Regeringskansliets rättsdatabaser

Regeringens proposition 2017/18:248 Kriminalvårdsdatalag - en ny lag med anpassning till EU:s dataskyddsförordning Prop. 2017/18:248 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 19 april 2018 Stefan Löfven Morgan Johansson (Justitiedepartementet) Propositionens huvudsakliga innehåll Regeringen föreslår en ny lag, kriminalvårdsdatalagen, som ska gälla för behandling av personuppgifter inom den del av Kriminalvårdens verksamhet som inte omfattas av brottsdatalagens tillämpningsområde. Genom den nya lagen anpassas regleringen av personuppgifter inom Kriminalvården till EU:s dataskyddsförordning. Förordningen är direkt tillämplig från och med den 25 maj 2018 men ger utrymme för kompletterande nationella bestämmelser. Den nya lagen föreslås träda i kraft den 1 augusti 2018. Innehållsförteckning 1 Förslag till riksdagsbeslut 4 2 Förslag till kriminalvårdsdatalag 5 3 Ärendet och dess beredning 7 4 Personuppgiftsbehandling inom Kriminalvården 7 4.1 Den nuvarande generella regleringen - dataskyddsdirektivet och personuppgiftslagen 7 4.2 Kriminalvårdens uppdrag och lagen om behandling av personuppgifter inom kriminalvården 8 4.3 EU:s dataskyddsreform 9 4.4 Dataskyddslagen och brottsdatalagen 9 4.5 En fortsatt särskild reglering av personuppgiftsbehandling inom Kriminalvården 10 5 Kriminalvårdsdatalagen 11 5.1 Behovet av en ny lag med kompletterande bestämmelser till dataskyddsförordningen 11 5.2 Lagens förhållande till annan reglering 12 5.3 Lagens tillämpningsområde 15 5.4 Rättslig grund 19 5.5 Ändamålsbestämmelser 21 5.6 Behandling av känsliga personuppgifter 24 5.7 Sökbegränsningar 26 5.8 Tillgången till personuppgifter 28 5.9 Sekretess ska gå före skyldigheten att informera om personuppgiftsincidenter 29 5.10 Föreskriftsrätt 30 5.11 Ikraftträdande- och övergångsbestämmelser 31 6 Konsekvenser av förslagen 32 7 Författningskommentar 33 Bilaga 1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) 40 Bilaga 2 Sammanfattning av departementspromemorian Kriminalvårdens datalag - anpassning till EU:s dataskyddsförordning (Ds 2017:46) 128 Bilaga 3 Promemorians lagförslag 132 Bilaga 4 Förteckning över remissinstanserna (Ds 2017:46) 135 Bilaga 5 Lagrådsremissens lagförslag 136 Bilaga 6 Lagrådets yttrande 138 Utdrag ur protokoll vid regeringssammanträde den 19 april 2018 140 1 Förslag till riksdagsbeslut Regeringen föreslår att riksdagen antar regeringens förslag till kriminalvårdsdatalag. 2 Förslag till kriminalvårdsdatalag Härigenom föreskrivs följande. Lagens tillämpningsområde 1 § Denna lag gäller vid behandling av personuppgifter i Kriminalvårdens verksamhet som avser verkställighet av frihetsberövanden och genomförande av transporter i de fall brottsdatalagen (2018:000) inte är tillämplig. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Förhållandet till annan reglering 2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Ändamål 3 § Personuppgifter får behandlas om det är nödvändigt för att verkställa frihetsberövanden eller genomföra transporter. Uppgifter i Kriminalvårdens säkerhetsregister får dock endast behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. 4 § Personuppgifter som behandlas enligt 3 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Personuppgifterna får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Behandling av känsliga personuppgifter 5 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas endast om det är absolut nödvändigt för syftet med behandlingen. Sökbegränsningar 6 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökförbudet hindrar inte sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Tillgången till personuppgifter 7 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Information om personuppgiftsincidenter 8 § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Rätt att meddela föreskrifter 9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka myndigheter som får ha direktåtkomst till personuppgifter. 1. Denna lag träder i kraft den 1 augusti 2018. 2. För överklagande av beslut som rör behandling av personuppgifter i verksamhet som omfattas av denna lag och som före ikraftträdandet har meddelats med stöd av lagen (2001:617) om behandling av personuppgifter inom kriminalvården gäller den lagen i den nuvarande lydelsen. 3 Ärendet och dess beredning Den 27 april 2016 utfärdades Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta det nuvarande dataskyddsdirektivet och utgöra den generella regleringen av personuppgiftsbehandling inom EU. Dataskyddsförordningen är direkt tillämplig men innehåller bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen finns i bilaga 1. Chefen för Justitiedepartementet gav i september 2016 en sakkunnig person i uppdrag att lämna förslag på de författningsändringar som behövs i domstolsdatalagen (2015:728) och domstolsdataförordningen (2015:729) med anledning av dataskyddsförordningen (Ju2016/06265/LP). Genom tilläggsuppdrag gavs utredaren i uppdrag att även lämna förslag på de författningsändringar som behövs för att anpassa Kriminalvårdens personuppgiftsreglering med anledning av dataskyddsförordningen. Uppdraget som avsåg Kriminalvårdens personuppgiftsreglering redovisades i september 2017 i departementspromemorian Kriminalvårdens datalag - anpassning till EU:s dataskyddsförordning (Ds 2017:46). En sammanfattning av promemorian finns i bilaga 2 och promemorians lagförslag finns i bilaga 3. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. Remissyttrandena finns tillgängliga i Justitiedepartementet (Ju2017/07642/L5). Lagrådet Regeringen beslutade den 21 mars 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga 6. Regeringen följer i allt väsentligt Lagrådets synpunkter. Dessa behandlas i avsnitt 5.10, 5.11 och 7. I förhållande till lagrådsremissens förslag har vissa redaktionella ändringar gjorts. 4 Personuppgiftsbehandling inom Kriminalvården 4.1 Den nuvarande generella regleringen - dataskyddsdirektivet och personuppgiftslagen Den allmänna regleringen om behandling av personuppgifter inom EU finns i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, 1995 års dataskyddsdirektiv. Direktivets syfte är att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter i samband med behandling av personuppgifter. Syftet är vidare att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Sverige har genomfört direktivet främst genom personuppgiftslagen (1998:204). Lagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen följer i princip samma struktur som direktivet och innehåller bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade. Personuppgiftslagen gäller för både myndigheter och enskilda som behandlar personuppgifter. Lagen är subsidiär, vilket innebär att personuppgiftslagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns ett stort antal sådana bestämmelser i de sektorsspecifika s.k. registerförfattningar som reglerar myndigheters personuppgiftsbehandling. Personuppgiftslagen kompletteras av bestämmelser i personuppgiftsförordningen (1998:1191) som bl.a. pekar ut Datainspektionen som tillsynsmyndighet. 4.2 Kriminalvårdens uppdrag och lagen om behandling av personuppgifter inom kriminalvården Kriminalvården ansvarar enligt 1 § förordningen (2007:1172) med instruktion för Kriminalvården för att verkställa utdömda påföljder, bedriva häktesverksamhet samt utföra personutredningar i brottmål. Enligt 2 § ska Kriminalvården bl.a. verka för att påföljder verkställs på ett säkert, humant och effektivt sätt och att återfall i brott förebyggs. Kriminalvården ska särskilt vidta åtgärder som syftar till att brottslighet under verkställigheten förhindras. Kriminalvården ska vidare, enligt 6 §, verkställa de transporter som Polismyndigheten och Säkerhetspolisen överlämnar enligt 29 a § polislagen (1984:387) samt lämna andra myndigheter den hjälp med transport som är särskilt föreskrivet. Sedan den 1 oktober 2001 regleras kriminalvårdens personuppgiftsbehandling i lagen (2001:617) om behandling av personuppgifter inom kriminalvården och i förordningen (2001:682) om behandling av personuppgifter inom kriminalvården. Syftet med kriminalvårdens personuppgiftsreglering är att ge kriminalvården möjlighet att behandla personuppgifter utifrån de särskilda behov som myndigheterna har i sina respektive verksamheter och att göra avvägningar mellan verksamhetens behov av effektivitet och den enskildes rätt till skydd för sin integritet. Lagen om behandling av personuppgifter inom kriminalvården gäller enligt 1 § vid behandling av personuppgifter i kriminalvårdens verksamhet i fråga om personer som är föremål för personutredning, häktade, dömda till fängelse eller skyddstillsyn, dömda till villkorlig dom med föreskrift om samhällstjänst eller ålagda fängelse som förvandlingsstraff för böter eller vite. Lagen gäller vidare vid behandling av personuppgifter i fråga om personer som på grund av utländsk dom ska verkställa en sådan påföljd som avses ovan i Sverige, som på annan grund är intagna i häkte eller kriminalvårdsanstalt eller som annars transporteras av kriminalvårdens transporttjänst. Även annan sektorspecifik reglering av personuppgiftsbehandling är i vissa fall tillämplig vid personuppgiftsbehandling inom kriminalvården, t.ex. patientdatalagen (2008:355) som är tillämplig när kriminalvården bedriver hälso- och sjukvård. Kriminalvårdens personuppgiftsreglering har, till skillnad från flera andra registerförfattningar, inte setts över materiellt sedan den tillkom några år efter personuppgiftslagen. Lagstiftningen gäller utöver personuppgiftslagen, dvs. den innehåller de bestämmelser som utöver personuppgiftslagen är nödvändiga för kriminalvårdens verksamhet. Lagen om behandling av personuppgifter inom kriminalvården består av 17 paragrafer, medan förordningen om behandling av personuppgifter inom kriminalvården innehåller 49 paragrafer. Regleringen om personuppgiftsbehandling finns därmed till största del i den tillhörande förordningen. Mot denna bakgrund kan det finnas behov av att göra en översyn av kriminalvårdens registerlagstiftning. 4.3 EU:s dataskyddsreform Europeiska kommissionen presenterade 2012 förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslagen avsåg dels en förordning som ersätter 1995 års dataskyddsdirektiv, dels ett nytt direktiv med särregler för personuppgiftsbehandling som utförs för bl.a. brottsbekämpning, lagföring och straffverkställighet. Dataskyddsförordningen antogs den 27 april 2016. Syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter, och att främja det fria flödet av personuppgifter inom unionen. Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta 1995 års dataskyddsdirektiv och utgöra den generella regleringen av personuppgiftsbehandling inom EU. Samtidigt med dataskyddsförordningen antogs Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, dataskyddsdirektivet. Dataskyddsförordningen gäller inte för sådan personuppgiftsbehandling som omfattas av direktivets tillämpningsområde (artikel 2.2 d i dataskyddsförordningen). Direktivet ska vara genomfört i nationell rätt senast den 6 maj 2018. 4.4 Dataskyddslagen och brottsdatalagen I propositionen Ny dataskyddslag föreslås att personuppgiftslagen ska upphävas och att en ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, ska införas (prop. 2017/18:105). Dataskyddslagen innehåller bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan i svensk rätt. Lagen reglerar bl.a. frågor om rättslig grund för behandling av personuppgifter, känsliga personuppgifter, tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i sektorsspecifika registerförfattningar. I propositionen Brottsdatalag, som beslutades av regeringen den 19 april 2018, föreslås att dataskyddsdirektivet ska genomföras i svensk rätt bl.a. genom en ny ramlag, brottsdatalagen (prop. 2017/18:232). I lagrådsremissen Brottsdatalag - kompletterande lagstiftning, som beslutades av regeringen den 5 april 2018, föreslås vidare anpassningar och andra ändringar i de brottsbekämpande myndigheternas registerförfattningar. Där föreslås bl.a. att lagen om behandling av personuppgifter inom kriminalvården ska byta namn till lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område. Vissa delar av kriminalvårdens verksamhet faller under dataskyddsförordningens tillämpningsområde medan den största delen av verksamheten faller under dataskyddsdirektivets tillämpningsområde. En analys av brottsdatalagens tillämpningsområde och de gränsdragningsfrågor som kan uppstå vid kriminalvårdens personuppgiftsbehandling finns i delbetänkandet Brottsdatalag av Utredningen om 2016 års dataskyddsdirektiv (SOU 2017:29 s. 181 f.) och i propositionen Brottsdatalag (avsnitt 6.4 och 6.7). 4.5 En fortsatt särskild reglering av personuppgiftsbehandling inom Kriminalvården Regeringens bedömning: EU:s dataskyddsförordning ger utrymme för en särskild reglering om behandling av personuppgifter inom Kriminalvården. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning. Skälen för regeringens bedömning: EU-förordningar ska enligt artikel 288 i fördraget om Europeiska unionens funktionssätt ha allmän giltighet och vara till alla delar bindande och direkt tillämpliga i varje medlemsstat. Förordningar gäller alltså fullt ut och med samma innehåll inom hela EU och ska inte genomföras i nationell rätt. En medlemsstat kan dock behålla eller införa nationell lagstiftning på det område som en förordning reglerar om förordningen ger utrymme för det. Även om dataskyddsförordningen är direkt tillämplig så både förutsätter och medger förordningen nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Detta gäller särskilt sådan personuppgiftsbehandling som sker inom den offentliga sektorn. 