilken författning som är tillämplig på förandet av registret klargörs så långt möjligt. Dataskyddsförordningen och brottsdatalagen skiljer sig åt i vissa avseenden, exempelvis när det gäller möjligheten att behandla känsliga personuppgifter och den enskildes rätt till information.
Regeringens bedömning är, liksom den i promemorian, att förandet av registret primärt måste anses ske för de syften som anges i 2 § första stycket 1-2 lagen om misstankeregister. Dessa syften är sådana som omfattas av brottsdatalagen, nämligen att bekämpa och lagföra brott. Att utlämnande av uppgifter ur registret även kan komma att ske för andra ändamål, såsom olika lämplighetsbedömningar, kan enligt regeringens mening inte påverka frågan om registrets grundläggande syfte. På den behandling av personuppgifter det innebär att samla in uppgifterna och bevara dem i registret blir därför regleringen i brottsdatalagen tillämplig. När uppgifter sedan söks fram och i förekommande fall utlämnas för något av de ändamål som anges i 2 § första stycket 1-2 är brottsdatalagen också tillämplig.
När det sedan gäller hur man ska se på behandling för utlämnande ur registret i syfte att ge information om misstankar som underlag för olika tillstånds- och lämplighetsprövningar hänvisar regeringen till det resonemang som förts om motsvarande behandling för utlämnande ur belastningsregistret i avsnitt 8.2. Till skillnad från Polismyndigheten gör regeringen alltså bedömningen att den behandling av personuppgifter som sker för utlämnande ur misstankeregistret i syfte att ge underlag för olika tillstånds- och lämplighetsprövningar inte omfattas av brottsdatalagens tillämpningsområde, utan av dataskyddsförordningens.
Den närmare gränsdragningen mellan brottsdatalagen och dataskyddsförordningen
Som konstaterats är dels förandet av misstankeregistret, dels sökningar och i förekommande fall utlämnanden av uppgifter enligt 2 § första stycket 1-2 lagen om misstankeregister sådan behandling av personuppgifter som sker för syften som omfattas av brottsdatalagens tillämpningsområde. Detta gäller oavsett om sökningar och utlämnanden sker genom direktåtkomst eller inte. Motsvarande behandling enligt 2 § första stycket 3 avser däremot i flertalet fall utlämnanden vars syfte inte är brottsbekämpning eller annat som omfattas av brottsdatalagen.
Utöver 2 § finns det, som redan nämnts, flera bestämmelser både i lagen och i förordningen om misstankeregister som i detalj reglerar framförallt frågor om utlämnanden enligt 2 § första stycket 3. Med ledning av författningstexten kan det i många av dessa fall avgöras om det är brottsdatalagen eller dataskyddförordningen som är tillämplig. I andra fall är regleringen generell på ett sätt som gör att en bedömning måste göras från fall till fall. I promemorian har gjorts en genomgång (Ds 2017:58 s. 198 f.) av hur man bör se på nämnda bestämmelser, med utgångspunkt i det synsätt på dataskyddsdirektivets - och därmed brottsdatalagens - tillämpningsområde som Utredningen om 2016 års dataskyddsdirektiv redovisat och som regeringen i prop. 2017/18:232 i stort anslutit sig till. De ställningstaganden som gjorts i promemorian kan tjäna som vägledning vid bedömningen av gränsdragningsfrågor.
9.2 Vilka ändringar bör göras som en följd av dataskyddsreformen?
9.2.1 Bestämmelsernas förhållande till brottsdatalagen och dataskyddsförordningen
Regeringens bedömning: Bestämmelserna i 1, 2-6, 8 a-13 och 15 §§ lagen om misstankeregister avser personuppgiftsbehandling som omfattas av brottsdatalagen.
Bestämmelserna i 1, 5-8, 9-12 och 14-15 §§ lagen om misstankeregister avser behandling av personuppgifter som omfattas av dataskyddsförordningen.
Promemorians bedömning överensstämmer i huvudsak med regeringens. I promemorian har dock 1, 12 och 15 §§ lagen om misstankeregister inte bedömts avse behandling av personuppgifter som omfattas av dataskyddsförordningen.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Regeringen har ovan gjort bedömningen att regleringen i brottsdatalagen blir tillämplig på förandet av misstankeregistret, men att dataskyddsförordningen ändå blir tillämplig på viss behandling i misstankeregistret beroende på att ändamålen med en del utlämnanden ur registret inte avser brottsbekämpning eller något annat av de ändamål som avses i artikel 2.2 d i dataskyddsförordningen. Som en följd av detta kommer vissa bestämmelser i lagen om misstankeregister - sådana som blir tillämpliga vid utlämnanden av uppgifter för olika ändamål - att reglera personuppgiftsbehandling som omfattas av såväl brottsdatalagen som dataskyddsförordningen, medan andra bestämmelser kommer att reglera personuppgiftsbehandling som endast omfattas av ett av dessa regelverk.
Regeringen instämmer i den bedömning som gjorts i promemorian att bestämmelserna i 1, 2-6, 8 a-13 och 15 §§ är sådana att de avser personuppgiftsbehandling som omfattas av brottsdatalagen och alltså måste vara förenliga med denna och dataskyddsdirektivet.
Regeringen instämmer även i den bedömning som gjorts i promemorian att bestämmelserna i 5-8, 9-11 och 14 §§ är sådana att de avser personuppgiftsbehandling som omfattas av dataskyddsförordningen och alltså måste vara förenliga med denna.
Utpekandet i 1 § andra meningen av Polismyndigheten som personuppgiftsansvarig, bestämmelsen i 12 § att Polismyndigheten ska pröva en begäran om att uppgifter ska lämnas ut samt bestämmelsen om rättelse och skadestånd i 15 § avser alla, förutom behandling av uppgifter för ändamål som omfattas av brottsdalagen, även behandling för utlämnanden ur registret i sådana syften som omfattas av förordningen. Till skillnad från den bedömning som gjorts i promemorian anser regeringen därför att dessa bestämmelser även bör vara förenliga med dataskyddsförordningen.
9.2.2 Skyldighet att föra misstankeregistret, personuppgiftsansvar samt registrets ändamål och innehåll
Regeringens förslag: Ändamålen med misstankeregistret ska anpassas till brottsdatalagens terminologi.
Regeringens bedömning: Bestämmelserna om skyldighet att föra misstankeregistret, om personuppgiftsansvar och om registrets innehåll i lagen om misstankeregister bör inte ändras som en följd av dataskyddsreformen.
Promemorians förslag och bedömning överensstämmer med regeringens.
Remissinstanserna: Dataskydd.net motsätter sig att ändamålen med misstankeregistret anpassas till brottsdatalagen med hänvisning till att den föreslagna anpassningen inte är avsedd att innebära någon ändring i sak. Övriga remissinstanser yttrar sig inte över promemorians förslag och bedömning.
Skälen för regeringens förslag och bedömning
Bestämmelserna om skyldighet att föra misstankeregistret, om ändamålen med registret, om personuppgiftsansvar och om registrets innehåll är förenliga med dataskyddsreformen
I 1 § lagen om misstankeregister åläggs Polismyndigheten att föra ett misstankeregister och pekas ut som personuppgiftsansvarig för behandlingen av personuppgifter i registret. Åläggandet att föra registret innebär att Polismyndigheten getts en uppgift som omfattas av de syften som ingår i dataskyddsdirektivets tillämpningsområde. Denna del av bestämmelsen är alltså förenlig med dataskyddsdirektivet. Som framgår av resonemangen i avsnitt 5.4.2 och 6.3.2 är det vidare förenligt med både dataskyddsförordningen och dataskyddsdirektivet att Polismyndigheten pekas ut som personuppgiftsansvarig. Att det dessutom finns en bestämmelse som reglerar att det är Polismyndigheten som prövar frågor om utlämnande (12 §) får enligt regeringen ses som en precisering av vad som ingår i uppgiften att föra registret och i personuppgiftsansvaret. Varken 1 § eller 12 § behöver alltså ändras som en följd av regleringen i dataskyddsförordningen eller dataskyddsdirektivet.
I 2 § lagen om misstankeregister finns bestämmelser om ändamålen med förandet av misstankeregistret och i 3-4 §§ om vilka uppgifter som registret ska innehålla. Dessa bestämmelser, tillsammans med det ovan nämnda åläggandet för Polismyndigheten att föra ett misstankeregister, genomför kravet i artikel 8 i direktivet på att personuppgiftsbehandlingen ska ha rättslig grund.
Bestämmelserna om vad registret ska innehålla innebär dessutom en sådan särskild reglering av i vilken mån s.k. känsliga personuppgifter får behandlas i misstankeregistret, som ska tillämpas i stället för bestämmelserna i 2 kap. 11-12 §§ brottsdatalagen. Det följer av att en uppgift om rubriceringen på det brott som en misstanke avser kan betraktas som en känslig personuppgift, exempelvis då rubriceringen gäller sexualbrott. För att känsliga personuppgifter ska få behandlas krävs enligt artikel 10, förutom att behandlingen måste vara tillåten enligt nationell rätt, att den är absolut nödvändig och att det finns lämpliga skyddsåtgärder. Enligt regeringen är dessa krav uppfyllda. Den utförliga författningsregleringen av misstankeregistret utgör i sig en skyddsåtgärd, liksom den stränga sekretess som gäller för uppgifter i registret. Det är absolut nödvändigt att behandla fullständiga uppgifter om alla misstänkta för att misstankeregistret ska fylla sitt syfte. Bestämmelserna i 2-4 §§ är alltså förenliga med dataskyddsdirektivet.
Ändamålen med misstankeregistret bör anpassas till brottsdatalagens terminologi
De ändamål för vilka misstankeregistret förs regleras, som framgått, i 2 § lagen om misstankeregister. 2 § första stycket 1 avser, förutom samordning av förundersökningar mot en person, ändamålen att förebygga, upptäcka och utreda brott, medan brottsdatalagens tillämpningsområde, såvitt nu är relevant, avser syftena att förebygga, förhindra eller upptäcka brottslig verksamhet och utreda brott. Eftersom bestämmelserna i brottsdatalagen är tillämpliga på den personuppgiftsbehandling som förandet av registret innebär, har i promemorian gjorts bedömningen att det framstår som en mer konsekvent och lättillämpad ordning om den nämnda ändamålsbestämmelsen också ansluter till brottsdatalagens uttryckssätt.
Av samma skäl som motiverar motsvarande ändring i lagen om belastningsregister (se avsnitt 8.3.2) anser regeringen, även med beaktande av vad Dataskydd.net påtalat, att den föreslagna ändringen i 2 § första stycket 1 lagen om misstankeregister bör genomföras.
9.2.3 Förhållandet till andra bestämmelser om personuppgiftsbehandling
Regeringens förslag: Hänvisningen till personuppgiftslagen ersätts med en upplysning om att lagen om misstankeregister gäller utöver brottsdatalagen. Vidare införs en bestämmelse som innebär att sökförbudet i brottsdatalagen inte hindrar att uppgifter om brottsrubriceringar används vid sökning i misstankeregistret.
En ny bestämmelse införs som anger att lagen om misstankeregister kompletterar dataskyddsförordningen vid behandling av personuppgifter som inte omfattas av brottsdatalagen, samt att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen också gäller för sådan behandling, om inte något annat följer av lagen om misstankeregister eller föreskrifter som har meddelats i anslutning till den lagen.
Promemorians förslag överensstämmer i huvudsak med regeringens. I förslaget till ny 1 b § anges inte att även föreskrifter som har meddelats i anslutning till dataskyddslagen gäller för behandlingen och även i övrigt har förslaget i promemorian en något annorlunda utformning. Bestämmelsen om undantag från brottsdatalagens sökförbud har också en annan placering i promemorian.
Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.
Skälen för regeringens förslag: Som framgått ovan kommer bestämmelserna i lagen om misstankeregister att tillämpas på personuppgiftsbehandling både inom brottsdatalagens och dataskyddsförordningens tillämpningsområde. I det förra fallet kommer lagen alltså att gälla utöver brottsdatalagen och i det senare kommer bestämmelserna i stället att komplettera dataskyddsförordningen samtidigt som även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller om inte annat följer av lagen eller förordningen om misstankeregister. I enlighet med bedömningarna i avsnitt 5.8.1 och 6.6.1 bör därför införas bestämmelser som klargör detta, samtidigt som hänvisningen till den upphävda personuppgiftslagen måste utgå. För att så långt möjligt uppnå enhetlighet med andra författningar inom dataskyddsområdet bör bestämmelsen i 1 b § ges en något annorlunda utformning än den som föreslagits i promemorian.
I föregående avsnitt konstateras att det är förenligt med dataskyddsdirektivet att s.k. känsliga personuppgifter behandlas i misstankeregistret, i den utsträckning sådan behandling följer av bestämmelserna om vad registret ska innehålla. Det följer emellertid av bestämmelsen i 2 kap. 14 § brottsdatalagen att det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Som konstateras i promemorian finns behov för de, i brottsdatalagens mening, behöriga myndigheterna att kunna göra vissa sådana sökningar i misstankeregistret. Regeringen delar därför bedömningen i promemorian att det i lagen om misstankeregister bör anges att sökförbudet i 2 kap. 14 § brottsdatalagen inte hindrar att uppgifter om brottsrubriceringar används vid sökning i misstankeregistret.
9.2.4 Utlämnanden av uppgifter ur misstankeregistret för användning vid svenska myndigheter
Regeringens bedömning: Bestämmelserna om utlämnande till svenska myndigheter i lagen om misstankeregister bör inte ändras som en följd av dataskyddsreformen.
Kraven på nödvändighet och proportionalitet i brottsdatalagen ska tillämpas vid behandling för uttag ur misstankeregistret åt Polismyndigheten i andra syften än brottsbekämpande.
Promemorians bedömning överensstämmer i sak med regeringens.
Remissinstanserna: Polismyndigheten anser att det bör införas ett undantag från kravet på nödvändighet och proportionalitet i 2 kap. 22 § brottsdatalagen när Polismyndigheten behandlar personuppgifter som ska användas av den egna myndigheten i syften som faller utanför brottsdatalagens tillämpningsområde. I annat fall menar myndigheten att det uppstår en omotiverad skillnad mellan Polismyndighetens egen användning av misstankeregistret och utlämnande till andra myndigheter. Övriga remissinstanser yttrar sig inte över bedömningen.
Skälen för regeringens bedömning
Bestämmelserna om när svenska myndigheter har rätt att få ut uppgifter ur misstankeregistret är förenliga med dataskyddsreformen
I 5 § lagen om misstankeregister finns de grundläggande bestämmelserna om svenska myndigheters möjligheter att få tillgång till uppgifter i misstankeregistret samt ett bemyndigande för regeringen att meddela föreskrifter om att en svensk myndighet får ha direktåtkomst till registret. Bestämmelsen innehåller även en upplysning om viss reglering i 10 kap. offentlighets- och sekretesslagen, vilken saknar dataskyddsrättslig betydelse. Som framgått ovan kommer viss behandling av personuppgifter för utlämnanden med stöd av bestämmelsen att omfattas av det nya dataskyddsdirektivets tillämpningsområde och annan av dataskyddsförordningens.
Regeringen delar bedömningen i promemorian att det måste anses förenligt med dataskyddsdirektivet att specificera vilka uppgifter ur registret som får lämnas ut och i vilka fall detta får ske, även i de fall det innebär att uppgifter som först behandlats inom direktivets tillämpningsområde sedan kommer att behandlas för andra syften. Sådan vidarebehandling är nämligen tillåten enligt artikel 9 i direktivet om den är tillåten enligt nationell rätt eller unionsrätten. Som framgår av avsnitt 6.3.4 är även en särskild reglering av direktåtkomst förenlig med direktivet.
Regeringen gör vidare bedömningen att Polismyndighetens behandling av personuppgifter i misstankeregistret för utlämnande till andra myndigheter för syften som faller under dataskyddsförordningens tillämpningsområde är nödvändig för att Polismyndigheten ska kunna fullgöra en rättslig förpliktelse. Förpliktelsen följer direkt antingen av lagen eller förordningen om misstankeregister. I enlighet med 2 kap. 1 § dataskyddslagen får behandling då ske med stöd av artikel 6.1 c i dataskyddsförordningen. I enlighet med resonemanget i avsnitt 5.4.4 måste bestämmelser om utlämnande av detta slag dessutom generellt anses vara sådana preciseringar som är tillåtna enligt artikel 6.2 i dataskyddsförordningen. Regeringen delar därför bedömningen i promemorian att bestämmelsen i 5 § lagen om misstankeregister även är förenlig med dataskyddsförordningen.
Bestämmelsen i 7 § lagen om misstankeregister, som endast reglerar personuppgiftsbehandling som omfattas av dataskyddsförordningen, möjliggör utlämnande för vissa statistiska ändamål. Bestämmelsen är ett uttryck för finalitetsprincipen, vilken gäller redan enligt artikel 5.1 b i dataskyddsförordningen. Förutom att möjliggöra behandling av personuppgifter fyller bestämmelsen en sekretessbrytande funktion och bör därför behållas. Detta är förenligt med dataskyddsförordningen eftersom det rör sig om en sådan ändamålsbestämmelse som är tillåten i nationell rätt enligt artikel 6.3 (prop. 2017/18:115 s. 17).
Bestämmelsen om proportionalitetsprövning är förenlig med dataskyddsreformen
I 6 § lagen om misstankeregister finns en bestämmelse som berör svenska myndigheter som har möjlighet att få uppgifter ur registret. Bestämmelsen innebär att myndigheten får begära att få uppgifter ur registret endast om skälet för att få ut uppgifterna uppväger den olägenhet detta innebär för den enskilde. Bestämmelsen riktar sig till såväl de brottsbekämpande myndigheterna som till andra myndigheter.
Bestämmelsen motsvarar fullt ut bestämmelsen i 7 § lagen om belastningsregister och av samma skäl som i avsnitt 8.3.4 anförts till stöd för att den bestämmelsen är förenlig med dataskyddsreformen, bedömer regeringen att detta även gäller 6 § lagen om misstankeregister.
Behandling för utlämnande åt andra myndigheter än Polismyndigheten
På förandet av misstankeregistret tillämpas regleringen i brottsdatalagen. I samband med behandling av personuppgifter för utlämnande ur misstankeregistret blir bestämmelserna i 2 kap. 4 och 22 §§ brottsdatalagen om behandling av personuppgifter för nya ändamål inom lagens tillämpningsområde och för ändamål utanför lagens tillämpningsområde därför av intresse.
Som redogörs för i avsnitt 8.3.4 innebär dessa bestämmelser krav på prövning av nödvändighet och proportionalitet när personuppgifter ska behandlas för ett nytt ändamål inom brottsdatalagens tillämpningsområde eller för ett ändamål utanför lagens tillämpningsområde, såvida skyldighet att lämna uppgifterna inte följer av lag eller förordning. I likhet med motsvarande bestämmelse i lagen om belastningsregister innebär emellertid 5 § lagen om misstankeregister en sådan uppgiftsskyldighet (uppgifterna ska lämnas ut om de begärs). Vid utlämnanden till andra myndigheter blir det därför inte aktuellt för Polismyndigheten att göra någon prövning, varken enligt 2 kap. 4 § eller 22 § brottsdatalagen.
Behandling av personuppgifter för uttag ur misstankeregistret åt Polismyndigheten för användning i brottsbekämpande syften
Polismyndighetens egen användning av uppgifter ur misstankeregistret för brottsbekämpande syften regleras inte på annat sätt i lagen om misstankeregister än genom att sådan användning omfattas av registrets ändamål i 2 §. Av denna bestämmelse följer, som framgått, att när uppgifter tas in i misstankeregistret så sker detta för flera ändamål. Användning av uppgifter i registret görs däremot normalt sett endast för ett specifikt ändamål, som i de flesta fall kan inordnas under något av de mer allmänt hållna ändamålen i 2 §. I enlighet med den bedömning regeringen gjort av motsvarande förhållande vad gäller Polismyndighetens användning av uppgifter i belastningsregistret (se avsnitt 8.3.4), innebär detta emellertid inte att Polismyndighetens användning av uppgifter ur misstankeregistret för brottsbekämpande syften ska anses ske för ett nytt ändamål i enlighet med 2 kap. 4 § brottsdatalagen. Det blir därför inte aktuellt med någon prövning enligt den bestämmelsen inför behandling av uppgifter för sådana uttag.
Behandling för uttag åt Polismyndigheten för användning i syften som inte är brottsbekämpande
Inte heller Polismyndighetens egen användning av uppgifter ur misstankeregistret för andra syften än brottsbekämpande regleras på annat sätt i lagen om misstankeregister än genom att sådan användning omfattas av registrets ändamål i 2 §. Någon uppgiftsskyldighet föreskrivs alltså inte och kravet i 2 kap. 22 § brottsdatalagen på nödvändighet och proportionalitet blir därmed tillämpligt. I likhet med vad som gäller vid motsvarande användning av uppgifter ur belastningsregistret måste Polismyndigheten alltså, innan den behandlar personuppgifter i misstankeregistret för uttag som ska användas i den egna verksamheten och för ett icke-brottsbekämpande ändamål, göra en prövning av om det är nödvändigt och proportionerligt att uppgifterna behandlas för det ändamålet.
Polismyndigheten menar att detta innebär en omotiverad skillnad mellan Polismyndighetens egen användning av misstankeregistret och utlämnande till andra myndigheter. Regeringen gör emellertid samma överväganden beträffande detta som beträffande motsvarande synpunkt angående Polismyndighetens egen användning av belastningsregistret (se avsnitt 8.3.4).
9.2.5 Enskildas rätt till utdrag ur misstankeregistret för egen användning
Regeringens förslag: Kravet på ett egenhändigt undertecknande av en begäran om ett begränsat utdrag ur misstankeregistret ersätts med att Polismyndigheten ska säkerställa att begäran görs av en behörig person.
Regeringens bedömning: Bestämmelsen om enskildas rätt att begära ett begränsat utdrag ur misstankeregistret om sig själv i lagen om misstankeregister är inte en sådan avvikande bestämmelse som ersätter brottsdatalagens reglering om en enskilds rätt till information om vilka personuppgifter som behandlas om honom eller henne. Någon ändring i övrigt av bestämmelsen behövs därför inte för att den ska vara förenlig med dataskyddsdirektivet.
Promemorians förslag och bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag och bedömning.
Skälen för regeringens förslag och bedömning: En enskild som behöver ett registerutdrag om sig själv enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn, har enligt 8 a § första stycket lagen om misstankeregister rätt att få ett begränsat utdrag ur misstankeregistret (vad ett sådant utdrag ska innehålla framgår av 8 a § förordningen om misstankeregister). I övrigt innehåller lagen om misstankeregister inga bestämmelser om enskilds rätt till utdrag ur registret avseende sig själv.
Bestämmelsen om möjlighet för den enskilde att för visst syfte få ett begränsat utdrag ur misstankeregistret kan, liksom motsvarande bestämmelse i 9 § andra stycket lagen om belastningsregister, inte anses oförenlig med dataskyddsdirektivet (se avsnitt 8.3.5). Bestämmelsen reglerar endast möjligheten att få begränsade utdrag för användning i ett specifikt syfte och bör, till skillnad från regleringen om enskilds rätt till utdrag om sig själv i 9 § lagen om belastningsregister, inte ses som en sådan uttömmande reglering som i enlighet med 1 kap. 5 § brottsdatalagen ska tillämpas i stället för bestämmelsen i 4 kap. 3 § brottsdatalagen. Bestämmelsen i 8 a § första stycket lagen om misstankeregister kan alltså behållas samtidigt som direktivets krav på information till den enskilde uppfylls genom möjligheten att begära information enligt 4 kap. 3 § brottsdatalagen; en begäran som prövas i enlighet med brottsdatalagens reglering och gällande sekretessbestämmelser.
En enskilds begäran om uppgifter ur misstankeregistret ska enligt 8 a § andra stycket lagen om misstankeregister vara skriftlig och undertecknad av den sökande. Regeringen föreslår i avsnitt 8.3.5, beträffande motsvarande bestämmelse i 9 § fjärde stycket lagen om belastningsregister, att kravet på egenhändigt undertecknande ska ersättas med ett krav på Polismyndigheten att säkerställa att begäran gjorts av en behörig person. Av samma skäl bör detta även gälla enskilds begäran om uppgifter ur misstankeregistret.
9.2.6 Utlämnanden av uppgifter ur misstankeregistret för andra enskildas användning
Regeringens bedömning: Bestämmelserna om utlämnande till andra enskilda och om tystnadsplikt i lagen om misstankeregister bör inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: I 8 § lagen om misstankeregister regleras möjligheten för enskilda att ta del av uppgifter ur misstankeregistret om andra enskilda. Av bestämmelsen följer att sådan rätt finns om uppgifterna behövs för att pröva en fråga om anställning eller uppdrag i vissa verksamheter, vilka preciseras i förordningen om misstankeregister. Dessutom har en enskild som kan styrka att hans eller hennes rätt är beroende av uppgifter ur misstankeregistret om en annan enskild rätt att ta del av sådana uppgifter, om regeringen medger att de får lämnas ut. Av 14 § lagen om misstankeregister följer vidare en tystnadsplikt för den som med stöd av lagen fått del av uppgifter om någon annans personliga förhållanden.
Bestämmelserna är identiska med de i avsnitt 8.3.6 behandlade bestämmelserna i 10 och 19 §§ lagen om belastningsregister, vilka regeringen har bedömt vara förenliga med dataskyddsförordningen (se avsnitt 8.3.6). Av samma skäl gäller detta även de nu aktuella bestämmelserna i lagen om misstankeregister och även i övrigt saknas skäl att ändra dessa.
9.2.7 Utlämnanden av uppgifter ur misstankeregistret för användning vid utländska myndigheter
Regeringens bedömning: Bestämmelserna om utlämnande till utländska myndigheter i lagen om misstankeregister bör inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Utlämnande av uppgifter ur misstankeregistret till utländska myndigheter regleras i 9-11 §§ lagen om misstankeregister samt genom bestämmelser i förordningen om misstankeregister. Bestämmelserna i 9-10 §§ innebär att uppgifter ur registret får lämnas till utländska myndigheter om utlämnandet följer av en internationell överenskommelse eller till polis- eller åklagarmyndighet i stater som är anslutna till Interpol om det behövs för vissa angivna syften.
Regleringen avser utlämnanden av uppgifter både för användning i sådana syften som faller under dataskyddsdirektivets tillämpningsområde och för användning i sådana syften som faller under dataskyddsförordningens tillämpningsområde. Som framgått i avsnitt 9.2.4 delar regeringen bedömningen i promemorian att det måste anses förenligt med direktivet att specificera vilka uppgifter ur registret som får lämnas ut och i vilka fall detta får ske. Det gäller även i de fall det innebär att uppgifter som först behandlats inom direktivets tillämpningsområde sedan kommer att behandlas för andra syften.
Det är ett allmänt intresse att utlämnande av uppgifter ur misstankeregistret kan ske till utländska möjligheter i de situationer som regleras 9-10 §§ lagen om misstankeregister. Polismyndighetens behandling av personuppgifter för utlämning i enlighet med dessa bestämmelser är därför nödvändig för att utföra en uppgift av allmänt intresse. Behandlingen är därmed, i enlighet med 2 kap. 2 § dataskyddslagen, tillåten med stöd av artikel 6.1 e i dataskyddsförordningen. I enlighet med resonemanget i avsnitt 5.4.4 måste bestämmelser om utlämnande av detta slag dessutom generellt anses vara sådana preciseringar som är tillåtna enligt artikel 6.2 i dataskyddsförordningen.
Regeringen delar således bedömningen i promemorian att bestämmelserna i 9-10 §§ lagen om misstankeregister inte behöver ändras med anledning av dataskyddsreformen. Detsamma gäller bestämmelsen i 11 § om föreskriftsrätt, som inte reglerar personuppgiftsbehandling som sådan.
För fullständighetens skull bör i sammanhanget slutligen uppmärksammas att det vid överföring av uppgifter till tredjeland och internationella organisationer finns särskild reglering i både 8 kap. brottsdatalagen och kapitel V i dataskyddsförordningen, som också måste vara uppfylld för att överföring ska kunna ske.
9.2.8 Gallring
Regeringens bedömning: Bestämmelsen om gallring i lagen om misstankeregister bör inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Bestämmelsen rörande gallring i 13 § lagen om misstankeregister innebär att gallring av uppgifter i misstankeregistret ska ske när den aktuella misstanken har slutligt behandlats i någon form. Bestämmelsen får anses innebära en precisering av när uppgifterna inte längre är nödvändiga för det ändamål de behandlas för, dvs. när de enligt artikel 4.1 e i dataskyddsdirektivet inte längre får bevaras, och måste därför anses förenlig med dataskyddsdirektivet.
Som redogjorts för i avsnitt 5.4.7 har gallringsbegreppet utmönstrats ur vissa registerförfattningar på brottsdatalagens område. Detta är emellertid inte en direkt följd av dataskyddsreformen, utan syftar till att förtydliga att det rör sig om dataskyddsregler och inte arkivrättsliga regler. Samtidigt har, som framgår i avsnitt 7.4.7, motsvarande inte föreslagits i samband med de ändringar i registerförfattningar på dataskyddsförordningens område som skett i anledning av dataskyddsreformen. Eftersom lagen om misstankeregister reglerar behandling av personuppgifter såväl på brottsdatalagens område som på dataskyddsförordningens kan det inte sägas strida mot systematiken i dataskyddsregleringen att, på samma vis som föreslagits beträffande lagen om belastningsregister, behålla den nuvarande bestämmelsen om gallring. I promemorian föreslås inte heller några ändringar.
Eftersom det inte är nödvändigt som en följd av dataskyddsreformen bör det mot denna bakgrund inte i nuläget göras några ändringar i bestämmelsen om gallring.
9.2.9 Rättelse och skadestånd
Regeringens förslag: Av lagen om misstankeregister ska det framgå att brottsdatalagens bestämmelse om skadestånd ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med lagen om misstankeregister eller föreskrifter som meddelats i anslutning till den. I övrigt regleras inte frågor om rättelse och skadestånd i lagen om misstankeregister.
Promemorians förslag överensstämmer i sak med regeringens.
Remissinstanserna: Förvaltningsrätten i Stockholm menar att det i 15 § lagen om misstankeregister bör anges uttryckligen vad som står i 7 kap. 1 § brottsdatalagen, eftersom bestämmelsen riktar sig till allmänheten och avser den enskildes rätt. Övriga remissinstanser yttrar sig inte över förslaget.
Skälen för regeringens förslag: I 15 § lagen om misstankeregister regleras frågor om skadestånd och rättelse. Bestämmelsen hänvisar i dag till reglerna i personuppgiftslagen.
Eftersom förandet av misstankeregistret omfattas av brottsdatalagen kommer det endast vara aktuellt att pröva frågor om rättelse enligt bestämmelserna i denna. Som konstaterats i avsnitt 6.5 kan bestämmelsen i 4 kap. 9 § brottsdatalagen om rättelse tillämpas även om den personuppgift som den registrerade anser vara felaktig eller ofullständig behandlas med stöd av en registerförfattning. 15 § lagen om misstankeregister bör därför inte längre innehålla någon reglering av frågor om rättelse.
För att regleringen ska vara förenlig med dataskyddsdirektivet måste det, i enlighet med bedömningen i avsnitt 6.6.4, däremot framgå av 15 § att bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med lagen om misstankeregister eller föreskrifter som har meddelats i anslutning till denna, om behandlingen omfattas av brottsdatalagen. Med hänsyn till intresset av en enhetlig reglering på dataskyddsområdet bör detta, till skillnad från vad Förvaltningsrätten i Stockholm föreslagit, ske genom en hänvisning till 7 kap. 1 § brottsdatalagen. Förslaget motsvarar därigenom regleringen i andra registerförfattningar på brottsdatalagens område samt vad som i detta ärende föreslagits i lagen om belastningsregister (se avsnitt 8.3.9).
Om skada orsakas i samband med behandling för utlämnande som inte omfattas av brottsdatalagen blir, som framgår av avsnitt 5.8.2, dataskyddsförordningens reglering tillämplig utan att någon hänvisning krävs. 15 § lagen om misstankeregister bör därför inte omfatta frågor om skadestånd vid sådan behandling.
10 Vapenlagen
Vapenlagen, som kompletteras av vapenförordningen (1996:70), gäller skjutvapen och ammunition samt vissa därmed jämställda föremål. I lagen regleras en mängd frågor rörande vapen, bl.a. frågor om tillstånd att inneha vapen och om hanteringen av vapen. Lagen innehåller också straffbestämmelser.
Därutöver finns i lagen en bestämmelse, 1 a kap. 7 §, som ålägger Polismyndigheten att med hjälp av automatiserad behandling föra separata register (vapenregistren) över:
1. personer och organisationer som har meddelats tillstånd att inneha skjutvapen eller ammunition eller tillstånd att låna skjutvapen samt personer som tillhör hemvärnets personal och som av Försvarsmakten har tilldelats skjutvapen för förvaring i bostaden (vapeninnehavarregistret),
2. de skjutvapen för vilka tillstånd till innehav har meddelats samt skjutvapen som upphittats eller anmälts stulna eller försvunna (vapenregistret),
3. personer och organisationer som har meddelats tillstånd att driva handel med skjutvapen, fysiska personer som har ett betydande inflytande över en sådan juridisk person som har tillstånd att driva handel med skjutvapen, personer som har godkänts att som föreståndare eller ersättare svara för sådan verksamhet samt personer och organisationer som har meddelats tillstånd att ta emot skjutvapen för översyn eller reparation (vapenhandlarregistret), och
4. sammanslutningar som har auktoriserats enligt vapenlagen (registret över auktoriserade sammanslutningar för jakt- eller målskytte).
Även resterande bestämmelser i 1 a kap. innehåller regler om personuppgiftsbehandling, både sådan som sker i vapenregistren och sådan som sker i vapenärenden.
För uppgifter i vapenregister och vapenärenden gäller sekretess om det inte står klart att uppgiften kan röjas utan fara för att vapen eller ammunition kommer till brottslig användning (18 kap. 16 och 16 a §§ offentlighets- och sekretesslagen). I vapenärenden gäller dessutom sekretess för uppgifter om enskilds personliga förhållanden, om det kan antas att den enskilde eller närstående lider men om uppgiften röjs (35 kap. 23 § offentlighets- och sekretesslagen).
10.1 Är brottsdatalagen eller dataskyddsförordningen tillämplig?
Regeringens bedömning: Behandling av personuppgifter i vapenärenden samt förandet av vapenregistren och behandling av personuppgifter för utlämnande ur registren i annat än brottsbekämpande syfte omfattas av dataskyddsförordningen.
Behandling av personuppgifter för utlämnande ur registren i brottsbekämpande syfte omfattas av brottsdatalagen.
Promemorians bedömning överensstämmer delvis med regeringens. I promemorian görs bedömningen att all behandling av personuppgifter som omfattas av regleringen i vapenlagen omfattas av dataskyddsförordningen.
Remissinstanserna: Polismyndigheten menar att förandet av vapenregistren bör anses falla under dataskyddsdirektivets tillämpningsområde. Övriga remissinstanser yttrar sig inte över bedömningen.
Skälen för regeringens bedömning
Personuppgiftsbehandling i vapenärenden
Det är Polismyndigheten som handlägger vapenärenden, dvs. personuppgiftsbehandlingen i vapenärenden görs av en myndighet som bland annat har till uppgift att förebygga, förhindra och upptäcka brottslig verksamhet samt att utreda brott, och därmed kan vara behörig i brottsdatalagens mening (1 kap. 6 § brottsdatalagen). Avgörande för om brottsdatalagen eller dataskyddsförordningen ska anses tillämplig på behandlingen är då, som redogjorts för tidigare, om syftet med behandlingen är att bekämpa brott eller något annat av de syften som anges i 1 kap. 2 § brottsdatalagen.
Som anges i promemorian skulle hela systemet i vapenlagen med tillståndsplikt och registrering kunna anses ha till syfte att förebygga såväl brottslig verksamhet som hot mot den allmänna säkerheten. Av propositionen Brottsdatalag framgår emellertid att begreppen "förebygga brottslig verksamhet" och "upprätthålla allmän ordning och säkerhet" i 1 kap. 2 § brottsdatalagen inte varit avsedda att ges en så vidsträckt tillämpning (prop. 2017/18:232 s. 94-98 och 429-432).
Utredningen om 2016 års dataskyddsdirektiv har också gjort bedömningen att hanteringen av vapenärenden inte kan anses ske i verksamhet som omfattas av brottsdatalagen (se exempelvis s. 291 f. och 697 i SOU 2017:29). Som redogjorts för i avsnitt 8.2 har regeringen i förarbetena till brottsdatalagen hänvisat till de bedömningar som Utredningen om 2016 års dataskyddsdirektiv gjort rörande enskilda verksamheter inom myndigheterna.
Regeringen gör mot denna bakgrund bedömningen att behandling av personuppgifter i vapenärenden omfattas av dataskyddsförordningen.
Personuppgiftsbehandling i vapenregistren
Som framgått är det Polismyndigheten som för vapenregistren. Även personuppgiftsbehandlingen i dessa görs alltså av en myndighet som kan vara behörig. Avgörande blir då återigen om syftet med behandlingen är sådant att brottsdatalagen kan anses tillämplig.
I promemorian har som grund för bedömningen att all personuppgiftsbehandling i vapenregistren omfattas av dataskyddsförordningen hänvisats dels till att Utredningen om 2016 års dataskyddsdirektiv i SOU 2017:29 gjort denna bedömning, dels till att detta ligger väl i linje med att sådan personuppgiftsbehandling inte omfattas av polisdatalagen.
Av 1 a kap. 8 § vapenlagen framgår att vapenregistren ska ha till ändamål att underlätta handläggningen av frågor om tillstånd enligt vapenlagen och att ge information om sådana uppgifter som behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda eller beivra brott med anknytning till skjutvapen. I propositionen till polisdatalagen (prop. 2009/10:85 s. 76) har regeringen också, med hänvisning till tidigare förarbetsuttalanden, uttalat att vapenregistren förs delvis för brottsbekämpande ändamål. Detta är skälet till att behandling av personuppgifter enligt vapenlagen uttryckligen måste undantas från polisdatalagens tillämpningsområde, som endast omfattar behandling av personuppgifter i brottsbekämpande verksamhet. Det bör även noteras att de uttalanden som gjorts i SOU 2017:29, och som kommenterats ovan, endast tar sikte på personuppgiftsbehandling i vapenärenden och inte i vapenregistren.
