Post 2578 av 7191 träffar
Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete Prop. 2012/13:73
Ansvarig myndighet: Justitiedepartementet
Dokument: Prop. 73
Regeringens proposition
2012/13:73
Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete
Prop.
2012/13:73
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 21 februari 2013
Fredrik Reinfeldt
Beatrice Ask
(Justitiedepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås en ny lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (EU). Därmed genomförs de återstående delarna av det s.k. dataskyddsrambeslutet.
Lagen ska tillämpas på uppgifter som överförs från eller till en annan EU-medlemsstat eller Island, Norge, Schweiz eller Liechtenstein i verksamheter som har till syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa påföljder. Även uppgifter från ett EU-informationssystem som avser polissamarbete eller straffrättsligt samarbete omfattas av lagen. Sådant informationsutbyte som reglerats tidigare, exempelvis utbyte med stöd av det s.k. Prümrådsbeslutet, undantas dock. Behandling av personuppgifter som rör nationell säkerhet omfattas inte heller av lagen.
I lagen regleras bl.a. för vilka ändamål uppgifterna får behandlas och vad som gäller för den fortsatta behandlingen. Lagen anger vidare i vilka situationer personuppgifter får överföras till enskilda, till tredjeland och till internationella organ.
Svenska myndigheter åläggs att följa de villkor om användningen som ställts upp av den som överfört uppgifterna eller gjort dem tillgängliga. En svensk myndighet får ange villkor som innebär användningsbegränsningar för utländska mottagare.
Propositionen innehåller även förslag till en ny lag om tystnadsplikt för anställda vid Europol. Brott mot tystnadsplikten bestraffas enligt 20 kap. 3 § brottsbalken.
De nya lagarna föreslås träda i kraft den 1 juli 2013.
Innehållsförteckning
1 Förslag till riksdagsbeslut 6
2 Lagtext 7
2.1 Förslag till lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen 7
2.2 Förslag till lag om tystnadsplikt för anställda vid Europeiska polisbyrån 11
2.3 Förslag till lag om ändring i lagen (1998:620) om belastningsregister 12
2.4 Förslag till lag om ändring i lagen (1998:621) om misstankeregister 14
2.5 Förslag till lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar 15
2.6 Förslag till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete 16
2.7 Förslag till lag om ändring i lagen (2011:1175) om ändring i lagen (2000:344) om Schengens informationssystem 17
2.8 Förslag till lag om ändring i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet 18
2.9 Förslag till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården 19
2.10 Förslag till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet 20
2.11 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) 23
2.12 Förslag till lag om ändring i polisdatalagen (2010:361) 24
2.13 Förslag till lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister 25
2.14 Förslag till lag om ändring i kustbevakningsdatalagen (2012:145) 26
3 Ärendet och dess beredning 27
4 Regleringen rörande dataskydd 29
4.1 Inledning 29
4.2 Europarådets dataskyddsreglering 29
4.3 EU:s dataskyddsreglering 29
4.4 OECD:s riktlinjer 30
4.5 Grundläggande bestämmelser om behandling av personuppgifter 30
4.6 Personuppgiftslagen 31
4.6.1 Lagens tillämpningsområde 31
4.6.2 Grundläggande krav för behandlingen 32
4.6.3 Tillåten behandling 32
4.6.4 Information och rättelse 33
4.6.5 Säkerhet vid behandlingen 34
4.6.6 Överföring av personuppgifter till tredjeland 34
4.6.7 Tillsyn 34
4.6.8 Sanktioner 35
4.7 Polisens behandling av personuppgifter 35
4.7.1 Regleringen i stort 35
4.7.2 Polisdatalagen 36
4.7.3 Andra registerförfattningar 38
4.8 Andra myndigheters behandling av personuppgifter för brottsbekämpning 38
4.8.1 Tullverket 38
4.8.2 Kustbevakningen 40
4.8.3 Skatteverket 41
4.8.4 Åklagarväsendet 43
4.9 Behandling av personuppgifter vid andra myndigheter i rättskedjan 44
4.9.1 Allmänna utgångspunkter 44
4.9.2 Domstolarna 45
4.9.3 Kriminalvården 46
4.9.4 Kronofogdemyndigheten 47
4.10 Lagstiftning om internationellt samarbete 48
4.10.1 Allmänna utgångspunkter 48
4.10.2 Lagstiftning om samarbete i den brottsbekämpande verksamheten 48
4.10.3 Lagen om internationell rättslig hjälp i
brottmål 51
5 Dataskyddsrambeslutet 52
5.1 Bakgrund 52
5.2 Rambeslutets innehåll 52
6 Genomförande av dataskyddsrambeslutet 55
6.1 Förbättrat integritetsskydd vid polissamarbete och straffrättsligt samarbete 55
6.2 I vilken utsträckning kräver genomförandet av dataskyddsrambeslutet författningsreglering? 55
6.3 Normgivningsnivån 57
6.4 Den nya lagens tillämpningsområde 59
6.4.1 Allmänt om tillämpningsområdet 59
6.4.2 Undantag för nationella säkerhetsintressen 68
6.5 Definitioner 70
6.6 Ändamål med behandlingen 71
6.6.1 Allmänt om ändamålen 71
6.6.2 Behandling för andra ändamål än de ursprungliga 72
6.6.3 Vidarebehandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål 74
6.6.4 Tillämpningen av offentlighetsprincipen 76
6.6.5 Ska internationella åtaganden vara ett särskilt ändamål? 78
6.7 Villkor för användningen av uppgifter 82
6.7.1 Villkor som ställs upp av utländska organ 82
6.7.2 Uppgifter som överförs av svenska myndigheter till en annan medlemsstat m.m. 85
6.8 Behandling av känsliga personuppgifter 86
6.9 Rätten till information 90
6.10 Skadestånd, rättelse och sanktioner 93
6.10.1 Skadestånd 93
6.10.2 Rättelse 94
6.10.3 Sanktioner 96
6.11 Överklagande 97
6.12 Överföring av personuppgifter till tredjeland 98
6.13 Överföring av personuppgifter till enskilda 100
6.14 Dataskyddsbestämmelser i tidigare antagna rättsakter 103
6.15 Avtal med tredjeland 108
6.16 Förhållandet mellan den nya lagen och myndigheternas registerförfattningar 109
6.17 Ändring i offentlighets- och sekretesslagen 111
6.18 System för märkning 112
6.19 Tillsyn 113
7 Kompletterande lagstiftning med anledning av Europolråds
beslutet 115
7.1 Något om Europol och dess verksamhet 115
7.2 Europolrådsbeslutet 116
7.3 Tystnadsplikt inom EU 117
7.3.1 Allmänt om tystnadsplikten 117
7.3.2 Tystnadsplikt i Europol 118
7.3.3 Sanktioner inom EU 118
7.4 Den svenska regleringen av frågor om tystnadsplikt 119
7.4.1 Yttrandefrihet 119
7.4.2 Straffansvar enligt brottsbalken 120
7.5 En ny lag om tystnadsplikt 121
8 Ikraftträdande och övergångsbestämmelser 125
8.1 Ikraftträdande 125
8.2 Övergångsbestämmelser 126
9 Konsekvenserna av förslagen 127
10 Författningskommentar 129
10.1 Förslaget till lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen 129
10.2 Förslaget till lag om tystnadsplikt för anställda vid Europeiska polisbyrån 139
10.3 Förslaget till lag om ändring i lagen (1998:620) om belastningsregister 140
10.4 Förslaget till lag om ändring i lagen (1998:621) om misstankeregister 141
10.5 Förslaget till lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar 142
10.6 Förslaget till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete 142
10.7 Förslaget till ändring i lagen (2011:1175) om ändring i lagen (2000:344) om Schengens informationssystem 143
10.8 Förslaget till lag om ändring i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet 144
10.9 Förslaget till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården 144
10.10 Förslaget till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet 145
10.11 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400) 147
10.12 Förslaget till lag om ändring i polisdatalagen
(2010:361) 148
10.13 Förslaget till lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister 148
10.14 Förslaget till lag om ändring i kustbevakningsdatalagen (2012:145) 149
Bilaga 1 Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete 150
Bilaga 2 Rådets beslut av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol) 162
Bilaga 3 Sammanfattning av betänkandet 192
Bilaga 4 Utredningens lagförslag 199
Bilaga 5 Förteckning över remissinstanserna (betänkandet) 215
Bilaga 6 Lagförslagen i utkastet till lagrådsremiss 216
Bilaga 7 Förteckning över remissinstanserna (utkastet till lagrådsremiss) 236
Bilaga 8 Lagrådsremissens lagförslag 237
Bilaga 9 Lagrådets yttrande 257
Utdrag ur protokoll vid regeringssammanträde den 21 februari 2013 265
Rättsdatablad 266
1
Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till
1. lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen,
2. lag om tystnadsplikt för anställda vid Europeiska polisbyrån,
3. lag om ändring i lagen (1998:620) om belastningsregister,
4. lag om ändring i lagen (1998:621) om misstankeregister,
5. lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,
6. lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete,
7. lag om ändring i lagen (2011:1175) om ändring i lagen (2000:344) om Schengens informationssystem,
8. lag om ändring i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet,
9. lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården,
10. lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,
11. lag om ändring i offentlighets- och sekretesslagen (2009:400),
12. lag om ändring i polisdatalagen (2010:361),
13. lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister,
14. lag om ändring i kustbevakningsdatalagen (2012:145).
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen
Härigenom föreskrivs följande.
Lagens syfte
1 § Genom denna lag genomförs rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).
Lagens tillämpningsområde
2 § Denna lag gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om uppgifterna inom ramen för polissamarbete eller straffrättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
När svenska myndigheter överför personuppgifter till eller gör sådana uppgifter tillgängliga för dem som anges i första stycket 1-4 gäller bara bestämmelserna i 3 och 9 §§, med de begränsningar som följer av 4 §.
3 § Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
4 § Lagen gäller inte för sådan behandling av personuppgifter som rör nationell säkerhet.
Lagen gäller inte heller för behandling av personuppgifter som görs eller har gjorts tillgängliga eller överförs eller har överförts genom
1. informationsutbyte som hänför sig till Schengens informationssystem (SIS),
2. informationsutbyte genom Tullinformationssystemet (TIS),
3. uppgiftsutbyte med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet), eller
4. åtkomst enligt rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott.
Tillåtna ändamål för behandling av personuppgifter
5 § Personuppgifter som har erhållits enligt 2 § första stycket får endast behandlas för andra ändamål än det som uppgifterna först överfördes eller gjordes tillgängliga för, om syftet med behandlingen är att
1. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
2. vidta åtgärder i rättsliga eller administrativa förfaranden med direkt anknytning till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, eller
3. avvärja en omedelbar och allvarlig fara för allmän säkerhet.
Personuppgifter får även behandlas för andra ändamål än dem som anges i första stycket, om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.
Personuppgifter får också behandlas för historiska, vetenskapliga och statistiska ändamål.
Överföring av personuppgifter till enskilda
6 § Personuppgifter som har erhållits enligt 2 § första stycket får överföras till enskilda om
1. den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,
2. överföringen är nödvändig för att
a) myndigheten ska kunna fullgöra en författningsreglerad uppgift,
b) förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
c) avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller
d) förhindra att enskildas rättigheter allvarligt kränks, och
3. inga berättigade intressen hos den som uppgifterna avser hindrar att de överförs.
Första stycket gäller inte i fråga om uppgifter som lämnas till enskilda vid handläggning av brottmål.
Överföring av personuppgifter till tredjeland eller internationella organ
7 § Personuppgifter som har erhållits enligt 2 § första stycket får, förutom till dem som anges i 2 § första stycket 1-4, överföras till tredjeland eller internationella organ. Uppgifterna får dock endast överföras om
1. den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,
2. det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
3. mottagaren har ansvar för sådan verksamhet som anges i 2, och
4. den stat där den mottagande myndigheten eller det mottagande internationella organet finns har en adekvat skyddsnivå för den avsedda personuppgiftsbehandlingen.
Om kravet på adekvat skyddsnivå enligt första stycket 4 inte är uppfyllt, får personuppgifter ändå överföras i ett enskilt fall om överföringen är motiverad av ett berättigat intresse hos den som uppgifterna avser eller av ett särskilt viktigt allmänt intresse eller om mottagaren i det enskilda fallet tillhandahåller tillräckliga skyddsåtgärder för personuppgifterna.
Om medgivande enligt första stycket 1 på grund av tidsbrist inte kan utverkas i förväg, får personuppgifter ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller annan medlemsstat i Europeiska unionen.
Villkor om användningsbegränsningar
Villkor som ställs upp av andra stater eller EU-organ
8 § Om en svensk myndighet har erhållit uppgifter enligt 2 § första stycket och det finns villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.
Det som sägs i första stycket hindrar inte att uppgifter behandlas efter utgången av en sådan tidsfrist för gallring som angetts som villkor vid överföringen, om behandlingen behövs för en pågående utredning, beivrande av brott eller verkställighet av straffrättsliga påföljder. Uppgifterna ska då gallras när de inte längre behövs för ett sådant ändamål.
Villkor när svenska myndigheter överför uppgifter eller gör uppgifter tillgängliga
9 § Om en svensk myndighet överför personuppgifter till eller gör personuppgifter tillgängliga för någon av dem som anges i 2 § första stycket 1-4, ska myndigheten underrätta mottagaren om de särskilda villkor som gäller för användningen av uppgifterna. Villkoren får inte innebära andra begränsningar än sådana som gäller vid överföring inom Sverige och får inte heller strida mot en internationell överenskommelse som är bindande för Sverige.
Övriga bestämmelser
10 § Bestämmelsen om jämkning av skadestånd i 48 § andra stycket personuppgiftslagen (1998:204) gäller inte vid behandling av personuppgifter enligt denna lag.
11 § Regeringen eller den myndighet regeringen bestämmer meddelar ytterligare föreskrifter om skyddet av personuppgifter enligt denna lag.
Denna lag träder i kraft den 1 juli 2013, men tillämpas inte på uppgifter som överförts eller gjorts tillgängliga tidigare.
2.2
Förslag till lag om tystnadsplikt för anställda vid Europeiska polisbyrån
Härigenom föreskrivs följande.
1 § Den som är eller har varit verksam vid Europeiska polisbyrån (Europol) i egenskap av ledamot i styrelsen eller anställd, eller har ålagts tystnadsplikt med stöd av artikel 41.2 i rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), får inte obehörigen röja uppgifter som han eller hon fått kännedom om på grund av verksamheten vid Europol.
I fråga om den som fått del av uppgifter som avses i första stycket inom ramen för anställning eller uppdrag hos en svensk myndighet ska i stället offentlighets- och sekretesslagen (2009:400) tillämpas.
Denna lag träder i kraft den 1 juli 2013.
2.3
Förslag till lag om ändring i lagen (1998:620) om belastningsregister
Härigenom föreskrivs att det i lagen (1998:620) om belastningsregister ska införas två nya paragrafer, 1 a och 1 b §§, samt närmast före 1 a § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till andra bestämmelser om personuppgiftsbehandling
1 a §
Denna lag gäller utöver personuppgiftslagen (1998:204).
1 b §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204). Detta gäller dock inte vid behandling av personuppgifter som utbyts eller har utbytts enligt rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av personuppgifter ur kriminalregistret och uppgifternas innehåll. Bestämmelsen i 10 § lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska dock tillämpas även vid sådan behandling.
Denna lag träder i kraft den 1 juli 2013.
2.4 Förslag till lag om ändring i lagen (1998:621) om misstankeregister
Härigenom föreskrivs att det i lagen (1998:621) om misstankeregister ska införas två nya paragrafer, 1 a och 1 b §§, samt närmast före 1 a § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till andra bestämmelser om personuppgiftsbehandling
1 a §
Denna lag gäller utöver personuppgiftslagen (1998:204).
1 b §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de
tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Denna lag träder i kraft den 1 juli 2013.
2.5 Förslag till lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar
Härigenom föreskrivs att det i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar ska införas en ny paragraf, 1 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 a §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Denna lag träder i kraft den 1 juli 2013.
2.6
Förslag till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete
Härigenom föreskrivs att det i lagen (2000:343) om internationellt polisiärt samarbete ska införas en ny paragraf, 1 b §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 b §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och i föreskrifter som regeringen har meddelat i anslutning till lagen. Detta gäller dock inte vid behandling av personuppgifter som utbyts eller har utbytts med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet.
Denna lag träder i kraft den 1 juli 2013.
2.7 Förslag till lag om ändring i lagen (2011:1175) om ändring i lagen (2000:344) om Schengens informationssystem
Härigenom föreskrivs att 4 § lagen (2000:344) om Schengens informationssystem i stället för dess lydelse enligt lagen (2011:1175) om ändring i nämnda lag ska ha följande lydelse.
Lydelse enligt SFS 2011:1175
Föreslagen lydelse
4 §
När det gäller framställningar som rör personer får endast följande uppgifter registreras:
1. efternamn, förnamn, tidigare använda namn, namn vid födseln och annat namn som personen använder,
2. särskilda bestående fysiska kännetecken,
3. fotografier och fingeravtryck,
4. födelsedatum och födelseort,
5. kön,
6. medborgarskap,
7. om personen kan vara beväpnad eller kan tillgripa våld,
8. om personen har avvikit från en inrättning där han eller hon med stöd av lag har varit berövad friheten,
9. syftet med framställningen,
10. begärd åtgärd,
11. om en förvunnen person behöver omhändertas eller inte,
11. om en försvunnen person behöver omhändertas eller inte,
12. den myndighet som har lagt in registreringen,
13. en hänvisning till det beslut som har föranlett registreringen,
14. typ av brott som avses i framställningen, samt
15. övriga uppgifter som ska anges i en europeisk eller nordisk arreste-ringsorder.
Därutöver får det, om det behövs, förekomma länkar till andra registreringar i registret, och uppgifter om verkställighetsförbud i Sverige med anledning av framställningar från andra Schengenstater.
Kompletterande uppgifter enligt 3 a § får endast avse sådana uppgifter om personen som anges i första stycket 1-6 samt uppgifter om nummer och datum för personens identitetshandlingar.
2.8 Förslag till lag om ändring i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet
Härigenom föreskrivs i fråga om lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet
dels att det i lagen ska införas en ny paragraf, 1 kap. 3 a §, av följande lydelse,
dels att rubriken närmast före 1 kap. 2 § ska lyda "Förhållandet till andra bestämmelser om personuppgiftsbehandling".
Nuvarande lydelse
Föreslagen lydelse
1 kap.
3 a §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Denna lag träder i kraft den 1 juli 2013.
2.9
Förslag till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården
Härigenom föreskrivs i fråga om lagen (2001:617) om behandling av personuppgifter inom kriminalvården
dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse,
dels att rubriken närmast före 2 § ska lyda "Förhållandet till andra bestämmelser om personuppgiftsbehandling".
Nuvarande lydelse
Föreslagen lydelse
2 a §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Denna lag träder i kraft den 1 juli 2013.
2.10 Förslag till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet
Härigenom föreskrivs i fråga om lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet att 1 a, 7, 15, 19 och 21 §§ samt rubriken närmast före 15 § ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 a §
I lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser om polisiärt samarbete. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
I lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser om polisiärt samarbete.
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första och andra styckena finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
7 §
Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att
1. förhindra eller upptäcka brottslig verksamhet,
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller beivra visst brott, eller
3. fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete.
3. fullgöra förpliktelser som följer av internationella åtaganden.
Behandling av uppgifter för internationellt tullsamarbete
Behandling av uppgifter som rör internationella åtaganden
15 §
Utöver vad som följer av 12-14 §§ får Tullverket behandla uppgifter för sådant ändamål som anges i 7 § 3.
Endast de personer som arbetar med tullsamarbete får ha direkt tillgång till uppgifterna.
Endast de personer som arbetar med internationella åtaganden får ha direkt tillgång till uppgifterna.
19 §
Om förutsättningarna för behandling enligt 1, 7, 8 och 11-18 §§ är uppfyllda, får i tullbrottsdatabasen behandlas handlingar som kommit in till eller upprättats av Tullverket i ett ärende samt följande uppgifter:
1. uppgifter om en fysisk persons identitet, arbetsplats och yrke samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,
2. uppgifter om en juridisk persons identitet, firmatecknare, säte och verksamhet samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,
3. upplysningar om varifrån en uppgift kommer och om uppgiftslämnarens trovärdighet,
4. de omständigheter och händelser som är orsaken till att uppgifter om en person behandlas,
5. uppgifter om särskilda fysiska kännetecken,
6. uppgifter om varor, brottshjälpmedel och transportmedel,
7. varning om att en person tidigare varit beväpnad, våldsam eller flyktbenägen,
8. ärendenummer, ärendekoder, ärendemening och andra uppgifter som beskriver ett ärende,
9. administrativa åtgärder i ett ärende,
10. uppgifter som är nödvändiga för att Tullverket skall kunna fullgöra det arbete som verket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete,
10. uppgifter som är nödvändiga för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden,
11. hänvisning till andra brottsbekämpande myndigheters databaser eller register i vilka uppgifter om en person som avses i 12 § första stycket 1 eller som är skäligen misstänkt för ett visst brott också förekommer, samt
12. upplysningar som avses i 16 §.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om de uppgifter som får behandlas i tullbrottsdatabasen.
Uppgifter som behandlas enbart med stöd av 13 § får inte behandlas i tullbrottsdatabasen.
21 §
Namn, personnummer och samordningsnummer får användas som sökbegrepp bara om uppgifterna avser en person som misstänks för något visst brott eller för brottslig verksamhet.
Första stycket gäller inte vid sökning bara i ett visst ärende eller en viss handling. Första stycket gäller inte heller vid sökning efter den som en handling kommit in från eller expedierats till i ett ärende.
Första stycket gäller inte vid sökning
1. i ett visst ärende eller en viss handling,
2. efter den som en handling kommit in från eller expedierats till i ett ärende, eller
3. för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden.
Denna lag träder i kraft den 1 juli 2013.
2.11 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 9 kap. 2 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
9 kap.
2 §
Bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i
1. lagen (1990:314) om ömsesidig handräckning i skatteärenden,
2. lagen (2000:343) om internationellt polisiärt samarbete,
3. lagen (2000:344) om Schengens informationssystem,
4. lagen (2000:562) om internationell rättslig hjälp i brottmål,
5. lagen (2000:1219) om internationellt tullsamarbete,
6. lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar,
7. lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen,
8. lagen (1998:620) om belastningsregister, och
9. lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning.
8. lagen (1998:620) om belastningsregister,
9. lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning, och
10. lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
Denna lag träder i kraft den 1 juli 2013.
2.12
Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs att det i polisdatalagen (2010:361) ska införas en ny paragraf, 1 kap. 2 b §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
2 b §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag.
Denna lag träder i kraft den 1 juli 2013.
2.13
Förslag till lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister
Härigenom föreskrivs i fråga om lagen (2010:362) om polisens allmänna spaningsregister
dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse,
dels att rubriken närmast före 2 § ska lyda "Förhållandet till andra bestämmelser om personuppgiftsbehandling".
Nuvarande lydelse
Föreslagen lydelse
2 a §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Denna lag träder i kraft den 1 juli 2013.
2.14 Förslag till lag om ändring i kustbevakningsdatalagen (2012:145)
Härigenom föreskrivs att det i kustbevakningsdatalagen (2012:145) ska införas en ny paragraf, 1 kap. 2 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
2 a §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag.
Denna lag träder i kraft den 1 juli 2013.
3 Ärendet och dess beredning
Dataskyddsrambeslutet
Den 4 november 2004 antog Europeiska rådet det s.k. Haagprogrammet för stärkt frihet, säkerhet och rättvisa i Europeiska unionen (EU). Rådet uttalade där att en förstärkning av frihet, säkerhet och rättvisa kräver en innovativ strategi i fråga om gränsöverskridande utbyte av information om brottsbekämpning. En princip bör vara att en tjänsteman vid en brottsbekämpande myndighet i en medlemsstat ska göra befintlig information tillgänglig för motsvarande befattningshavare i en annan stat om han eller hon behöver informationen för att utföra sina uppgifter.
Ett effektivare polissamarbete och rättsligt samarbete måste emellertid balanseras mot grundläggande rättigheter, bl.a. rätten till ett privatliv och rätten till skydd av personuppgifter. Den 4 oktober 2005 presenterade kommissionen därför ett förslag till rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete. Förutom medlemsstaterna inom Europeiska unionen deltog även Island, Norge och Schweiz i förhandlingarna om utkastet till rambeslut, som ett led i det utvidgade Schengensamarbetet. I slutet av år 2007 nåddes en politisk principöverenskommelse om innehållet i utkastet till rambeslut (dataskyddsrambeslutet). I propositionen Godkännande av dataskyddsrambeslutet (prop. 2008/09:16) föreslog regeringen att riksdagen skulle godkänna utkastet till rambeslut. Några lagförslag presenterades inte. Däremot lämnades i anslutning till genomgången av innehållet i rådsbeslutet en kort beskrivning av i vilka avseenden beslutet bedömdes kräva lagändringar. Utkastet godkändes av riksdagen (bet. 2008/09:JuU7, rskr. 2008/09:41). Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete antogs därefter (EUT L 350, 30.12.2008, s. 60, Celex 32008F0977). Dataskyddsrambeslutet återges i bilaga 1.
Den 25 februari 2010 gav regeringen en särskild utredare i uppdrag bl.a. att analysera hur svensk rätt förhåller sig till bestämmelserna i dataskyddsrambeslutet och att utarbeta nödvändiga författningsförslag för att Sverige ska kunna leva upp till bestämmelserna i rambeslutet (dir. 2010:17).
I februari 2011 överlämnade utredningen betänkandet Dataskydd vid europeiskt polisiärt och straffrättsligt samarbete. Dataskyddsrambeslutet. Europolanställdas befattning med hemliga uppgifter (SOU 2011:20). En sammanfattning av betänkandet finns i bilaga 3. Utredningens lagförslag finns i bilaga 4. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5. En remissammanställning finns tillgänglig i Justitiedepartementet (dnr Ju2011/2232/L4).
För att komplettera beredningsunderlaget remitterades ett utkast till lagrådsremiss. Utkastet till lagrådsremiss, vars förslag till lagtext finns i bilaga 6, överensstämmer i allt väsentligt med den slutliga lagrådsremissen. Utkastet till lagrådsremiss och remissyttrandena finns tillgängliga i Justitiedepartementet (dnr Ju2012/6465/L4). En förteckning över remissinstanserna finns i bilaga 7.
Europolrådsbeslutet
Europeiska polisbyrån (Europol) är EU:s gemensamma polisbyrå. Målsättningen med Europol är att förbättra effektiviteten hos de behöriga myndigheterna i medlemsstaterna och deras samarbete för att förebygga och motverka viss definierad brottslighet, bl.a. grova narkotikabrott och gränsöverskridande handel med barn som utnyttjas sexuellt.
Europolkonventionen öppnades för undertecknande år 1995. Sverige tillträdde konventionen år 1997 (prop. 1996/97:164, bet. 1997/98:JuU2, rskr. 1997/98:22). Europols verksamhet inleddes år 1999.
I december 2006 enades rådet för rättsliga och inrikes frågor (RIF-rådet) om att Europolkonventionen skulle ersättas av ett rådsbeslut. Den grundläggande orsaken var att konventionsformen innebar långdragna och omständliga processer varje gång det fanns behov av att förändra och utveckla Europols verksamhet och arbetsformer. Den 18 april 2008 träffades en politisk överenskommelse i RIF-rådet om ett utkast till rådsbeslut om inrättande av Europeiska polisbyrån (Europol). I propositionen Godkännande av rådets beslut att inrätta Europeiska polisbyrån (Europol), prop. 2008/09:14, föreslog regeringen att riksdagen skulle godkänna utkastet till rådsbeslut. Några lagförslag presenterades inte. Däremot lämnades i anslutning till genomgången av innehållet i rådsbeslutet en beskrivning av i vilka avseenden beslutet bedömdes kräva lagändringar. Utkastet godkändes av riksdagen (bet. 2008/09:JuU6, rskr. 2008/09:63). Därefter antogs rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), EUT L 121, 15.5.2009, s. 37, Celex 32009D0371. Den 1 januari 2010 ersatte rådsbeslutet Europolkonventionen. Europolrådsbeslutet återges i bilaga 2.
Som ett led i arbetet med att genomföra Europolrådsbeslutet föreslog regeringen i propositionen Immunitet och privilegier för Europol (prop. 2009/10:13) en ändring i lagen (1976:661) om immunitet och privilegier i vissa fall. Ändringen trädde i kraft den 1 januari 2010. Vidare gjordes en ändring i förordningen (2007:975) med instruktion för Datainspektionen. Denna ändring trädde i kraft den 11 oktober 2011.
I uppdraget till den särskilde utredaren ingick att analysera behovet av särskilda regler om Europolanställdas befattning med hemliga uppgifter, för att svensk rätt ska vara förenlig med Europolrådsbeslutet, och att vid behov utarbeta nödvändiga författningsförslag. Utredningens lagförslag finns i bilaga 4. Förslaget har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5. Remissynpunkterna framgår av tidigare nämnda remissammanställning avseende betänkandet. Som nämnts ovan remitterades ett utkast till lagrådsremiss för att komplettera beredningsunderlaget. Utkastet till lagrådsremiss innehöll även förslaget rörande Europolrådsbeslutet.
Lagrådet
Regeringen beslutade den 10 januari 2013 att inhämta Lagrådets ytt-rande över de lagförslag som finns i bilaga 8. Lagrådets yttrande finns i bilaga 9. Regeringen har i allt väsentligt följt Lagrådets förslag, men har i vissa delar gjort en annan bedömning än Lagrådet. Lagrådets synpunkter behandlas i avsnitten 6.4.1, 6.6.4, 6.6.5, 6.7.2, 6.13, 6.14, 6.16, 7.5 och 8.2 samt i författningskommentaren. Dessutom har vissa språkliga och redaktionella ändringar gjorts.
4 Regleringen rörande dataskydd
4.1 Inledning
Regler om personuppgiftsbehandling och skydd av personuppgifter finns såväl på internationell som på nationell nivå. På internationell nivå har både Europarådet och EU utformat regleringar. I detta avsnitt finns en översiktlig redogörelse för olika regelverk om behandling av personupp-gifter, dvs. dataskydd. Först behandlas de generella internationella och nationella regelverken. Därefter behandlas de olika registerförfattningar som berörs av dataskyddsrambeslutet. Redogörelsen fokuserar särskilt på sådana bestämmelser som har relevans för analysen av hur svensk rätt förhåller sig till rambeslutet.
4.2 Europarådets dataskyddsreglering
Vissa bestämmelser i den europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) har betydelse för myndigheters rätt att behandla personuppgifter. Artikel 8 föreskriver att var och en har rätt till respekt för bl.a. sitt privat- och familjeliv och att en offentlig myndighet inte får inskränka denna rättighet annat än med stöd av lag och med hänsyn till vissa angivna intressen. I artikel 13 föreskrivs att var och en, vars i konventionen angivna fri- och rättigheter har kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet.
Europakonventionens regler om skydd av personuppgifter preciseras genom reglerna i den europeiska konventionen från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Konventionen kompletteras av ett antal av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden. En sådan rekommendation rör polisen. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen.
Europarådet har under år 2010 inlett en översyn av konventionen och rekommendationerna.
4.3 EU:s dataskyddsreglering
Artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna (EUT C 83, 30.3.2010, s. 389) reglerar skydd av personuppgifter. Enligt artikeln har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs.
EU har antagit Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31), ofta kallat dataskyddsdirektivet. Inom den f.d. första pelaren inom EU, som bl.a. innefattar den inre marknaden, preciseras och förstärks Europarådets dataskyddskonvention genom dataskyddsdirektivet. Syftet med dataskyddsdirektivet är dels att garantera en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels att denna skyddsnivå ska vara likvärdig i alla medlemsstater så att staterna inte ska kunna hindra det fria flödet av personuppgifter inom EU med hänvisning till sina respektive dataskyddsregleringar.
Det nu aktuella rambeslutet kompletterar dataskyddsdirektivet genom att det reglerar ett område som inte täcks av direktivet, nämligen polisiärt och straffrättsligt samarbete (se närmare om detta i avsnitt 5).
Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Reformen omfattar dels en förordning med en generell reglering som ska ersätta dataskyddsdirektivet, dels ett nytt direktiv med särregler för den brottsbekämpande sektorn som ska ersätta dataskyddsrambeslutet. För-handlingar om reformen inleddes under våren 2012.
4.4 OECD:s riktlinjer
Organisationen för ekonomiskt samarbete och utveckling (OECD) har också arbetat fram internationella riktlinjer för integritetsskydd och flöde av persondata. Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som finns i dataskyddsdirektivet.