5 Kriminalvårdsdatalagen 5.1 Behovet av en ny lag med kompletterande bestämmelser till dataskyddsförordningen Regeringens förslag: En ny lag, kriminalvårdsdatalagen, införs som ersätter lagen om behandling av personuppgifter inom kriminalvården inom dataskyddsförordningens tillämpningsområde. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Samtliga remissinstanser instämmer i promemorians förslag eller har ingen invändning mot det. Kammarrätten i Stockholm pekar på behovet av en översyn av Kriminalvårdens registerlagstiftning. Skälen för regeringens förslag Den nuvarande regleringen renodlas i två sektorspecifika författningar Dataskyddsreformen innebär, som nämnts ovan, att Kriminalvårdens behandling av personuppgifter kommer att omfattas av två olika EU-rättsakter: dataskyddsförordningen och dataskyddsdirektivet. På dataskyddsförordningens område kommer den grundläggande regleringen om personuppgiftsbehandling i Kriminalvården att finnas i dataskyddsförordningen, som är direkt tillämplig, och i dataskyddslagen. Dataskyddsdirektivet kommer att genomföras i svensk rätt genom bland annat brottsdatalagen. Den materiella regleringen kommer att skilja sig åt i vissa avseenden. I promemorian och i slutbetänkandet Brottsdatalag - kompletterande lagstiftning (SOU 2017:74) föreslås att regleringen av personuppgiftsbehandling inom kriminalvården ska delas upp i två separata lagar, en lag för dataskyddsförordningens tillämpningsområde och en lag för brottsdatalagens tillämpningsområde. Att det delvis blir fråga om skilda regelverk talar enligt regeringen för att regleringen bör delas upp i två lagar. Regelverket får också en tydlig struktur genom att de grundläggande bestämmelserna om personuppgiftsbehandling på dataskyddsförordningens tillämpningsområde finns i dataskyddsförordningen, dataskyddslagen och i en särskild registerförfattning som utgör ett komplement till dessa vid personuppgiftsbehandling inom kriminalvården. På dataskyddsdirektivets tillämpningsområde finns de grundläggande bestämmelserna i brottsdatalagen och i en särskild registerförfattning som utgör ett komplement vid personuppgiftsbehandling inom kriminalvården. Det kan uppstå gränsdragningsproblem vid bedömning om en viss personuppgiftsbehandling faller inom dataskyddsförordningens eller brottsdatalagens tillämpningsområde. Det är dock i huvudsak en konsekvens av den uppdelning i separata regelverk som finns på EU-nivå. Problemen kan således inte undvikas genom att den sektorsspecifika regleringen samlas i en lag. Att ha separata registerförfattningar för en myndighets olika verksamheter är inget nytt. Skatteverket har i dag olika regleringar för personuppgiftsbehandlingen beroende på i vilken verksamhet personuppgifterna behandlas, där regleringen för den brottsbekämpande verksamheten finns i en särskild lag. Att Kriminalvården inte på samma sätt som Skatteverket har en organisatorisk uppdelning i olika verksamhetsgrenar hindrar inte en sådan lösning, eftersom syftet med personuppgiftsbehandlingen är avgörande för vilket regelverk som ska tillämpas. Regeringen anser sammantaget att övervägande skäl talar för att regleringen av kriminalvårdens personuppgiftsbehandling bör delas upp i två lagar. Det bör därför införas en ny lag, som ersätter lagen om behandling av personuppgifter inom kriminalvården, inom dataskyddsförordningens tillämpningsområde. Det efterfrågas en översyn av kriminalvårdens registerlagstiftning Som konstaterats ovan kan det finnas behov av att i framtiden göra en sådan översyn av kriminalvårdens registerlagstiftning som efterfrågas av Kriminalvården, i myndighetens remissyttrande över Brottsdatalag - kompletterande lagstiftning (SOU 2017:74), och av Kammarrätten i Stockholm (se avsnitt 4.2). Inom ramen för en sådan översyn kan det vara lämpligt att överväga om det centrala kriminalvårdsregistret och regleringen av vilka aktörer som får medges direktåtkomst ska regleras i lag, vilket Datainspektionen argumenterar för (se avsnitt 5.10). 5.2 Lagens förhållande till annan reglering Regeringens förslag: Kriminalvårdsdatalagen ska komplettera EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt kriminalvårdsdatalagen gäller dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av kriminalvårdsdatalagen eller föreskrifter som har meddelats i anslutning till den. Regeringens bedömning: Det saknas behov av att föra in vissa bestämmelser som i dag finns i lagen om behandling av personuppgifter inom kriminalvården i kriminalvårdsdatalagen. Det saknas vidare behov av bestämmelser om lagens syfte och personuppgiftsansvar. Dataskyddsförordningens bestämmelser om automatiserat beslutsfattande kräver ingen reglering i kriminalvårdsdatalagen. Promemorians förslag och bedömning överensstämmer i huvudsak med regeringens. I promemorian föreslås att kriminalvårdsdatalagen ska gälla i stället för dataskyddslagen och att det i kriminalvårdsdatalagen särskilt ska anges vilka bestämmelser i dataskyddslagen som ska gälla. Vidare föreslås bestämmelser om lagens syfte och personuppgiftsansvar. Remissinstanserna: De flesta remissinstanser, såsom Svea hovrätt och Kriminalvården, tillstyrker förslagen eller har ingen invändning mot dem. Justitiekanslern, Kammarrätten i Stockholm och Umeå tingsrätt anser att det är viktigt att så långt möjligt eftersträva en likartad systematik i alla lagar som reglerar personuppgiftsbehandling och uppmärksammar att vissa andra promemorior och betänkanden tillämpar en annan lagteknisk lösning. Justitiekanslern ifrågasätter om hänvisningen till dataskyddslagens bestämmelser om skadestånd är nödvändig. Kammarrätten ifrågasätter lämpligheten i att ha en syftesbestämmelse som är annorlunda formulerad än i dataskyddsförordningen. Datainspektionen ifrågasätter promemorians slutsats att artikel 22 i dataskyddsförordningen endast avser automatiserade beslut som innefattar profilering. Det framgår enligt inspektionen tydligt av både bestämmelsens ordalydelse och av skäl 71 i dataskyddsförordningen att artikel 22 är generellt tillämplig på automatiserade beslut. Skälen för regeringens förslag och bedömning Förhållandet till dataskyddsförordningen och hänvisningsteknik Dataskyddsförordningen kommer från och med den 25 maj 2018 att vara den generella reglering för behandling av personuppgifter som kriminalvårdsdatalagen måste anpassas till. Kriminalvårdsdatalagen kommer att innehålla bestämmelser som kompletterar dataskyddsförordningen och dataskyddslagen. I kriminalvårdsdatalagen bör det finnas en bestämmelse som upplyser om detta. Den hänvisning till dataskyddsförordningen som föreslås är dynamisk till sin karaktär. Att hänvisningen är dynamisk innebär att den avser förordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i dataskyddsförordningen får omedelbart genomslag. Det kan dock inte uteslutas att kriminalvårdsdatalagen ändå kan behöva ändras i samband med framtida ändringar i förordningen (jfr prop. 2017/18:105 s. 24 f.). Förhållandet till dataskyddslagen Dataskyddslagen är subsidiär i förhållande till bestämmelser om behandling av personuppgifter i andra lagar och förordningar. I dag tillämpas personuppgiftslagen vid behandling av personuppgifter inom kriminalvården om inte annat följer av lagen om behandling av personuppgifter inom kriminalvården eller föreskrifter som har meddelats med stöd av den lagen. I promemorian föreslås att kriminalvårdsdatalagen ska gälla i stället för dataskyddslagen och att det i kriminalvårdsdatalagen särskilt ska anges vilka bestämmelser i dataskyddslagen som ska gälla. Som skäl anförs att regleringen på det sättet blir tydlig och att bestämmelserna i kriminalvårdsdatalagen inte måste jämföras med bestämmelserna i dataskyddslagen för att det ska kunna fastställas vilka regler som är tillämpliga i ett enskilt fall. En annan lagteknisk lösning än den som föreslås i promemorian är att låta dataskyddslagen gälla inom kriminalvårdsdatalagens tillämpningsområde, om inte annat följer av kriminalvårdsdatalagen eller föreskrifter som har meddelats i anslutning till den. Den nuvarande regleringen i lagen om behandling av personuppgifter inom kriminalvården är utformad på det sättet i förhållande till personuppgiftslagen. För en sådan lösning talar främst att den huvudsakliga regleringen på området, dvs. dataskyddsförordningen, är direkt tillämplig och inte kan göras subsidiär i förhållande till kriminalvårdsdatalagen. Kriminalvårdsdatalagen kan alltså inte innehålla en uttömmande reglering av personuppgiftsbehandling inom lagens tillämpningsområde. Till detta kommer att den kompletterande regleringen på generell nivå, dvs. dataskyddslagen, nära anknyter till bestämmelserna i dataskyddsförordningen. Den lagtekniska lösning som föreslås i promemorian skulle därmed, trots ansatsen att skapa tydlighet, riskera att leda till oklarhet om vad som gäller i förhållande till vissa bestämmelser i dataskyddslagen som det enligt förslaget i promemorian saknas hänvisningar till. Det gäller t.ex. sådana bestämmelser i dataskyddslagen som införlivar delar av dataskyddsförordningen i nationell rätt eller upplyser om innehållet i förordningen. Regeringen bedömer att dataskyddslagens bestämmelser i stora delar är relevanta för kriminalvårdens verksamhet och att det endast i begränsad utsträckning kommer att bli nödvändigt att införa undantag från dataskyddslagens regler i kriminalvårdsdatalagen. Ytterligare ett skäl som talar för denna lagtekniska lösning är att dataskyddsdirektivet i huvudsak föreslås genomföras genom brottsdatalagen, som för kriminalvårdens del föreslås kompletteras av en särskild registerförfattning, lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område (se lagrådsremissen Brottsdatalag - kompletterande författningar som beslutades av regeringen den 5 april 2018). Den lagen ska enligt regeringens förslag gälla utöver brottsdatalagen (prop. 2017/18:232, avsnitt 6.1.2). Regeringen anser att det finns ett värde i att personuppgiftsregleringen inom kriminalvården i lagtekniskt hänseende utformas på ett enhetligt sätt. Som Justitiekanslern, Kammarrätten i Stockholm och Umeå tingsrätt påpekar är det viktigt att eftersträva en likartad systematik i de lagar som reglerar personuppgiftsbehandling. En sådan lagteknisk lösning föreslås också i andra registerförfattningar (se t.ex. propositionen Anpassning av domstolsdatalagen till EU:s dataskyddsförordning [2017/18:113] s. 12 f.). Sammantaget talar övervägande skäl för att dataskyddslagen bör gälla vid behandling av personuppgifter enligt kriminalvårdsdatalagen om inte annat följer av den lagen eller anslutande föreskrifter. Detsamma bör gälla föreskrifter som har meddelats i anslutning till dataskyddslagen. Kriminalvårdsdatalagen kommer således enbart att innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från bestämmelserna i dataskyddsförordningen och dataskyddslagen. Något behov av de i promemorian föreslagna hänvisningarna till vissa bestämmelser i dataskyddslagen finns därför inte. Att de aktuella bestämmelserna i dataskyddslagen blir tillämpliga följer i stället av att dataskyddslagen ska gälla vid behandling av personuppgifter enligt kriminalvårdsdatalagen, om inte annat följer av kriminalvårdsdatalagen eller anslutande föreskrifter. I promemorian görs en genomgång av bestämmelser som finns i lagen om behandling av personuppgifter inom kriminalvården och bedömningar av om det finns behov av motsvarande bestämmelser i kriminalvårdsdatalagen. Regeringen instämmer i promemorians bedömningar. Regeringen gör därutöver bedömningen att det inte heller finns behov av bestämmelser om lagens syfte och personuppgiftsansvar i kriminalvårdsdatalagen. Det kan vidare nämnas att vissa bestämmelser i dataskyddslagen saknar betydelse för personuppgiftsbehandling inom kriminalvården. De blir därmed inte aktuella för Kriminalvården att tillämpa, även om detta inte uttryckligen regleras i kriminalvårdsdatalagen. När det gäller Datainspektionens ifrågasättande av promemorians slutsats att artikel 22 i dataskyddsförordningen endast avser automatiserade beslut som innefattar profilering konstaterar regeringen följande. Av artikel 22 framgår att den registrerade ska ha rätt att inte bli föremål för beslut som grundas enbart på automatiserad behandling, inbegripet profilering, om beslutet har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar honom eller henne. Automatiserade beslut kan fattas med eller utan profilering. Profilering innebär, enligt artikel 4.4 i dataskyddsförordningen, varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga personens arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar. Profilering utgör en behandling av personuppgifter. Artikel 22 kan till sin ordalydelse tolkas på olika sätt. Bestämmelsen kan läsas så att den är generellt tillämplig på automatiserade beslut. Formuleringen "inbegripet profilering" skulle då endast vara en upplysning om att bestämmelsen även omfattar profilering. Artikel 22 kan även läsas så att den automatiserade behandlingen måste omfatta profilering enligt definitionen i artikel 4.4 för att bestämmelsen ska bli tillämplig. Frågan om automatiskt beslutsfattande utvecklas i skäl 71 i förordningen. I det skälet behandlas endast profilering. Det kan vidare konstateras att skäl 73, vid uppräkningen av rättigheter som kan begränsas enligt artikel 23, endast nämner profileringsbaserade beslut. Detta får anses tala mot att artikel 22 är tillämplig även när profilering inte inbegrips i behandlingen av personuppgifter. Sammantaget talar det anförda för att artikel 22 endast är avsedd att omfatta automatiserade beslut som innefattar profilering. Någon säker slutsats kan dock i avsaknad av praxis inte dras i denna fråga. Även om artikel 22.1 i dataskyddsförordningen skulle anses omfatta automatiserat beslutsfattande som inte är profilering, kan det konstateras att sådant beslutsfattande generellt är tillåtet för svenska myndigheter. Detta kommer bl.a. till uttryck i 28 § förvaltningslagen (2017:900), som träder i kraft den 1 juli 2018. 