Det går således inte att utan vidare säga att vapenregistrens samtliga ändamål är sådana som omfattas av brottsdatalagens tillämpningsområde eller av dataskyddsförordningens. Liksom vad gäller personuppgiftsbehandling i belastnings- och misstankeregistren anser regeringen att det, för den fortsatta analysen av vilket av de nya dataskyddsregelverken som är tillämpligt, är lämpligt att dela upp den personuppgiftsbehandling som sker i vapenregistren i två delar. Den ena avser förandet av registren, dvs. den behandling som behövs för att lägga in personuppgifter i registren och sedan bevara dem där. Den andra avser sökningar i och utlämnanden ur registren, som alltså primärt görs för att informationen i registren behövs antingen i Polismyndighetens handläggning av frågor om tillstånd enligt vapenlagen eller i verksamhet som bedrivs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda eller beivra brott med anknytning till skjutvapen.
Som framgått i tidigare kapitel är det av vikt att frågan om vilken författning som är tillämplig på förandet av registret klargörs så långt möjligt. Dataskyddsförordningen och brottsdatalagen skiljer sig åt i vissa avseenden, exempelvis när det gäller möjligheten att behandla känsliga personuppgifter och den enskildes rätt till information.
Personuppgifterna i vapenregistren härrör från vapenärenden, dvs. inte från brottsbekämpande verksamhet. Samtliga uppgifter i registren är också sådana att de kan komma till användning vid Polismyndighetens handläggning av frågor om tillstånd enligt vapenlagen. Regeringen gör därför, till skillnad från Polismyndigheten, bedömningen att det grundläggande syftet med förandet av vapenregistren inte kan anses vara sådant som omfattas av brottsdatalagen. Detta betyder att den behandling av personuppgifter det innebär att samla in uppgifterna och bevara dem i registren omfattas av dataskyddsförordningen. Detsamma gäller när uppgifter sedan söks fram och i förekommande fall utlämnas för att användas vid handläggningen av frågor om tillstånd enligt vapenlagen.
Att utlämnande av uppgifter ur registren även kan komma att ske för brottsbekämpande ändamål påverkar inte frågan om registrets grundläggande syfte. Den behandling av personuppgifter som sker för utlämnande i sådant syfte omfattas emellertid av regleringen i brottsdatalagen, se motsvarande resonemang i avsnitt 8.2 och 9.1 om behandlingen av personuppgifter i belastnings- och misstankeregistren.
10.2 Vilka ändringar bör göras som en följd av dataskyddsreformen?
10.2.1 Bestämmelsernas förhållande till brottsdatalagen och dataskyddsförordningen
Regeringens bedömning: Bestämmelserna i 1 a kap. 1-14 §§ vapenlagen avser personuppgiftsbehandling som omfattas av dataskyddsförordningen.
Bestämmelserna i 1 a kap. 1-4, 6, 8 och 13-14 §§ vapenlagen avser dessutom behandling av personuppgifter som omfattas av brottsdatalagen.
Promemorians bedömning överensstämmer inte med regeringens. Som en följd av bedömningen i promemorian att all behandling av personuppgifter som omfattas av regleringen i vapenlagen omfattas av dataskyddsförordningen, utgår man i promemorian även från att bestämmelserna i 1 a kap. vapenlagen endast rör sådan behandling.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Regeringen har ovan gjort bedömningen att dataskyddsförordningen blir tillämplig på behandling av personuppgifter i vapenärenden samt på förandet av vapenregistren och behandling av personuppgifter för utlämnande ur registren i annat än brottsbekämpande syfte, medan regleringen i brottsdatalagen blir tillämplig på behandling för utlämnande ur registren i brottsbekämpande syfte. Detta innebär, på samma sätt som beträffande lagen om belastningsregister och lagen om misstankeregister, att vissa bestämmelser i vapenlagen - sådana som blir tillämpliga vid utlämnanden av uppgifter ur vapenregistren för olika ändamål - kommer att reglera personuppgiftsbehandling som omfattas av såväl brottsdatalagen som dataskyddsförordningen, medan andra bestämmelser kommer att reglera personuppgiftsbehandling som endast omfattas av ett av dessa regelverk.
Bestämmelserna om behandling av personuppgifter i vapenregister och vapenärenden är samlade i 1 a kap. vapenlagen. Ingen av bestämmelserna är sådan att den endast kan bli tillämplig vid behandling av personuppgifter som sker för utlämnande ur vapenregistren i brottsbekämpande syfte. Samtliga bestämmelser i 1 a kap. vapenlagen avser därför behandling av personuppgifter som omfattas av dataskyddsförordningen och måste alltså vara förenliga med denna.
Några av bestämmelserna är sådana att de endast får betydelse för behandling av personuppgifter som behövs för att lägga in personuppgifter i registren och sedan bevara dem där, dvs. för förandet av registren, eller för behandling i vapenärenden. Någon prövning av om de nu nämnda bestämmelserna är förenliga med brottsdatalagen och dataskyddsdirektivet behöver därför inte göras. Detta gäller bestämmelsen om tillgång till personuppgifter (5 §), bestämmelsen om Polismyndighetens skyldighet att föra vapenregistren och deras innehåll (7 §), bestämmelserna om bevarande och gallring av uppgifter i vapenregistren (9-11 §§) samt bestämmelsen om utlämnande av uppgifter för att framställa rättsstatistik (12 §). Merparten av bestämmelserna i 1 a kap. är enligt regeringens bedömning emellertid sådana att de kan få betydelse även för behandling av personuppgifter inom brottsdatalagens tillämpningsområde och alltså måste vara förenliga även med denna och med dataskyddsdirektivet.
10.2.2 Personuppgiftsansvar, personuppgiftsombud och förhållandet till andra bestämmelser om personuppgiftsbehandling
Regeringens förslag: Bestämmelsen om skyldighet att utse personuppgiftsombud i vapenlagen upphävs.
En ny bestämmelse ska införas som upplyser om att bestämmelserna om personuppgiftsbehandling i vapenlagen kompletterar dataskyddsförordningen samt att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen också gäller för behandling som omfattas av dataskyddsförordningen, om inte något annat följer av bestämmelserna om personuppgiftsbehandling i vapenlagen eller av föreskrifter som har meddelats i anslutning till bestämmelserna.
En ny bestämmelse ska införas som klargör att vapenlagens bestämmelser om personuppgiftsbehandling gäller utöver brottsdatalagen vid behandling av personuppgifter som omfattas av den lagen.
Regeringens bedömning: Bestämmelsen om personuppgiftsansvar bör inte ändras som en följd av dataskyddsreformen.
Promemorians förslag och bedömning överensstämmer delvis med regeringens. I promemorian föreslås ingen bestämmelse som upplyser om att 1 a kap. vapenlagen gäller utöver brottsdatalagen. Även i övrigt har förslaget i promemorian en något annorlunda utformning.
Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag och bedömning.
Skälen för regeringens förslag och bedömning: I 1 a kap. 1 § vapenlagen pekas Polismyndigheten ut som personuppgiftsansvarig för behandlingen av personuppgifter i vapenregister och vapenärenden. Som framgår av avsnitt 5.4.2 och 6.3.2 är bestämmelsen förenlig med både dataskyddsförordningen och dataskyddsdirektivet.
Enligt 1 a kap. 2 § vapenlagen ska Polismyndigheten utse ett eller flera personuppgiftsombud för behandlingen av personuppgifter i vapenregister och vapenärenden samt anmäla till tillsynsmyndigheten när sådant ombud utses eller entledigas. I enlighet med bedömningen i avsnitt 5.5 är sådana bestämmelser otillåtna med hänsyn till dataskyddsförordningen. Bestämmelsen bör därför upphävas.
Som framgått ovan kommer bestämmelserna i 1 a kap. vapenlagen att tillämpas på personuppgiftsbehandling både inom brottsdatalagens och dataskyddsförordningens tillämpningsområde. I det förra fallet kommer bestämmelserna alltså att gälla utöver brottsdatalagen och i det senare kommer de i stället att komplettera dataskyddsförordningen samtidigt som även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller om inte annat följer av 1 a kap. vapenlagen eller föreskrifter som meddelats i anslutning till detta. I enlighet med bedömningarna i avsnitt 5.8.1 och 6.6.2 bör därför införas bestämmelser som klargör detta. Eftersom största delen av den personuppgiftsbehandling som sker enligt vapenlagen omfattas av dataskyddsförordningen, bör bestämmelsen som rör förhållandet till dataskyddsförordningen och dataskyddslagen placeras före den som rör förhållandet till brottsdatalagen.
10.2.3 Skyldighet att föra vapenregistren samt registrens ändamål och innehåll
Regeringens bedömning: Bestämmelserna i vapenlagen om skyldighet att föra vapenregistren samt om registrens ändamål och innehåll bör inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: 1 a kap. 7 § vapenlagen innehåller ett åläggande för Polismyndigheten att föra vapenregistren samt de grundläggande bestämmelserna om vad registren ska innehålla. Dessa bestämmelser, tillsammans med bestämmelsen i 1 a kap. 8 § om ändamålen med förandet av registren, uppfyller kravet i dataskyddsförordningen på att personuppgiftsbehandlingen i registren ska ha rättslig grund. Den behandling av personuppgifter som sker när Polismyndigheten lägger in och sedan bevarar personuppgifter i registren är nödvändig för att myndigheten ska kunna fullgöra den, i lag reglerade, rättsliga förpliktelsen att föra registren. Behandlingen får därför, i enlighet med 2 kap. 1 § dataskyddslagen, ske med stöd av artikel 6.1 c i dataskyddsförordningen. Sådan behandling bör dessutom anses vara nödvändig för att Polismyndigheten ska kunna utföra sin uppgift att pröva tillstånd enligt vapenlagen - en uppgift som utan tvekan är av allmänt intresse. Behandlingen är därmed, liksom behandlingen av personuppgifter i vapenärenden, tillåten även med stöd av artikel 6.1 e i dataskyddsförordningen, i enlighet med 2 kap. 2 § dataskyddslagen. Några ändringar i 1 a kap. 7-8 §§ vapenlagen behöver därför inte göras som en följd av dataskyddsreformen.
I sammanhanget bör även noteras att vapenregistren innehåller personnummer, även om det inte framgår uttryckligen av bestämmelserna om vapenregistrens innehåll i 1 a kap. vapenlagen. Som konstateras i promemorian är detta en självklar förutsättning för att personförväxling inte ska kunna förekomma när det gäller vapeninnehavare. Att personnummer behandlas är således klart motiverat med hänsyn till vikten av en säker identifiering och därmed tillåtet enligt 3 kap. 10 § dataskyddslagen.
10.2.4 Känsliga personuppgifter
Regeringens förslag: Begreppet känsliga personuppgifter ska omfatta sådana personuppgifter som avses i artikel 9 i dataskyddsförordningen och 2 kap. 11-13 §§ brottsdatalagen.
Förbudet mot att behandla känsliga personuppgifter ska inte längre framgå av lagen.
Bestämmelsen om förbud mot att använda känsliga personuppgifter som sökbegrepp ska anpassas språkligt till regleringen i dataskyddsförordningen och brottsdatalagen.
Promemorians förslag överensstämmer i sak med regeringens, men innehåller en uttrycklig bestämmelse om att känsliga personuppgifter som utgångspunkt inte får behandlas.
Remissinstanserna: Dataskydd.net anser att det är otydligt när det enligt 1 a kap. 3 § vapenlagen kan vara "absolut nödvändigt" att behandla känsliga personuppgifter samt att någon bestämmelse om sökbegränsningar inte behövs eftersom den sortens tekniska funktionalitet borde följa redan av artikel 25 i dataskyddsförordningen. Övriga remissinstanser yttrar sig inte över förslaget.
Skälen för regeringens förslag: Bestämmelsen i 1 a kap. 3 § vapenlagen i dess nuvarande lydelse innebär att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (dvs. känsliga personuppgifter enligt personuppgiftslagen). Om uppgifter om en person behandlas på annan grund får de emellertid kompletteras med sådana uppgifter när det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter får dessutom behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Polismyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Motsvarande bestämmelse i kustbevakningsdatalagen har i avsnitt 7.4.4 bedömts förenlig med dataskyddsförordningen. Bestämmelsen motsvarar också regleringen i 2 kap. 2 och 11 §§ brottsdatalagen och får följaktligen anses vara förenlig även med dataskyddsdirektivet.
Som framgår av avsnitt 5.6 har begreppet känsliga personuppgifter i dataskyddsförordningen och dataskyddslagen utvidgats till att omfatta ytterligare kategorier av uppgifter. Detsamma gäller enligt brottsdatalagen. Vapenlagens bestämmelser om behandling av känsliga personuppgifter bör därför anpassas till att omfatta även dessa kategorier av personuppgifter genom att regleringen i den nya lagen hänvisar till artikel 9.1 i dataskyddsförordningen och 2 kap. 11-13 §§ brottsdatalagen.
Det följer direkt av artikel 9.1 i dataskyddsförordningen och 2 kap. 11-12 §§ brottsdatalagen att känsliga personuppgifter som utgångspunkt inte får behandlas. Regeringen anser därför, till skillnad från vad som föreslagits i promemorian, inte att det behövs någon uttrycklig bestämmelse om det i vapenlagen.
Vapenlagen innehåller även ett förbud mot att använda känsliga personuppgifter som sökbegrepp vid sökning i personuppgifter (1 a kap. 4 §). Förbudet är förenligt med både dataskyddsförordningen och dataskyddsdirektivet och bör behållas. Bestämmelsen bör emellertid anpassas språkligt på samma vis som motsvarande bestämmelse i den föreslagna kustbevakningsdatalagen (se avsnitt 7.4.4).
Dataskydd.net anser att det är otydligt när det kan vara "absolut nödvändigt" att behandla känsliga personuppgifter. Begreppet "absolut nödvändigt" används emellertid redan i 1 a kap. 3 § vapenlagen, liksom i motsvarande bestämmelser i andra registerförfattningar. Innebörden av begreppet utvecklas närmare i avsnitt 7.4.4. Intresset av en enhetlig reglering på dataskyddsområdet talar därför starkt för att det även fortsättningsvis bör användas i bestämmelsen. Detsamma gäller bestämmelsen om sökbegränsningar.
10.2.5 Tillgång till personuppgifter
Regeringens bedömning: Bestämmelsen i vapenlagen om tillgång till personuppgifter inom Polismyndigheten bör inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: I 1 a kap. 5 § vapenlagen föreskrivs att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen har i avsnitt 5.4.6 gjort bedömningen att bestämmelser i registerförfattningar som begränsar tillgång till personuppgifter inom myndigheten är förenliga med dataskyddsförordningen. Det finns därför inget behov av att ändra bestämmelsen i 1 a kap. 5 § vapenlagen.
10.2.6 Rättelse och skadestånd
Regeringens förslag: Av vapenlagen ska det framgå att brottsdatalagens bestämmelse om skadestånd ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med bestämmelserna i vapenlagen eller föreskrifter som meddelats i anslutning till dessa. I övrigt regleras inte frågor om rättelse och skadestånd vid personuppgiftsbehandling i vapenlagen.
Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås att 1 a kap. vapenlagen inte ska innehålla några bestämmelser om skadestånd.
Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.
Skälen för regeringens förslag: I 1 a kap. 6 § vapenlagen regleras frågor om rättelse och skadestånd. Bestämmelsen hänvisar idag till reglerna i den upphävda personuppgiftslagen.
Eftersom behandling av personuppgifter i vapenärenden och vid förande av vapenregistren omfattas av dataskyddsförordningen kommer frågor om rättelse att prövas enligt regleringen i förordningen. Bestämmelsen om rättelse i artikel 16 är direkt tillämplig och som konstaterats i avsnitt 5.7.1 saknas det skäl att i registerförfattningarna inskränka den enskildes rätt till rättelse enligt bestämmelsen. 1 a kap. 6 § vapenlagen bör därför inte längre innehålla någon reglering av frågor om rättelse.
På samma vis blir, som framgår av avsnitt 5.8.2, dataskyddsförordningens reglering av skadestånd tillämplig utan att någon hänvisning krävs. 1 a kap. 6 § vapenlagen bör därför inte heller reglera frågor om skadestånd vid sådan behandling.
Skada kan även orsakas i samband med behandling för utlämnande som omfattas av brottsdatalagen. För att regleringen ska vara förenlig med dataskyddsdirektivet måste det därför, i enlighet med bedömningen i avsnitt 6.6.4, framgå av 1 a kap. 6 § vapenlagen att bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med bestämmelserna i vapenlagen eller föreskrifter som har meddelats i anslutning till dessa, om behandlingen omfattas av brottsdatalagen.
10.2.7 Bevarande och gallring
Regeringens förslag: Bestämmelsen i vapenlagen om bevarande av personuppgifter i vapenregister har samma innehåll som artikel 5.1 e i dataskyddsförordningen och ska därför upphävas.
Regeringens bedömning: Bestämmelsen i vapenlagen om gallring bör inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer inte med regeringens. I promemorian föreslås inga ändringar i bestämmelserna om bevarande av uppgifter.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens förslag och bedömning: 1 a kap. 9-10 §§ innehåller bestämmelser om bevarande av uppgifter i vapenregistren. Enligt 9 § får uppgifter i vapenregistren inte bevaras där längre än vad som behövs för något av de ändamål som anges i 8 §, dvs. de ändamål för vilka uppgifterna behandlas i registren. I 10 § görs sedan undantag från detta beträffande vissa uppgifter, som ska bevaras i 20 år.
Som framgår av avsnitt 5.4.7 måste en bedömning göras från fall till fall om det är motiverat att i registerförfattningar ha kvar bestämmelser om bevarande av personuppgifter som motsvarar bestämmelsen i artikel 5.1 e i förordningen. Personuppgifter i vapenregistren behandlas endast för de ändamål som anges i 1 a kap. 8 § och regeringen anser därför, till skillnad från den bedömning som görs i promemorian, att 1 a kap. 9 § vapenlagen måste anses vara en sådan bestämmelse som inte tillför något utöver artikel 5.1 e. Bestämmelsen i 1 a kap. 9 § bör således upphävas. Eftersom undantagsbestämmelsen i 10 § - som i enlighet med vad som anförts i avsnitt 5.4.7 är förenlig med dataskyddsförordningen - hänvisar till 9 § måste en följdändring göras i denna.
1 a kap. 11 § vapenlagen innehåller en bestämmelse om gallring av uppgifter i vapeninnehavarregistret om personer som tillhör hemvärnets personal. Enligt bestämmelsen ska sådana uppgifter gallras när Försvarsmakten har meddelat att uppgiften inte längre är aktuell. Tidpunkten då en sådan uppgift inte längre är aktuell torde i regel motsvara tidpunkten då uppgiften inte längre behövs för vapeninnehavarregistrets ändamål. En bestämmelse om gallring innebär emellertid inte bara att uppgiften inte längre får behandlas i registret utan även att arkivrättslig gallring ska ske. Bestämmelsen i 1 a kap. 11 § vapenlagen innebär alltså en precisering i förhållande till artikel 5.1 e och är därför förenlig med dataskyddsförordningen. I enlighet med vad som anförts om motsvarande bestämmelser i lagen om belastningsregister (avsnitt 8.3.8) finns inte skäl att inom ramen för detta lagstiftningsärende göra några ändringar i registerförfattningarnas gallringsbestämmelser som inte krävs för att de ska vara förenliga med dataskyddsreformen.
10.2.8 Utlämnande av uppgifter
Regeringens bedömning: Bestämmelserna i vapenlagen om utlämnande av uppgifter för statistiska ändamål och till utländska myndigheter samt bestämmelsen om direktåtkomst behöver inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning
Utlämnande till svenska myndigheter
Ändamålsbestämmelsen i 1 a kap. 8 § vapenlagen ger endast stöd för utlämnande ur vapenregistren för att ge information i brottsbekämpande verksamhet. I övrigt regleras utlämnande till svenska myndigheter genom bestämmelsen om utlämnande till myndighet som ansvarar för att framställa rättsstatistik i 12 § samt genom bestämmelsen om direktåtkomst i 14 §.
Eftersom det redan av artikel 5.1 b i dataskyddsförordningen följer att ytterligare behandling för statistiska ändamål är tillåten i enlighet med den s.k. finalitetsprincipen skulle det kunna ifrågasättas om det är lämpligt att behålla 12 § i lagen. Förutom att möjliggöra behandling av personuppgifter fyller bestämmelsen emellertid även en sekretessbrytande funktion och bör därför behållas. Detta är förenligt med dataskyddsförordningen eftersom det rör sig om en sådan ändamålsbestämmelse som är tillåten i nationell rätt enligt artikel 6.3 (prop. 2017/18:115 s. 17). Bestämmelsen i 14 § innebär att Säkerhetspolisen, Tullverket och Kustbevakningen får medges direktåtkomst till vapenregister. Som konstaterats i avsnitt 5.4.4 och 6.3.4 är bestämmelser som preciserar förutsättningarna för elektroniskt utlämnande, inklusive direktåtkomst, förenliga med både dataskyddsförordningen och dataskyddsdirektivet. Bestämmelserna i 12 och 14 §§ behöver således inte ändras som en följd av dataskyddsreformen.
Som konstateras i promemorian innebär avsaknaden i övrigt av bestämmelser som reglerar utlämnanden till svenska myndigheter att utlämnanden ur vapenregistren till andra svenska myndigheter än de ovannämnda, liksom utlämnanden ur vapenärenden, måste bedömas utifrån det generellt tillämpliga regelverket om personuppgiftsbehandling samt tillämpliga sekretessbestämmelser. Hittills har detta, i enlighet med 9 § d personuppgiftslagen, inneburit att sådana utlämnanden skett med tillämpning av finalitetsprincipen, dvs. personuppgifter har kunnat lämnas ut för ändamål som inte är oförenliga med det ändamål som de samlades in för. Det kommer även i fortsättningen, nu i enlighet med artikel 5 b i dataskyddsförordningen, att vara finalitetsprincipen tillsammans med tillämpliga sekretessbestämmelser som avgör om utlämnande av personuppgifter kan ske till svenska myndigheter i andra fall än enligt 12 och 14 §§. Det som tillkommer är att Polismyndigheten, såvida den aktuella vidarebehandlingen inte grundar sig på nationell rätt, måste beakta de omständigheter som räknas upp i artikel 6.4 a-e vid bedömningen av om finalitetsprincipen ger stöd för utlämnande.
Utlämnande till utländska myndigheter
Utlämnande av uppgifter ur vapenregistren till utländska myndigheter regleras i 1 a kap. 13 § vapenlagen. Bestämmelsen innebär att personuppgifter som behandlas i vapenregistren, om det är förenligt med svenska intressen, får lämnas till Interpol eller Europol, eller polis- eller åklagarmyndighet i en stat som är ansluten till Interpol, om det behövs för att mottagaren ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott, eller till utländsk underrättelse- eller säkerhetstjänst. Uppgifter får även lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse. Regleringen avser framför allt utlämnanden av uppgifter för användning i sådana syften som omfattas av dataskyddsdirektivets tillämpningsområde, men kan även avse utlämnanden för användning i sådana syften som omfattas av dataskyddsförordningens tillämpningsområde. En bestämmelse motsvarande 1 a kap. 13 § vapenlagen finns i 2 kap. 7 § polisens brottsdatalag och är därmed förenlig med direktivet.
Det är ett allmänt intresse att utlämnande av uppgifter ur vapenregistren kan ske till utländska möjligheter i de situationer som regleras i 1 a kap. 13 § vapenlagen. Polismyndighetens behandling av personuppgifter för utlämning i enlighet med denna bestämmelse är därför nödvändig för att utföra en uppgift av allmänt intresse. Behandlingen är därmed, i enlighet med 2 kap. 2 § dataskyddslagen, tillåten med stöd av artikel 6.1 e i dataskyddsförordningen. I enlighet med resonemanget i avsnitt 5.4.4 måste bestämmelser om utlämnande av detta slag dessutom generellt anses vara sådana preciseringar som är tillåtna enligt artikel 6.2 i dataskyddsförordningen.
Mot bakgrund av ovanstående delar regeringen bedömningen i promemorian att bestämmelsen i 1 a kap. 13 § vapenlagen inte behöver ändras med anledning av dataskyddsreformen.
11 Lagen om Schengens informationssystem
11.1 Schengensamarbetet
1985 ingick Frankrike, Tyskland och Beneluxstaterna ett avtal om att successivt avveckla personkontrollerna vid de gemensamma gränserna och att utveckla det polisiära och rättsliga samarbetet mellan staterna, det s.k. Schengenavtalet. Avtalet var ett separat mellanstatligt avtal utanför EU. Efter hand har fler av EU:s medlemsstater anslutit sig till avtalet, däribland Sverige år 1996.
De viktigaste reglerna för samarbetet, bl.a. de praktiska åtgärderna för att genomföra avvecklingen av personkontrollerna vid de inre gränserna, fanns ursprungligen i Schengenkonventionen som började tillämpas 1995. I samband med Amsterdamfördragets ikraftträdande den 1 maj 1999 införlivades emellertid Schengenregelverket i EU-rätten. Detta innebär att samarbetet numera äger rum i den vanliga EU-strukturen, dvs. under medverkan av EU:s institutioner. Regelverket omfattar olika EU-rättsakter som utvecklar bestämmelserna i det ursprungliga Schengenavtalet och Schengenkonventionen.
När det gäller Schengens informationssystem, här kallat SIS, har reglerna om detta i Schengenkonventionen ersatts av tre EU-rättsakter; ett rådsbeslut och två förordningar. Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), här kallat rådsbeslutet, är en reglering som faller inom den tidigare s.k. pelarstrukturen, som gällde för EU-samarbetet innan Lissabonfördraget trädde i kraft. Rådsbeslutet avser tredjepelarfrågor, dvs. polisiärt och straffrättsligt samarbete mellan EU:s medlemsstater. Utöver rådsbeslutet regleras användningen av SIS av två EU-förordningar. Den ena avser gränskontroll och immigrationskontroll. Den andra avser tillgång till SIS för de enheter inom medlemsstaterna som ansvarar för att utfärda registreringsbevis för fordon. Regleringen av SIS har nyligen varit föremål för översyn och tre nya förordningar om SIS har beslutats, vilka kommer att ersätta ovan nämnda rättsakter. De nya förordningarna utvidgar också användningsområdet till att även avse arbetet med återvändande av tredjelandsmedborgare som vistas olagligt på EU:s territorium. Merparten av bestämmelserna i dessa förordningar ska börja tillämpas på datum som kommissionen ska fastställa senast tre år från förordningarnas ikraftträdande.
SIS är ett datasystem som fungerar som ett efterlysningshjälpmedel och, i viss mån, även som ett spaningshjälpmedel. I SIS kan varje Schengenstat föra in uppgifter om personer och om fordon eller andra föremål som är efterlysta eller eftersökta och samtidigt begära att en viss åtgärd ska vidtas om personen eller föremålet påträffas vid en gränskontroll eller i en annan Schengenstat. Det kan exempelvis vara fråga om att begära att en person som misstänks för brott ska gripas och omhändertas, att uppgifter ska lämnas om var en försvunnen person befinner sig eller att uppgifter ska lämnas om var ett föremål som ska beslagtas har påträffats.
Någon skyldighet för medlemsstaterna att vidta de åtgärder som en annan stat har begärt finns inte. Vilka åtgärder som ska vidtas vid en träff i SIS styrs i stället av den nationella rätten i den medlemsstat på vars territorium en efterlyst person eller ett efterlyst föremål påträffas.
Tekniskt består SIS dels av en nationell enhet (fortsättningsvis SIS-registret), som är ett nationellt register för varje Schengenstat, dels en central teknisk stödfunktion. Med hjälp av den tekniska stödfunktionen innehåller varje Schengenstats nationella register uppgifter som är identiska med uppgifterna i de andra staternas nationella register. Varje Schengenstat använder sitt nationella register för att lägga in framställningar om åtgärder och för att söka i SIS. SIS kan sägas utgöra ett verktyg för att kompensera det borttagande av gränskontrollen som Schengenkonventionen innebär.
11.2 Lagens innehåll
Lagen (2000:344) om Schengens informationssystem (lagen om SIS), tillsammans med den kompletterande förordningen (2000:836) om Schengens informationssystem (förordningen om SIS), genomförde tidigare Schengenkonventionen och numera rådsbeslutet i svensk rätt (propositionen SIS II - en andra generation av Schengens informationssystem, prop. 2009/10:86). Tidigare reglerade lagen om SIS hela användningen av SIS, men när regleringen på EU-nivå delades upp i ett rådsbeslut och två förordningar togs bestämmelser i lagen som avsåg användning inom förordningarnas tillämpningsområde bort. Lagen om SIS innehåller emellertid fortfarande vissa upplysande bestämmelser om regleringen i de båda EU-förordningarna. Den har ännu inte anpassats till de nya EU-förordningarna.
I lagen föreskrivs en skyldighet för Polismyndigheten - som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen - att med hjälp av automatiserad behandling föra ett register som ska vara den svenska nationella enheten i SIS (dvs. SIS-registret) samt att behandla viss tilläggsinformation (1 §).
I lagens inledning finns bestämmelser om ändamålen med registret (2 §) och därefter om vilka uppgifter som får registreras och andra förutsättningar för att registrering ska få ske (3-7 §§). Lagen innehåller också bestämmelser om vilka myndigheter som kan få ut uppgifter ur registret, hur uppgifterna får användas och vad som gäller för gallring av uppgifterna (9-11 §§). Därutöver finns bestämmelser om s.k. tilläggsinformation, som inte registreras i SIS men utbyts mellan Schengenstaterna, exempelvis efter att en sökning i systemet har lett till en träff (12-14 §§). Slutligen innehåller lagen bestämmelser om rättelse, skadestånd och överklagande (15-17 §§).
När det gäller sekretess för uppgifterna i registret finns en särskild sekretessbestämmelse i 37 kap. 6 § offentlighets- och sekretesslagen (2009:400). Avsikten med denna är att garantera sekretess för uppgifter som i förekommande fall inte omfattas av sekretess enligt andra bestämmelser. Lagen om SIS innehåller en upplysning som hänvisar till offentlighets- och sekretesslagen (8 §).
11.3 Är brottsdatalagen eller dataskyddsförordningen tillämplig?
Regeringens bedömning: Behandlingen av personuppgifter i SIS-registret, såväl för förandet av registret som för utlämnande, omfattas antingen av brottsdatalagen eller av dataskyddsförordningen. Det är syftet med registreringen av den behandlade personuppgiften i det enskilda fallet som är avgörande för vilken rättsakt som är tillämplig vid den fortsatta behandlingen.
Detta innebär att samtliga bestämmelser om personuppgiftsbehandling i lagen om SIS avser behandling som omfattas av såväl brottsdatalagen som dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Polismyndigheten menar att personuppgiftsbehandlingen i SIS-registret i sin helhet ska anses falla under dataskyddsdirektivets tillämpningsområde. Övriga remissinstanser yttrar sig inte över bedömningen.
Skälen för regeringens bedömning: SIS är ett datasystem som innehåller personuppgifter. Förandet av registret och behandling av uppgifter i registret, exempelvis sökning och utlämnande, innefattar alltså sådan personuppgiftsbehandling som kan omfattas antingen av brottsdatalagen eller dataskyddsförordningen.
SIS-registret förs av Polismyndigheten, en myndighet som bland annat har till uppgift att förebygga, förhindra och upptäcka brottslig verksamhet samt att utreda brott, och därmed kan vara behörig i brottsdatalagens mening (1 kap. 6 § brottsdatalagen). Som nämnts ovan inordnas också rådsbeslutet under området polisiärt och straffrättsligt samarbete. Detta är emellertid inte i sig avgörande för om brottsdatalagen är tillämplig eller inte. Att en myndighet som kan vara behörig utför behandlingen är en förutsättning för att brottsdatalagen ska vara tillämplig, men utöver detta måste också syftet med behandlingen vara att bekämpa brott eller något annat av de syften som anges i 1 kap. 2 § brottsdatalagen.
Vid genomförandet av Schengenkonventionen konstaterade regeringen att mycket av informationsutbytet inom SIS skulle komma att avse underrättelseverksamhet och utredning om brott. Dock skulle vissa uppgifter kunna lämnas i helt andra syften, exempelvis uppgifter om personer som ska införas på spärrlista samt uppgifter om försvunna personer och personer som ska omhändertas för sin egen säkerhet (propositionen Polissamarbete m.m. med anledning av Sveriges anslutning till Schengen, prop. 1999/2000:64, s. 151). Sådana uppgifter kan även enligt dagens reglering föras in i SIS-registret. Svenska framställningar om tillfälligt omhändertagande av en person med hänsyn till dennes eller annans säkerhet kan exempelvis, enligt 5 § förordningen om Schengens informationssystem, avse personer som tvångsvårdas med stöd av lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare i vissa fall eller lagen (1991:1128) om psykiatrisk tvångsvård. Sådana framställningar kan även avse personer som ska omhändertas enligt bestämmelser i föräldrabalken eller lagen (1989:14) om erkännande och verkställighet av utländska vårdnadsavgöranden m.m. och om överflyttning av barn. Den personuppgiftsbehandling som sker i SIS-registret, både för att lägga in och bevara uppgifter och för sökningar och utlämnanden, med anledning av en sådan framställan kan inte anses ske i brottsbekämpande eller något av de andra syften som anges i 1 kap. 2 § brottsdatalagen.
Mot bakgrund av ovanstående gör regeringen, till skillnad från Polismyndigheten, bedömningen att en registrering av personuppgifter i SIS-registret och den fortsatta behandlingen av uppgifterna i registret kan omfattas antingen av brottsdatalagens eller dataskyddsförordningens tillämpningsområde. Vilket regelverk som blir tillämpligt måste avgöras från fall till fall, beroende på syftet med registreringen.
Både förandet av registret och annan behandling av personuppgifter i det kan alltså omfattas antingen av brottsdatalagen eller dataskyddsförordningen. Detta innebär, till skillnad från vad som gäller enligt de övriga registerförfattningarna, att samtliga bestämmelser om personuppgiftsbehandling i lagen om SIS kommer att reglera sådan behandling som omfattas av såväl brottsdatalagen som dataskyddsförordningen. Samtliga sådana bestämmelser i lagen måste därför vara förenliga med både brottsdatalagen och dataskyddsförordningen.
11.4 Vilka ändringar bör göras som en följd av dataskyddsreformen?
11.4.1 Skyldighet att föra SIS-registret, personuppgiftsansvar samt registrets ändamål och innehåll
Regeringens bedömning: Bestämmelserna om skyldighet att föra SIS-registret och om personuppgiftsansvar samt om registrets ändamål och innehåll i lagen om SIS bör inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Dataskydd.net påtalar behovet av en robust process för att säkerställa att registreringen enligt 6 § lagen om SIS efterföljs. Övriga remissinstanser yttrar sig inte över bedömningen.
Skälen för regeringens bedömning
Bestämmelsernas förenlighet med dataskyddsdirektivet
I 1 § lagen om SIS åläggs Polismyndigheten att föra ett register som ska vara den svenska nationella enheten i SIS samt att behandla viss tilläggsinformation. Polismyndigheten pekas också ut som personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen. Åläggandet att föra registret och behandla tilläggsinformation innebär att Polismyndigheten uttryckligen getts en uppgift som omfattas av de syften som ingår i dataskyddsdirektivets tillämpningsområde. Denna del av bestämmelsen är alltså förenlig med dataskyddsdirektivet. Som framgår av resonemanget i avsnitt 6.3.2 är det även förenligt med dataskyddsdirektivet att Polismyndigheten pekas ut som personuppgiftsansvarig.
I 2 § lagen om SIS finns bestämmelser om ändamålen med förandet av SIS-registret och i 3-6 §§ om vilka framställningar och uppgifter som får, och i vissa fall ska, föras in i registret samt under vilka förutsättningar detta får ske. Dessa bestämmelser, tillsammans med det ovan nämnda åläggandet för Polismyndigheten att föra registret och behandla tilläggsinformation, genomför kravet i artikel 8 i dataskyddsdirektivet på att personuppgiftsbehandlingen ska ha rättslig grund.
Bestämmelsen i 4 § första stycket 3 lagen om SIS - av vilken det bl.a. framgår att fingeravtryck, dvs. biometriska uppgifter, får föras in i SIS-registret - innebär dessutom en särskild reglering av i vilken mån sådana personuppgifter som avses i 2 kap. 12 § brottsdatalagen får behandlas i registret. För att sådana uppgifter ska få behandlas krävs enligt artikel 10 i dataskyddsdirektivet, förutom att den måste vara tillåten enligt nationell rätt, att behandlingen är absolut nödvändig och att det finns lämpliga skyddsåtgärder. Enligt regeringen är dessa krav uppfyllda. För att SIS-registret ska kunna uppfylla sitt ändamål krävs att korrekt identifiering kan ske av de personer som omfattas av införda framställningar, något som underlättas i väsentlig grad av att fingeravtryck får föras in i registret. En säker identifiering minimerar också risken för att personer felaktigt ska bli föremål för åtgärder till följd av en framställning. Möjligheten att behandla fingeravtryck infördes dessutom mot bakgrund av intresset av att underlätta samarbetet mellan medlemsstaterna och öka effektiviteten i brottsbekämpningen (prop. 2009/10:86 s. 27 f.). Regeringen anser därför att sådan behandling måste anses absolut nödvändig. Dessutom utgör den utförliga författningsregleringen av SIS-registret - särskilt begränsningen av användningen av bl.a. fingeravtryck i 10 § fjärde stycket - i sig en skyddsåtgärd, liksom de tillämpliga sekretessbestämmelserna. Bestämmelserna i 1-6 §§ är alltså förenliga med dataskyddsdirektivet.
Bestämmelsernas förenlighet med dataskyddsförordningen
Som framgår av resonemanget i avsnitt 5.4.2 är det förenligt med dataskyddsförordningen att Polismyndigheten pekas ut som personuppgiftsansvarig. På samma sätt som beträffande dataskyddsdirektivet uppfyller bestämmelserna i 2-6 §§, tillsammans med åläggandet för Polismyndigheten att föra registret och behandla tilläggsinformation i 1 §, kravet i dataskyddsförordningen på att personuppgiftsbehandlingen i registret ska ha rättslig grund. Den behandling av personuppgifter som sker när Polismyndigheten lägger in och sedan bevarar personuppgifter i registren samt hanterar tilläggsinformation, är nödvändig för att myndigheten ska kunna fullgöra den i lag reglerade rättsliga förpliktelsen att föra registret och behandla tillhörande tilläggsinformation. Behandlingen får därför, i enlighet med 2 kap. 1 § dataskyddslagen, ske med stöd av artikel 6.1 c i dataskyddsförordningen.