4.5 Grundläggande bestämmelser om behandling av personuppgifter
Tidigare föreskrevs i 2 kap. 3 § andra stycket regeringsformen att varje medborgare, i den utsträckning som närmare angavs i lag, skulle skyddas mot att hans eller hennes personliga integritet kränktes genom att uppgifter om honom eller henne registrerades med hjälp av automatisk databehandling. Bestämmelsen utgjorde inte något individuellt rättighetsskydd för enskilda, utan innebar endast att lagstiftaren var skyldig att i lag upprätthålla någon form av integritetsskydd i fråga om automatiserad behandling av personuppgifter.
Den 1 januari 2011 upphävdes nämnda bestämmelse. Samtidigt infördes ett andra stycke i 2 kap. 6 § regeringsformen enligt vilket var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkning i denna fri- och rättighet får enligt 2 kap. 20 § första stycket 2 regeringsformen under vissa förutsättningar göras i lag.
I Sverige har dataskyddsdirektivet genomförts generellt genom person-uppgiftslagen (1998:204). Denna lösning valdes i stället för att begränsa lagstiftningen till de områden inom vilka direktivet är tvingande. Person-uppgiftslagen gäller således i princip även för de områden som data-skyddsrambeslutet är tillämpligt på. Dataskyddsrambeslutets förpliktelser för medlemsstaterna överensstämmer i många avseenden med de förpliktelser som gäller enligt dataskyddsdirektivet. Detta innebär att svensk lagstiftning till största delen redan uppfyller kraven i rambeslutet.
Vid sidan av personuppgiftslagen finns det också författningar som reglerar personuppgiftsbehandlingen inom olika verksamhetsområden. Personuppgiftsbehandlingen inom de verksamhetsområden som berörs av rambeslutets tillämpningsområde är därför redan författningsreglerad. Något förenklat kan man säga att det rör sig om tre olika typer av författningsreglering; för det första författningar som reglerar ett eller flera enskilda register, för det andra generella författningar för en viss sektor av samhället (som i sig kan reglera ett eller flera register), för det tredje personuppgiftslagen som tillämpas helt eller delvis för olika verksamhetsområden. De författningar som gäller vid sidan av personuppgiftslagen brukar betecknas registerförfattningar. Inom vissa verksamheter, bl.a. de här aktuella, ska ibland personuppgiftslagen, en särskild registerförfattning för den sektorn och särbestämmelser för ett visst register tillämpas samtidigt. Regleringen på området är således mycket komplex.
4.6 Personuppgiftslagen
4.6.1 Lagens tillämpningsområde
Personuppgiftslagen (1998:204) är generellt tillämplig och innehåller allmänna riktlinjer för behandling av personuppgifter, oavsett ändamålet med behandlingen. Lagen ersatte den tidigare datalagen (1973:289) när dataskyddsdirektivet genomfördes i svensk rätt.
Personuppgiftslagen är subsidiär i förhållande till annan författnings-reglering. Samtidigt som personuppgiftslagen infördes skapades sär-skilda lagar och förordningar som reglerar behandlingen av personupp-gifter för ett visst verksamhetsområde, för en viss typ av register eller för ett särskilt register. Utgångspunkten har varit att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (prop. 1990/91:60 s. 58 och bet. KU 1990/91:11 s. 11).
För personuppgiftsbehandlingen inom åklagarväsendet, de allmänna domstolarna och de allmänna förvaltningsdomstolarna samt kriminalvården finns särreglering som i stor utsträckning ersätter personuppgiftslagen. Motsvarande gäller registerförfattningen för Skatteverkets brottsbekämpande verksamhet. För polisen, Kustbevakningen och Tullverket har en annan lagstiftningsmodell valts, men resultatet är detsamma, nämligen att personuppgiftslagens bestämmelser delvis gäller.
Personuppgiftslagen reglerar hur personuppgifter får hanteras. Lagen ska tillämpas på all helt eller delvis automatiserad behandling av personuppgifter. Dessutom är den tillämplig på manuell behandling av sådana personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Kompletterande bestämmelser till personuppgiftslagen finns i personuppgiftsförordningen (1998:1191).
4.6.2 Grundläggande krav för behandlingen
I 9 § personuppgiftslagen slås vissa grundläggande krav fast för all behandling av personuppgifter. Sådana uppgifter ska alltid behandlas på ett korrekt och lagligt sätt samt i enlighet med god sed. Personuppgifter ska samlas in och behandlas för särskilda, uttryckligt angivna ändamål. Efter insamlingen får uppgifterna inte behandlas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). De personuppgifter som behandlas ska vidare vara riktiga och relevanta i förhållande till ändamålen med behandlingen och får inte heller vara fler än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Om det är nödvändigt ska uppgifterna vara aktuella. Om personuppgifterna inte uppfyller dessa krav, ska den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna.
Personuppgifter får inte sparas längre än nödvändigt med hänsyn till de ändamål för vilka de behandlas. Därefter ska de avidentifieras eller förstöras. Behandling som sker för att bevara uppgifter för historiska, statistiska eller vetenskapliga ändamål får dock ske under längre tid än vad som är nödvändigt för de ursprungliga ändamålen. Det möjliggör t.ex. behandling i form av elektronisk arkivering av personuppgifter.
4.6.3 Tillåten behandling
Personuppgiftslagen innehåller en uttömmande uppräkning av under vilka förutsättningar behandling av personuppgifter är tillåten (10-12 §§ personuppgiftslagen). Av särskilt intresse i detta sammanhang är 13 § som förbjuder behandling av känsliga personuppgifter. Känsliga personuppgifter definieras i lagen som uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Förbudet mot behandling av känsliga uppgifter är inte undantagslöst. Det omfattar enligt 5 a § personuppgiftslagen inte personuppgifter som inte ingår i eller är avsedda att ingå i strukturerat material, dvs. en samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier. I 14-19 §§ personuppgiftslagen anges under vilka förutsättningar känsliga uppgifter får behandlas trots förbudet i 13 §. Känsliga personuppgifter får således behandlas om det är nödvändigt med hänsyn till vissa särskilt angivna ändamål, t.ex. för att den registrerades eller någon annans vitala intressen ska kunna skyddas och den registrerade inte kan lämna samtycke till behandlingen. Det finns också utrymme för regeringen, eller den myndighet regeringen bestämmer, att enligt 20 § personuppgiftslagen meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Sådana föreskrifter finns i 8 § personuppgiftsförordningen. Enligt den bestämmelsen får myndigheter generellt behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ärendet.
Enligt 21 § personuppgiftslagen är det som huvudregel förbjudet för andra än myndigheter att behandla sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Uppgifter om personnummer och samordningsnummer får enligt 22 § personuppgiftslagen behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
4.6.4 Information och rättelse
Personuppgiftslagen innehåller ett flertal bestämmelser som syftar till att genom information trygga den enskildes rätt att kontrollera om behandling av personuppgifter om honom eller henne pågår. Har uppgifterna samlats in från någon annan än den enskilde, ska han eller hon informeras när uppgifterna registreras, eller, om avsikten med behandlingen är att lämna ut dem till tredje man, när uppgifterna lämnas ut första gången (24 § personuppgiftslagen). Information behöver dock inte lämnas om det finns bestämmelser om registrerandet eller utlämnande av uppgifterna i författning eller om det skulle vara omöjligt eller kräva en oproportionerligt stor arbetsinsats att informera. Informationen ska omfatta uppgift om vem som är personuppgiftsansvarig, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen (25 § personuppgiftslagen). Den personuppgiftsansvarige är vidare skyldig att efter ansökan, en gång per år, gratis informera om huruvida och i så fall vilka uppgifter om sökanden som behandlas, ändamålet med behandlingen, varifrån uppgifterna kommer och till vem de lämnas ut (26 § personuppgiftslagen). Det bör anmärkas att uppgiftsskyldigheten inte omfattar alla uppgifter, bl.a. inte uppgifter som omfattas av sekretess eller tystnadsplikt gentemot den registrerade (27 § personuppgiftslagen).
Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen, ska på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgifts-
ansvarige. Om felaktiga personuppgifter har lämnats ut till tredje man, ska denne i vissa fall informeras om korrigeringen (28 § personuppgiftslagen).
4.6.5 Säkerhet vid behandlingen
I 30 och 31 §§ personuppgiftslagen finns allmänna bestämmelser om säkerheten vid behandling av personuppgifter. Bestämmelserna avser att trygga både den tekniska säkerheten och att de personer som behandlar uppgifterna har tillräckliga instruktioner för att behandla uppgifterna på ett korrekt sätt. Den personuppgiftsansvarige har ett stort ansvar för säkerheten.
4.6.6 Överföring av personuppgifter till tredjeland
Enligt 33 § personuppgiftslagen är det förbjudet att föra över personupp-gifter till tredjeland om landet inte har en adekvat nivå för skyddet av personuppgifter. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. I paragrafen anges vilka omständigheter som ska tillmätas särskild vikt.
I 34 § anges vissa undantag från förbudet i 33 §. Ett viktigt undantag är att det är tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till dataskyddskonventionen. I 35 § finns bemyndiganden som framför allt ger regeringen möjlighet att besluta om ytterligare undantag från förbudet i 33 §. I bilagor till personuppgiftsförordningen anges vissa länder som enligt särskilt beslut av Europeiska gemenskapernas kommission anses ha en adekvat skyddsnivå för be-handlingen av personuppgifter eller som har slutit avtal med EU om överföring av vissa uppgifter om flygpassagerare.
4.6.7 Tillsyn
Datainspektionen är enligt 2 § personuppgiftsförordningen tillsynsmyndighet enligt personuppgiftslagen. De registerförfattningar som gäller utöver personuppgiftslagen och som är aktuella i detta sammanhang innehåller inte några avvikande bestämmelser i fråga om tillsynsmyndighet. Datainspektionen är således tillsynsmyndighet även enligt dessa författningar (se t.ex. prop. 2004/05:164 s. 53 f.). Detsamma gäller för andra särskilda registerförfattningar som berörs av dataskyddsrambeslutet.
Datainspektionen har enligt 43 § personuppgiftslagen för sin tillsyn rätt att på begäran få tillgång till de personuppgifter som behandlas och upp-lysningar och dokumentation av behandlingen och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Om tillsynsmyndigheten inte efter begäran kan få tillräckligt underlag för att konstatera att behandlingen är laglig, får myndigheten enligt 44 § vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på annat sätt än att lagra dem. Det anses dock vara en allmän rättsgrundsats att vite inte bör användas mot statliga myndigheter (prop. 2004/05:164 s. 54 och 2006/07:46 s. 105).
Enligt 45 § personuppgiftslagen ska tillsynsmyndigheten, om den konstaterar att uppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på annat sätt, eller om saken är brådskande, får myndigheten på motsvarande sätt förbjuda annan behandling än lagring. Tillsynsmyndigheten får också, enligt 47 §, ansöka hos förvaltningsrätten om att sådana uppgifter som har behandlats på olagligt sätt ska utplånas.
4.6.8 Sanktioner
Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada för den registrerade har vederbörande, enligt 48 § personuppgiftslagen, rätt till skadestånd från den personuppgiftsansvarige. Skadeståndsansvaret är i princip strikt. Den registrerade behöver bara visa att det förekommit en felaktig behandling och att denna skadat eller kränkt honom eller henne. Ersättningen kan dock i skälig utsträckning jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.
Lagen innehåller också en straffbestämmelse i 49 §. Till böter eller fängelse i högst sex månader döms bl.a. den som uppsåtligen eller av grov oaktsamhet behandlar personuppgifter i strid med bestämmelserna om behandling av känsliga personuppgifter eller för över personuppgifter till tredjeland i strid med bestämmelserna i 33-35 §§ personuppgiftslagen.
4.7 Polisens behandling av personuppgifter
4.7.1 Regleringen i stort
Polisdatalagen (2010:361) gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet. Utgångspunkten för lagstiftningen har varit att skapa en modern, flexibel och teknikneutral lag, som i så liten utsträckning som möjligt reglerar detaljer och enskilda register.
Polisdatalagen gäller i stället för personuppgiftslagen (1 kap. 1 § polisdatalagen). I lagen hänvisas dock till ett antal bestämmelser i personuppgiftslagen som gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet (2 kap. 2 § polisdatalagen). Som exempel kan nämnas personuppgiftslagens bestämmelser om definitioner och om förhållandet till offentlighetsprincipen.
Polisen har, något förenklat, tre kategorier av register vilket hör samman med vilka bestämmelser som styr behandlingen. Dessa kategorier är
- register som förs med stöd av allmänna bestämmelser i polisdatalagen och personuppgiftslagen,
- register som förs med stöd av bestämmelser om särskilda register i polisdatalagen eller annan särskild registerlagstiftning, och
- register som enligt övergångsbestämmelserna till polisdatalagen förs med stöd av den numera upphävda datalagen och Datainspektionens tillstånd.
Andra registerförfattningar som är av intresse i detta sammanhang är lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister och lagen (2010:362) om polisens allmänna spaningsregister.
4.7.2 Polisdatalagen
Lagens tillämpningsområde
Den nuvarande polisdatalagen trädde i kraft den 1 mars 2012. Lagen gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen och polismyndigheterna samt i Ekobrottsmyndighetens polisiära verksamhet.
Den personuppgiftsbehandling som sker med stöd av de särskilda lagarna om belastningsregister, misstankeregister, Schengens informationssystem, passagerarregister samt polisens allmänna spaningsregister undantas från polisdatalagens tillämpningsområde. Lagen gäller inte heller när personuppgifter behandlas i polisens vapenregister enligt vapenlagen (1996:67), om inte annat anges i den lagen.
Ändamål
I polisdatalagen anges för vilka ändamål personuppgifter får behandlas i polisens brottsbekämpande verksamhet. Ändamålen delas in i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom polisens brottsbekämpande verksamhet. Dessa ändamål är uttömmande angivna i 2 kap. 7 § polisdatalagen. Personuppgifter får enligt denna bestämmelse behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller fullgöra förpliktelser som följer av internationella åtaganden.
De sekundära ändamålen aktualiseras när personuppgifter som får behandlas i polisens brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för dessas behov. Enligt de sekundära ändamålen, som anges i 2 kap. 8 § polisdatalagen, får personuppgiftsbehandling genom sådant utlämnande ske när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket, eller hos utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande får vidare ske om det är nödvändigt för att tillhandahålla information som behövs i polisens handräckningsverksamhet eller, om det finns särskilda skäl, att tillhandahålla informationen i annan verksamhet som polisen svarar för. Sådan personuppgiftsbehandling får även ske om det är nödvändigt för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten, eller i en myndighets verksamhet i övrigt, om det åligger polisen att bistå myndigheten med viss uppgift, eller informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott. Uppgifter som behandlas för ett primärt ändamål får även behandlas om det är nödvändigt för att lämna information till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. I ett enskilt fall får personuppgifter behandlas genom att lämnas ut även för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen). Slutligen anges att personuppgifter får behandlas om det är nödvändigt för diarieföring, eller uppgifterna har lämnats till polisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen (2 kap. 9 § polisdatalagen).
Det finns vidare särskilda sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk underrättelse- och säkerhetstjänst samt utländsk myndighet eller mellanfolklig organisation (2 kap. 15 § polisdatalagen). Personuppgifter får lämnas ut till Interpol eller Europol, eller till en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Personuppgifter får även lämnas till utländsk underrättelse- eller säkerhetstjänst. Uppgifter får vidare lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Det finns även sekretessbrytande bestämmelser som gäller i förhållande till svenska myndigheter (2 kap. 16-18 §§ polisdatalagen).
Lagen innehåller också bestämmelser om elektroniskt utlämnande av, tillgång till, bevarande och gallring av personuppgifter (2 kap. 20-21 §§ polisdatalagen).
Behandling av känsliga personuppgifter
Behandling av känsliga personuppgifter regleras i 2 kap. 10 § polisdatalagen. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter om det är absolut nödvändigt för syftet med behandlingen.
Register som regleras särskilt i polisdatalagen
Några register regleras särskilt i 4 kap. polisdatalagen. Dessa är register över DNA-profiler, dvs. DNA-registret, utredningsregistret och spårregistret, fingertrycks- och signalementsregister, penningtvättsregister samt det internationella registret. För dessa register finns särskilda bestämmelser om ändamål, gallring och direktåtkomst.
Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet
Polisdatalagen har ett särskilt kapitel med bestämmelser om behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet (5 kap. polisdatalagen). Dessa bestämmelser reglerar framförallt ändamålen för Säkerhetspolisens personuppgiftsbehandling, som delvis avviker från regleringen för den övriga polisen. Det finns även särskilda bestämmelser om bevarande och gallring. När det gäller behandlingen av känsliga uppgifter, utlämnande av personuppgifter och uppgiftsskyldighet gäller samma bestämmelser som för polisen i övrigt.
Skadestånd, rättelse och överklagande
Personuppgiftslagens regler om skadestånd och rättelse gäller vid behandling med stöd av polisdatalagen (2 kap. 2 § första stycket punkterna 12 och 13 polisdatalagen). I fråga om överklagande hänvisas till överklaganderegler i personuppgiftslagen (2 kap. 2 § första stycket punkt 13 polisdatalagen).
4.7.3 Andra registerförfattningar
Som tidigare nämnts finns det också några registerförfattningar som reglerar enskilda register som förs helt eller delvis inom ramen för polisens brottsbekämpande verksamhet, men som har undantagits från polisdatalagens tillämpningsområde. Detta gäller lagen om belastningsregister, lagen om misstankeregister, lagen om polisens allmänna spaningsregister, lagen om Schengens informationssystem och lagen om passagerarregister. I var och en av författningarna regleras bl.a. ändamålet med registret, vilka uppgifter som får finnas i registret och när de ska gallras. Motsvarande bestämmelser finns i vapenlagen (1996:67) när det gäller vapenregister.
4.8 Andra myndigheters behandling av personuppgifter för brottsbekämpning
4.8.1 Tullverket
Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet behandlar i stort sett samma frågor som polisdatalagen. Den gäller i stället för personuppgiftslagen, men hänvisar till vissa bestämmelser i personuppgiftslagen som ska tillämpas på personuppgiftsbehandling inom Tullverkets brottsbekämpande verksamhet. Till lagen hör förordningen (2005:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Tullverket har också en registerlag med tillhörande förordning som gäller i den s.k. fiskala verksamheten, lagen (2001:185) och förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet. Författningarna i fråga är inte tillämpliga i detta lagstiftningsärende och kommer därför inte att beröras närmare här. När det i det följande talas om "Tullverkets registerförfattning" avses alltså regleringen för Tullverkets brottsbekämpande verksamhet.
Lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet innehåller dels allmänna regler om behandling av personupp-gifter, dels bestämmelser om en särskild databas, tullbrottsdatabasen. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen tillämpas även i viss utsträckning på behandling av uppgifter om juridiska personer.
De ändamål för vilka personuppgifter får behandlas i Tullverkets brottsbekämpande verksamhet är uppdelade i primära (7 §) och sekundära (8 §) ändamål. Personuppgifter får behandlas om det behövs för att förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra visst brott, eller för att fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete (7 §). Vidare får personuppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs hos andra, i bestämmelsen uppräknade, svenska brottsbekämpande myndigheter (8 §). Uppgifter får som huvudregel inte behandlas för några andra ändamål än de som anges i 7 och 8 §§ (jfr 9 § d personuppgiftslagen, som inte gäller i denna verksamhet). Uppgifter får dock lämnas ut till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra (9 §).
Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv, får inte behandlas enbart på grund av vad som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på annan grund får de dock kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen (11 §).
I 12-15 §§ anges de närmare förutsättningarna för behandling av uppgifter för de tre huvudsyften som anges i 7 §.
För ändamålet att förhindra eller upptäcka brottslig verksamhet får enligt 12 § uppgifter behandlas i följande fall
- om uppgifterna dels ger anledning att anta att brottslig verksamhet, som innefattar brott för vilket är föreskrivet fängelse i minst två år har utövats eller kan komma att utövas, eller som innefattar andra brott om verksamheten sker systematiskt, dels kan hänföras till en person som skäligen kan misstänkas för verksamheten i fråga,
- om uppgifterna avser sådana transportmedel, varor eller hjälpmedel som kan antas ha samband med sådan verksamhet som nyss sagts och inte kan hänföras till en person, eller
- om uppgifterna avser en person som, utan att vara skäligen misstänkt, kan antas ha samband med sådan verksamhet.
Dessutom får uppgifter om passagerare, importörer, exportörer och transportörer samt varor och transportmedel behandlas för planering av kontrollverksamheten och urval av kontrollobjekt i syfte att förhindra eller upptäcka brottslig verksamhet (13 §).
För ändamålet att utreda och beivra brott får enligt 14 § uppgifter om den som kan misstänkas för brottet och om andra personer behandlas när det behövs för att utreda eller beivra brottet.
Enligt 15 § får Tullverket, utöver vad som följer av 12-14 §§, behandla uppgifter för sådant ändamål som anges i 7 § 3, dvs. för att fullgöra det arbete som verket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete.
Som huvudregel ska uppgifter om personer som inte är misstänkta eller kan komma att misstänkas för brott förses med en särskild upplysning om detta. Uppgifter om en person som kan ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak (16 §).
I 19 § anges i detalj vilka typer av personuppgifter som får behandlas i tullbrottsdatabasen och i 20-22 §§ anges vilka sökbegrepp som får användas. Lagen innehåller också regler om när gallring av olika uppgifter ska ske (27 och 28 §§). I 27 § finns ett bemyndigande för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om att uppgifter ska bevaras under längre tid än de frister som annars gäller. I bestämmelsen anges inte för vilka ändamål det får föreskrivas att uppgifter ska bevaras längre. I 4 § förordningen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet föreskrivs att uppgifter och handlingar i ett ärende som avser prövning av om förundersökning ska inledas får bevaras längre än vad som anges i 27 § i lagen men att de ska gallras senast vid utgången av det kalenderår då påföljd inte längre kan dömas ut för de brott som omfattades av prövningen av om förundersökning ska inledas.
Lagen innehåller även bestämmelser om information till den registrerade och överklagande. I fråga om skadestånd och rättelse gäller bestämmelserna i personuppgiftslagen.
4.8.2 Kustbevakningen
För Kustbevakningens behandling av personuppgifter gäller kustbevakningsdatalagen (2012:145) som trädde i kraft den 1 maj 2012. Lagen reglerar, med några få undantag, all behandling av personuppgifter i Kustbevakningens operativa verksamhet.
Lagen gäller i stället för personuppgiftslagen, men innehåller hänvisningar till vissa bestämmelser i personuppgiftslagen som ska tillämpas vid personuppgiftsbehandling i Kustbevakningens verksamhet (2 kap. 1 och 2 §§ lagen). Som exempel kan nämnas personuppgiftslagens bestämmelser om definitioner och om förhållandet till offentlighetsprincipen.
Kustbevakningsdatalagen är uppbyggd på i princip samma sätt som polisdatalagen. De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom Kustbevakningen. De primära ändamålen för den brottsbekämpande verksamheten anges uttömmande i 3 kap. 2 § kustbevakningsdatalagen. Enligt denna paragraf får personuppgifter behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller fullgöra förpliktelser som följer av internationella åtaganden.
De sekundära ändamålen är aktuella när personuppgifter som får be-handlas i Kustbevakningens brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för dessas behov. Enligt de sekundära ändamålen, som anges i 3 kap. 3 § kustbevakningsdatalagen, får personuppgiftsbehandling genom sådant utlämnande ske när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket, eller hos utländsk myndighet eller mellanfolklig organisation. Sådan behandling får vidare ske om det är nödvändigt för att tillhandahålla information som behövs i annan verksamhet hos Kustbevakningen för utredning och beslut i ärenden som rör vattenföroreningsavgift eller tillsyn och kontroll enligt lag eller förordning. Sådan personuppgiftsbehandling får även ske om det är nödvändigt för att tillhandahålla information som behövs i en annan myndighets verksamhet, om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift, eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott. Uppgifter som behandlas för ett primärt ändamål får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra. I ett enskilt fall får personuppgifter behandlas genom att lämnas ut även för annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Kustbevakningsdatalagen innehåller också bestämmelser om behandling av känsliga personuppgifter (2 kap. 7 §). Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter om det är absolut nödvändigt för syftet med behandlingen.
Lagen innehåller vidare särskilda bestämmelser om i vilka fall utlämnande av personuppgifter får ske till Interpol och Europol, polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, utländsk kustbevakning eller tullmyndighet inom Europeiska samarbetsområdet (3 kap. 6 § kustbevakningsdatalagen). Personuppgifter får lämnas ut till dessa om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott.
Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande (3 kap. 6 § kustbevakningsdatalagen). Det finns även särskilda bestämmelser om under vilka förutsättningar personuppgifter som omfattas av sekretess får lämnas ut till svenska myndigheter (3 kap. 7 §).
Lagen innehåller också bestämmelser om elektroniskt utlämnande av (2 kap. 8 §), tillgång till samt bevarande och gallring av personuppgifter (2 kap. 3 § respektive 3 kap. 4 § och 4 kap. 8-14 §§ kustbevakningsdatalagen).
Personuppgiftslagens regler om skadestånd och rättelse gäller vid behandling med stöd av kustbevakningsdatalagen. I fråga om överklagande hänvisas till överklaganderegler i personuppgiftslagen.
4.8.3 Skatteverket
I lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och förordningen (1999:105) i samma ämne regleras behandlingen av personuppgifter i verkets brottsbekämpande verksamhet. Lagen - som gäller dels för spaning vid och utredning av brott, dels för att förebygga brott - gäller utöver personuppgiftslagen. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.
Skatteverkets brottsbekämpande verksamhet avser i första hand sådana brott som anges i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar, bl.a. brott mot skattebrottslagen (1971:69) och lagen (1986:436) om näringsförbud. Eftersom Skatteverket får medverka vid förundersökning i fråga om andra brott, om åklagaren finner särskilda skäl för det (1 § lagen om Skatteverkets medverkan i brottsutredningar), omfattar tillämpningsområdet för författningarna avseende Skatteverkets personuppgiftsbehandling även sådana brott.
I lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar regleras underrättelseregister, som får föras dels för att ge underlag för beslut om särskilda undersökningar avseende allvarlig brottslighet, dels för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet (8 §). Lagen innehåller en uttömmande reglering av vilka typer av personuppgifter som får förekomma i underrättelseregister (10 §). Ett underrättelseregister får som huvudregel innehålla uppgifter som kan hänföras till en enskild person endast om uppgifterna ger anledning att anta att allvarlig brottslighet utövats eller kan komma att utövas och den som avses med uppgifterna skäligen kan misstänkas för denna verksamhet. Känsliga personuppgifter, dvs. uppgifter om en persons ras, etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv, får inte behandlas enbart på grund av vad som är känt om en persons sådana förhållanden (4 § lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar). Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter får dock aldrig behandlas i underrättelseverksamhet.
Lagen innehåller också regler om utlämnande av uppgifter, bl.a. till utländska myndigheter och organisationer (6 §), och om gallring (15 §). Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen (16 §). Skatteverkets beslut i fråga om rättelse får överklagas (17 §).
Regeringen gav den 15 november 2012 Skatteverket i uppdrag att utreda behovet av författningsändringar i lagen och förordningen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. Syftet är att mot bakgrund av ikraftträdandet av den nya polisdatalagen (2010:361) utreda vilka författningsändringar som behövs för att underlätta ett modernt och effektivt brottsbekämpande arbete där hänsyn tas till den personliga integriteten för de registrerade. Skatteverket ska också analysera verkets behov av att kunna behandla personuppgifter inom den brottsbekämpande verksamheten till följd av internationella förpliktelser. I uppdraget, som ska redovisas den 1 mars 2014, ingår att lämna författningsförslag.
4.8.4 Åklagarväsendet
Förordningen (2006:937) om behandling av personuppgifter inom åklagarväsendet gäller utöver personuppgiftslagen (1 §). Förordningen är tillämplig på Åklagarmyndigheten och på Ekobrottsmyndighetens åklagarverksamhet, om behandlingen av personuppgifter är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Sådan behandling av personuppgifter som regleras i förordningen (1997:902) om register över strafförelägganden undantas från tillämpningsområdet.
I förordningen anges uttömmande vilken behandling av personuppgifter som är tillåten. Huvudregeln är att uppgifter om den som kan misstänkas för brott och om andra personer får behandlas, när det behövs för att en åklagare ska kunna utföra de uppgifter som enligt rättegångsbalken eller annan författning ankommer på åklagare (7 §). Vidare får personuppgifter behandlas för tillsyn, planering, uppföljning eller framställning av statistik. Dessutom får uppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs i författningsreglerad verksamhet hos en brottsbekämpande eller brottsbeivrande myndighet eller för att lämna uppgifter till andra, om uppgiftsskyldighet följer av lag eller förordning (8 och 9 §§). Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv, får inte behandlas enbart på grund av vad som är känt om personens sådana förhållanden (10 §). Om uppgifterna finns i en handling som kommit in till myndigheten får de dock behandlas. Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter om det är absolut nödvändigt för syftet med behandlingen.
Inom åklagarväsendet förs en ärendedatabas, vars ändamål och inne-håll regleras i förordningen. I 13 § anges vilka personuppgifter som ärendedatabasen får innehålla. Det rör sig bl.a. om uppgifter som behövs för kommunikation med personen, uppgifter om en fysisk eller juridisk persons ställning och koppling till andra personer i ett ärende samt upp-gifter om fysiska personers personliga och ekonomiska förhållanden, om juridiska personers ekonomiska förhållanden, uppgifter om brottshjälp-medel och transportmedel samt om beslut, händelser och åtgärder i ett ärende. Förordningen reglerar också vilka sökbegrepp som får användas vid sökning i ärendedatabasen (14-16 §§) samt gallring (21 §) och utlämnande av uppgifter (17 och 18 §§). Uppgifter får som huvudregel lämnas ut till en utländsk myndighet eller en mellanfolklig organisation endast om utlämnandet sker inom ramen för ett samarbete som är reglerat i en internationell överenskommelse som är bindande för Sverige. Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt förordningen (19 §).
Åklagarmyndigheten får enligt 3 § förordningen (1997:902) om register över strafförelägganden föra ett centralt register för strafförelägganden. Vidare får Åklagarmyndigheten, Ekobrottsmyndigheten och Tullverket enligt 2 § föra lokala register över strafförelägganden. I 9 § finns bestämmelser om vilka uppgifter som registren får innehålla. Det rör sig bl.a. om uppgifter om den misstänkte och om målsägande samt om gärningen, påföljden, beslut i ärendet och underrättelser. I 17 och 18 §§ anges vilka sökbegrepp som får användas vid sökning i registren. Förordningen innehåller inga bestämmelser om rättelse av felaktiga uppgifter eller om skadestånd för otillåten behandling av personuppgifter.
Inom Regeringskansliet pågår arbete med att utarbeta en ny reglering för behandlingen av personuppgifter inom åklagarväsendet. Arbetet utgår från Åklagardatautredningens betänkande Åklagarväsendets brottsbekämpning Integritet - Effektivitet (SOU 2008:87). I betänkandet föreslås en ny lag om behandling av uppgifter i åklagarväsendets brottsbekämpande verksamhet som ska ersätta den nu gällande förordningen. Lagen föreslås gälla i stället för personuppgiftslagen och utgå från personuppgiftslagens tillämpningsområde, begrepp och terminologi. I lagen anges de undantag, preciseringar och förtydliganden i förhållande till personuppgiftslagen som utredningen anser vara motiverade. Förslaget innehåller också allmänna bestämmelser om behandling av personuppgifter i åklagarväsendets brottsbekämpande verksamhet, bl.a. regler om personuppgiftsansvar, ändamålet för behandlingen, behandling av känsliga personuppgifter, gallring samt utlämnande av personuppgifter och uppgiftsskyldighet.
4.9 Behandling av personuppgifter vid andra myndigheter i rättskedjan
4.9.1 Allmänna utgångspunkter
Tillämpningsområdet för dataskyddsrambeslutet omfattar även internationellt straffrättsligt samarbete (bl.a. rättslig hjälp) och verkställighet av straffrättsliga påföljder.
Straffrättsligt samarbete hanteras framförallt av åklagarväsendet och de allmänna domstolarna. Åklagarnas roll är att ta emot framställningar om rättslig hjälp av olika slag och att begära rättslig hjälp av en annan stat inom ramen för brottmålsförfarandet. Enligt vissa författningar ska domstol i varierande utsträckning pröva frågor om rättslig hjälp eller meddela beslut som krävs för handläggningen av exempelvis överlämnanden enligt den europeiska arresteringsordern eller ärenden om rättslig hjälp. Vidare ska domstol besluta i vissa frågor som rör övertagande av straffverkställighet. På verkställighetsstadiet berörs framför allt kriminalvården.