5.3 Lagens tillämpningsområde Regeringens förslag: Kriminalvårdsdatalagen ska gälla vid behandling av personuppgifter i kriminalvårdens verksamhet som avser verkställighet av frihetsberövanden och genomförande av transporter i de fall brottsdatalagen inte är tillämplig. Lagen ska gälla endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås att lagen ska gälla för behandling av personuppgifter i kriminalvårdande verksamhet som inte omfattas av brottsdatalagens tillämpningsområde. Det föreslås också en bestämmelse om att lagen ska gälla när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran. Remissinstanserna: De flesta remissinstanser tillstyrker förslagen eller har ingen invändning mot dem. Kammarrätten i Stockholm ställer sig tveksam till om begreppet kriminalvårdande verksamhet är så klargörande vad gäller att avgränsa och beskriva Kriminalvårdens operativa verksamhet. Svea hovrätt föreslår att bestämmelsen förtydligas avseende det administrativa utlämnandet, t.ex. genom att den flyttas till ett eget stycke. Förvaltningsrätten i Stockholm föreslår en omformulering av samma bestämmelse. Kriminalvården efterfrågar ett klargörande av om och hur myndigheten får fortsätta att behandla uppgifter som samlats in med stöd av lagen om kriminalvårdens behandling av personuppgifter på brottsdatalagens område och huruvida artikel 49.1 d i dataskyddsförordningen är tillämplig på sådan överföring av personuppgifter till tredjeland som kan bli aktuell när Kriminalvården biträder Migrationsverket och Polismyndigheten vid verkställighet av avvisningar och utvisningar. Skälen för regeringens förslag Behandling av personuppgifter vid verkställighet av frihetsberövanden och genomförande av transporter Enligt 1 § lagen om behandling av personuppgifter inom kriminalvården gäller lagen vid behandling av personuppgifter i kriminalvårdens verksamhet i fråga om personer som är föremål för personutredning, häktade, dömda till fängelse eller skyddstillsyn, dömda till villkorlig dom med samhällstjänst eller ålagda fängelse som förvandlingsstraff för böter eller vite. Den gäller också vid behandling av personuppgifter i fråga om personer som på grund av utländsk dom ska verkställa en sådan påföljd som avses ovan i Sverige, personer som på annan grund är intagna i häkte eller kriminalvårdsanstalt eller personer som transporteras av kriminalvårdens transporttjänst. Lagens tillämpningsområde utgår från att personuppgiftsbehandlingen avser en person i någon av de uppräknade personkategorierna. I promemorian konstateras att Kriminalvården har två kategorier av arbetsuppgifter inom den operativa verksamheten som faller utanför brottsdatalagens tillämpningsområde, dels att verkställa frihetsberövanden på annan grund än för misstanke om brott eller straffverkställighet, dels att genomföra transporter som har en annan orsak än brott eller misstanke om brott. Vad gäller att verkställa frihetsberövanden kan det röra sig om omhändertagna personer enligt 4 § lagen (1976:511) om omhändertagande av berusade personer m.m. och om utlänningar som har tagits i förvar enligt 8 § lagen (1991:572) om särskild utlänningskontroll eller enligt 10 kap. 1 eller 2 § utlänningslagen (2005:716). Även frihetsberövanden som avser att verkställa häktning enligt 2 kap. 12 § konkurslagen (1987:672) eller enligt 2 kap. 16 § utsökningsbalken är sådana frihetsberövanden som faller utanför brottsdatalagens tillämpningsområde. Vad gäller att genomföra transporter ska Kriminalvården enligt 6 § förordningen med instruktion för Kriminalvården verkställa de transporter som Polismyndigheten och Säkerhetspolisen överlämnar enligt 29 a § polislagen samt lämna andra myndigheter den hjälp med transport som är särskilt föreskrivet. Det kan röra sig om transport av personer enligt lagen (1990:52) med särskilda bestämmelser om vård av unga eller lagen (1988:870) om vård av missbrukare i vissa fall, transporter till förhandling i allmän förvaltningsdomstol eller mellan SIS-institutioner, transport av förvarstagna som ska utvisas enligt utlänningslagen och transporter av intagna enligt lagen (1991:1128) om psykiatrisk tvångsvård mellan olika sjukvårdsinrättningar. I promemorian föreslås att lagen ska gälla för behandling av personuppgifter i kriminalvårdande verksamhet som inte omfattas av brottsdatalagens tillämpningsområde. Kammarrätten i Stockholm ifrågasätter om begreppet kriminalvårdande verksamhet är så klargörande vad gäller att avgränsa och beskriva Kriminalvårdens operativa verksamhet. Regeringen instämmer i den synpunkten. Mot bakgrund av att det handlar om två kategorier av arbetsuppgifter anser regeringen att det i stället blir tydligare att ange att kriminalvårdsdatalagen ska gälla vid behandling av personuppgifter i kriminalvårdens verksamhet vid verkställighet av frihetsberövanden och genomförande av transporter. Vidarebehandling för utlämnande efter begäran I promemorian föreslås en bestämmelse om att kriminalvårdsdatalagen ska vara tillämplig när Kriminalvården vidarebehandlar personuppgifter i den administrativa verksamheten för att de ska lämnas ut efter begäran. Det kan handla om att myndigheten vidarebehandlar personuppgifter från den operativa verksamheten i syfte att t.ex. på begäran lämna ut uppgifterna till en enskild eller en myndighet. Regeringen anser att sådan vidarebehandling av personuppgifter som nu beskrivits inryms i den formulering som nu föreslås för lagens tillämpningsområde, dvs. i Kriminalvårdens verksamhet vid verkställighet som avser frihetsberövanden och genomförande av transporter. Det saknas därför behov av en uttrycklig bestämmelse om detta. Förhållandet till den föreslagna brottsdatalagen Den största delen av personuppgiftsbehandlingen inom kriminalvården kommer att falla inom brottsdatalagens tillämpningsområde. Det är därför lämpligt att det i kriminalvårdsdatalagen klargörs att lagen gäller om brottsdatalagen inte är tillämplig. Kriminalvården efterfrågar ett förtydligande av om och hur myndigheten får fortsätta att behandla personuppgifter som samlats in med stöd av lagen om kriminalvårdens behandling av personuppgifter på brottsdatalagens område, när det i stället är dataskyddsförordningen som ska tillämpas. I artikel 9 i dataskyddsdirektivet anges att personuppgifter som har samlats in för ändamål inom direktivets tillämpningsområde inte får behandlas för andra ändamål, såvida inte sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt. När personuppgifter behandlas för andra ändamål eller av någon som inte är en behörig myndighet ska dataskyddsförordningen tillämpas, utom när behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten. I skäl 34 framhålls att dataskyddsförordningen är tillämplig på överföring av personuppgifter för ändamål som inte omfattas av direktivet. Regeringen har i propositionen Brottsdatalag föreslagit att det utöver reglerna i förordningen bör finnas en bestämmelse i brottsdatalagen enligt vilken en särskild prövning krävs innan personuppgifter som behandlas med stöd av brottsdatalagen behandlas för nya ändamål som inte omfattas av den lagen (2 kap. 22 § förslag till brottsdatalag). Automatiserade behandlingar och manuella register Av 1 § andra stycket lagen om behandling av personuppgifter inom kriminalvården framgår att lagen gäller endast om behandlingen av personuppgifterna är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning efter särskilda kriterier. I artikel 2.1 i dataskyddsförordningen anges tillämpningsområdet som behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. En bestämmelse som motsvarar den nuvarande 1 § andra stycket lagen om behandling av personuppgifter inom Kriminalvården bör finnas i den nya lagen. Uttrycken "automatiserad" och "på automatisk väg" respektive "register" och "strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier" är synonyma. Att de i förhållande till dataskyddsförordningen avvikande begreppen föreslås motiveras av att det finns ett värde i att använda samma uttryck i svenska författningar. Någon skillnad i sak är dock inte avsedd. Tredjelandsöverföringar Bestämmelser om under vilka förutsättningar personuppgifter får överföras till tredjeland finns i kapitel V i dataskyddsförordningen. Personuppgifter får överföras till ett tredjeland om kommissionen har beslutat att landet säkerställer en adekvat skyddsnivå för uppgifterna (artikel 45.1). Om ett sådant beslut saknas, får personuppgifter endast föras över till tredjeland efter att lämpliga skyddsåtgärder har vidtagits och under förutsättning att lagstadgade rättigheter och effektiva rättsmedel finns tillgängliga för de registrerade (artikel 46.1). Om det inte finns något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder får personuppgifter föras över till ett tredjeland endast om vissa närmare angivna villkor i artikel 49 är uppfyllda. Det villkor som främst är aktuellt inom kriminalvårdsdatalagens tillämpningsområde framgår av artikel 49.1 d. Enligt bestämmelsen får överföring av personuppgifter ske till tredjeland om det är nödvändigt av viktiga skäl som rör allmänintresset. Detta allmänintresse ska enligt artikel 49.4 vara erkänt i unionsrätten eller i den nationella rätten. Kriminalvården efterfrågar ett klargörande av om artikel 49.1 d i dataskyddsförordningen är tillämplig på sådan överföring av personuppgifter till tredjeland som kan bli aktuell när Kriminalvården biträder Migrationsverket och Polismyndigheten vid verkställande av avvisningar och utvisningar. Regeringen konstaterar att undantaget i artikel 49.1 d är direkt tillämpligt och gäller i de fall det inte finns något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder. 5.4 Rättslig grund Regeringens bedömning: Den behandling av personuppgifter som Kriminalvården får utföra enligt den föreslagna lagen är tillåten enligt artikel 6.1 och 6.3 i EU:s dataskyddsförordning. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Datainspektionen anser att den rättsliga grunden ska framgå av lagen. Relevant rättslig grund är enligt inspektionen artikel 6.1 e, men även artikel 6.1 c avseende fullgörandet av utlämnande av allmänna handlingar. Inspektionen efterfrågar också en analys som visar att lagstiftningen är proportionell mot det legitima mål som eftersträvas, i enlighet med artikel 6.3. Övriga remissinstanser instämmer i promemorians bedömning eller har ingen invändning mot den. Skälen för regeringens bedömning: Dataskyddsförordningen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. En sådan grund är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som den personuppgiftsansvarige har (artikel 6.1 c). En annan är att behandlingen behövs för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Uppräkningen av rättsliga grunder i artikel 6.1 är uttömmande. Om ingen av de grunder som anges där är tillämplig är behandlingen inte laglig och får därmed inte genomföras. De rättsliga grunderna är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling. När myndigheter behandlar personuppgifter för att fullgöra sina uppgifter sker det normalt med stöd av de rättsliga grunder som avses i artikel 6.1 c och e i förordningen. Vilken rättslig grund en behandling vilar på har betydelse för hur behandlingen får regleras. Enligt artikel 6.3 första stycket i dataskyddsförordningen ska de grunder för behandlingen som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Med detta avses, enligt skäl 41, inte att den rättsliga grunden nödvändigtvis måste fastställas i eller i enlighet med en av riksdagen beslutad lag. Däremot måste grunden vara fastställd i laga ordning på ett konstitutionellt korrekt sätt (prop. 2017/18:105 s. 51). Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av dataskyddsförordningen i fråga om behandling som sker med stöd av artikel 6.1 c och e, t.ex. genom att fastställa specifika krav för behandlingen. Enligt artikel 6.3 andra stycket ska vidare syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan enligt artikel 6.3 andra stycket innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Bestämmelserna kan bl.a. gälla de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas och vilka registrerade som berörs. Bestämmelserna kan vidare gälla de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstider samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. De särskilda bestämmelserna i den nationella rätten ska i detta avseende uppfylla ett mål av allmänt intresse och vara proportionerliga mot det legitima mål som eftersträvas. Enligt artikel 23 i dataskyddsförordningen får begränsningar ske i nationell rätt av vissa av de rättigheter och skyldigheter som föreskrivs i förordningen. Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker i syfte att säkerställa något av de ändamål som anges i artikel 23.1, t.ex. en medlemsstats viktiga mål av generellt allmänt intresse. Mot denna bakgrund gör regeringen bedömningen att dataskyddsför-ordningen ger utrymme för en sådan särskild reglering om behandling av personuppgifter som i dag finns för kriminalvården. Det måste dock vara fråga om sådana kompletteringar eller undantag till förordningens bestämmelser, eller sådana specifika bestämmelser som kan anses anpassa tillämpningen av förordningens bestämmelser, som är tillåtna enligt förordningen. Regeringen kan konstatera att den personuppgiftsbehandling som Kriminalvården utför inom ramen för dataskyddsförordningens tillämpningsområde, och som i dag regleras i lagen och förordningen om behandling av personuppgifter inom kriminalvården, är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i Kriminalvårdens myndighetsutövning. Det är således de rättsliga grunder som avses i artikel 6.1 c och e i dataskyddsförordningen som aktualiseras. Enligt artikel 6.3 i förordningen ska den grund för behandlingen som avses i artikel 6.1 c och e vara fastställd i unionsrätten eller medlemsstaternas nationella rätt. När det gäller den personuppgiftsbehandling som nu är aktuell har den rättsliga grunden för behandlingen fastställts genom den reglering av verksamheten som bedrivs inom Kriminalvården i t.ex. förordningen med instruktion för Kriminalvården, häkteslagen (2010:611) och polislagen (se avsnitt 4.2). Datainspektionen efterfrågar vidare en analys som visar att lagstiftningen är proportionell mot det legitima mål som eftersträvas, i enlighet med artikel 6.3 i dataskyddsförordningen. Som anges i propositionen Ny dataskyddslag utgör kravet på proportionalitet inte någon nyhet i svensk rätt, utan speglar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat (prop. 2017/18:105 s. 50). Ett sådant krav gällde vid införandet av såväl den reglering som styr Kriminalvårdens verksamhet som lagen om behandling av personuppgifter inom kriminalvården. Regleringen bedömdes alltså då uppfylla kravet på proportionalitet. Regeringen anser inte att det finns anledning att nu göra någon annan bedömning. Regeringens slutsats är sammanfattningsvis att den rättsliga grunden för den personuppgiftsbehandling som får utföras enligt den nya lag som nu föreslås är fastställd i den nationella rätten på ett sådant sätt som krävs enligt dataskyddsförordningen. Vidare uppfyller den ett mål av allmänt intresse och är proportionell mot det legitima mål som eftersträvas. Behandlingen är således tillåten enligt artikel 6.1 och 6.3 i dataskyddsförordningen. Datainspektionen anser att den rättsliga grunden ska framgå direkt av kriminalvårdsdatalagen. Regeringen kan dock konstatera att artikel 6.1 i dataskyddsförordningen är direkt tillämplig. Det bedöms därför inte nödvändigt att i kriminalvårdsdatalagen införa bestämmelser om rättslig grund för behandling av personuppgifter. 5.5 Ändamålsbestämmelser Regeringens förslag: Personuppgifter ska få behandlas om det är nödvändigt för att Kriminalvården ska kunna verkställa frihetsberövanden och genomföra transporter. Uppgifter i Kriminalvårdens säkerhetsregister ska dock få behandlas endast för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Personuppgifter som behandlas för dessa ändamål ska även få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Uppgifterna ska även få behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås att personuppgifter ska få vidarebehandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen. Remissinstanserna: Kammarrätten i Stockholm ifrågasätter att det används olika begrepp i kriminalvårdsdatalagen respektive förslaget till lag om kriminalvårdens behandling av personuppgifter på brottsdatalagens område. Övriga remissinstanser har inga invändningar mot förslagen. Skälen för regeringens förslag Ändamålsbestämmelser Av 3 § lagen om behandling av personuppgifter inom kriminalvården framgår att Kriminalvården får behandla personuppgifter bara om det behövs för att 1. myndigheten ska kunna fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning, 2. underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver, eller 3. upprätthålla säkerheten och förebygga brott under den tid som någon av åtgärderna enligt 1 § första stycket 2-9 pågår, t.ex. häktning. Personuppgifter som behandlas enligt 3 § första stycket får också behandlas om det behövs för tillsyn, planering, uppföljning och kvalitetssäkring av verksamheten. Ändamålsbestämmelserna anger den yttersta ram inom vilken uppgifter får behandlas. Bestämmelser om primära ändamål tillgodoser Kriminalvårdens eget behov av att behandla personuppgifter medan sekundära ändamål bl.a. reglerar i vilken utsträckning uppgifter som samlas in för Kriminalvårdens egen verksamhet får vidarebehandlas för att lämnas ut till enskilda eller till andra myndigheter. Ändamålsbestämmelser är sådana specifika bestämmelser som anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling. Sådana bestämmelser är enligt artikel 6.2 och 6.3 i dataskyddsförordningen tillåtna i nationell rätt. Enligt artikel 23.2 a ska dessutom lagstiftning som begränsar tillämpningsområdet för förordningens rättigheter och skyldigheter innehålla specifika ändamålsbestämmelser, när så är relevant. Regeringen bedömer mot denna bakgrund att dataskyddsförordningen medger att det införs ändamålsbestämmelser i kriminalvårdsdatalagen. Tillämpningsområdet för kriminalvårdsdatalagen föreslås begränsas till personuppgiftsbehandling i Kriminalvårdens verksamhet som avser verkställande av frihetsberövanden och genomförande av transporter. Genom att knyta ändamålsbestämmelsen till lagens tillämpningsområde blir regleringen tydlig. Enligt promemorians förslag ska myndigheten få behandla sådana personuppgifter om det behövs för att utföra en av dessa arbetsuppgifter. Kammarrätten i Stockholm anser att det framstår som mindre lämpligt att använda begreppet "behövs" i kriminalvårdsdatalagen och "nödvändigt" i lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område om det inte finns någon reell skillnad. Det kan konstateras att det av dataskyddsförordningen följer att uppgifter får behandlas om behandlingen av olika angivna anledningar är nödvändig (artikel 6.1 c och e). Det är också begreppet nödvändig som föreslås i dataskyddslagen, se 2 kap. 1 och 2 §§ (prop. 2017/18:105). Vidare föreslås det i såväl brottsdatalagen, 2 kap. 1 § (prop. 2017/18:232), som lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område, 2 kap. 1 § (lagrådsremissen Brottsdatalag - kompletterande lagstiftning). I delbetänkandet Brottsdatalag förs ett utförligt resonemang kring nödvändighetsrekvisitet (SOU 2017:29 s. 237 f.). Det konstateras där att kravet på nödvändighet bör tolkas som att det är fråga om något som behövs för att på ett effektivt sätt kunna utföra arbetsuppgiften. Regeringen instämmer i kammarrättens synpunkt att det är lämpligare att använda samma begrepp i de lagar som Kriminalvården har att tillämpa och föreslår därför att begreppet nödvändigt används även i kriminalvårdsdatalagen. Regeringen instämmer vidare i den tolkning av begreppet som görs i betänkandet Brottsdatalag. Personuppgiftsbehandling för tillsyn, kontroll, uppföljning och planering av verksamheten är en sådan integrerad del av själva verksamheten att även detta faller in under bestämmelsen. Kriminalvårdens säkerhetsregister, som i dag regleras i förordningen om behandling av personuppgifter inom kriminalvården, föreslås i lagrådsremissen Brottsdatalag - kompletterande lagstiftning regleras i lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område. Inom ramen för Kriminalvårdens omfattande förebyggande säkerhetsarbete är det av yttersta vikt att Kriminalvården kan använda sig av uppgifterna i säkerhetsregistret. Det behöver därför förtydligas att Kriminalvården har rätt att behandla personuppgifter i säkerhetsregistret även vid verkställighet av frihetsberövanden och genomförande av transporter för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Sekundära ändamålsbestämmelser och finalitetsprincipen Av 9 § lagen om behandling av personuppgifter inom kriminalvården framgår att uppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas ut till den myndighet som ansvarar för att framställa sådan statistik. Därutöver kan personuppgifter vidarebehandlas i den mån det är tillåtet enligt 9 § personuppgiftslagen. Enligt den s.k. finalitetsprincipen får personuppgifter inte vidarebehandlas för något annat ändamål som är oförenligt med insamlingsändamålen. Detta kommer till uttryck bl.a. i 9 § första stycket c och d personuppgiftslagen. Av 9 § andra stycket följer dock att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska ses som oförenlig med de ändamål för vilka uppgifterna samlades in. Av 8 § andra stycket personuppgiftslagen följer att lagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Finalitetsprincipen kommer till uttryck i artiklarna 5.1 b och 6.4 i dataskyddsförordningen. Enligt de artiklarna ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. Av artikel 89.1 framgår att sådan behandling ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. En allmän förutsättning för sådan behandling som sker för utlämnande till andra bör vara att uppgiftslämnandet sker i överenstämmelse med lag eller förordning, dvs. med stöd av bestämmelser som påbjuder eller tillåter utlämnande. När bestämmelser som påbjuder eller tillåter utlämnande har införts får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, och att man vid denna avvägning funnit att uppgiften ska eller får lämnas ut. I promemorian föreslås att personuppgifter ska få vidarebehandlas om det behövs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen. Detta bedöms vara ett sådant införlivande av dataskyddsförordningen som är tillåtet enligt skäl 8 i förordningen. Regeringen anser emellertid att bestämmelsen bör ta sin utgångspunkt i att finalitetsprincipen gäller och att behandling som är förenlig med denna är tillåten. Det bör därför införas en bestämmelse som tydliggör att personuppgifter som behandlas enligt de primära ändamålsbestämmelserna även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Med en sådan utformning anser regeringen, till skillnad från Datainspektionen, att bestämmelsen inte behöver innehålla någon uttrycklig hänvisning till artikel 5.1 b i dataskyddsförordningen. En konsekvens av den lagtekniska lösning som regeringen föreslår är att de sekundära ändamålsbestämmelserna inte kan betraktas som uttömmande. En nackdel med en sådan reglering är att det kan bli mindre tydligt för Kriminalvården och enskilda vilken personuppgiftsbehandling som får förekomma med stöd av kriminalvårdsdatalagen. Regeringen bedömer dock att finalitetsprincipen i sig innebär ett integritetsskydd eftersom den förbjuder ytterligare behandling av personuppgifter som är oförenlig med ursprungsändamålen och att den föreslagna ordningen är godtagbar ur integritetssynpunkt. Det är inte ovanligt att sekundära ändamålsbestämmelser i registerförfattningar innehåller hänvisningar till finalitetsprincipen. En sådan lösning föreslås även i 7 § andra stycket domstolsdatalagen (prop. 2017/18:113). Den praktiska skillnaden mellan promemorians och regeringens förslag är sannolikt mycket begränsad. Därtill kommer den begränsning som följer av att de primära ändamålsbestämmelserna är uttömmande. 5.6 Behandling av känsliga personuppgifter Regeringens förslag: Känsliga personuppgifter ska få behandlas endast om det är absolut nödvändigt för syftet med behandlingen. Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås även att känsliga personuppgifter inte får utgöra den enda grunden för behandling av uppgifter om en person. Remissinstanserna: Datainspektionen avstyrker promemorians förslag och anser dels att det inte är förenligt med dataskyddsförordningen att förutsätta att proportionalitetsbedömningar och övriga krav på ett undantag enligt artikel 9 har gjorts i tidigare lagstiftningsarbete, dels att det bör göras en hänvisning till artikel 9.2 g i dataskyddsförordningen för att klargöra med vilket stöd behandlingen av känsliga personuppgifter sker. Kriminalvården anser att myndigheten bör ha möjlighet att behandla biometriska uppgifter. Övriga remissinstanser har inga invändningar mot förslaget. Skälen för regeringens förslag: Känsliga personuppgifter får enligt 5 § första stycket lagen om behandling av personuppgifter inom kriminalvården inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Av andra stycket framgår att om uppgifter om en person behandlas på annan grund får uppgifterna kompletteras med sådana uppgifter som avses i första stycket, men bara om det är absolut nödvändigt för syftet med behandlingen. Enligt 4, 12 och 32 §§ förordningen om behandling av personuppgifter inom kriminalvården får känsliga personuppgifter i vissa fall behandlas om det är oundgängligen nödvändigt för syftet med behandlingen. Därutöver finns viss reglering i personuppgiftslagen. Behandling av känsliga personuppgifter är förbjuden enligt huvudregeln i artikel 9.1 i dataskyddsförordningen. Förbudet omfattar uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Artikel 9.1 i förordningen omfattar nya kategorier av uppgifter jämfört med motsvarande bestämmelse i 1995 års dataskyddsdirektiv (artikel 8.1). Tillägget av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person utgör en utvidgning jämfört med den nuvarande ordningen. Dataskyddsförordningens förbud mot behandling av känsliga personuppgifter kompletteras med en rad undantag som tillåter sådan behandling i vissa fall. Ett av undantagen innebär att förbudet inte gäller om det är nödvändigt att behandla känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse (artikel 9.2 g i förordningen). I promemorian görs bedömningen att den del av Kriminalvårdens verksamhet som faller inom lagens tillämpningsområde är sådan där undantaget i artikel 9.2 g i förordningen är tillämpligt. Regeringen instämmer i den bedömningen. I propositionen Brottsdatalag föreslås att känsliga personuppgifter endast ska få behandlas om det är absolut nödvändigt med hänsyn till syftet med behandlingen (2 kap. 11 § andra stycket i förslaget till brottsdatalag). I promemorian föreslås att motsvarande begränsning ska införas i kriminalvårdsdatalagen. Bestämmelser om begränsning av behandling av känsliga personuppgifter utgör enligt regeringen sådana specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen som är tillåtna enligt artikel 6.2 i förordningen. I skäl 10 i dataskyddsförordningen anges att medlemsstaternas handlingsutrymme att specificera sina bestämmelser även gäller för behandling av känsliga personuppgifter. Regeringen gör bedömningen att samma behov av att kunna behandla vissa känsliga personuppgifter gör sig gällande både inom den del av Kriminalvårdens personuppgiftsbehandling som faller inom brottsdatalagens