Bestämmelsen i 4 § första stycket 3 lagen om SIS innebär en sådan särskild reglering av i vilken mån s.k. känsliga personuppgifter får behandlas i SIS-registret, som ska tillämpas i stället för bestämmelserna i 3 kap. 3 § dataskyddslagen. För att känsliga personuppgifter ska få behandlas krävs enligt artikel 9.2 g i dataskyddsförordningen att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Enligt regeringen är dessa krav uppfyllda. Även beträffande framställningar som faller inom dataskyddsförordningens område är det av stor vikt att korrekt identifiering kan ske, exempelvis av eftersökta personer som ska omhändertas enligt föräldrabalken eller för tvångsvård när de påträffas. Som konstaterats infördes bestämmelsen bland annat mot bakgrund av intresset av att underlätta samarbetet mellan medlemsstaterna i sådana avseenden, vilket får anses vara ett viktigt allmänt intresse. Möjligheten att behandla fingeravtryck i SIS-registret måste också anses vara en i förhållande till detta syfte proportionerlig åtgärd och kan inte anses oförenlig med det väsentliga innehållet i rätten till dataskydd. I enlighet med bedömningen ovan finns dessutom lämpliga skyddsåtgärder. Bestämmelserna i 1-6 §§ är alltså förenliga med dataskyddsförordningen.
Regeringen konstaterar slutligen att det, som framgått i avsnitt 4.3, inte finns utrymme att inom ramen för detta lagstiftningsärende göra ändringar utöver vad som behövs eller är lämpligt för att anpassa de aktuella registerförfattningarna till EU:s dataskyddsreform. Någon möjlighet att i propositionen hantera frågor om ändrad tillsyn av efterlevnaden av lagen om SIS, såsom Dataskydd.net efterfrågar, finns alltså inte.
11.4.2 Förhållandet till andra bestämmelser om personuppgiftsbehandling
Regeringens förslag: En ny bestämmelse införs som anger att lagen om SIS gäller utöver brottsdatalagen.
En ny bestämmelse införs som anger att lagen om SIS kompletterar dataskyddsförordningen vid behandling av personuppgifter som inte omfattas av brottsdatalagen, samt att dataskyddslagen och föreskrifter som meddelats i anslutning till den lagen också gäller för sådan behandling, om inte annat följer av lagen om SIS eller föreskrifter som har meddelats i anslutning till den lagen.
Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås att det i de nya paragraferna även ska anges vilka bestämmelser i lagen om SIS som ska tillämpas i stället för vissa specifika bestämmelser i brottsdatalagen respektive dataskyddslagen. Dessutom ges 1 b § även i övrigt en något annorlunda utformning.
Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.
Skälen för regeringens förslag: Som framgått ovan kommer bestämmelserna i lagen om SIS att tillämpas på personuppgiftsbehandling både inom brottsdatalagens och dataskyddsförordningens tillämpningsområde. I det förra fallet kommer lagen alltså att gälla utöver brottsdatalagen och i det senare kommer bestämmelserna i stället att komplettera dataskyddsförordningen samtidigt som även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller om inte annat följer av lagen eller förordningen om SIS. I enlighet med bedömningarna i avsnitt 5.8.1 och 6.6.1 bör därför införas bestämmelser som klargör detta.
I promemorian föreslås att det av tydlighetsskäl även bör anges vilka bestämmelser i lagen om SIS som utgör sådan särskild reglering som ska tillämpas i stället för regleringen av motsvarande frågor i brottsdatalagen respektive dataskyddslagen. Att bestämmelser i annan lag eller förordning som avviker från brottsdatalagen eller dataskyddslagen ska tillämpas i stället för dessa lagar framgår emellertid redan av 1 kap. 5 § brottsdatalagen respektive 1 kap. 6 § dataskyddslagen. Upplysningar om detta har därför som regel inte förts in i de registerförfattningar som hittills anpassats till dataskyddsreformen och föreslås inte heller föras in i övriga nu aktuella registerförfattningar. För att så långt möjligt uppnå enhetlighet med andra författningar inom dataskyddsområdet anser regeringen därför att sådana upplysningar inte heller bör föras in i lagen om SIS. Av samma skäl bör bestämmelsen i 1 b § även i övrigt ges en något annorlunda utformning än den som föreslagits i promemorian.
11.4.3 Förbud mot registrering av vissa känsliga personuppgifter
Regeringens bedömning: Bestämmelsen om förbud mot registrering av vissa känsliga personuppgifter i lagen om SIS bör inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Bestämmelsen i 7 § lagen om SIS innebär ett förbud för Polismyndigheten att registrera uppgifter i SIS som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, eller uppgifter som rör hälsa eller sexualliv.
Bestämmelsen genomför artikel 56 i rådsbeslutet (prop. 2009/10:86 s. 45) och är därmed förenlig med dataskyddsdirektivet redan genom bestämmelsen i artikel 60 om dataskyddsdirektivets förhållande till redan gällande unionsrättsakter. Som framgått omfattar begreppet känsliga personuppgifter i dataskyddsförordningen, förutom uppgifter av de slag som räknas upp i 7 § lagen om SIS, även genetiska och biometriska uppgifter samt uppgifter om sexuell läggning. I enlighet med resonemanget i avsnitt 5.6 finns därför skäl att överväga om 7 § måste utökas till att även omfatta dessa typer av uppgifter. Redan av begränsningen i 4 § lagen om SIS av vilka uppgifter som får registreras i SIS-registret, när det gäller framställningar som rör personer, följer dock att varken genetiska uppgifter eller uppgifter om sexuell läggning får registreras. Det finns därför inget behov av att lägga till dessa typer av uppgifter till uppräkningen i 7 § för att bestämmelsen ska vara förenlig med dataskyddsförordningen. Vad gäller biometriska uppgifter tillåter 4 § däremot viss registrering. Som konstaterats i avsnitt 11.4.1 är Polismyndighetens behandling av uppgifterna i de fallen emellertid förenlig med dataskyddsförordningen. Inte heller biometriska uppgifter måste därför nämnas i 7 § för att denna ska vara förenlig med dataskyddsförordningen. Något skäl att ändra bestämmelsen som en följd av dataskyddsreformen finns alltså inte.
11.4.4 Utlämnanden ur SIS-registret
Regeringens bedömning: Bestämmelsen om utlämnanden ur SIS-registret i lagen om SIS bör inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Dataskydd.net efterfrågar en omvärdering av 9 § lagen om SIS, som utökar SIS-registret bortom vad som föreskrivs i europeisk rätt. Övriga remissinstanser yttrar sig inte över bedömningen.
Skälen för regeringens bedömning: I 9 § lagen om SIS finns de grundläggande bestämmelserna om möjligheterna att få tillgång till uppgifter i SIS-registret. I bestämmelsens första stycke föreskrivs att uppgifter som finns i registret ska lämnas ut om det begärs av Säkerhetspolisen, åklagarmyndigheter, Tullverket eller Kustbevakningen när dessa utför undersökningar och andra kontroller än gränskontroller i sin verksamhet för att förebygga och utreda brott. Eftersom de nämnda myndigheterna alla kan vara behöriga myndigheter i brottsdatalagens mening, innebär begränsningen till verksamheter för att förebygga och utreda brott att denna del av bestämmelsen endast reglerar personuppgiftsbehandling som omfattas av dataskyddsdirektivets tillämpningsområde. Som regeringen konstaterat beträffande motsvarande reglering i lagarna om belastningsregister och misstankeregister måste det anses förenligt med dataskyddsdirektivet att specificera i vilka fall uppgifter ur registret får lämnas ut. 9 § första stycket lagen om SIS är alltså förenlig med dataskyddsdirektivet.
Av bestämmelsens andra stycke framgår att de båda EU-förordningarna som också reglerar SIS innehåller bestämmelser om utlämnande av uppgifter och direktåtkomst till SIS-registret i vissa fall. Eftersom dessa upplysningar inte i sig utgör någon reglering av personuppgiftsbehandling påverkas de inte av dataskyddsreformen.
Bestämmelsens tredje stycke innehåller en särskild reglering av rätten att få s.k. kompletterande uppgifter enligt 3 a §, dvs. uppgifter om personer som kan förväxlas med en person som registrerats och vars identitet har missbrukats. Regleringen innebär att sådana uppgifter endast får lämnas till en myndighet som har rätt att få ut uppgifter om den registrering som de kompletterande uppgifterna avser och som behöver uppgifterna för att undvika en felaktig identifiering. Bestämmelsen medför inte i sig någon rätt till uppgifter ur SIS-registret, utan utgör i stället en begränsning i de fall det på annan grund finns rätt att få ut sådana uppgifter. Regeringen bedömer att detta måste anses förenligt med både dataskyddsförordningen och dataskyddsdirektivet.
I bestämmelsens fjärde stycke bemyndigas regeringen att meddela föreskrifter om att myndigheter som prövar ansökningar om visering och uppehållstillstånd ska ha tillgång till uppgifter som avses i 3 § andra stycket, dvs. uppgifter om personer som tagits upp på den s.k. spärrlistan. Som konstaterats ovan måste det anses förenligt med dataskyddsdirektivet att specificera i vilka fall uppgifter ur registret får lämnas ut, vilket också innebär att ett bemyndigande till regeringen att göra detta är förenligt med direktivet. Detsamma gäller i förhållande till dataskyddsförordningen, eftersom de av regeringen meddelade föreskrifterna innebär att Polismyndighetens behandling av personuppgifter i SIS-registret för utlämnande blir nödvändig för att myndigheten ska kunna fullgöra en rättslig förpliktelse som följer direkt av en författning.
Slutligen bemyndigas regeringen i bestämmelsens femte stycke att meddela föreskrifter om att de myndigheter som nämns i första och fjärde styckena får ha direktåtkomst till SIS-registret. Som framgår av avsnitt 5.4.4 och 6.3.4 är en särskild reglering av direktåtkomst förenlig med såväl dataskyddsförordningen som dataskyddsdirektivet.
Som konstaterats i avsnitt 4.3 finns inte utrymme att inom ramen för detta lagstiftningsärende göra ändringar utöver vad som behövs eller är lämpligt för att anpassa de aktuella registerförfattningarna till EU:s dataskyddsreform. Någon möjlighet att i propositionen hantera frågor om ändringar av sådant slag som Dataskydd.net efterfrågar finns alltså inte.
11.4.5 Användningsbegränsningar
Regeringens bedömning: Bestämmelserna om användningsbegränsningar i lagen om SIS bör inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: 10 § lagen om SIS innehåller vissa generella begränsningar av användningen av uppgifter i SIS-registret, nämligen att de inte får överföras eller göras tillgängliga för ett tredjeland eller en internationell organisation (första stycket) och inte heller i övrigt användas i annat syfte än det som den registrerande staten har angett vid registreringen, om inte den staten lämnat sitt samtycke (andra stycket). 10 § innehåller även vissa begränsningar som endast avser användningen av uppgifter som med stöd av 3 a § registrerats för att undvika personförväxling (tredje stycket) samt användningen av fotografier och fingeravtryck (fjärde stycket). I 13 § lagen om SIS finns en bestämmelse om att tilläggsinformation endast får användas för att uppnå det syfte för vilket den har mottagits.
Artikel 54 i rådsbeslutet innehåller ett förbud mot att uppgifter som behandlas i SIS-registret överförs eller görs tillgängliga för ett tredjeland eller en internationell organisation. Bestämmelsen i 10 § första stycket lagen om SIS genomför detta förbud (prop. 2009/10:86 s. 36-38) och är därmed förenlig med dataskyddsdirektivet redan genom bestämmelsen i artikel 60 om dataskyddsdirektivets förhållande till redan gällande unionsrättsakter. Dataskyddsförordningen innehåller inte någon motsvarande bestämmelse om förhållandet till redan gällande unionsrättsakter. Begränsningen i 10 § första stycket lagen om SIS måste emellertid, tillsammans med lagens övriga reglering av utlämnanden av uppgifter, anses utgöra en sådan precisering av de enheter till vilka uppgifter får lämnas ut som är tillåten enligt artikel 6.3 i dataskyddsförordningen.
Bestämmelsen i 10 § andra stycket lagen om SIS genomför delar av artikel 46 i rådsbeslutet (prop. 2009/10:86 s. 36-38). Därmed är bestämmelsen förenlig med dataskyddsdirektivet redan genom bestämmelsen i artikel 60. Bestämmelsen i 10 § andra stycket lagen om SIS reglerar för vilka ändamål de registrerade uppgifterna får användas och är enligt regeringens bedömning att se som en sådan ändamålsbestämmelse som, i enlighet med resonemanget i avsnitt 5.4.3, är förenlig även med dataskyddsförordningen.
Genom bestämmelserna i 10 § tredje och fjärde styckena lagen om SIS genomförs artikel 22 och 51.2 i rådsbeslutet (prop. 2009/10:86 s. 38 f.). I enlighet med artikel 60 i dataskyddsdirektivet är därmed även dessa bestämmelser förenliga med direktivet. Dessutom är bestämmelserna, i enlighet med bedömningen ovan, att se som sådana ändamålsbestämmelser som är förenliga också med dataskyddsförordningen.
Artikel 8 i rådsbeslutet innehåller allmänna bestämmelser om utbyte av tilläggsinformation. Genom 13 § lagen om SIS genomförs delar av dessa bestämmelser (artikel 8.2), vilket innebär att även 13 § är förenlig med dataskyddsdirektivet genom bestämmelsen i artikel 60. Eftersom 13 § är att se som en ändamålsbestämmelse är den, på samma vis som bestämmelserna i 10 § andra-fjärde styckena, också förenlig med dataskyddsförordningen. Såväl 10 § som 13 § är alltså förenliga med dataskyddsreformen och bör därför inte ändras som en följd av denna.
11.4.6 Bevarande och gallring
Regeringens bedömning: Bestämmelserna om bevarande och gallring i lagen om SIS bör inte ändras som en följd av dataskyddsreformen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: 11 § lagen om SIS innehåller en bestämmelse om bevarande och gallring av uppgifter som Polismyndigheten fört in i SIS-registret och 14 § innehåller en bestämmelse om bevarande och gallring av tilläggsinformation som utgörs av personuppgifter som tagits emot från en annan stat.
Av 11 § första stycket framgår att uppgifter som omfattas av bestämmelsen inte får bevaras längre än vad som är nödvändigt med hänsyn till ändamålet med registreringen, dvs. detsamma som redan följer av principen om lagringsminimering i artikel 5.1 e i dataskyddsförordningen. Som framgår av avsnitt 5.4.7 måste en bedömning göras från fall till fall om det är lämpligt att i registerförfattningar ha kvar bestämmelser om bevarande av personuppgifter som motsvarar bestämmelsen i artikel 5.1 e i förordningen. 11 § första stycket innehåller också bestämda tidsgränser inom vilka de personuppgifter som förts in i registret ska gallras. Enligt bestämmelsens andra stycke finns dock möjlighet för Polismyndigheten att, innan gallringstiden löpt ut, besluta att en uppgift ska stå kvar i registret om det är nödvändigt för att uppnå syftet med registreringen. Delar av regleringen i 11 § första och andra styckena motsvarar alltså vad som redan följer av dataskyddsförordningen, men ett borttagande av dessa delar ur bestämmelsen skulle innebära att den samlade regleringen blir svårtillgänglig. Regleringen, som är förenlig med artikel 6.3 i dataskyddsförordningen, bör därför behållas. Regleringen är även förenlig med artikel 4.1 e och 5 i dataskyddsdirektivet, som inte innehåller något förbud mot sådan dubbelreglering som i viss mån uppstår i förhållande till 2 kap. 17 § brottsdatalagen.
I 11 § tredje stycket finns en kompletterande reglering som säger att uppgifter som registrerats med stöd av 3 a § ska gallras samtidigt som uppgifterna i den registrering som de hänför sig till. Sådana uppgifter ska dock gallras tidigare om den person som de avser begär det. I enlighet med bedömningarna i avsnitt 5.4.7 och 6.3.6 är även denna reglering förenlig med dataskyddsreformen.
Av 14 § följer att sådan tilläggsinformation som omfattas av bestämmelsen endast får bevaras under så lång tid som behövs för att uppnå det syfte för vilket den har mottagits. Informationen får dock aldrig bevaras längre än ett år efter det att de uppgifter i SIS som den avser har gallrats. Bestämmelsens första led motsvarar principen om lagringsminimering i artikel 5.1 e i dataskyddsförordningen. Det kan därför ifrågasättas om den delen av bestämmelsen behöver behållas Att låta detta led utgå och endast ha kvar det senare ledet - som i sig utgör en enligt artikel 6.2 och 6.3 tillåten precisering - skulle emellertid innebära att den samlade regleringen beträffande bevarande av tilläggsinformation blir svårbegriplig. I enlighet med skäl 8 i dataskyddsförordningen bör därför även första ledet i 14 § anses förenligt med dataskyddsförordningen. Bestämmelsen är även förenlig med dataskyddsdirektivet eftersom detta, som konstaterats, inte innehåller något förbud mot den dubbelreglering som uppstår i förhållande till 2 kap. 17 § brottsdatalagen.
Som redogjorts för i avsnitt 5.4.7 har gallringsbegreppet utmönstrats ur vissa registerförfattningar på brottsdatalagens område. I enlighet med vad som anförts beträffande motsvarande bestämmelser i lagen om belastningsregister (avsnitt 8.3.8) bör det emellertid inte i nuläget göras några ändringar i bestämmelserna om gallring i lagen om SIS.
11.4.7 Rättelse, skadestånd och överklagande
Regeringens förslag: Bestämmelsen om rättelse m.m. i lagen om SIS ska upphävas.
Av lagen om SIS ska det framgå att brottsdatalagens bestämmelse om skadestånd ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med lagen om SIS eller med föreskrifter som meddelats i anslutning till den. Frågor om skadestånd vid behandling av personuppgifter som omfattas av dataskyddsförordningen ska inte regleras i lagen om SIS.
Bestämmelsen om överklagande i lagen om SIS ska upphävas.
Promemorians förslag överensstämmer i sak med regeringens.
Remissinstanserna: Dataskydd.net menar att hänvisningen till skadeståndsbestämmelsen i brottsdatalagen begränsar enskildas rätt till skadestånd i förhållande till skadeståndsbestämmelsen i artikel 82 i dataskyddsförordningen. Övriga remissinstanser yttrar sig inte över förslaget.
Skälen för regeringens förslag: I 15 § lagen om SIS regleras Polismyndighetens skyldighet att rätta, blockera eller utplåna personuppgifter som myndigheten har registrerat, om de är rättsligt eller sakligt felaktiga. När Polismyndighetens behandling av personuppgifter i SIS-registret omfattas av dataskyddsförordningen kommer bestämmelserna om rättelse, radering och begränsning av behandling i artikel 16-18 emellertid att vara direkt tillämpliga och som konstateras i avsnitt 5.7 saknas det skäl att i de nu aktuella registerförfattningarna inskränka den enskildes rätt i dessa avseenden. Lagen om SIS bör därför inte längre innehålla någon reglering av rättelse, blockering eller utplåning på dataskyddsförordningens område. När Polismyndighetens behandling av personuppgifter i SIS-registret i stället omfattas av brottsdatalagen kan, som konstaterats i avsnitt 6.5, bestämmelserna om rättelse, radering och begränsning av behandling i 4 kap. 9-10 §§ brottsdatalagen tillämpas. Därför bör lagen om SIS inte heller innehålla någon reglering av rättelse, blockering eller utplåning på brottsdatalagens område. 15 § lagen om SIS bör alltså upphävas.
I 16 § lagen om SIS regleras frågor om skadestånd genom en hänvisning till reglerna i personuppgiftslagen. För att bestämmelsen ska vara förenlig med dataskyddsdirektivet måste det, i enlighet med bedömningen i avsnitt 6.6.4, i stället framgå att bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter i strid med lagen om SIS eller föreskrifter som meddelats i anslutning till den, om behandlingen omfattas av brottsdatalagen. Om skada orsakas i samband med behandling som inte omfattas av brottsdatalagen blir, som framgår av avsnitt 5.8.2, i stället dataskyddsförordningens reglering tillämplig utan att någon hänvisning krävs. Att 16 § lagen om SIS därför inte bör omfatta frågor om skadestånd vid sådan behandling innebär alltså inte, såsom Dataskydd.net anför, någon begränsning av den enskildes rätt till skadestånd vid personuppgiftsbehandling som omfattas av dataskyddsförordningens tillämpningsområde.
I enlighet med bedömningarna i avsnitt 5.8.2 och 6.6.5 saknas behov av bestämmelser om överklagande i lagen om SIS. Bestämmelsen i 17 § om rätten att överklaga Polismyndighetens beslut enligt 15 § bör därför upphävas.
11.4.8 Genomförandet av rådsbeslutet
Regeringens bedömning: Det behövs inte någon ytterligare reglering för att rådsbeslutet om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) ska vara korrekt genomfört även efter det att personuppgiftslagen upphävts.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens förslag och bedömning
Genomförandet av rådsbeslutet
När rådsbeslutet genomfördes i svensk rätt skedde detta i huvudsak genom ändringar i lagen och förordningen om SIS samt genom den befintliga regleringen i personuppgiftslagen (prop. 2009/10:86). Vissa artiklar i rådsbeslutet ansågs alltså inte kräva några lagstiftningsåtgärder eftersom den befintliga regleringen i personuppgiftslagen bedömdes genomföra kraven i dessa artiklar. Detta gäller artikel 10 om datasäkerhet, artikel 12 om loggning, artikel 14 om personalutbildning, artikel 49 om datakvalitet, artikel 57 om skydd för personuppgifter i enlighet med Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, artikel 59.1 om rätt till rättslig prövning av vissa frågor samt artikel 64.1 om skadestånd.
För att rådsbeslutet även efter upphävandet av personuppgiftslagen ska anses korrekt genomfört i svensk rätt krävs alltså att också den generella reglering som ersatt personuppgiftslagen - dvs. dataskyddsförordningen och dataskyddslagen respektive brottsdatalagen - kan anses genomföra kraven i de nämnda artiklarna i rådsbeslutet.
Datasäkerhet, loggning och utbildning av personal
Artikel 10 i rådsbeslutet gäller datasäkerhet och innehåller en tämligen utförlig lista på åtgärder som ska vidtas av medlemsstaterna för att garantera säkerheten för uppgifter i SIS och i utbytet av s.k. tilläggsinformation, särskilt vad gäller obehörig åtkomst. Artikel 10 innehåller också krav på att användningen av uppgifter i SIS ska kunna kontrolleras samtidigt som artikel 12 innehåller specifika skyldigheter att, i kontrollsyfte, logga uppgifter om sökningar och utbyte av uppgifter i systemet. Artikel 14 avser ett krav på att personal vid myndigheter som har tillgång till SIS ska ha lämplig utbildning.
När rådsbeslutet genomfördes i svensk rätt gjorde regeringen bedömningen att personuppgiftslagens grundläggande krav på åtgärder för att åstadkomma en lämplig säkerhetsnivå, samt möjligheterna att meddela kompletterande föreskrifter, var tillräckliga för att uppfylla säkerhetskraven enligt artikel 10 i rådsbeslutet (prop. 2009/10:86 s. 25). Beträffande artikel 12 konstaterade regeringen att skyldigheten att logga uppgifter i kontrollsyfte kan sägas utgöra ett led i uppfyllandet av de grundläggande skyldigheter som åligger Rikspolisstyrelsen (numera Polismyndigheten) som personuppgiftsansvarig när det gäller behandling och skydd av uppgifterna. Därför ansågs det närmast handla om att se till att det tekniska systemet fungerar på ett sådant sätt att det uppfyller rådsbeslutets krav när det gäller loggningsuppgifter och det konstaterades att i den mån reglering krävs kan det ske på förordningsnivå (prop. 2009/10:86 s. 25 f.). En bestämmelse om loggning infördes också i 23 § förordningen om SIS. Vad gäller bestämmelserna om utbildning av personal i artikel 14 ansåg regeringen att det även ligger i Rikspolisstyrelsens (numera Polismyndighetens) uppgift som personuppgiftsansvarig att se till att personer som ges tillgång till SIS har den utbildning som krävs (prop. 2009/10:86 s. 26).
Brottsdatalagen innehåller än mer specifika bestämmelser om datasäkerhet än personuppgiftslagen. 3 kap. 2 § avser den personuppgiftsansvariges skyldighet att vidta tekniska och organisatoriska åtgärder för att skydda personuppgifter, och principerna om inbyggt dataskydd och dataskydd som standard gäller enligt 3 kap. 3 och 4 §§. Dessa bestämmelser, tillsammans med bestämmelsen i 23 § förordningen om SIS, uppfyller enligt regeringens bedömning kraven i artikel 10 på datasäkerhet och i artikel 12 på loggning när behandlingen av personuppgifter i SIS-registret sker på brottsdatalagens område. Regeringen bedömer vidare att det, på samma vis som enligt personuppgiftslagen, måste anses ligga i Polismyndighetens uppgift som personuppgiftsansvarig enligt brottsdatalagen att se till att personer som ges tillgång till SIS har tillräcklig utbildning (i 3 kap. 2 § brottsdataförordningen finns också en bestämmelse om skyldighet att anta och dokumentera interna strategier för dataskydd, som bl.a. kan avse interna regelverk som behandlar utbildning av personal, se SOU 2017:29 s. 302). Även kravet i artikel 14 är alltså uppfyllt när behandlingen av personuppgifter i SIS-registret sker på brottsdatalagens område.
Också dataskyddsförordningen innehåller bestämmelser om den personuppgiftsansvariges skyldighet att vidta tekniska och organisatoriska åtgärder till skydd för behandlade personuppgifter (artikel 24 och 32) samt om inbyggt dataskydd och dataskydd som standard (artikel 25). Bestämmelserna motsvarar i huvudsak vad som gäller enligt brottsdatalagen och regeringen bedömer att dessa, tillsammans med 23 § förordningen om SIS, uppfyller rådsbeslutets krav på datasäkerhet och loggning. Även av Polismyndighetens uppgift som personuppgiftsansvarig enligt dataskyddsförordningen följer en skyldighet att se till att den personal som har tillgång till SIS-registret har lämplig utbildning enligt artikel 39.1 b, som säger att det dataskyddsombud som Polismyndigheten är skyldig att utnämna bl.a. ska ha till uppgift att övervaka efterlevnaden av den personuppgiftsansvariges strategi för utbildning av personal som deltar i behandling. Även kravet i artikel 14 är alltså uppfyllt när behandlingen av personuppgifter i SIS-registret sker på dataskyddsförordningens område.
Uppgifternas kvalitet
Enligt artikel 49 i rådsbeslutet ansvarar den medlemsstat som lägger in en registrering i SIS för att uppgifterna är korrekta, aktuella och att det finns lagstöd för registreringen. Artikeln innehåller därutöver detaljerade bestämmelser om förfarandet när uppgifter misstänks vara felaktiga eller ha lagrats i strid med rådsbeslutet.
När rådsbeslutet genomfördes i svensk rätt konstaterade regeringen att Rikspolisstyrelsen (numera Polismyndigheten) som personuppgiftsansvarig har att följa bl.a. skyldigheten enligt 9 § h personuppgiftslagen att se till att alla rimliga åtgärder vidtas för att rätta, blockera och utplåna felaktiga personuppgifter (prop. 2009/10:86 s. 40). Några lagstiftningsåtgärder ansågs därmed inte krävas för att genomföra artikel 49. Rådsbeslutets bestämmelser om förfarandet medlemsstaterna emellan vid misstänkta felaktigheter i registret reglerades i 17 § förordningen om SIS.
Brottsdatalagens grundläggande krav på behandling av personuppgifter innefattar att de ska behandlas författningsenligt och på ett korrekt sätt (2 kap. 6 §), att de ska vara korrekta och, om nödvändigt, uppdaterade (2 kap. 7 §) samt att alla rimliga åtgärder ska vidtas för att personuppgifter som är felaktiga eller ofullständiga rättas (2 kap. 5 §). Även dataskyddsförordningen innehåller motsvarande krav på behandling av personuppgifter (se särskilt artikel 5 a och 5 d). Regeringen gör därför bedömningen att regleringen i såväl brottsdatalagen som dataskyddsförordningen, tillsammans med bestämmelsen i 17 § förordningen om SIS, genomför kraven i artikel 49 i rådsbeslutet.
Dataskydd i enlighet med dataskyddskonventionen
I artikel 57 i rådsbeslutet anges att personuppgifter som behandlas med tillämpning av rådsbeslutet ska skyddas i enlighet med Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter och senare ändringar av denna (dataskyddskonventionen).
Vid genomförandena av Schengenkonventionen (som innehöll motsvarande bestämmelse) och rådsbeslutet bedömde regeringen att de allmänna skyddsreglerna i personuppgiftslagen, tillsammans med de möjligheter som finns att vid behov meddela kompletterande bestämmelser i förordning eller myndighetsföreskrifter, var tillräckliga för att genomföra kravet på dataskydd i enlighet med dataskyddskonventionen (prop. 2009/10:86 s. 45).
Ett av de övergripande syftena med både dataskyddsdirektivet och dataskyddsförordningen är att förstärka och harmonisera skyddet för enskilda vid behandling av personuppgifter inom unionen. Av skäl 68 i dataskyddsdirektivet och skäl 105 i dataskyddsförordningen framgår också att kommissionen, vid bedömningen av om ett tredjeland erbjuder en adekvat dataskyddsnivå, bör beakta tredjelandets anslutning till dataskyddskonventionen. Mot denna bakgrund delar regeringen bedömningen i promemorian att det, utan någon mer djupgående analys av dataskyddskonventionen, är möjligt att utgå ifrån att de nya EU-rättsakterna och därmed även brottsdatalagen uppfyller konventionens krav på dataskydd.
Skadestånd samt rätt till rättslig prövning av vissa frågor
Artikel 59.1 i rådsbeslutet innehåller en bestämmelse som innebär att en framställning om att få tillgång till, rätta, radera, eller erhålla information eller få gottgörelse i samband med en registrering i SIS ska kunna göras till domstol eller behörig myndighet av den enskilde som berörs av registreringen.
Vid genomförandet av rådsbeslutet konstaterade regeringen att bestämmelsen i 52 § personuppgiftslagen, som möjliggör överklagande till allmän förvaltningsdomstol av Rikspolisstyrelsens beslut att inte lämna information till en enskild, genomför rätten till rättslig prövning när det gäller att få ut uppgifter ur registret och annan information som har samband med en registrering. För att genomföra artikel 59.1 i den del som avser rätt till rättslig prövning av en begäran om rättelse eller radering ansågs i stället att en särskild regel om rätt att överklaga vissa beslut behövde tas in i lagen om SIS, dvs. 17 § som regeringen i avsnitt 11.4.7 föreslår ska upphävas (prop. 2009/10:86 s. 46-48).
Regeringen konstaterar att artikel 59.1, i ovan nämnda delar, fortsättningsvis kommer att genomföras genom bestämmelserna om överklagande i 7 kap. 2 § brottsdatalagen och 7 kap. 2 § dataskyddslagen som, avseende behandling på brottsdatalagens respektive dataskyddsförordningens område, ger den enskilde rätt att till allmän förvaltningsdomstol överklaga Polismyndighetens beslut i frågor om information och tillgång till personuppgifter samt rättelse och radering.
Enligt artikel 64.1 i rådsbeslutet ska medlemsstaterna, i enlighet med sin nationella lagstiftning, ansvara för skador som drabbar en person genom användningen av den nationella delen av SIS (dvs. SIS-registret) och som framgått ovan omfattar rätten till rättslig prövning enligt artikel 59.1 också sådana anspråk på skadestånd. Vid genomförandet av rådsbeslutet ansåg regeringen att dessa båda bestämmelser genomfördes genom hänvisningen i 16 § lagen om SIS till 48 § personuppgiftslagen (prop. 2009/10:86 s. 46-48 och 53). Regeringen konstaterar att bestämmelserna fortsättningsvis kommer att genomföras genom bestämmelsen i 7 kap. 1 § dataskyddslagen samt genom den föreslagna hänvisningen i 16 § lagen om SIS till 7 kap. 1 § brottsdatalagen (se avsnitt 11.4.7).
12 Regleringen om registrering av förelägganden och uppbörd av böter
12.1 Utdömande och föreläggande av böter
Böter, som är en påföljd för brott, kan utgå i form av dagsböter, penningböter eller normerade böter och tillfaller staten. Böter kan användas antingen som självständig påföljd för mindre allvarliga brott där böter förekommer i straffskalan eller i kombination med annan påföljd oavsett om böter är föreskrivet för brottet eller inte. Bötesstraff verkställs i första hand genom uppbörd.
Det är emellertid inte bara bötesstraff som verkställs genom uppbörd, utan även vissa viten utdömda av allmän domstol och sådan särskild rättsverkan av brott som innefattar betalningsskyldighet. Reglerna om uppbörd omfattar alltså mer än bara bötesstraff och när ordet böter används i det följande omfattas därför även vite utdömt av allmän domstol och särskild rättsverkan som innefattar betalningsskyldighet, om inte annat framgår. När endast böter avses används ordet bötesstraff.
12.1.1 Bötesstraff
Ett bötesstraff bestäms antingen genom att domstol dömer ut det eller genom att den enskilde godtar det påföljdsförslag som en brottsbekämpande myndighet har angett i ett strafföreläggande eller ett föreläggande av ordningsbot.
Domstol kan besluta om bötesstraff när åtal väcks, dels som självständig påföljd för brott av mindre allvarligt slag, dels i kombination med villkorlig dom, skyddstillsyn eller ungdomsvård.
Ansvarsfrågan för brott kan även tas upp av åklagare genom strafföreläggande, förutsatt att brottet hör under allmänt åtal och att böter ingår i straffskalan för brottet (48 kap. 1 § och 4 § första stycket rättegångsbalken). Vid Tullverket finns det särskilt förordnade befattningshavare, s.k. tullåklagare, som är särskilda åklagare enligt 7 kap. 8 § rättegångsbalken och som även de kan utfärda strafföreläggande för vissa typer av brott (1 och 32 §§ lagen [2000:1225] om straff för smuggling). Ett strafföreläggande får enligt 48 kap. 4 § rättegångsbalken under vissa förutsättningar också avse villkorlig dom eller sådan påföljd i förening med böter när det är uppenbart att rätten skulle döma till sådan påföljd. Har målsäganden anmält enskilt anspråk avseende betalningsskyldighet och är omständigheterna sådana att åklagaren enligt 22 kap. 2 § första stycket rättegångsbalken är skyldig att utföra målsägandens talan, ska strafföreläggandet enligt 48 kap. 5 a § rättegångsbalken även ta upp det enskilda anspråket.
Om föreläggandet godkänns ska den förelagde enligt 48 kap. 9 § rättegångsbalken underteckna en förklaring om att gärningen erkänns och att det straff, den särskilda rättsverkan och det enskilda anspråk som ingår i föreläggandet godtas. Den förelagde kan också välja att godkänna strafföreläggandet genom att betala det belopp som anges på inbetalningskortet. Utöver ett bötesbelopp kan ett strafföreläggande även omfatta särskild rättsverkan (se nedan). Betalningen gäller i de flesta fall som ett godkännande. Ett föreläggande är alltså att anse som godkänt när det skriftliga godkännandet eller betalningen kommer in till en behörig myndighet. När föreläggandet godkänts gäller det som en dom som har fått laga kraft.
Föreläggande av ordningsbot får enligt 48 kap. 13 § rättegångsbalken utfärdas för brott för vilket inte är föreskrivet annat straff än penningböter, om Riksåklagaren i enlighet med 48 kap. 14 § rättegångsbalken har bestämt ordningsbot för brottet (se Riksåklagarens föreskrifter [1999:178] om ordningsbot för vissa brott). Detta gäller dock med de betydande begränsningar som följer av bestämmelsen i 48 kap. 15 § rättegångsbalken, som anger när föreläggande av ordningsbot inte får utfärdas. Så är fallet bl.a. om den misstänkte förnekar gärningen eller om det finns ett enskilt anspråk. Ett föreläggande av ordningsbot innehåller i de allra flesta fall endast ett bötesstraff. Enligt 5 § ordningsbotskungörelsen är det emellertid under vissa förutsättningar möjligt att i ett föreläggande även ta upp frågan om förverkande om föreläggandet avser vissa brott enligt ordningslagen (1993:1617) eller lagen om straff för smuggling. I övrigt får föreläggande inte utfärdas för brott som är förenade med förverkande av egendom eller annan sådan särskild rättsverkan.
När ett föreläggande av ordningsbot har utfärdats registreras uppgifterna om det i ett särskilt tekniskt system, kallat Orbit, som Polismyndigheten ansvarar för. Systemet används även av Tullverket. De förelägganden som Kustbevakningen utfärdar registreras manuellt i systemet av Polismyndigheten. Orbit innehåller det register över förelägganden av ordningsbot som Polismyndigheten för med stöd av förordningen (1997:903) om register över förelägganden av ordningsbot (se avsnitt 12.3).
Om föreläggandet av ordningsbot godkänns undertecknar den förelagde en förklaring om att gärningen erkänns och att det straff och den särskilda rättsverkan som ingår i föreläggandet godtas. Den förelagde kan också välja att godkänna föreläggandet genom att betala det belopp som anges på inbetalningskortet. När föreläggandet godkänts gäller det som en dom som har fått laga kraft.
12.1.2 Annan betalningsskyldighet som omfattas av reglerna om uppbörd
Vite
Vite är ett på förhand bestämt belopp, vars funktion är att vara ett påtryckningsmedel för en person att följa ett beslut eller åtagande. Domstol eller annan myndighet kan sätta ut vite för att uppnå en prestation, t.ex. inom ramen för ett pågående ärende (s.k. förfarandevite), eller för att ge eftertryck till sitt slutliga beslut om ett visst resultat (s.k. materiellt vite). Vite kan inte sättas ut utan uttryckligt författningsstöd. Ett vite som är riktat till en eller flera bestämda personer beslutas genom ett vitesföreläggande. I föreläggandet anges då ett visst belopp som den förelagde senare kan bli skyldig att betala som en följd av att han eller hon inte har uppfyllt den angivna prestationen, åtgärden eller resultatet.
Särskild rättsverkan av brott
Särskild rättsverkan av brott är en författningsreglerad följd av ett brott som varken är en påföljd eller en skyldighet att betala skadestånd (se 1 kap. 8 § brottsbalken). Förutom förverkande av egendom och företagsbot omfattas bl.a. olika slag av betalningsförpliktelser, exempelvis avgift enligt lagen om brottsofferfond.