Som exempel på lagstiftning om rättsligt samarbete inom EU kan, förutom den lagstiftning som redovisas i det följande, nämnas bl.a. lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder, lagen (2005:500) om verkställighet inom Europeiska unionen av frysningsbeslut, lagen (2009:1427) om verkställighet av bötesstraff inom Europeiska unionen och lagen (2011:423) om erkännande och verkställighet av beslut om förverkande inom Europeiska unionen. Vidare kan nämnas lagen (1972:260) om internationellt samarbete rörande verkställighet av brottmålsdom. Här lämnas inte någon redogörelse för dessa författningar, eftersom de varken innehåller några bestämmelser om personuppgiftsbehandling eller om användningsbegränsningar.
4.9.2 Domstolarna
Behandlingen av personuppgifter vid de allmänna domstolarna och de allmänna förvaltningsdomstolarna regleras, såvitt nu är av intresse, i tre olika förordningar. Förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling gäller vid automatiserad behandling av personuppgifter i Högsta domstolens, hovrätternas och tingsrätternas rättskipande och rättsvårdande verksamhet. Vid de allmänna förvaltningsdomstolarna tillämpas förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling respektive förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling.
De tre förordningarna är uppbyggda på samma sätt och innehåller i stor utsträckning likalydande bestämmelser. Den följande redogörelsen omfattar alla tre förordningarna, om inte annat anges.
Förordningarna gäller utöver personuppgiftslagen, som således i övrigt gäller för personuppgiftsbehandlingen vid de allmänna domstolarna och de allmänna förvaltningsdomstolarna. Förordningarna innehåller bestämmelser om två typer av register, nämligen verksamhetsregister och rättsfallsregister.
Domstolarna får föra verksamhetsregister, vilkas övergripande ända-mål är att vara ett hjälpmedel vid handläggningen av mål och ärenden. Registren får användas för handläggning av mål och ärenden, planering, uppföljning och utvärdering av verksamheten och framställning av statistik. För andra domstolar än förvaltningsrätter finns ett fjärde ändamål, nämligen att fullgöra författningsenlig underrättelseskyldighet. Ett verksamhetsregister får endast innehålla de uppgifter som anges i en detaljerad uppräkning i en bilaga till respektive förordning. Det rör sig om uppgifter om bl.a. mål eller ärenden, om parter och andra aktörer, om personer som ska höras eller yttra sig, om förhandling, om handläggningen i övrigt och om rättegångskostnader.
Vid angivande av vad saken gäller (ärendemening) får sådana känsliga personuppgifter som anges i 13 § personuppgiftslagen och uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen behandlas endast om det är nödvändigt för att saken ska kunna återges på ett ändamålsenligt sätt. I övrigt får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller om de behövs för handläggningen av målet eller ärendet. Känsliga personuppgifter får inte användas som sökbegrepp. Samtliga förordningar innehåller regler om gallring i verksamhetsregister.
Domstolarna får vidare föra rättsfallsregister för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Ett sådant rättsfallsregister får endast innehålla de uppgifter som anges i en detaljerad uppräkning i en bilaga till respektive förordning. Det rör sig om uppgifter om bl.a. mål- och ärendenummer, avgörandenummer, avgörandedatum, sökord och fullföljd. Personuppgiftslagens regler om gallring tillämpas på registren.
Vid sidan av behandlingen i register innehåller förordningarna också bestämmelser om att domstolarna får behandla personuppgifter automatiserat i löpande text, ljudupptagningar eller ljud- och bildupptagningar. Personuppgifter som behandlas i löpande text eller i ljud- och bildupptagningar gallras enligt bestämmelserna i personuppgiftslagen. Det innebär att de ska gallras när de inte länge behövs.
Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt förordningarna. Förordningarna innehåller särskilda regler om överklagande. Beslut i de högsta domstolarna kan inte överklagas. Övriga domstolars beslut överklagas till närmast högre instans inom de allmänna domstolarna och de allmänna förvaltningsdomstolarna.
Inom Regeringskansliet pågår arbete med att ta fram förslag till ny reglering av behandlingen av personuppgifter vid domstolarna.
4.9.3 Kriminalvården
Allmänt om regleringen
Behandlingen av personuppgifter inom Kriminalvården regleras i lagen (2001:617) om behandling av personuppgifter inom kriminalvården och förordningen (2001:682) i samma ämne.
Lagen innehåller vissa särbestämmelser i förhållande till personupp-giftslagen, som i övrigt gäller för Kriminalvårdens verksamhet. Lagen innehåller endast övergripande bestämmelser för behandlingen, medan förordningen bl.a. innehåller bestämmelser om de register som ska föras (centrala kriminalvårdsregistret och säkerhetsregistret) och detaljerade regler om vilka typer av uppgifter som får behandlas om olika personkategorier.
Lagen gäller vid behandling av personuppgifter i fråga om personer som
- är föremål för personutredning,
- är häktade,
- är dömda till fängelse, skyddstillsyn eller villkorlig dom med före-skrift om samhällstjänst, eller är ålagda fängelse som förvandlingsstraff för böter eller vite, eller som på grund av utländsk dom ska verkställa någon av dessa påföljder i Sverige,
- har ålagts förvandlingsstraff för böter eller vite,
- på annan grund är intagna i häkte eller fängelse, eller
- som annars transporteras av kriminalvårdens transporttjänst.
Personuppgifter får behandlas enligt lagen bara om det är nödvändigt för att
- Kriminalvården ska kunna fullgöra sina uppgifter i enlighet med lag eller förordning,
- underlätta tillgången till sådana uppgifter om verkställighet av på-följd eller häktning som rättsväsendets myndigheter behöver, eller
- upprätthålla säkerheten och förebygga brott under häktning, verkställighet av påföljd, intagning av annat skäl eller transport.
Känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv får inte behandlas enbart på grund av vad som är känt om personens sådana förhållanden. Om känsliga personuppgifter behandlas på annan grund, får uppgifterna kompletteras med sådana personuppgifter om det är oundgängligen nödvändigt för syftet med behandlingen. Sådana uppgifter får inte användas som sökbegrepp, om inte regeringen har föreskrivit det.
Reglerna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen eller enligt föreskrifter som har meddelats med stöd av lagen. Ett beslut om rättelse eller om information enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol. Beslutet ska dock först omprövas av Kriminalvården.
Register som regleras särskilt
I förordningen om behandling av personuppgifter inom kriminalvården finns bl.a. bestämmelser om vissa särskilda register. Det centrala kriminalvårdsregistret regleras i 34-36 §§ i förordningen. Ändamålet med registret är dels att möjliggöra för myndigheten att fullgöra sina författningsenliga uppgifter, dels att underlätta tillgången till sådana uppgifter om verkställighet av påföljd som rättsväsendets myndigheter behöver. Registret omfattar endast personer som har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst, eller har ålagts förvandlingsstraff för böter eller vite, eller som på grund av utländsk dom ska verkställa en sådan påföljd i Sverige.
Säkerhetsregistret regleras i 39-41 och 43-46 §§. Ändamålet med registret är att upprätthålla ordningen och att förebygga brott. Registret omfattar endast personer som är häktade eller intagna i vissa fängelser för att avtjäna fängelsestraff eller som ska verkställa en utländsk sådan påföljd. Registrering förutsätter därutöver att vissa särskilda omständigheter föreligger, t.ex. att den som registreringen avser tidigare har rymt eller har gjort sig skyldig till allvarligt hot eller våld mot personal eller mot andra intagna eller att det föreligger särskild anledning att anta att han eller hon kan komma att göra det.
Förordningen innehåller också regler om de journaler som ska föras över verkställigheten. Vid överflyttning av verkställighet av påföljd till en annan stat får bl.a. sådana journaler lämnas ut till den myndighet i den andra staten som är ansvarig för verkställigheten (48 §).
4.9.4 Kronofogdemyndigheten
Kronofogdemyndigheten har bl.a. till uppgift att driva in böter och sådana ekonomiska förpliktelser som utgör särskild rättsverkan av brott.
Lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet innehåller bestämmelser om behandling av personuppgifter i myndighetens verksamhet. I 1 kap. 1 § anges att den verksamhet som lagen tillämpas på är
- utsökning och indrivning,
- skuldsanering,
- betalningsföreläggande och handräckning,
- europeiskt betalningsföreläggande,
- tillsyn i konkurs, samt
- annan verksamhet som särskilt åligger Kronofogdemyndigheten.
Lagen gäller i stället för personuppgiftslagen, om inte annat särskilt anges i lagen.
Lagen består av tre kapitel, varav 1 kap. innehåller allmänna bestämmelser och 2 kap. bestämmelser om Kronofogdemyndighetens databaser; utsöknings- och indrivningsdatabasen (1-6 §§), betalningsföreläggande- och handräckningsdatabasen (7-12 §§), skuldsaneringsdatabasen (13-18 §§), konkurstillsynsdatabasen (19-23 §§) och gemensamma bestämmelser om databaserna (24-31 §§). I 3 kap. finns bestämmelser om enskildas rättigheter.
I lagen anges för vilka ändamål behandling av personuppgifter får förekomma (1 kap. 4 § och 2 kap. 2, 3, 8, 9, 14, 15 och 20 §§).
I 1 kap. 6 § regleras behandlingen av känsliga personuppgifter, dvs. uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Sådana uppgifter får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller är nödvändiga för handläggningen av det.
Lagen innehåller en allmän bestämmelse om gallring (1 kap. 7 §). För de olika databaserna finns specifika bestämmelser om ändamål, innehåll och gallring.
I 3 kap. finns regler om information till den registrerade (1 och 2 §§), rättelse och skadestånd (3 och 3 a §§) och överklagande (4 §).
4.10 Lagstiftning om internationellt samarbete
4.10.1 Allmänna utgångspunkter
Dataskyddsrambeslutets tillämpningsområde omfattar endast sådana uppgifter som överförs eller görs tillgängliga mellan stater inom EU, EU-organ eller EU-informationssystem. I rambeslutet regleras bl.a. överföring till enskilda samt till tredjeland och internationella organ som sysslar med brottsbekämpning. I detta avsnitt redogörs för sådan lagstiftning som särskilt tar sikte på internationellt samarbete inom de verksamhetsområden som berörs av rambeslutet och som innehåller särreglering när det gäller informationsutbyte och behandling av personuppgifter.
För en mer allmän beskrivning av den lagstiftning som reglerar inter-nationellt samarbete, bl.a. avseende straffverkställighet, och det samarbete som sker mellan medlemsstaterna och de viktigaste internationella organ som sysslar med brottsbekämpning hänvisas till avsnitt 4.9.1 och 5 i departementspromemorian Antagande av rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (Ds 2008:30).
4.10.2 Lagstiftning om samarbete i den brottsbekämpande verksamheten
Lagen om internationellt polisiärt samarbete
I lagen (2000:343) om internationellt polisiärt samarbete regleras sam-arbete mellan svenska brottsbekämpande myndigheter och motsvarande myndigheter i andra medlemsstater i EU samt Norge och Island. Lagen reglerar bl.a. Schengensamarbetet och Prümsamarbetet, men även annat polissamarbete som är konventionsbundet. I lagen anges vilka svenska tjänstemän som är behöriga att delta i samarbetet, nämligen svenska polismän samt tulltjänstemän och kustbevakningstjänstemän när de enligt lag eller annan författning har polisiära befogenheter. Den mest frekventa delen av informationsutbytet inom Schengensamarbetet regleras dock i lagen om Schengens informationssystem. Den lagen reglerar informationsutbyte som utnyttjar en särskild databas som alla stater som deltar i Schengensamarbetet har tillgång till.
I lagen om internationellt polisiärt samarbete, som är mera inriktad på samarbete i enskilda fall, finns en bestämmelse (3 §) om hur uppgifter som har erhållits från andra stater får användas. Har en svensk myndighet fått uppgifter eller bevismaterial från en annan stat för att användas i underrättelseverksamhet om brott, vid utredning av brott eller för att upprätthålla allmän ordning och säkerhet, och gäller på grund av överenskommelse med den andra staten villkor som begränsar möjligheten att använda uppgifterna eller bevisningen, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning. Vad som nu har sagts gäller även för överenskommelser med mellanfolkliga organisationer.
På motsvarande sätt föreskriver lagen att svenska myndigheter får ställa upp villkor som begränsar möjligheten att använda uppgifter eller bevisning som lämnas till en annan stat, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internationell överenskommelse som är bindande för Sverige. Detta gäller också i fråga om uppgifter eller bevisning som lämnas till en mellanfolklig organisation.
Lagen om vissa former av internationellt samarbete i brottsutredningar
Lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar innehåller regler om gränsöverskridande samarbete i enskilda brottsutredningar. Syftet är att förbättra det polisiära och det straffrättsliga samarbetet mellan medlemsstaterna inom EU i kampen mot den gränsöverskridande brottsligheten. Behöriga myndigheter i två eller flera medlemsstater får genom en överenskommelse inrätta en gemensam utredningsgrupp för brottsutredningar. När det finns en sådan överenskommelse tillämpas lagen. De utredningsgrupper som inrättas med stöd av någon annan internationell överenskommelse omfattas inte av lagen.
Lagen innehåller bl.a. bestämmelser om användningsbegränsningar. Har en svensk myndighet fått uppgifter genom en gemensam utredningsgrupp som inrättats med stöd av lagen och gäller villkor som begränsar möjligheten att använda uppgifterna, ska en svensk myndighet enligt 5 § följa villkoren oavsett vad som annars är föreskrivet i lag eller författning. Enligt 6 § får överlämnandet av uppgifter eller bevismaterial från en svensk myndighet till en sådan utredningsgrupp förenas med villkor som är nödvändiga av hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt. Den svenska myndighet som har överlämnat material med villkor får enligt 7 § på begäran av en myndighet i en annan stat medge undantag från villkoret.
Lagen innehåller också vissa bestämmelser om s.k. kontrollerade leveranser (10-14 §§) och om brottsutredningar med användning av skyddsidentitet (15-17 §§). Med kontrollerad leverans avses att en viss förbjuden vara, oftast narkotika, tillåts passera gränsen utan att myndigheterna ingriper, i syfte att man ska kunna spåra upp de personer som ligger bakom brottet. Både vid kontrollerade leveranser och vid brottsutredningar med användning av skyddsidentitet ska reglerna om användningsbegränsning i 5-7 §§ tillämpas (13 respektive 16 §).
Lagen om Schengens informationssystem
I datasystemet Schengens informationssystem (SIS) kan varje medlems-stat föra in uppgifter om personer eller föremål som är efterlysta eller på annat sätt eftersöks med en begäran om att en viss åtgärd ska vidtas, om personen eller föremålet påträffas. I lagen (2000:344) om Schengens informationssystem regleras behandlingen av personuppgifter i den nationella delen av SIS. Lagen, som gäller utöver personuppgiftslagen (prop. 1999/2000:64 s. 135), innehåller bl.a. regler om vilka uppgifter som får registreras och för vilka syften (3 och 4 §§), en särskild bestämmelse om att känsliga personuppgifter inte får registreras (7 §) och bestämmelser om gallring, rättelse och skadestånd (11-13 §§).
Lagen innehåller också en regel om användningsbegränsning (10 §) enligt vilken en svensk myndighet inte får utnyttja en uppgift i registret för något annat syfte än det som den registrerande staten har angett vid registreringen. Om den registrerande staten har lämnat sitt samtycke, får dock en svensk myndighet använda uppgiften för ett annat ändamål.
Inom kort tas en ny generation av SIS i bruk. Därmed kommer informationsutbytet enligt lagen även att omfatta vissa uppgifter som inte registreras i SIS, s.k. tilläggsinformation.
Lagen om internationellt tullsamarbete
Syftet med det internationella tullsamarbetet, som regleras i lagen (2000:1219) om internationellt tullsamarbete, är att förhindra, upptäcka, utreda och beivra överträdelser av tullbestämmelser. Denna lag träffar inte bara Tullverkets brottsbekämpande verksamhet utan även verkets fiskala verksamhet. Tullverket eller annan behörig svensk myndighet ska enligt lagen bistå utländsk myndighet och mellanfolklig organisation. Behöriga myndigheter är, förutom Tullverket, Rikspolisstyrelsen, polismyndigheter, Kustbevakningen och Statens jordbruksverk (1 kap. 5 §). Tullverket har ansvaret för samordningen av samarbetet.
Vid internationellt tullsamarbete kan de svenska myndigheterna agera endast inom ramen för sina befogenheter enligt svensk lagstiftning (1 kap. 3 §). Samarbetet består bl.a. i att länderna självmant eller på begäran ska delge varandra uppgifter som behövs för tullsamarbetet.
Bestämmelser om utbyte av uppgifter finns i 2 kap. 6-8 §§. När det är nödvändigt för att genomföra internationellt tullsamarbete, får en svensk behörig myndighet lämna ut uppgifter till behörig utländsk myndighet eller mellanfolklig organisation, även om uppgiften är sekretessbelagd. Endast uppgifter som är tillgängliga för myndigheten inom dess verk-samhetsområde omfattas (2 kap. 6 §). Uppgifterna får förenas med villkor för användandet, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt (2 kap. 7 §).
Har en uppgift översänts till en utländsk myndighet, är den svenska myndigheten i princip skyldig att på begäran av den som uppgiften avser underrätta denne om vart uppgiften har sänts och för vilket ändamål (2 kap. 8 §). Detta gäller dock inte om det är uppenbart obehövligt eller om det kan befaras att underrättelsen skulle försvåra den utländska utredningen eller beslutet. Gäller sekretess för uppgiften behöver underrättelse inte heller lämnas (2 kap. 8 §).
Om en svensk myndighet har tagit emot uppgifter eller bevisning från en annan stat enligt en internationell överenskommelse om samarbete i fråga om bekämpning av överträdelser av tullbestämmelser som inne-håller villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning (4 kap. 2 §). Lagen är dock inte tillämplig på sådant samarbete som avses i lagen (1969:200) om uttagande av utländsk tull, annan skatt, avgift eller pålaga eller lagen (1959:590) om gränstullsamarbete med annan stat (1 kap. 1 §).
4.10.3 Lagen om internationell rättslig hjälp i brottmål
I lagen (2000:562) om internationell rättslig hjälp i brottmål regleras skyldigheten för svensk myndighet att på en utländsk myndighets begäran vidta åtgärder som exempelvis förhör under förundersökning, bevisupptagning, kvarstad, husrannsakan och användning av hemliga tvångsmedel (1 kap. 2 §). Lagen innehåller även bestämmelser om i vilken utsträckning svenska myndigheter kan begära rättslig hjälp utomlands (3 kap.). Verkställighetsregler finns i förordningen (2000:704) om internationell rättslig hjälp i brottmål.
Lagen är generell, dvs. den gäller i förhållande till alla stater även om dessa inte har tillträtt samma konventioner om rättslig hjälp i brottmål som Sverige. Vissa regler gäller dock bara i förhållande till medlems-stater i Europeiska unionen samt Norge, Island, Schweiz och Liechtenstein.
En utländsk stats begäran om rättslig hjälp i Sverige handläggs av åklagare och domstol, under förutsättning att åtgärden kan vidtas enligt svensk lag under en förundersökning eller rättegång. I vissa fall får rättslig hjälp beviljas även om den misstänkta gärningen inte utgör brott enligt svensk lagstiftning (2 kap. 2 §).
I 2 kap. finns allmänna bestämmelser om förfarandet vid en ansökan om rättslig hjälp i Sverige. I princip används samma förfarande som vid motsvarande svensk åtgärd under förundersökning eller rättegång (2 kap. 10 §). Åklagaren får begära biträde av en polismyndighet, Tullverket eller Kustbevakningen i samma utsträckning som för en motsvarande svensk förundersökningsåtgärd.
Om en svensk myndighet i ett ärende om rättslig hjälp har fått uppgifter eller bevisning från en annan stat för att användas vid utredning av brott eller i ett rättsligt förfarande med anledning av brott, och gäller på grund av en internationell överenskommelse bindande villkor som be-gränsar möjligheterna att använda uppgifterna eller bevisningen, ska, enligt 5 kap. 1 §, svenska myndigheter följa villkoret oavsett vad som annars är föreskrivet i lag eller annan författning. Detsamma gäller be-träffande villkor som en stat har ställt upp när den på eget initiativ lämnat sådana uppgifter.
På motsvarande sätt får rättslig hjälp som lämnas av en svensk myndighet i enskilda fall förenas med villkor som är påkallade med hänsyn till enskilds rätt eller som är nödvändiga ur allmän synpunkt (5 kap. 2 §).
5 Dataskyddsrambeslutet
5.1 Bakgrund
Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, (EUT L 350, 30.12.2008, s. 60, dataskyddsrambeslutet) utgör ett komplement till olika instrument om utvidgat polisiärt samarbete och rättsligt samarbete inom Europeiska unionen med inriktning på utökat gränsöverskridande informationsutbyte.
I dataskyddsrambeslutets inledning framhålls att gemensamma insatser inom polissamarbete och straffrättsligt samarbete gör det nödvändigt att behandla information, men att det samtidigt måste finnas regler om skydd för personuppgifter. Gemensamma normer för behandling och skydd av personuppgifter kan både bidra till ett effektivare samarbete och värna grundläggande rättigheter, som rätten till ett privatliv och rätten till skydd för personuppgifter. I dataskyddsrambeslutet uttalas vidare att befintliga instrument på europeisk nivå inte är tillräckliga. Bakom detta uttalande ligger att dataskyddsdirektivet (se avsnitt 4.3) inte är tillämpligt på behandling av personuppgifter inom det nu aktuella området.
5.2 Rambeslutets innehåll
Syftet med dataskyddsrambeslutet, vilket framgår av artikel 1, är att säkerställa en hög skyddsnivå för fysiska personers fri- och rättigheter när det gäller behandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete. Dataskyddsrambeslutet är endast tilllämpligt på uppgifter som överförs eller har överförts eller görs eller har gjorts tillgängliga mellan medlemsstater eller mellan medlemsstater och EU-organ samt informationssystem som har inrättats i enlighet med avdelning VI i EU-fördraget om polissamarbete och straffrättsligt samarbete. Det framgår av skäl 8 att det är medlemsstaternas avsikt att den nivå på dataskydd som fastställs för nationell behandling ska motsvara vad som föreskrivs i dataskyddsrambeslutet. Dataskyddsrambeslutet hindrar inte medlemsstaterna från att ha ett starkare skydd för behandling av personuppgifter än vad som anges i rambeslutet. Tillnärmningen av medlemsstaternas lagstiftningar bör inte leda till ett svagare skydd för personuppgifter än det som medlemsstaternas nuvarande lagstiftning ger utan tvärtom syfta till att garantera en hög skyddsnivå inom hela unionen (skäl 10).
På samma sätt som när det gäller EU:s reglering av behandling av personuppgifter inom ramen för den inre marknaden (dvs. dataskyddsdirektivet) hindrar rambeslutet inte att principen om allmänhetens tillgång till offentliga handlingar kan tillgodoses vid tillämpningen av principerna i det (skäl 31).
Dataskyddsrambeslutet ska endast tillämpas på behandling av personuppgifter som utförs helt eller delvis automatiskt samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Från tillämpningsområdet undantas viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet.
Artikel 2 anger vilka definitioner som tillämpas i rambeslutet. Med personuppgift avses varje upplysning som rör en identifierbar fysisk person.
I artikel 3 läggs vissa grundläggande principer för personuppgiftsbehandlingen fast, bl.a. huvudregeln att uppgifter inte får behandlas för något annat ändamål än det ursprungliga, dvs. det ändamål för vilket de samlades in. Personuppgifter får dock alltid vidarebehandlas av behöriga myndigheter för historiska, statistiska eller vetenskapliga ändamål under förutsättning att medlemsstaterna föreskriver lämpliga säkerhetsåtgärder, t.ex. avidentifiering av uppgifterna. Vidarebehandling för något annat ändamål än det som uppgifterna överfördes för är bara tillåten om det nya ändamålet inte är oförenligt med det ursprungliga och kräver som huvudregel enligt artikel 11 den registrerades samtycke eller den överförande statens medgivande. Vidarebehandling får dock enligt den artikeln alltid ske - om kraven i artikel 3 är uppfyllda - för att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes. Likaså får vidarebehandling ske för vissa administrativa uppgifter eller för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten.
Artiklarna 4 och 5 innehåller bestämmelser om rättelse, radering och blockering av personuppgifter och om regelbunden kontroll av om lagringen av uppgifterna är nödvändig. Personuppgifter ska rättas om de är felaktiga och raderas när de inte längre behövs för de ändamål de lagligen samlades in eller bearbetades för. Om en radering skulle påverka den registrerades intressen ska uppgifterna blockeras i stället för att raderas. Artikel 4 är kopplad till artikel 8, som ålägger de behöriga myndigheterna att vidta alla rimliga åtgärder för att se till att de personuppgifter som överförs är korrekta. Om uppgifter har överförts olovligen eller varit felaktiga ska mottagaren omedelbart underrättas.
Artikel 6 reglerar rätten att behandla s.k. känsliga personuppgifter, dvs. uppgifter om bl.a. etniskt ursprung, politiska åsikter och religiös eller filosofisk övertygelse. Sådana uppgifter får endast behandlas när det är absolut nödvändigt och om det i den nationella lagstiftningen tillhandahålls tillräckliga skyddsåtgärder. I artikel 7 anges att ett automatiserat beslutsförfarande som innefattar behandling av uppgifter som omfattas av dataskyddsrambeslutet är tillåtet endast om det föreskrivs i en lag där det även finns bestämmelser till skydd för den registrerades legitima intressen. Även artiklarna 9 och 12 innehåller bestämmelser om begränsningar av rätten att behandla uppgifter. Enligt artikel 9 får den överförande myndigheten meddela tidsfrister inom vilka den mottagande staten ska radera eller blockera uppgifterna eller kontrollera om de fortfarande behövs. Artikel 12 anger att den överförande myndigheten ska informera mottagaren om det enligt den överförande medlemsstatens nationella lagstiftning gäller särskilda begränsningar i fråga om utbyte av uppgifter mellan behöriga myndigheter inom medlemsstaten. Mottagaren ska i sådana fall se till att begränsningarna följs.
I artiklarna 13 och 14 regleras under vilka förutsättningar uppgifter får överföras till tredjeland och internationella organ respektive till privata subjekt i eller utanför medlemsstaterna. Överföring till tredjeland och internationella organ kräver som huvudregel samtycke av den behöriga myndigheten i den stat varifrån uppgifterna härrör och får ske bl.a. om det är nödvändigt för utredning eller lagföring av brott och förutsätter enligt artikel 13 som huvudregel dels att det finns en adekvat skyddsnivå för behandlingen av uppgifter i den mottagande staten, dels att den medlemsstat från vilken uppgifterna härrör har gett sitt samtycke till överföringen. Också överföring till privata subjekt enligt artikel 14 kräver att den behöriga myndigheten i den medlemsstat från vilken uppgifterna har erhållits samtycker till överföring i enlighet med sin nationella lagstiftning. Vidare krävs att överföringen är absolut nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, avvärja en omedelbar och allvarlig fara för den allmänna säkerheten eller förhindra att enskildas rättigheter lider allvarlig skada. Det sagda gäller dock enligt skäl 18 inte vid utlämnande till privata parter i samband med brottmål.
Enligt artikel 15 ska mottagaren på begäran informera den behöriga myndighet som har överfört uppgifterna om hur dessa behandlas.
Artiklarna 16-20 reglerar den registrerades rättigheter i olika avseenden, bl.a. rätten till information om behandlingen, rättelse av uppgifter, skadestånd till följd av otillåten personuppgiftsbehandling och tillgång till domstolsprövning vid kränkning.
Artiklarna 21 och 22 reglerar tystnadsplikt för den som får tillgång till personuppgifter enligt rambeslutet samt föreskriver krav på säkerhet i samband med behandlingen av uppgifter.
Enligt artikel 25 ska varje medlemsstat utse en eller flera nationella tillsynsmyndigheter som ska ansvara för rådgivning och kontroll av behandlingen av uppgifter som omfattas av beslutet. Den nationella tillsynsmyndigheten ska enligt artikel 23 rådfrågas före behandling av personuppgifter när nya personuppgiftsbehandlingssystem införs som antingen innefattar nya kategorier av känsliga uppgifter eller innebär särskilda risker för den registrerades grundläggande fri- och rättigheter.
För att säkerställa genomförandet av dataskyddsrambeslutet ska medlemsstaterna enligt artikel 24 föreskriva effektiva, proportionella och avskräckande sanktioner mot den som bryter mot bestämmelser som har antagits med anledning av rambeslutet.
Artikel 26 behandlar förhållandet mellan dataskyddsrambeslutet och andra avtal och överenskommelser med tredjeland och artikel 28 reglerar förhållandet mellan rambeslutet och befintliga EU-rättsakter. Slutligen finns bestämmelser om genomförande av rambeslutet i artikel 27, om utvärdering i artikel 29 och om ikraftträdande i artikel 30.
6 Genomförande av dataskyddsrambeslutet
6.1 Förbättrat integritetsskydd vid polissamarbete och straffrättsligt samarbete
När dataskyddsdirektivet i slutet av 1990-talet genomfördes i svensk rätt gjordes det i princip tillämpligt även på polisen och andra brottsbekämpande myndigheter, domstolarna och de myndigheter som verkställer straffrättsliga påföljder. Den generella regleringen i personuppgiftslagen kompletterades med särskilda registerförfattningar antingen för olika sektorer eller för enskilda register. Som exempel kan nämnas att den tidigare gällande polisdatalagen härrör från det lagstiftningsarbete som var ett led i genomförandet av en generell reglering av skyddet för personuppgifter. Detsamma gäller den lagstiftning om personuppgiftsbehandling som alltjämt gäller för domstolarna och kriminalvården.
Eftersom dataskyddsdirektivet formellt inte gäller för bl.a. statens verksamhet på straffrättens område, så varierar skyddet för sådana uppgifter som överförs över gränserna. Vissa stater införde, i likhet med Sverige, även på straffrättens område i större eller mindre utsträckning dataskyddsregler som motsvarar direktivets förpliktelser.
När informationsutbytet inom EU inom ramen för polisiärt och straffrättsligt samarbete intensifierades under början av 2000-talet, identifierade man ett ökat behov av dataskydd inom dessa båda områden, eftersom de faller utanför dataskyddsdirektivets tillämpningsområde. Dataskyddsrambeslutet innebär en generell förstärkning av integritetsskyddet för uppgifter som överförs över gränserna inom ramen för sådant samarbete. Rambeslutet är dessutom tillämpligt på uppgifter som härrör från eller tillförs EU-datasystem och EU-organ. De gemensamma strävandena att förbättra dataskyddet inom EU innebär att svenska uppgifter som överlämnas inom ramen för EU-samarbete hänförligt till polisiärt och straffrättsligt samarbete generellt sett har ett starkare skydd i dag än tidigare. Ett stärkt integritetsskydd är ett viktigt svenskt intresse. Som framgår av avsnitt 4.3 pågår förhandlingar inom EU i syfte att stärka skyddet ytterligare.
6.2 I vilken utsträckning kräver genomförandet av dataskyddsrambeslutet författningsreglering?
Regeringens bedömning: Artikel 1.2-4 om tillämpningsområdet, artikel 9.1 om tidsfrister för gallring, artiklarna 11-14 om bl.a. överföring till tredjeland och till enskilda, artikel 16.2 om information, artikel 19.2 om jämkning av skadestånd och artikel 28 om förhållandet till tidigare rättsakter kräver författningsreglering.
Utredningens bedömning överensstämmer i huvudsak med regeringens. Utredningen anser inte att delar av artikel 1.2 samt artiklarna 13.3, 19.2 och 28 kräver någon författningsreglering.
Remissinstanserna: Ingen av remissinstanserna invänder mot utredningens bedömning av vilka artiklar i dataskyddsrambeslutet som kräver författningsreglering.
Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del, utom Sveriges advokatsamfund som ställer sig bakom utredningens bedömning i fråga om artikel 13.3.