tillämpningsområde som den del som faller under dataskyddsförordningen. Det är också en fördel för Kriminalvården om samma förutsättningar för att behandla känsliga personuppgifter gäller enligt de båda regelverken. Det bör därför endast vara tillåtet att behandla känsliga personuppgifter om det är absolut nödvändigt för syftet med behandlingen, även avseende personuppgiftsbehandling som faller under kriminalvårdsdatalagens tillämpningsområde. I promemorian föreslås även att känsliga personuppgifter inte ska få utgöra den enda grunden för behandling av personuppgifter. Regeringen gör dock bedömningen att det är tillräckligt med den begränsning som följer av att känsliga personuppgifter bara får behandlas om det är absolut nödvändigt. Regeringen konstaterar vidare att varken dataskyddsförordningen eller dataskyddslagen innehåller begränsningen att biometriska och genetiska uppgifter endast får behandlas om det är särskilt föreskrivet, vilket föreslås i brottsdatalagen (prop. 2017/18:232, avsnitt 8.1.4). Kriminalvården kan således behandla biometriska uppgifter om det är absolut nödvändigt för syftet med behandlingen. Det finns därför inte behov av en sådan särskild bestämmelse som möjliggör behandling av biometriska personuppgifter som Kriminalvården har efterfrågat. Till skillnad mot Datainspektionen anser regeringen inte att det behövs någon hänvisning till artikel 9.2 g i dataskyddsförordningen för att klargöra med vilket stöd behandlingen av känsliga personuppgifter sker. 5.7 Sökbegränsningar Regeringens förslag: Det ska vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökförbudet ska dock inte hindra sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Promemorians förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Domstolsverket ser problem med att förbjuda sökningar som sker i ett visst syfte, eftersom det enligt verket kan vara svårt att såväl när en sökning genomförs som i efterhand bedöma syftet med sökningen. Datainspektionen bedömer att det föreslagna sökförbudet inte träffas av begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen och att frågan om Kriminalvårdens skyldighet att ta fram och lämna ut integritetskänsliga sammanställningar behöver övervägas vidare. Övriga remissinstanser har inga invändningar mot förslagen. Skälen för regeringens förslag: Enligt 5 § tredje stycket lagen om behandling av personuppgifter inom kriminalvården får sådana personuppgifter som anges i första stycket, t.ex. uppgifter om politiska åsikter eller hälsa, inte användas som sökbegrepp om inte regeringen har föreskrivit det. I förarbetena till lagen framhölls att det med hänsyn till den dömde, andra intagna och kriminalvårdens personal är helt nödvändigt att kriminalvården vid placeringen av den dömde får behandla alla uppgifter av betydelse för säkerheten. Det kan då vara nödvändigt att behandla känsliga uppgifter, t.ex. om etnisk tillhörighet, sexuell läggning och medlemskap i vissa extrema organisationer eller anknytning till sådana rörelser. Samma intressen bedömdes göra sig gällande när det gäller behandling av personuppgifter för häktade (prop. 2000/01:126 s 31-32). Enligt 41 § tredje stycket andra meningen förordningen om behandling av personuppgifter inom kriminalvården får känsliga personuppgifter användas som sökbegrepp för sökning i säkerhetsregistret. Regeringen gör bedömningen att sökbegränsningar utgör sådana specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen som är tillåtna enligt artikel 6.2 i förordningen. Av skäl 10 i förordningen framgår att medlemsstaternas handlingsutrymme att specificera sina bestämmelser även gäller för behandling av känsliga personuppgifter. En sökbegränsning utgör även en sådan skyddsåtgärd som avses i artikel 9.2 g i dataskyddsförordningen. I promemorian föreslås att det, på samma sätt som i förslaget till en ny brottsdatalag enligt propositionen Brottsdatalag (prop. 2017/18:232, avsnitt 8.1.4), ska införas ett sökförbud avseende känsliga personuppgifter. Vissa sökningar i säkerhetsregistret förslås dock få göras i likhet med vad som föreslås gälla enligt lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område (lagrådsremissen Brottsdatalag - kompletterande lagstiftning). Regeringen instämmer i promemorians bedömning att det bör vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Kriminalvården har dock även i fortsättningen behov av att kunna använda känsliga personuppgifter vid sökning i personuppgifter i säkerhetsregistret. Det bör därför införas ett undantag från det generella sökförbudet. Samma behov av att kunna behandla vissa känsliga personuppgifter gör sig gällande både inom den del av Kriminalvårdens personuppgiftsbehandling som faller inom brottsdatalagens tillämpningsområde som inom den del som faller under dataskyddsförordningen. Det är en fördel för Kriminalvården att i huvudsak samma förutsättningar för att behandla känsliga personuppgifter gäller enligt båda regelverken. Den lagtekniska lösning som föreslås i promemorian är att det genom en hänvisning till 3 kap. 5 § lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område ska framgå att sökning i säkerhetsregistret får göras enligt vad som framgår av den särskilda regleringen av kriminalvårdens säkerhetsregister som finns i den lagen. Mot bakgrund av att lagen om behandling av personuppgifter inom kriminalvården, som föreslås byta namn till lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område, ännu inte har ändrats är det inte möjligt med någon sådan hänvisning. I lagrådsremissen Brottsdatalag - kompletterande lagstiftning föreslås att sökförbudet i brottsdatalagen inte ska hindra sökning i personuppgifter i syfte att få fram ett personurval grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. I stället för en hänvisning till lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område bör det framgå av kriminalvårdsdatalagen att sökbudet inte ska hindra sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Domstolsverket ser problem med det sökförbud som föreslås eftersom det enligt verket kan vara svårt att bedöma syftet med en viss sökning. Det exempel Domstolsverket tar upp är att om allmänheten begär att en behörig myndighet ska ta fram vissa uppgifter för ett utlämnande, får myndigheten som regel inte efterfråga vad syftet med begäran är. Regeringen gör här följande överväganden. Vid utlämnande av en allmän handling som sker på begäran av en enskild har tryckfrihetsförordningens bestämmelser företräde framför dataskyddsregelverket (prop. 2017/18:105 s. 40 f.). Den behöriga myndigheten har att i varje enskilt fall bedöma om den sammanställning av uppgifter som efterfrågas utgör en allmän handling hos myndigheten. Utgör sammanställningen en allmän handling ska den lämnas ut, såvida inte uppgifterna i den omfattas av sekretess. Detta gäller även om det är fråga om känsliga personuppgifter som har sammanställts genom sökning. Sekretessbestämmelser som kan vara tillämpliga i sammanhanget är bl.a. 18 kap. 11 § och 35 kap. 15 § offentlighets- och sekretesslagen (2009:400), OSL. Datainspektionen, som bedömer att det föreslagna sökförbudet inte träffas av begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen, menar att frågan om Kriminalvårdens skyldighet att ta fram och lämna ut integritetskänsliga sammanställningar behöver övervägas vidare. Regeringen har i propositionen Brottsdatalag gjort bedömningen att den befintliga sekretessregleringen ger ett väl avvägt skydd för både enskilda och allmänna intressen i där aktuellt avseende och att en regel om absolut sekretess för uppgifter i sammanställningar av känsliga personuppgifter hos behöriga myndigheter därför inte behöver införas (prop. 2017/18:232, avsnitt 15.4). Regeringen gör även här bedömningen att befintliga sekretessregler är ett tillräckligt skydd när det gäller sammanställningar av känsliga personuppgifter och att det mot den bakgrunden inte finns behov av en bestämmelse om absolut sekretess. 5.8 Tillgången till personuppgifter Regeringens förslag: Tillgången till personuppgifter ska begränsas till det som var och en behöver för att fullgöra sina arbetsuppgifter inom Kriminalvården. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag. Skälen för regeringens förslag: Enligt 6 § första stycket lagen om behandling av personuppgifter inom kriminalvården ska direktåtkomst till de personuppgifter som behandlas enligt den lagen vara förbehållen de personer som på grund av sina arbetsuppgifter inom kriminalvården behöver tillgång till uppgifterna. I förarbetena till lagen framhöll regeringen att det ur integritetssynpunkt är angeläget att åtkomsten till de uppgifter som behandlas inte är vidare än nödvändigt. Endast personer som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna bör därför ha direktåtkomst till dem (prop. 2000/01:126 s. 35). Den personuppgiftsansvarige har enligt artiklarna 24.1 och 32 i dataskyddsförordningen skyldighet att se till att en lämplig säkerhetsnivå för behandling av personuppgifter upprätthålls genom lämpliga tekniska och organisatoriska åtgärder. I promemorian görs bedömningen att bestämmelser om vilka säkerhetsåtgärder som ska vidtas i en viss verksamhet utgör sådana specifika krav på personuppgiftsbehandling som kan föreskrivas i nationell rätt (artikel 6.2 i dataskyddsförordningen). Regeringen instämmer i den bedömningen. Att det finns lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen är vidare en förutsättning för att känsliga personuppgifter ska få behandlas för ett viktigt allmänt intresse (artikel 9.2 g i dataskyddsförordningen). Förordningen ger alltså möjlighet att reglera tillgången till personuppgifter i författning. Regeringen bedömer mot den bakgrunden att en bestämmelse som motsvarar den nuvarande 6 § första stycket lagen om behandling av personuppgifter inom Kriminalvården bör finnas i den nya lagen. 5.9 Sekretess ska gå före skyldigheten att informera om personuppgiftsincidenter Regeringens förslag: Kriminalvårdens skyldigheter att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning ska inte gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Promemorians förslag överensstämmer med regeringens. I promemorian lämnas dock inget författningsförslag. Remissinstanserna: Datainspektionen instämmer i promemorians förslag om att det i kriminalvårdsdatalagen ska införas en bestämmelse om att den registrerades rätt att få information om en personuppgiftsincident enligt artikel 34 i dataskyddsförordningen inte ska gälla om Kriminalvården, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den registrerade. Datainspektionen noterar samtidigt att det saknas en bestämmelse om detta i promemorians författningsförslag. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Genom dataskyddsförordningen införs en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en s.k. personuppgiftsincident (artikel 33). Med personuppgiftsincident avses en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats (artikel 4.12). Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter, ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten. Sådan information krävs dock inte om (a) den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkas av personuppgiftsincidenten, (b) den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risken för de registrerades rättigheter och friheter sannolikt inte längre kommer att uppstå eller (c) det skulle inbegripa en oproportionell ansträngning. I det sistnämnda fallet ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt (artikel 34). Dataskyddsförordningen ger därutöver en möjlighet att i nationell rätt föreskriva begränsningar av skyldigheten att informera den registrerade om en personuppgiftsincident (artikel 23). Det finns därför anledning att överväga om en sådan begränsning bör införas i kriminalvårdsdatalagen. Dataskyddsförordningens bestämmelse om information till den registrerade vid en personuppgiftsincident skulle, utan en begränsning i enlighet med artikel 23, kunna innebära att den registrerade får information om att hans eller hennes personuppgifter behandlas av Kriminalvården, trots att det råder sekretess om detta förhållande gentemot den registrerade. Bestämmelser som begränsar rätten till information är nödvändiga med hänsyn till enskilda och allmänna intressen. Det är framför allt regleringen i offentlighets- och sekretesslagen som tillgodoser det behovet. Till exempel gäller en allmän säkerhetssekretess inom kriminalvården för alla uppgifter om säkerhets- och bevakningsåtgärder om det kan antas att syftet med åtgärden motverkas om uppgiften lämnas ut (18 kap. 8 och 11 §§ OSL). Enligt 18 kap. 11 § OSL gäller sekretess för uppgift inom kriminalvården om åtgärd som har till syfte att hindra rymning eller fritagning, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs. Regeringen anser mot denna bakgrund att Kriminalvårdens skyldighet att informera den registrerade om en personuppgiftsincident inte bör gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. På detta sätt kommer nationella bestämmelser om sekretess och tystnadsplikt att gå före den registrerades rätt att få information om inträffade incidenter. I promemorian görs bedömningen att ett sådant undantag kan ske med stöd av artikel 23.1 f i dataskyddsförordningen. Enligt den bestämmelsen är det möjligt att i nationell rätt förskriva en begränsning om det sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa skydd av rättsväsendets oberoende och rättsliga åtgärder. Datainspektionen menar att det, utöver i artikel 23.1 f, även finns stöd för en undantagsbestämmelse i punkten e, som ger rätt till begränsningar om det sker i syfte att säkerställa andra av unionens eller en medlemsstats viktiga mål av generellt intresse. Regeringen instämmer i Datainspektionens bedömning. Det bör framhållas att den föreslagna begränsningen endast gäller under den tid som uppgifterna omfattas av sekretess. När sekretessen inte längre gäller gentemot den registrerade bör den personuppgiftsansvarige alltså informera denne om personuppgiftsincidenten, om inte något av undantagen i artikel 34.3 i dataskyddsförordningen är tillämpligt. 