Förverkande delas upp i sakförverkande och värdeförverkande. Sakförverkande innebär att viss specifik egendom förklaras förverkad. Ägaren eller rättighetsinnehavaren förlorar därigenom sin rätt till egendomen. Värdeförverkande innebär att värdet av viss egendom eller vissa förtjänster förklaras förverkade. Det innebär en förpliktelse för den enskilde att betala ett angivet belopp. Beslut om förverkande kan meddelas av domstol vid prövningen av ansvarsfrågan för det brott som förverkandet grundar sig på. Förverkande får även tas upp i ett strafföreläggande och ett föreläggande av ordningsbot enligt reglerna i 48 kap. rättegångsbalken.
Företagsbot är en sanktion som har till syfte att komplettera det individuella straffansvaret vid brott i näringsverksamhet. Domstol får enligt 36 kap. 7 § brottsbalken på yrkande av åklagare ålägga näringsidkare företagsbot för brott för vilket är föreskrivet strängare straff än penningböter och som har begåtts i utövningen av näringsverksamhet. Företagsbot kan åläggas både fysiska och juridiska personer. Företagsbot får enligt 48 kap. 4 § tredje stycket rättegångsbalken tas upp i ett strafföreläggande om den inte överstiger 500 000 kronor. Företagsbot får däremot inte tas upp i ett föreläggande av ordningsbot.
Den som döms för ett eller flera brott där fängelse ingår i straffskalan ska enligt 1 § lagen (1994:419) om brottsofferfond åläggas att betala en avgift på 800 kronor. Detsamma gäller enligt 48 kap. 2 § tredje stycket rättegångsbalken när ansvarsfrågan för brott tas upp i ett föreläggande. Avgiften går till en särskild fond, brottsofferfonden.
Bestämmelserna om särskild rättsverkan tillämpas enligt 48 kap. 2 § tredje stycket rättegångsbalken även på tilltalads skyldighet att ersätta staten för kostnad för provtagning och analys av blod, urin och saliv som har gjorts för utredning av brottet.
12.2 Uppbörd av böter
12.2.1 Verkställighet av uppbörd av böter
Regleringen av verkställighet av bötesstraff finns i bötesverkställighetslagen (1979:189) och bötesverkställighetsförordningen (1979:197). Bötesstraff verkställs genom uppbörd eller indrivning. Uppbörd innebär att den bötfällde får möjlighet att frivilligt betala böterna till en behörig myndighet. Polismyndigheten är uppbördsmyndighet. Genom betalningen är straffet verkställt. Sker inte frivillig betalning får bötesstraffet verkställas tvångsvis genom indrivning. Indrivning hanteras av Kronofogdemyndigheten. När det är föreskrivet att verkställighet ska ske genom uppbörd har den enskilde alltså möjlighet att frivilligt betala innan statens fordran överlämnas för indrivning.
Reglerna om verkställighet av bötesstraff gäller också för vissa viten och sådan särskild rättsverkan av brott som innefattar betalningsskyldighet.
De närmare förutsättningarna för uppbörd regleras i 3 § bötesverkställighetsförordningen. Verkställighet på grund av föreläggande eller på grund av dom eller slutligt beslut som meddelats av allmän domstol ska i första hand ske genom uppbörd. Från den huvudregeln finns två undantag, nämligen om flera är solidariskt betalningsskyldiga eller om kvarstad har beslutats till säkerhet för fullgörande av betalningsskyldigheten. I sådana fall ska verkställighet i stället ske genom indrivning direkt efter att domen eller beslutet fått laga kraft eller föreläggandet godkänts.
12.2.2 Vad omfattas av reglerna om uppbörd?
Bötesstraff
Enligt 3 § bötesverkställighetsförordningen ska bötesstraff på grund av strafföreläggande, föreläggande av ordningsbot eller dom eller slutligt beslut från allmän domstol som huvudregel verkställas genom uppbörd. Alla bötesformerna - dagsböter, penningböter och normerade böter - kan alltså förekomma i uppbördsverksamheten.
Uppbörden sker enligt 2 § bötesverkställighetslagen så snart domen eller beslutet har meddelats eller strafföreläggandet eller föreläggandet av ordningsbot har utfärdats. Betalning kan också göras i förtid, som förskott (se nedan). Den bötfällde är dock inte skyldig att betala bötesstraffet förrän domen har fått laga kraft eller föreläggandet har godkänts.
Viten
Reglerna om bötesverkställighet gäller också för vite (25 kap. 9 § brottsbalken och 1 § andra stycket bötesverkställighetslagen). Av 3 § bötesverkställighetsförordningen följer att reglerna om uppbörd dock endast omfattar viten som dömts ut av allmän domstol i en dom eller ett slutligt beslut. Verkställighet sker i dessa fall på samma sätt som av bötesstraff, dvs. i första hand genom uppbörd. Viten som dömts ut i dom eller beslut från annan domstol eller beslut från myndighet verkställs i stället redan från början genom indrivning. Detsamma gäller beslut av en allmän domstol som inte är att anse som slutliga, t.ex. utdömt vite för att någon inte har inställt sig enligt kallelse till en förhandling.
Särskild rättsverkan
Beslut om sådan särskild rättsverkan av brott som innefattar betalningsskyldighet verkställs enligt 1 § andra stycket bötesverkställighetslagen på samma sätt som bötesstraff, dvs. i första hand genom uppbörd. Det gäller beslut om värdeförverkande och företagsbot, om beloppet inte avser en solidariskt ålagd betalningsskyldighet eller har säkrats genom kvarstad (se ovan). Bestämmelserna om uppbörd gäller även för avgift enligt lagen om brottsofferfond samt för skyldighet att ersätta staten för kostnad för provtagning och analys av blod, urin och saliv.
12.2.3 Uppbördsförfarandet
Förskottsbetalning
Enligt 2 § andra stycket bötesverkställighetslagen får den misstänkte, trots att dom, strafföreläggande eller föreläggande av ordningsbot inte har meddelats respektive utfärdats, betala förskott på böter som kan komma att åläggas honom eller henne. Det görs genom ett förfarande med deposition av böter. En förskottsbetalning innebär inte ett godkännande av ett senare föreläggande.
Förskottsbetalning av böter görs enligt 2 § bötesverkställighetsförordningen till Polismyndigheten. I mål som Tullverket eller Kustbevakningen hanterar får förskottsbetalning även göras till dessa myndigheter. Betalningen får tas emot av polisman, tull- eller kustbevakningstjänsteman. Kvitto på betalningen ska lämnas och medlen ska redovisas till Polismyndigheten eller Tullverket. Betalning som har gjorts till Kustbevakningen ska redovisas till Polismyndigheten.
När bötesbeloppet har blivit fastslaget i ett föreläggande eller en dom ska Polismyndigheten eller Tullverket, om verket mottagit medlen, ta förskottsbetalningen i anspråk för verkställighet. Att sådana förskottsmedel tas i anspråk för betalning av böter anses enligt 4 § andra stycket bötesverkställighetslagen som uppbörd.
Den praktiska hanteringen vid uppbörd
Som framgått sker uppbörd genom att den bötfällde frivilligt betalar böterna till Polismyndigheten, eller i vissa fall genom förskottsbetalning till Tullverket. När en domstol dömer ut ett belopp som enligt 3 § bötesverkställighetsförordningen kan bli föremål för uppbörd, ska domstolen upplysa den bötfällde om möjligheten till frivillig betalning. När böter utfärdas i ett strafföreläggande eller ett föreläggande av ordningsbot ska den bötfällde på liknande sätt uppmanas att snarast betala böterna, om han eller hon godkänner föreläggandet (se 5 § strafföreläggandekungörelsen och 6 § ordningsbotskungörelsen).
När Polismyndigheten har fått information om att en dom har meddelats eller att det har utfärdats ett strafföreläggande eller ett föreläggande av ordningsbot skickar Polismyndigheten ut ett inbetalningskort till den bötfällde. Av inbetalningskortet framgår det vilket sammanlagt belopp som ska betalas. När det gäller föreläggande av ordningsbot är det normalt den tjänsteman vid Polismyndigheten, Tullverket eller Kustbevakningen som beslutar om föreläggandet som lämnar inbetalningskortet direkt på plats när föreläggandet utfärdas. I de fall där den förelagde inte är närvarande eller begär rådrum med godkännandet när föreläggandet utfärdas skickas inbetalningskortet ut tillsammans med föreläggandet.
Även om uppbördsförfarandet inleds omedelbart när en dom har meddelats eller ett föreläggande har utfärdats, är den bötfällde inte skyldig att betala beloppet innan domen eller föreläggandet har fått laga kraft. I många fall kan strafföreläggande och ordningsbotsföreläggande godkännas genom betalning, men i vissa fall förutsätts ett skriftligt godkännande. Om böterna inte betalas i tid kan de överlämnas till Kronofogdemyndigheten för indrivning.
Informationshanteringen vid uppbörd
Polismyndigheten använder flera it-system i uppbördsverksamheten. För ärenden om uppbörd av böter på grund av föreläggande av ordningsbot använder myndigheten ett nytt system som kallas Pur. Systemet hanterar t.ex. utskick av påminnelser, registrering av att betalning har kommit in och överföring av uppgifter till Kronofogdemyndigheten för indrivning. För ärenden om verkställighet av bötesstraff på grund av strafförelägganden respektive dom eller slutligt beslut av allmän domstol använder Polismyndigheten i dagsläget två andra system, kallade Ubsf (hanteringen av ärenden om verkställighet på grund av strafförelägganden) och Ubdom (hanteringen av ärenden om bötesverkställighet på grund av dom eller slutligt beslut). Avsikten är att dessa system ska avvecklas och att alla uppbördsärenden ska hanteras i Pur. Själva betalningen hanteras i ekonomisystemet Agresso.
Det system som åklagarna använder i ärenden om strafföreläggande, Cåbra, överför uppgifter till Polismyndigheten för bl.a. uppbörd. Uppgifterna förs in i systemet Ubsf.
Tullverkets system Envis som används i Tullverkets ärenden om strafföreläggande, överför de uppgifter som behövs för uppbörden till Polismyndigheten. Uppgifterna förs in i systemet Ubsf.
De uppgifter från tingsrätter som behandlas i brottmål och som behövs för uppbörden förs från de allmänna domstolarnas mål- och ärendehanteringssystem Vera till Polismyndigheten via RI-systemen där uppgifterna görs om och sedan registreras i Ubdom.
De personuppgifter som Polismyndigheten behöver för sin uppbördsverksamhet överförs alltså som regel automatiserat. Uppgifter om böter från hovrätt och Högsta domstolen förs in manuellt i Ubdom. Detsamma gäller uppgifter från de allmänna domstolarna om utdömda viten.
12.3 Nuvarande reglering av personuppgiftsbehandlingen
Myndigheternas registerförfattningar
Polismyndigheten, Tullverket, Kustbevakningen, Åklagarmyndigheten och Ekobrottsmyndigheten hanterar samtliga personuppgifter i sitt arbete med utfärdande av ordningsbot och strafföreläggande. Merparten av personuppgiftsbehandlingen på brottsdatalagens område i dessa myndigheter styrs från och med den 1 januari 2019 av nya registerförfattningar som gäller utöver brottsdatalagen: polisens brottsdatalag, lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område (Tullverkets brottsdatalag), Kustbevakningens brottsdatalag och lagen (2018:1697) om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område (åklagarväsendets brottsdatalag).
På samma vis som beträffande brottsdatalagen är det syftet med behandlingen - exempelvis att utreda eller lagföra brott - som avgör om myndigheternas registerförfattningar blir tillämpliga. Registerförfattningarna specificerar även vilka uppgifter som myndigheterna får behandla personuppgifter för, dvs. vilka de tillåtna rättsliga grunderna för behandlingen är. Härutöver innehåller registerförfattningarna bl.a. särskilda bestämmelser om gemensamt tillgängliga uppgifter, längsta tid för behandling av vissa typer av uppgifter samt administrativa sanktionsavgifter vid överträdelser av vissa bestämmelser. Polisens brottsdatalag innehåller även särskilda bestämmelser om behandlingen av personuppgifter i vissa register som polismyndigheten för.
Särreglering för strafförelägganden och förelägganden om ordningsbot
För Polismyndighetens och Tullverkets del finns särskilda bestämmelser för delar av den personuppgiftsbehandling som sker vid registrering av förelägganden samt vid uppbörd av böter i förordningen (1997:902) om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot.
Förordningen om register över strafförelägganden
Enligt förordningen om register över strafförelägganden får det med hjälp av automatisk databehandling föras register över strafförelägganden.
Enligt 2 § får Tullverket föra register över strafförelägganden. Ett strafförelägganderegister får enligt 6 § användas för handläggning av ärenden om strafföreläggande, visst uppgiftslämnande och framställning av statistik. I 9 § anges uttömmande vilka uppgifter ett strafförelägganderegister får innehålla.
Enligt 4 § ska Polismyndigheten föra ett register över uppbörd i ärenden om strafförelägganden. Registret får enligt 7 § användas för uppbörd enligt bötesverkställighetslagen i ärenden om strafföreläggande. Det får också användas för tillsyn, planering, uppföljning och framställning av statistik. I 10 § anges vilka uppgifter registret får innehålla.
Tidigare omfattade förordningen om register över strafförelägganden även åklagares behandling av personuppgifter vid hanteringen av strafförelägganden. De bestämmelserna utmönstrades dock i samband med tillkomsten av åklagardatalagen (propositionen Åklagardatalag, prop. 2014/15:63, s. 44-45).
Förordningen om register över förelägganden av ordningsbot
I förordningen om register över förelägganden av ordningsbot ges Polismyndigheten rätt att behandla personuppgifter i ett register över förelägganden av ordningsbot. All registrering av förelägganden av ordningsbot hanteras i registret. Polismyndigheten är personuppgiftsansvarig för registret men Tullverket är personuppgiftsansvarig för uppgifter i de ärenden som handläggs av verket.
Registret får enligt 2 § användas i ärenden om föreläggande av ordningsbot för handläggning, uppbörd och underrättelser till myndigheter och för tillsyn, planering, uppföljning och framställning av statistik. I 5 § anges uttömmande vilka uppgifter registret får innehålla.
12.4 Tillämplig reglering efter dataskyddsreformen
Regeringens bedömning: Behandling av personuppgifter vid registrering av strafföreläggande och föreläggande av ordningsbot omfattas av brottsdatalagen.
Behandling av personuppgifter vid uppbörd av böter omfattas av brottsdatalagen, utom när det gäller uppbörd av vissa viten. Sådan personuppgiftsbehandling omfattas av dataskyddsförordningen.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning: Den registrering av förelägganden samt den uppbördsverksamhet som omfattas av förslagen i detta kapitel utförs av Polismyndigheten och Tullverket. Dessa myndigheter har bland annat till uppgift att utreda och lagföra brott samt verkställa straffrättsliga påföljder (åtminstone i form av uppbörd) och kan därmed vara behöriga i brottsdatalagens mening (1 kap. 6 § brottsdatalagen). Avgörande för om brottsdatalagen eller dataskyddsförordningen ska vara tillämplig på den personuppgiftsbehandling som sker i dessa verksamheter är då, som redogjorts för tidigare, om syftet med behandlingen är sådant som anges i 1 kap. 2 § brottsdatalagen.
Myndigheternas arbete i samband med förelägganden är att hänföra till deras uppgift att utreda och lagföra brott. Den personuppgiftsbehandling som utförs när ett bötesstraff föreläggs genom ett strafföreläggande eller ett föreläggande av ordningsbot ligger därför inom brottsdatalagens tillämpningsområde. Detsamma gäller enligt regeringens bedömning sådant enskilt anspråk som kan tas upp i ett strafföreläggande. De processuella reglerna om talan om ansvar för brott tillämpas även på sådant enskilt anspråk och frågan måste då anses så oupplösligt förenad med ansvarsfrågan att brottsdatalagen bör tillämpas vid personuppgiftsbehandlingen (prop. 2017/18:232 s. 112 f.). Slutligen bör även den behandling av personuppgifter som utförs när särskild rättsverkan tas upp i förelägganden omfattas av brottsdatalagen; om inte annat så följer detta av att frågan, på samma vis som vad gäller enskilt anspråk, är oupplösligt förenad med ansvarsfrågan. Detta innebär att all personuppgiftsbehandling vid registrering av förelägganden omfattas av brottsdatalagen.
Uppbörd är en del av verkställigheten av bötesstraff. Syftet med personuppgiftsbehandlingen vid uppbörd av själva bötesstraffet ligger därmed inom brottsdatalagens tillämpningsområde. Detsamma måste, av samma skäl som ovan, anses gälla uppbörd av belopp som avser särskild rättsverkan av brott. All personuppgiftsbehandling som sker vid uppbörd av bötesstraff och särskild rättsverkan av brott omfattas alltså av brottsdatalagen.
När det slutligen gäller viten omfattar reglerna om uppbörd, som framgår av avsnitt 12.2.2, endast viten som dömts ut av allmän domstol i en dom eller ett slutligt beslut. Sådana viten kan avse t.ex. att en förälder ska lämna ifrån sig sitt barn vid umgänge. Det kan också vara viten enligt miljöbalken eller plan- och bygglagen. Syftet med personuppgiftsbehandlingen vid uppbörd av sådana viten ligger utanför brottsdatalagens tillämpningsområde. Det finns dock viten som skulle kunna omfattas av brottsdatalagens tillämpningsområde. Ett exempel är att någon vid vite kallas att inställa sig till förhör under förundersökningen enligt 23 kap. 6 a § rättegångsbalken. Frågor om utdömande av sådana viten prövas enligt 23 kap. 6 b § av åklagaren, men det finns även möjlighet att begära rättens prövning. Detta innebär att personuppgiftsbehandlingen i samband med uppbörd av de flesta viten inte omfattas av brottsdatalagen utan av dataskyddsförordningen, men att det är syftet i det enskilda fallet som är avgörande för vilken av rättsakterna som ska tillämpas.
12.5 Personuppgiftsbehandling vid registrering av förelägganden
12.5.1 Personuppgiftsbehandlingen ska styras av myndigheternas registerförfattningar
Regeringens bedömning: Behandlingen av personuppgifter vid registrering av förelägganden bör styras av polisens brottsdatalag respektive Tullverkets brottsdatalag.
Detta innebär att förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot bör upphävas i de delar som gäller personuppgiftsbehandling i samband med registrering av strafförelägganden och förelägganden av ordningsbot.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Sveriges advokatsamfund lyfter vikten av en hög säkerhetsnivå vid behandling av personuppgifter som angår brott eller lagföring för brott. Övriga remissinstanser yttrar sig inte över bedömningen.
Skälen för regeringens bedömning: Enligt förordningen om register över förelägganden av ordningsbot får Polismyndigheten behandla personuppgifter i ett register över förelägganden av ordningsbot. Registret får användas för såväl handläggning av ärenden om föreläggande av ordningsbot som uppbörd av böter på grund av sådana förelägganden. Numera använder Polismyndigheten två olika tekniska system i ordningsbotsverksamheten - Orbit för utfärdade förelägganden och Pur för uppbörd. Det förs alltså inte längre ett samlat ordningsbotsregister, utan personuppgiftsbehandlingen är uppdelad beroende på vilket syfte den har.
Tullverket för ett register över strafförelägganden med stöd av förordningen om register över strafförelägganden. De förelägganden av ordningsbot som Tullverket utfärdar registreras i Polismyndighetens it-system med stöd av förordningen om register över förelägganden av ordningsbot.
Utfärdande av förelägganden ingår i myndigheternas uppgift att lagföra brott. Personuppgiftsbehandlingen vid utfärdande av föreläggande av ordningsbot och tullåklagares utfärdande av strafföreläggande styrs av myndigheternas registerförfattningar medan registrering av förelägganden regleras i förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot. Regeringen har emellertid i tidigare lagstiftningsärende uttalat att en utgångspunkt bör vara att en myndighets registerförfattning ska reglera all myndighetens personuppgiftsbehandling inom brottsdatalagens tillämpningsområde (prop. 2017/18:269 s. 100). Den behandling av personuppgifter som åklagare utför vid registrering av strafförelägganden styrs från den 1 januari 2019 av åklagarväsendets brottsdatalag. Det finns mot den bakgrunden inte längre skäl att reglera personuppgiftsbehandling vid registrering av förelägganden särskilt. Vid införandet av polisdatalagen gjordes bedömningen att Rikspolisstyrelsens register över förelägganden av ordningsbot huvudsakligen var ett stöd för polisen vid verkställighet av påföljder. Registret ansågs därför primärt ha ett annat ändamål än brottsbekämpning och falla utanför polisdatalagens tillämpningsområde (prop. 2009/10:85 s. 76 f.). Att registret i lika hög grad används vid utfärdande av förelägganden berördes inte. Det finns därför inget hinder mot att nu låta Polismyndighetens behandling av personuppgifter vid registrering av förelägganden - vilken sker i syfte att lagföra brott - styras av polisens brottsdatalag. Det finns inte heller något som hindrar att Tullverkets motsvarande personuppgiftsbehandling styrs av Tullverkets brottsdatalag.
Polisens brottsdatalag och Tullverkets brottsdatalag bör därför styra den personuppgiftsbehandling som utförs av respektive myndighet vid registrering av förelägganden. Det innebär att förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot bör upphävas i de delar som gäller personuppgiftsbehandling i samband med registrering av strafföreläggande och föreläggande av ordningsbot.
Som Sveriges advokatsamfund påpekar är det av vikt att personuppgifter av aktuellt slag behandlas på ett säkert sätt. Regeringen konstaterar att regleringen om säkerheten för personuppgifter i 3 kap. 8-11 §§ brottsdatalagen blir direkt tillämplig på den personuppgiftsbehandling som sker vid Polismyndighetens och Tullverkets registrering av förelägganden, liksom på efterföljande behandling i uppbördsverksamheten. Det finns därför inte något behov av att reglera dessa frågor särskilt.
12.5.2 Myndigheternas registerförfattningar behöver inte anpassas
Regeringens bedömning: Polismyndighetens behandling av personuppgifter vid registrering av förelägganden av ordningsbot bör inte regleras som ett särskilt register i polisens brottsdatalag.
Det behövs inte någon särskild bestämmelse om hur länge Polismyndigheten respektive Tullverket får behandla personuppgifter i ärenden om strafföreläggande och föreläggande av ordningsbot.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning.
Skälen för regeringens bedömning
Vissa register särregleras i polisens brottsdatalag
I förarbetena till polisdatalagen angav regeringen att målsättningen bör vara att i möjligaste mån undvika särregleringar av vissa speciella informationssamlingar eller viss personuppgiftsbehandling för att regleringen så långt möjligt ska vara teknikneutral. Regeringen konstaterade dock att det finns viss behandling av personuppgifter som av olika skäl inte bör inordnas under de generella bestämmelserna (prop. 2009/10:85 s. 229). Vissa register regleras därför särskilt i 5 kap. polisens brottsdatalag. Det gäller dna-registren, fingeravtrycks- och signalementsregister, penningtvättsregister, det internationella registret samt tillträdesförbudsregistret.
Skälen till varför de olika registren regleras särskilt skiljer sig åt (prop. 2009/10:85 s. 231, 235, 241 f. och 245 f.). Dna-registren och fingeravtrycks- och signalementsregistren regleras särskilt på grund av att det är speciella slag av uppgifter som behandlas. Dessutom förutsätter det s.k. Prümrådsbeslutet att varje medlemsstat har nationella register över dna-profiler och fingeravtryck för att andra medlemsstater ska kunna medges direktåtkomst till dem. När det gäller penningtvättsregister och det internationella registret är skälet till särregleringen att de allmänna reglerna om gemensamt tillgängliga uppgifter inte passar för den personuppgiftsbehandling som krävs. Personuppgifter som behandlas i penningtvättsregister har inte alltid det nödvändiga sambandet med konkreta brott eller brottslig verksamhet som krävs för att få göra uppgifterna gemensamt tillgängliga. Framför allt bestämmelserna om sökbegränsningar och hur länge uppgifter får behandlas passar mindre väl för behandling av personuppgifter i det internationella registret.
Regeringen delar bedömningen i promemorian att varken uppgifternas karaktär eller verksamhetens natur är sådan att det motiverar att personuppgiftsbehandlingen vid registrering av ordningsbotsförelägganden regleras som ett särskilt register i 5 kap. polisens brottsdatalag. Det bör emellertid ändå övervägas om bestämmelserna om gemensamt tillgängliga uppgifter i polisens brottsdatalag är ändamålsenliga eller om det finns skäl att särreglera personuppgiftsbehandlingen.
I Tullverkets brottsdatalag finns det ingen motsvarande särreglering av register. Det finns därför inte skäl att överväga motsvarande fråga för Tullverkets personuppgiftsbehandling.
Reglerna om gemensamt tillgängliga uppgifter är ändamålsenliga
I 3 kap. polisens brottsdatalag finns det särskilda regler om uppgifter som har gjorts gemensamt tillgängliga. Gemensamt tillgängliga uppgifter är sådana uppgifter som fler än ett fåtal personer har tillgång till. Det saknar betydelse hur många som faktiskt tar del av uppgifterna, det avgörande är att det finns möjlighet att ta del av dem. Reglerna i 3 kap. gäller inte för de register som regleras särskilt i 5 kap.
I 3 kap. 2 § första stycket polisens brottsdatalag anges vilka personuppgifter som får göras gemensamt tillgängliga. Det är bl.a. uppgifter som förekommer i ärenden om utredning av eller lagföring för brott. Utfärdande av förelägganden av ordningsbot ingår i uppgiften att utreda och lagföra brott. Registrerade förelägganden får alltså göras gemensamt tillgängliga enligt dagens reglering.
För att värna den personliga integriteten finns det särskilda begränsningar vid sökning i gemensamt tillgängliga uppgifter. I 3 kap. 5 § regleras vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer och andra liknande identitetsbeteckningar i automatiserade behandlingssystem. Det gäller bl.a. uppgifter om att någon är anmäld för brott eller är eller har varit misstänkt för brott. Något tillägg behöver därför inte göras i bestämmelsen.
I 3 kap. 6 § görs undantag från begränsningsregeln i 5 §. Begränsningsregeln gäller inte vid sökning i en viss handling eller i ett visst ärende och inte heller vid sökning som under vissa förutsättningar görs av särskilt angivna tjänstemän i underrättelseverksamhet, för att utreda mycket allvarliga brott eller för att samordna utredningar om brott som kan vara systematiska. Den gäller inte heller för sökning som görs av tjänstemän vid Polismyndighetens ledningscentraler på begäran av en polisman som verkställer ett ingripande. Det finns inte behov av något ytterligare undantag från begränsningsregeln i 5 § när det gäller registrering av förelägganden.
Enligt 3 kap. 7 § får bl.a. Säkerhetspolisen, Tullverket och Kustbevakningen medges direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga. Det är de myndigheter som enligt 4 § förordningen om register över förelägganden av ordningsbot får ha direktåtkomst till registret. Tullverkets och Kustbevakningens direktåtkomst är i dag begränsad till uppgifter i de ärenden i registret som handläggs hos respektive myndighet. Enligt 3 kap. 6 § brottsdatalagen ska tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Bestämmelsen omfattar även att tillgången till personuppgifter i system som myndigheten får tillgång till genom direktåtkomst ska begränsas (prop. 2017/18:232 s. 181). Direktåtkomsten blir därför inte vidare för att den generella bestämmelsen om direktåtkomst till gemensamt tillgängliga personuppgifter blir tillämplig.
Sammantaget är bestämmelserna om gemensamt tillgängliga uppgifter i polisens brottsdatalag ändamålsenliga för den personuppgiftsbehandling som förekommer vid registrering av ordningsbotsförelägganden. Personuppgiftsbehandlingen bör därför inte regleras som ett särskilt register i 5 kap. polisens brottsdatalag.
Det behövs inte någon särreglering av hur länge personuppgifter får behandlas
Enligt 10 § förordningen om register över förelägganden av ordningsbot ska uppgifter i registret gallras senast sex år efter det kalenderår då föreläggandet utfärdades. Uppgifter i ett strafförelägganderegister ska enligt 19 § förordningen om register över strafförelägganden gallras senast tre år efter det kalenderår då föreläggandet utfärdades.
Enligt huvudregeln i 2 kap. 17 § första stycket brottsdatalagen får personuppgifter inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Bestämmelsen kompletteras av bestämmelser i registerförfattningarna om hur länge olika kategorier av gemensamt tillgängliga uppgifter får behandlas. I 4 kap. 4 § polisens brottsdatalag och 4 kap. 5 § Tullverkets brottsdatalag anges hur länge personuppgifter i förundersökningar får behandlas för ändamål inom registerförfattningens tillämpningsområde. Av första stycket i respektive paragraf framgår att uppgifterna får behandlas fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft om förundersökningen har lett till åtal. Om förundersökningen har lagts ner eller avslutats på annat sätt än genom åtal får de enligt andra stycket behandlas fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Enligt tredje stycket gäller bestämmelserna även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.
I den mån strafförelägganden inte föregås av en förundersökning omfattas de av bestämmelsen om förenklade utredningar i 23 kap. 22 § rättegångsbalken. Det gör även förelägganden av ordningsbot. Det innebär att det redan av regleringen i polisens brottsdatalag och Tullverkets brottsdatalag kommer att följa att personuppgifter i strafförelägganden och förelägganden av ordningsbot som längst får behandlas i fem år från utgången av det kalenderår då föreläggandet godkändes. Den längsta tiden för behandling blir alltså något kortare för personuppgifter i förelägganden av ordningsbot medan den blir längre för personuppgifter i ärenden om strafförelägganden. Ingen remissinstans har invänt mot detta. Det finns därför inte behov av någon särskild reglering av hur länge personuppgifter i ärenden om föreläggande får behandlas. En förutsättning för att uppgifterna ska få fortsätta att behandlas är att de behövs för något eller några av lagens ändamål.
12.5.3 Sekretess
Regeringens förslag: Sekretess ska gälla i verksamhet som avser förande av eller uttag ur register, för uppgift som har tillförts register över strafföreläggande och föreläggande av ordningsbot.
Sekretessen ska inte gälla i ärende om strafföreläggande eller föreläggande av ordningsbot.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.
Skälen för regeringens förslag: I 35 kap. offentlighets- och sekretesslagen regleras sekretess till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott m.m. Sekretessen enligt 35 kap. 1 § skyddar enskilds personliga och ekonomiska förhållanden. Sekretessen omfattar bl.a. uppgifter som förekommer i utredning enligt bestämmelserna om förundersökning i brottmål (punkt 1), annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen (punkt 4), register som förs av Polismyndigheten enligt 5 kap. polisens brottsdatalag eller som annars behandlas med stöd av de bestämmelserna (punkt 5), misstankeregistret (punkt 6) och register som förs av Tullverket enligt Tullverkets brottsdatalag eller som annars behandlas där med stöd av den lagen (punkt 9). Brottsanmälningar omfattas också av sekretessen. Sekretessen gäller endast om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men. Enligt 35 kap. 6 § gäller sekretessen inte för beslut att väcka åtal eller att inte inleda eller lägga ner en förundersökning.
Bestämmelser om sekretess för vissa andra av Polismyndighetens register än de som anges i 35 kap. 1 § finns i 35 kap. 3 och 4 §§. Sekretessen enligt dessa paragrafer är absolut, vilket innebär att uppgifterna ska hemlighållas utan någon skadeprövning om de begärs ut. I 3 § regleras sekretessen för belastningsregistret. I 4 § regleras sekretessen för bl.a. register över strafföreläggande och föreläggande av ordningsbot. Bestämmelsen innebär bl.a. att, i annat fall än som avses i 35 kap. 1 § första stycket 5 och 6 och 3 §, sekretess gäller i verksamhet som avser förande av eller uttag ur register för uppgift som har tillförts ett särskilt register som förs över strafföreläggande och föreläggande av ordningsbot (punkt 1). Sekretess gäller dock inte i ärende om strafföreläggande eller föreläggande av ordningsbot.
Skälen för att uppgifter i belastningsregistret och i register över strafförelägganden och förelägganden av ordningsbot omfattas av absolut sekretess görs sig alltjämt gällande när det gäller registrerade förelägganden. Vid införandet av åklagardatalagen konstaterade regeringen att sekretessbestämmelsen i 35 kap. 4 § offentlighets- och sekretesslagen inte behövde ändras med anledning av att förordningen om register över strafförelägganden skulle upphävas i den del som rörde åklagarväsendet (prop. 2014/15:63 s. 118). Bestämmelsen kan alltså behållas även om förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot skulle upphävas i de delar som gäller personuppgiftsbehandling i samband med registrering av strafföreläggande och föreläggande av ordningsbot. Eftersom registren inte längre kommer att regleras särskilt bör bestämmelsen dock formuleras om så att sekretessen avser uppgift som har tillförts register över strafförelägganden eller förelägganden av ordningsbot. Sekretessen bör som tidigare inte omfatta uppgifter i ärenden om strafföreläggande eller förläggande av ordningsbot.
12.6 Personuppgiftsbehandling vid uppbörd av böter
12.6.1 Personuppgiftsbehandlingen ska styras av myndigheternas registerförfattningar
Regeringens förslag: Polisens brottsdatalag ska gälla när Polismyndigheten i egenskap av behörig myndighet behandlar personuppgifter i syfte att verkställa uppbörd. Tullverkets brottsdatalag ska gälla när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att verkställa uppbörd.
Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås att Polisens brottsdatalag och Tullverkets brottsdatalag ska gälla när respektive myndighet i egenskap av behörig myndighet behandlar personuppgifter i syfte att verkställa straffrättsliga påföljder.
Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.
Skälen för regeringens förslag: Av 3 § bötesverkställighetsförordningen framgår att Polismyndigheten är central uppbördsmyndighet. Även Tullverket bedriver viss uppbördsverksamhet eftersom myndigheten enligt 4 § bötesverkställighetsförordningen kan ta medel som betalts in som förskottsbetalning av böter i anspråk för betalning av böterna och det enligt 4 § andra stycket bötesverkställighetslagen anses som uppbörd.
Som framgår av avsnitt 12.4 ligger personuppgiftsbehandling vid uppbörd av böter till största delen inom brottsdatalagens tillämpningsområde. När det gäller personuppgiftsbehandling vid uppbörd av vite är det dock dataskyddsförordningen som i de allra flesta fall är tillämplig. Både brottsdatalagen och dataskyddsförordningen kan vid behov kompletteras av mer preciserade bestämmelser i andra författningar.
Tillämpningsområdet för både polisens och Tullverkets brottsdatalag utgår, på samma sätt som brottsdatalagen, från syftet med personuppgiftsbehandlingen och att myndigheten agerar i egenskap av behörig myndighet. De båda lagarna gäller när Polismyndigheten respektive Tullverket, i egenskap av behörig myndighet, behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott eller, vad gäller Polismyndigheten, upprätthålla allmän ordning och säkerhet. Med hänvisning till att förslaget i promemorian om Polismyndighetens behandling av personuppgifter vid uppbörd av böter var under beredning, avstod regeringen däremot från att lämna några förslag när det gäller Polismyndighetens personuppgiftsbehandling i syfte att verkställa straffrättsliga påföljder (prop. 2017/18:269 s. 145). Det finns emellertid inget som hindrar att tillämpningsområdet för både polisens brottsdatalag och Tullverkets brottsdatalag omfattar personuppgiftsbehandling i syfte att verkställa straffrättsliga påföljder.
Ett alternativ till att reglera personuppgiftsbehandling i samband med uppbörd av böter i en särskild författning är alltså att låta den styras av polisens respektive Tullverkets brottsdatalag. En sådan lösning ligger väl i linje med utgångspunkten att en myndighets registerförfattning ska reglera all myndighetens personuppgiftsbehandling inom brottsdatalagens tillämpningsområde (prop. 2017/18:269 s. 100). Nackdelen är att regleringen av personuppgiftsbehandlingen i samband med uppbörd av böter då inte hålls samman, eftersom uppbörd av vite i de flesta fall ligger utanför brottsdatalagens och registerförfattningarnas tillämpningsområden. Det är dock en mycket liten del av personuppgiftsbehandlingen som inte omfattas av dessa författningars tillämpningsområde. En särskild lag om personuppgiftsbehandling vid uppbörd av böter skulle dessutom behöva förhålla sig till både brottsdatalagen och dataskyddsförordningen, vilket innebär att det ändå inte blir samma regler som gäller för all personuppgiftsbehandling. Mot den bakgrunden talar övervägande skäl för att hålla samman myndigheternas personuppgiftsbehandling inom brottsdatalagens tillämpningsområde i myndigheternas respektive registerförfattning. Polisens respektive Tullverkets brottsdatalag bör därför styra den personuppgiftsbehandling vid uppbörd av böter som ligger inom brottsdatalagens tillämpningsområde.
I promemorian har föreslagits att detta bör ske genom att tillämpningsområdet för registerförfattningarna ändras så att det också omfattar personuppgiftsbehandling i syfte att verkställa straffrättsliga påföljder. Regeringen konstaterar att en sådan reglering skulle få till följd att även personuppgiftsbehandling som Polismyndigheten utför vid annat verkställande av straffrättsliga påföljder än uppbörd av böter omfattas av polisens brottsdatalag, exempelvis skulle Polismyndighetens personuppgiftsbehandling vid verkställande av utvisning på grund av brott kunna komma att träffas. Något underlag för att bedöma om en sådan utvidgning är lämplig, eller om den skulle kräva ytterligare följdändringar än de som föreslås i kommande avsnitt, innehåller inte promemorian. Regeringen anser därför att ändringen av tillämpningsområdet för polisens respektive Tullverkets brottsdatalag bör begränsas till att även omfatta personuppgiftsbehandling i syfte att verkställa uppbörd.
Regeringen återkommer i avsnitt 12.6.6 till frågan om hur den personuppgiftsbehandling i samband med uppbörd av viten som ligger utanför brottsdatalagens tillämpningsområde bör regleras.
12.6.2 Bestämmelserna om gemensamt tillgängliga uppgifter bör styra personuppgiftsbehandlingen
Regeringens bedömning: Polismyndighetens behandling av personuppgifter i samband med uppbörd av böter bör inte regleras som ett särskilt register i polisens brottsdatalag.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Sveriges advokatsamfund är tveksamt till en reglering som innebär att personuppgifter ska kunna behandlas för nya ändamål efter en särskild prövning av nödvändighet och proportionalitet, eftersom det blir svårt att förutse vilka nya ändamål personuppgifterna skulle kunna komma att användas för. Samfundet förordar därför en exklusiv uppräkning av de ytterligare ändamål som skulle kunna komma i fråga, så att de registrerade ges en rimlig chans att kunna förutse för vilka ändamål uppgifterna kan behandlas. Övriga remissinstanser yttrar sig inte över bedömningen.