Skälen för regeringens bedömning: Vid tillkomsten av dataskyddsrambeslutet utgjorde dataskyddsdirektivet en viktig inspirationskälla. Som tidigare nämnts innehåller regleringen för de myndigheter som berörs av rambeslutet i stor utsträckning redan bestämmelser som motsvarar flertalet av artiklarna i dataskyddsrambeslutet. Genom att Sverige genomförde dataskyddsdirektivet i väsentliga delar även inom de sektorer som dataskyddsrambeslutet reglerar, trots att de inte omfattades av direktivets tillämpningsområde, finns det redan ett välutvecklat dataskydd inom dessa sektorer. Reglerna behöver dock i några delar justeras eller kompletteras med anledning av dataskyddsrambeslutet. I propositionen 2008/09:16 om godkännande av dataskyddsrambeslutet görs en översiktlig bedömning av vilka artiklar i rambeslutet som kan kräva ny lagstiftning i Sverige. Där uttalas att artikel 6 om behandling av känsliga personuppgifter, artikel 9 om iakttagande av överförande stats tidsfrister och artikel 20 om rättsmedel (i fråga om Skatteverkets behandling av personuppgifter) kan komma att kräva lagändring. I propositionen framhålls vidare att det behöver tydliggöras vilka delar av Säkerhetspolisens personuppgiftsbehandling som faller utanför rambeslutets tillämpningsområde.
Vidare behöver enligt godkännandepropositionen vissa andra artiklar i rambeslutet analyseras närmare för att ge underlag att bedöma om det i något annat avseende behövs lagändringar eller kompletterande bestämmelser för att svensk rätt ska uppfylla kraven i rambeslutet.
Utredningen finner att artiklarna 1.2 a, 1.3 och 1.4 (om tillämpningsområdet) samt artiklarna 3.2 (om vidarebehandling för annat ändamål), 9 (om tidsfrister), 11-14 (om bl.a. överföring till tredjeland och till enskilda) och 16.2 (om information till den registrerade) kräver lagstiftningsåtgärder och föreslår att det införs en ny lag om användningsbegränsningar. Utredningen anser vidare att artikel 6, som behandlar känsliga personuppgifter, bör föranleda ändringar i befintliga registerförfattningar för de berörda myndigheterna. Utredningen anser också att det i alla myndigheters registerförfattningar bör anges att personuppgiftsbehandling får ske för att fullgöra förpliktelser som följer av internationella åtaganden. Dessutom krävs det enligt utredningen följdändringar i form av hänvisningar till den nya lagen i myndigheternas registerförfattningar. I övrigt anser utredningen att dataskyddsrambeslutets bestämmelser inte kräver några lagstiftningsåtgärder.
Regeringen instämmer i stora delar i de bedömningar utredningen gör när det gäller behovet av författningsändringar och återkommer i det följande till hur dessa bör genomföras. Till skillnad från utredningen anser dock regeringen att vissa delar av artikel 3.2 och artikel 9 inte kräver någon lagstiftningsåtgärd. Detsamma gäller artikel 6, vilket regeringen återkommer till. Däremot kräver ett par artiklar, utöver de som utredningen har angett, författningsreglering. Det gäller ytterligare delar av artikel 1.2 (om tillämpningsområdet), artikel 13.3 (om överföring i vissa fall till tredjeland och internationella organ), artikel 19.2 (om skadestånd) och artikel 28 (om förhållandet till tidigare rättsakter).
Även innehållet i skälen 45-47 (om förhållandet till Island, Norge, Schweiz och Liechtenstein) och skäl 18 (överföring till enskilda i samband med brottmål) bör återspeglas i den nya lagen. Utöver detta krävs det inte någon författningsreglering.
6.3 Normgivningsnivån
Regeringens förslag: De återstående delarna av dataskyddsrambeslutet genomförs i huvudsak genom en ny lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Ingen av remissinstanserna har något att invända mot utredningens förslag. Kriminalvården delar utredningens slutsats att det finns anledning att införa en ny lag med generella bestämmelser om användningsbegränsningar. Lunds universitet anser att för överskådlighetens skull är en särskild lag att föredra framför ändringar i de olika lagar som reglerar behandlingen av personuppgifter. Tullverket har inget att invända mot att rambeslutet genomförs på det sätt som föreslagits, men framhåller att på sikt bör aktuella användningsbegränsningar regleras i registerförfattningarna för att underlätta tillämpningen.
Uppsala universitet anser dock att den föreslagna regleringen kommer att fortsätta att bidra till att området blir svåröverskådligt. Skilda regler för personuppgiftsbehandling beroende på om det handlar om rent nationell behandling eller om gränsöverskridande personuppgiftsbehandling kan leda till tillämpningsproblem, eftersom samma uppgifter och information kan förekomma i skilda sammanhang och en uppgift som härrör från en stat kan blandas med och kompletteras av uppgifter från andra stater. Vidare är det enligt universitetet en brist att flera av de gällande regleringarna på området har formen av förordning, trots att skyddet för den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen jämförd med 2 kap. 20 § regeringsformen motiverar att lagform används. Enligt universitetet framstår det som angeläget att dessa brister beaktas i lagstiftningsarbetet.
Utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna: Säkerhets- och integritetsskyddsnämnden tillstyrker den utformning lagen fått i utkastet till lagrådsremiss men framhåller att regleringen blir komplex och svåröverskådlig. Nämnden anser vidare att en mer precis benämning på lagen bör övervägas eftersom den föreslagna benämningen ger intryck av att lagen har ett vidare tillämpningsområde än den faktiskt har.
Skälen för regeringens förslag
En ny lag bör införas
Sverige har åtagit sig att genomföra dataskyddsrambeslutet i nationell rätt. En grundläggande fråga är om de delar av dataskyddsrambeslutet som återstår att genomföra bör regleras i befintlig lagstiftning, framförallt i berörda myndigheters registerförfattningar och i de författningar som rör internationellt samarbete, eller om de ska sammanföras i en separat, ny reglering. En annan viktig fråga är i vilken utsträckning regleringen kräver lagform.
Sedan den 1 januari 2011 är enskilda skyddade gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär kartläggning eller övervakning av personliga förhållanden (2 kap. 6 § andra stycket regeringsformen). Inskränkningar i detta skydd kan enbart ske genom lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle (2 kap. 20 och 21 §§ regeringsformen). Dataskyddsrambeslutets bestämmelser innebär inte några inskränkningar i enskildas personliga integritet utan är tvärtom avsedda att stärka den enskildes integritetsskydd. Även om genomförandet av dataskyddsrambeslutet inte i sig innebär något utökat informationsutbyte anser regeringen att regleringen är av den arten att den lämpligen bör ha lagform. Av betydelse i sammanhanget är att de författningar som styr myndigheternas hantering av sådana personuppgifter som kan komma att utbytas inom ramen för dataskyddsrambeslutet i stor utsträckning redan finns i lag (bl.a. registerförfattningarna för polisen, Tullverket, Kustbevakningen, Skatteverket och i viss utsträckning Kriminalvården) eller är föremål för översyn med sikte på framtida lagreglering (bl.a. registerförfattningarna för åklagarväsendet och domstolarna).
Dataskyddsrambeslutet innehåller en generell reglering, men har bara relevans för vissa myndigheter. Personuppgiftslagen (1998:204) gäller för all behandling av personuppgifter, om inte avvikande bestämmelser har meddelats i lag eller förordning. Som nyss nämnts finns det särskilda registerförfattningar inom de områden som dataskyddsrambeslutet omfattar. Att införa de ytterligare lagbestämmelser som krävs för att genomföra dataskyddsrambeslutet i personuppgiftslagen bör därför inte komma i fråga, även om reglerna till viss del anknyter till sådana bestämmelser i personuppgiftslagen som gäller för de berörda myndigheterna.
Ett alternativ skulle kunna vara att föra in de nya bestämmelserna i myndigheternas registerförfattningar. Ett skäl som talar för en sådan lösning är det som Uppsala universitet tar upp, nämligen att man bör undvika att göra personuppgiftsregleringen ännu mer komplicerad än den är i dag. Utredningen anger som skäl för att införa en särskild lag att bestämmelserna ska tillämpas av flera olika myndigheter. Regeringen, som delar utredningens uppfattning att det bör införas en ny sektorsgemensam lag, anser att ett tungt vägande skäl för en ny lag är rambeslutets tillämpningsområde. Rambeslutet gäller för överföring av uppgifter från och till andra stater, EU-organ och EU-informationssystem. De myndigheter som berörs av regleringen kommer att tillämpa den i varierande utsträckning. Polisen kommer troligen att tillämpa lagen i betydligt större utsträckning än exempelvis Kriminalvården. Att då tynga varje myndighets registerförfattning med samma regler är en mindre lyckad lösning. Det är därför bättre att införa en ny, sektorsgemensam lag. Som redovisas i avsnitt 4 pågår för närvarande lagstiftningsarbete för att utforma nya eller ändrade registerförfattningar inom flera av de aktuella områdena. Det mer omfattande lagstiftningsarbete som Uppsala universitet efterlyst för att komma till rätta med att vissa av registerförfattningarna endast har förordningsform är varken lämpligt eller möjligt att genomföra inom ramen för detta lagstiftningsärende. Tullverket tar upp frågan hur regleringen bör se ut på längre sikt. Mot bakgrund av det reformarbete som pågår inom EU och Europarådet (se avsnitt 4.2 och 4.3) finns det inte anledning att nu binda sig för hur regleringen bör se ut i framtiden.
Lagens benämning
Utredningen föreslår att den nya lagen ska benämnas "lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen". Regeringen anser att en annan benämning bör väljas och instämmer i Säkerhets- och integritetsskyddsnämndens uppfattning om behovet av en preciserad rubrik. Skälen för att utredningens förslag inte bör väljas är dels att lagen reglerar även annat än användningsbegränsningar, dels att benämningen bör spegla lagens huvudsyfte. Regeringen anser att den nya lagen bör benämnas "Lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen".
6.4 Den nya lagens tillämpningsområde
6.4.1 Allmänt om tillämpningsområdet
Regeringens förslag: Den nya lagen ska gälla för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om uppgifterna inom ramen för polissamarbete och straffrättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och en stat som är medlem i EU, eller Island, Norge, Schweiz eller Liechtenstein, eller ett EU-organ eller ett EU-informationssystem.
Lagen ska gälla för behandling av personuppgifter som är helt eller delvis automatiserad samt annan behandling, om uppgifterna som behandlas ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Lagen ska i viss utsträckning också gälla när svenska myndigheter överför till eller gör personuppgifter tillgängliga för en annan stat som är medlem i EU, Island, Norge, Schweiz eller Liechtenstein, ett EU-organ eller ett EU-informationssystem.
En justering av de tillåtna ändamålen för behandling görs i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Den tydliggör att Tullverket, i likhet med andra brottsbekämpande myndigheter, får behandla personuppgifter också i syfte att förebygga brottslig verksamhet.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen, som anser att lagens tillämpningsområde ska knytas till de myndigheter som kommer att tillämpa lagen, behandlar inte frågan om rambeslutets tillämpning på personuppgifter som överförs till eller från Island, Norge, Schweiz eller Liechtenstein. Vidare lämnar utredningen inget förslag om lagens tillämpning på svenska myndigheters överföring av personuppgifter till andra stater. Eftersom utredningen inte bedömer det vara nödvändigt att reglera behandling av personuppgifter som överförs till eller från ett EU-organ eller ett EU-informationssystem lämnar utredningen inte något förslag i denna del. Utredningen tar inte heller upp frågan om tillämpningsområdet bör påverkas av tidigare beslutade rättsakter.
Remissinstanserna: Den övervägande delen av remissinstanserna tillstyrker förslaget eller lämnar det utan invändningar. Ett antal remissinstanser anser att begränsningen till helt eller delvis automatiserad behandling medför otydligheter. Förvaltningsrätten i Linköping framhåller att en definition av begreppet automatiserad är av stor vikt då domstolen går mot att i större utsträckning använda och acceptera användningen av digital form av överklaganden, yttranden och andra skrivelser.
Uppsala universitet anser att avgränsningen av lagen till att inte omfatta personuppgifter som överförs från EU-myndigheter, EU-organ eller EU-gemensamma informationssystem framstår som omotiverad. Universitetet menar också att det faktum att olika regler gäller för rent nationell personuppgiftsbehandling och gränsöverskridande personuppgiftsbehandling kan leda till vissa tillämpningsproblem. Även Tullverket anser att det skulle underlätta för tillämparen om det direkt av lagtexten framgick att personuppgifter också kan ha tagits emot från eller gjorts tillgängliga av aktuella informationssystem och inte enbart direkt från medlemsstater. Tullverket välkomnar förslaget att lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet kompletteras med begreppet förebygga eftersom detta både förtydligar bestämmelsen och harmoniserar den i förhållande till vad som gäller för polisen enligt polisdatalagen (2010:361). Ekobrottsmyndigheten framhåller att de i den föreslagna bestämmelsen om tillämpningsområdet uppräknade myndigheterna bör anges i den ordning som är vedertagen i författningstext. Svea hovrätt påpekar att utredningen inte anger hur uppgifter som Sverige har tagit emot från bl.a. en EES-stat ska behandlas.
Utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.
Remissinstanserna: Svea hovrätt konstaterar att den i det tidigare yttrandet framförda synpunkten att en så enhetlig reglering som möjligt inom EU och Norden bör eftersträvas är helt tillgodosedd genom utformningen av 2 § i utkastet till lagrådsremiss. Säkerhets- och integritetsskyddsnämnden tillstyrker den utvidgning av lagens tillämpningsområde som förslaget i utkastet till lagrådsremiss innebär i förhållande till utredningens förslag. Nämnden anser dock att en erinran om att det finns andra författningar som också innehåller bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom EU bör införas i den föreslagna lagen. Rättsmedicinalverket framhåller att verket faller utanför lagens tillämpningsområde. Om regeringens avsikt är att myndigheten ska omfattas av den föreslagna lagen, anser verket att detta behöver analyseras ytterligare i lagstiftningsärendet.
Skälen för regeringens förslag
Allmänna utgångspunkter
Rambeslutet syftar till att stärka skyddet för personuppgifter som överförs inom ramen för polissamarbete och straffrättsligt samarbete. Därmed är det endast vissa myndigheter som berörs. Begreppet polissamarbete omfattar inte bara polisens verksamhet utan tar sikte på all brottsbekämpande verksamhet oavsett vilken myndighet som bedriver den. I Sverige bedrivs brottsbekämpning av såväl polisen som av Tullverket, Kustbevakningen och i viss utsträckning Skatteverket samt av åklagare. Straffrättsligt samarbete involverar åklagare och domstolar samt, när det gäller verkställighet av straffrättsliga påföljder, Kriminalvården och Kronofogdemyndigheten.
Mot bakgrund av att regleringen i rambeslutet endast omfattar uppgifter som överförts inom ramen för nyssnämnda samarbete - och därmed också bara berör ett fåtal myndigheter och endast delar av deras verksamhet - är avgränsningen av den nya lagens tillämpningsområde en vital fråga. Utredningen väljer att knyta tillämpningsområdet till vissa namngivna myndigheter. Regeringen anser, av skäl som utvecklas närmare i det följande, att rambeslutet förutsätter en djupare analys när det gäller tillämpningsområdet.
Artikel 1 i rambeslutet, som reglerar rambeslutets syfte och tillämpningsområde, innehåller inte några bestämmelser som i sig kräver lagstiftningsåtgärder. Olika delar av artikeln, framför allt punkterna 2, 3 och 4, har dock betydelse för hur den nya lagens tillämpningsområde bör avgränsas. De behandlas därför i det följande.
Förebygga, utreda, avslöja eller lagföra brott samt verkställa påföljder
Enligt den inledande delen av artikel 1.2 omfattar rambeslutet bara sådan personuppgiftsbehandling som sker när personuppgifter överförs eller har överförts eller görs tillgängliga eller har gjorts tillgängliga i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.
Utredningen föreslår att lagen endast ska gälla för vidarebehandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete och att lagen ska innehålla en uppräkning av de myndigheter som ska tillämpa den.
Syftet med rambeslutet är att skapa ett enhetligt skydd för personuppgifter som överförs inom ramen för polissamarbete och straffrättsligt samarbete. Rambeslutet utgår från att det ska tillämpas av myndigheter som bedriver sådan verksamhet och på informationssystem som inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen eller fördraget om upprättande av Europeiska gemenskapen. Detta framgår av artikel 1.1. Rambeslutet innehåller bestämmelser både om hur sådana uppgifter får samlas in för vissa ändamål och hur de får vidarebehandlas för andra ändamål. Regleringen får indirekt betydelse även för behandlingen nationellt genom att svenska uppgifter som ska överföras till en annan medlemsstat måste hanteras så att kraven i rambeslutet kan uppfyllas. Lagens tillämpningsområde bör därför inte, som utredningen föreslår, begränsas till vidarebehandling av sådana uppgifter som svenska myndigheter har tagit emot.
Den närmare avgränsningen av vilka typer av uppgifter som rambeslutet omfattar regleras i artikel 1.2, av vilken framgår att rambeslutet ska tillämpas på uppgifter som överförs i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Regeringen anser att det är en bättre lagteknisk lösning att knyta an till uppräkningen av verksamhetsuppgifter i rambeslutet än att, som utredningen föreslår, i lag räkna upp de myndigheter som ska tillämpa lagen. En uppräkning av det slaget riskerar snabbt att bli inaktuell. Dessutom kan en sådan uppräkning ge intryck av att den är uttömmande och att lagen således inte gäller för andra myndigheter som eventuellt kan komma att få tillgång till uppgifter som har överförts enligt rambeslutets bestämmelser, t.ex. myndigheter som endast i liten utsträckning fullgör åklagaruppgifter eller verkställer straffrättsliga påföljder. Eftersom det inte finns någon definition av begreppet "polisiärt samarbete", medför utredningens förslag dessutom en risk för att informationsutbyte av annat slag som sker via framför allt polisiära kanaler kan komma att träffas av regleringen trots att det inte är avsikten.
Utöver polisen och åklagarväsendet är det som nyss nämnts framförallt Kustbevakningen, Skatteverket, Tullverket, Kriminalvården, Kronofogdemyndigheten och de allmänna domstolarna som kommer att utföra personuppgiftsbehandlingar som träffas av rambeslutets tillämpningsområde och som därför bör omfattas av den nya lagen. Även andra myndigheter, t.ex. Statens institutionsstyrelse, kan i undantagsfall komma att utföra sådana personuppgiftsbehandlingar som bör omfattas av lagen för att rambeslutets krav ska tillgodoses. Denna myndighet kan exempelvis komma att få del av överförda personuppgifter i samband med verkställighet av sluten ungdomsvård. Det kan inte heller uteslutas att även andra myndigheter i något fall kan komma att få del av personuppgifter som omfattas av den föreslagna lagen. Som Rättsmedicinalverket framhåller kommer verket inte att direkt omfattas av lagen eftersom myndighetens verksamhet inte utgör brottsbekämpning eller verkställighet av påföljder. Även om andra myndigheter inte får sådana uppgifter som omfattas av lagen direkt från en annan medlemsstat eller ett EU-organ, så kan de få dem via någon av de myndigheter som är det primära målet för regleringen. Rambeslutet förutsätter att personuppgifterna ska vara skyddade hos alla myndigheter, om uppgifterna och behandlingen omfattas av rambeslutets tillämpningsområde. Enligt regeringens mening bör den föreslagna lagen därför inte begränsas till att gälla enbart hos vissa uppräknade myndigheter utan gälla generellt för personuppgiftsbehandling i verksamhet som har till syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa påföljder, oavsett hos vilken myndighet behandlingen sker. Genom att myndigheterna inte namnges så saknar den av Ekobrottsmyndigheten framförda synpunkten om hur myndigheterna bör räknas upp betydelse.
I sammanhanget kan noteras att rambeslutet i flera bestämmelser använder uttrycket behörig myndighet. Även utredningens förslag innehåller detta uttryck. Enligt svensk rätt är det en grundläggande förutsättning för rätten att behandla personuppgifter att behandlingen ryms inom myndighetens uppdrag. Utgångspunkten måste ur svenskt perspektiv vara densamma när det gäller myndigheter i andra länder. Svenska myndigheter ska således inte behöva ta ställning till om den myndighet som överför personuppgifter är att betrakta som behörig i sin hemstat. Regeringen anser mot denna bakgrund att det inte är nödvändigt att använda uttrycket behörig myndighet i lagtexten.
När det gäller den närmare avgränsningen kan vidare konstateras att man i svensk lagstiftning brukar skilja mellan underrättelseverksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet och verksamhet som går ut på att utreda och beivra konkreta brott. Då begreppet brott i rambeslutet bör tolkas så att det omfattar såväl konkreta brott som sådan icke-preciserad brottslig verksamhet som är föremål för underrättelseverksamhet, anser regeringen att avgränsningen av den nya lagen bör formuleras på motsvarande sätt. Vidare anser regeringen att begreppen upptäcka och beivra stämmer bättre överens med språkbruket i svensk lagstiftning än begreppen "avslöja" och "lagföra" som används i rambeslutet. Sammanfattningsvis anser således regeringen att lagen bör gälla när personuppgifter som överförs eller har överförts eller görs eller har gjorts tillgängliga behandlas i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder.
Att den nya lagens tillämpningsområde avgränsas på det sätt som regeringen föreslår innebär att lagen kan bli tillämplig i såväl underrättelsearbete, förundersökning och brottmålsrättegång som vid verkställighet av påföljd. Samtidigt innebär avgränsningen att personuppgiftsbehandling för andra ändamål faller utanför tillämpningsområdet. Exempelvis faller rättslig hjälp i civilmål utanför, liksom t.ex. informationsutbyte som rör offer för olyckshändelser (även om informationen förmedlas via polisiära kanaler).
I detta sammanhang bör framhållas att Tullverkets lagstiftning skiljer sig från övriga brottsbekämpande myndigheters på det sättet att det inte tydligt framgår att myndigheten också får behandla personuppgifter i syfte att förebygga brott, trots att det får anses ingå i dess uppgifter. För att åstadkomma likformighet i förhållande till övriga brottsbekämpande myndigheter föreslår utredningen att 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet kompletteras med begreppet förebygga. Det är angeläget att Tullverket, vars verksamhet bland annat innefattar brottsbekämpning, har samma möjligheter som andra brottsbekämpande myndigheter att behandla personuppgifter. Regeringen instämmer därför i utredningens bedömning att det i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet bör tydliggöras att regleringen också omfattar behandling i syfte att förebygga brottslig verksamhet.
Även uppgifter som tillförs register som regleras i andra författningar än myndigheternas generella registerförfattningar kommer att omfattas av lagens tillämpningsområde, om registren i fråga har brottsbekämpning, lagföring eller straffverkställighet som ändamål. Detta gäller exempelvis personuppgifter som kommer att flyta in i belastningsregistret, misstankeregistret, strafförelägganderegistret och ordningsbotsregistret, om uppgifterna är av den arten att rambeslutet är tillämpligt.
Förenklat kan man säga att den föreslagna lagen kommer att innehålla vissa särskilda dataskyddsregler som gäller när personuppgifter som förts över medlemsstatsgränserna behandlas i exempelvis brottsbekämpande verksamhet. Bestämmelserna i t.ex. polisdatalagen och kustbevakningsdatalagen utgör dock fortfarande grunden för den behandling som äger rum när uppgifterna har mottagits. Exempelvis krävs det att polisdatalagen ger stöd för att polisen behandlar personuppgifterna för ett visst ändamål. Säkerhets- och integritetsskyddsnämnden anser att detta förhållande bör tydliggöras genom att det i den föreslagna lagen införs en bestämmelse som erinrar om att det finns andra författningar som innehåller bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom EU. Enligt regeringens mening är det tillräckligt att det i myndigheternas registerförfattningar införs bestämmelser om hur dessa förhåller sig till den nya lagen.
Personuppgifter från andra medlemsstater, EU-organ och EU-informationssystem
Enligt artikel 1.2 ska rambeslutet tillämpas på uppgifter som förs över eller görs tillgängliga, eller har överförts eller gjorts tillgängliga,
a) mellan medlemsstater,
b) av medlemsstater till EU-organ eller EU-informationssystem, eller
c) av EU-organ eller EU-informationssystem till medlemsstater.
Utredningen anser att det är tillräckligt om den nya lagens tillämpningsområde omfattar uppgifter som en myndighet har tagit emot från en annan medlemsstat, eller som har gjorts tillgängliga av en annan medlemsstat. Skälet för detta är att de uppgifter som är aktuella enligt utredningens mening alltid kan sägas ha sitt ursprung i en medlemsstat, även i en situation där uppgiften senare överförs från ett EU-organ eller ett EU-informationssystem.
Tullverket invänder mot utredningens förslag i denna del och framhåller att tillämpningen av lagen skulle underlättas om det direkt av lagtexten framgår att personuppgifter också kan ha tagits emot från eller gjorts tillgängliga av aktuella informationssystem. Även Uppsala universitet invänder mot utredningens resonemang. Enligt universitetet kan det knappast uteslutas att uppgifter som behandlas av EU-organen sammanförs och kompletteras med andra uppgifter, så att ny information framträder. Regeringen delar universitetets uppfattning. Utredningens förslag kan resultera i att vissa personuppgifter, som är tänkta att omfattas av rambeslutets skyddsregler, faller utanför lagens tillämpningsområde. Detta gäller exempelvis sådana uppgifter som inhämtats inom ramen för Europols samarbete med Interpol, där uppgifterna inte härrör från en annan medlemsstat i EU (jfr prop. 2008/09:14 s. 6). Vidare är en av Europols huvuduppgifter att - med hjälp av information som erhålls från medlemsstaterna - bearbeta, analysera och vidareutveckla kunskaperna om gränsöverskridande, grov organiserad brottslighet. Med utredningens förslag skulle uppgifter som härrör från sådan bearbetning inte ha samma skydd som motsvarande uppgifter som bearbetats i en medlemsstat. Enligt regeringens mening är detta inte rimligt. Därför bör det av den nya lagen framgå att den gäller även i fråga om personuppgifter som har tagits emot från ett EU-organ eller ett EU-informationssystem. Härigenom tillgodoses också Tullverkets önskemål om en mer lättillämpad reglering.
När det gäller EU-informationssystem omfattar rambeslutets tillämpningsområde enbart system som har inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen, dvs. regleringen om polissamarbete och straffrättsligt samarbete. Någon risk för missförstånd om vilka system som avses finns knappast, eftersom det bara är ett fåtal informationssystem som berörs. Lagen bör därför inte tyngas med en hänvisning till fördraget.
Uppsala universitet påpekar också att det förhållandet att olika regler kommer att gälla för rent nationell personuppgiftsbehandling respektive gränsöverskridande personuppgiftsbehandling kan leda till vissa tillämpningsproblem. Regeringen ifrågasätter inte detta. Frågan är emellertid om det i sig utgör ett hinder mot att utforma regleringen i huvudsak på det sätt som utredningen har föreslagit och remissinstanserna ställt sig bakom. Eftersom det gränsöverskridande samarbetet bara genererar en mycket liten del av den totala mängd personuppgifter som behandlas av de nu aktuella myndigheterna anser regeringen att det för närvarande inte finns skäl att välja någon annan lösning. Det bör emellertid anmärkas att kommissionen den 25 januari 2012 presenterade ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. I reformförslaget ingår dels en förordning med en reglering som ska ersätta dataskyddsdirektivet, dels ett direktiv som är avsett att ersätta dataskyddsrambeslutet (se avsnitt 4.3). Det nya direktivet föreslås omfatta även nationell behandling. På sikt kan således frågan om en mer heltäckande reglering aktualiseras.
Den av regeringen valda lösningen förutsätter att sådana uppgifter som omfattas av rambeslutet på något sätt kan urskiljas och vid behov särbehandlas. Den frågan behandlas vidare i avsnitt 6.18.
Regeringen återkommer i avsnitt 6.14 till frågan om hur förekomsten av dataskyddsbestämmelser i tidigare beslutade EU-rättsakter återverkar på lagens tillämpningsområde.
Svenska myndigheters överföring av uppgifter
Utgångspunkten är att den nya lagen framför allt ska reglera integritetsskyddet för personuppgifter som svenska myndigheter tar emot från andra EU-stater, EU-organ och EU-informationssystem och behandlar i de syften som anges i rambeslutet. Artikel 1.2 i rambeslutet innebär emellertid att rambeslutets bestämmelser ska tillämpas även när svenska myndigheter överför uppgifter till andra medlemsstater eller till EU-organ eller EU-informationssystem. Enligt artikel 12.1 finns en skyldighet för medlemsstaterna att ange om särskilda användningsbegränsningar gäller för uppgifterna.
Vad som främst är aktuellt är att svenska myndigheter ska kunna, när svenska intressen så kräver och rambeslutet medger det, ange villkor för hur de personuppgifter som myndigheterna överför till andra EU-stater, EU-organ och EU-informationssystem får användas. Svenska myndigheter bör också ha möjlighet att, i enlighet med artikel 9.1, kunna ange när uppgifterna ska gallras, se vidare avsnitt 6.7.2.
Utredningen lägger inte fram något förslag i denna del. Remissinstanserna yttrar sig inte heller i frågan.
Redan i dag finns det, som framgår av avsnitt 4.10, ett flertal bestämmelser som reglerar svenska myndigheters möjlighet att ställa upp villkor vid informationsutbyte med andra stater. Dessa bestämmelser täcker emellertid inte rambeslutets hela tillämpningsområde. Som exempel kan nämnas att informationsutbyte via EU-informationssystem och informationsutbyte via EU-organ inte omfattas.
Det är enligt regeringens mening givetvis lika viktigt att upprätthålla ett starkt integritetsskydd för de uppgifter som svenska myndigheter överför eller gör tillgängliga för andra stater eller EU-organ eller EU-informationssystem som för de uppgifter som tas emot. Den nya lagstiftningen bör därför även i relevanta delar tillämpas på svenska myndigheters överföring av uppgifter. För att underlätta för tillämparna bör skyldigheten att följa utländska villkor och möjligheten för svenska myndigheter att ange villkor regleras i samma författning.
Lagrådet ifrågasätter behovet av en bestämmelse som tydliggör i vilken utsträckning svenska myndigheter ska tillämpa den nya lagen när de inom ramen för polisiärt eller straffrättsligt samarbete överför uppgifter till mottagare utomlands. Regleringen på området är, som Lagrådet framhåller, komplicerad och svåröverblickbar. Mot den bakgrunden är det viktigt att tillämparen får ledning när det gäller frågan om lagen över huvud taget ska tillämpas, vilket den aktuella bestämmelsen syftar till. Regeringen anser därför att bestämmelsen bör finnas kvar. Den bör dock formuleras om och utformas i linje med Lagrådets synpunkter.
Regeringen återkommer till frågan om svenska myndigheters överfö-ring av uppgifter till andra medlemsstater i avsnitt 6.7.2.
Informationsutbyte med Island, Norge, Schweiz och Liechtenstein
Av skäl 45-47 i rambeslutet framgår att rambeslutet beträffande Island, Norge, Schweiz och Liechtenstein utgör en utveckling av Schengenregelverket. Detta innebär att rambeslutets bestämmelser ska tillämpas också i fråga om uppgifter som görs tillgängliga mellan eller överförs till och från dessa stater.
Utredningen belyser inte denna fråga. Den enda remissinstans som berör frågan är Svea hovrätt som pekar på att utredningen inte anger hur uppgifter som Sverige har tagit emot från bl.a. en EES-stat ska behandlas.
Regeringen anser att det i den nya lagen bör klargöras att lagen gäller även i förhållande till de nu nämnda staterna. I författningsförslaget bör detta återspeglas i regleringen av den nya lagens tillämpningsområde. Härigenom tillgodoses den av Svea hovrätt framförda synpunkten.
Bara uppgifter om fysiska personer
Rambeslutet reglerar bara skydd för uppgifter om fysiska personer (artikel 1.1). En fråga som väcks vid genomförandet av rambeslutet är om den nya lagen bör skydda endast uppgifter om fysiska personer eller om den bör innehålla skyddsregler även för juridiska personer.
Utredningen behandlar inte denna fråga. Inte heller remissinstanserna berör frågan.
Svensk lagstiftning om behandling av personuppgifter skyddar i viss utsträckning även juridiska personer (se t.ex. 1 kap. 3 § polisdatalagen och 1 kap. 3 § kustbevakningsdatalagen). Med tanke på att den lag som nu föreslås har som enda syfte att genomföra dataskyddsrambeslutet, framstår det enligt regeringens mening som mindre lämpligt att låta lagen ha ett annat tillämpningsområde än rambeslutet. Det innebär att lagen i likhet med rambeslutet bara bör skydda uppgifter om fysiska personer.
Helt eller delvis automatiserad personuppgiftsbehandling
Enligt artikel 1.3 gäller rambeslutet bara för sådan behandling av personuppgifter som helt eller delvis utförs automatiskt samt för annan behandling av sådana personuppgifter som ingår i eller kommer att ingå i ett register.
Utredningen föreslår att den nya lagen ska tillämpas också på annan personuppgiftsbehandling än automatiserad, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Remissinstanserna framför inga invändningar mot utredningens förslag i denna del. Några remissinstanser efterlyser dock en definition av begreppet automatiserad. Förvaltningsrätten i Linköping anser att en definition av begreppet automatiserad är av stor vikt då domstolen går mot att i större utsträckning använda och acceptera användningen av digital form för överklaganden, yttranden och andra skrivelser.