5.10 Föreskriftsrätt Regeringens förslag: I lagen ska det upplysas om att regeringen kan meddela föreskrifter om vilka myndigheter som får ha direktåtkomst till personuppgifter. Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås att det även ska upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om tillgången till personuppgifter, närmare bestämmelser om vilka personuppgifter som får behandlas, frågor som rör direktåtkomst till personuppgifter, den längsta tid under vilken personuppgifter får behandlas och om säkerhetsåtgärder till skydd för personuppgifter. Remissinstanserna: Se avsnitt 5.1 angående Datainspektionens synpunkt om att regleringen av vilka aktörer som får medges direktåtkomst ska ske i lag. Övriga remissinstanser tillstyrker förslaget eller har inget att invända mot det. Skälen för regeringens förslag: Frågan om direktåtkomst till personuppgifter för personer inom kriminalvården regleras i 6 § lagen om behandling av personuppgifter inom kriminalvården. Andra stycket stadgar att 10 § gäller i fråga om direktåtkomst till personuppgifter som får lämnas ut till andra myndigheter. Av 10 § framgår att regeringen meddelar föreskrifter om att personuppgifter ska lämnas ut till myndighet även i andra fall än vid utlämnande av uppgifter till rättsstatistik och om vilka myndigheter som i det sammanhanget får ha direktåtkomst till personuppgifter. Av 11 § samma lag framgår vidare att regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om begränsningar av de angivna ändamålen, om begränsningar av de uppgifter som får behandlas för ett visst ändamål, om intern direktåtkomst, om när gallring ska ske samt om utlämnande av uppgifter om rättsstatistik. Regeringen anser att det även fortsättningsvis finns behov av att kunna meddela föreskrifter och att det är lämpligt att mer detaljerade bestämmelser tas in i förordning. Lagrådet menar dock att en sådan fristående uppräkning med upplysningsbestämmelser som föreslogs i lagrådsremissen kan väcka frågan om vad som gäller för regeringens föreskriftsrätt på de områden som inte räknas upp. För att undvika detta föreslås ingen sådan uppräkning i propositionen. Lagrådet menar vidare att det är tveksamt om man kan se bestämmelsen om att regeringen kan meddela föreskrifter om vilka myndigheter som får ha direktåtkomst till personuppgifter endast som en upplysningsbestämmelse mot bakgrund av att den begränsar regeringens generella möjlighet att vidaredelegera sin föreskriftsrätt enligt 8 kap. 11 § regeringsformen. Någon inskränkning av den grundlagsreglerade befogenheten är inte avsedd men eftersom det redan nu står helt klart att regeringen inte kommer att utnyttja rätten till vidaredelegation är det lämpligt att bestämmelsen formuleras på samma sätt som i dag, dvs. att det är regeringen som kan meddela sådana föreskrifter (10 § lagen om behandling av personuppgifter inom kriminalvården). Lagrådet anser vidare att paragrafens rubrik - Rätt att meddela föreskrifter - riskerar att leda tanken fel genom att ge intryck av att regeringen genom paragrafen tillförs rätt att meddela föreskrifter. Rubriken syftar dock på den rätt som regeringen har att meddela föreskrifter enligt regeringsformen och bör därför behållas. 5.11 Ikraftträdande- och övergångsbestämmelser Regeringens förslag: Kriminalvårdsdatalagen ska träda i kraft den 1 augusti 2018. För överklagande av beslut som rör behandling av personuppgifter i verksamhet som omfattas av den nya lagen och som före ikraftträdandet har meddelats med stöd av lagen om behandling av personuppgifter inom kriminalvården ska den lagen gälla i den nuvarande lydelsen. Promemorians förslag överensstämmer i huvudsak med regeringens utom när det gäller tidpunkten för ikraftträdandet. Remissinstanserna tillstyrker förslagen eller har inget att invända mot dem. Skälen för regeringens förslag Den nya lagen bör träda i kraft den 1 augusti 2018 Enligt dataskyddsförordningens artikel 99 ska förordningen träda i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning och tillämpas från och med den 25 maj 2018. Den nya dataskyddslagen med kompletterande bestämmelser till förordningen föreslås träda i kraft den 25 maj 2018 (prop. 2017/18:105). Kriminalvårdsdatalagen ska gälla för behandling av personuppgifter som inte omfattas av brottsdatalagens tillämpningsområde. Brottsdatalagen föreslås träda i kraft den 1 augusti 2018 (prop. 2017/18:232). Eftersom tillämpningsområdet för kriminalvårdsdatalagen anges genom brottsdatalagen är det lämpligt att de båda lagarna träder i kraft vid samma tidpunkt. Överklagande av tillsynsmyndighetens, Kriminalvårdens och domstolarnas beslut Enligt allmänna förvaltningsrättsliga principer gäller att de föreskrifter som är i kraft när prövningen hos en myndighet eller förvaltningsdomstol sker som huvudregel ska tillämpas. Detta gäller i fråga om både förfarandet och prövningen i sak och även om ett överklagat beslut har fattats före ikraftträdandet. Principen är inte undantagslös och det kan också följa av övergångsbestämmelser eller motiven till lagstiftningen att en annan ordning är avsedd (jfr RÅ 1996 ref. 57). Det finns mot denna bakgrund skäl att överväga behovet av övergångsbestämmelser när det gäller överklagande av tillsynsmyndighetens, Kriminalvårdens och domstolarnas beslut. Enligt punkt 6 i ikraftträdande- och övergångsbestämmelserna till dataskyddslagen gäller personuppgiftslagen fortfarande för överklagande av beslut som har meddelats med stöd av den lagen. Samma ordning bör gälla för kriminalvårdsdatalagen och klargöras genom en övergångsbestämmelse som anger att lagen om behandling av personuppgifter inom kriminalvården fortfarande gäller för överklagande av beslut som har meddelats före ikraftträdandet. Bestämmelsen har förtydligats efter synpunkt från Lagrådet. 6 Konsekvenser av förslagen Regeringens bedömning: Förslagen innebär en viss förstärkning av skyddet för enskildas personliga integritet. Eventuellt ökade kostnader ryms inom befintliga anslag. Förslagen har inte någon påverkan på jämställdheten mellan män och kvinnor. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanserna tillstyrker bedömningen eller har inget att invända mot den. Kammarrätten i Stockholm förutsätter att de olika förslagens sammantagna påverkan på förvaltningsdomstolarnas resurser och kostnader kommer att beaktas och att utvecklingen kommer att följas upp. Skälen för regeringens bedömning: Även om det nu införs en ny lag för personuppgiftsbehandling som är tillämplig inom en viss del av kriminalvårdens verksamhet kan man konstatera att kriminalvårdens förutsättningar för att behandla personuppgifter i stora delar kommer att vara desamma som i dag. Bestämmelserna om begränsning av behandling av känsliga personuppgifter, sökförbudet och att tillgången till personuppgifter begränsas till det som var och en behöver för att fullgöra sina arbetsuppgifter inom kriminalvården innebär att regleringen är mer långtgående än vad dataskyddsförordningen kräver, vilket innebär en förstärkning av skyddet för den personliga integriteten. Vad gäller Kammarrätten i Stockholms synpunkt konstateras att dataskyddsreformens sammantagna effekter för domstolarna inte kan analyseras inom ramen för detta lagstiftningsärende. Regeringen bedömer att eventuellt ökade kostnader för statliga myndigheter till följd av förslagen ryms inom myndigheternas befintliga anslag. Regeringen bedömer att förslagen inte har någon påverkan på jämställdheten mellan män och kvinnor och att de inte får några sociala eller miljömässiga konsekvenser. 7 Författningskommentar Lagens tillämpningsområde 1 § Denna lag gäller vid behandling av personuppgifter i Kriminalvårdens verksamhet som avser verkställighet av frihetsberövanden och genomförande av transporter i de fall brottsdatalagen (2018:000) inte är tillämplig. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Paragrafen, som har utformats i enlighet med Lagrådets förslag, anger tillämpningsområdet för lagen. Övervägandena finns i avsnitt 5.3. I första stycket anges att lagen gäller vid behandling av personuppgifter i Kriminalvårdens verksamhet som avser dels verkställighet av frihetsberövanden, dels genomförande av transporter. Lagen innehåller inte någon definition av vad som är en personuppgift. Av 2 § framgår dock att lagen kompletterar dataskyddsförordningen. Begreppet personuppgifter definieras i artikel 4.1 i dataskyddsförordningen som varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Begreppet behandling definieras i artikel 4.2 som en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. Lagen gäller vid behandling av personuppgifter vid verkställighet av frihetsberövanden. De frihetsberövanden som avses är sådana som faller utanför brottsdatalagens tillämpningsområde, dvs. frihetsberövanden på annan grund än för misstanke om brott och straffverkställighet. Det kan t.ex. handla om en person som har omhändertagits enligt 4 § lagen (1976:511) om omhändertagande av berusade personer m.m. eller om en utlänning som har tagits i förvar enligt 8 § lagen (1991:572) om särskild utlänningskontroll eller enligt 10 kap. 1 eller 2 § utlänningslagen (2005:716). Även frihetsberövanden i samband med beslut om häktning enligt 2 kap. 12 § konkurslagen (1987:672) eller enligt 2 kap. 16 § utsökningsbalken (1981:774) är sådana frihetsberövanden som faller inom förevarande lags tillämpningsområde. Lagen gäller också vid behandling av personuppgifter vid genomförande av transporter. Enligt 6 § förordningen (2007:1172) med instruktion för Kriminalvården ska myndigheten verkställa de transporter som Polismyndigheten och Säkerhetspolisen överlämnar enligt 29 a § polislagen (1984:387) samt lämna andra myndigheter den hjälp med transport som är särskilt föreskrivet. De transporter som avses är sådana som faller utanför brottsdatalagens tillämpningsområde, dvs. transporter på annan grund än för misstanke om brott och straffverkställighet. Det kan t.ex. handla om transporter av personer enligt lagen (1990:52) med särskilda bestämmelser om vård av unga eller lagen (1988:870) om vård av missbrukare i vissa fall, transporter till förhandling i allmän förvaltningsdomstol eller mellan SIS-institutioner, transport av förvarstagna som ska utvisas enligt utlänningslagen och transporter av personer enligt lagen (1991:1128) om psykiatrisk tvångsvård mellan olika sjukvårdsinrättningar. Lagen är även tillämplig när Kriminalvården vidarebehandlar personuppgifterna för att t.ex. lämna ut dem efter begäran. När en enskild eller en myndighet begär att få ta del av en uppgift ska lagen alltså tillämpas även beträffande den vidarebehandling av de personuppgifter som avses i första stycket. Utanför lagens tillämpningsområde faller däremot behandling av personuppgifter i samband med interna och administrativa åtgärder som kan förekomma i Kriminalvårdens verksamhet, t.ex. i ett personal- och löneregister. När personuppgifter som har behandlats med stöd av brottsdatalagen ska vidarebehandlas för ändamål utanför den lagens tillämpningsområde ska en särskild prövning göras enligt 2 kap. 22 § förslag till brottsdatalag (prop. 2017/18:232). Därutöver gäller dataskyddsförordningen. EU:s dataskyddsreform innebär att två nya regelkomplex blir tillämpliga, dataskyddsförordningen och dataskyddsdirektivet. Direktivet genomförs i svensk rätt genom bland annat brottsdatalagen. Lagen gäller inte i de fallbrottsdatalagen är tillämplig, dvs. när Kriminalvården i egenskap av behörig myndighet behandlar personuppgifter i syfte att verkställa häktning eller straffrättsliga påföljder eller biträda en annan behörig myndighet när den utför arbetsuppgifter för något av de syften som anges i 1 kap. 2 § brottsdatalagen. Dessa syften är att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Viss behandling av personuppgifter vid Kriminalvården regleras också i annan lagstiftning, t.ex. patientdatalagen (2008:355) som är tillämplig när Kriminalvården bedriver hälso- och sjukvård. Paragrafens andra stycke begränsar lagens tillämpningsområde till att, på motsvarande sätt som dataskyddsförordningen, i första hand avse helt eller delvis automatiserad behandling av personuppgifter. Men även viss manuell behandling omfattas. Så är fallet för annan behandling än automatiserad behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. För automatiserad behandling krävs det inte att de personuppgifter som hanteras är del av något som kan anses utgöra ett register eller att personuppgifterna annars är ordnade på visst sätt. Även behandling av enstaka personuppgifter i löptext omfattas således när det är fråga om automatiserad behandling. Motsatsen gäller för helt manuell behandling. I de fall då det är fråga om helt manuell behandling av personuppgifter som inte ingår i någon samling och inte heller är avsedda att göra det, är lagen inte tillämplig. Förhållandet till annan reglering 2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Paragrafen upplyser om att lagen kompletterar dataskyddsförordningen och anger hur lagen förhåller sig till lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Övervägandena finns i avsnitt 5.2. EU:s dataskyddsförordning utgör den generella regleringen av personuppgiftsbehandling inom EU. Förordningen är direkt tillämplig. Av artikel 2.2 d i förordningen framgår att den inte ska tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Dataskyddsförordningen är således inte tillämplig i de fall då brottsdatalagen är tillämplig (se kommentaren till 1 § andra stycket). I första stycket anges att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Att dataskyddsförordningen är direkt tillämplig innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Denna lag innehåller bestämmelser som kompletterar dataskyddsförordningen i den verksamhet som anges i 1 §, dvs. vid verkställighet av frihetsberövanden och genomförande av transporter. Hänvisningarna i lagen till dataskyddsförordningen är dynamiska, dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen. Av andra stycket framgår att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt denna lag. Detta gäller dock endast om inte något annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen. Ändamål 3 § Personuppgifter får behandlas om det är nödvändigt för att verkställa frihetsberövanden eller genomföra transporter. Uppgifter i Kriminalvårdens säkerhetsregister får dock endast behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. I paragrafen, som har utformats i enlighet med Lagrådets förslag, anges de primära ändamålen för personuppgiftsbehandling. Övervägandena finns i avsnitt 5.5. Enligt första stycket får Kriminalvården behandla personuppgifter om det är nödvändigt för att verkställa frihetsberövanden och genomföra transporter. Det är fråga om s.k. primära ändamål, dvs. ändamål för vilka Kriminalvården inte enbart får behandla uppgifter, utan även får samla in uppgifter. Vad gäller innebörden av uttrycken verkställa frihetsberövanden och genomföra transporter, se författningskommentaren till 1 §. Uppräkningen i paragrafen är uttömmande. Frågan om huruvida behandling av en viss personuppgift är nödvändig får bedömas utifrån om behandlingen är adekvat, relevant och nödvändig för arbetsuppgiften i det enskilda fallet. I detta ingår att personuppgifter får behandlas för tillsyn, kontroll, uppföljning och planering av verksamheten. Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig om den leder till effektivitetsvinster. Personuppgifter får även behandlas i det säkerhetsarbete som syftar till att förebygga och förhindra incidenter kopplade till att verkställa frihetsberövanden och genomföra transporter. Rent brottsförebyggande arbete, liksom om brottsmisstanke uppstår, faller dock inom brottsdatalagens tillämpningsområde (se kommentaren till 1 § andra stycket). I andra stycket tydliggörs att Kriminalvården får behandla personuppgifterna i myndighetens säkerhetsregister för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. Säkerhetsregistret regleras i dag i förordningen (2001:682) om behandling av personuppgifter inom kriminalvården men föreslås regleras i lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område när den ändras (se lagrådsremissen Brottsdatalag - kompletterande lagstiftning). 4 § Personuppgifter som behandlas enligt 3 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Personuppgifterna får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Paragrafen innehåller bestämmelser om de sekundära ändamål som personuppgifter får behandlas för. Övervägandena finns i avsnitt 5.5. Av paragrafen framgår att personuppgifter som har behandlats i enlighet med de primära ändamålsbestämmelserna i 3 § även får behandlas för att fullgöra uppgiftslämnande. Det kan röra sig om situationer där Kriminalvården enligt bestämmelser i olika författningar är skyldig att lämna uppgifter till utpekade myndigheter. Personuppgifter som har behandlats i enlighet med de primära ändamålsbestämmelserna får även behandlas för andra ändamål under förutsättning att behandlingen inte är oförenlig med insamlingsändamålen. Bestämmelsen, som är ett uttryck för den s.k. finalitetsprincipen, är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med insamlingsändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med insamlingsändamålen. Behandling av känsliga personuppgifter 5 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas endast om det är absolut nödvändigt för syftet med behandlingen. Paragrafen innehåller en bestämmelse om behandling av känsliga personuppgifter. Övervägandena finns i avsnitt 5.6. I paragrafen anges att känsliga personuppgifter får behandlas endast om det är absolut nödvändigt för syftet med behandlingen. De kategorier av personuppgifter som avses i artikel 9.1 är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i en fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Paragrafen innebär bl.a. att det inte är tillåtet att föra register över eller på annat sätt göra anteckningar om enskilda på den grunden att de utifrån etniskt ursprung, politiska åsikter eller något annat i paragrafen angivet förhållande kan hänföras till en viss kategori av människor, om det inte är absolut nödvändigt. Med hänsyn till den restriktivitet som ligger i uttrycket "absolut nödvändigt" måste behovet av att behandla personuppgifterna prövas noga i det enskilda fallet. Sökbegränsningar 6 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökförbudet hindrar inte sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Paragrafen begränsar möjligheterna att utföra sökningar som avslöjar känsliga personuppgifter. Övervägandena finns i avsnitt 5.7. Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har en viss politisk åsikt, religiös åskådning eller sexuell läggning. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, t.ex. för att utöva tillsyn, för att ta fram verksamhetsstatistik eller för registervård. I andra stycket anges att sökförbudet i första stycket inte gäller för sökning i Kriminalvårdens säkerhetsregister i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Se kommentaren till 3 § för information om säkerhetsregistret. Tillgången till personuppgifter 7 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Paragrafen reglerar den interna tillgången till personuppgifter för Kriminalvårdens personal. Övervägandena finns i avsnitt 5.8. Av paragrafen framgår att tillgången till personuppgifter i Kriminalvården ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Skilda personalkategorier kan vid olika tidpunkter behöva vidta åtgärder och därför också ha behov av tillgång till relevanta personuppgifter. Tillgången till personuppgifter kan begränsas genom tekniska och organisatoriska åtgärder. Uttrycket "var och en" inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning. Information om personuppgiftsincidenter 8 § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. I paragrafen finns en bestämmelse om den personuppgiftsansvariges skyldighet att informera om personuppgiftsincidenter. Övervägandena finns i avsnitt 5.9. I paragrafen anges att den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i dataskyddsförordningen inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Undantaget har stöd i artikel 23 i dataskyddsförordningen. Ytterligare undantag från skyldigheten att informera den registrerade om en personuppgiftsincident finns i artikel 34.3 i dataskyddsförordningen. Paragrafen innebär att sekretess eller tystnadsplikt gentemot den registrerade som har stöd i författning har företräde framför skyldigheten att informera den registrerade om en personuppgiftsincident. Det är främst sekretess enligt offentlighets- och sekretesslagen (2009:400), OSL, som avses. Sekretess kan gälla i förhållande till den registrerade för uppgifter om en tvångs- eller säkerhetsåtgärd. Detta kan t.ex. avse sådan sekretess som gäller inom Kriminalvården enligt 18 kap. 11 § OSL för uppgift om åtgärd som har till syfte att hindra rymning eller fritagning, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs. Begränsningen av skyldigheten att informera den registrerade gäller endast under den tid som uppgifterna omfattas av sekretess. När sekretessen inte längre gäller gentemot den registrerade, t.ex. för att verkställighet har skett, bör den personuppgiftsansvarige alltså informera den registrerade om personuppgiftsincidenten, om inte något av undantagen i artikel 34.3 i dataskyddsförordningen är tillämpligt. Rätt att meddela föreskrifter 9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka myndigheter som får ha direktåtkomst till personuppgifter. Paragrafen innehåller en upplysning om att regeringen kan meddela föreskrifter om vilka myndigheter som får ha direktåtkomst till personuppgifter. Övervägandena finns i avsnitt 5.10. Ikraftträdande- och övergångsbestämmelser 1. Denna lag träder i kraft den 1 augusti 2018. 2. För överklagande av beslut som rör behandling av personuppgifter i verksamhet som omfattas av denna lag och som före ikraftträdandet har meddelats med stöd av lagen (2001:617) om behandling av personuppgifter inom kriminalvården gäller den lagen i den nuvarande lydelsen. Övervägandena om ikraftträdande- och övergångsbestämmelser, som i huvudsak har utformats i enlighet med Lagrådets förslag, finns i avsnitt 5.11. Enligt punkt 1 träder lagen i kraft den 1 augusti 2018. Av punkt 2 framgår att äldre föreskrifter fortfarande gäller för överklaganden av beslut som har meddelats före den 1 augusti 2018. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) Sammanfattning av departementspromemorian Kriminalvårdens datalag - anpassning till EU:s dataskyddsförordning (Ds 2017:46) Anpassningar till EU:s dataskyddsförordning EU:s dataskyddsreform innebär att en ny dataskyddsförordning kommer att utgöra grunden för generell personuppgiftsbehandling inom EU från och med den 25 maj 2018. Reformen omfattar även ett nytt direktiv med särregler för den personuppgiftsbehandling som utförs av behöriga myndigheter för bl.a. brottsbekämpning, lagföring och straffverkställighet. Denna promemoria innehåller förslag till de författningsändringar som behövs med anledning av dataskyddsförordningen för Kriminalvårdens personuppgiftsbehandling till den del den inte omfattas av EU:s dataskyddsdirektiv. Ny lag Utredningen om 2016 års dataskyddsdirektiv har i uppdrag att lämna förslag på den personuppgiftsbehandling hos Kriminalvården som omfattas av den föreslagna brottsdatalagens tillämpningsområde. Det har i samråd med den utredningen framkommit att den kommer att lämna förslag om att dagens reglering - i lagen (2001:617) om behandling av personuppgifter inom kriminalvården och dess tillhörande förordning - bör användas för anpassning med anledning av brottsdatalagen, eftersom den del av Kriminalvårdens arbetsuppgifter som faller inom brottsdatalagens tillämpningsområde avser en helt övervägande del av verksamheten. Vår utgångspunkt har utifrån dessa förutsättningar varit att vårt lagförslag kommer att utgöra en ny lag och få ett nytt SFS-nummer. Den nuvarande regleringen är omodern och skiljer sig på flera punkter från nyare registerförfattningar. Vår ambition har därför varit att, utifrån givna tidsramar, föreslå en ny lag med en modern och uppdaterad struktur där språkbruket är lätt att följa. Vi föreslår att lagen ska kallas kriminalvårdens datalag. Tillämpningsområdet Vi föreslår att kriminalvårdens datalag inte ska gälla vid sådan behandling av personuppgifter som omfattas av den föreslagna brottsdatalagens tillämpningsområde. Lagens tillämpningsområde ska enligt vårt förslag omfatta endast när personuppgifter behandlas för att utföra en arbetsuppgift i syfte att verkställa frihetsberövanden eller att genomföra transporter, till den del de inte faller in under brottsdatalagens tillämpningsområde. Exempel på frihetsberövanden utanför brottsdatalagens tillämpningsområde är 4 § lagen (1976:511) om omhändertagande av berusade personer m.m. och 47 § lagen (1991:1128) om psykiatrisk tvångsvård. Brottsdatalagen torde inte heller bli tillämplig på en utlänning som hålls i förvar i en kriminalvårdsanstalt eller i ett häkte med stöd av 8 och 8 a §§ lagen (1991:572) om särskild utlänningskontroll eller 10 kap. 1 eller 2 § utlänningslagen (2005:716). Detsamma torde gälla den som är häktad enligt 2 kap. 12 § konkurslagen (1987:672) eller 2 kap. 16 § utsökningsbalken (1981:774). Kriminalvården bistår många myndigheter med transporter, t.ex. till Migrationsverkets förvar, i samband med tvångsvård eller till och från förhandlingar i förvaltningsdomstolarna. Dessa transporter faller inte under brottsdatalagens tillämpningsområde och behöver regleras genom den registerförfattning som vi föreslår. Dataskyddsförordningen ska tillämpas i Sverige som om den vore nationell rätt, men hindrar inte förekomsten av nationella registerförfattningar. Dessa kommer framöver dock endast att utgöra en komplettering till dataskyddsförordningen, vilket enligt vårt förslag ska klargöras i kriminalvårdens datalag. Grundläggande bestämmelser Den rättsliga grunden för den personuppgiftsbehandling som utförs inom kriminalvårdens datalags tillämpningsområde utgörs enligt vår bedömning av att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Vi har anpassat den nya lagens ändamålsbestämmelser efter dataskyddsförordningen. De största förändringarna i förhållande till nuvarande reglering i lagen om behandling av personuppgifter inom kriminalvården beror på att den nya lagen har fått en modernare utformning. Det finns ett värde i att svenska registerförfattningar utformas med en liknande struktur och begreppsbildning. Vi föreslår att det i kriminalvårdens datalag klargörs att personuppgifter som behandlas eller har behandlats för lagens primära ändamål ska få behandlas om det behövs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, förutsatt att de säkerhetsåtgärder som framgår av artikel 89.1 i dataskyddsförordningen vidtas. Övriga materiella bestämmelser Vi har anpassat den nya lagens materiella bestämmelser efter dataskyddsförordningen. Vi föreslår en lag som exempelvis innefattar bestämmelser om personuppgiftsansvar, direktåtkomst och bevarande. Ändringar i förhållande till nuvarande reglering beror främst på behov av modernisering av den gamla lagen och dess tillhörande förordning. Vi föreslår dock att bestämmelserna om behandling av