Skälen för regeringens bedömning
Personuppgiftsbehandlingen bör särregleras bara om det finns särskilda skäl för det
Som framgått i avsnitt 12.5.1 har målsättningen sedan polisdatalagens tillkomst varit att i möjligaste mån undvika särregleringar av vissa speciella informationssamlingar eller viss personuppgiftsbehandling. Av skäl som redovisats i samma avsnitt regleras ändå vissa av de register som Polismyndigheten för särskilt i 5 kap. polisens brottsdatalag.
Regeringen delar bedömningen i promemorian att varken uppgifternas karaktär eller verksamhetens natur är sådan att det motiverar att personuppgiftsbehandlingen vid uppbörd av böter regleras som ett särskilt register i 5 kap. polisens brottsdatalag. Det bör emellertid ändå övervägas om bestämmelserna om gemensamt tillgängliga uppgifter i polisens brottsdatalag är ändamålsenliga eller om det finns skäl att särreglera personuppgiftsbehandlingen.
I Tullverkets brottsdatalag finns det ingen motsvarande särreglering av register. Med hänsyn till det finns det inte skäl att överväga någon särreglering. Det blir i stället fråga om att anpassa vissa bestämmelser i Tullverkets brottsdatalag, vilket behandlas i avsnitt 12.6.3-12.6.5.
Rättslig grund och ändamål för behandling
I 2 kap. 1 § polisens brottsdatalag anges de tillåtna rättsliga grunderna för behandling av personuppgifter. Där anges att personuppgifter får behandlas om det är nödvändigt för att Polismyndigheten ska kunna utföra vissa uppgifter, bl.a. förebygga, förhindra eller upptäcka brottslig verksamhet och utreda eller lagföra brott. Av 2 kap. 1 § andra stycket brottsdatalagen följer att uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften.
Enligt 2 kap. 3 § första stycket brottsdatalagen får personuppgifter behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Innan uppgifterna behandlas för ett nytt ändamål inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det finns en tillåten rättslig grund för den nya behandlingen och att den är nödvändig och proportionerlig för det nya ändamålet. Ska uppgifterna i stället behandlas för ett nytt ändamål utanför brottsdatalagens tillämpningsområde ska det enligt 2 kap. 22 § brottsdatalagen säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det ändamålet; i det fallet följer kravet på rättslig grund i stället direkt av dataskyddsförordningen. Bestämmelserna i 2 kap. 4 och 22 §§ brottsdatalagen ersätter de sekundära ändamålsbestämmelser som tidigare funnits i 2 kap. 8 § polisdatalagen (prop. 2017/18:269 s. 152).
Av bötesverkställighetslagen och bötesverkställighetsförordningen framgår att böter verkställs genom uppbörd eller indrivning och att Polismyndigheten har till uppgift att bedriva uppbördsverksamhet. Om bestämmelsen om tillåten rättslig grund i polisens brottsdatalag anpassas så att den ger stöd för att behandla personuppgifter i uppbördsverksamheten (se avsnitt 12.6.3) blir även bestämmelserna i 2 kap. 4 och 22 §§ brottsdatalagen om behandling för nya ändamål tillämpliga. De nämnda bestämmelserna reglerar generellt möjligheterna till sådan behandling på brottsdatalagens område och regeringen har i samband med införandet av polisens brottsdatalag bedömt att denna härutöver inte bör innehålla sådan särskild reglering som Sveriges advokatsamfund föreslår (prop. 2017/18:269 s. 139-142). Något skäl för en annan bedömning avseende just personuppgiftsbehandlingen i ärenden om uppbörd finns inte. Till skillnad från Sveriges advokatsamfund anser regeringen därför inte att det finns något behov av särskilda ändamålsbestämmelser för uppbördsverksamheten.
Vilka personuppgifter som får behandlas behöver inte regleras
Enligt 2 kap. 8 § brottsdatalagen ska personuppgifter som behandlas vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Detta innebär att ovidkommande uppgifter inte får behandlas och att en fortlöpande bedömning måste göras (prop. 2017/18:232 s. 445).
Som konstateras i promemorian skiljer sig behovet av att behandla personuppgifter åt beroende på om ändamålet är att registrera ordningsbotsförelägganden eller att verkställa bötesstraff. Numera behandlas personuppgifter vid registrering av förelägganden och vid uppbörd i olika system, vilket gör att inte alla uppgifter som får registreras enligt dagens reglering i fortsättningen är adekvata och relevanta för ändamålet att verkställa bötesstraff. Det finns anledning att särskilt påpeka att det i uppbördsärenden inte finns behov av att behandla uppgifter om den brottsliga gärningen. Där räcker det med uppgiften om att böter har dömts ut och med vilket belopp. Uppgifter om den brottsliga gärningen är därför varken adekvata eller relevanta för ändamålet att verkställa bötesstraffet och får inte behandlas i det sammanhanget.
Utöver bestämmelsen i 2 kap. 8 § brottsdatalagen finns i 5 kap. polisens brottsdatalag, för vissa av de register som där regleras särskilt, särskilda bestämmelser om registers innehåll. Regeringen delar emellertid bedömningen i promemorian att det inte finns tillräckliga skäl för att på motsvarande vis särreglera personuppgiftsbehandlingen i samband med uppbörd av böter.
Reglerna om gemensamt tillgängliga uppgifter är ändamålsenliga
Som redogjorts för i avsnitt 12.5.2 finns det i 3 kap. polisens brottsdatalag särskilda bestämmelser om uppgifter som har gjorts gemensamt tillgängliga, dvs. sådana uppgifter som fler än ett fåtal personer har tillgång till. Reglerna i 3 kap. gäller inte för de register som regleras särskilt i 5 kap.
För att uppbördsverksamheten ska kunna bedrivas effektivt måste fler än ett fåtal personer inom Polismyndigheten kunna behandla personuppgifter i ärenden om uppbörd. Det innebär att uppgifter i uppbördsärenden måste kunna göras gemensamt tillgängliga om personuppgiftsbehandlingen inte regleras som ett särskilt register. Eftersom straffverkställighet inte omfattas av tillämpningsområdet för polisens brottsdatalag i dag måste bestämmelsen om vilka uppgifter som får göras gemensamt tillgängliga anpassas för att uppgifter i ärenden om uppbörd av böter ska kunna göras gemensamt tillgängliga (se avsnitt 12.6.4). Som framgår av avsnitt 12.6.5 behövs det även bestämmelser om hur länge personuppgifter får behandlas i uppbördsverksamheten. Att bestämmelserna om gemensamt tillgängliga uppgifter i övrigt är ändamålsenliga för personuppgiftsbehandlingen i samband med uppbörd av böter behandlas i avsnitt 12.6.4.
Personuppgiftsbehandling i samband med uppbörd av böter bör inte regleras som ett särskilt register i polisens brottsdatalag
Som konstaterats är varken personuppgifternas karaktär eller verksamhetens natur sådan att det finns skäl att särreglera personuppgiftsbehandlingen vid uppbörd av böter. Bestämmelserna om gemensamt tillgängliga uppgifter behöver anpassas för att omfatta även personuppgifter i ärenden om uppbörd men är i övrigt ändamålsenliga. Det finns inte heller behov av några bestämmelser utöver de allmänna bestämmelser som finns i brottsdatalagen och polisens brottsdatalag för att styra personuppgiftsbehandlingen. Sammantaget innebär detta att det inte finns skäl att reglera personuppgiftsbehandlingen vid uppbörd av böter som ett särskilt register i polisens brottsdatalag. Den bör i stället styras av bestämmelserna om gemensamt tillgängliga uppgifter.
12.6.3 Rättslig grund
Regeringens förslag: Bestämmelserna om rättsliga grunder i polisens brottsdatalag och Tullverkets brottsdatalag ska ändras så att personuppgifter även får behandlas om det är nödvändigt för att verkställa uppbörd.
Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås att personuppgifter ska få behandlas om det är nödvändigt för att utföra en arbetsuppgift i syfte att verkställa straffrättsliga påföljder.
Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.
Skälen för regeringens förslag: De tillåtna rättsliga grunderna för personuppgiftsbehandling regleras i 2 kap. 1 § polisens brottsdatalag respektive 2 kap. 1 § Tullverkets brottsdatalag. Där anges att personuppgifter får behandlas om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller fullgöra förpliktelser som följer av internationella åtaganden. Polismyndigheten får även behandla personuppgifter om det är nödvändigt för att upprätthålla allmän ordning och säkerhet. När tillämpningsområdet för registerförfattningarna nu föreslås omfatta personuppgiftsbehandling i syfte att verkställa uppbörd bör även de tillåtna rättsliga grunderna för personuppgiftsbehandling omfatta verkställighet av uppbörd.
12.6.4 Gemensamt tillgängliga uppgifter
Regeringens förslag: Bestämmelserna om gemensamt tillgängliga uppgifter i polisens brottsdatalag och Tullverkets brottsdatalag ska ändras så att även personuppgifter som förekommer i ett ärende om uppbörd ska få göras gemensamt tillgängliga.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag.
Skälen för regeringens förslag: I 3 kap. 2 § första stycket polisens brottsdatalag och 3 kap. 2 § första stycket Tullverkets brottsdatalag anges vilka personuppgifter som får göras gemensamt tillgängliga. Det är bl.a. uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott. När tillämpningsområdet för registerförfattningarna nu föreslås omfatta även verkställighet av uppbörd bör bestämmelserna ändras så att uppgifter i ärenden om uppbörd av böter kan göras gemensamt tillgängliga.
För att värna den personliga integriteten finns det särskilda begränsningar vid sökning i gemensamt tillgängliga uppgifter. I 3 kap. 5 § i båda registerförfattningarna regleras vilka uppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i automatiserade behandlingssystem. Det gäller bl.a. uppgifter om att någon är anmäld för brott eller är eller har varit misstänkt för brott. Syftet med bestämmelserna är att det vid en initial allmän sökning bara ska vara möjligt att få fram vissa typer av uppgifter som ansetts vara polisiärt intressanta eller av motsvarande intresse för Tullverket (prop. 2017/18:269 s. 165 och s. 185). Ur det perspektivet bör det vara tillräckligt att uppgifter om att någon är anmäld för eller har varit misstänkt för brott kan tas fram. Något tillägg behöver därför inte göras i bestämmelserna i fråga.
I 3 kap. 6 § i båda registerförfattningarna görs undantag från begränsningsregeln i 5 §. Begränsningsregeln gäller inte vid sökning i en viss handling eller i ett visst ärende och inte heller vid sökning som under vissa förutsättningar görs av särskilt angivna tjänstemän i underrättelseverksamhet, för att utreda brott för vilket det är föreskrivet fängelse i fyra år eller mer, eller för att samordna utredningar om brott som kan vara systematiska och för vilka det är föreskrivet fängelse i två år eller mer. Den gäller inte heller för sökning som görs av tjänstemän vid Polismyndighetens eller Tullverkets ledningscentraler på begäran av en polisman eller tulltjänsteman som verkställer ett ingripande eller vidtar en åtgärd som rör en enskild. Det finns inte behov av något ytterligare undantag från begränsningsregeln i 5 §.
Enligt 4 § förordningen om register över förelägganden av ordningsbot får Säkerhetspolisen, Tullverket och Kustbevakningen ha direktåtkomst till registret. Tullverkets och Kustbevakningens direktåtkomst är begränsad till uppgifter i de ärenden i registret som handläggs hos respektive myndighet. Enligt uppgift från Polismyndigheten har någon direktåtkomst till uppbördsregistret inte medgetts. För det fall det skulle finnas behov av att medge direktåtkomst till uppgifterna kan det göras med stöd av bestämmelsen i 3 kap. 7 § polisens brottsdatalag, enligt vilken bl.a. Säkerhetspolisen, Kustbevakningen och Tullverket får medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga.
I 4 kap. i båda registerförfattningarna finns bestämmelser om längsta tid för behandling av olika kategorier av gemensamt tillgängliga uppgifter. Vad som i detta avseende bör gälla för uppgifter i ärenden om uppbörd behandlas i följande avsnitt.
12.6.5 Längsta tid för behandling
Regeringens förslag: I polisens brottsdatalag och Tullverkets brottsdatalag ska det införas bestämmelser om att personuppgifter i ett ärende om uppbörd inte får behandlas för ändamål inom registerförfattningens tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft eller strafföreläggandet eller föreläggandet av ordningsbot godkändes. Polismyndigheten ska dock få behandla personuppgifter som avser värdeförverkande eller företagsbot i tio år.
De föreslagna bestämmelserna ska även gälla för uppgifter om juridiska personer.
En överträdelse av de föreslagna bestämmelserna ska kunna medföra en administrativ sanktionsavgift.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Sveriges advokatsamfund är tveksamt till den föreslagna beloppsbegränsningen av sanktionsavgifterna, detta bl.a. med hänsyn till att det kan signalera att det anses avsevärt mindre allvarligt när myndigheter åsidosätter bestämmelserna än när det är fråga om andra aktörers åsidosättanden. Övriga remissinstanser yttrar sig inte över förslaget.
Skälen för regeringens förslag: Enligt huvudregeln i 2 kap. 17 § första stycket brottsdatalagen får personuppgifter inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Bestämmelsen kompletteras av bestämmelser i 4 kap. polisens brottsdatalag och 4 kap. Tullverkets brottsdatalag om hur länge olika kategorier av gemensamt tillgängliga uppgifter får behandlas. Eftersom registerförfattningarna hittills inte har omfattat någon form av straffverkställighet finns det inga bestämmelser som tar sikte på hur länge personuppgifter som behandlas i uppbördsverksamheten får behandlas.
I dag gäller en generell gallringsfrist på sex år enligt 19 § förordningen om register över strafförelägganden och 10 § förordningen om register över förelägganden av ordningsbot. Behovet av att behandla personuppgifter i uppbördsärenden bortfaller när böterna har betalats. I de fall böterna inte betalas finns det dock behov av att behandla uppgifterna så länge betalningsförpliktelsen gäller. Enligt 35 kap. 7 § brottsbalken bortfaller böter och utdömda viten som regel när fem år har gått från det att domen fick laga kraft eller föreläggandet godkändes. Samma preskriptionsfrist gäller för avgift enligt lagen om brottsofferfond (2 § den lagen). Beslut om förverkande och företagsbot förfaller som regel först om verkställighet inte har skett inom tio år från det att beslutet fick laga kraft (36 kap. 15 § brottsbalken).
Regeringen delar bedömningen i promemorian att preskriptionstiden bör styra hur länge personuppgifter i uppbördsärenden får behandlas. Det innebär att personuppgifter i ärenden om uppbörd inte bör få behandlas längre än fem år efter utgången av det kalenderår när domstolens avgörande fick laga kraft eller föreläggandet godkändes. Avser uppgifterna värdeförverkande eller företagsbot bör de dock få behandlas i tio år. Detta bör regleras i polisens och Tullverkets brottsdatalagar. Eftersom Tullverket inte hanterar uppbördsärenden där det förekommer värdeförverkande eller företagsbot finns emellertid inte behov av att föreskriva att sådana uppgifter får behandlas under längre tid än fem år i Tullverkets brottsdatalag.
Den nya bestämmelsen om längsta tid för behandling av personuppgifter i uppbördsärenden föranleder vissa följdändringar i registerförfattningarna. Enligt 1 kap. 6 § första stycket 4 polisens brottsdatalag och 1 kap. 4 § första stycket 4 Tullverkets brottsdatalag gäller bestämmelserna i 4 kap. i respektive lag om längsta tid som personuppgifter får behandlas också vid behandling av uppgifter om juridiska personer. Eftersom ärenden om uppbörd kan avse även juridiska personer bör bestämmelsen om hur länge personuppgifter får behandlas i ärenden om uppbörd gälla även för uppgifter om juridiska personer.
Överträdelse av bestämmelserna om längsta tid som personuppgifter får behandlas kan enligt 7 kap. 1 § första stycket 3 polisens brottsdatalag och 5 kap. 1 § första stycket 3 Tullverkets brottsdatalag föranleda sanktionsavgift. Även överträdelse av den föreslagna bestämmelsen om hur länge personuppgifter får behandlas i uppbördsärenden bör kunna föranleda sanktionsavgift. Vid överträdelser av bestämmelser om längsta tid för behandling på brottsdatalagens område gäller genomgående att sanktionsavgiften ska bestämmas till högst 10 000 000 kronor, oavsett om det är en myndighet eller annan som ansvarar för överträdelsen. Något skäl att vid nu aktuella överträdelser, som Sveriges advokatsamfund föreslagit, frångå denna beloppsbegränsning finns inte.
12.6.6 Uppbörd av viten
Regeringens bedömning: Behandlingen av personuppgifter vid uppbörd av viten inom dataskyddsförordningens tillämpningsområde bör styras av dataskyddsförordningen och dataskyddslagen.
Detta innebär att förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot bör upphävas.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Skaraborgs tingsrätt noterar att det ansetts att det finns behov av att införa en tidsbegränsning för behandlingen av personuppgifter i de ärenden om uppbörd som faller inom brottsdatalagens tillämpningsområde, men inte i de ärenden om uppbörd som faller utanför. Med hänsyn till att uppbördsregistret enligt promemorian inte kommer att innehålla uppgifter om för vilket eller vilka brott böterna har dömts ut, menar tingsrätten att det får antas att det inte på grund av de registrerade personuppgifternas känslighet finns skäl att tydligare reglera tidsbegränsningen för de uppbördsärenden som faller inom brottsdatalagens tillämpningsområde än för de som faller utanför. Tingsrätten anser att skillnaden i den föreslagna regleringen därför framstår som omotiverad. Övriga remissinstanser yttrar sig inte över bedömningen.
Skälen för regeringens bedömning
Regeringen har i avsnitt 12.4 bedömt att personuppgiftsbehandlingen vid uppbörd av de flesta viten inte omfattas av brottsdatalagen utan av dataskyddsförordningen. Vid sådan behandling blir alltså förordningen och de kompletterande bestämmelserna i dataskyddslagen tillämpliga. Frågan är om den regleringen är tillräcklig eller om det behövs ytterligare kompletterande bestämmelser.
Rättslig grund för behandling av personuppgifter
Som redogjorts för i avsnitt 5.2 anses all verksamhet som myndigheter bedriver, inom ramen för sin befogenhet, vara av allmänt intresse. Av 2 kap. 2 § dataskyddslagen följer att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av bl.a. lag eller annan författning.
I 1 § bötesverkställighetslagen föreskrivs att böter verkställs genom uppbörd eller indrivning och att lagens bestämmelser om böter även gäller vite. Hur uppbörd går till och när det får ske regleras i den lagen och i bötesverkställighetsförordningen. Att det är Polismyndigheten som är uppbördsmyndighet framgår av 3 § bötesverkställighetsförordningen.
Genom denna reglering har Polismyndigheten, i lag och förordning, ålagts en uppgift av allmänt intresse. Det finns därmed en rättslig grund enligt artikel 6.1 e dataskyddsförordningen för Polismyndighetens personuppgiftsbehandling i samband med uppbörd av vite.
Någon kompletterande reglering av behandlingen av personuppgifter behövs inte
Som vidare redogjorts för i avsnitt 5.2 finns det, förutom det grundläggande kravet på rättslig grund, ytterligare krav som varje behandling av personuppgifter måste uppfylla för att vara tillåten. Dessa anges bl.a. i artikel 5.1 i dataskyddsförordningen, som i huvudsak motsvarar de grundläggande krav på behandlingen som finns i 2 kap. brottsdatalagen. I sammanhanget finns skäl att särskilt nämna kraven på att personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (led b) och att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till det ändamål för vilka de behandlas (led c). Regeringen bedömer att dessa bestämmelser, på samma sätt som när det gäller motsvarande bestämmelser i brottsdatalagen (se avsnitt 12.6.2), är tillräckliga för att styra personuppgiftsbehandlingen i samband med uppbörd av vite.
Personuppgifter får enligt artikel 5.1 e dataskyddsförordningen inte förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. I avsnitt 12.6.5 har regeringen föreslagit att motsvarande bestämmelse i 2 kap. 17 § första stycket brottsdatalagen ska kompletteras av bestämmelser om längsta tid för behandling i polisens brottsdatalag och Tullverkets brottsdatalag. Skaraborgs tingsrätt har påtalat att uppbördsregistret inte kommer att innehålla uppgifter om för vilket eller vilka brott som böter dömts ut och att det därför inte finns skäl att tydligare reglera tidsbegränsningen för de uppbördsärenden som faller inom brottsdatalagens tillämpningsområde än för de som faller utanför. Regeringen instämmer i och för sig i att det inte med hänvisning till personuppgifternas känslighet finns skäl för att reglera frågan om längsta tid för behandling olika beroende på om behandlingen omfattas av brottsdatalagen eller inte. Med hänsyn till att relativt få uppbördsärenden rör viten är det emellertid inte rimligt att införa en särreglering bara för att kunna reglera hur länge personuppgifterna får behandlas i dessa ärenden. Vid bedömningen av hur länge det kan anses nödvändigt att behandla personuppgifterna kan ledning i stället hämtas i den bestämmelse om längsta tid för behandling i polisens brottsdatalag som gäller för övriga uppbördsärenden. Tiden för behandling i den bestämmelsen utgår från preskriptionstiden för betalningsförpliktelsen. Viten preskriberas fem år efter det att domen eller beslutet fick laga kraft. Längre tid än så bör uppgifter i uppbördsärenden som rör vite aldrig behöva behandlas.
Sammanfattningsvis är dataskyddsförordningen och dataskyddslagen tillräckliga för att styra Polismyndighetens personuppgiftsbehandling i samband med uppbörd av viten. Någon ytterligare reglering behövs inte.
Förordningarna om register över strafförelägganden och register över förelägganden av ordningsbot bör upphävas
Regeringen har i avsnitt 12.5.1 konstaterat att förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot bör upphävas i de delar som gäller registrering av förelägganden. En följd av förslagen att personuppgiftsbehandlingen vid uppbörd ska styrs av brottsdatalagen och registerförfattningarna (se avsnitt 12.6.1) respektive dataskyddsförordningen med kompletterande lagstiftning blir att förordningarna bör upphävas även i de delar som gäller uppbörd av böter. Förordningarna bör därmed upphävas helt.
12.6.7 Sekretess
Regeringens förslag: Bestämmelsen i offentlighets- och sekretesslagen om sekretess till skydd för den enskilde i viss verksamhet som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen, ska ändras så att sekretess även gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i verksamhet som syftar till att verkställa uppbörd.
Regeringens bedömning: Ingen särskild sekretessbrytande bestämmelse behöver införas som en följd av den föreslagna ändringen i offentlighets- och sekretesslagen.
Promemorians förslag och bedömning överensstämmer delvis med regeringens. I promemorian föreslås att sekretessen ska gälla om uppgiften förekommer i verksamhet som syftar till att verkställa straffrättsliga påföljder.
Remissinstanserna: Riksdagens ombudsmän och Svenska Journalistförbundet påtalar att den föreslagna utformningen av sekretessbestämmelsen innebär att denna kommer att träffa all straffverkställighet som de i bestämmelsen angivna myndigheterna bedriver och att det i promemorian inte redovisas några skäl till varför även andra uppgifter än de i uppbördsverksamheten ska omfattas eller vilka följder en sådan förändring kan få. Journalistförbundet, som även menar att den föreslagna regleringen passar dåligt in i offentlighets- och sekretesslagens systematik, avstyrker förslaget medan Riksdagens ombudsmän anser att frågorna bör utredas om regeringen avser att gå vidare med förslaget. Förvaltningsrätten i Malmö är tveksam till resonemanget att 10 kap. 2 § offentlighets- och sekretesslagen kan användas som stöd för ett regelmässigt uppgiftslämnande från Polismyndigheten till Kronofogdemyndigheten i samband med indrivning. Förvaltningsrätten påtalar även att det i promemorian saknas en analys av om det överhuvudtaget behövs en sekretessbrytande bestämmelse, som förvaltningsrätten uppfattar det är innehållet i ett verkställbart strafföreläggande eller en ordningsbot inte sekretessreglerat, samt en analys av om bestämmelsen i indrivningsförordningen (1993:1229) om vilka uppgifter som ska lämnas till Kronofogdemyndigheten i samband med en begäran om indrivning, i kombination med 6 § bötesverkställighetslagen, är en sådan sekretessbrytande uppgiftsskyldighet som avses i 10 kap. 28 § offentlighets- och sekretesslagen. Sveriges advokatsamfund påpekar att det kan tänkas att de berörda myndigheterna väljer informationstekniska lösningar för behandlingen av de aktuella personuppgifterna som innebär att någon utomstående, t.ex. en extern leverantör av tjänster, sköter informationshanteringen. Enligt samfundet blir det svårt att genomföra en sådan lösning utan att de aktuella personuppgifterna kommer att anses utlämnade till leverantörerna. Samfundet anser därför att problematiken med att uppgifter som omfattas av sekretess med ett omvänt skaderekvisit kan komma att lämnas ut för behandling av en extern leverantör inte i tillräcklig grad har beaktats i promemorian.
Skälen för regeringens förslag och bedömning
Nuvarande reglering
I 35 kap. offentlighets- och sekretesslagen regleras sekretess till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott m.m. Sekretessen enligt 35 kap. 1 § skyddar enskilds personliga och ekonomiska förhållanden. Sekretessen avser enligt första stycket 4 uppgifter som, utan att direkt hänföra sig till förundersökning eller tvångsmedel i brottmål, gäller Åklagarmyndighetens, Ekobrottsmyndighetens, Polismyndighetens, Säkerhetspolisens, Skatteverkets, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. Sekretessen gäller om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men. Genom bestämmelsen är det möjligt att hemlighålla uppgifter som mer allmänt hänför sig till de uppräknade myndigheternas brottsbekämpande verksamhet. Den är bl.a. tillämplig på sådana personregister som förs av Polismyndigheten och som inte omfattas av särskilda bestämmelser i kapitlet och på sådan automatiserad behandling som inte sker i registerform (Offentlighets- och sekretesslagen - En kommentar, Eva Lenberg, Ulrika Geijer och Anna Tansjö, supplement 16, juli 2017, s. 35:1:4-35:1:5). Enligt punkterna 5 och 6 i samma stycke gäller sekretess för uppgifter i register som förs av Polismyndigheten enligt 5 kap. polisens brottsdatalag och enligt lagen (1998:621) om misstankeregister. Register som förs av Tullverket enligt Tullverkets brottsdatalag eller som annars behandlas där med stöd av samma lag omfattas av sekretess enligt punkten 9.
Bestämmelser om sekretess för vissa andra av polisens register än de som anges i 35 kap. 1 § finns i 35 kap. 3 och 4 §§. Sekretessen enligt dessa paragrafer är absolut, vilket innebär att uppgifterna ska hemlighållas utan någon skadeprövning om uppgifterna begärs ut. I 3 § regleras sekretessen för belastningsregistret. I 4 § regleras sekretessen för bl.a. register över strafföreläggande och föreläggande av ordningsbot. Sekretess gäller dock inte i ärende om strafföreläggande eller föreläggande av ordningsbot.
Sekretessens styrka
Sekretessen enligt 35 kap. 4 § första stycket 1 offentlighets- och sekretesslagen gäller för uppgift som har tillförts ett särskilt register som förs över strafföreläggande och föreläggande av ordningsbot. Det innebär att uppgifter i ärenden om uppbörd som gäller böter som dömts ut av domstol inte omfattas av sekretess enligt bestämmelsen. Något skäl till den skillnaden finns inte. Regleringen av sekretess för uppgifter i uppbördsverksamheten bör vara densamma oavsett vilken typ av avgörande som har föranlett ärendet.
Uppgifter i belastningsregistret är föremål för absolut sekretess, eftersom uppgifter om lagöverträdelser anses så integritetskänsliga att de inte bör lämnas ut. Med hänsyn till att även register över strafföreläggande och föreläggande av ordningsbot innehåller uppgifter om lagöverträdelser skyddas även dessa uppgifter av absolut sekretess. När det inte längre förs ett sammanhållet register över förelägganden av ordningsbot utan man skiljer mellan register över utfärdade förelägganden och register över uppbörd finns det skäl att överväga om den absoluta sekretessen för uppbördsregister bör behållas.
Som framgår av avsnitt 12.6.2 ska uppbördsregistret inte innehålla några uppgifter om för vilket eller vilka brott böterna har dömts ut. Förekomsten i registret visar i och för sig att någon har gjort sig skyldig till en lagöverträdelse, men eftersom det inte ska framgå vilken överträdelse det är fråga om kan det ifrågasättas om registret numera är att jämställa med belastningsregistret. Det ligger enligt regeringen närmare till hands att jämföra uppgifterna i Polismyndighetens och Tullverkets uppbördsverksamhet med uppgifterna i Kronofogdemyndighetens indrivningsverksamhet. Enligt 34 kap. 2 § offentlighets- och sekretesslagen gäller sekretess i verksamhet som avser förande av eller uttag ur utsöknings- eller indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men. Sekretessen i indrivningsverksamheten gäller alltså med samma styrka som sekretessen i brottsbekämpande verksamhet.
Absolut sekretess bör endast användas i undantagsfall för att skydda särskilt integritetskänsliga uppgifter. Trots att sekretessen i dag är absolut och att det inte framkommit några avgörande invändningar mot att behålla den ordningen delar regeringen bedömningen i promemorian att sekretessen för uppgifter i uppbördsverksamheten bör ha samma styrka som för uppgifter i den brottsbekämpande verksamheten och i Kronofogdemyndighetens indrivningsverksamhet. Sekretess bör därför gälla om det inte står klart att uppgifterna kan lämnas ut utan skada eller men för den enskilde eller närstående till honom eller henne.
Sveriges advokatsamfund har i sammanhanget påtalat att det kan föreligga en problematik om uppgifter som omfattas av sekretess med ett s.k. omvänt skaderekvisit behöver lämnas ut för behandling av en extern leverantör. Regeringen konstaterar emellertid att frågor om hur Polismyndigheten tekniskt bör hantera de personuppgifter som föreslås omfattas av sekretessbestämmelsen, exempelvis vilka system som bör användas eller om externa leverantörer bör anlitas, inte kan behandlas i detta lagstiftningsärende. Som Sveriges advokatsamfund också noterar i sitt yttrande har bl.a. frågor av det slag som samfundet lyfter behandlats av Digitaliseringsrättsutredningen, vars betänkande (SOU 2018:25) för närvarande bereds i regeringskansliet.
Sekretessens räckvidd
Sekretess till skydd för enskild i brottsbekämpande verksamhet regleras som nyss nämnts framför allt i 35 kap. 1 § offentlighets- och sekretesslagen. Det finns inget som hindrar att även straffverkställighet omfattas av bestämmelsen. Till skillnad från Svenska Journalistförbundet anser regeringen alltså inte att en sådan placering skulle strida mot systematiken i offentlighets- och sekretesslagen. 35 kap. i lagen innehåller redan idag ett flertal bestämmelser om sekretess för uppgifter som hanteras efter det att lagföring skett, exempelvis 3 § om uppgifter i verksamhet som avser förande av eller uttag ur belastningsregistret.
Punkten 5 gäller uppgifter som behandlas i register som Polismyndigheten för enligt 5 kap. polisens brottsdatalag eller som annars behandlas med stöd av de bestämmelserna. Enligt förarbetena till den ändring av bestämmelsen som gjordes i samband med polisens omorganisation är det register över dna-profiler, signalements- och fingeravtrycksregister, penningtvättsregister och det internationella registret och den behandling som sker i registren som avses (propositionen En ny organisation för polisen, prop. 2013/14:110, s. 643). Den omfattar alltså inte uppgifter som i övrigt behandlas enligt polisens brottsdatalag.
Det finns en motsvarande bestämmelse för Tullverket, punkt 9, som gäller register som förs av Tullverket enligt Tullverkets brottsdatalag eller som annars behandlas där med stöd av lagen. Eftersom det inte finns några särskilt reglerade register i Tullverkets brottsdatalag torde sekretessen enligt den punkten gälla för alla uppgifter som behandlas enligt lagen, dvs. även uppgifter i ärenden om uppbörd när lagen nu föreslås styra även sådan behandling.
För Polismyndighetens del framstår det som mest lämpligt att göra ett tillägg i punkten 4, eftersom den bestämmelsen bl.a. är tillämplig på sådana register som förs av Polismyndigheten och som inte regleras särskilt i polisens brottsdatalag. I promemorian föreslås att sekretessen ska gälla i verksamhet som syftar till att verkställa straffrättsliga påföljder. Som Riksdagens ombudsmän och Svenska Journalistförbundet har påtalat kommer en sådan utformning av sekretessbestämmelsen emellertid innebära att denna även träffar annan straffverkställighet än verkställighet av uppbörd. I vart fall kommer detta gälla Åklagarmyndighetens hantering av frågor om yttranden om rättspsykiatrisk vård och utfärdande av arresteringsorder som rör straffverkställighet (prop. 2017/18:269 s. 357). Regeringen delar nämnda remissinstansers uppfattning att tillräckligt underlag för att nu föreslå en sådan utvidgning av sekretessbestämmelsen saknas. I stället bör sekretessen gälla endast i verksamhet som syftar till att verkställa uppbörd (jfr de i avsnitt 12.6.1 föreslagna ändringarna av bestämmelserna om tillämpningsområdena för polisens brottsdatalag och Tullverkets brottsdatalag).
Finns det behov av en sekretessbrytande bestämmelse?
Som konstateras i promemorian måste Polismyndigheten, trots den föreslagna sekretessen, kunna lämna ut uppgifter till Åklagarmyndigheten, Ekobrottsmyndigheten, Tullverket och Kustbevakningen när uppgifterna kan vara av betydelse i ett ärende hos den mottagande myndigheten. Dessutom måste uppgifter kunna lämnas till Kronofogdemyndigheten i samband med begäran om indrivning.
Enligt 2 kap. 8 § polisens brottsdatalag har Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket rätt att, trots sekretess enligt 35 kap. 1 § offentlighets- och sekretesslagen, ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna för något av de syften som anges i 1 kap. 2 § brottsdatalagen. Eftersom förslaget innebär att uppgifter i ärenden om uppbörd får göras gemensamt tillgängliga och att sekretessen för uppgifter i verksamhet för att verkställa uppbörd ska regleras i 35 kap. 1 § offentlighets- och sekretesslagen finns det inte behov av att införa någon sekretessbrytande bestämmelse i förhållande till de brottsbekämpande myndigheterna.
Böter ska enligt 6 § bötesverkställighetslagen lämnas för indrivning om uppbörd inte ska ske eller om uppbörd inte har lett till full betalning. I promemorian görs bedömningen att bestämmelsen i 10 kap. 2 § offentlighets- och sekretesslagen - som säger att sekretess inte hindrar att en uppgift lämnas till en annan myndighet om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet - innebär att det inte heller behöver införas någon särskild sekretessbrytande bestämmelse för att Polismyndigheten ska kunna lämna böter till Kronofogdemyndigheten för indrivning. Som Förvaltningsrätten i Malmö påtalat är bestämmelsen i 10 kap. 2 § offentlighets- och sekretesslagen emellertid avsedd att användas mycket restriktivt (regeringens proposition med förslag till sekretesslag m.m., prop. 1979/80:2, s. 465 och 494). Regeringen delar därför förvaltningsrättens uppfattning att det är tveksamt om bestämmelsen kan användas som stöd för ett regelmässigt uppgiftslämnande från Polismyndigheten till Kronofogdemyndigheten i samband med indrivning.
Förvaltningsrätten i Malmö har vidare påtalat att det av indrivningsförordningen framgår vilka uppgifter som ska lämnas till Kronofogdemyndigheten i samband med en begäran om indrivning samt att promemorian saknar en analys av om denna reglering i kombination med 6 § bötesverkställighetslagen är en sådan sekretessbrytande uppgiftsskyldighet som avses i 10 kap. 28 § offentlighets- och sekretesslagen.
Av 10 kap. 28 § första stycket offentlighets- och sekretesslagen framgår att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Enligt 6 § bötesverkställighetslagen ska böter lämnas till indrivning om uppbörd inte ska ske eller om uppbörd inte har lett till full betalning. I 6 § bötesverkställighetsförordningen förtydligas att Polismyndigheten ska begära indrivning av dels obetalda böter som har ålagts genom allmän domstols lagakraftvunna dom eller slutliga beslut eller genom godkänt föreläggande och som varit föremål för uppbörd, dels böter som har ålagts genom allmän domstols lagakraftvunna dom eller slutliga beslut och som undantagits från uppbörd enligt 3 §. Av 6 § indrivningsförordningen framgår slutligen vilka uppgifter som en ansökan om indrivning ska innehålla. Tillsammans innebär dessa bestämmelser i lag och förordning att Polismyndigheten ålagts en uppgiftsskyldighet. I den mån de omfattas av sekretess, kan de uppgifter som Polismyndigheten ska lämna till Kronofogdemyndigheten i samband med begäran om indrivning därför lämnas med stöd av 10 kap. 28 § offentlighets- och sekretesslagen. Detta innebär att det inte heller för sådant uppgiftslämnande behöver införas någon särskild sekretessbrytande bestämmelse.
13 Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Författningsändringarna ska träda i kraft den 30 juni 2019.
Regeringens bedömning: Det behövs inte några särskilda övergångsbestämmelser.
Promemoriornas förslag: Överensstämmer inte med regeringens. I Ds 2017:58 föreslås att ändringar i bestämmelser som rör brottsdatalagens tillämpningsområde ska träda i kraft den 1 maj 2018, att ändringar i bestämmelser som endast rör dataskyddsförordningens tillämpningsområde ska träda i kraft den 25 maj 2018 samt att de förra bestämmelserna ska vara tillämpliga i sin tidigare lydelse fram till den 25 maj 2018 på personuppgiftsbehandling som inte omfattas av brottsdatalagens tillämpningsområde. I Ds 2018:3 föreslås att ändringarna ska träda i kraft den 1 januari 2019.
Remissinstanserna: Ingen remissinstans invänder mot promemoriornas förslag.
Skälen för regeringens förslag och bedömning: Dataskyddsförordningen började tillämpas den 25 maj 2018 och brottsdatalagen, som genomför dataskyddsdirektivet, trädde i kraft den 1 augusti 2018. Merparten av de nu aktuella registerförfattningarna ska både komplettera förordningen och gälla utöver brottsdatalagen. Övriga ska antingen komplettera förordningen eller gälla utöver brottsdatalagen. Författningsändringarna bör därför träda i kraft så snart som möjligt. Regeringen föreslår mot den bakgrunden att de ska träda i kraft den 30 juni 2019.