Regeringen instämmer i utredningens förslag till hur bestämmelsen bör formuleras. Begreppet "automatiserad" är att föredra framför det i rambeslutet använda begreppet "automatiskt". Förslaget motsvarar regleringen i 5 § personuppgiftslagen. Vad beträffar den av Förvaltningsrätten i Linköping framförda synpunkten noterar regeringen att begreppet automatiserad förekommer både i personuppgiftslagen och i olika registerförfattningar. Begreppet är således allmänt vedertaget. Någon definition av begreppet är enligt regeringens mening därför inte nödvändig.
Att lagen görs tillämplig på manuellt behandlade uppgifter som kommer att ingå i ett register innebär att det inte bara är uppgifter som överförs och behandlas elektroniskt som kan komma att omfattas. Motsvarande reglering i personuppgiftslagen har varit utgångspunkt vid utformningen av den särlagstiftning som gäller för de myndigheter som regleringen i huvudsak riktar sig till. Exempelvis har författningarna om personuppgiftsbehandling inom polisen, Tullverket, Kustbevakningen, Skatteverket, åklagarväsendet, domstolarna och Kriminalvården alla samma reglering i detta avseende.
Som tidigare nämnts faller också uppgifter i vissa register som regleras i andra författningar än myndigheternas generella registerförfattningar under lagens tillämpningsområde.
6.4.2 Undantag för nationella säkerhetsintressen
Regeringens förslag: Lagen ska inte gälla för sådan behandling av personuppgifter som rör nationell säkerhet.
Utredningens förslag överensstämmer inte med regeringens. Utredningen föreslår att Säkerhetspolisen helt ska undantas från lagens tilllämpningsområde, men inte någon annan verksamhet.
Remissinstanserna: Åklagarmyndigheten påpekar att åklagare vid åklagarkammaren för säkerhetsmål tar emot och hanterar uppgifter som rör såväl nationella säkerhetsintressen som uppgifter som härrör från särskild underrättelseverksamhet. Allmän åklagare kan som förundersökningsledare hantera uppgifter som faller under området nationell säkerhet. Åklagarmyndigheten menar därför att ett mer generellt undantag för nationell säkerhet bör övervägas. Också Ekobrottsmyndigheten anser att ett generellt undantag bör göras i den nya lagen. Ekobrottsmyndigheten anser vidare att begreppet rikets säkerhet bör användas i stället för nationell säkerhet, eftersom det är ett vedertaget begrepp. Uppsala universitet invänder mot utredningens uppfattning att hela Säkerhetspolisens verksamhet avser nationell säkerhet och därmed faller utanför beslutets tilllämpningsområde. Meningen med rambeslutet är delvis att förbättra integritetsskyddet i europeisk polisärt och straffrättsligt samarbete varför det enligt universitetet är rimligt att inta en utgångspunkt om att undantag ska tolkas snävt. Likväl kan utredningens förslag vara acceptabelt om den nuvarande regleringen och tillsyn av Säkerhetspolisens verksamhet såvitt gäller dataskydd i internationellt samarbete är tillfredställande. Säkerhets- och integritetsskyddsnämnden framhåller att även om merparten av Säkerhetspolisens verksamhet rör nationell säkerhet så kan vissa delar av myndighetens verksamhet varken anses utgöra viktiga nationella säkerhetsintressen eller särskild underrättelseverksamhet inom området nationell säkerhet. En möjlighet skulle därför enligt nämnden kunna vara att, trots undantaget för verksamhet som rör nationell säkerhet, göra rambeslutet tillämpligt även på Säkerhetspolisens verksamhet.
Utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna: Säkerhetspolisens bedömning är att hela myndighetens verksamhet omfattas av begreppet "nationell säkerhet" i rambeslutets mening och att den således faller utanför rambeslutets tillämpningsområde. Lunds universitet anser att begreppet "nationell säkerhet" inte har ett klart och tydligt innehåll i gällande svensk straffrätt och att dess tillämpningsområde kan bli diffust och oförutsebart. Sveriges advokatsamfund menar att undantagets föreslagna lydelse medför att ett mer vidsträckt område kommer att undantas än vad som följer av artikel 1.4. Vidare framhåller samfundet att begreppet nationell säkerhet inte är vedertaget inom svensk lagstiftning, vilket kan leda till tillämpningssvårigheter. Slutligen anser samfundet att det är mindre lämpligt att införa ett nytt begrepp som skiljer sig från det begrepp som används i personuppgiftslagen.
Skälen för regeringens förslag: I artikel 1.4 görs ett uttryckligt undantag för viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet som rör nationell säkerhet. Personuppgiftsbehandling i sådan verksamhet faller utanför rambeslutets tillämpningsområde. Undantaget gäller inte för en viss myndighet eller organisation utan för verksamhet som rör nationella säkerhetsintressen.
Utredningen finner att den absoluta merparten av Säkerhetspolisens verksamhet omfattar frågor som rör nationell säkerhet och att det varken är möjligt eller lämpligt att exakt ange vilka delar av myndighetens verksamhet som inte gör det. Utredningen drar slutsatsen att Säkerhetspolisens verksamhet i sin helhet bör undantas från tillämpningsområdet för den nya lagen. Däremot ska enligt utredningen ingen annan verksamhet än Säkerhetspolisens undantas.
Så som undantaget i artikel 1.4 i rambeslutet är utformat faller, som utredningen framhåller, Säkerhetspolisens verksamhet i allt väsentligt utanför rambeslutets tillämpningsområde. Det finns emellertid andra myndigheter än Säkerhetspolisen som hanterar personuppgifter rörande nationell säkerhet. Som Åklagarmyndigheten påpekar gäller detta bl.a. åklagare. Även allmänna domstolar behandlar personuppgifter hänförliga till mål och ärenden som rör nationell säkerhet. Det kan inte uteslutas att även andra myndigheter kan komma att hantera sådana personuppgifter. Regeringen anser därför att undantaget från den nya lagens tillämpningsområde inte bör begränsas till en viss utpekad myndighet utan gälla generellt. Denna lösning ligger också i linje med vad bl.a. Säkerhets- och integritetsskyddsnämnden och Uppsala universitet framför. I den utsträckning som Säkerhetspolisen och andra berörda myndigheter har - eller kommer att få - uppgifter som rör annat än nationell säkerhet omfattas således uppgifterna av rambeslutets tillämpningsområde.
Ekobrottsmyndigheten, som också anser att undantaget bör göras mer generellt, föreslår att begreppet rikets säkerhet ska användas i stället för nationell säkerhet eftersom det är ett vedertaget begrepp i svensk lagstiftning.
Regeringen gör följande bedömning. Undantaget i rambeslutet omfattar "viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet som rör nationell säkerhet". I den engelska versionen av rambeslutet är formuleringen "essential national security interests and specific intelligence activities in the field of national security". Begreppet "national security" används också i den engelska versionen av dataskyddsdirektivet. I personuppgiftslagen avses "rikets säkerhet" i 8 a § svara mot begreppet "national security". Uttrycket "rikets säkerhet" är väl inarbetat och förekommer i såväl straffrättslig som i annan lagstiftning. Det finns således skäl som talar för den av Ekobrottsmyndigheten och Sveriges advokatsamfund föreslagna formuleringen. Mot den lösningen talar emellertid att uttrycket "rikets säkerhet" normalt används i en snävare bemärkelse än vad rambeslutet får anses täcka. Verksamheten med att förebygga, förhindra och utreda brott mot rikets säkerhet är till exempel bara en del av Säkerhetspolisens verksamhet. Ett exempel som visar detta är regleringen av Säkerhetspolisens personuppgiftsbehandling i polisdatalagen (2010:361), där rikets säkerhet och terrorismbekämpning omnämns som olika aktiviteter (5 kap. 1 §), trots att den sistnämnda kan ha betydelse såväl för rikets säkerhet som för allmän ordning och säkerhet inom landet. Rambeslutets formulering skiljer sig också från dataskyddsdirektivets på det sättet att den är vidare. Regeringen anser därför att en formulering som liknar den i rambeslutet bör väljas. Undantaget bör således omfatta nationell säkerhet, vari även innefattas den underrättelseverksamhet som bedrivs inom området. Denna formulering omfattar i stort sett hela Säkerhetspolisens nuvarande verksamhet men innebär inte att myndigheten som sådan är undantagen från lagens tillämpningsområde. Självfallet är begreppet inte avsett att innefatta mera än vad som följer av artikel 1.4, vilket Sveriges advokatsamfund hyser farhågor för.
Med anledning av Lunds universitets synpunkt att begreppet "nationell säkerhet" inte har ett klart och tydligt innehåll i gällande svensk straffrätt och även Sveriges advokatsamfunds åsikt att begreppet inte är vedertaget, vill regeringen framhålla att det valda begreppet är avsett att genomföra en bestämmelse i ett EU-instrument. Det är inte självklart att ett begrepp som används i ett EU-instrument alltid har en direkt svensk motsvarighet. Vidare är det enligt regeringens mening viktigt att undantaget i lagen inte görs snävare än undantaget i rambeslutet. Mot den bakgrunden anser regeringen att nationell säkerhet är ett lämpligt begrepp.
Regeringen återkommer i författningskommentaren närmare till vad uttrycket nationell säkerhet omfattar.
6.5 Definitioner
Regeringens bedömning: Artikel 2 i rambeslutet om definitioner kräver inte några lagstiftningsåtgärder.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser har inte någon invändning mot utredningens bedömning i denna del. Åklagarmyndigheten menar dock att centrala begrepp som "vidarebehandling av personuppgifter" och "automatiserad spridning", som inte förekommer i personuppgiftslagen, bör definieras för att undvika oklarheter och otydligheter. Ekobrottsmyndigheten och Kriminalvården framför liknande synpunkter. Ekobrottsmyndigheten ifrågasätter också om begreppet vidarebehandling överhuvudtaget bör användas i lagregleringen då det inte är ett vedertaget begrepp. Myndigheten föreslår att enbart ordet behandling ska användas, tillsammans med en beskrivning av den behandling som avses. Förvaltningsrätten i Linköping påpekar att det varken i lagen eller i delbetänkandet redovisats hur begreppet automatiserad definieras och att en definition av begreppet är av stor vikt.
Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.
Skälen för regeringens bedömning: Regeringen delar utredningens uppfattning att rambeslutets artikel 2, som innehåller definitioner, inte kräver någon lagstiftningsåtgärd. Några av remissinstanserna, däribland Åklagarmyndigheten och Kriminalvården, efterlyser en definition av begreppet vidarebehandling. Ekobrottsmyndigheten går ett steg längre och ifrågasätter om begreppet vidarebehandling överhuvudtaget bör användas i den nya lagen, eftersom det inte är ett vedertaget begrepp. Regeringen delar uppfattningen att det är svårt att förutse effekterna av att använda begreppet vidarebehandling i den nya lagen. Som framgår av avsnitt 6.4.1 är det inte heller nödvändigt att använda detta begrepp. Därmed finns det inget behov av att införa en definition av begreppet vidarebehandling. Detsamma gäller det av utredningen föreslagna uttrycket "automatiserad spridning".
Några remissinstanser, bl.a. Förvaltningsrätten i Linköping, anser att begreppet automatiserad bör definieras i den nya lagen. Den frågan behandlas i avsnitt 6.4.1.
6.6 Ändamål med behandlingen
6.6.1 Allmänt om ändamålen
Regeringens bedömning: Rambeslutets bestämmelser om grundläggande principer kräver ingen lagstiftning.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna kommenterar inte frågan.
Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna har inga invändningar mot utkastet till lagrådsremiss i denna del.
Skälen för regeringens bedömning: Rambeslutet ska, som tidigare nämnts, bara tillämpas på personuppgiftsbehandling som sker för de verksamheter som anges i rambeslutet (polissamarbete och straffrättsligt samarbete; artikel 1). Regleringen kan därför sägas syfta till att skydda enskilda från att deras personuppgifter sprids eller hanteras på ett felaktigt sätt av framför allt de brottsbekämpande myndigheterna. Artikel 3 anger de grundläggande principer som ska gälla vid myndigheternas hantering av personuppgifter. Utgångspunkten är att brottsbekämpande och verkställande myndigheter får behandla personuppgifter i den verksamheten.
I artikel 3.1 föreskrivs att personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål. Behandlingen ska vara lagenlig, adekvat, relevant och inte orimlig i förhållande till det ändamål för vilket uppgifterna samlades in.
I 9 § första stycket personuppgiftslagen anges att personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål (punkt c). Uppgifterna ska också vara adekvata och relevanta i förhållande till ändamålen med behandlingen (punkt e). Dessa regler motsvarar således reglerna i artikel 3.1 i rambeslutet.
Bestämmelserna i 9 § första stycket c och e personuppgiftslagen gäller för alla de aktuella myndigheterna (9 § c gäller dock inte för Tullverket), antingen på grund av att registerförfattningarna hänvisar till den bestämmelsen eller genom att de registerförfattningar som gäller utöver personuppgiftslagen saknar bestämmelser i frågan. Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, som gäller i stället för personuppgiftslagen, innehåller ingen hänvisning till 9 § första stycket c personuppgiftslagen. Däremot anges i 7 och 8 §§ i förstnämnda lag för vilka ändamål personuppgiftsbehandling får ske. I 9 § samma lag föreskrivs att uppgifter i Tullverkets brottsbekämpande verksamhet inte får behandlas för några andra ändamål än de som anges i 7 och 8 §§. Regleringen är alltså uttömmande, vilket är skälet till att det inte hänvisas till 9 § första stycket c personuppgiftslagen, se propositionen Tullverkets brottsbekämpning - Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 50). Enligt regeringens mening får de aktuella bestämmelserna i Tullverkets registerförfattning anses uppfylla de krav som ställs i artikel 3.1 i rambeslutet på särskilda, uttryckligt angivna och berättigade ändamål. Regeringen bedömer mot denna bakgrund i likhet med utredningen att några nya bestämmelser inte behöver införas med anledning av artikel 3.1 i rambeslutet.
6.6.2 Behandling för andra ändamål än de ursprungliga
Regeringens förslag: Personuppgifter som har överförts eller gjorts tillgängliga för visst ändamål får - förutom för det ursprungliga ändamål för vilka uppgifterna överfördes eller gjordes tillgängliga - behandlas bara för vissa i lagen särskilt angivna andra ändamål. Dessa ändamål är sådana där syftet med behandlingen är att
- förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
- vidta åtgärder i rättsliga eller administrativa förfaranden med direkt anknytning till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, eller
- avvärja en omedelbar och allvarlig fara för allmän säkerhet.
Personuppgifter får behandlas även för andra ändamål, om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att det i den nya lagen också ska föreskrivas att vidarebehandling för ett nytt ändamål inte får vara oförenlig med det ursprungliga ändamålet samt att vidarebehandlingen måste vara nödvändig och proportionerlig.
Remissinstanserna: Remissinstanserna framför inga invändningar mot utredningens förslag i denna del.
Utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna: Tullverket framför att det för Tullverkets del är nödvändigt med en bestämmelse om att vidarebehandling bara får ske om den inte är oförenlig med det ändamål för vilket uppgifterna ursprungligen samlades in (finalitetsprincipen), eftersom 9 § d personuppgiftslagen (1998:204) inte gäller i Tullverkets brottsbekämpande verksamhet. Tullverket förespråkar i första hand att en ändring görs i 6 § 3 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, så att personuppgiftslagens bestämmelse om finalitetsprincipen blir tillämplig i verkets verksamhet, i andra hand att en bestämmelse om finalitetsprincipen förs in i den föreslagna lagen.
Kronofogdemyndigheten efterlyser ett klargörande av vad som gäller för den överlämnade informationen vid handläggning av andra mål hos myndigheten. Myndigheten hänvisar till att det av 4 kap. 11 § UB följer att samordning ska ske av samtliga hos myndigheten inneliggande mål, vilket innebär att myndigheten ska använda sig av den information som den har tillgång till. Samtidigt menar myndigheten att handläggning av andra mål inte kan anses rymmas inom de undantag som räknas upp i utkastet, i och med att de inte behöver ha med vare sig brottslighet eller allmän säkerhet att göra.
Skälen för regeringens förslag: Enligt artikel 3.1 i rambeslutet är, som nyss nämnts, utgångspunkten att en myndighet får behandla en personuppgift endast för det ändamål, dvs. det brott, den straffrättsliga påföljd etc., som uppgiften ursprungligen överfördes för. Om en myndighet vill använda en personuppgift för ett annat ändamål än det ursprungliga sätter de grundläggande principerna i artikel 3.2 och reglerna i artikel 11 gränserna för myndighetens möjligheter att göra detta.
Utredningen föreslår att artikel 11 och delar av artikel 3.2 ska genomföras genom en särskild bestämmelse i den nya lagen.
Artikel 11 i rambeslutet föreskriver att personuppgifter, i enlighet med kraven i artikel 3.2, får vidarebehandlas endast för vissa särskilt angivna ändamål utöver dem för vilka de överfördes eller gjordes tillgängliga. Ändamålen kan sammanfattningsvis sägas ha anknytning till polisiärt och straffrättsligt samarbete. Enligt artikel 11 får således vidarebehandling av personuppgifter ske
a) för att förebygga, utreda, avslöja, eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga,
b) för andra rättsliga eller administrativa förfaranden med direkt anknytning till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder,
c) för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten,
d) för varje annat syfte endast med förhandsmedgivande från den överförande medlemsstaten eller med den registrerades samtycke givet i överensstämmelse med nationell lagstiftning.
Bestämmelserna i artikel 11 saknar motsvarighet i svensk lag. Regeringen delar därför utredningens bedömning att artikel 11 bör genomföras genom en särskild bestämmelse i den nya lagen.
Artikel 3.2 a i rambeslutet föreskriver att vidarebehandling för annat ändamål än det för vilket uppgifterna ursprungligen samlades in är tillåten om behandlingen inte är oförenlig med de ändamål för vilka uppgifterna samlades in (finalitetsprincipen). Denna del av artikel 3.2 får anses uttolkad i artikel 11, som handlar just om för vilka ändamål vidarebehandling av överförda uppgifter generellt får ske i brottsbekämpande verksamhet. Något behov av en särskild reglering för att genomföra artikel 3.2 a finns därför inte enligt regeringens mening. Det kan ändå noteras att artikeln i denna del motsvarar 9 § första stycket d personuppgiftslagen, som bygger på dataskyddsdirektivet. Artikel 5 b i Europarådets dataskyddskonvention innehåller en motsvarande bestämmelse. Bestämmelserna i 9 § första stycket d personuppgiftslagen gäller för alla de aktuella myndigheterna utom Tullverket, antingen på grund av att registerförfattningarna hänvisar till den bestämmelsen eller genom att de registerförfattningar som gäller utöver personuppgiftslagen saknar bestämmelser i frågan. Lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, som gäller i stället för personuppgiftslagen, innehåller ingen hänvisning till 9 § första stycket d personuppgiftslagen. Enligt Tullverket bör därför i första hand en ändring göras i 6 § 3 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, så att finalitetsprincipen blir tillämplig i hela verkets verksamhet. I andra hand bör enligt verket en bestämmelse om finalitetsprincipen föras in i den föreslagna lagen. Det är inte möjligt att inom ramen för detta lagstiftningsprojekt genomföra de ändringar i Tullverkets registerförfattning som verket efterlyser. Som nyss nämnts finns det enligt regeringens mening heller ingen anledning att införa en särskild reglering av finalitetsprincipen i den nya lagen.
Hänvisningen till artikel 3.2 i artikel 11, innebär bl.a. att vidarebehandling för de i artikel 11 angivna ändamålen endast får ske om myndigheten har laglig behörighet att behandla uppgifter för det nya ändamålet (artikel 3.2 b) och behandlingen är nödvändig och proportionerlig i förhållande till det nya ändamålet (artikel 3.2 c). Artikel 3.2 b kan sägas ha sin motsvarighet i 9 § första stycket a i personuppgiftslagen, som föreskriver att personuppgifter bara får behandlas om det är lagligt och som är en grundläggande princip som gäller för alla berörda myndigheter. Ytterst är det myndighetens instruktion och andra författningar som avgör om myndigheten är behörig att behandla personuppgifter för det aktuella ändamålet. Artikel 3.2 c motsvaras av bl.a. 9 § första stycket e och f personuppgiftslagen. Mot bakgrund av dessa regler anser regeringen att rambeslutet i dessa delar är uppfyllt.
Den bestämmelse som införs i den nya lagen för att genomföra artikel 11 innebär att brottsbekämpande och verkställande myndigheter framförallt får behandla överförda personuppgifter i verksamhet som har mer eller mindre direkt anknytning till brottsbekämpning, rättsliga förfaranden och verkställighet av påföljder. Vad beträffar Kronofogdemyndigheten får myndigheten således använda sig av den information myndigheten fått tillgång till genom nu aktuellt samarbete i andra mål, men endast i den mån dessa avser rättsliga eller administrativa förfaranden med direkt anknytning till straffverkställighet, t.ex. för att driva in böter. Behandling utan sådan anknytning, t.ex. samordning med annan exekutiv verksamhet, är således inte tillåten beträffande uppgifter som överförts eller gjorts tillgängliga med stöd av rambeslutet.
6.6.3 Vidarebehandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål
Regeringens förslag: Det ska framgå av lagen att behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål är tillåten.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Flertalet remissinstanser kommenterar inte förslaget i denna del. Uppsala universitet påpekar att vidarebehandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål enligt rambeslutet är tillåten om medlemsstaterna föreskriver lämpliga skyddsåtgärder. Enligt utredningen finns tillräckliga skyddsregler i personuppgiftslagen (1998:204). I den föreslagna lagen anges därför enbart upplysningsvis att personuppgifter får vidarebehandlas för historiska, statistiska eller vetenskapliga ändamål. Någon hänvisning till de skyddsåtgärder som finns i personuppgiftslagen ges dock inte. Eftersom personuppgiftslagen är subsidiär till annan lagstiftning, kan enligt universitetet en sådan lagstiftningsteknik vara missledande.
Utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.
Skälen för regeringens förslag: Av artikel 3 sista stycket tillsammans med artikel 11 sista stycket framgår att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål alltid är tillåten, oavsett medgivande från den överförande staten, under förutsättning att den nationella lagstiftningen innehåller bestämmelser om tillräckliga skyddsåtgärder. Exempel på sådana skyddsåtgärder anges i artiklarna vara avidentifiering av uppgifterna. Även om rambeslutets bestämmelser är mer detaljerade, finns en bestämmelse med samma innebörd i artikel 6 i dataskyddsdirektivet. Enligt denna artikel ska behandling av personuppgifter för historiska, statistiska och vetenskapliga ändamål inte anses vara oförenlig med de ursprungliga ändamål för vilka uppgifterna samlades in, förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder. Bestämmelsen i dataskyddsdirektivet har genomförts genom 9 § andra stycket personuppgiftslagen. Av förarbetena till personuppgiftslagen framgår att den svenska arkivlagstiftningen ansågs uppfylla kraven på tillräckliga skyddsåtgärder enligt dataskyddsdirektivet (prop. 1997/98:44 s. 47 f.). I propositionen om antagande av dataskyddsrambeslutet gjordes bedömningen att rambeslutet, med några enstaka undantag, inte kräver några lagändringar när det gäller behandling för historiska, statistiska eller vetenskapliga ändamål.
Utredningen anser att det för tydlighetens skull bör införas en upplysningsbestämmelse i den nya lagen om att personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål. Utöver Uppsala universitet har remissinstanserna inga invändningar mot utredningens förslag i denna del.
Regleringen i 9 § andra stycket personuppgiftslagen gäller visserligen för samtliga berörda myndigheter utom Tullverket. Eftersom ändamålsbestämmelsen i den nya lagen kommer att omfatta all vidarebehandling måste frågan om behandling för historiska, statistiska och vetenskapliga ändamål ändå regleras i lagen. Regeringen delar därför utredningens uppfattning att en bestämmelse om vidarebehandling för sådana ändamål bör införas. I motsats till utredningen anser dock regeringen att det bör vara en materiell bestämmelse. Den kritik som Uppsala universitet framför har således visst fog. Den svenska arkivlagstiftningen uppfyller enligt regeringens mening de krav på skyddsåtgärder som ställs upp i rambeslutet. Genom den lösning som regeringen föreslår kommer möjligheten att behandla personuppgifter för historiska, statistiska och vetenskapliga ändamål att vara desamma för alla myndigheter, inkluderande Tullverket.
6.6.4 Tillämpningen av offentlighetsprincipen
Regeringens bedömning: Rambeslutet hindrar inte utlämnande av allmänna handlingar med stöd av offentlighetsprincipen.
Utredningens bedömning överensstämmer med regeringens. Utredningen stöder dock sin bedömning på att rätten att få tillgång till allmänna handlingar inte innebär en rätt att kräva att uppgifterna lämnas ut på ett visst sätt, t.ex. elektroniskt.
Remissinstanserna: Flertalet av remissinstanserna kommenterar inte utredningens bedömning. Ekobrottsmyndigheten, Säkerhets- och integritetsskyddsnämnden och Åklagarmyndigheten ifrågasätter dock utredningens bedömning när det gäller rambeslutets förhållande till offentlighetsprincipen. De efterlyser en närmare analys av hur offentlighetsprincipen påverkas av rambeslutets bestämmelser. Enligt Säkerhets- och integritetsskyddsnämnden gör utredningen en felaktig bedömning i frågan om rambeslutets bestämmelser strider mot allmänhetens rätt att ta del av allmänna handlingar när man hänvisar till att denna rätt inte innebär en rätt att kräva att uppgifterna lämnas ut på ett visst sätt, t.ex. automatiserat. Enligt nämndens bedömning är denna slutsats inte korrekt när det gäller uppgifter som ingår i en strukturerad samling av personuppgifter, t.ex. i ett pappersregister, eftersom vidarebehandling av personuppgifter i ett sådant pappersregister omfattas av rambeslutets bestämmelser och den av utredningen föreslagna lagen. Enligt nämndens uppfattning bör det övervägas att i den föreslagna lagen införa en upplysning i förtydligande syfte om att bestämmelserna i lagen inte inskränker allmänhetens rätt att ta del av allmänna handlingar. Ekobrottsmyndigheten anser också att det av den nya lagen bör framgå hur lagen förhåller sig till offentlighetsprincipen.
Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna: Säkerhets- och integritetsskyddsnämnden upprepar den tidigare framförda synpunkten att det mot bakgrund av komplexiteten på området bör införas en särskild bestämmelse i lagen som anger att reglerna i den föreslagna lagen inte hindrar den personuppgiftsbehandling som krävs när allmänna handlingar lämnas ut i enlighet med offentlighetsprincipen. Kammarrätten i Sundsvall påpekar att frågan om hur villkor som begränsar möjligheterna att använda uppgifterna förhåller sig till meddelarfriheten inte närmare har berörts och förtjänar att utvecklas.
Skälen för regeringens bedömning: Offentlighetsprincipen, som kommer till uttryck i 2 kap. tryckfrihetsförordningen, innebär att en myndighet är skyldig att - i den utsträckning sekretess inte hindrar det - lämna ut allmänna handlingar till den som begär det. Utlämnande av personuppgifter är en form av personuppgiftsbehandling. I 8 § personuppgiftslagen har en upplysningsbestämmelse tagits in som klargör att regleringen i lagen inte hindrar utlämnande av allmänna handlingar.
En fråga som väcks när det gäller rambeslutets regler om vidarebehandling, är hur dessa förhåller sig till den svenska offentlighetsprincipen. Utredningen bedömer att rambeslutet inte utgör något hinder mot rätten att ta del av allmänna handlingar och hänvisar till att rätten att få tillgång till allmänna handlingar inte innebär en rätt att kräva att uppgifterna lämnas ut på ett visst sätt, t.ex. automatiserat.
Regeringen kan först konstatera att, även om rambeslutet har störst betydelse när det gäller elektronisk överföring av personuppgifter, rambeslutet gäller också ifråga om manuell behandling av personuppgifter, om uppgifterna ingår i ett register. Regleringen är tillämplig även i fråga om andra manuella åtgärder som vidtas med överförda uppgifter om dessa behandlas automatiserat eller i ett register, t.ex. ett utlämnande i pappersform av sådana uppgifter. Motsatsvis är rambeslutet inte tilllämpligt på sådan behandling av överförda uppgifter som är helt manuell och som inte innebär att uppgifterna fogas in i ett register. I likhet med Ekobrottsmyndigheten, Säkerhets- och integritetsskyddsnämnden och Åklagarmyndigheten anser regeringen att frågan om rambeslutets förhållande till offentlighetsprincipen behöver analyseras närmare.
Rambeslutet omfattar behandling av personuppgifter som överförs eller har överförts eller görs tillgängliga eller har gjorts tillgängliga i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Om personuppgifter som har erhållits från t.ex. en annan EU-stat i brottsbekämpande syfte, behandlas för andra ändamål än de för vilka de överfördes, är det rambeslutets bestämmelser om vidarebehandling som aktualiseras, närmare bestämt artiklarna 3.2 och 11. Vid ett eventuellt utlämnande enligt offentlighetsprincipen av en sådan uppgift, skulle även bestämmelserna om överföring i artiklarna 13 och 14 kunna ha relevans. Samtliga dessa bestämmelser ska emellertid tolkas i ljuset av bl.a. skäl 31, som har tagits in på svenskt initiativ och som anger att principen om allmänhetens tillgång till offentliga handlingar kan tillgodoses vid tillämpningen av principerna i rambeslutet. Rambeslutet ska således tolkas på ett sätt som innebär att det är förenligt med offentlighetsprincipen.
Det kan i sammanhanget nämnas att det även i ingressen till dataskyddsdirektivet finns en klausul som gör det möjligt att ta hänsyn till offentlighetsprincipen när direktivets bestämmelser genomförs i nationell rätt (skäl 72). Vid genomförandet av dataskyddsdirektivet gjordes bedömningen att offentlighetsprincipen var förenlig med direktivet (prop. 1997/98:44 s. 47). Vidare följer det av artikel 42 i Europeiska unionens stadga om de grundläggande rättigheterna att rätten till tillgång till handlingar, precis som rätten till skydd för den personliga integriteten, är en av unionen erkänd medborgerlig rättighet. Även dessa omständigheter måste beaktas vid tolkningen av rambeslutets bestämmelser.
Mot bakgrund av det anförda är regeringens slutsats att ett utlämnande av allmänna handlingar, som innehåller överförda personuppgifter, i enlighet med offentlighetsprincipen inte strider mot rambeslutet. I sammanhanget kan det dock noteras att ett sådant utlämnande ofta skulle hindras av det sekretesskydd som denna typ av uppgifter har genom reglerna i offentlighets- och sekretesslagen (2009:400). Dessa bestämmelser har tillkommit efter en noggrann avvägning mellan intresset av insyn i myndigheternas verksamhet och behovet av skydd för intresset av att förebygga eller beivra brott respektive behovet av skydd för den enskildes personliga integritet. Av de skäl som anges ovan föranleder rambeslutet inte något behov av ytterligare inskränkningar av allmänhetens rätt att få ta del av allmänna handlingar.
Ekobrottsmyndigheten och Säkerhets- och integritetsskyddsnämnden efterlyser en särskild bestämmelse i den nya lagen som anger att reglerna i lagen inte hindrar den personuppgiftsbehandling som krävs när allmänna handlingar lämnas ut i enlighet med offentlighetsprincipen. Enligt regeringens mening är en sådan bestämmelse onödig, eftersom det redan av den rådande normhierarkin följer att den nya lagen inte kan tillämpas i strid med grundlag. Dessutom finns i 8 § personuppgiftslagen en upplysningsbestämmelse som klargör att regleringen i lagen inte hindrar utlämnande av allmänna handlingar med stöd av 2 kap. tryckfrihetsförordningen. Denna paragraf gäller för alla de myndigheter som är aktuella i detta sammanhang, antingen på grund av uttryckliga hänvisningar i myndigheternas registerförfattningar eller på grund av att registerförfattningarna gäller utöver personuppgiftslagen. Regeringen anser därför att det saknas skäl att i den nya lagen införa en sådan bestämmelse som Ekobrottsmyndigheten och Säkerhets- och integritetsskyddsnämnden efterlyst.