känsliga personuppgifter anpassas till dataskyddsförordningen på så sätt att definitionen av vilka kategorier av personuppgifter som ska anses vara känsliga överensstämmer med dataskyddsförordningens begrepp. Detta innebär att uppgifter om genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person tillkommer. Förändringen ska emellertid inte innebära några hinder mot att - på samma sätt som för närvarande - behandla personuppgifter som finns i Kriminalvårdens register. När dataskyddsförordningen börjar tillämpas ska personuppgiftslagen (1998:204) upphävas. I motsats till vad som tidigare gällt för lagen om behandling av personuppgifter inom kriminalvården i förhållande till personuppgiftslagen föreslår vi att kriminalvårdens datalag ska gälla i stället för den föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (förkortad dataskyddslagen), som föreslås komplettera EU:s dataskyddsförordning på ett generellt plan i svensk rätt (se Dataskyddsutredningens betänkande [SOU 2017:39]). Det ska i kriminalvårdens datalag särskilt anges vilka bestämmelser i dataskyddslagen som ska gälla inom tillämpningsområdet. Genom hänvisningar till dataskyddslagens bestämmelser kommer det att finnas en reglering om bl.a. de aktuella myndigheternas rätt att behandla uppgifter om personnummer och samordningsnummer samt rätten för myndigheterna att återanvända personuppgifter i arkiverade handlingar. Det kommer även att finnas undantag från den registrerades rätt till information vid insamling av personuppgifter samt från rätten till ett registerutdrag. Dataskyddsförordningen innehåller bestämmelser som i vissa fall ger den registrerade rätt till information om en inträffad personuppgiftsincident. För att säkerställa att den registrerade inte genom sådan information får del av uppgifter som det råder sekretess för gentemot honom eller henne, föreslår vi att det införs ett undantag från denna rättighet. Undantaget ska gälla om den personuppgiftsansvarige, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den registrerade. De undantag från dataskyddsförordningens bestämmelser om den registrerades rättigheter som vi föreslagit får - tillsammans med de undantag som finns i dataskyddsförordningen - till följd att de aktuella myndigheternas verksamhet kan fortgå även om den registrerade utnyttjar sina rättigheter enligt dataskyddsförordningen. Genomförande av transporter och verksamhet med frihetsberövande behöver inte avstanna, bevarande av handlingar kommer att vara möjlig, personuppgifter i avslutade och arkiverade ärenden kan fortsätta behandlas och allmänhetens tillgång till allmänna handlingar inskränks inte. Tillsyn och överklagande Dataskyddsförordningen och förslaget till dataskyddslag kommer att förändra systemet för sanktioner vid otillåten personuppgiftsbehandling. Vi föreslår att dataskyddslagens bestämmelser om administrativa sanktionsavgifter mot myndigheter i tillämpliga delar ska gälla även på kriminalvårdens datalags tillämpningsområde. Detsamma gäller för dataskyddslagens bestämmelser om tillsynsmyndighetens handläggning och beslut. Genom en hänvisning till dataskyddslagen ska det klargöras att den rätt till skadestånd för registrerade som framgår av dataskyddsförordningen även gäller vid överträdelser av dataskyddslagens (i tillämpliga delar) och kriminalvårdens datalags bestämmelser. Också dataskyddslagens överklagandebestämmelser kommer att gälla inom tillämpningsområdet för kriminalvårdens datalag. Promemorians lagförslag Förslag till Kriminalvårdens datalag Härigenom föreskrivs följande. Lagens syfte 1 § Syftet med denna lag är att ge Kriminalvården möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i kriminalvårdande verksamhet som inte omfattas av brottsdatalagens (2018:xx) tillämpningsområde och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 § Denna lag gäller för behandling av personuppgifter i kriminalvårdande verksamhet som inte omfattas av brottsdatalagens (2018:xx) tillämpningsområde. Lagen gäller också när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Förhållandet till annan lagstiftning 3 § Denna lag innehåller kompletterande bestämmelser till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG. 4 § Om inte något annat anges i 5 § gäller denna lag i stället för lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning. 5 § När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning: 1. 1 kap. 4 § första stycket om förhållandet till tryck- och yttrandefriheten, 2. 3 kap. 6 § om behandling av känsliga personuppgifter för arkivändamål av allmänt intresse, 3. 3 kap. 13 § om behandling av personnummer och samordningsnummer, 4. 4 kap. 1 § om användningsbegränsningar för arkiverade personuppgifter, 5. 5 kap. 1 § första stycket och 5 kap. 2 § om begränsningar av vissa rättigheter och skyldigheter, 6. 6 kap. 1-5 §§ om tillsynsmyndighetens handläggning och beslut, 7. 7 kap. 1, 3 och 4 §§ om administrativa sanktionsavgifter, och 8. 8 kap. 1-4 och 6 §§ om skadestånd och överklagandebestämmelser. Ändamål 6 § Personuppgifter får bara behandlas om det behövs för att utföra en arbetsuppgift i syfte att 1. verkställa frihetsberövanden, eller 2. genomföra transporter. För att förebygga och förhindra incidenter av betydelse för enskildas säkerhet i de verksamheter som avses i första stycket får även uppgifter i det säkerhetsregister som avses i [namnet på den registerförfattning som kompletterar brottsdatalagen för kriminalvårdens verksamhet] (2018:xx) behandlas. 7 § Personuppgifter som behandlas eller har behandlats enligt 6 § får även behandlas om det behövs 1. för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, eller 2. för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679. Tillgång till personuppgifter 8 § Tillgången till personuppgifter ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Personuppgiftsansvar 9 § Kriminalvården är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Behandling av känsliga personuppgifter 10 § Sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter) får endast behandlas om uppgifterna är absolut nödvändiga för syftet med behandlingen. Känsliga personuppgifter får inte utgöra den enda grunden för behandling av uppgifter om en person. 11 § Det är förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. Vid sökning i säkerhetsregistret gäller dock vad som sägs i [x kap. y § i den registerförfattning som kompletterar brottsdatalagen för kriminalvårdens verksamhet] (2018:xx). Föreskrifter 12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. tillgången till personuppgifter, 2. närmare bestämmelser om vilka personuppgifter som får behandlas, 3. frågor som rör direktåtkomst till personuppgifter, 4. den längsta tid under vilken personuppgifter får behandlas, och 5. säkerhetsåtgärder till skydd för personuppgifter. ________________ Ikraftträdande- och övergångsbestämmelser Denna lag träder i kraft den 25 maj 2018. Äldre föreskrifter gäller för överklaganden av beslut som meddelats före ikraftträdandet och som rör behandling av personuppgifter i verksamhet som omfattas av denna lag. Förteckning över remissinstanserna (Ds 2017:46) Efter remiss har yttranden över promemorian Kriminalvårdens datalag - anpassning till EU:s dataskyddsförordning (Ds 2017:46) inkommit från Svea hovrätt, Umeå tingsrätt, Kammarrätten i Stockholm, Förvaltnings-rätten i Stockholm, Justitiekanslern, Domstolsverket, Åklagarmyndighet-en, Polismyndigheten, Säkerhetspolisen, Kriminalvården, Övervakningsnämnden i Stockholm (avdelning Fridhemsplan), Övervakningsnämnden i Örebro, Brottsförebyggande rådet, Datainspektionen, Umeå universitet och Riksarkivet. Riksdagens ombudsmän, Sveriges Advokatsamfund samt Sveriges Kommuner och Landsting har avstått från att yttra sig. Synpunkter har även lämnats av Dataskydd.net. Lagrådsremissens lagförslag Förslag till kriminalvårdsdatalag Härigenom föreskrivs följande. Lagens tillämpningsområde 1 § Denna lag gäller vid behandling av personuppgifter i Kriminalvårdens verksamhet som avser 1. verkställighet av frihetsberövanden, och 2. genomförande av transporter. Lagen gäller inte vid behandling av personuppgifter som omfattas av brottsdatalagens (2018:000) tillämpningsområde. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Förhållandet till annan reglering 2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Ändamål 3 § Personuppgifter får behandlas om det är nödvändigt för att 1. verkställa frihetsberövanden, eller 2. genomföra transporter. Uppgifter i Kriminalvårdens säkerhetsregister får dock endast behandlas för att förebygga och förhindra incidenter av betydelse för enskildas säkerhet. 4 § Personuppgifter som behandlas enligt 3 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Personuppgifter som behandlas enligt 3 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Behandling av känsliga personuppgifter 5 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas endast om det är absolut nödvändigt för syftet med behandlingen. Sökbegränsningar 6 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökförbudet hindrar inte sökning i personuppgifter i säkerhetsregistret i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning. Tillgången till personuppgifter 7 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Information om personuppgiftsincidenter 8 § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Rätt att meddela föreskrifter 9 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka myndigheter som får ha direktåtkomst till personuppgifter. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om 1. tillgången till personuppgifter, 2. de personuppgifter som får behandlas, 3. den längsta tid under vilken personuppgifter får behandlas, och 4. säkerhetsåtgärder till skydd för personuppgifter. 1. Denna lag träder i kraft den 1 augusti 2018. 2. Lagen (2001:617) om behandling av personuppgifter inom kriminalvården gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet och som rör behandling av personuppgifter i verksamhet som omfattas av förevarande lag. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2018-03-27 Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka Kriminalvårdsdatalag Enligt en lagrådsremiss den 21 mars 2018 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till kriminalvårdsdatalag. Förslaget har inför Lagrådet föredragits av rättssakkunniga Johanna Gustafsson. Förslaget föranleder följande yttrande av Lagrådet: 1 § Av den föreslagna lagtexten framgår inte att personuppgiftsbehandlingen vid verkställighet av frihetsberövanden och genomförande av transporter till största delen kommer att falla utanför lagens tillämpningsområde och i stället ske med tillämpning av brottsdatalagen. Lagtexten ger snarast det motsatta intrycket. Lagrådet föreslår att första och andra styckena slås samman och att första stycket formuleras enligt följande. Denna lag gäller vid behandling av personuppgifter i Kriminalvårdens verksamhet som avser verkställighet av frihetsberövanden och genomförande av transporter i de fall brottsdatalagen (2018:000) inte är tillämplig. Om Lagrådets förslag följs bör inte heller 3 § skrivas i punktform. 9 § Enligt författningskommentaren innehåller paragrafen upplysningsbestämmelser. De syftar endast till att erinra om den föreskriftsrätt som regeringen har enligt 8 kap. 7 § regeringsformen. Det är alltså inte fråga om några bemyndiganden. Första stycket innebär emellertid att lagstiftaren begränsar regeringens generella möjlighet enligt 8 kap. 11 § regeringsformen att vidaredelegera sin föreskriftsrätt. Det framstår mot den bakgrunden som tveksamt att se bestämmelsen endast som en upplysningsbestämmelse. Frågeställningen och den valda formuleringen bör övervägas under den fortsatta beredningen. I andra stycket rör det sig om rena upplysningsbestämmelser. Som Lagrådet har framhållit i sitt yttrande över lagrådsremissen med förslag till brottsdatalag kan en fristående uppräkning av detta slag väcka frågan om vad som gäller för regeringens föreskriftsrätt på de områden som inte räknas upp. Om bedömningen är att det finns ett behov av en upplysnings-bestämmelse kan denna effekt undvikas genom att bestämmelsen utformas på ett mer generellt sätt. Detaljerade uppgifter om vilka områden som regeringens kommande föreskrifter kan förväntas ta sikte på kan då beskrivas i författningskommentaren. Även paragrafens rubrik - Rätt att meddela föreskrifter - riskerar att leda tanken fel genom att ge intryck av att regeringen genom paragrafen tillförs rätt att meddela föreskrifter. Även valet av rubrik bör övervägas under den fortsatta beredningen. Ikraftträdande- och övergångsbestämmelserna Vid föredragningen har upplysts att 2001 års lag enligt planerna ska ändras vid årsskiftet och att avsikten med övergångsbestämmelsen är att nuvarande lydelse av den lagen fortsatt ska gälla vid överklagande av beslut som meddelats före ikraftträdandet av kriminalvårdsdatalagen. Eftersom lagen inte upphävs blir orden "gäller fortfarande för överklagande" missvisande. Lagrådet förslår att övergångsbestämmelsen formuleras enligt följande. Vid överklagande av beslut som rör behandling av personuppgifter i verksamhet som omfattas av denna lag och som före ikraftträdandet har meddelats med stöd av lagen (2001:617) om behandling av personuppgifter inom kriminalvården gäller den lagen i dess nuvarande lydelse. Justitiedepartementet Utdrag ur protokoll vid regeringssammanträde den 19 april 2018 Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Y Johansson, M Johansson, Baylan, Hallengren, Bucht, Hultqvist, Hellmark Knutsson, Bolund, Damberg, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Eriksson, Linde, Skog, Ekström, Fritzon, Eneroth Föredragande: statsrådet M Johansson Regeringen beslutar proposition Kriminalvårdsdatalag - en ny lag med anpassning till EU:s dataskyddsförordning