Eftersom samtliga författningsändringar föreslås träda i kraft samtidigt saknas behov av övergångsbestämmelser av det slag som föreslås i Ds 2017:58. Även i övrigt saknas behov av övergångsbestämmelser.
14 Konsekvenser av förslagen
Regeringens bedömning: Förslagen kan medföra marginellt ökade kostnader för berörda myndigheter. Dessa kostnader ryms inom befintliga anslag.
Förslagen medför i sig ingen förändring av skyddet för enskildas personliga integritet.
Förslagen har inte några konsekvenser för de berörda myndigheternas verksamhet eller för brottsbekämpningen. Förslagen har inte heller någon påverkan på jämställdheten mellan kvinnor och män. De medför inte några sociala eller miljömässiga konsekvenser.
Promemoriornas bedömning överensstämmer i sak med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot promemoriornas bedömning.
Skälen för regeringens bedömning: Inledningsvis kan det konstateras att varken konsekvenserna av dataskyddsförordningens direkt tillämpliga bestämmelser eller av brottsdatalagens bestämmelser analyseras inom ramen för propositionen.
När det gäller konsekvenserna av de förslag som läggs fram ska det först framhållas att det huvudsakliga syftet är att föreslå de anpassningar som är nödvändiga med anledning av den nya dataskyddsregleringen. Det innebär att merparten av bestämmelserna i de behandlade författningarna kvarstår oförändrade och att flera bestämmelser anpassas till dataskyddsförordningen och brottsdatalagen utan att det sakliga innehållet förändras på ett avgörande sätt. Framför allt i de delar som avser regleringen om registrering och uppbörd av böter innebär förslagen emellertid förändringar, i form av förenklingar, som går utöver vad som är rena anpassningar till den nya dataskyddsregleringen. I de fall förslagen innebär materiella förändringar medför detta inte att det ställs några nya krav på de berörda myndigheterna.
Även om förslagen alltså inte medför några krav på förändringar av personuppgiftsbehandlingen hos myndigheterna, krävs dock initialt en viss anpassning hos dessa för att sätta sig in i den nya regleringens utformning och struktur. Förslaget att ändra tillämpningsområdet för polisens brottsdatalag, så att denna även omfattar Polismyndighetens personuppgiftsbehandling i syfte att verkställa uppbörd, innebär vidare att även denna behandling kommer att omfattas av Säkerhets- och integritetsskyddsnämndens tillsyn. På dessa sätt kan förslagen medföra marginellt ökade kostnader för de berörda myndigheterna. Skulle sådana kostnader uppstå är det regeringens bedömning att dessa ryms inom befintliga anslag. Förslagen bedöms inte ha några ekonomiska konsekvenser för enskilda.
En avsikt med EU:s dataskyddsreform är att stärka skyddet för den personliga integriteten vid personuppgiftsbehandling. I den mån sådana effekter uppnås är detta emellertid en konsekvens av de allmänna bestämmelserna om personuppgiftsbehandling i dataskyddsförordningen och brottsdatalagen, snarare än de förslag till ändringar av registerförfattningar som behandlas i denna proposition. Förslagen kan därför inte sägas medföra någon förändring av skyddet för enskildas personliga integritet.
I övrigt görs bedömningen att förslagen inte har några konsekvenser för de berörda myndigheternas verksamhet eller för brottsbekämpningen. De bedöms inte heller ha någon påverkan på jämställdheten mellan kvinnor och män eller få några sociala eller miljömässiga konsekvenser.
15 Författningskommentar
15.1 Förslaget till kustbevakningsdatalag
Lagen är ny, men innehållet motsvarar i stora delar innehållet i 1, 2 och 5 kap. kustbevakningsdatalagen (2012:145) i lagens utformning före genomförandet av dataskyddsdirektivet (här kallad 2012 års kustbevakningsdatalag). Genomförandet av dataskyddsdirektivet innebar att 2012 års kustbevakningsdatalag upphävdes den 1 januari 2019. Samma dag trädde en ny lag i kraft: lagen om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område (Kustbevakningens brottsdatalag). Den lagen har renodlats så att den enbart omfattar personuppgiftsbehandling inom brottsdatalagens tillämpningsområde (se vidare prop. 2017/18:269). I den nya lagen finns i stället de bestämmelser som reglerar Kustbevakningens personuppgiftsbehandling inom dataskyddsförordningens tillämpningsområde.
I förhållande till 1, 2 och 5 kap. i 2012 års kustbevakningsdatalag har kustbevakningsdatalagen anpassats till dataskyddsförordningen och dataskyddslagen, vilket innebär att några nya paragrafer tillkommit och vissa andra har utgått.
I övrigt har paragraferna fått en delvis ny inbördes placering och lagen är inte längre kapitelindelad. Med hänsyn till detta har några nya rubriker tillkommit och vissa andra har utgått. Dessa förändringar är endast redaktionella och är inte avsedda att göra någon saklig skillnad vid tillämpningen.
Lagens syfte
1 §
Paragrafen anger lagens syfte. Den motsvarar 1 kap. 1 § i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 191). Övervägandena finns i avsnitt 7.4.2.
Lagens tillämpningsområde
2 §
Paragrafen anger lagens tillämpningsområde. Övervägandena finns i avsnitt 7.4.1.
Paragrafens första stycke motsvarar i huvudsak 1 kap. 2 § första stycket i 2012 års kustbevakningsdatalag. Skillnaden är att första punkten i den bestämmelsen - brottsbekämpning - har utgått. Personuppgiftsbehandling som behövs för Kustbevakningens brottsbekämpande verksamhet regleras i stället av Kustbevakningens brottsdatalag.
Även viss personuppgiftsbehandling i Kustbevakningens operativa verksamhet som rör sjöövervakning kan omfattas av Kustbevakningens brottsdatalag. Begreppet sjöövervakning omfattar nämligen bl.a. åtgärder som syftar till att upprätthålla allmän ordning och säkerhet. Av andra stycket framgår emellertid att lagen inte gäller vid sådan behandling av personuppgifter som omfattas av Kustbevakningens brottsdatalag. En utförlig redogörelse för vad som avses med upprätthållande av allmän ordning och säkerhet när det gäller Kustbevakningens verksamhet finns i prop. 2017/18:269 s. 189-191.
Liksom tidigare gäller att tillämpningsområdet för lagen endast omfattar operativ verksamhet. Behandling som rör annat än operativ verksamhet, såsom interna och administrativa åtgärder inom myndigheten, exempelvis i personal- och löneregister, omfattas inte av lagen. För sådan behandling tillämpas i stället dataskyddsförordningen och dataskyddslagen.
Av tredje stycket framgår att lagen endast gäller helt eller delvis automatiserad behandling eller behandling av personuppgifter som ingår i, eller är avsedda att ingå i, en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Begreppet personuppgifter definieras i artikel 4.1 i dataskyddsförordningen. Helt manuell behandling av personuppgifter som inte heller ingår i, eller är avsedda att ingå i, en sådan strukturerad samling som anges i bestämmelsen omfattas inte av lagen.
Förhållandet till annan reglering
3 §
I paragrafen anges lagens förhållande till dataskyddsförordningen. Övervägandena finns i avsnitt 7.4.1.
I paragrafen upplyses om att lagen kompletterar dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Denna lag innehåller de kompletterande bestämmelser som gäller i den verksamhet som anges i 2 §.
Hänvisningarna i lagen till dataskyddsförordningen är dynamiska, dvs. de avser förordningen i dess vid varje tidpunkt gällande lydelse.
4 §
Paragrafen upplyser om hur lagen förhåller sig till dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen. Övervägandena finns i avsnitt 7.4.1.
Paragrafen klargör att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt denna lag. Detta gäller dock endast om inte något annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen.
Lagens tillämpning på juridiska personer
5 §
Paragrafen anger vilka bestämmelser i lagen som också ska tillämpas på juridiska personer. Övervägandena finns i avsnitt 7.4.1.
Paragrafen motsvarar i sak 1 kap. 3 § i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 192), med det tillägget att den även hänvisar till den ändamålsbestämmelse som möjliggör behandling som är nödvändig för diarieföring eller för handläggning när uppgifter lämnats i en anmälan eller liknande (8 §). Hänvisningarna till 3 och 4 kap. i 2012 års kustbevakningsdatalag har dock ingen motsvarighet i bestämmelsen, eftersom den nya lagen inte omfattar sådan personuppgiftsbehandling som regleras i dessa kapitel.
Personuppgiftsansvar
6 §
Paragrafen, som motsvarar 2 kap. 4 § i 2012 års kustbevakningsdatalag, anger att Kustbevakningen är personuppgiftsansvarig. Vad personuppgiftsansvar innebär framgår av artikel 4 i dataskyddsförordningen. Övervägandena finns i avsnitt 7.4.2.
Ändamål
7 §
Paragrafen reglerar primära ändamål för vilka personuppgifter får behandlas. Den motsvarar 5 kap. 1 § första stycket i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 219-221). Angående tolkningen av begreppet nödvändigt, se prop. 2017/18:105 s. 46 f. Övervägandena finns i avsnitt 7.4.3.
8 §
Paragrafen ger möjlighet att behandla personuppgifter i två speciella fall, även om förutsättningarna för behandling enligt 7 § inte föreligger. Den motsvarar i sak 2 kap. 6 § i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 199 f.). Övervägandena finns i avsnitt 7.4.3.
9 §
Paragrafen reglerar sekundära ändamål för vilka personuppgifter får behandlas. Den motsvarar i sak 5 kap. 2 § första stycket i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 221 f.). Övervägandena finns i avsnitt 7.4.3.
10 §
Paragrafen reglerar ytterligare sekundära ändamål för vilka personuppgifter får behandlas. Den motsvarar 5 kap. 2 § andra stycket i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 222). Övervägandena finns i avsnitt 7.4.3.
11 §
Paragrafen reglerar behandling av personuppgifter för andra ändamål än de som anges i 7 §. Övervägandena finns i avsnitt 7.4.3.
Paragrafen avser, liksom den tidigare bestämmelsen i 5 kap. 2 § tredje stycket i 2012 års kustbevakningsdatalag, att tydliggöra att de sekundära ändamålen inte är uttömmande angivna. Bestämmelsen, som är ett uttryck för den s.k. finalitetsprincipen, är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bl.a. att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen av om behandlingen är förenlig med insamlingsändamålen.
Behandling av känsliga personuppgifter
12 §
Paragrafen avser behandling av känsliga personuppgifter. Övervägandena finns i avsnitt 7.4.4.
Som utgångspunkt får känsliga personuppgifter inte behandlas, något som följer direkt av artikel 9.1 i dataskyddsförordningen.
Bestämmelsen innehåller undantag från detta förbud. I bestämmelsen anges dels att om personuppgifter redan behandlas får de kompletteras med känsliga personuppgifter om detta är absolut nödvändigt för syftet med behandlingen, dels att känsliga personuppgifter också får behandlas med stöd av 8 §. Bestämmelsen motsvarar i sak 2 kap. 7 § andra stycket i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 200 f.).
13 §
Paragrafen avser sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Bestämmelsen motsvarar i sak 5 kap. 4 § i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 222 f.) Övervägandena finns i avsnitt 7.4.4.
I paragrafens första stycke finns ett sökförbud beträffande känsliga personuppgifter som överensstämmer med 3 kap. 3 § andra stycket dataskyddslagen och 2 kap. 14 § brottsdatalagen och som ska tillämpas på samma sätt (prop. 2017/18:105 s. 195 och prop. 2017/18:232 s. 448).
I paragrafens andra stycke framgår att uppgifter som beskriver en persons utseende får användas som sökbegrepp.
Uppgifter som beskriver en persons utseende
14 §
I paragrafen anges krav på hur uppgifter som beskriver en persons utseende ska utformas. Bestämmelsen motsvarar 2 kap. 7 § tredje stycket i 2012 års kustbevakningsdatalag och 2 kap. 7 § andra stycket brottsdatalagen (prop. 2011/12:45 s. 201 och prop. 2017/18:232 s. 444). Syftet med bestämmelsen är att förhindra att personers utseende beskrivs i ordalag som kan vara kränkande för individen. Övervägandena finns i avsnitt 7.4.4.
Tillgången till personuppgifter
15 §
Paragrafen, som har placerats i enlighet med Lagrådets förslag, avser interna begränsningar av tillgången till personuppgifter. Bestämmelsen motsvarar 2 kap. 3 § i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 198). Övervägandena finns i avsnitt 7.4.2.
I andra stycket har en redaktionell ändring gjorts i förhållande till bestämmelsen i 2012 års lag på så sätt att en hänvisning till 8 kap. 7 § regeringsformen har lagts till.
16 §
I paragrafen, som har placerats i enlighet med Lagrådets förslag, regleras vilka personuppgifter som får göras gemensamt tillgängliga samt vad som avses med "gemensamt tillgängliga". Övervägandena finns i avsnitt 7.4.2.
Första stycket motsvarar i sak 5 kap. 1 § andra stycket i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 221).
Andra stycket motsvarar 1 kap. 4 § i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 192 f.).
Utlämnande av personuppgifter
17 §
Paragrafen upplyser om regeringens möjlighet att föreskriva sekretessbrytande bestämmelser. Bestämmelsen motsvarar delvis 5 kap. 6 § i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 224). Övervägandena finns i avsnitt 7.4.5.
En redaktionell ändring har gjorts, se kommentaren till 15 §.
18 §
Av paragrafen framgår att direktåtkomst är tillåtet bara i den utsträckning som följer av 20-22 §§ i lagen. Bestämmelsen motsvarar i sak 2 kap. 9 § i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 201 f.). Övervägandena finns i avsnitt 7.4.5.
19 §
Paragrafen reglerar annat elektroniskt utlämnande av personuppgifter än genom direktåtkomst, som regleras särskilt i 21-24 §§. Övervägandena finns i avsnitt 7.4.5.
Med elektroniskt utlämnande avses bl.a. utlämnande genom e-post eller annan elektronisk överföring eller utlämnande på ett usb-minne eller annat motsvarande medium.
Bestämmelsens första stycke motsvaras av 2 kap. 8 § första stycket första meningen Kustbevakningens brottsdatalag och är avsett att tillämpas på samma sätt som den bestämmelsen. I författningskommentaren till den bestämmelsen redogörs för vad som ska beaktas vid prövningen av om ett elektroniskt utlämnande är olämpligt, se prop. 2017/18:269 s. 336.
I bestämmelsens andra stycke upplyses om att regeringen kan meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst. Detta motsvarar 2 kap. 9 § 2 Kustbevakningens brottsdatalag.
Direktåtkomst
20 §
Paragrafen innehåller bestämmelser om vilka personuppgifter som direktåtkomst får avse. Vad som avses med "gemensamt tillgängliga uppgifter" framgår av 16 § andra stycket. Bestämmelsen motsvarar delar av 5 kap. 5 § i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 223). Övervägandena finns i avsnitt 7.4.5.
21 §
Paragrafen, som har utformats och placerats i enlighet med Lagrådets förslag, innehåller upplysningar om möjligheterna att meddela föreskrifter om direktåtkomst. Övervägandena finns i avsnitt 7.4.5.
I första stycket upplyses om att regeringen kan meddela föreskrifter om direktåtkomst. Bestämmelsen motsvarar i sak delar av 5 kap. 5 § i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 223).
I andra stycket upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om omfattningen av direktåtkomst och om behörighet och säkerhet. Bestämmelsen motsvarar 5 kap. 5 § tredje stycket i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 223).
Redaktionella ändringar har gjorts, se kommentaren till 17 §.
22 §
Paragrafen avser begränsningar av tillgången till personuppgifter hos den som medgetts direktåtkomst. Bestämmelsen motsvarar delar av 5 kap. 5 § i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 223). Övervägandena finns i avsnitt 7.4.5.
Information till den registrerade
23 §
I paragrafen finns bestämmelser om undantag från informationsskyldigheten enligt artikel 13 i dataskyddsförordningen (jfr 2 kap. 2 § i 2012 års kustbevakningsdatalag). Övervägandena finns i avsnitt 7.4.6.
Artikel 13 i dataskyddsförordningen reglerar vilken information som den personuppgiftsansvarige ska lämna till den registrerade, när personuppgifter samlas in från den registrerade själv. Bestämmelsen innehåller två undantag från denna informationsskyldighet. För det första behöver information enligt artikel 13 inte lämnas om uppgifterna samlas in genom bild- eller ljudupptagning, såvida behandlingen i övrigt inte innebär en direkt identifiering av en person. För det andra behöver inte information lämnas om uppgifterna samlas in i samband med ett larm och det med hänsyn till omständigheterna inte finns tid att lämna information. Med larm avses en brådskande begäran om att Kustbevakningen omedelbart ska vidta en åtgärd av något slag. Bestämmelsen tar sikte på såväl de situationer där en person kontaktar Kustbevakningens ledningscentral som när han eller hon vänder sig till en enskild tjänsteman. Huruvida det finns tid att lämna information får avgöras från fall till fall. Avgörande för denna bedömning bör främst vara om ett lämnande av information skulle medföra en försening av den efterfrågade åtgärden eller om denna åtgärd på något annat sätt skulle påverkas negativt av att informationen lämnades. Om undantaget från informationsplikten är tillämpligt, behöver informationen inte heller lämnas i efterhand.
Bevarande och gallring
24 §
Paragrafen motsvarar i sak 5 kap. 7 § i 2012 års kustbevakningsdatalag (prop. 2011/12:45 s. 224). Övervägandena finns i avsnitt 7.4.7.
Ändringen i paragrafen avser en språklig justering. Paragrafen har ändrats för att den ska överensstämma med dataskyddsförordningens terminologi. Upplysningsbestämmelsen i andra stycket om föreskriftsrätt har ändrats redaktionellt, se kommentaren till 17 §.
15.2 Förslaget till lag om ändring i vapenlagen (1996:67)
1 a kap.
1 §
Paragrafen, som har utformats och placerats i enlighet med Lagrådets förslag, är ny. Den behandlar lagens förhållande till dataskyddsförordningen och dataskyddslagen. Övervägandena finns i avsnitt 10.2.2.
I paragrafens första stycke upplyses om att bestämmelserna i 1 a kap. vapenlagen kompletterar EU:s dataskyddsförordning. Vid behandling av personuppgifter inom dataskyddsförordningens tillämpningsområde är dataskyddsförordningen direkt tillämplig. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. 1 a kap. vapenlagen innehåller de kompletterande bestämmelser som gäller vid behandling av personuppgifter i vapenregister och vapenärenden.
I paragrafens andra stycke klargörs att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling som omfattas av EU:s dataskyddsförordning. Detta gäller dock endast om inte något annat följer av 1 a kap. vapenlagen eller av föreskrifter som har meddelats i anslutning till kapitlet.
Merparten av den behandling av personuppgifter som sker enligt 1 a kap. vapenlagen är sådan att dataskyddsförordningen blir tillämplig. Så är fallet beträffande all behandling av personuppgifter i vapenärenden och för förandet av vapenregistren, vilket bl.a. innebär att frågor om säkerhet för registren, tillsyn, rättelse och annat som har med registrens innehåll att göra, och som inte regleras i 1 a kap. vapenlagen, regleras i dataskyddsförordningen och dataskyddslagen. Dessutom gäller det behandling av personuppgifter för utlämnanden eller uttag ur vapenregistren i andra än brottsbekämpande syften, däribland för Polismyndighetens egen användning i vapenärenden.
Hänvisningarna i lagen till dataskyddsförordningen är dynamiska, dvs. de avser förordningen i dess vid varje tidpunkt gällande lydelse.
1 a §
Paragrafen, som har placerats i enlighet med Lagrådets förslag, är ny. Den behandlar lagens förhållande till brottsdatalagen. Övervägandena finns i avsnitt 10.2.2.
Paragrafen innehåller en upplysning om att bestämmelserna i 1 a kap. vapenlagen gäller utöver brottsdatalagen vid behandling av personuppgifter som omfattas av brottsdatalagen. Detta innebär att vid personuppgiftsbehandling enligt 1 a kap. vapenlagen inom brottsdatalagens tillämpningsområde tillämpas brottsdatalagen, som innehåller alla de grundläggande bestämmelserna om hur personuppgifter på detta område får behandlas, avseende frågor som inte regleras särskilt i kapitlet. 1 a kap. vapenlagen innehåller alltså bestämmelser som vid sådan behandling innebär avvikelser från brottsdatalagen och som i enlighet med 1 kap. 5 § brottsdatalagen ska tillämpas i stället för brottsdatalagen.
Merparten av den behandling av personuppgifter som sker enligt 1 a kap. vapenlagen omfattas inte av brottsdatalagen. Så är fallet endast beträffande behandling av personuppgifter för utlämnanden ur vapenregistren i brottsbekämpande syfte, under förutsättning att den utförs av en behörig myndighet. Detta kan vara Polismyndigheten, som för registren, eller annan behörig myndighet som medgetts direktåtkomst.
3 §
Paragrafen, som har utformats i enlighet med Lagrådets förslag, har ändrats. Den reglerar behandling av känsliga personuppgifter. Övervägandena finns i avsnitt 10.2.4.
Att känsliga personuppgifter som utgångspunkt inte får behandlas följer direkt av artikel 9.1 i dataskyddsförordningen och 2 kap. 11-12 §§ brottsdatalagen. Paragrafens tidigare första stycke, med motsvarande innehåll, har därför utgått.
Paragrafens första stycke, det tidigare andra stycket, har endast anpassats språkligt för att utformningen bättre ska överensstämma med annan reglering på dataskyddsområdet.
Av andra stycket framgår att begreppet känsliga personuppgifter har samma innebörd som i artikel 9.1 i dataskyddsförordningen och 2 kap. 11-13 §§ brottsdatalagen.
4 §
Paragrafen, som innehåller ett sökförbud, har ändrats. Övervägandena finns i avsnitt 10.2.4.
Bestämmelsen innebär att det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Med känsliga personuppgifter avses sådana uppgifter som anges i artikel 9.1 i dataskyddsförordningen, se kommentaren till 3 §. Sökförbudet omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Däremot hindrar bestämmelsen inte sökningar som görs för att få fram ett urval av individer t.ex. för att utöva tillsyn, för att ta fram verksamhetsstatistik eller för registervård.
6 §
Paragrafen, som har utformats i enlighet med Lagrådets förslag, har ändrats. Den innehåller en skadeståndsregel. Övervägandena finns i avsnitt 10.2.6.
Paragrafen hänvisar till bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen. Denna ska tillämpas när det har förekommit felaktig behandling av personuppgifter enligt bestämmelserna i 1 a kap. vapenlagen eller föreskrifter som meddelats i anslutning till dessa, om behandlingen omfattas av brottsdatalagen. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare författningskommentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.).
Skadestånd med anledning av behandlingar som omfattas av dataskyddsförordningen regleras i dataskyddsförordningen samt i dataskyddslagen.
10 §
I paragrafen, som innehåller en särskild regel om bevarande av vissa uppgifter i vapenregister, har det gjorts en redaktionell ändring med anledning av att huvudregeln för bevarande av uppgifter inte längre kommer att framgå av 9 § utan direkt av dataskyddsförordningen. Övervägandena finns i avsnitt 10.2.7.
15.3 Förslaget till lag om ändring i lagen (1998:620) om belastningsregister
1 a §
Paragrafen, som behandlar lagens förhållande till brottsdatalagen, har ett i huvudsak nytt innehåll. Övervägandena finns i avsnitt 8.3.3.
Paragrafen innehåller en upplysning om att lagen gäller utöver brottsdatalagen, i stället för som tidigare utöver personuppgiftslagen (1998:204). Att lagen gäller utöver brottsdatalagen innebär, vid behandling inom den lagens tillämpningsområde, att de grundläggande bestämmelserna om hur personuppgifter får behandlas finns i brottsdatalagen. Lagen om belastningsregister innehåller alltså bestämmelser som vid sådan behandling innebär avvikelser från brottsdatalagen och som i enlighet med 1 kap. 5 § brottsdatalagen ska tillämpas i stället för den lagen.
Merparten av den behandling av personuppgifter som sker enligt lagen om belastningsregister är sådan att brottsdatalagen blir tillämplig. Detta är fallet beträffande all behandling för förandet av registret, vilket bl.a. innebär att frågor om säkerhet för registret, tillsyn, rättelse och annat som har med registrets innehåll att göra, och som inte regleras i lagen om belastningsregister, regleras i brottsdatalagen. Detsamma gäller all behandling för utlämnanden ur registret med stöd av 2 § första stycket 1-3. Vissa utlämnanden enligt 2 § första stycket 4 omfattas också av brottsdatalagens tillämpningsområde. Framför allt rör detta prövningar av olika frågor som har samband med verkställighet av straff som görs av behöriga myndigheter, exempelvis frågor om utlämning för brott, ärenden om nåd, frågor enligt fängelselagen (2010:610) eller häkteslagen (2010:611) eller frågor om övervakning. Angående behandling enligt lagen som inte omfattas av brottsdatalagen, se kommentaren till 1 b §.
1 b §
Paragrafen, som är ny, behandlar lagens förhållande till dataskyddsförordningen och dataskyddslagen. Övervägandena finns i avsnitt 8.3.3.
I paragrafens första stycke upplyses om att lagen kompletterar EU:s dataskyddsförordning vid behandling av personuppgifter som inte omfattas av brottsdatalagen. Vid sådan behandling är dataskyddsförordningen direkt tillämplig. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Lagen om belastningsregister innehåller de kompletterande bestämmelser som gäller vid behandling av personuppgifter i belastningsregistret.
I paragrafens andra stycke klargörs att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling enligt första stycket. Detta gäller dock endast om inte något annat följer av lagen om belastningsregister eller av föreskrifter som har meddelats i anslutning till lagen.
Merparten av den behandling av personuppgifter som sker enligt lagen om belastningsregister omfattas inte av dataskyddsförordningen. Dataskyddsförordningen gäller huvudsakligen för behandling av personuppgifter som sker för utlämnanden ur registret för sådana tillstånds- och lämplighetsprövningar som avses i 2 § första stycket 4. Även Polismyndighetens egen användning av registret för denna typ av prövningar omfattas av dataskyddsförordningen.
Hänvisningen till dataskyddsförordningen är dynamisk, dvs. den avser förordningen i dess vid varje tidpunkt gällande lydelse.
2 §
Paragrafen, som anger ändamålen med belastningsregistret, har ändrats. Övervägandena finns i avsnitt 8.3.2.
I första stycket har första och tredje punkterna ändrats. Ändringen i första punkten innebär att denna har anpassats till 1 kap. 2 § brottsdatalagen som beskriver de syften som avgränsar brottsdatalagens tillämpningsområde. Ändringen innebär inte någon egentlig förändring i sak. De uppräknade ändamålen ska förstås på samma sätt som i brottsdatalagen.
5 a §
Paragrafen, som har placerats i enlighet med Lagrådets förslag, är ny. Den innehåller ett undantag från brottsdatalagens sökförbud. Övervägandena finns i avsnitt 8.3.3.
Undantaget från sökförbudet i 2 kap. 14 § brottsdatalagen innebär att brottsrubriceringar och uppgifter om verkställighet av påföljd får användas som sökbegrepp vid sökningar i belastningsregistret, även om detta skulle kunna innebära att ett urval av personer som är grundat på känsliga personuppgifter tas fram.
I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sökningen resulterat i får prövas mot huvudregeln om behandling av känsliga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra en sökning enligt denna paragraf medför således inte en generell rätt att fortsätta att behandla uppgifterna.
9 §
I paragrafen, som reglerar den enskildes rätt att få del av uppgifter ur belastningsregistret om sig själv, har första och femte styckena ändrats. Övervägandena finns i avsnitt 8.3.5.
Paragrafens första stycke har ändrats så att den registrerades rätt att få ett fullständigt registerutdrag även omfattar rätt att få sådan skriftlig information som anges i 4 kap. 3 § första stycket 1-8 brottsdatalagen. Den registrerades rätt att enligt bestämmelsen få ut uppgifter utan avgift en gång per kalenderår omfattar därför både sådana uppgifter ur registret som avses i första meningen och sådan skriftlig information som avses i andra meningen.
En registrerad som begär ett fullständigt eller begränsat registerutdrag om sig själv ska göra en skriftlig begäran om detta. Paragrafens femte stycke har ändrats så att det är möjligt att ge in en begäran i elektronisk form, så länge Polismyndigheten kan säkerställa att begäran görs av en behörig person.
20 §
Paragrafen, som har utformats i enlighet med Lagrådets förslag, har ändrats. Den innehåller en skadeståndsregel. Övervägandena finns i avsnitt 8.3.9.
Paragrafen hänvisar till bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen. Denna ska tillämpas när det har förekommit felaktig behandling av personuppgifter enligt lagen om belastningsregister eller föreskrifter som har meddelats i anslutning till den, om behandlingen omfattas av brottsdatalagen. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare författningskommentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.).
Skadestånd med anledning av behandlingar som omfattas av dataskyddsförordningen regleras direkt i dataskyddsförordningen samt i dataskyddslagen.
22 §
Paragrafen, som är ny, innehåller vissa bestämmelser om när en administrativ sanktionsavgift får tas ut och om storleken på sanktionsavgiften. Övervägandena finns i avsnitt 6.6.3.
I första stycket anges att en sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av lagens bestämmelser om gallring. Tillsynsmyndigheten avgör i det enskilda fallet om det är påkallat att ta ut sanktionsavgift, vilket framgår av formuleringen att avgift får tas ut. Brottsdatalagens förfaranderegler när det gäller sanktionsavgifter tillämpas även vid överträdelser enligt denna lag.
Enligt andra stycket ska en sanktionsavgift som tas ut vid överträdelse av 16-18 §§ bestämmas till högst 10 000 000 kronor.
Möjligheterna att ta ut administrativ sanktionsavgift vid behandling som omfattas av dataskyddsförordningen regleras direkt i dataskyddsförordningen samt i dataskyddslagen.
15.4 Förslaget till lag om ändring i lagen (1998:621) om misstankeregister
1 a §
Paragrafen, som behandlar lagens förhållande till brottsdatalagen, har ett i huvudsak nytt innehåll. Övervägandena finns i avsnitt 9.2.3.
Paragrafen innehåller en upplysning om att lagen gäller utöver brottsdatalagen, i stället för som tidigare utöver personuppgiftslagen (1998:204). Detta innebär att vid personuppgiftsbehandling enligt lagen om misstankeregister inom brottsdatalagens tillämpningsområde tillämpas brottsdatalagen, som innehåller alla de grundläggande bestämmelserna om hur personuppgifter på detta område får behandlas, avseende frågor som inte regleras särskilt i lagen om misstankeregister. Lagen om misstankeregister innehåller alltså bestämmelser som vid sådan behandling innebär avvikelser från brottsdatalagen och som i enlighet med 1 kap. 5 § brottsdatalagen ska tillämpas i stället för den lagen.
Merparten av den behandling av personuppgifter som sker enligt lagen om misstankeregister är sådan att brottsdatalagen blir tillämplig. Detta är fallet beträffande all behandling för förandet av registret, vilket bl.a. innebär att frågor om säkerhet för registret, tillsyn, rättelse och annat som har med registrets innehåll att göra, och som inte regleras i lagen om misstankeregister, regleras i brottsdatalagen. Detsamma gäller all behandling för utlämnanden ur registret med stöd av 2 § första stycket 1-2. Vissa utlämnanden enligt 2 § första stycket 3 omfattas också av brottsdatalagens tillämpningsområde. Angående behandling enligt lagen som inte omfattas av brottsdatalagen, se kommentaren till 1 b §.
1 b §
Paragrafen, som är ny, behandlar lagens förhållande till dataskyddsförordningen och dataskyddslagen. Övervägandena finns i avsnitt 9.2.3.
I paragrafens första stycke upplyses om att lagen kompletterar EU:s dataskyddsförordning vid behandling av personuppgifter som inte omfattas av brottsdatalagen. Vid sådan behandling är dataskyddsförordningen direkt tillämplig. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Lagen om misstankeregister innehåller de kompletterande bestämmelser som gäller vid behandling av personuppgifter i misstankeregistret.
I paragrafens andra stycke klargörs att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling enligt första stycket. Detta gäller dock endast om inte något annat följer av lagen om misstankeregister eller av föreskrifter som har meddelats i anslutning till lagen.
Merparten av den behandling av personuppgifter som sker enligt lagen om misstankeregister omfattas inte av dataskyddsförordningen. Dataskyddsförordningen gäller huvudsakligen för behandling av personuppgifter som sker för utlämnanden ur registret för sådana tillstånds- och lämplighetsprövningar som avses i 2 § första stycket 3. Även Polismyndighetens egen användning av registret för denna typ av prövningar omfattas av dataskyddsförordningen.
Hänvisningen till dataskyddsförordningen är dynamisk, dvs. den avser förordningen i dess vid varje tidpunkt gällande lydelse.
2 §
Paragrafen, som anger ändamålen med misstankeregistret, har ändrats. Övervägandena finns i avsnitt 9.2.2.
I första stycket har första och andra punkten ändrats. Ändringen i första punkten innebär att denna har anpassats till 1 kap. 2 § brottsdatalagen som beskriver de syften som avgränsar brottsdatalagens tillämpningsområde. Ändringen innebär inte någon egentlig förändring i sak. De uppräknade ändamålen ska förstås på samma sätt som i brottsdatalagen.
4 a §
Paragrafen, som har placerats i enlighet med Lagrådets förslag, är ny. Den innehåller ett undantag från brottsdatalagens sökförbud. Övervägandena finns i avsnitt 9.2.3.
Undantag från sökförbudet i 2 kap. 14 § brottsdatalagen innebär att brottsrubriceringar får användas som sökbegrepp vid sökningar i misstankeregistret, även om detta skulle kunna innebära att ett urval av personer som är grundat på känsliga personuppgifter tas fram.
I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sökningen resulterat i får prövas mot huvudregeln om behandling av känsliga personuppgifter i 2 kap. 11 § brottsdatalagen. Rätten att göra en sökning enligt denna paragraf medför således inte en generell rätt att fortsätta att behandla uppgifterna.
8 a §
Paragrafen, som reglerar den enskildes rätt att få del av uppgifter ur misstankeregistret om sig själv, har ändrats. Övervägandena finns i avsnitt 9.2.5.
En registrerad som begär ett begränsat registerutdrag om sig själv ska göra en skriftlig begäran om detta. Ändringen i hittillsvarande andra stycket innebär att det är möjligt att ge in en begäran i elektronisk form, så länge Polismyndigheten kan säkerställa att begäran görs av en behörig person.
I övrigt har paragrafen ändrats endast redaktionellt.
15 §
Paragrafen, som har utformats i enlighet med Lagrådets förslag, har ändrats. Den innehåller en skadeståndsregel. Övervägandena finns i avsnitt 9.2.9.
Paragrafen hänvisar till bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen. Denna ska tillämpas när det har förekommit felaktig behandling av personuppgifter enligt lagen om misstankeregister eller föreskrifter som har meddelats i anslutning till den, om behandlingen omfattas av brottsdatalagen. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare författningskommentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.).
Skadestånd med anledning av behandlingar som omfattas av dataskyddsförordningen regleras direkt i dataskyddsförordningen samt i dataskyddslagen.
16 §
Paragrafen, som är ny, innehåller vissa bestämmelser om när en administrativ sanktionsavgift får tas ut och om storleken på sanktionsavgiften. Övervägandena finns i avsnitt 6.6.3.
I första stycket anges att en sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av lagens bestämmelse om gallring. Tillsynsmyndigheten avgör i det enskilda fallet om det är påkallat att ta ut sanktionsavgift, vilket framgår av formuleringen att avgift får tas ut. Brottsdatalagens förfaranderegler när det gäller sanktionsavgifter tillämpas även vid överträdelser enligt denna lag.
Enligt andra stycket ska en sanktionsavgift som tas ut vid överträdelse av 13 § bestämmas till högst 10 000 000 kronor.
Möjligheterna att ta ut administrativ sanktionsavgift vid behandling som omfattas av dataskyddsförordningen regleras direkt i dataskyddsförordningen samt i dataskyddslagen.
15.5 Förslaget till lag om ändring i lagen (2000:344) om Schengens informationssystem
1 a §
Paragrafen, som är ny, behandlar lagens förhållande till brottsdatalagen. Övervägandena finns i avsnitt 11.4.2.
Paragrafen innehåller en upplysning om att lagen gäller utöver brottsdatalagen. Detta innebär att vid personuppgiftsbehandling enligt lagen om SIS inom brottsdatalagens tillämpningsområde tillämpas brottsdatalagen, som innehåller alla de grundläggande bestämmelserna om hur personuppgifter på detta område får behandlas, avseende frågor som inte regleras särskilt i lagen om SIS. Lagen om SIS innehåller alltså bestämmelser som vid sådan behandling innebär avvikelser från brottsdatalagen och som i enlighet med 1 kap. 5 § brottsdatalagen ska tillämpas i stället för brottsdatalagen.
Merparten av den behandling av personuppgifter som sker enligt lagen om SIS rör framställningar som avser underrättelseverksamhet eller utredning om brott och är därmed sådan att den omfattas av brottsdatalagen. Angående behandling enligt lagen som inte omfattas av brottsdatalagen, se kommentaren till 1 b §.
1 b §
Paragrafen, som är ny, behandlar lagens förhållande till dataskyddsförordningen och dataskyddslagen. Övervägandena finns i avsnitt 11.4.2.
I paragrafens första stycke upplyses om att lagen kompletterar EU:s dataskyddsförordning vid behandling av personuppgifter som inte omfattas av brottsdatalagen, dvs. som omfattas av dataskyddsförordningen. Vid sådan behandling är dataskyddsförordningen direkt tillämplig. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Lagen om SIS innehåller de kompletterande bestämmelser som gäller vid behandling av personuppgifter i SIS-registret.
I paragrafens andra stycke klargörs att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling enligt första stycket. Detta gäller dock endast om inte något annat följer av lagen om SIS eller av föreskrifter som har meddelats i anslutning till lagen.
Merparten av den behandling av personuppgifter som sker enligt lagen om SIS omfattas inte av dataskyddsförordningen. Dataskyddsförordningen gäller huvudsakligen för behandling av personuppgifter i framställningar som rör efterlysningar av personer som inte har med bekämpandet av brott att göra, exempelvis personer som ska omhändertas med hänsyn till sin egen eller andras säkerhet, eller som rör personer som ska införas på spärrlista.