Lagrådet anser att eftersom personuppgiftslagen är subsidiär till annan lag och förordning skulle den föreslagna regleringen om överföring till enskilda kunna läsas så att 8 § personuppgiftslagen inte skulle "gälla" i förhållande till den nya lagen. För att undvika detta förordar Lagrådet att det i den aktuella paragrafen införs en hänvisning till 8 § personuppgiftslagen. Regeringen har förståelse för Lagrådets synpunkter men konstaterar att den typ av bestämmelse som föreslås i den nya lagen även finns i andra författningar som inte innehåller någon hänvisning till 8 § personuppgiftslagen. En sådan hänvisning i den föreslagna lagen som Lagrådet efterfrågar skulle därför kunna ge upphov till osäkerhet om vad som gäller i de författningar där en motsvarande hänvisning saknas. En hänvisning skulle även kunna förmedla det felaktiga intrycket att det endast är 8 § och inte andra bestämmelser i personuppgiftslagen som kan komma att aktualiseras vid behandling av uppgifter enligt den nya lagen. Regeringen anser därför att någon sådan hänvisning inte bör införas men att det kan göras tydligare att bestämmelsen inte uttömmande reglerar allt utlämnande. Bestämmelsen bör i övrigt i allt väsentligt utformas i enlighet med Lagrådets förslag.
Vad gäller Kammarrätten i Sundsvalls fråga om hur villkor om användningsbegränsningar förhåller sig till meddelarfriheten bör framhållas att frågan om meddelarfrihet råder beträffande en viss uppgift är något som regleras i tryckfrihetsförordningen, yttrandefrihetsgrundlagen och offentlighets- och sekretesslagen. Eftersom frågan om meddelarfrihet inte har någon direkt anknytning till frågan om personuppgiftsbehandling finns det inget skäl att gå in på den här.
6.6.5 Ska internationella åtaganden vara ett särskilt ändamål?
Regeringens förslag: I lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet införs en generell bestämmelse om att Tullverket får behandla uppgifter för att fullgöra förpliktelser som följer av internationella åtaganden. Detta kräver vissa följdändringar i lagen.
Regeringens bedömning: Några andra lagändringar för att förtydliga att uppgifter får behandlas om det följer av internationella åtaganden behövs inte.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår inte några följdändringar i Tullverkets registerförfattning. Däremot föreslår utredningen att internationella åtaganden ska anges som ett särskilt ändamål för behandling även i Kronofogdemyndighetens, Kustbevakningens (då gällande), Skatteverkets och åklagarväsendets registerförfattningar.
Remissinstanserna: Det stora flertalet remissinstanser berör inte utredningens förslag i denna del. Tullverket välkomnar dock att den nuvarande snäva begränsningen till internationellt tullsamarbete i 7 § 3 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet ersätts med en generell bestämmelse om förpliktelser som följer av internationella åtaganden. Datainspektionen välkomnar att det i registerförfattningarna införs uttryckliga ändamålsbestämmelser som särskilt reglerar behandling av personuppgifter för internationellt samarbete och utbyte av uppgifter. Med utredningens förslag, enligt vilket personuppgifter får behandlas för att fullgöra förpliktelser som följer av internationella åtaganden, drar Datainspektionen slutsatsen att ett mer informellt informationsutbyte inte är möjligt. Datainspektionen önskar att räckvidden av de föreslagna ändamålsbestämmelserna förklaras tydligare.
Utkastet till lagrådsremiss överensstämmer med regeringens förslag och bedömning.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del, utom Datainspektionen som välkomnar förtydligandet att allt informationsutbyte måste ha stöd i en internationell överenskommelse.
Skälen för regeringens förslag och bedömning: Utredningen föreslår att det i Kronofogdemyndighetens, Kustbevakningens, Skatteverkets, Tullverkets och åklagarväsendets registerförfattningar införs bestämmelser om personuppgiftsbehandling som följer av myndigheternas internationella åtaganden. Som skäl för detta anger utredningen att det, främst med hänsyn till den enskildes integritet, är angeläget att förtydliga det som redan gäller, nämligen att myndigheterna får behandla personuppgifter som en följd av internationella åtaganden.
Som utredningen påpekar innehåller polisdatalagen (2010:361) redan en regel av denna innebörd (2 kap. 7 § 3 polisdatalagen). I 3 kap. 2 § 3 kustbevakningsdatalagen (2012:145) finns också en sådan bestämmelse. Både polisen och Kustbevakningen bedriver verksamhet som till stor del innefattar internationellt samarbete. Beträffande dessa myndigheter finns därför ett tydligt behov av att klargöra om personuppgiftsbehandling får ske för att fullgöra internationella förpliktelser. Även Tullverkets verksamhet består till stor del av internationellt samarbete. Tullverket har därför samma behov som polisen och Kustbevakningen av en tydlig regel som anger att personuppgiftsbehandling får ske för att fullgöra internationella förpliktelser. Den aktuella bestämmelsen i Tullverkets registerförfattning, 7 § 3 lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, är emellertid begränsad till uppgifter som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete. Denna begränsning innebär att bl.a. samarbete inom ramen för Tullverkets polisiära befogenheter faller utanför, eftersom lagen (2000:343) om internationellt polisiärt samarbete då tillämpas i stället (prop. 1999/2000:122 s. 28 f.). Även sådant samarbete som regleras i lagen (2000:562) om internationell rättslig hjälp i brottmål (se 2 kap. 11 § lagen om internationellt tullsamarbete) och samarbetet enligt lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar faller, med den nuvarande formuleringen, utanför. Vidare kan en internationell förpliktelse ha sin grund i annat än samarbete och även av det skälet falla utanför tillämpningsområdet för lagen om internationellt tullsamarbete (se 1 kap. 1 § nämnda lag). Eftersom Tullverkets registerförfattning gäller i stället för personuppgiftslagen och innehåller en uttömmande uppräkning av för vilka ändamål personuppgifter får behandlas, är det nödvändigt att ändra 7 § 3 lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet om informationsutbyte över gränserna ska kunna utvecklas. Tullverket välkomnar också det tydliggörande av bestämmelsen som utredningen föreslår. Regeringen instämmer således i utredningens bedömning att det i lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet bör införas en generell bestämmelse om personuppgiftsbehandling för att fullgöra internationella åtaganden.
Vissa ytterligare förändringar är nödvändiga för att ge ändringen i 7 § 3 genomslag i resten av lagen, men behovet av sådana följdändringar berörs inte av utredningen. Ändringar bör enligt regeringens mening göras i 15 § (behandling av uppgifter som har samband med internationella åtaganden), 19 § (vad som får behandlas i tullbrottsdatabasen) och 21 § (tillåtna sökningar). Anpassningar av 15 och 19 §§ bör göras genom att man ändrar hänvisningarna till tullsamarbete till hänvisningar till internationella åtaganden. I 21 § regleras vilka sökbegrepp som får användas och för vilka syften. Andra stycket föreskriver vissa undantag från begränsningarna i första stycket. Det bör framgå att första stycket inte heller gäller vid sökning som krävs för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden. Genom dessa ändringar ges uttryckligt stöd för den behandling som Tullverket kan vara förpliktat att utföra genom internationella åtaganden.
Lagrådet anser att en snävare avgränsning av den personkrets som föreslås i 15 § andra stycket lagen bör övervägas, eftersom förslaget innebär att en vidare personkrets än den som ansvarar för verksamhet enligt 7 § 3 får tillgång till överförda eller tillgängliggjorda uppgifter. Förslaget i lagrådsremissen innebär att personkretsen ändras från "personer som arbetar med tullsamarbete" till "personer som arbetar med internationella åtaganden". Inledningsvis kan noteras att 15 § redan i dag har en vidare lydelse än 7 § 3. Bestämmelserna kan dock sägas höra ihop med varandra då de båda snävar in möjligheten att behandla eller få tillgång till uppgifter för nu aktuellt syfte. Skälet till att 7 § 3 bör ändras är att den nuvarande ändamålsbestämmelsen är så snävt utformad att den inte ens täcker hela det internationella samarbete som Tullverket är förpliktat att medverka i genom bl.a. Sveriges medlemskap i EU. Syftet med den följdändring som görs i 15 § är endast att åstadkomma samma förhållande mellan 7 § 3 och 15 § som dessa bestämmelser har i dag. Personkretsen i 15 § utvidgas således inte i förhållande till 7 § 3. Regeringen anser därför inte att det finns något skäl att avgränsa personkretsen på annat sätt än vad som föreslås i lagrådsremissen.
När det gäller övriga myndigheters registerförfattningar gör regeringen en annan bedömning än utredningen. Lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet har redan kompletterats med en ändamålsbestämmelse om fullgörande av åliggande som följer av ett för Sverige bindande internationellt åtagande (2 kap. 2 §; se prop. 2011/12:15 s. 33 f.). Detsamma gäller, som nyss nämnts, Kustbevakningens registerförfattning.
Åklagarväsendets registerförfattningar och registerförfattningarna för domstolarna har formen av förordningar. Regeringen kommer att överväga om det ska införas motsvarande förändringar i dessa förordningar.
Vad beträffar Skatteverket, gör regeringen följande bedömning. Skatteverkets brottsbekämpande verksamhet är av begränsad omfattning. Utredningens förslag bygger inte på någon närmare analys av i vilken utsträckning myndigheten har ett faktiskt behov av att i sin brottsbekämpande verksamhet kunna behandla uppgifter på grund av internationella förpliktelser. Den analys som görs i betänkandet är enligt regeringens mening inte tillräcklig för att i detta sammanhang kunna läggas till grund för ändring av Skatteverkets registerförfattning. Regeringen har som tidigare nämnts (avsnitt 4.8.3) gett Skatteverket i uppdrag att se över lagen i fråga och att då bl.a. analysera verkets behov av att kunna behandla personuppgifter inom den brottsbekämpande verksamheten till följd av internationella förpliktelser.
Datainspektionen önskar att räckvidden av de ändamålsbestämmelser som föreslås ska förklaras tydligare. Datainspektionen drar av utredningens förslag slutsatsen att ett mer informellt informationsutbyte inte är möjligt. Inspektionen återkommer med samma synpunkt i remissvaret över utkastet till lagrådsremiss. Regeringens avsikt är inte att den föreslagna regleringen ska tolkas på detta sätt. För det första är inte alla internationella åtaganden formaliserade. Det stämmer alltså inte att regleringen utesluter informellt samarbete. Vilka former av samarbete som förekommer styrs inte av dataskyddsregler. Informationsutbyte kan tvärtom ske på många olika grunder och tekniska sätt. För det andra innehåller ett flertal internationella överenskommelser bestämmelser såväl om obligatoriskt som spontant informationsutbyte. Endast vissa av dessa reglerar förutsättningarna och formerna för informationsutbytet. I förarbetena till polisdatalagen (2010:361) anges som exempel på internationella åtaganden som omfattas av den lagen dels folkrättsliga förpliktelser i form av multilaterala och bilaterala överenskommelser, dels det samarbete som äger rum inom ramen för Interpol (prop. 2009/10:85 s. 109 f.). Om informationsutbytet utgör ett led i fullgörande av internationella åtaganden ger således generellt utformade ändamålsbestämmelser stöd för personuppgiftsbehandlingen även om det inte finns någon formell överenskommelse om att just den särskilda informationen får överföras.
Det förtydligande som nu föreslås i 7 § 3 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, medför en generell rätt för Tullverket att behandla personuppgifter enbart på grund av förpliktelser som följer av internationella åtaganden, oavsett om informationsutbytet avser brott eller brottslig verksamhet och oberoende av om informationsöverföringen är ett svenskt intresse eller inte. Ett exempel är det samarbete som sker med stöd av lagen om internationellt tullsamarbete. Inom ramen för det nu aktuella ändamålet kan även mer informella kontakter tas, om dessa har stöd i internationella åtaganden. Regleringen begränsar inte hur informationsutbytet får ske.
6.7 Villkor för användningen av uppgifter
6.7.1 Villkor som ställs upp av utländska organ
Regeringens förslag: Svenska myndigheter ska följa villkor som ställts upp av den som överför uppgifterna eller gör dem tillgängliga, oavsett vad som annars är föreskrivet i lag eller annan författning.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår även att villkor om att den enskilde inte får informeras om behandlingen samt att alla villkor om gallringsfrister ska regleras i lag.
Remissinstanserna: Utredningens förslag i denna del kommenteras inte av remissinstanserna, med undantag för Svea hovrätt som instämmer i bedömningen att det finns anledning att införa bestämmelser om användningsbegränsningar i den nya lagen.
Utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna: Sveriges advokatsamfund delar inte regeringens bedömning att en reglering som rör uppställda villkor för hur länge uppgifter får behandlas kan placeras i förordning, utan anser att samtliga frågor ska regleras i lag.
Skälen för regeringens förslag
Bakgrund
När en utländsk myndighet överför personuppgifter till en svensk myndighet är det inte ovanligt att den utländska myndigheten ställer upp vissa villkor för hur personuppgifterna får användas. Det kan handla om för vilka ändamål uppgifterna får användas, till vilka personer, myndigheter och organ som uppgifterna får överföras och under hur lång tid uppgifterna får bevaras etc.
Det finns flera författningar som innehåller regler om vad som gäller när en svensk myndighet erhåller uppgifter från en utländsk myndighet och det ställs villkor för hur uppgifterna får användas. Dessa författningar är bl.a. lagen (2000:343) om internationellt polisiärt samarbete, lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (2000:1174) om vissa former av internationellt samarbete i brottsutredningar och lagen (2000:1219) om internationellt tullsamarbete. Enligt alla dessa lagar är svenska myndigheter skyldiga att följa de villkor som ställs av en utländsk myndighet (eller mellanfolklig organisation) i fråga om hur lämnad information få användas, även om villkoren skulle stå i strid med svensk lagstiftning (se bl.a. JO 2007/08 s. 57 angående tilllämpningen).
Allmänna utgångspunkter för regleringen
I artikel 12.1 i rambeslutet föreskrivs en skyldighet för den överförande staten att informera mottagaren av personuppgifterna om eventuella särskilda begränsningar enligt den överförande statens lagstiftning i fråga om utbyte av personuppgifter mellan nationella myndigheter. Mottagaren är skyldig att se till att dessa begränsningar för behandling följs. Enligt artikel 12.2 får den överförande medlemsstaten inte tillämpa några andra begränsningar än de som gäller motsvarande nationella överföringar.
Utredningen föreslår att både punkt 1 och 2 ska genomföras genom en särskild bestämmelse i den nya lagen.
I dag finns det, inom det nu aktuella området, bestämmelser om att svenska myndigheter ska följa villkor som ställts upp av annan stat i 5 kap. 1 § lagen om internationell rättslig hjälp i brottmål, 3 § lagen om internationellt polisiärt samarbete, 4 kap. 2 § lagen om internationellt tullsamarbete och 5 § lagen om vissa former av internationellt samarbete i brottsutredningar. Författningarna i fråga reglerar också svenska myndigheters möjlighet att ställa villkor för användningen när svenska uppgifter överförs. Frågan är då om artikel 12 kan genomföras genom anpassning av dessa bestämmelser.
De nu aktuella författningarna reglerar i och för sig samarbete över gränserna, men gäller gentemot alla stater, alltså inte bara EU-stater. Författningarna ålägger inte heller svenska myndigheter att ställa villkor, i motsats till rambeslutet. Lagarna tillämpas dessutom bara av vissa myndigheter. Lagen om internationell rättslig hjälp i brottmål tillämpas i huvudsak av åklagarväsendet och domstolarna, medan lagen om internationellt polisiärt och straffrättsligt samarbete främst tillämpas av polisen, Tullverket och Kustbevakningen. Rambeslutet gäller generellt för uppgifter som behandlas för polisiärt eller straffrättsligt samarbete, oavsett vilken myndighet som utför behandlingen. Detta medför att t.ex. Kronofogdemyndigheten och Skatteverket, vilka normalt inte tillämpar någon av de nämnda lagarna, omfattas av rambeslutets tillämpningsområde. Vidare är lagen om internationell rättslig hjälp i brottmål begränsad till överföring som sker mellan stater, medan rambeslutet även omfattar överföring från och till EU-organ och EU-informationssystem.
Detta medför enligt regeringens mening att artikel 12 i rambeslutet bör genomföras i den nya lagen. Liksom Svea hovrätt instämmer regeringen således i utredningens bedömning att det behövs en reglering i den nya lagen av vilka användningsbegränsningar som ska gälla i fråga om uppgifter som en svensk myndighet har erhållit från en annan medlemsstat, ett EU-organ eller ett EU-informationssystem.
Regleringen bör dock utformas på annat sätt än vad utredningen har föreslagit. För det första bör det framgå av bestämmelsen att den riktar sig till svenska myndigheter. Vidare bör bestämmelsen utformas på samma sätt som bestämmelsen om lagens tillämpningsområde, dvs. den bör knyta an till verksamheterna att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder (jfr avsnitt 6.3), inte till vissa utpekade myndigheter.
Artikel 12.2 sätter gränser för vilket innehåll sådana villkor som ställs upp av den som överför personuppgifter får ha. Eftersom denna del av artikeln, såvitt gäller svenska myndigheter, handlar om vilket innehåll villkor som ställs upp av svenska myndigheter får ha, återkommer regeringen till frågan i avsnitt 6.7.2.
Villkor för hur länge uppgifterna får behandlas
Enligt artikel 9.1 i rambeslutet får den som överför eller gör en uppgift tillgänglig meddela tidsfrister för lagring av uppgifterna efter vilka mottagaren ska radera eller blockera uppgifterna, eller kontrollera om uppgifterna fortfarande behövs. Detta ska dock inte gälla om uppgifterna vid utgången av tidsfristen behövs för pågående utredning, lagföring av brott eller verkställighet av straffrättslig påföljd. Om den överförande myndigheten inte har angett någon specifik tidsfrist, ska de principer för hur länge uppgifter får behandlas som anges i artiklarna 4 och 5 tillämpas.
Utredningen föreslår att artikel 9.1 ska genomföras genom en särskild bestämmelse i den nya lagen. Av integritetsskyddsskäl anser utredningen att skyldigheten att följa av andra stater angivna frister bara ska gälla om fristen är kortare än den frist som annars skulle gälla enligt svensk lag. I övrigt bedömer utredningen att artikeln inte kräver några författningsändringar.
Regeringen instämmer i huvudsak i utredningens bedömning vad gäller behovet av att reglera villkor för hur länge uppgifter får behandlas, men anser att det till viss del kan göras i förordning. Av lagen bör framgå att en svensk myndighet - trots villkor om gallring - får fortsätta att behandla uppgifter som behövs för pågående utredning, lagföring eller verkställighet. Sveriges advokatsamfund anser att alla regler som rör villkor för hur länge uppgifter får behandlas bör placeras i lag. Gallringsregler av motsvarande slag finns i dag såväl i lag som i förordning. Enligt regeringens uppfattning bör mer detaljerade regler om hur uppställda frister ska iakttas regleras i förordning i stället för i lag, vilket regeringen avser att göra.
Villkor om att den registrerade inte ska informeras
Artikel 16, som reglerar den enskildes rätt till information om personuppgiftsbehandling rörande honom eller henne, föreskriver i punkt 2 att den som överför personuppgifter får kräva att den registrerade inte ska informeras om behandlingen. Om ett sådant villkor har ställts upp får mottagaren av de överförda uppgifterna inte informera den registrerade utan medgivande från den som överförde uppgifterna.
Utredningen föreslår att en bestämmelse om detta ska införas i den nya lagen. Remissinstanserna framför inte några invändningar mot förslaget i denna del.
Regeringen instämmer i utredningens bedömning av behovet av reglering. Enligt regeringens uppfattning är dock bestämmelsen av sådant slag att den bör regleras i förordning, vilket regeringen avser att göra.
6.7.2 Uppgifter som överförs av svenska myndigheter till en annan medlemsstat m.m.
Regeringens förslag: En svensk myndighet får, vid överföring eller tillgängliggörande av personuppgifter som omfattas av rambeslutets tillämpningsområde, ange villkor för hur personuppgifterna får användas av mottagaren. Ett sådant villkor får inte innehålla andra begränsningar än sådana som får föreskrivas vid överföring inom Sverige. Villkoren får inte heller strida mot en internationell överenskommelse som är bindande för Sverige.
Utredningens förslag överensstämmer inte med regeringens. Utredningen redovisar inget förslag om att svenska myndigheter ska kunna ställa upp villkor till skydd för personuppgifter som överförs till en annan medlemsstat i EU eller annan stat som omfattas av rambeslutets tillämpningsområde eller till ett EU-organ eller ett EU-informationssystem.
Remissinstanserna: Uppsala universitet påpekar att utredningen utan att lämna någon närmare motivering har bedömt att frågan om vilka villkor som kan ställas upp av svenska myndigheter vid överföring av data till andra stater ligger utanför utredningens uppdrag. Universitetet påpekar vidare att utredningen konstaterar att det redan i dag är möjligt att meddela användningsbegränsningar generellt, och hänvisar till prop. 2009/10:177 om genomförande av delar av Prümrådsbeslutet, utan att diskutera huruvida den befintliga regleringen skiljer sig från den reglering som utredningen föreslår. Universitetet framhåller även att frågan om vad som gäller när en svensk myndighet har erhållit uppgifter från en medlemsstat och i sin tur överför uppgifterna till en annan medlemsstat inte behandlas av utredningen.
Utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.
Skälen för regeringens förslag: Artikel 12 i rambeslutet, som ålägger den överförande staten att underrätta mottagaren om begränsningar i fråga om behandlingen av de överförda personuppgifterna, är avsedd att gälla också för svenska myndigheter. Skyldigheten att underrätta mottagaren om begränsningar som gäller är enligt regeringens mening viktig från integritetssynpunkt, eftersom den bidrar till att begränsa behandlingen av personuppgifter.
När en svensk myndighet överför uppgifter till en myndighet i en annan stat finns det ibland skäl att ange villkor som begränsar användningen av uppgifterna, t.ex. hur länge uppgifterna får användas. Samma behov kan föreligga när uppgifter överförs till ett EU-organ. Nu gällande reglering täcker, som framgår av avsnitt 6.7.1, inte rambeslutets hela tillämpningsområde. Dessutom ställer rambeslutet - i motsats till den befintliga regleringen - krav på att eventuella villkor inte får vara diskriminerande för en utländsk mottagare (artikel 12.2). Möjligheterna att ange villkor är således mer begränsade enligt rambeslutet än enligt den befintliga lagstiftningen. Av bl.a. nu angivna skäl bör den nya lagen enligt regeringens mening även reglera svenska myndigheters rätt att ange villkor.
Ett exempel på när behov av villkor kan föreligga är när materialet som överlämnas är aktuellt i en pågående svensk förundersökning. Om utredningen är i ett känsligt skede kan åklagaren vilja ha garantier för att materialet inte används på ett sätt som kan skada utredningen, dvs. att den förundersökningssekretess som gäller ska respekteras av mottagaren. Ett annat exempel är att handlingar som ett svenskt företag åläggs eller är berett att förete innehåller affärshemligheter, för vilka sekretess gäller enligt svensk rätt och vilkas röjande skulle kunna skada företaget. I sådana fall bör villkor ställas upp för att skydda den till vars skydd sekretessen gäller. Ett tredje exempel är när material överlämnas som inhämtats genom hemlig avlyssning av elektronisk kommunikation eller hemlig kameraövervakning. Enligt svenska regler ska sådant material förstöras senast när domen vunnit laga kraft. Om material av det slaget överlämnas finns det skäl att ställa villkor om att det ska förstöras när det rättsliga förfarandet är avslutat i den andra staten.
Rambeslutet föreskriver att villkor som ställts vid överföring till en utländsk mottagare inte får innehålla andra begränsningar än sådana som gäller vid motsvarande nationella överföringar. Detta får förstås så att det inte är tillåtet att ställa upp andra villkor än sådana som finns i det svenska regelsystemet om bl.a. sekretess och gallring. Denna begränsning bör för tydlighetens skull framgå direkt av lagen. Villkoren får givetvis inte heller stå i strid med Sveriges internationella åtaganden. Så kan t.ex. vara fallet om informationen härrör från tredjeland och det gäller särskilda villkor för svenska myndigheters rätt att använda informationen i fråga. I sådana fall torde det, även om överföringen godtas av ursprungsstaten, stå i strid med åtagandet att inte ställa upp samma villkor i förhållande till den nya mottagaren.
Lagrådet framför uppfattningen att frågan om användningsbegränsningar och den praktiska hanteringen av dem kan vara värda en grundligare analys och närmare överväganden, men att det aktuella lagstiftningsärendet inte är den naturliga platsen för det. Regeringen delar Lagrådets uppfattning att principiella frågor om användningsbegränsningar inte bör behandlas i detta sammanhang.
6.8 Behandling av känsliga personuppgifter
Regeringens bedömning: Några lagstiftningsåtgärder bör inte vidtas med anledning av rambeslutets bestämmelser om behandling av känsliga personuppgifter.
Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår att regleringen om behandling av känsliga personuppgifter i myndigheternas registerförfattningar görs enhetlig, vilket utredningen betecknar som enbart en språklig justering. Den formulering utredningen föreslår ska väljas är att behandling av känsliga personuppgifter får ske endast om den är absolut nödvändig.
Remissinstanserna: Flertalet remissinstanser har inga invändningar mot utredningens förslag i denna del. Svea hovrätt avstyrker dock de föreslagna ändringarna i registerförfattningarna när det gäller införandet av ordet "absolut" och anser att ordet "absolut" framför ordet "nödvändigt" inte behövs för att svensk rätt ska uppfylla kraven i dataskyddsrambeslutet. Domstolsverket avstyrker också den generella ändring som föreslås i domstolarnas registerförordningar när det gäller behandling av känsliga personuppgifter. Verket påpekar att ändringen från "nödvändigt" till "absolut nödvändigt" synes innebära en skärpning som även kommer att träffa uppgifter som inte omfattas av dataskyddsrambeslutet. Skatteverket framhåller att känsliga personuppgifter som inkommer till samverkande brottsbekämpande myndigheter bör kunna behandlas på likartat sätt hos dessa myndigheter, eftersom det kan vara förenat med praktiska svårigheter om reglerna skiljer sig åt eller är otydliga. Skatteverket anser därför att de brottsbekämpande enheterna hos verket ska ha samma förutsättningar att behandla känsliga personuppgifter som polis och åklagare och att lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar bör ändras i detta avseende. Göteborgs tingsrätt efterlyser ett klargörande av huruvida den föreslagna ändringen av 7 § andra stycket förordningen (2001:639) om registerföring m.m. vid de allmänna domstolarna med hjälp av automatiserad behandling innebär en skärpning av när känsliga personuppgifter får behandlas vid handläggningen av mål. Tingsrätten ifrågasätter också om den skärpning som föreslås när det gäller hanteringen av känsliga personuppgifter är nödvändig för att Sverige ska leva upp till bestämmelserna i dataskyddsrambeslutet. Uppsala universitet anser att det är bra att språkliga justeringar görs för att få till stånd en enhetlig terminologi i de skilda registerförfattningarna som överensstämmer med rambeslutets krav (oundgängligen nödvändigt ändras till absolut nödvändigt). Universitetet delar utredningens bedömning att detta medför en förstärkning av integritetsskyddet. Förslaget att ändra nödvändigt till absolut nödvändigt, får däremot anses innebära mer än enbart en språklig justering. Ändringen medför en skärpning av reglerna, och kan även leda till att rutiner behöver ändras hos myndigheterna. Universitetet anser också att det är en brist att utredningen inte tydligt redovisar vilka bestämmelser i svensk lagstiftning som kan anses uppfylla kravet i dataskyddsrambeslutet på att känsliga personuppgifter bara får behandlas om den nationella lagstiftningen ställer upp tillräckliga skyddsåtgärder.
Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.
Skälen för regeringens bedömning
Inget behov av ändringar
Artikel 6 i rambeslutet innehåller regler om hur s.k. känsliga personuppgifter får behandlas. Som känsliga personuppgifter räknas uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Enligt artikel 6 får sådana uppgifter bara behandlas när det är absolut nödvändigt och om det i den nationella lagstiftningen tillhandahålls tillräckliga och adekvata skyddsåtgärder.
Utredningen bedömer att några ändringar inte behöver göras i personuppgiftslagen med anledning av rambeslutets bestämmelser om känsliga personuppgifter. Utredningen föreslår däremot att regleringen i myndigheternas registerförfattningar görs enhetlig så att det i alla registerförfattningar uppställs samma krav, nämligen krav på att behandlingen ska vara "absolut nödvändig" för att känsliga personuppgifter ska få behandlas.
I all lagstiftning om behandling av personuppgifter har behandling av känsliga personuppgifter getts en särställning. Enligt 13 § personuppgiftslagen (1998:204) är det i princip förbjudet att behandla känsliga personuppgifter utan enskildas samtycke. Definitionen av vad som är känsliga personuppgifter är densamma i personuppgiftslagen som i rambeslutet. Om sådana uppgifter måste behandlas i offentlig verksamhet utan samtycke, behövs det särskilda och avvikande bestämmelser för i vilka fall detta får göras. De olika registerförfattningar som gäller för nu aktuella verksamhetsområden innehåller särskilda regler om behandling av känsliga personuppgifter. I vissa av författningarna föreskrivs att om personuppgifter om en person behandlas på annan grund så får känsliga personuppgifter behandlas om det är nödvändigt för syftet med behandlingen. I andra registerförfattningar föreskrivs att känsliga uppgifter i motsvarande situation får behandlas endast om det är oundgängligen eller absolut nödvändigt. Registerförfattningarna för domstolarna anger att känsliga personuppgifter får behandlas om de behövs för handläggningen av målet eller ärendet, medan 2 kap. 10 § polisdatalagen och 2 kap. 7 § kustbevakningsdatalagen är generellt formulerade och föreskriver att känsliga personuppgifter får behandlas om det är "absolut nödvändigt".
Några remissinstanser, däribland Uppsala universitet och Göteborgs tingsrätt, ifrågasätter om inte en ändring från "nödvändig" till "absolut nödvändig" i vissa författningar innebär en skärpning. Uppsala universitet anser att de föreslagna ändringarna är bra eftersom de medför en enhetlig terminologi, medan Göteborgs tingsrätt ifrågasätter om den föreslagna ändringen är nödvändig för att uppfylla kraven i rambeslutet.
Som framgår av redogörelsen ovan är bestämmelserna om behandling av känsliga personuppgifter formulerade på något olika sätt i registerförfattningarna. Gemensamt för dem alla är dock att de är avsedda att ge ett extra starkt skydd för känsliga personuppgifter. Den fråga som först måste besvaras är om rambeslutet kräver en ändring av befintliga bestämmelser om känsliga personuppgifter för att artikel 6 i rambeslutet ska vara uppfylld. Regeringen anser att så inte är fallet. Unionsrätten kräver inte att rambeslut införlivas ordagrant i nationell rätt utan enbart att ändamålet med regleringen uppfylls. Vissa registerförfattningar använder inte exakt samma formulering som rambeslutet utan föreskriver att känsliga personuppgifter får behandlas om det är "nödvändigt" i stället för om det är "absolut nödvändigt". Även om inte rambeslutets exakta formulering används, framgår det tydligt av författningarna att behandling av känsliga personuppgifter aldrig får ske om det inte finns tillräckliga sakliga skäl som gör behandlingen nödvändig i det enskilda fallet. Härtill kommer att flera av bestämmelserna i registerförfattningarna ställer upp som extra krav att behandling inte får ske enbart på grundval av känsliga personuppgifter. Enligt regeringens mening uppfyller därför svensk rätt redan i dag kraven i artikel 6, en uppfattning som delas av Svea hovrätt och Göteborgs tingsrätt. Eftersom såväl domstolarnas som åklagarväsendets registerförfattningar är föremål för översyn finns det inte någon anledning att inom ramen för detta lagstiftningsärende genomföra ändringar som enbart syftar till att skapa en enhetlig reglering. De av utredningen föreslagna justeringarna av vissa paragrafer som reglerar behandlingen av känsliga personuppgifter bör därför enligt regeringens mening inte genomföras.
I sammanhanget bör också framhållas att EU-kommissionen nyligen har lagt fram ett förslag till dataskyddsreform som, om det antas, kommer att kräva en översyn av nu aktuella registerförfattningar. Även om regeringen har förståelse för Uppsala universitets synpunkt att det är en fördel med ett enhetligt språkbruk i registerförfattningarna bör således den frågan lösas i ett större sammanhang.
Uppsala universitet har också efterlyst en redovisning av vilka bestämmelser i svensk lagstiftning som kan anses uppfylla dataskyddsrambeslutets krav på att känsliga personuppgifter bara får behandlas om den nationella lagstiftningen ställer upp tillräckliga skyddsåtgärder. Regeringen vill i detta sammanhang framhålla att kravet på tillräckliga skyddsåtgärder i den nationella lagstiftningen avser regelsystemet i stort. I en stat som saknar ett tillfredsställande regelsystem för behandling av personuppgifter ska det alltså inte vara tillåtet att behandla känsliga personuppgifter, även om det i det enskilda fallet kan vara nödvändigt. Sverige har med personuppgiftslagen och de omkring 200 registerförfattningarna ett väl utvecklat system för skydd av personuppgifter, där känsliga personuppgifter har ett särskilt starkt skydd. Exempel på regler i detta system som bidrar till skydd är bl.a. regler om sökbegränsningar och åtkomstbegränsningar, krav på loggning samt gallringsregler.