Hänvisningen till dataskyddsförordningen är dynamisk, dvs. den avser förordningen i dess vid varje tidpunkt gällande lydelse.
16 §
Paragrafen, som har utformats i enlighet med Lagrådets förslag, har ändrats. Den innehåller en skadeståndsregel. Övervägandena finns i avsnitt 11.4.7.
Paragrafen hänvisar till bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen. Denna ska tillämpas när det har förekommit felaktig behandling av personuppgifter enligt lagen om SIS eller föreskrifter som har meddelats i anslutning till den, om behandlingen omfattas av brottsdatalagen. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare författningskommentaren till 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 486 f.).
Skadestånd med anledning av behandlingar som omfattas av dataskyddsförordningen regleras direkt i dataskyddsförordningen samt i dataskyddslagen.
17 §
Paragrafen, som är ny, innehåller vissa bestämmelser om när en administrativ sanktionsavgift får tas ut och om storleken på sanktionsavgiften. Övervägandena finns i avsnitt 6.6.3.
I första stycket anges att en sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av lagens bestämmelser om gallring och bevarande av personuppgifter. Tillsynsmyndigheten avgör i det enskilda fallet om det är påkallat att ta ut sanktionsavgift, vilket framgår av formuleringen att avgift får tas ut. Brottsdatalagens förfaranderegler när det gäller sanktionsavgifter tillämpas även vid överträdelser enligt denna lag.
Enligt andra stycket ska en sanktionsavgift som tas ut vid överträdelse av 11 § eller 14 § bestämmas till högst 10 000 000 kronor.
Möjligheterna att ta ut administrativ sanktionsavgift vid behandling som omfattas av dataskyddsförordningen regleras direkt i dataskyddsförordningen samt i dataskyddslagen.
15.6 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
35 kap.
1 §
I paragrafen, som reglerar sekretess till skydd för enskild i bl.a. förundersökning, brottsförebyggande verksamhet och brottsbekämpande myndigheters register, har första stycket ändrats. Övervägandena finns i avsnitt 12.6.7.
Genom ändringen i första stycket 4 omfattar bestämmelsen även uppgifter i den uppbördsverksamhet som de brottsbekämpande myndigheterna, i praktiken Polismyndigheten och Tullverket, bedriver enligt bötesverkställighetslagen (1979:189).
4 §
I paragrafen, som reglerar sekretess för uppgifter i vissa angivna register, har första stycket ändrats. Övervägandena finns i avsnitt 12.5.3.
Sekretessen enligt första stycket 1 gäller uppgifter i register över strafförelägganden som förs av Åklagarmyndigheten och Tullverket och register över förelägganden av ordningsbot som förs av Polismyndigheten och Tullverket. Ändringen markerar att registren inte längre regleras särskilt.
15.7 Förslaget till lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område
1 kap.
1 §
Paragrafen, som anger lagens tillämpningsområde, har ändrats. Övervägandena finns i avsnitt 12.6.1.
Genom ändringen i första stycket 1 utökas tillämpningsområdet när det gäller Polismyndigheten till att omfatta även personuppgiftsbehandling i syfte att verkställa uppbörd. Det är personuppgiftsbehandling vid uppbörd av böter enligt bötesverkställighetslagen som avses, t.ex. böter som dömts ut av domstol eller som förelagts genom strafföreläggande eller föreläggande av ordningsbot. Uppbördsverksamheten omfattar enligt 1 § andra stycket bötesverkställighetslagen även särskild rättsverkan av brott som innefattar betalningsskyldighet och vissa viten. Personuppgiftsbehandling vid uppbörd av viten omfattas bara av lagens tillämpningsområde om vitet har ett sådant syfte som ligger inom tillämpningsområdet. I övriga fall är dataskyddsförordningen tillämplig på behandlingen. Frågan behandlas i avsnitt 12.6.6.
Ändringen i andra stycket är endast redaktionell.
6 §
I paragrafen, som reglerar behandling av uppgifter om juridiska personer, har första stycket ändrats. Övervägandena finns i avsnitt 12.6.5.
I paragrafen anges vilka bestämmelser i lagen och i brottsdatalagen som gäller för behandling av uppgifter om juridiska personer. I första stycket kompletteras uppräkningen med en hänvisning till den nya bestämmelsen om längsta tid för behandling av uppgifter i uppbördsärenden.
2 kap.
1 §
Paragrafen, som reglerar de tillåtna rättsliga grunderna för behandling av personuppgifter, har ändrats. Övervägandena finns i avsnitt 12.6.3.
I paragrafen finns en ny punkt, punkt 3, enligt vilken personuppgifter får behandlas om det är nödvändigt för att Polismyndigheten ska kunna utföra sin uppgift att verkställa uppbörd. Ändringen är en följd av att tillämpningsområdet för lagen nu omfattar personuppgiftsbehandling i sådant syfte. Vad som avses med uttrycket verkställa uppbörd behandlas i kommentaren till 1 kap. 1 §. Punkt 4 och 5 motsvarar tidigare punkt 3 och 4.
3 kap.
2 §
I paragrafen, som anger vilka personuppgifter som får göras gemensamt tillgängliga, har första stycket ändrats. Övervägandena finns i avsnitt 12.6.4.
I första stycket finns en ny punkt, punkt 4, som anger att uppgifter som förekommer i ett ärende om uppbörd får göras gemensamt tillgängliga. Det kan vara fråga om uppgifter om att ett bötesstraff dömts ut och med vilket belopp. Uppgifter om den brottsliga gärningen får inte behandlas i uppbördsärendet och därmed inte heller göras gemensamt tillgängliga. Punkt 5-8 motsvarar tidigare punkt 4-7.
3 §
I paragrafen, som föreskriver att vissa gemensamt tillgängliga uppgifter ska förses med en särskild upplysning, ändras en hänvisning.
4 kap.
5 a §
Paragrafen, som är ny, innehåller en bestämmelse om längsta tid för behandling av vissa personuppgifter. Övervägandena finns i avsnitt 12.6.5.
Paragrafen reglerar hur länge personuppgifter i ärenden om uppbörd får behandlas för ändamål inom lagens tillämpningsområde. Det är bara behandlingen av personuppgifter för sådana ändamål som inskränks, vilket innebär att uppgifterna får fortsätta att behandlas automatiserat för bl.a. arkivändamål efter de tidpunkter som anges i paragrafen.
Personuppgifterna i ett uppbördsärende får som längst behandlas till dess betalningsförpliktelsen som ärendet avser preskriberas. När det gäller bötesstraff och sådan särskild rättsverkan av brott som inte avser värdeförverkande eller företagsbot, t.ex. avgift enligt lagen (1994:419) om brottsofferfond, är den tiden fem år. Personuppgifter som avser värdeförverkande eller företagsbot får som längst behandlas tio år. Tiden räknas från det att domstolens avgörande fick laga kraft eller strafföreläggandet eller föreläggandet om ordningsbot godkändes. En förutsättning för att uppgifterna ska få fortsätta att behandlas är dock att de behövs för något eller några av lagens ändamål.
6 §
I paragrafen ändras endast hänvisningar.
9 §
I paragrafen ändras endast en hänvisning.
10 §
I paragrafen ändras endast hänvisningar.
11 §
I paragrafen ändras endast en hänvisning.
7 kap.
1 §
I paragrafen, som reglerar vid vilka överträdelser sanktionsavgift får tas ut av en personuppgiftsansvarig, har första stycket ändrats. Övervägandena finns i avsnitt 12.6.5.
I första stycket 3 läggs den nya bestämmelsen om längsta tid för behandling av personuppgifter i uppbördsärenden till i uppräkningen av vilka överträdelser som kan föranleda sanktionsavgift.
15.8 Förslaget till lag om ändring i lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område
1 kap.
1 §
Paragrafen, som anger lagens tillämpningsområde, har ändrats. Övervägandena finns i avsnitt 12.6.1.
Genom ändringen utökas tillämpningsområdet till att omfatta även personuppgiftsbehandling i syfte att verkställa uppbörd. Det är personuppgiftsbehandling vid uppbörd av böter enligt bötesverkställighetslagen som avses. Tullverket bedriver uppbördsverksamhet när myndigheten tar medel som betalats in till myndigheten som förskott på böter i anspråk för betalning av böterna. I övriga fall är det Polismyndigheten som är uppbördsmyndighet.
4 §
I paragrafen, som reglerar behandling av uppgifter om juridiska personer, har första stycket ändrats. Övervägandena finns i avsnitt 12.6.5.
I paragrafen anges vilka bestämmelser i lagen och i brottsdatalagen som gäller för behandling av uppgifter om juridiska personer. I första stycket kompletteras uppräkningen med en hänvisning till den nya bestämmelsen om längsta tid för behandling av uppgifter i uppbördsärenden.
2 kap.
1 §
Paragrafen, som reglerar de tillåtna rättsliga grunderna för behandling av personuppgifter, har ändrats. Övervägandena finns i avsnitt 12.6.3.
I paragrafen finns en ny punkt, punkt 3, enligt vilken personuppgifter får behandlas om det är nödvändigt för att Tullverket ska kunna utföra sin uppgift att verkställa uppbörd. Ändringen är en följd av att tillämpningsområdet för lagen nu omfattar personuppgiftsbehandling i sådant syfte. Vad som avses med uttrycket verkställa uppbörd behandlas i kommentaren till 1 kap. 1 §. Punkt 4 motsvarar tidigare punkt 3.
3 kap.
2 §
I paragrafen, som anger vilka personuppgifter som får göras gemensamt tillgängliga, har första stycket ändrats. Övervägandena finns i avsnitt 12.6.4.
I första stycket finns en ny punkt, punkt 4, som anger att uppgifter som förekommer i ett ärende om uppbörd får göras gemensamt tillgängliga. Det kan vara fråga om uppgifter om att ett bötesstraff dömts ut och med vilket belopp. Uppgifter om den brottsliga gärningen får inte behandlas i uppbördsärendet och därmed inte heller göras gemensamt tillgängliga. Punkt 5 och 6 motsvarar tidigare punkt 4 och 5.
4 kap.
6 a §
Paragrafen, som är ny, innehåller en bestämmelse om längsta tid för behandling av vissa personuppgifter. Övervägandena finns i avsnitt 12.6.5.
Paragrafen reglerar hur länge personuppgifter i ärenden om uppbörd får behandlas för ändamål inom lagens tillämpningsområde. Det är bara behandlingen av personuppgifter för sådana ändamål som inskränks, vilket innebär att uppgifterna får fortsätta att behandlas automatiserat för bl.a. arkivändamål efter de tidpunkter som anges i paragrafen.
Personuppgifterna i ett uppbördsärende får som längst behandlas till dess betalningsförpliktelsen som ärendet avser preskriberas. Den längsta tiden för behandling är fem år och räknas från det att domstolens avgörande fick laga kraft eller strafföreläggandet eller föreläggandet om ordningsbot godkändes. En förutsättning för att uppgifterna ska få fortsätta att behandlas är dock att de behövs för något eller några av lagens ändamål.
7 §
I paragrafen ändras endast hänvisningar.
10 §
I paragrafen ändras endast en hänvisning.
11 §
I paragrafen ändras endast en hänvisning.
5 kap.
1 §
I paragrafen, som reglerar vid vilka överträdelser sanktionsavgift får tas ut av en personuppgiftsansvarig, har första stycket ändrats. Övervägandena finns i avsnitt 12.6.5.
I första stycket 3 läggs den nya bestämmelsen om längsta tid för behandling av personuppgifter i uppbördsärenden till i uppräkningen av vilka överträdelser som kan föranleda sanktionsavgift.
Ändringen i ikraftträdande- och övergångsbestämmelserna till lagen
Punkt 2 i ikraftträdande- och övergångsbestämmelserna till lagen ändras. Ändringen beror på att tidigare ikraftträdande- och övergångsbestämmelser innehåller en felnumrering.
15.9 Förslaget till lag om ändring i lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område
Den nya kustbevakningsdatalagen träder i kraft den 30 juni 2019. Samtidigt upphör de delar av 2012 års kustbevakningsdatalag som reglerar Kustbevakningens personuppgiftsbehandling inom dataskyddsförordningens tillämpningsområde att gälla, genom att punkt 4 i ikraftträdande- och övergångsbestämmelserna till Kustbevakningens brottsdatalag upphävs.
Sammanfattning av promemorian EU:s dataskyddsreform - anpassningar av vissa författningar om allmän ordning och säkerhet (Ds 2017:58)
Bakgrund
Inom EU har det antagits en ny reglering av skyddet för enskilda vid behandling av personuppgifter. Den består av två rättsliga instrument, en förordning och ett direktiv.
Dataskyddsförordningen utgör en ny generell reglering för behandling av personuppgifter inom EU. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna. En följd av att förordningen ska tillämpas direkt är att personuppgiftslagen (1998:204) måste upphävas. Samtidigt både förutsätter och möjliggör dataskyddsförordningen kompletterande nationella bestämmelser av olika slag.
Dataskyddsförordningen ska inte tillämpas på personuppgifts-behandling som utförs av behöriga myndigheter för att bl.a. bekämpa och lagföra brott. På detta område gäller istället det nya dataskyddsdirektivet, som, till skillnad från förordningen, ska genomföras i medlemsstaternas nationella rätt.
Dataskyddsutredningen har haft i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till. Utredningen har lämnat förslag till en ny lag, dataskyddslagen. Utredningen om 2016 års dataskyddsdirektiv har haft det huvud-sakliga uppdraget att genomföra det nya dataskyddsdirektivet i svensk rätt. Utredningen har lämnat förslag till en ny ramlag inom direktivets tillämpningsområde, brottsdatalagen. Utredningen har också lämnat förslag på anpassningar av flera s.k. registerförfattningar, som tillämpas av olika brottsbekämpande myndig-heter, exempelvis Polismyndigheten.
Vårt uppdrag
Vårt uppdrag har varit att se över och överväga vilka anpassningar som kan behövas i vissa registerförfattningar som Enheten för lagstiftning om allmän ordning och säkerhet och samhällets krisberedskap vid Justitiedepartementet (Enheten) ansvarar för. Flera av registerförfattningarna inom Enhetens ansvarsområde har ingått i det uppdrag som Utredningen om 2016 års dataskydds-direktiv har haft. Vårt uppdrag har rört de flesta andra författningar inom Enhetens ansvarsområde som i någon mån reglerar frågor om personuppgiftsbehandling. Vårt uppdrag har bl.a. gällt kustbevakningsdatalagen, lagen och förordningen om belastningsregister, lagen och förordningen om Schengens informationssystem och vapenlagen.
Flera av de registerförfattningar som ingått i vårt utrednings-uppdrag reglerar personuppgiftsbehandling inom både det nya dataskyddsdirektivets och dataskyddsförordningens tillämpningsområde.
Våra överväganden och förslag
En av våra utgångspunkter har varit att gällande svensk rätt bör förändras så lite som möjligt till följd av EU:s dataskyddsreform. De väsentliga avvägningarna avseende behovet av författningsreglering och skyddet för den personliga integriteten är redan gjorda.
Vi har kommit fram till att författningsregleringen i huvudsak är förenlig både med genomförandet av det nya dataskyddsdirektivet och med dataskyddsförordningen.
När det gäller författningsregleringen av Kustbevakningens personuppgiftsbehandling har vårt uppdrag gällt endast den del av kustbevakningsdatalagen som omfattas av dataskyddsförordningens tillämpningsområde. Vi föreslår, efter samråd med Utredningen om 2016 års dataskyddsdirektiv, att denna del av Kustbevakningens personuppgiftsbehandling ska regleras i en egen lag, som vi föreslår ska heta som den nu gällande lagen - kustbevakningsdatalagen. Den personuppgiftsbehandling som sker inom Kustbevakningens brottsbekämpande och lagförande verksamhet kommer enligt förslag från Utredningen om 2016 års dataskyddsdirektiv att regleras i den nu gällande lagen, som får ett till viss del nytt innehåll och föreslås byta namn till Kustbevakningens brottsdatalag.
Våra författningsförslag i övrigt syftar i stort sett till att klargöra förhållandet mellan de aktuella registerförfattningarna och de nya generella regelverken avseende personuppgiftsbehandling (dvs. dataskyddsförordningen jämte dataskyddslagen och/eller brottsdatalagen). I övrigt föreslår vi tillägg och ändringar för att anpassa registerförfattningarna, bl.a. genom att utmönstra hänvisningar till personuppgiftslagen.
Konsekvenser
Våra förslag är i huvudsak av lagteknisk karaktär. Vi bedömer att de i sig inte kommer att föra med sig annat än i sammanhanget marginella kostnader för de berörda myndigheterna.
Dataskyddsreformens övergripande syfte är att förstärka skyddet för den personliga integriteten vid behandling av personuppgifter. De effekter som kan uppnås på detta område menar vi i första hand följer av de nya generella regelverken och inte av våra förslag.
Ikraftträdande
Dataskyddsförordningen ska börja tillämpas den 25 maj 2018 och vi föreslår att författningsändringar som berörs endast av förordningen träder i kraft samma datum. Författningsändringar som är beroende av brottsdatalagens ikraftträdande föreslår vi ska träda i kraft samma dag som den lagen, den 1 maj 2018.
Promemorians lagförslag
Förslag till kustbevakningsdatalag (2018:00)
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin operativa verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör:
1. sjöövervakning,
2. räddningstjänst,
3. samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation, och
4. internationellt samarbete.
Lagen gäller inte vid behandling av personuppgifter som omfattas av Kustbevakningens brottsdatalag (2018:00).
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Förhållandet till annan reglering av personuppgiftsbehandling
3 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
4 § Även lagen (2018:00) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till den.
Lagens tillämpning på juridiska personer
5 § Följande bestämmelser om personuppgifter gäller även vid behandling av uppgifter om juridiska personer:
1. 6 § om personuppgiftsansvar,
2. 7-11 §§ om ändamålen för behandlingen,
3. 16 § om tillgången till personuppgifter och
4. 25 § om bevarande och gallring.
Personuppgiftsansvar
1. 6 § Kustbevakningen är personuppgiftsansvarig för behandling av personuppgifter som myndigheten utför.
Ändamål för behandling
7 § Personuppgifter får behandlas om det behövs för att
1. bedriva sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss samt bedriva den kontroll och tillsyn som Kustbevakningen är skyldig att utföra,
2. bedriva räddningstjänst,
3. samordna civila behov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter,
4. utreda och besluta i ärenden om vattenföroreningsavgift samt ta emot sådana avgifter, eller
5. fullgöra skyldigheter inom ramen för internationellt samarbete med sjöövervakning och räddningstjänst.
2. 8 § Utöver vad som anges i 7 § får personuppgifter behandlas om
1. behandlingen är nödvändig för diarieföring, eller
2. uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
3. 9 § Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i
1. Kustbevakningens brottsbekämpande och lagförande verksamhet och verksamhet för att upprätthålla allmän ordning och säkerhet,
2. en annan myndighets verksamhet
a. om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift, eller
b. om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan, och
3. likartad verksamhet hos en utländsk myndighet.
4. 10 § Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till annan.
11 § I ett enskilt fall får personuppgifter som behandlas enligt 7 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i 9 och 10 §§ under de förutsättningar som framgår av artikel 5.1 b och 6.4 a-e i Europaparlamentets och rådets förordning (EU) 2016/679.
Behandling av känsliga personuppgifter
12 § Sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) får inte behandlas.
Om uppgifter om en person behandlas får de, utan hinder av det som sägs i första stycket, kompletteras med känsliga personuppgifter när det är absolut nödvändigt för ändamålet med behandlingen. Känsliga personuppgifter får också behandlas med stöd av 8 §.
Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.
13 § Det är förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.
Första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.
Tillgången till personuppgifter
14 § Med gemensamt tillgängliga uppgifter avses i denna lag personuppgifter som görs eller har gjorts gemensamt tillgängliga i Kustbevakningens operativa verksamhet och som fler än endast ett fåtal personer inom myndigheten har rätt att ta del av.
15 § Personuppgifter som får behandlas enligt 7 § får göras gemensamt tillgängliga.
16 § Tillgången till personuppgifter ska alltid begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.
Utlämnande av personuppgifter
17 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om i vilken utsträckning personuppgifter får lämnas ut till svenska och utländska myndigheter.
Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen (2009:400).
18 § Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av denna lag. Bestämmelser om direktåtkomst finns i 20-23 §§.
19 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt.
Direktåtkomst
20 § Direktåtkomst får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Direktåtkomsten får inte avse personuppgifter som anges i 12 § första stycket.
21 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka svenska myndigheter som får ha direktåtkomst till personuppgifter som behandlas med stöd av 7 § och om utländska myndigheter får ha sådan åtkomst.
22 § En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
23 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Information till den registrerade
24 § Information enligt artikel 13 i Europaparlamentets och rådets förordning (EU) 2016/679 behöver inte lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud, om inte behandlingen i övrigt innebär en direkt identifiering av en person. Sådan information behöver inte heller lämnas om uppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.
Bevarande och gallring
25 § Personuppgifter som behandlas automatiserat ska gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om digital arkivering.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i vapenlagen (1996:67)
Härigenom föreskrivs i fråga om vapenlagen (1996:67)
dels att 1 a kap. 2, 4 och 6 §§ ska upphöra att gälla,
dels att 1 a kap. 3 § ska ha följande lydelse,
dels att rubriken närmast framför 1 a kap. 1 § ska lyda "Personuppgiftsansvar och förhållande till annan reglering av personuppgiftsbehandling",
dels att det ska införas två nya paragrafer, 1 a kap. 2 och 4 §§, med följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 §
Detta kapitel innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Även lagen (2018:00) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt detta kapitel, om inte annat följer av detta kapitel eller föreskrifter som meddelats i anslutning till det.
3 §
Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.
Om uppgifter om en person behandlas på annan grund, får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Polismyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
Sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) får inte behandlas.
Om uppgifter om en person behandlas får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för ändamålet med behandlingen. Uppgifter som avses i första stycket får också behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Polismyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
4 §
Det är förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (1998:620) om belastningsregister
Härigenom föreskrivs i fråga om lagen (1998:620) om belastningsregister
dels att 1 b § ska upphöra att gälla,
dels att 1 a, 2, 9 och 20 §§ och rubriken närmast före 20 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 1 b §, med följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 a §
Denna lag gäller utöver personuppgiftslagen (1998:204 )
Denna lag gäller utöver brottsdatalagen (2018:00).
Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att uppgifter om brottsrubriceringar och om verkställighet av påföljd används vid sökning i belastningsregistret.
1 b §
För behandling av personuppgifter enligt denna lag för ändamål utanför brottsdatalagens (2018:00) tillämpningsområde finns bestämmelser om behandling av personuppgifter i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i lagen (2018:00) med kompletterande bestämmelser till EU:s dataskyddsförordning.
2 §
Belastningsregistret ska föras för att ge information om sådana belastningsuppgifter som behövs i verksamhet hos
1. Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen för att förebygga, upptäcka och utreda brott,
1. Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen för att förebygga, förhindra eller upptäcka brottslig verksamhet och utreda brott,
2. åklagarmyndigheter för beslut om förundersökning och åtal samt för utfärdande av strafföreläggande,
3. allmänna domstolar för straffmätning och val av påföljd och
4. Polismyndigheten och andra myndigheter vid sådan lämplighetsprövning, tillståndsprövning eller annan prövning som anges i författning.
Registret får användas också för att till en enskild lämna uppgifter som är av särskild betydelse i hans eller hennes verksamhet.
9 §
En enskild har rätt att på begäran skriftligen få ta del av samtliga uppgifter ur registret om sig själv. Sådana uppgifter ska på begäran lämnas ut utan avgift en gång per kalenderår.
En enskild som behöver ett registerutdrag om sig själv har rätt att få ett begränsat utdrag ur registret
En enskilds rätt att på begäran få information om behandling av personuppgifter följer av 4 kap. 3 § brottsdatalagen.
En enskild som behöver ett registerutdrag om sig själv har rätt att därutöver få ett begränsat utdrag ur registret
1. för att kunna ta till vara sin rätt i ett främmande land eller få tillstånd att resa in, bosätta sig eller arbeta där,
2. enligt bestämmelser i skollagen (2010:800 ),
3. enligt bestämmelser i lagen (2005:405) om försäkringsförmedling,
4. enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn,
5. enligt bestämmelser i lagen (2010:479) om registerkontroll av personal som utför vissa insatser åt barn med funktionshinder, eller
6. enligt bestämmelser i lagen (2013:852 ) om registerkontroll av personer som ska arbeta med barn.
Regeringen, eller i fråga om andra stycket punkterna 1-3 den myndighet regeringen bestämmer, får meddela föreskrifter om vilka uppgifter ett sådant utdrag ska innehålla.
En begäran om uppgifter ur registret ska vara skriftlig och undertecknad av den sökande.
En begäran om uppgifter ur registret ska vara skriftlig. Polismyndigheten ska säkerställa att begäran görs av en behörig person.
Rättelse och skadestånd
Skadestånd för personuppgiftsbehandling inom brottsdatalagens tillämpningsområde
20 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen.
Bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:00) om skadestånd tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen och som omfattas av brottsdatalagens tillämpningsområde.
1. Denna lag träder i kraft den 25 maj 2018 i fråga om införandet av 1 b § och i övrigt den 1 maj 2018.
2. Lagen om belastningsregister i dess lydelse före den 1 maj 2018 och personuppgiftslagen (1998:204) gäller till och med den 24 maj 2018 för sådan behandling av personuppgifter som inte omfattas av brottsdatalagens tillämpningsområde.
Förslag till lag om ändring i lagen (1998:621) om misstankeregister
Härigenom föreskrivs i fråga om lagen (1998:621) om misstankeregister
dels att 1 b § ska upphöra att gälla,
dels att 1 a, 2, 8 a och 15 §§ och rubriken närmast före 15 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 1 b §, med följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 a §
Denna lag gäller utöver personuppgiftslagen (1998:204 )
Denna lag gäller utöver brottsdatalagen (2018:00).
Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) hindrar inte att uppgifter om brottsrubriceringar används vid sökning i misstankeregistret.
1 b §
För behandling av personuppgifter enligt denna lag för ändamål utanför brottsdatalagens (2018:00) tillämpningsområde finns bestämmelser om behandling av personuppgifter i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i lagen (2018:00) med kompletterande bestämmelser till EU:s dataskyddsförordning.
2 §
Misstankeregistret ska föras för att underlätta tillgången till sådana uppgifter om skälig misstanke om brott som behövs i verksamhet hos
1. Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen för att förebygga, upptäcka och utreda brott,
1. Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen för att förebygga, förhindra eller upptäcka brottslig verksamhet och utreda brott,
2. åklagarmyndigheter för beslut om förundersökning och åtal och,
3. Polismyndigheten och andra myndigheter vid sådan lämplighetsprövning, tillståndsprövning eller annan prövning som anges i författning.
Registret får användas också för att till en enskild lämna uppgifter som är av särskild betydelse i hans eller hennes verksamhet.
8 a §
En enskild som behöver ett registerutdrag om sig själv enligt bestämmelser i lagen (2007:171 ) om registerkontroll av personal vid vissa boenden som tar emot barn har rätt att få ett begränsat utdrag ur registret. Regeringen får meddela föreskrifter om vilka uppgifter ett sådant utdrag ska innehålla.
En begäran om uppgifter ur registret ska vara skriftlig och undertecknad av den sökande.
En begäran om uppgifter ur registret ska vara skriftlig. Polismyndigheten ska säkerställa att begäran görs av en behörig person.
Rättelse och skadestånd
Skadestånd för personuppgiftsbehandling inom brottsdatalagens tillämpningsområde
15 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen.
Bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:00) om skadestånd tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen och som omfattas av brottsdatalagens tillämpningsområde.
1. Denna lag träder i kraft den 25 maj 2018 i fråga om införandet av 1 b § och i övrigt den 1 maj 2018.
2. Lagen om misstankeregister i dess lydelse före den 1 maj 2018 och personuppgiftslagen (1998:204) gäller till och med den 24 maj 2018 för sådan behandling av personuppgifter som inte omfattas av brottsdatalagens tillämpningsområde.
Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem
Härigenom föreskrivs i fråga om lagen (2000:344) om Schengens informationssystem
dels att 15 och 17 §§ ska upphöra att gälla,
dels att 16 § ska ha följande lydelse,
dels att rubriken närmast före 7 § ska lyda "Förbud mot registrering av vissa uppgifter",
dels att det ska införas två nya paragrafer, 1 a och 1 b §§ och närmast före 1 a § en ny rubrik, med följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållande till annan reglering av personuppgiftsbehandling
1 a §
Denna lag gäller utöver brottsdatalagen (2018:00).
Bestämmelserna i 7, 10 och 13 §§ tillämpas istället för 2 kap. 4, 11 och 22 §§ och 8 kap. brottsdatalagen.
1 b §
För behandling av personuppgifter enligt denna lag för ändamål utanför brottsdatalagens (2018:00) tillämpningsområde finns bestämmelser om behandling av personuppgifter i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i lagen (2018:00) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Bestämmelserna i 4 § första stycket 3 och 7 § tillämpas istället för 3 kap. 3 § lagen (2018:00) med kompletterande bestämmelser till EU:s dataskyddsförordning.
16 §
Vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen gäller i fråga om skadestånd 48 § första stycket personuppgiftslagen (1998:204).
Vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen och som omfattas av brottsdatalagens tillämpningsområde gäller i fråga om skadestånd 7 kap. 1 § brottsdatalagen (2018:00).
1. Denna lag träder i kraft den 25 maj 2018 i fråga om införandet av 1 b § och i övrigt den 1 maj 2018.
2. Lagen om Schengens informationssystem i dess lydelse före den 1 maj 2018 och personuppgiftslagen (1998:204) gäller till och med den 24 maj 2018 för sådan behandling av personuppgifter som inte omfattas av brottsdatalagens tillämpningsområde.
Förteckning över remissinstanserna
Efter remiss har yttranden över promemorian EU:s dataskyddsreform - anpassningar av vissa författningar om allmän ordning och säkerhet (Ds 2017:58) inkommit från Riksdagens ombudsmän, Malmö tingsrätt, Kammarrätten i Stockholm, Förvaltningsrätten i Stockholm, Justitiekanslern, Domstolsverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Säkerhets- och integritetsskyddsnämnden, Kriminalvården, Myndigheten för samhällsskydd och beredskap, Kustbevakningen, Datainspektionen, Tullverket, Lunds universitet (Juridiska fakulteten), Havs- och vattenmyndigheten, Sjöfartsverket, Riksarkivet och Sveriges advokatsamfund.
Yttrande har även inkommit från Dataskydd.net.
Sveriges kommuner och landsting har avstått från att yttra sig.
Sammanfattning av promemorian Uppbörd av böter efter EU:s dataskyddsreform (Ds 2018:3)
Polismyndigheten för register över strafförelägganden och förelägganden av ordningsbot med stöd av två förordningar från 1997. Registret över ordningsbotsförelägganden får användas både för ärendehandläggning och uppbörd medan registret över strafförelägganden endast får användas för uppbörd. Polismyndigheten för också med stöd av personuppgiftslagen ett register över uppbörd på grund av allmän domstols dom. I promemorian Uppbörd av böter (Ds 2015:5) lämnas förslag till hur regelverket kan renodlas så att personuppgiftsbehandling i samband med framför allt utfärdande av förelägganden av ordningsbot skiljs från regleringen av personuppgiftsbehandlingen i samband med uppbörd av böter. Det föreslås också en ny lag om register över uppbörd av böter.
Efter att promemorian redovisades enades EU om en genomgripande dataskyddsreform som ska vara genomförd under våren 2018. Reformen omfattar dels en allmän dataskyddsförordning, dels ett dataskyddsdirektiv som behandlar dataskyddet vid bl.a. brottsbekämpning, lagföring och straffverkställighet. Utredningen om 2016 års dataskyddsdirektiv har föreslagit att det nya dataskyddsdirektivet ska genomföras i en ny ramlag, brottsdatalagen och att de brottsbekämpande myndigheternas registerförfattningar ska gälla utöver brottsdatalagen. Mitt uppdrag är att se över de författningsförslag som lämnades i promemorian Uppbörd av böter och lämna förslag på de ändringar som behövs med anledning av dataskyddsreformen. Förslagen utgår från och bygger vidare på de förslag som Utredningen om 2016 års dataskyddsdirektiv har redovisat.
Efter dataskyddsreformen finns det två grundregelverk för personuppgiftsbehandling - dataskyddsförordningen och brottsdatalagen. All personuppgiftsbehandling måste förhålla sig till något av dem. Personuppgiftsbehandling vid registrering av föreläggande av ordningsbot och strafföreläggande ligger inom brottsdatalagens tillämpningsområde. Även personuppgiftsbehandling vid uppbörd av böter ligger inom brottsdatalagens tillämpningsområde utom när det gäller uppbörd av vissa viten som omfattas av dataskyddsförordningens tillämpningsområde.
Personuppgiftsbehandling vid registrering av strafförelägganden och förelägganden av ordningsbot ska styras av bestämmelserna om gemensamt tillgängliga uppgifter i polisens brottsdatalag och Tullverkets brottsdatalag. Det kräver inga ändringar i dessa författningar.
Polisdatalagen och tullbrottsdatalagen gäller i dag i myndigheternas brottsbekämpande verksamhet. Brottsdatalagens tillämpningsområde omfattar även personuppgiftsbehandling i syfte att verkställa straffrättsliga påföljder. Registerförfattningarna kan därför även styra personuppgiftsbehandlingen vid uppbörd av böter. Tillämpningsområdet för registerförfattningarna ska anpassas så att de gäller när personuppgifter behandlas i syfte att verkställa straffrättsliga påföljder. Även bestämmelserna om rättslig grund och vilka personuppgifter som får göras gemensamt tillgängliga behöver anpassas när personuppgiftsbehandling vid straffverkställighet ska omfattas av tillämpningsområdet. Personuppgifter i uppbördsärenden ska som huvudregel inte få behandlas längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft eller föreläggandet godkändes.
I dag gäller absolut sekretess för uppgifter i register över straffförelägganden och förelägganden av ordningsbot. Det finns inte skäl att låta sekretessen för uppgifter i uppbördsverksamheten vara absolut när personuppgiftsbehandlingen vid registrering av förelägganden och uppbörd skiljs åt. Den bör i stället gälla med ett omvänt skaderekvisit, dvs. om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Sekretessen för uppgifter i register över förelägganden av ordningsbot och strafförelägganden ska fortsatt vara absolut.
När personuppgiftsbehandling vid både registrering av förelägganden och uppbörd styrs av myndigheternas registerförfattningar kan förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot upphävas.
Författningsändringarna föreslås träda i kraft den 1 januari 2019.
Promemorians lagförslag
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 35 kap. 1 och 4 §§ offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Lydelse enligt SOU 2017:74
Föreslagen lydelse
35 kap.
1 §
Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i
1. utredning enligt bestämmelserna om förundersökning i brottmål,
2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,
3. angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),
4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,
4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott eller verkställa straffrättsliga påföljder och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,
5. register som förs av Polismyndigheten enligt 5 kap. polisens brottsdatalag (2010:361) eller som annars behandlas med stöd av de bestämmelserna, eller uppgifter som behandlas av Säkerhetspolisen med stöd av Säkerhetspolisens datalag (2018:000),
6. register som förs enligt lagen (1998:621) om misstankeregister,
7. register som förs av Skatteverket enligt Skatteverkets brottsdatalag (2017:452) eller som annars behandlas där med stöd av samma lag,
8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller
9. register som förs av Tullverket enligt Tullverkets brottsdatalag (2017:447) eller som annars behandlas där med stöd av samma lag.
Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Första stycket gäller inte om annat följer av 2, 6 eller 7 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Nuvarande lydelse
Föreslagen lydelse
4 §
I annat fall än som avses i 1 § första stycket 5 och 6 och 3 § gäller sekretess i verksamhet som avser förande av eller uttag ur register
1. för uppgift som har tillförts ett särskilt register som förs över strafföreläggande och föreläggande av ordningsbot,
1. för uppgift som har tillförts register över strafföreläggande och föreläggande av ordningsbot,
2. för annan uppgift hos Polismyndigheten, som rör brott eller den som har misstänkts, åtalats eller dömts för brott, om uppgiften har lämnats dit för databehandling inom rättsväsendets informationssystem i ett annat register än som avses i 1,
3. för belastningsuppgift som har tillförts vägtrafikregistret, och
4. för uppgift som har tillförts ett särskilt register som författningsenligt förs hos myndighet angående brott eller tjänsteförseelser begångna av personer som är eller har varit verksamma hos myndigheten.
Sekretessen enligt första stycket 1 gäller inte i ärende om straffföreläggande eller föreläggande av ordningsbot.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Denna lag träder i kraft den 1 januari 2019.
Förslag till lag om ändring i polisens brottsdatalag (2010:361)
Härigenom föreskrivs i fråga om polisens brottsdatalag (2010:361)
dels att 1 kap. 1 och 6 §§, 2 kap. 1 §, 3 kap. 2 och 3 §§, 4 kap. 6, 9 och 10 §§ och 7 kap. 1 § ska ha följande lydelse,
dels att rubriken närmast före 4 kap. 3 § ska lyda "Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott eller uppbörd",
dels att det ska införas en ny paragraf, 4 kap. 5 a §, av följande lydelse.
Lydelse enligt SOU 2017:74
Föreslagen lydelse
1 kap.
1 §
Denna lag gäller utöver brottsdatalagen (2018:000) när någon av följande myndigheter i egenskap av behörig myndighet behandlar personuppgifter.
1. Polismyndigheten, om uppgifterna behandlas i syfte att bekämpa eller lagföra brott eller upprätthålla allmän ordning och säkerhet.
1. Polismyndigheten, om uppgifterna behandlas i syfte att bekämpa eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.
2. Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet.
3. Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgifterna behandlas i syfte att bekämpa och lagföra brott.
För Ekobrottsmyndigheten och Säkerhetspolisen gäller endast 1-4 och 7 kap.
6 §
Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:
1. 4 § om personuppgiftsansvar,
2. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter,
3. 3 kap. 2 § om gemensamt tillgängliga uppgifter,
4. 4 kap. 1-4 och 6-10 §§ om längsta tid som personuppgifter får behandlas,
4. 4 kap. 1-4, 5 a-10 §§ om längsta tid som personuppgifter får behandlas,
5. 5 kap. 18-20 §§ om behandling av personuppgifter i penningtvättsregister, och
6. 5 kap. 21 och 22 §§ om behandling av personuppgifter i det internationella registret.
Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:
1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,
2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,
3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,
4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och
5. 3 kap. 6 § om tillgången till personuppgifter.
2 kap.
1 §
Personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift i syfte att
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott,
3. verkställa straffrättsliga påföljder,
3. upprätthålla allmän ordning och säkerhet, eller
4. upprätthålla allmän ordning och säkerhet, eller
4. fullgöra förpliktelser som följer av internationella åtaganden.
5. fullgöra förpliktelser som följer av internationella åtaganden.
Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.
3 kap.
2 §
Följande personuppgifter får göras gemensamt tillgängliga:
1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten
a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller
b) sker systematiskt.
2. Uppgifter som behövs för övervakningen av en person som
a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller däröver och
b) är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.
3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.
4. Uppgifter som förekommer i ett ärende om uppbörd,
4. Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd.
5. Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd.
5. Uppgifter som har rapporterats till Polismyndighetens ledningscentraler.
6. Uppgifter som har rapporterats till Polismyndighetens ledningscentraler.
6. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.
7. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.
7. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
8. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
Dna-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 5 kap.
Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.
3 §
Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5.
Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 6.
4 kap.
5 a §
Personuppgifter i ett ärende om uppbörd får inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft eller strafföreläggandet eller föreläggandet av ordningsbot godkändes. Personuppgifter som avser värdeförverkande eller företagsbot får dock behandlas i tio år.
6 §
Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2 eller 4-7 som längst behandlas under den tid som anges i 7-10 §§.
Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2 eller 5-8 som längst behandlas under den tid som anges i 7-10 §§.
9 §
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 7 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 8 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
10 §
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 eller 6 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 6 eller 7 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
7 kap.
1 §
Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter,
2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller
3. 4 kap. 2-4 eller 7-10 §, 5 kap. 7, 15, 16, 20, 22 eller 26 § eller 6 kap. 6 § om längsta tid som personuppgifter får behandlas.
3. 4 kap. 2-4, 5 a eller 7-10 §, 5 kap. 7, 15, 16, 20, 22 eller 26 § eller 6 kap. 6 § om längsta tid som personuppgifter får behandlas.
Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.
Denna lag träder i kraft den 1 januari 2019.
Förslag till lag om ändring i Tullverkets brottsdatalag (2017:447)
Härigenom föreskrivs i fråga om Tullverkets brottsdatalag (2017:447)
dels att 1 kap. 1 och 4 §§, 2 kap. 1 §, 3 kap. 2 §, 4 kap. 7, 10 och 11 §§ och 5 kap. 1 § ska ha följande lydelse,
dels att rubriken närmast före 4 kap. 3 § ska lyda "Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott eller uppbörd",
dels att det ska införas en ny paragraf, 4 kap. 6 a §, av följande lydelse.
Lydelse enligt SOU 2017:74
Föreslagen lydelse
1 kap.
1 §
Denna lag gäller utöver brottsdatalagen (2018:000) när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att bekämpa eller lagföra brott.
Denna lag gäller utöver brottsdatalagen (2018:000) när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att bekämpa eller lagföra brott eller verkställa straffrättsliga påföljder.
4 §
Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:
1. 3 § om personuppgiftsansvar,
2. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter,
3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och
4. 4 kap. 1-5 och 8-11 §§ om längsta tid som personuppgifter får behandlas.
4. 4 kap. 1-5, 6 a och 8-11 §§ om längsta tid som personuppgifter får behandlas.
Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:000) gäller också vid sådan behandling:
1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,
2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,
3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,
4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och
5. 3 kap. 6 § om tillgången till personuppgifter.
2 kap.
1 §
Tullverket får behandla personuppgifter om det är nödvändigt för att utföra en arbetsuppgift i syfte att
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott, eller
2. utreda eller lagföra brott,
3. verkställa straffrättsliga påföljder, eller
3. fullgöra förpliktelser som följer av internationella åtaganden.
4. fullgöra förpliktelser som följer av internationella åtaganden.
Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för en sådan uppgift.
3 kap.
2 §
Följande personuppgifter får göras gemensamt tillgängliga:
1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten
a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller
b) sker systematiskt.
2. Uppgifter som behövs för övervakningen av en person som
a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller däröver, och
b) är allvarligt kriminellt belastad.
3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.
4. Uppgifter som förekommer i ett ärende om uppbörd.
4. Uppgifter som har rapporterats till Tullverkets ledningscentraler.
5. Uppgifter som har rapporterats till Tullverkets ledningscentraler.
5. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
6. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
Personuppgifter från transportföretag som behandlas enligt 2 kap. 10 § första stycket får göras gemensamt tillgängliga endast om det behövs i ett enskilt fall.
Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänste-män som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.
4 kap.
6 a §
Personuppgifter i ett ärende om uppbörd får inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft eller strafföreläggandet eller föreläggandet av ordningsbot godkändes.
7 §
Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2, 4 eller 5 som längst behandlas under den tid som anges i 8-11 §§.
Trots det som sägs i 2 kap. 17 § andra stycket brottsdatalagen (2018:000) får personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2, 5 eller 6 som längst behandlas under den tid som anges i 8-11 §§.
10 §
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
11 §
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 6 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
5 kap.
1 §
Sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
1. 2 kap. 1 § om tillåtna rättsliga grunder för behandling av personuppgifter,
2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller
3. 4 kap. 2-5 eller 8-11 § om längsta tid som personuppgifter får behandlas.
3. 4 kap. 2-5, 6 a eller 8-11 § om längsta tid som personuppgifter får behandlas.
Sanktionsavgiften ska vara minst 50 000 kronor och högst 20 000 000 kronor.
Denna lag träder i kraft den 1 januari 2019.
Förteckning över remissinstanserna
Efter remiss har yttranden över promemorian Uppbörd av böter efter EU:s dataskyddsreform (Ds 2018:3) inkommit från Riksdagens ombudsmän, Hovrätten över Skåne och Blekinge, Skaraborgs tingsrätt, Kammarrätten i Jönköping, Förvaltningsrätten i Malmö, Justitiekanslern, Domstolsverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Säkerhets- och integritetsskyddsnämnden, Brottsförebyggande rådet, Brottsoffermyndigheten, Kustbevakningen, Datainspektionen, Tullverket, Skatteverket, Kronofogdemyndigheten, Kammarkollegiet, Lunds universitet (Juridiska fakulteten), Transportstyrelsen, Riksarkivet, Sveriges advokatsamfund, Svenska Journalistförbundet och Sveriges Radio.
Sveriges kommuner och landsting har avstått från att yttra sig.
Svar har inte inkommit från Dataskydd.net.
Lagrådsremissens lagförslag
Förslag till kustbevakningsdatalag
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin operativa verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Kust-bevakningens operativa verksamhet som rör
1. sjöövervakning,
2. räddningstjänst,
3. samordning av civila behov av sjöövervakning och förmedling av civil sjöinformation, och
4. internationellt samarbete.
Lagen gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Förhållandet till annan reglering
3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till lagen.
Lagens tillämpning på juridiska personer
5 § Följande bestämmelser om personuppgifter gäller även vid behandling av uppgifter om juridiska personer:
1. 6 § om personuppgiftsansvar,
2. 7-11 §§ om ändamålen för behandlingen,
3. 17 § om tillgången till personuppgifter, och
4. 26 § om bevarande och gallring.
Personuppgiftsansvar
6 § Kustbevakningen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Ändamål
7 § Personuppgifter får behandlas om det är nödvändigt för att
1. bedriva sjöövervakning för att övervaka den allmänna ordningen och säkerheten till sjöss samt bedriva den kontroll och tillsyn som Kustbevakningen är skyldig att utföra,
2. bedriva räddningstjänst,
3. samordna civila behov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter,
4. utreda och besluta i ärenden om vattenföroreningsavgift och ta emot sådana avgifter, eller
5. fullgöra skyldigheter inom ramen för internationellt samarbete med sjöövervakning och räddningstjänst.
8 § Utöver vad som anges i 7 § får personuppgifter behandlas om
1. behandlingen är nödvändig för diarieföring, eller
2. uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
9 § Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i
1. Kustbevakningens verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet,
2. någon annan myndighets verksamhet, om
a) Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med en viss uppgift, eller
b) informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan, eller
3. likartad verksamhet hos en utländsk myndighet.
10 § Personuppgifter som behandlas enligt 7 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldigheten att lämna uppgifter följer av lag eller förordning, till någon annan.
11 § Personuppgifter som behandlas enligt 7 § får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Behandling av känsliga personuppgifter
12 § Om uppgifter om en person behandlas får de kompletteras med sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) när det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter får också behandlas med stöd av 8 §.
13 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.
Uppgifter som beskriver en persons utseende
14 § Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.
Tillgången till personuppgifter
15 § Med gemensamt tillgängliga uppgifter avses personuppgifter som görs eller har gjorts gemensamt tillgängliga i Kustbevakningens operativa verksamhet och som fler än endast ett fåtal personer inom myndigheten har rätt att ta del av.
16 § Personuppgifter som får behandlas enligt 7 § får göras gemensamt tillgängliga.
17 § Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.
Utlämnande av personuppgifter
18 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om i vilken utsträckning personuppgifter får lämnas ut till svenska och utländska myndigheter.
19 § Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av denna lag. Bestämmelser om direktåtkomst finns i 21-24 §§.
20 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.
Direktåtkomst
21 § Direktåtkomst får endast avse personuppgifter som har gjorts gemensamt tillgängliga. Direktåtkomsten får inte avse känsliga personuppgifter.
22 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka svenska myndigheter som får ha direktåtkomst till personuppgifter som behandlas med stöd av 7 § och om att utländska myndigheter får ha sådan åtkomst.
23 § En svensk myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
24 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet.
Information till den registrerade
25 § Information enligt artikel 13 i EU:s dataskyddsförordning behöver inte lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud, om inte behandlingen i övrigt innebär en direkt identifiering av en person. Sådan information behöver inte heller lämnas om uppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.
Bevarande och gallring
26 § Personuppgifter som behandlas automatiserat ska gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om digital arkivering.
Denna lag träder i kraft den 30 juni 2019.
Förslag till lag om ändring i vapenlagen (1996:67)
Härigenom föreskrivs i fråga om vapenlagen (1996:67)
dels att 1 a kap. 9 § ska upphöra att gälla,
dels att 1 a kap. 2, 3, 4, 6 och 10 §§ och rubriken närmast före 1 a kap. 6 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 1 a kap. 2 a §, av följande lydelse,
dels att det närmast före 1 a kap. 2 § ska införas en ny rubrik som ska lyda "Förhållandet till annan reglering".
Nuvarande lydelse
Föreslagen lydelse
1 a kap.
2 §
Polismyndigheten ska utse ett eller flera personuppgiftsombud för behandlingen av personuppgifter i vapenregister och vapenärenden.
Myndigheten ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.
Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.
2 a §
Vid behandling av personuppgifter som omfattas av brottsdatalagen (2018:1177) gäller bestämmelserna i detta kapitel utöver den lagen.
3 §
Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.
Om uppgifter om en person behandlas på annan grund, får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Polismyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
Om uppgifter om en person behandlas får de kompletteras med sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) när det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter får också behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Polismyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
4 §
Vid sökning i personuppgifter som behandlas med stöd av denna lag får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.
Rättelse och skadestånd
Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Skadestånd vid personuppgiftsbehandling som omfattas av brottsdatalagen
6 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som avses i 15 §.
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas vid behandling av personuppgifter i strid med bestämmelserna i detta kapitel eller föreskrifter som har meddelats i anslutning till dessa, om behandlingen omfattas av brottsdatalagen.
10 §
Utan hinder av vad som sägs i 9 § ska uppgifter om skjutvapen och sådana vapendelar som avses i 2 a kap. bevaras i vapenregister i 20 år. Detsamma gäller uppgifter om namn, adress och organisations- eller personnummer avseende den som har meddelats tillstånd att inneha skjutvapen eller tillstånd att driva handel med skjutvapen.
Uppgifter om skjutvapen och sådana vapendelar som avses i 2 a kap. ska bevaras i vapenregister i 20 år. Detsamma gäller uppgifter om namn, adress och organisations- eller personnummer avseende den som har meddelats tillstånd att inneha skjutvapen eller tillstånd att driva handel med skjutvapen.
Denna lag träder i kraft den 30 juni 2019.
Förslag till lag om ändring i lagen (1998:620) om belastningsregister
Härigenom föreskrivs i fråga om lagen (1998:620) om belastningsregister
dels att 1 a, 2, 9 och 20 §§ och rubriken närmast före 20 § ska ha följande lydelse,
dels att det ska införas tre nya paragrafer, 1 b, 22 och 23 §§, och närmast före 22 och 23 §§ nya rubriker av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 a §
Denna lag gäller utöver personuppgiftslagen (1998:204).
Denna lag gäller utöver brottsdatalagen (2018:1177).
Sökförbudet i 2 kap. 14 § brotts-datalagen hindrar inte att brottsrubriceringar och uppgifter om verkställighet av påföljd används som sökbegrepp vid sökning i belastningsregistret.
1 b §
Vid behandling av personuppgifter som inte omfattas av brottsdatalagen (2018:1177) kompletterar denna lag Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personuppgifter enligt första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
2 §
Belastningsregistret ska föras för att ge information om sådana belastningsuppgifter som behövs i verksamhet hos
1. Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen för att förebygga, upptäcka och utreda brott,
1. Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen för att förebygga, förhindra eller upptäcka brottslig verksamhet och utreda brott,
2. åklagarmyndigheter för beslut om förundersökning och åtal samt för utfärdande av strafföreläggande,
3. allmänna domstolar för straffmätning och val av påföljd och
3. allmänna domstolar för straffmätning och val av påföljd, och
4. Polismyndigheten och andra myndigheter vid sådan lämplighetsprövning, tillståndsprövning eller annan prövning som anges i författning.
Registret får användas också för att till en enskild lämna uppgifter som är av särskild betydelse i hans eller hennes verksamhet.
Registret får också användas för att lämna sådana uppgifter till en enskild som är av särskild betydelse i hans eller hennes verksamhet.
9 §
En enskild har rätt att på begäran skriftligen få ta del av samtliga uppgifter ur registret om sig själv. Sådana uppgifter ska på begäran lämnas ut utan avgift en gång per kalenderår.
En enskild har rätt att på begäran skriftligen få ta del av samtliga uppgifter ur registret om sig själv. Om sådana uppgifter finns har den enskilde även rätt att få sådan skriftlig information som anges i 4 kap. 3 § första stycket 1-8 brottsdatalagen (2018:1177). Uppgifterna ska på begäran lämnas ut utan avgift en gång per kalenderår.
En enskild som behöver ett registerutdrag om sig själv har rätt att få ett begränsat utdrag ur registret.
1. för att kunna ta till vara sin rätt i ett främmande land eller få tillstånd att resa in, bosätta sig eller arbeta där,
2. enligt bestämmelser i skollagen (2010:800),
3. enligt bestämmelser i lagen (2018:1219) om försäkringsdistribution,
4. enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn,
5. enligt bestämmelser i lagen (2010:479) om registerkontroll av personal som utför vissa insatser åt barn med funktionshinder, eller
6. enligt bestämmelser i lagen (2013:852) om registerkontroll av personer som ska arbeta med barn.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka uppgifter ett sådant utdrag som avses i andra stycket 1-3 ska innehålla.
Regeringen får meddela föreskrifter om vilka uppgifter ett sådant utdrag som avses i andra stycket 4-6 ska innehålla.
En begäran om uppgifter ur registret ska vara skriftlig och undertecknad av den sökande.
En begäran om uppgifter ur registret ska vara skriftlig. Polismyndigheten ska säkerställa att begäran görs av en behörig person.
Rättelse och skadestånd
Skadestånd vid personuppgiftsbehandling som omfattas av brottsdatalagen
20 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen.
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den, om behandlingen omfattas av brottsdatalagen.
Administrativa sanktionsavgifter vid personuppgiftsbehandling som omfattas av brottsdatalagen
22 §
En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna om gallring i 16-18 §§, om överträdelsen skett vid behandling av personuppgifter som omfattas av brottsdatalagen.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Överklagande
23 §
Polismyndighetens beslut att inte lämna information enligt 9 § första stycket eller att ta ut en avgift för sådan information får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 30 juni 2019.
Förslag till lag om ändring i lagen (1998:621) om misstankeregister
Härigenom föreskrivs i fråga om lagen (1998:621) om misstankeregister
dels att 1 a, 2, 8 a och 15 §§ och rubriken närmast före 15 § ska ha följande lydelse,
dels att det ska införas två nya paragrafer, 1 b och 16 §§, och närmast före 16 § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 a §
Denna lag gäller utöver personuppgiftslagen (1998:204).
Denna lag gäller utöver brottsdatalagen (2018:1177).
Sökförbudet i 2 kap. 14 § brottsdatalagen hindrar inte att brottsrubriceringar används som sökbegrepp vid sökning i misstankeregistret.
1 b §
Vid behandling av personuppgifter som inte omfattas av brottsdatalagen (2018:1177) kompletterar denna lag Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personuppgifter enligt första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
2 §
Misstankeregistret ska föras för att underlätta tillgången till sådana uppgifter om skälig misstanke om brott som behövs i verksamhet hos
1. Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen för att samordna förundersökningar mot en person och för att förebygga, upptäcka och utreda brott,
1. Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen för att samordna förundersökningar mot en person och för att förebygga, förhindra eller upptäcka brottslig verksamhet och utreda brott,
2. åklagarmyndigheter för beslut om förundersökning och åtal och
2. åklagarmyndigheter för beslut om förundersökning och åtal, och
3. Polismyndigheten och andra myndigheter vid sådan lämplighetsprövning, tillståndsprövning eller annan prövning som anges i författning.
Registret får användas också för att till en enskild lämna uppgifter som är av särskild betydelse i hans eller hennes verksamhet.
Registret får också användas för att lämna sådana uppgifter till en enskild som är av särskild betydelse i hans eller hennes verksamhet.
8 a §
En enskild som behöver ett registerutdrag om sig själv enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn har rätt att få ett begränsat utdrag ur registret. Regeringen får meddela föreskrifter om vilka uppgifter ett sådant utdrag ska innehålla.
En begäran om uppgifter ur registret ska vara skriftlig och undertecknad av den sökande.
En enskild som behöver ett registerutdrag om sig själv enligt bestämmelser i lagen (2007:171) om registerkontroll av personal vid vissa boenden som tar emot barn, har rätt att få ett begränsat utdrag ur registret.
Regeringen får meddela föreskrifter om vilka uppgifter ett sådant utdrag som avses i första stycket ska innehålla.
En begäran om uppgifter ur registret ska vara skriftlig. Polismyndigheten ska säkerställa att begäran görs av en behörig person.
Rättelse och skadestånd
Skadestånd vid personuppgiftsbehandling som omfattas av brottsdatalagen
15 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen.
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den, om behandlingen omfattas av brottsdatalagen.
Administrativa sanktionsavgifter vid personuppgiftsbehandling som omfattas av brottsdatalagen
16 §
En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelsen om gallring i 13 §, om överträdelsen skett vid behandling av personuppgifter som omfattas av brottsdatalagen.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Denna lag träder i kraft den 30 juni 2019.
Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem
Härigenom föreskrivs i fråga om lagen (2000:344) om Schengens informationssystem
dels att 15 § ska upphöra att gälla,
dels att rubriken närmast före 15 § ska utgå,
dels att 16 och 17 §§ och rubrikerna närmast före 16 och 17 §§ ska ha följande lydelse,
dels att rubriken närmast före 7 § ska lyda "Förbud mot registrering av vissa uppgifter",
dels att det ska införas två nya paragrafer, 1 a och 1 b §§, och närmast före 1 a § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till annan reglering
1 a §
Denna lag gäller utöver brottsdatalagen (2018:1177).
1 b §
Vid behandling av personuppgifter som inte omfattas av brottsdatalagen (2018:1177) kompletterar denna lag Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personuppgifter enligt första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Skadestånd
Skadestånd vid personuppgiftsbehandling som omfattas av brottsdatalagen
16 §
Vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen gäller i fråga om skadestånd 48 § första stycket personuppgiftslagen (1998:204).
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den, om behandlingen omfattas av brottsdatalagen.
Överklagande
Administrativa sanktionsavgifter vid personuppgiftsbehandling som omfattas av brottsdatalagen
17 §
Polismyndighetens beslut enligt 15 § får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna om gallring och bevarande av personuppgifter i 11 § och 14 §, om överträdelsen skett vid behandling av personuppgifter som omfattas av brottsdatalagen.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Denna lag träder i kraft den 30 juni 2019.
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 35 kap. 1 och 4 §§ offentlighets- och sekretesslagen ska ha följande lydelse.
Lydelse enligt SFS 2018:1716
Föreslagen lydelse
35 kap.
1 §
Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i
1. utredning enligt bestämmelserna om förundersökning i brottmål,
2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,
3. angelägenhet som avser säkerhetsprövning enligt säkerhetsskydds-lagen (2018:585),
4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,
4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott eller verkställa uppbörd och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,
5. register som förs av Polismyndigheten enligt 5 kap. lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas med stöd av de bestämmelserna,
6. register som förs enligt lagen (1998:621) om misstankeregister,
7. register som förs av Skatteverket enligt lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag,
8. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §, eller
9. register som förs av Tullverket enligt lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område eller som annars behandlas där med stöd av samma lag.
Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Första stycket gäller inte om annat följer av 2, 6 eller 7 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Nuvarande lydelse
Föreslagen lydelse
4 §
I annat fall än som avses i 1 § första stycket 5 och 6 och 3 § gäller sekretess i verksamhet som avser förande av eller uttag ur register
1. för uppgift som har tillförts ett särskilt register som förs över strafföreläggande och föreläggande av ordningsbot,
1. för uppgift som har tillförts register över strafförelägganden och förelägganden av ordningsbot,
2. för annan uppgift hos Polismyndigheten, som rör brott eller den som har misstänkts, åtalats eller dömts för brott, om uppgiften har lämnats dit för databehandling inom rättsväsendets informationssystem i ett annat register än som avses i 1,
3. för belastningsuppgift som har tillförts vägtrafikregistret, och
4. för uppgift som har tillförts ett särskilt register som författningsenligt förs hos myndighet angående brott eller tjänsteförseelser begångna av personer som är eller har varit verksamma hos myndigheten.
Sekretessen enligt första stycket 1 gäller inte i ärende om strafföreläggande eller föreläggande av ordningsbot.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Denna lag träder i kraft den 30 juni 2019.
Förslag till lag om ändring i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs i fråga om lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område
dels att 1 kap. 1 och 6 §§, 2 kap. 1 §, 3 kap. 2 och 3 §§, 4 kap. 6 och 9-11 §§ och 7 kap. 1 § ska ha följande lydelse,
dels att rubriken närmast före 4 kap. 3 § ska lyda "Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott eller om uppbörd",
dels att det ska införas en ny paragraf, 4 kap. 5 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
1 §
Denna lag gäller utöver brottsdatalagen (2018:1177) när någon av följande myndigheter i egenskap av behöriga myndigheter behandlar personuppgifter:
1. Polismyndigheten, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller upprätthålla allmän ordning och säkerhet,
1. Polismyndigheten, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa uppbörd eller upprätthålla allmän ordning och säkerhet,
2. Ekobrottsmyndigheten, om uppgifterna behandlas i syfte att utreda brott och det inte är fråga om åklagarverksamhet, och
3. Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.
För Ekobrottsmyndigheten och Säkerhetspolisen gäller endast 1-4 och 7 kap.
För Ekobrottsmyndigheten och Säkerhetspolisen gäller endast 1-4 kap. och 7 kap.
6 §
Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:
1. 4 § om personuppgiftsansvar,
2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
3. 3 kap. 2 § om gemensamt tillgängliga uppgifter,
4. 4 kap. 1-4 och 6-11 §§ om längsta tid som personuppgifter får behandlas,
4. 4 kap. 1-4 och 5 a-11 §§ om längsta tid som personuppgifter får behandlas,
5. 5 kap. 18-20 §§ om behandling av personuppgifter i penningtvättsregister, och
6. 5 kap. 21 och 22 §§ om behandling av personuppgifter i det internationella registret.
Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:1177) gäller också vid sådan behandling:
1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,
2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,
3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,
4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och
5. 3 kap. 6 § om tillgången till personuppgifter.
2 kap.
1 §
Personuppgifter får behandlas om det är nödvändigt för att en myndighet som nämns i 1 kap. 1 § ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott,
3. upprätthålla allmän ordning och säkerhet, eller
4. fullgöra förpliktelser som följer av internationella åtaganden.
3. verkställa uppbörd,
4. upprätthålla allmän ordning och säkerhet, eller
5. fullgöra förpliktelser som följer av internationella åtaganden.
3 kap.
2 §
Följande personuppgifter får göras gemensamt tillgängliga:
1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten
a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller
b) sker systematiskt.
2. Uppgifter som behövs för övervakningen av en person som
a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och
b) är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet.
3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.
4. Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd.
5. Uppgifter som har rapporterats till Polismyndighetens ledningscentraler.
6. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.
7. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
4. Uppgifter som förekommer i ett ärende om uppbörd.
5. Uppgifter som förekommer i ett ärende om kontaktförbud eller om personskydd.
6. Uppgifter som har rapporterats till Polismyndighetens ledningscentraler.
7. Uppgifter som behandlas i syfte att upprätthålla allmän ordning och säkerhet.
8. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
Dna-profiler får inte göras gemensamt tillgängliga. Att sådana uppgifter får behandlas i särskilda register följer av 5 kap.
Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.
3 §
Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 5.
Det ska framgå genom en särskild upplysning eller på något annat sätt om personuppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2 eller 6.
4 kap.
5 a §
Personuppgifter i ett ärende om uppbörd får inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft eller strafföreläggandet eller föreläggandet av en ordningsbot godkändes. Personuppgifter som avser värdeförverkande eller företagsbot får dock behandlas i tio år.
6 §
Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2 eller 4-7 får som längst behandlas under den tid som anges i 7-11 §§.
Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2 eller 5-8 får som längst behandlas under den tid som anges i 7-11 §§.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av 7-11 §§.
9 §
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter det att ärendet som uppgifterna behandlades i avslutades.
10 §
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 eller 6 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 6 eller 7 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
11 §
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 7 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 8 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
7 kap.
1 §
En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller
3. 4 kap. 2-4 eller 7-11 §, 5 kap. 7, 15, 16, 20, 22 eller 26 § eller 6 kap. 6 § om längsta tid som personuppgifter får behandlas.
3. 4 kap. 2-4, 5 a eller 7-11 §, 5 kap. 7, 15, 16, 20, 22 eller 26 § eller 6 kap. 6 § om längsta tid som personuppgifter får behandlas.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Denna lag träder i kraft den 30 juni 2019.
Förslag till lag om ändring i lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs i fråga om lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område
dels att 1 kap. 1 och 4 §§, 2 kap. 1 §, 3 kap. 2 §, 4 kap. 7, 10 och 11 §§ och 5 kap. 1 § ska ha följande lydelse,
dels att rubriken närmast före 4 kap. 4 § ska lyda "Gemensamt tillgängliga uppgifter i ärenden om utredning av eller lagföring för brott eller om uppbörd",
dels att det ska införas en ny paragraf, 4 kap. 6 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
1 §
Denna lag gäller utöver brottsdatalagen (2018:1177) när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.
Denna lag gäller utöver brottsdatalagen (2018:1177) när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa uppbörd.
4 §
Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:
1. 3 § om personuppgiftsansvar,
2. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
3. 3 kap. 2 § om gemensamt tillgängliga uppgifter, och
4. 4 kap. 1-5 och 8-11 §§ om längsta tid som personuppgifter får behandlas.
4. 4 kap. 1-5, 6 a och 8-11 §§ om längsta tid som personuppgifter får behandlas.
Bestämmelserna om personuppgifter i följande paragrafer i brottsdatalagen (2018:1177) gäller också vid sådan behandling:
1. 2 kap. 2 § om diarieföring och handläggning i vissa fall,
2. 2 kap. 3 § andra stycket om ändamålet med behandlingen,
3. 2 kap. 17 § om längsta tid som personuppgifter får behandlas,
4. 2 kap. 4 och 22 §§ om behandling för nya ändamål, och
5. 3 kap. 6 § om tillgången till personuppgifter.
2 kap.
1 §
Tullverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott, eller
3. fullgöra förpliktelser som följer av internationella åtaganden.
2. utreda eller lagföra brott,
3. verkställa uppbörd, eller
4. fullgöra förpliktelser som följer av internationella åtaganden.
3 kap.
2 §
Följande personuppgifter får göras gemensamt tillgängliga:
1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten
a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller
b) sker systematiskt.
2. Uppgifter som behövs för övervakningen av en person som
a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och
b) är allvarligt kriminellt belastad.
3. Uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott.
4. Uppgifter som har rapporterats till Tullverkets ledningscentraler.
5. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
4. Uppgifter som förekommer i ett ärende om uppbörd.
5. Uppgifter som har rapporterats till Tullverkets ledningscentraler.
6. Uppgifter som behandlas i syfte att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
Personuppgifter från transportföretag som behandlas enligt 2 kap. 10 § första stycket får göras gemensamt tillgängliga endast om det behövs i ett enskilt fall.
Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.
4 kap.
6 a §
Personuppgifter i ett ärende om uppbörd får inte behandlas för ändamål inom denna lags tillämpningsområde längre än fem år efter utgången av det kalenderår då domstolens avgörande fick laga kraft eller strafföreläggandet eller föreläggandet av en ordningsbot godkändes.
7 §
Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2, 4 eller 5 får som längst behandlas under den tid som anges i 8-11 §§.
Personuppgifter som har gjorts gemensamt tillgängliga med stöd av 3 kap. 2 § första stycket 1, 2, 5 eller 6 får som längst behandlas under den tid som anges i 8-11 §§.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpningen av 8-11 §§.
10 §
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 4 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.
11 §
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 5 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
Personuppgifter som behandlas med stöd av 3 kap. 2 § första stycket 6 får inte behandlas längre än ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
5 kap.
1 §
En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
1. 2 kap. 1 § om rättsliga grunder för behandling av personuppgifter,
2. 3 kap. 3 och 4 §§ om särskilda upplysningar, eller
3. 4 kap. 2-5 eller 8-11 § om längsta tid som personuppgifter får behandlas.
3. 4 kap. 2-5, 6 a eller 8-11 § om längsta tid som personuppgifter får behandlas.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Denna lag träder i kraft den 30 juni 2019.
Förslag till lag om ändring i lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs att punkt 4 i ikraftträdande- och övergångsbestämmelserna till lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område ska upphöra att gälla.
Denna lag träder i kraft den 30 juni 2019.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2019-02-07
Närvarande: F.d. justitieråden Eskil Nord och Lena Moore samt justitierådet Dag Mattsson
Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet - anpassningar till EU:s dataskyddsreform
Enligt en lagrådsremiss den 17 januari 2019 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till
1. kustbevakningsdatalag,
2. lag om ändring i vapenlagen (1996:67),
3. lag om ändring i lagen (1998:620) om belastningsregister,
4. lag om ändring i lagen (1998:621) om misstankeregister,
5. lag om ändring i lagen (2000:344) om Schengens
informationssystem,
6. lag om ändring i offentlighets- och sekretesslagen (2009:400),
7. lag om ändring i lagen (2018:1693) om polisens behandling av
personuppgifter inom brottsdatalagens område,
8. lag om ändring i lagen (2018:1694) om Tullverkets behandling av
personuppgifter inom brottsdatalagens område,
9. lag om ändring i lagen (2018:1695) om Kustbevakningens
behandling av personuppgifter inom brottsdatalagens område.
Förslagen har inför Lagrådet föredragits av rättssakkunnige Max Stille.
Förslagen föranleder följande yttrande av Lagrådet:
Förslaget till kustbevakningsdatalag
15-17 §§
Bestämmelserna bör redovisas i en annan ordning och samlas i två paragrafer, 15 och 16 §§. Innehållet i 17 §, som ger grundbestämmelsen om tillgången till personuppgifter, bör placeras först. Bestämmelsen i remissens 15 § om vad som avses med gemensamt tillgängliga uppgifter bör placeras som ett andra stycke i 16 § där det anges vilka uppgifter som får göras gemensamt tillgängliga.
Enligt definitionen av begreppet gemensamt tillgängliga uppgifter i remissens 15 § avses uppgifter som görs eller har gjorts gemensamt tillgängliga. Lagrådet ifrågasätter innebörden av uttrycket "som görs" (jfr remissens 21 § där uttrycket saknas och även t.ex. motsvarande men tydligare reglering i 3 kap. 1 och 2 §§ lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område). Frågan bör behandlas under den fortsatta beredningen.
Lagrådet föreslår att paragraferna ges följande lydelse.
15 § Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.
16 § Personuppgifter som får behandlas enligt 7 § får göras gemensamt tillgängliga.
Med gemensamt tillgängliga uppgifter avses personuppgifter som [görs eller] har gjorts gemensamt tillgängliga i Kustbevakningens operativa verksamhet och som fler än endast ett fåtal personer inom myndigheten har rätt att ta del av.
Remissens 22 och 24 §§
I 22 § finns en upplysningsbestämmelse om regeringens möjlighet att utfärda föreskrifter om vilka myndigheter som får ha direktåtkomst till personuppgifter.
Paragrafen har i remissen fått en något otymplig utformning. Vidare ger paragrafen intryck av att regeringen i fråga om utländska myndigheter kan meddela föreskrifter bara på två sätt, antingen så att utländska myndigheter ska få ha direktåtkomst eller så att utländska myndigheter inte ska få ha detta. Tanken är emellertid att föreskrifter ska kunna meddelas om att vissa utländska myndigheter ska få ha direktåtkomst, t.ex. de myndigheter som deltar i ett visst internationellt samarbete. Även om samma oklarhet finns i nuvarande lagtext, bör innebörden av föreskriftsmöjligheten tydliggöras.
Bestämmelsen i 24 § om föreskriftsrätt om bl.a. omfattningen av direktåtkomsten bör lämpligen läggas som ett andra stycke i 22 §.
Lagrådet föreslår att 22 § utformas enligt följande.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka svenska och utländska myndigheter som får ha direktåtkomst till personuppgifter som behandlas med stöd av 7 § i denna lag.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet.
Förslaget till lag om ändring i vapenlagen
1 a kap. 2 och 2 a §§
I 2 § andra stycket bör orden "enligt första stycket" ersättas med "som omfattas av EU:s dataskyddsförordning".
I remissen behålls 1 a kap. 1 § om att Polismyndigheten är personuppgiftsansvarig oförändrad. Det kan övervägas att placera de nya bestämmelserna, och den nya rubriken, först i kapitlet som 1 och 1 a §§ (varvid nuvarande 1 § får betecknas 2 §).
1 a kap. 3 §
Paragrafen reglerar behandling av känsliga personuppgifter.
Paragrafen är utformad så att den hänvisar bara till EU:s dataskyddsförordning när det gäller innebörden av begreppet känsliga personuppgifter. Detta kan ge läsaren ett felaktigt intryck av tillämpningsområdet; paragrafen ska vara tillämplig också vid behandling som omfattas av brottsdatalagen.
Lagrådet föreslår att paragrafen utformas enligt följande.
Om uppgifter om en person behandlas, får de kompletteras med känsliga personuppgifter när detta är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter får också behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Polismyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
Vad som avses med känsliga personuppgifter framgår av artikel 9.1 i EU:s dataskyddsförordning och 2 kap. 11-13 §§ brottsdatalagen (2018:1177).
1 a kap. 6 §
Den begränsning som ligger i att "behandlingen omfattas av brottsdatalagen" bör placeras tidigare i paragrafen. Lagrådet föreslår att paragrafen ges följande utformning.
Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas om behandling av personuppgifter som omfattas av brottsdatalagen skett i strid med detta kapitel eller föreskrifter som meddelats i anslutning till kapitlet.
Förslaget till lag om ändring i lagen om belastningsregister
1 a §
Bestämmelsen i andra stycket om undantag från sökförbudet i brottsdatalagen har fått en mindre lyckad placering. Bestämmelsen skymmer sikten för den övergripande regleringen i 1 a och 1 b §§. Den passar heller inte så väl in under rubriken närmast före 1 a §, Förhållandet till andra bestämmelser om personuppgiftsbehandling. Bestämmelsen är svårplacerad men en något bättre, om än inte självklar, placering skulle vara i en ny 5 a § under egen (fet) rubrik, "Sökbegrepp vid sökning i registret".
2 §
Paragrafen anger ändamålen med belastningsregistret. Enligt remissen har andra stycket ändrats endast redaktionellt.
Genom omskrivningen har lagtexten blivit inte bara mera svårläst utan också sakligt missvisande. Det som ska framhållas i bestämmelsen är att denna ger möjlighet till användning av registret för att kunna lämna uppgifter till en enskild, till skillnad från den användning för allmänna ändamål som föreskrivs i första stycket. Detta framgår tydligt och enkelt av nuvarande lydelse men inte av den föreslagna lagtexten. Omskrivningen bör inte göras.
20 §
Se Lagrådets synpunkter vid 1 a kap. 6 § förslaget till lag om ändring i vapenlagen.
23 §
Lagrådet ifrågasätter behovet av denna paragraf mot bakgrund av vad som gäller i fråga om överklagande enligt den nya förvaltningslagen. Paragrafen kan även riskera att leda till felaktiga motsatsslut. (Jfr bl.a. prop. 2009/10:86 s. 47 f. och s. 67.)
Förslaget till lag om ändring i lagen om misstankeregister
1 a §
Med hänvisning till Lagrådets synpunkter vid 1 a § förslaget till lag om ändring i lagen om belastningsregister kan andra stycket placeras i en ny 4 a § under egen (fet) rubrik, "Sökbegrepp vid sökning i registret".
2 §
Se Lagrådets synpunkter vid 2 § förslaget till lag om ändring i lagen om belastningsregister.
15 §
Se Lagrådets synpunkter vid 1 a kap. 6 § förslaget till lag om ändring i vapenlagen.
Förslaget till lag om ändring i lagen om Schengens informationssystem
16 §
Se Lagrådets synpunkter vid 1 a kap. 6 § förslaget till lag om ändring i vapenlagen.
Övriga lagförslag
Lagrådet lämnar förslagen utan erinran.
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 14 mars 2019
Närvarande: statsminister Löfven, ordförande, och statsråden Wallström, Y Johansson, M Johansson, Baylan, Hallengren, Hultqvist, Andersson, Bolund, Damberg, Strandhäll, Shekarabi, Ygeman, Linde, Eneroth, Dahlgren, Nilsson, Ernkrans, Lind
Föredragande: statsrådet Damberg
Regeringen beslutar proposition Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet - anpassningar till EU:s dataskyddsreform