Användningen av begreppet ras
Enligt artikel 6 räknas som känslig personuppgift bl.a. "uppgifter som avslöjar ras eller etniskt ursprung". Användningen av begreppet ras i bl.a. dataskyddsförfattningar har varit föremål för diskussioner i olika sammanhang.
Enligt EU:s officiella ståndpunkt (EGT C 152, 27.05.1996, s. 57) bo¨r begreppet ras undvikas i alla offentliga texter. Ståndpunkten har dock inte iakttagits konsekvent i de av EU antagna rättsakterna. Direktivet mot etnisk diskriminering (direktiv 2000/43/EG av den 29 juni 2000 om genomförandet av principen om likabehandling av personer oavsett deras ras eller etniska ursprung) omfattar t.ex. diskrimineringsgrunderna ras och etniskt ursprung. Begreppet ras används också i artikel 21 i Europeiska unionens stadga om de grundläggande rättigheterna, som blev rättsligt bindande i samband med att Lissabonfördraget undertecknades.
Riksdagen har uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och ur biologisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor. Användningen av ordet ras i författningstexter riskerar enligt riksdagen att underblåsa fördomar. Riksdagen har dock, med anledning av ett krav i en motion, konstaterat att den inte har möjlighet att besluta att ordet ska utmönstras ur all lagstiftning, eftersom det så gott som uteslutande används i författningar som grundas på internationella överenskommelser eller författningar som genomför EU-direktiv (bet. 1997/98:KU29 s. 7). I förarbetena till diskrimineringslagen (2008:567) bedömde regeringen att betänkandet inte gav tillräckligt stöd för att ta bort begreppet ras ur alla författningar (prop. 2007/08:95 s. 120). Regeringen ansåg emellertid att bruket av begreppet i lagtext skulle kunna ge legitimitet åt rasistiska föreställningar och kunna befästa ras som en existerande kategori. Det ansågs därför inte önskvärt att använda begreppet i diskrimineringslagen. I propositionen En reformerad grundlag (prop. 2009/10:80) föreslog regeringen att begreppet ras skulle utmönstras ur regeringsformen. Riksdagen antog förslaget (bet. 2009/10:KU19, rskr. 2009/10:304.). I regeringsformen används i stället uttrycket "etniskt ursprung, hudfärg eller annat liknande förhållande" (2 kap. 12 och 24 §§ regeringsformen). Med "annat liknande förhållande" avses främst sådana föreställningar om ras som omfattades av tidigare reglering (prop. 2009/10:80 s. 152).
Eftersom unionsrätten inte kräver att ett direktiv eller rambeslut införlivas ordagrant i nationell rätt utan bara att ändamålet med regleringen uppfylls, finns det inte något hinder mot att utmönstra begreppet ras ur dataskyddsregleringen, om det ersätts med något annat begrepp som har samma innebörd. Regeringen anser dock att det inte är lämpligt att, utan särskild utredning, i detta lagstiftningsärende utmönstra ordet ras endast i vissa registerförfattningar och därmed rubba den vedertagna beskrivningen av känsliga personuppgifter som finns bl.a. i 13 § personuppgiftslagen. Regeringen har dock för avsikt att i ett annat sammanhang se över frågan huruvida ordet ras bör utmönstras ur all lagstiftning (jfr prop. 2011/12:45 s. 94).
6.9 Rätten till information
Regeringens bedömning: Rambeslutets bestämmelser om enskildas rätt till information kräver inte några ändringar eller kompletteringar av lagar.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna yttrar sig inte över förslaget i denna del.
Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.
Skälen för regeringens bedömning: Artikel 16 i rambeslutet innehåller bestämmelser om den registrerades rätt till information vid personuppgiftsbehandling rörande henne eller honom. Artikel 16.2, som reglerar villkor om att någon information inte ska lämnas till den registrerade, behandlas i avsnitt 6.7.1. Enligt artikel 16.1 ska medlemsstaterna se till att den registrerade informeras i enlighet med nationell lagstiftning när personuppgifter samlas in eller behandlas. Av skäl 27 framgår att de närmare villkoren för den registrerades rätt att bli informerad ska fastställas i nationell lagstiftning. Där framgår vidare att den information som avses kan lämnas på ett generellt sätt, t.ex. genom lagstiftning eller genom offentliggörande av en förteckning över olika typer av uppgiftsbehandling.
Enligt artikel 17 har den registrerade rätt att på begäran åtminstone få bekräftat av den registeransvarige eller den nationella tillsynsmyndigheten om uppgifter rörande honom eller henne har överförts eller gjorts tillgängliga och i så fall till vilka mottagare eller mottagarkategorier (artikel 17.1.a), eller en bekräftelse från tillsynsmyndigheten att alla nödvändiga kontroller har utförts (artikel 17.1.b).
I svensk rätt finns bestämmelser om rätt för den registrerade att få information om personuppgiftsbehandling i 23-27 §§ personuppgiftslagen, där motsvarande bestämmelser i dataskyddsdirektivet har genomförts. I nämnda bestämmelser anges när information ska lämnas självmant av den som behandlar personuppgifterna, när information ska lämnas efter ansökan av den registrerade, vilken typ av uppgifter som omfattas av informationsskyldigheten och när undantag kan göras från informationsskyldigheten.
Utredningen anser att i den mån 23-27 §§ personuppgiftslagen är tilllämpliga hos de berörda myndigheterna, så kräver artiklarna i rambeslutet om information till den registrerade inte någon lagstiftningsåtgärd.
Regeringen instämmer i utredningens bedömning. Artikel 16.1 motsvaras av 23-25 §§ personuppgiftslagen. Dessa paragrafer innehåller fler krav och mer detaljerade bestämmelser beträffande den personuppgiftsansvariges skyldighet att lämna information än artikel 16.1 i rambeslutet. Artikel 17.1 i rambeslutet motsvaras av 26 § personuppgiftslagen som ställer mer långtgående krav på vilken information som ska lämnas. Om det finns särskild reglering gäller inte 24 § personuppgiftslagen, som ålägger den personuppgiftsansvarige att självmant informera den registrerade om behandling som sker när uppgifter har samlats in från någon annan än den registrerade. Sådan särskild reglering finns i myndigheternas registerförfattningar. Paragraferna 23, 25 och 26 §§ personuppgiftslagen är tillämpliga beträffande de myndigheter som berörs av rambeslutet, antingen genom uttryckliga hänvisningar i registerförfattningarna eller genom att de registerförfattningar som gäller utöver personuppgiftslagen saknar motsvarande bestämmelser. Svensk rätt uppfyller därför mer än väl kraven i artikel 16.1 och 17.1 rambeslutet. Några lagstiftningsåtgärder är därför inte nödvändiga i dessa delar.
Artikel 17.2 i rambeslutet, som anger för vilka syften undantag får göras från reglerna om den registrerades rätt till information, berörs inte av utredningen. Artikeln föreskriver att medlemsstaterna får anta lagstiftning som begränsar tillgången till information enligt artikel 17.1 om begränsningen är nödvändig för att
a) hindra obstruktion mot officiella eller rättsliga utredningar, förundersökningar eller förfaranden,
b) inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,
c) skydda allmän säkerhet,
d) skydda nationell säkerhet, eller
e) skydda den registrerades eller andra personers fri- och rättigheter.
Frågan är om de regler som enligt svensk lagstiftning ger möjlighet att göra undantag från skyldigheten att informera den registrerade, är förenliga med artikel 17.2.
I 27 § personuppgiftslagen föreskrivs att 23-26 §§ samma lag, som reglerar rätten till information, inte gäller om det i lag eller annan författning, eller i beslut som har meddelats med stöd av författning, är föreskrivet att uppgifter inte får lämnas ut till den registrerade. I förarbetena till 27 § personuppgiftslagen sägs bl.a. att bestämmelser om sekretess och tystnadsplikt får anses vara uppställda till skydd för sådana fri- och rättigheter som avses i dataskyddsdirektivet (prop. 1997/98:44 s. 84 f.).
Enligt 8 a § personuppgiftslagen, som bygger på artikel 13 i dataskyddsdirektivet, får regeringen meddela föreskrifter om undantag bl.a. från bestämmelserna om rätt till information, om det är nödvändigt med hänsyn till
a) rikets säkerhet,
b) försvaret,
c) allmän säkerhet,
d) förebyggande, undersökning eller avslöjande av brott eller av överträdelse av etiska regler som gäller för lagreglerade yrken,
e) åtal för brott,
f) ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen,
g) myndighetsutövning som avser tillsyn, inspektion eller reglering i fråga om sådant som nämns i c-f, eller
h) skyddet av fri- och rättigheter.
Undantagsgrunderna i 8 a och 27 §§ personuppgiftslagen motsvarar i allt väsentligt de undantagsgrunder som anges i artikel 17.2 rambeslutet. Enligt regeringens mening uppfyller således svensk rätt kraven i artikeln.
Utöver registerförfattningarna för de olika myndigheterna och personuppgiftslagen, finns det ett antal författningar som innehåller särskilda bestämmelser för vissa register. Dessa är bl.a. lagen (1998:620) om belastningsregister och lagen (1998:621) om misstankeregister med tillhörande förordningar, förordningen (1997:902) om register över strafföreläggande och förordningen (1998:903) om register över förelägganden av ordningsbot. Även lagen (2000:344) om Schengens informationssystem kan räknas till denna kategori. Lagen om belastningsregister innehåller detaljerade bestämmelser om den enskildes rätt till information om personuppgiftsbehandling i registret, som uppfyller rambeslutets bestämmelser. Lagen om misstankeregister innehåller också särskilda bestämmelser om den enskildes rätt till information, men rätten till information är enligt denna författning mer begränsad än motsvarande rätt enligt personuppgiftslagen. Skälet till begränsningarna är att information om misstankar skulle kunna skada den brottsbekämpande verksamheten, ett skäl som överensstämmer med de i artikel 17.2 i rambeslutet angivna undantagen. De övriga författningarna innehåller inga särskilda bestämmelser om rätt till information. I stället är bestämmelserna i personuppgiftslagen tillämpliga. Som angetts tidigare bedömer regeringen att detta innebär att svensk rätt väl uppfyller kraven i rambeslutet och att det inte finns något behov av lagstiftningsåtgärder när det gäller nu aktuella författningar.
Artikel 17.3 i rambeslutet föreskriver att en vägran att lämna information till den enskilde enligt huvudregeln ska vara skriftlig och innehålla skälen för vägran. Om vägran att lämna information grundas på något av undantagen i artikel 17 behöver några skäl inte anges. Den registrerade ska underrättas om möjligheten att överklaga till den nationella tillsynsmyndigheten, en rättslig myndighet eller till domstol. Bestämmelserna i artikel 17.3 i rambeslutet kräver inte några lagstiftningsåtgärder. Regeringen återkommer i avsnitt 6.11 till rätten att överklaga en myndighets beslut om information.
6.10 Skadestånd, rättelse och sanktioner
6.10.1 Skadestånd
Regeringens förslag: Bestämmelsen om jämkning av skadestånd i 48 § andra stycket personuppgiftslagen ska inte tillämpas på uppgifter som omfattas av den nya lagen.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen berör inte frågan om regleringen i 48 § personuppgiftslagen är förenlig med artikel 19.2 i rambeslutet.
Remissinstanserna yttrar sig inte över förslaget i denna del.
Utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.
Skälen för regeringens förslag
Skadestånd
Enligt artikel 19.1 i rambeslutet ska var och en som lidit skada till följd av en otillåten personuppgiftsbehandling ha rätt till ersättning av den registeransvarige, eller av en annan myndighet, för den skada han eller hon har lidit. Det är inte möjligt att undgå skadeståndsansvar genom att åberopa att behandlingen avser uppgifter som har överförts från annat land och som var felaktiga redan vid överföringen. Däremot kan den skadeståndsskyldige ha rätt till regressvis ersättning från den som överförde de felaktiga uppgifterna.
Utredningen anser att artikeln inte kräver några ändringar eller tillägg i svensk rätt, med undantag för förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över förelägganden av ordningsbot. I fråga om dessa författningar föreslår utredningen att de kompletteras med hänvisningar till 48 § personuppgiftslagen. Som stöd för bedömningen åberopar utredningen regleringen i 48 § personuppgiftslagen. I 48 § personuppgiftslagen föreskrivs att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat.
Regeringen delar utredningens bedömning att 48 § personuppgiftslagen uppfyller kraven i artikel 19.1 i rambeslutet. Eftersom registerförfattningarna för de myndigheter som är berörda av dataskyddsrambeslutet innehåller hänvisningar till personuppgiftslagens skadeståndsbestämmelser uppfyller svensk lagstiftning rambeslutets krav i denna del. Förordningen om register över strafförelägganden och förordningen om register över förelägganden av ordningsbot, som saknar hänvisningar till personuppgiftslagens bestämmelse om skadestånd, bör som utredningen föreslår kompletteras med sådana hänvisningar. Regeringen avser att vidta dessa förordningsändringar.
Enligt 48 § andra stycket personuppgiftslagen kan ersättningsskyldigheten jämkas i den utsträckning det är skäligt, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Någon motsvarande möjlighet till jämkning av uppkommen skadeståndsskyldighet finns inte enligt dataskyddsrambeslutet. Tvärtom anges i artikel 19.2 att det inte går att undkomma skadeståndsansvar genom att åberopa att felet fanns redan när uppgiften i fråga överfördes. Frågan om jämkningsregeln i 48 § andra stycket personuppgiftslagen är förenlig med rambeslutet diskuterades i propositionen om godkännande av dataskyddsrambeslutet. Där sägs bl.a. att den omständigheten att en myndighet har möjlighet att göra gällande regressansvar mot en utländsk myndighet regelmässigt torde medföra att jämkning inte kommer i fråga (prop. 2008/09:16 s. 56). I propositionen framhölls dock att frågan om den svenska regleringen är förenlig med rambeslutet borde utredas närmare. Utredningen anser - utan någon närmare analys - att det inte finns skäl att ändra reglerna om jämkning av skadestånd.
Regeringen anser att jämkningsmöjligheten i 48 § andra stycket personuppgiftslagen inte är förenlig med artikel 19.2 i rambeslutet. Mot den bakgrunden bör det i den nya lagen föreskrivas att 48 § andra stycket personuppgiftslagen inte gäller för uppgifter som har överförts vid sådant polisiärt eller straffrättsligt samarbete som rambeslutet omfattar. En hänvisning till den bestämmelsen bör införas i lagen (1998:620) om belastningsregister, eftersom avvikande regler i den lagen har företräde framför den nya lagen.
Regressrätt mellan stater
Det andra ledet i artikel 19.2 i rambeslutet reglerar möjligheten till regressrätt mellan stater när skadeståndsansvar har uppkommit på grund av en uppgift som var felaktig redan vid överföringen från en annan stat. Regeringen framhöll i propositionen om godkännande av dataskyddsrambeslutet att staternas regressanspråk är att se som ett folkrättsligt åtagande som inte kräver några lagstiftningsåtgärder, men att det kan finnas anledning att i ett lämpligt sammanhang överväga en reglering av formerna för handläggningen av sådana regresskrav. Utredningen lämnar inget förslag i frågan under hänvisning till att den bör ses över i ett större sammanhang.
Regeringen instämmer i utredningens bedömning.
6.10.2 Rättelse
Regeringens bedömning: Rambeslutets bestämmelser om rättelse kräver inga lagändringar.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna yttrar sig inte över betänkandet i denna del.
Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.
Skälen för regeringens bedömning: Artikel 4 i rambeslutet föreskriver som huvudregel att personuppgifter ska rättas om de är felaktiga och raderas eller avidentifieras när de inte längre behövs. I stället för att radera personuppgifterna ska dessa blockeras om det finns skälig grund att anta att en radering skulle kunna påverka den registrerades legitima intressen. När det gäller personuppgifter som ingår i ett domstolsbeslut eller akten i samband med utfärdande av ett rättsligt beslut görs i artikel 4.4 undantag från dessa regler. Då ska i stället rättelse, radering eller blockering ske i enlighet med de nationella reglerna om rättsliga förfaranden. I artikel 8 föreskrivs att de behöriga myndigheterna ska vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Om det visar sig att felaktiga uppgifter har överförts eller att uppgifter har överförts olovligen ska mottagaren omedelbart underrättas om detta. Enligt artikel 18 ska medlemsstaterna fastställa hur den registrerade ska kunna göra anspråk på rätten till rättelse, kontroll av kvaliteten och gallring.
Utredningen anser att artiklarna 4, 8 och 18 inte kräver några ändringar eller tillägg i svensk rätt. Regeringen delar i huvudsak denna bedömning. I 9 § personuppgiftslagen ställs bl.a. krav på att den personuppgiftsansvarige vidtar alla rimliga åtgärder för att rätta, blockera eller utplåna felaktiga eller ofullständiga uppgifter (9 § första stycket h) och ser till att de uppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen (9 § första stycket e) samt att uppgifterna är riktiga och, om det är nödvändigt, aktuella (9 § första stycket g). Härutöver föreskrivs i 28 § personuppgiftslagen att den registrerade har rätt att kräva att den personuppgiftsansvarige agerar i dessa avseenden, t.ex. vidtar rättelse. Personuppgiftslagen innehåller således bestämmelser som till stor del uppfyller kraven enligt artiklarna 4, 8 och 18 i rambeslutet.
I ett avseende saknar dock personuppgiftslagen reglering som motsvarar den som finns i artikel 8. Det handlar om den del av artikeln som föreskriver att mottagaren omedelbart ska underrättas om det visar sig att felaktiga uppgifter har överförts eller att uppgifter har överförts olovligen. Utredningen lämnar inte något förslag i denna del. Enligt regeringens mening är detta en regel som kräver genomförande för att rambeslutet ska anses vara uppfyllt, men regleringen kan göras på förordningsnivå. Regeringen avser att genomföra den förordningsreglering som krävs.
Regleringen i 28 § personuppgiftslagen omfattar i och för sig även behandling av personuppgifter som överförts eller gjorts tillgängliga av utländska myndigheter eller EU-organ. Paragrafen gäller dock enligt sin ordalydelse bara när personuppgifter har behandlats i strid med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av personuppgiftslagen. Detta innebär att personuppgiftsbehandling i strid med bestämmelser i särskilda registerförfattningar inte omfattas av bestämmelsen om rättelse i 28 § personuppgiftslagen, om inte registerförfattningen genom en hänvisning uttryckligen anger att 28 § personuppgiftslagen ska gälla (prop. 1997/98:136 s. 78 och 97). Registerförfattningarna för de myndigheter som framförallt berörs av rambeslutet, polisen, åklagarväsendet, Tullverket, Kustbevakningen, Kronofogdemyndigheten, Skatteverket, Kriminalvården och domstolarna, innehåller bestämmelser med denna innebörd. Svensk rätt uppfyller därför artiklarna 4, 8 och 18 i rambeslutet såvitt gäller berörda myndigheters registerförfattningar.
Däremot saknar förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över förelägganden av ordningsbot hänvisningar till personuppgiftslagens bestämmelse om rättelse. Dessa författningar innehåller inte heller några särskilda regler om rättelse. För att svensk rätt fullt ut ska leva upp till dataskyddsrambeslutets artikel 18 bör nämnda förordningar förses med bestämmelser om rättelse. Regeringen avser att genomföra dessa förordningsändringar.
6.10.3 Sanktioner
Regeringens bedömning: Rambeslutets regler om sanktioner kräver inga lagstiftningsåtgärder.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna yttrar sig inte över betänkandet i denna del.
Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.
Skälen för regeringens bedömning: Enligt artikel 24 i rambeslutet ska medlemsstaterna föreskriva effektiva, proportionella och avskräckande påföljder för överträdelse av bestämmelser som antagits i enlighet med rambeslutet. I skäl 30 anges bl.a. att det ankommer på varje medlemsstat att själv fastställa vilka påföljder som ska tillämpas vid överträdelse av de nationella dataskyddsbestämmelserna.
Utredningen bedömer att artikel 24 inte kräver några ändringar eller tillägg i svensk rätt. Som skäl för bedömningen hänvisar utredningen till tidigare bedömningar av samma fråga.
Regeringen delar utredningens bedömning. Frågor om sanktioner för brott mot dataskyddsbestämmelser har diskuterats dels vid genomförandet av dataskyddsdirektivet (prop. 1997/98:44 s. 108), dels vid genomförandet av rådets beslut 2007/533 av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), prop. 2009/10:86 s. 53 f, dels inför godkännandet av rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott (prop. 2007/08:132 s. 17). I dessa sammanhang konstaterade regeringen att straffbestämmelserna i brottsbalken om dataintrång, tjänstefel och brott mot tystnadsplikt är tillräckliga för att uppfylla de krav på sanktioner som har ställts. Regeringen gör ingen annan bedömning i detta fall. Artikel 24 i rambeslutet kräver således inte några lagstiftningsåtgärder.
6.11 Överklagande
Regeringens bedömning: Rambeslutets bestämmelser om överklagande kräver inte några lagstiftningsåtgärder.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna yttrar sig inte över betänkandet i denna del.
Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.
Skälen för regeringens bedömning: Enligt artikel 20 i rambeslutet ska den registrerade ha rätt att inför domstol föra talan mot kränkningar av sådana rättigheter som skyddas av den tillämpliga nationella lagstiftningen.
I 52 § första stycket personuppgiftslagen anges att beslut om information, rättelse och vissa andra beslut får överklagas hos allmän förvaltningsdomstol. I registerförfattningarna har frågan om rätt att överklaga en myndighets beslut rörande myndighetens personuppgiftsbehandling hanterats på olika sätt. Polisdatalagen och kustbevakningsdatalagen föreskriver att 52 § första stycket personuppgiftslagen ska gälla vid personuppgiftsbehandling enligt dessa lagar. Kronofogdemyndighetens, Kriminalvårdens och Tullverkets registerförfattningar föreskriver att myndighetens beslut om rättelse och om information som ska lämnas enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol. Registerförfattningen för åklagarväsendet innehåller en hänvisning till förvaltningslagens (1986:223) bestämmelser om överklagande hos allmän förvaltningsdomstol. Beträffande domstolarna föreskrivs att beslut om rättelse eller om att inte lämna information får överklagas. Dessa registerförfattningar innehåller hänvisningar till 33 § förvaltningsprocesslagen (1971:291) för beslut av domstol. Nu nämnda författningar innehåller således redan regler som uppfyller kraven i rambeslutet.
I 17 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar föreskrivs att Skatteverkets beslut om rättelse får överklagas hos allmän förvaltningsdomstol. Bestämmelsen reglerar således enbart överklagande av beslut om rättelse, men inte beslut om att inte lämna ut information. Utredningen gör bedömningen att det trots detta inte finns någon anledning att föreslå något tillägg i paragrafen och anger som skäl för bedömningen att personuppgiftslagen gäller utöver Skatteverkets registerförfattning.
Regeringen instämmer i bedömningen att det inte finns något behov av att ändra bestämmelsen om överklagande i lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. Visserligen skulle den aktuella bestämmelsen kunna betraktas som en specialreglering som gäller i stället för 52 § personuppgiftslagen. Vid antagandet av lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar uttalades dock att när det gäller andra beslut rörande personuppgiftsbehandling än beslut om rättelse, ska personuppgiftslagens regler om överklagande gälla (prop. 1998/99:34 s. 56 f.). Vid den tidpunkten fanns det inga särskilda regler om överklagande av beslut av personuppgiftsansvarig i personuppgiftslagen. Numera finns dock en sådan bestämmelse i 52 § personuppgiftslagen. Mot denna bakgrund är det enligt regeringens mening inte nödvändigt att införa en bestämmelse om rätt att överklaga beslut om att inte lämna ut information i lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.
6.12 Överföring av personuppgifter till tredjeland
Regeringens förslag: Personuppgifter får föras över till tredjeland eller ett internationellt organ endast om
- den som överfört eller gjort uppgifterna tillgängliga för svensk myndighet medgett att de överförs,
- det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
- mottagaren har ansvar för sådan verksamhet, och
- den stat där den mottagande myndigheten eller det mottagande internationella organet finns har en adekvat skyddsnivå för den avsedda personuppgiftsbehandlingen.
Om det generella kravet på adekvat skyddsnivå inte är uppfyllt, kan uppgifter ändå få överföras i ett enskilt fall om överföringen är motiverad av ett berättigat intresse hos den som uppgifterna avser eller av ett särskilt viktigt allmänt intresse, eller om mottagaren tillhandahåller tillräckliga skyddsåtgärder i det enskilda fallet.
Om medgivande på grund av tidsbrist inte kan utverkas i förväg, får överföring ändå ske om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller en annan medlemsstat i EU.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att överföring ska få ske utan medgivande endast om det är absolut nödvändigt. Utredningen föreslår ingen reglering av möjligheterna att överföra uppgifter till tredjeland eller internationellt organ om det inte finns en adekvat skyddsnivå och inte heller någon reglering av underrättelse till den som överfört eller gjort en personuppgift tillgänglig, vid vidareöverföring till tredjeland eller internationellt organ.
Remissinstanserna framför inga synpunkter på förslaget i denna del.
Utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.
Remissinstanserna: Lunds universitet anser att den föreslagna lydelsen av 7 § lämnar ett betydande utrymme för myndighetsskön och saknar den precision som är en förutsättning för en rättssäker tillämpning med tillräcklig förutsebarhet för de involverade personerna. Sveriges advokatsamfund menar att det ur ett integritetsskyddsperspektiv inte framstår som lämpligt med en så generellt utformad undantagsbestämmelse som den föreslagna bestämmelsen i 7 § andra stycket. Samfundet menar också att det av rättssäkerhetsskäl inte är acceptabelt att utan närmare precisering i lag överlämna till rättstillämpningen att avgöra vilka situationer som ska kunna medföra avsteg från krav på adekvat skyddsnivå för överföring av personuppgifter. Samfundet delar vidare utredningens uppfattning om att det inte finns skäl att införa bestämmelsen i artikel 13.3 i den nya lagen och ansluter sig därför till det förslag som lagts fram av utredningen.
Skälen för regeringens förslag: Enligt artikel 13.1 gäller särskilda regler för när personuppgifter, som har erhållits i enlighet med rambeslutet, överförs till ett tredjeland eller till ett internationellt organ. En sådan överföring får göras bara om den stat från vilken uppgifterna har erhållits har gett samtycke till överföringen, överföringen är nödvändig för att förebygga, utreda, upptäcka eller lagföra brott eller för verkställighet av en straffrättslig påföljd och om mottagaren har ansvar för sådan verksamhet, samt det finns en adekvat skyddsnivå för databehandling i den stat i vilken mottagande myndighet eller mottagande internationellt organ finns. För att det ska vara tillåtet att föra över uppgifter eller göra dessa tillgängliga måste samtliga dessa villkor som huvudregel vara uppfyllda.
Enligt artikel 13.2 finns dock möjlighet att överföra personuppgifter utan ett medgivande i förväg. Enligt artikeln krävs då att överföringen är absolut nödvändig, antingen för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller en tredjestat eller för att tillgodose en medlemsstats väsentliga intressen samt att ett förhandsmedgivande inte hinner utverkas i tid. Om överföring sker utan medgivande ska enligt artikel 13.2 sista meningen den myndighet, vars medgivande till överföring krävs, underrättas utan dröjsmål.
Utredningen föreslår att artikel 13 ska genomföras genom en bestämmelse i den nya lagen. Utredningens förslag innehåller dock ingen reglering som motsvarar artikel 13.2 sista meningen.
Regeringen instämmer i utredningens bedömning att artikel 13 bör genomföras genom en bestämmelse i den nya lagen. Regleringen bör dock utformas på ett något annorlunda sätt än vad utredningen föreslår. Det bör framgå av bestämmelsen att den riktar sig till berörda svenska myndigheter. Regeringen anser vidare att det är tillräckligt att bestämmelsen anger att överföring i en akut situation får ske utan medgivande om det är nödvändigt för de i rambeslutet angivna syftena. Bestämmelsen bör också formuleras på motsvarande sätt som regleringen av lagens tillämpningsområde (förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, jfr vad som sägs i avsnitt 6.4.1). Slutligen bör det även finnas en regel om att den som överfört eller gjort en personuppgift tillgänglig ska underrättas om överföringen så snart som möjligt. Det sistnämnda kan dock regleras i förordning.
Artikel 13.3 i rambeslutet innehåller en möjlighet till undantag från kravet på adekvat skyddsnivå. Personuppgifter får i vissa fall överföras trots att kravet på adekvat skyddsnivå inte är uppfyllt. Detta gäller om
a) den nationella lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta på grund av
i) den registrerades legitima specifika intressen, eller
ii) legitima faktiska intressen, främst viktiga allmänna intressen,
eller
b) om tredje staten eller mottagande internationella organ sörjer för skyddsåtgärder som av den berörda medlemsstaten bedöms som adekvata i enlighet med dennas nationella lagstiftning.
I artikel 13.4 anges vilka faktorer som ska beaktas vid bedömningen av om mottagaren har en adekvat skyddsnivå. Dessa faktorer behöver enligt regeringens mening inte återspeglas i lagtexten.
Utredningen berör inte denna del av artikel 13 på annat sätt än att det anges att det inte finns skäl att reglera ytterligare delar av artikel 13. Sveriges advokatsamfund delar utredningens uppfattning på denna punkt.
Enligt regeringens mening är det av stor vikt att det regleras vad som gäller i de fall där ett visst tredjeland eller ett internationellt organ inte generellt kan anses ha en adekvat skyddsnivå, men där det i det enskilda fallet är angeläget att, trots detta, kunna föra över vissa uppgifter. Ett exempel på när bestämmelsen kan vara tillämplig är om en misstänkt har överlämnats till Sverige enligt den europeiska arresteringsordern och denne lyckas fly från lagföring eller verkställighet av straff och kan antas befinna sig i tredjeland från vilket svenska myndigheter begär denne utlämnad. Ett annat exempel är att svenska myndigheter fått uppgifter från en annan EU-stat om att en misstänkt terrorist befinner sig här i landet och att denne identifieras först när han begett sig till tredjeland. Av bestämmelsen om överföring till tredjeland eller internationellt organ bör därför framgå att personuppgifter ska kunna överföras i ett enskilt fall också om ett berättigat intresse hos den som uppgifterna avser eller ett särskilt viktigt allmänt intresse föranleder det, eller om den mottagande staten eller det internationella organet i det enskilda fallet tillhandahåller tillräckliga skyddsåtgärder.
Sveriges advokatsamfund menar vidare att bestämmelsen i den föreslagna 7 § andra stycket är för oprecis och generellt utformad. Lunds universitet framför liknande synpunkter. Regeringen delar inte denna uppfattning. Det handlar om en begränsad mottagarkrets där endast vissa typer av mottagare ingår. Detta underlättar bedömningen av vilken skyddsnivå som kommer att gälla för uppgifter som överförs. Mot denna bakgrund är den föreslagna preciseringsnivån tillräcklig. Regeringen anser dock att det bör tydliggöras att kravet på en adekvat skyddsnivå avser mottagande stat.
6.13 Överföring av personuppgifter till enskilda
Regeringens förslag: Personuppgifter får föras över till enskilda om
- den som fört över eller gjort uppgifterna tillgängliga har medgett att de förs över,
- överföringen är nödvändig för att
a) myndigheten ska kunna fullgöra en författningsenlig uppgift,
b) förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
c) avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller
d) förhindra att enskildas rättigheter allvarligt kränks, och
- inga berättigade intressen hos den som uppgifterna avser hindrar att de förs över.
Det sagda ska dock inte gälla i fråga om uppgifter som lämnas till enskilda vid handläggning av brottmål.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen bedömer att det inte är nödvändigt att göra undantag för parter i brottmål. Utredningen föreslår även att regleringen ska begränsas till att gälla överföring till privat part i annan medlemsstat.
Remissinstanserna: Flertalet av remissinstanserna framför inga synpunkter på förslaget i denna del. Ekobrottsmyndigheten anser att benämningen part inte bör användas i regleringen och att de undantag som anges i skäl 18 i rambeslutet, dvs. att privata parter i brottmål inte omfattas, bör komma till uttryck i lagen. Datainspektionen anser att avsikten med artikel 14 är att generellt förhindra att uppgifter som härrör från en medlemsstat lämnas ut till privata parter (dvs. varken till den mottagande staten eller till andra medlemsstater) utan att den överförande staten ges tillfälle att samtycka till detta. Utredningen föreslår att det i lagen om användningsbegränsningar införs en bestämmelse som begränsar överföring av uppgifter till en privat part i en annan medlemsstat än Sverige. Det kan enligt Datainspektionens mening ifrågasättas om den formulering som utredningen valt för att genomföra artikel 14 är förenlig med rambeslutets intentioner.
Utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.
Skälen för regeringens förslag: Enligt artikel 14 i rambeslutet får personuppgifter som överförts från eller gjorts tillgängliga av en behörig myndighet i en annan medlemsstat, eller som annars omfattas av rambeslutets tillämpningsområde, överföras till enskilda ("privata parter") endast under vissa förutsättningar. För att överföring av sådana uppgifter ska få ske till enskilda krävs att
a) den medlemsstat från vilken uppgifterna erhållits har samtyckt till överföringen,
b) inga legitima intressen för den registrerade personen hindrar överföringen, och
c) överföringen är absolut nödvändig för att den som överför uppgifterna till en enskild ska kunna
i) utföra en lagenlig uppgift,
ii) förebygga, utreda, avslöja eller lagföra brott eller verkställa
straffrättsliga påföljder,
iii) avvärja en omedelbar och allvarlig fara för den allmänna
säkerheten, eller
iv) förhindra att enskilda personers rättigheter lider allvarlig skada.
I artikel 14 föreskrivs vidare att den som överför uppgifterna till en privat part ska underrätta mottagaren om vilka ändamål uppgifterna uteslutande får användas för.
Utredningen föreslår att den paragraf som genomför artikel 14 ska vara tillämplig endast när uppgifter som har överförts eller gjort tillgängliga av en annan medlemsstat inom EU förs över till enskild person i en annan medlemsstat.
Flertalet av remissinstanserna framför inte några invändningar mot utredningens förslag i denna del. Ekobrottsmyndigheten menar dock att de undantag som anges i skälen till rambeslutet bör komma till uttryck i lagbestämmelsen. Datainspektionen ifrågasätter om utredningens förslag är förenligt med rambeslutets intentioner.
Regeringen delar utredningens åsikt att artikel 14 behöver genomföras i den nya lagen. Regeringen anser dock att artikeln sätter gränser för överföring till enskilda, oavsett om dessa befinner sig i Sverige eller i någon annan medlemsstat. Detta överensstämmer också med Datainspektionens tolkning. Regleringen bör därför vara generell.
Bestämmelsen bör också i övrigt formuleras på ett något annorlunda sätt än vad utredningen föreslår. Det bör framgå av bestämmelsen att den riktar sig till berörda svenska myndigheter och den bör utformas på liknande sätt som regeln om överföring till tredjeland och internationella organ (se avsnitt 6.12).
Artikel 14 handlar enligt sin ordalydelse om privata parter (i den engelska versionen "private parties"). Utredningen föreslår samma formulering. Enligt regeringens mening leder begreppet parter tanken till parter i ett avtalsförhållande eller i ett rättegångsförfarande. Det är emellertid inte vad som åsyftas i artikel 14. Enligt regeringens mening bör regleringen i denna del i stället avse överföringar som sker till enskilda. Detta är också - i motsats till "privat part" - ett vedertaget begrepp i svensk lagstiftning.
Av skäl 18 framgår att rambeslutets bestämmelser om överföring av information till privata parter inte omfattar personuppgifter som lämnas från domstolar, polisen eller tullmyndighet till privata parter i brottmål. Som exempel på sådana nämns försvarsadvokater och brottsoffer. Utredningen gör bedömningen att detta är en självklar förutsättning i svensk rätt och att det därför inte är nödvändigt att ta in en bestämmelse av den innebörden i den nya lagen. Ekobrottsmyndigheten anser att undantaget bör komma till uttryck i den nya lagen.
Även om begreppet privat part byts ut mot begreppet enskild kan den nya bestämmelsens ordalydelse tolkas som att den begränsar möjligheterna att lämna ut uppgifter till exempelvis parter och ombud i brottmålsrättegångar. Regeringen instämmer därför i Ekobrottsmyndighetens bedömning att det uttryckligen bör framgå av lagen att reglerna om överföring till enskild inte hindrar utlämnande till bl.a. målsägande och försvarare i brottmål.
Som nämns ovan (avsnitt 6.6.4) ska artikel 14 inte tolkas så att den förhindrar ett utlämnande av överförda uppgifter med stöd av offentlighetsprincipen. Den typ av uppgifter som avses i rambeslutet är dock som regel sekretessreglerade genom bestämmelserna i 18 kap. och 35 kap. offentlighets- och sekretesslagen.
I likhet med vad som sägs angående artikel 13 anser regeringen att den bestämmelse som genomför artikel 14 blir tillräckligt tydlig även om den inte förstärks genom begreppet absolut. Det är således enligt regeringens mening tillräckligt att bestämmelsen anger att överföring får ske om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, avvärja en omedelbar och allvarlig fara för den allmänna säkerheten eller andra liknande skäl.
Lagrådet anser att ett av villkoren i bestämmelsen om överföring till enskilda bör utformas på ett något annorlunda sätt än i lagrådsremissen. Lagrådet menar att det bör framgå att överföringen är nödvändig för att myndigheten ska kunna fullgöra en författningsreglerad skyldighet. Med en sådan formulering snävas bestämmelsen in. I den svenska översättningen talas om en uppgift som myndigheten "lagenligen tilldelats" och i den engelska versionen om "a task lawfully assigned". Villkoret bör alltså även täcka sådana uppgifter som en myndighet kan utföra utan att vara direkt specificerade som skyldigheter i en författning. Uttrycket "författningsreglerad skyldighet" blir enligt regeringens mening snävare än vad som är avsett. Däremot anser regeringen att den i lagrådsremissen använda formuleringen bör ändras så att villkoret omfattar "författningsreglerad uppgift". I övrigt bör bestämmelsen utformas i enlighet med Lagrådets förslag.
6.14 Dataskyddsbestämmelser i tidigare antagna rättsakter
Regeringens förslag: Från lagens tillämpningsområde undantas sådant informationsutbyte som regleras i vissa tidigare EU-rättsakter där det redan införts svenska regler om dataskydd.
Utredningens förslag överensstämmer inte med regeringens. Utredningen föreslår att artikel 28, som reglerar rambeslutets förhållande till tidigare antagna EU-rättsakter, ska genomföras genom en övergångsbestämmelse till den nya lagen.
Remissinstanserna: Flertalet remissinstanserna berör inte denna fråga. Svea hovrätt påpekar dock att det i betänkandet inte redogörs för vilka rättsakter som är aktuella eller hur tillämparen ska ta reda på detta.
Utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna: Datainspektionen instämmer i regeringens bedömning att det är nödvändigt med ett undantag för sådana särskilda bestämmelser som avser dataskydd inom ramen för informationsutbyte enligt SIS, TIS, Prümrådsbeslutet och VIS, mot bakgrund av artikel 28 i rambeslutet. Inspektionen påpekar att artikel 28 anger att om sådana rättsakter innehåller särskilda villkor, ska dessa ha företräde framför rambeslutet. Enligt inspektionen bör undantaget i den föreslagna lagen på motsvarande sätt knyta an till om det finns särskilda dataskyddsbestämmelser i regleringen av SIS m.m. och den föreslagna bestämmelsen i 3 § andra stycket därför formuleras så att den anger att lagen inte gäller i den mån det finns särskilda dataskyddsbestämmelser i regleringen av informationsutbyte genom SIS, TIS m.m.
Skälen för regeringens förslag
Allmänna utgångspunkter
Enligt artikel 28 ska sådana EU-rättsakter som reglerar utbyte av personuppgifter mellan medlemsstaterna eller tillgång till EU-informationssystem - och som har antagits före rambeslutets ikraftträdande - ha företräde framför bestämmelserna i dataskyddsrambeslutet i de delar de förstnämnda innehåller särskilda villkor för hur mottagaren får använda uppgifterna.
Skäl 39 och 40 i rambeslutet förtydligar innehållet i artikeln. I skäl 39 framhålls att flera tidigare antagna EU-rättsakter innehåller särskilda bestämmelser om skydd av personuppgifter som överförs eller på något annat sätt behandlas i enlighet med rättsakterna. I några fall utgör dessa bestämmelser en komplett uppsättning regler som omfattar alla relevanta aspekter av dataskydd och som reglerar dessa frågor mer detaljerat än rambeslutet. Dataskyddsbestämmelserna i dessa rättsakter, särskilt de som reglerar funktionssättet för Europol, Eurojust, Schengens informationssystem (SIS) och tullinformationssystemet (TIS) samt de rättsakter genom vilka medlemsstaternas myndigheter ges direkt tillgång till vissa datasystem i andra medlemsstater, bör enligt skäl 39 inte påverkas av rambeslutet. Detsamma gäller de dataskyddsbestämmelser som reglerar automatisk överföring av DNA-profiler, fingeravtrycksuppgifter och uppgifter ur nationella fordonsregister i enlighet med det s.k. Prümrådsbeslutet.
Enligt skäl 40 är i andra fall räckvidden för dataskyddsbestämmelserna i olika äldre EU-rättsakter mer begränsad. Ofta fastställs det i dessa rättsakter särskilda villkor för vilka ändamål som en medlemsstat som tar emot personuppgifter får använda uppgifterna, medan det beträffande övriga dataskyddsaspekter hänvisas till dataskyddskonventionen eller till nationell lagstiftning. I den mån det i bestämmelserna i dessa rättsakter fastställs villkor för användning eller vidareöverföring av personuppgifter som är strängare än villkoren i rambeslutet, ska de förstnämnda inte heller påverkas. I alla övriga avseenden ska de regler som fastställs i rambeslutet gälla.
Utredningen föreslår att regleringen i artikel 28 ska genomföras i form av en övergångsbestämmelse till den nya lagen.
Som Svea hovrätt påpekar redogör utredningen inte för vilka rättsakter som skulle kunna omfattas av den föreslagna övergångsbestämmelsen. Detta framgår inte heller av den föreslagna övergångsbestämmelsen.
Rättsakter inom den f.d. tredje pelaren är inte direkt tillämpliga i medlemsstaterna, utan ska vid behov genomföras i nationell lagstiftning. Redan av det skälet är det inte möjligt att utforma regleringen på det sätt som utredningen föreslår. Den fråga som aktualiseras är således på vilket sätt de aktuella rättsakterna har genomförts i svensk rätt och vilka eventuella lagstiftningsåtgärder som krävs för att klarlägga förhållandet mellan den föreslagna nya lagen och redan genomförda regleringar.
De EU-rättsakter som har antagits före rambeslutets ikraftträdande och som inom det aktuella området reglerar utbyte av personuppgifter mellan medlemsstaterna eller tillgång till EU-informationssystem kan något förenklat delas in i sådana som har direkt betydelse för svenska myndigheter och som har genomförts (eller planeras genomföras) i svensk lagstiftning och sådana som endast rör EU:s organ eller interna arbete och som inte har medfört några lagstiftningsåtgärder i Sverige.
EU-rättsakter som har genomförts eller ska genomföras i svensk lagstiftning
De EU-rättsakter, antagna före rambeslutets ikraftträdande, som har genomförts eller ska genomföras i svensk lagstiftning och som reglerar utbyte av personuppgifter mellan medlemsstaterna eller tillgång till EU-informationssystem inom det aktuella området, dvs. rättsakter om polisiärt och straffrättsligt samarbete inom EU, är följande (underlaget till redovisningen är hämtat från kommissionens material rörande den nya dataskyddsreformen, se Impact assessment on the reform of personal data protection in the EU, Annex III).
1. Konventionen av den 19 juni 1990 om tillämpning av Schengenavtalet av den 14 juni 1985 mellan regeringarna i Beneluxstaterna, Tyskland och Frankrike om det gradvisa avskaffandet av kontroller vid de gemensamma gränserna (EUT L 239, 22.9.2000, s. 19; se prop. 1999/2000:61 s. 144 f. och prop. 1999/2000:64 s. 158 f.).
2. Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) (EUT L 205, 7.8.2007, s. 63; se prop. 2009/10:86). Beslutet har genomförts men lagändringarna börjar gälla först den dag regeringen bestämmer, eftersom systemet ännu inte tagits i drift. Rådets beslut 2005/211/RIF av den 24 februari 2005 om införande av ett antal nya funktioner för Schengens informationssystem, bland annat i kampen mot terrorism (EUT L 68, 15.3.2005, s. 44). Beslutet genomfördes inte på grund av det arbete som kommissionen sedermera inledde med SIS II (se prop. 2006/07:37 s. 5).
3. Konventionen upprättad på grundval av artikel K 3 i fördraget om Europeiska unionen om ömsesidigt bistånd och samarbete mellan tullförvaltningar (EUT C 24, 23.1.1998, s. 2). Konventionen reglerar sådana uppgifter som utväxlas utanför tullinformationssystemet (TIS). För en närmare redogörelse se prop. 1999/2000:122 s. 45 f.
4. Rådets akt av den 29 maj 2000 om att i enlighet med artikel 34 i Fördraget om Europeiska unionen upprätta konventionen om ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlemsstater (EUT C 197, 12.7.2000, s. 1; se prop. 1999/2000:61 och prop. 2004/05:144).
5. Rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna (EUT L 190, 18.7.2002, s. 1; prop. 2003/04:7). Regleringen innehåller inga bestämmelser om dataskydd, varför dataskyddsrambeslutets bestämmelser ska tillämpas.
6. Rådets beslut 2002/187/RIF av den 28 februari 2002 om inrättande av Eurojust för att stärka kampen mot grov brottslighet (EUT L 63, 6.3.2002, s. 1; prop. 2001/02:86).
7. Det s.k. Prümrådsbeslutet, rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (EUT L 210, 6.8.2008, s. 1; prop. 2009/10:177 och prop. 2010/11:129).
Rådets beslut 2008/616/RIF av den 23 juni 2008 om genomförande av beslut 2008/615/RIF om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (EUT L 210, 6.8.2008, s. 12), fastställer endast de nödvändiga administrativa och tekniska bestämmelserna för genomförandet av Prümrådsbeslutet och har därför inte föranlett någon lagstiftning.
8. Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater (EUT L 386, 29.12.2006, s. 89). Rambeslutet har genomförts genom förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen. Förordningen är även tillämplig på informationsutbyte enligt rådets beslut 2007/845/RIF av den 6 december 2007 om samarbete mellan medlemsstaternas kontor för återvinning av tillgångar när det gäller att spåra och identifiera vinning eller annan egendom som härrör från brott (EUT L 332, 18.12.2007, s. 103).
9. Rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott (EUT L 218, 13.8.2008, s. 129). Arbetet med att genomföra rådsbeslutet i svensk rätt pågår (se Ds 2011:27 angående förslag till genomförande).
De nu aktuella EU-rättsakterna har i huvudsak genomförts i följande författningar:
- lagen och förordningen om internationell rättslig hjälp i brottmål,
- lagen och förordningen om internationellt polisiärt samarbete,
- lagen och förordningen om Schengens informationssystem,
- lagen och förordningen om vissa former av internationellt samarbete i brottsutredningar, och
- lagen och förordningen om internationellt tullsamarbete.
Dessa författningar innehåller, som tidigare redovisats, framför allt dataskyddsbestämmelser i form av bestämmelser om användningsbegränsningar. Lagen om internationellt polisiärt samarbete och lagen om Schengens informationssystem innehåller vissa ytterligare dataskyddsbestämmelser i form av bl.a. ändamålsbegränsningar och gallringsregler.
EU-rättsakter som inte har krävt svensk lagstiftning
Följande EU-rättsakter har antagits före dataskyddsrambeslutet, men har inte krävt någon svensk lagstiftning.
1. Rådets beslut av den 17 oktober 2000 om inrättande av ett sekretariat för de gemensamma tillsynsorgan för dataskydd som bildades genom konventionen om upprättandet av en europeisk polisbyrå; Europolkonventionen, konventionen om användning av informationsteknologi för tulländamål och konventionen om tillämpning av Schengenavtalet om det gradvisa avskaffandet av kontroller vid de gemensamma gränserna; Schengenkonventionen (EUT L 271, 24.10.2000, s. 1).
2. Rådets beslut av den 17 oktober 2000 om en samarbetsordning för medlemsstaternas finansunderrättelseenheter avseende utbyte av information (EUT L 271, 24.10.2000, s. 4).
3. Rådets beslut 2009/426/RIF av den 16 december 2008 om förstärkning av Eurojust och om ändring av beslut 2002/187/RIF om inrättande av Eurojust för att stärka kampen mot grov brottslighet (EUT L 138, 4.6.2009, s. 14).
Slutsatser
För sådana äldre EU-rättsakter som inte innehåller några dataskyddsbestämmelser alls, exempelvis rambeslutet om en europeisk arresteringsorder, kommer den nya lagen att vara tillämplig.
De tidigare antagna EU-rättsakter som är av den arten att de enligt rambeslutet ska ha företräde framför rambeslutet har, med något enstaka undantag, genomförts i svensk rätt. De speciella dataskyddsregler som dessa rättsakter har gett upphov till förutsätts i dataskyddsrambeslutet kunna fortsätta att tillämpas, om de ingår i ett genomtänkt system för dataskydd. I rambeslutet nämns särskilt informationsutbyte genom Europol, Eurojust, SIS och TIS samt Prümrådsbeslutet.
När det gäller informationsutbyte genom SIS, TIS och Prümrådsbeslutet har det införts dataskyddsbestämmelser i svensk rätt. Något skäl att ändra dessa regler med anledning av dataskyddsrambeslutet finns enligt regeringens mening inte. Däremot krävs det att det i den nya lagen anges att den inte ska tillämpas på informationsutbyte som sker genom SIS eller TIS eller med stöd av Prümrådsbeslutet.
Rådsbeslutet om åtkomst till informationssystemet för viseringar (VIS), som är ett EU-informationssystem, innehåller också särskilda dataskyddsregler. Rådsbeslutet har ännu inte börjat tillämpas. Arbetet med att genomföra rådsbeslutet i svensk rätt pågår och det finns därför skäl att redan nu anpassa den nya lagen till regleringen i denna EU-rättsakt. Av skäl 9 i VIS-rådsbeslutet framgår att man tänkte sig att dataskyddsrambeslutet skulle komma att göras tillämpligt på uppgiftsutbyte med stöd av rådsbeslutet. VIS-rådsbeslutet innehåller emellertid en sådan uppsättning regler om dataskydd som åsyftas i skäl 39. De specifika regler som krävs för att genomföra den EU-rättsakten kan svårligen förenas med den generella reglering som nu föreslås. Regeringen anser därför att uppgiftsutbyte med stöd av VIS-rådsbeslutet bör undantas från den nya lagens tillämpningsområde.
Om man bortser från informationsutbytet via SIS - som enligt regeringens förslag ska undantas från lagens tillämpningsområde - finns det inte några dataskyddsbestämmelser för informationsutbyte med Europol och Eurojust utöver de generella reglerna i lagen om internationellt polisiärt samarbete och lagen om internationell rättslig hjälp i brottmål. Både Europol och Eurojust är numera EU-myndigheter. Den nya lagen bör gälla för informationsutbyte med dessa EU-organ.
Datainspektionen anser att undantagen i den nya lagen inte bör gälla generellt för informationsutbyte genom SIS, TIS etc., utan endast i den mån det finns särskilda dataskyddsbestämmelser i den reglering som avser sådant informationsutbyte. Även om en sådan lösning i teorin vore att föredra, skulle den enligt regeringens mening leda till en ännu mer komplex lagstiftning. Regleringen av nämnda informationsutbyten har byggts upp utifrån vissa särskilda dataskyddsregler som kompletteras av de vanliga dataskyddsreglerna. Ett fullgott skydd finns således redan när det gäller dessa informationsutbyten. Med hänsyn härtill och då dataskyddsrambeslutet inte ställer krav på att alla dataskyddsregler ska samlas i en och samma reglering, anser regeringen att den valda lösningen är lämpligare.
Lagrådet föreslår att bestämmelsen om undantag för informationsutbyte som regleras i tidigare antagna EU-rättsakter formuleras annorlunda än i lagrådsremissen. Regeringen delar Lagrådets uppfattning att det tydligare bör framgå att undantaget inte bara omfattar det initiala informationsutbytet utan också den efterföljande behandlingen av sådana uppgifter. Eftersom undantagen bör tillämpas även på uppgifter som en svensk myndighet överför eller gör tillgängliga bör bestämmelsen dock utformas något annorlunda än vad Lagrådet föreslår. Lagrådets förslag till skrivning angående de enskilda punkterna innebär att undantaget i fråga om visst informationsutbyte (punkterna 3 och 4) blir missvisande och att regleringen i fråga om punkt 1 snävas in på ett sätt som inte är avsett. Regeringen anser därför att Lagrådets förslag inte bör följas i denna del.
6.15 Avtal med tredjeland
Regeringens bedömning: Rambeslutets bestämmelse om förhållandet till avtal med tredjeland kräver inte några lagstiftningsåtgärder.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna yttrar sig inte över betänkandet i denna del.
Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.
Skälen för regeringens bedömning: Enligt artikel 26 ska rambeslutet inte påverka medlemsstaternas eller unionens skyldigheter och åtaganden enligt de bilaterala eller multilaterala avtal med tredje stater som förelåg när rambeslutet antogs. När sådana avtal tillämpas ska överföringen till en tredje stat av personuppgifter som har erhållits från en annan medlemsstat genomföras med respekt för innehållet i artikel 13.1 och 13.2.
Utredningen bedömer att artikeln inte kräver någon lagstiftningsåtgärd. Samma bedömning gjordes i godkännandepropositionen. Regeringen instämmer i bedömningen. Att ingen lagstiftningsåtgärd vidtas får till följd att den nya lagen ska tillämpas när det blir fråga om att föra över uppgifter som omfattas av lagen till ett tredjeland. Detta skulle visserligen i undantagsfall kunna resultera i en situation där ett äldre avtal med ett tredjeland ålägger en svensk myndighet att överföra en viss uppgift som kommer från en annan EU-stat eller ett EU-informationssystem, och där den nya lagen föreskriver att uppgiften inte får överföras på grund av att den stat varifrån uppgiften ursprungligen kommer inte medger överföring till det tredjelandet, eller på grund av att mottagaren inte anses ha en adekvat skyddsnivå. Eftersom äldre avtal sannolikt inte ger samma dataskydd som den nya lagen anser regeringen dock att det rimligt att lagen görs tillämplig i sådana situationer. Rambeslutet hindrar, som tidigare nämnts, inte en sådan lösning.
6.16 Förhållandet mellan den nya lagen och myndigheternas registerförfattningar
Regeringens förslag: Hänvisningar till den nya lagen införs i myndigheternas registerförfattningar och i berörda författningar som reglerar vissa särskilda register. Hänvisningarna klargör i förekommande fall vilken lagstiftning som har företräde.
Utredningens förslag överensstämmer delvis med regeringens. Utredningens förslag anger inte i vilken utsträckning den nya lagen har företräde framför befintliga författningar om personuppgiftsbehandling. Utredningen föreslår inte heller någon hänvisning i lagen (2000:343) om internationellt polisiärt samarbete.
Remissinstanserna: Ingen av remissinstanserna har invändningar mot utredningens förslag i denna del.
Utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.
Skälen för regeringens förslag: Personuppgiftslagen (1998:204) är tillämplig på all behandling av personuppgifter, om det inte finns avvikande regler i någon annan författning. Sådana avvikande regler finns för de aktuella myndigheterna i deras respektive registerförfattningar och i vissa andra författningar som reglerar särskilda register. Den lag som nu föreslås innehåller bestämmelser som i sin tur delvis avviker från registerförfattningarna.
Det bör enligt utredningen införas hänvisningar till den nya lagen i myndigheternas registerförfattningar och i vissa av de lagar som behandlar särskilda register inom lagens tillämpningsområde. Utredningen föreslår att hänvisningar ska göras i form av rena upplysningsbestämmelser. Regeringen instämmer i utredningens bedömning av behovet av hänvisningar. Regeringen anser dock dels att hänvisningarna bör utformas på ett annat sätt än vad utredningen föreslår, dels att ytterligare hänvisningar krävs. Regeringen bedömer vidare, av de skäl som anges i avsnitt 6.14, att det inte ska göras någon hänvisning till den nya lagen i lagen om Schengens informationssystem.
Hänvisningarna i myndigheternas registerförfattningar bör utformas så att det framgår huruvida den nya lagen har företräde framför myndighetens registerförfattning, i den mån den nya lagen innehåller bestämmelser som avviker från registerförfattningen. En sådan reglering underlättar för tillämparen.
Som framgår i avsnitt 6.4.1 kan undantagsvis även vissa andra myndigheter än de som primärt berörs komma att bli skyldiga att tillämpa den nya lagen. Regeringen gör bedömningen att det inte är möjligt att förutse alla de situationer i vilka en myndighet teoretiskt sett skulle kunna få uppgifter som omfattas av lagens tillämpningsområde. Så som det polisiära och straffrättsliga samarbetet inom EU är uppbyggt kommer emellertid informationsutbytet att äga rum mellan de svenska myndigheter vilkas registerförfattningar föreslås ändrade, medan de andra myndigheter som eventuellt kan komma att få uppgifter, får dem vidarebefordrade till sig från någon av de förstnämnda myndigheterna. Det märkningssystem som nämns i avsnitt 6.18 kommer då att fungera som en påminnelse om att den nya lagen ska tillämpas på uppgifterna. Mot den bakgrunden finner regeringen inte skäl att föreslå hänvisningar till den nya lagen i några andra registerförfattningar för myndigheter än de som utredningen föreslagit.
I lagen (1998:621) om misstankeregister och lagen (2010:362) om polisens allmänna spaningsregister bör det införas hänvisningar som klargör att den nya lagen har företräde framför respektive registerförfattning, i den mån den nya lagen innehåller bestämmelser som avviker från registerförfattningen.
Riksdagen har antagit förslagen i propositionen Utbyte av uppgifter ur kriminalregister mellan EU:s medlemsstater (prop. 2011/12:163, bet. 2012/13:JuU4, rskr. 2012/13:59) att det i lagen (1998:620) om belastningsregister ska införas särskilda dataskyddsbestämmelser. Ändringarna är ett led i genomförandet av rådets beslut 2009/316/RIF av den 6 april 2009 om inrättande av det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister och uppgifternas innehåll. Eftersom dessa särbestämmelser bl.a. innehåller för denna rättsakt specifika ändamålsbestämmelser, bör de ha företräde framför bestämmelserna i den nya lagen. Detta bör framgå av hänvisningen i lagen om belastningsregister.
Lagen (2000:343) om internationellt polisiärt samarbete, som innehåller generella regler om samarbete inkluderande informationsutbyte, bör fortsätta att gälla vid sidan av den nya lagen. I 3 och 3 a §§ lagen om internationellt polisiärt samarbete finns det bestämmelser om användningsbegränsningar. Regeringens förslag till ny lag innehåller också bestämmelser om användningsbegränsningar, vilket leder till en viss överlappande reglering. Eftersom det är fråga om bestämmelser som dels till stor del är likalydande, dels är till skydd för enskildas integritet bör det enligt regeringens mening inte uppstå några tillämpningsproblem.
Hänvisningar till den nya lagen bör också införas i de myndigheters registerförfattningar som har formen av förordning och i de förordningar som reglerar behandling av personuppgifter i vissa register. Regeringen avser att genomföra dessa förordningsändringar senare.
Lagrådet anser att de bestämmelser som beskriver förhållandet mellan personuppgiftslagen och lagen om misstankeregister respektive lagen om belastningsregister bör utformas annorlunda än i lagrådsremissen och föreslår en formulering som efterliknar 2 § personuppgiftslagen. Den av Lagrådet föreslagna formuleringen hänvisar emellertid till avvikande bestämmelser i samma lag, medan de avvikande bestämmelser i dessa fall även finns i annan lag. Den i lagrådsremissen använda formuleringen för att beskriva förhållandet mellan en registerförfattning och personuppgiftslagen förekommer dessutom i närmare 20-talet författningar och får därför anses vara vedertagen. Enligt regeringens bedömning bör därför den föreslagna hänvisningen behållas.
6.17 Ändring i offentlighets- och sekretesslagen
Regeringens förslag: I offentlighets- och sekretesslagen införs en hänvisning till den nya lagen.
Utredningen lämnar inget förslag i denna del.
Remissinstanserna: Några remissinstanser, bl.a. Åklagarmyndigheten och Kammarrätten i Sundsvall, anser att 9 kap. 2 § offentlighets- och sekretesslagen bör kompletteras med en hänvisning till den nya lagen.
Utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.
Skälen för regeringens förslag: I prop. 2008/09:16 anförde regeringen att frågan om rambeslutet kräver en mer omfattande sekretessreglering än den som gäller i dag bör analyseras vidare i det fortsatta lagstiftningsarbetet (prop. s. 39). Utredningen anser att det inte finns något skäl att ändra offentlighets- och sekretesslagen (2009:400), men anger inga skäl för denna bedömning.
Den nya lagen innebär inte någon begränsning i enskildas rätt enligt tryckfrihetsförordningen att ta del av eller använda sig av allmänna handlingar, jfr. avsnitt 6.6.4.
När det gäller frågan om en myndighets möjligheter att lämna uppgifter som omfattas av lagen till en annan myndighet är läget ett annat på grund av rambeslutets bestämmelse om villkor om användningsbegränsningar. Rambeslutets reglering om användningsbegränsningar, som föreslås införas genom en bestämmelse i den nya lagen (se avsnitt 6.7), är tvingande. I 9 kap. 2 § offentlighets- och sekretesslagen finns hänvisningar till bestämmelser som begränsar möjligheten att använda uppgifter som en svensk myndighet har fått från en annan stat. Regeringen anser, i likhet med de remissinstanser som har uttalat sig i frågan, att 9 kap. 2 § offentlighets- och sekretesslagen bör kompletteras med en hänvisning till den nya lagen.
De uppgifter som den nya lagen kommer att tillämpas på omfattas i stor utsträckning av bestämmelserna om sekretess till skydd för intresset av att förebygga eller beivra brott i 18 kap. och bestämmelserna om sekretess till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott m.m. i 35 kap. offentlighets- och sekretesslagen. Trots att sekretessbestämmelserna gäller även mellan myndigheter, kan sekretessen brytas genom sekretessbrytande bestämmelser i lag och förordning, se bl.a. 10 kap. offentlighets- och sekretesslagen. Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Bestämmelsen i 6 kap. 5 § innebär att en myndighet är skyldig att lämna en uppgift till en annan myndighet som begär det, om en sekretessbrytande bestämmelse är tillämplig på uppgiften. Den bestämmelse om användningsbegränsningar som föreslås i den nya lagen får emellertid till följd att en myndighet inte får utnyttja uppgifterna i sin verksamhet i andra fall än som anges i den lagen. Detta innebär att sekretessbrytande regler i praktiken bara torde aktualiseras när en myndighet har rätt att ta del av uppgifterna enligt rambeslutet (jfr prop. 1990/91:131 s. 24 f. och 2011/12:163 s. 50 f.).
6.18 System för märkning
Regeringens bedömning: Frågan om märkning av uppgifter som överförts från eller gjorts tillgängliga av en annan stat, ett EU-organ eller ett EU-informationssystem bör inte regleras i lag eller förordning.
Utredningens bedömning överensstämmer med regeringens. Utredningen anser att en märkning av varifrån uppgifter härstammar är nödvändig, men att den frågan bör överlämnas till myndigheterna att bestämma.
Remissinstanserna: Flera remissinstanser invänder mot utredningens bedömning, däribland Ekobrottsmyndigheten och Åklagarmyndigheten. Åklagarmyndigheten menar att frågan om hur ett system för märkning av uppgifter ska utformas och genomföras bör regleras av statsmakterna i stället för att överlåtas till berörda myndigheter. Åklagarmyndigheten framhåller vidare att märkning av uppgifter skulle kunna jämföras med det system som i dag finns för sekretessmarkering av personuppgifter. I myndighetens verksamhetssystem är det i dag möjligt att elektroniskt sekretessmarkera personuppgifter, men möjligheten att överföra en sådan sekretessmarkering till andra myndigheter är ytterst begränsad beroende på organisatoriska och tekniska hinder. En märkning av uppgifter på det sätt som föreslås i betänkandet bör enligt myndigheten vara tydlig och enhetlig för alla de myndigheter som hanterar den markerade informationen. Uppsala universitet ser det som en brist att utredningen har utelämnat en så central del som frågan om märkning. Göteborgs tingsrätt instämmer i utredningens bedömning att någon författningsreglering på lag- eller förordningsnivå inte är nödvändig. Samtidigt anser tingsrätten att frågan om att utarbeta ett system med märkning av uppgifter inte bör lösas på myndighetsnivå, utan kräver en samordning inom rättskedjan.
Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna: Kriminalvården menar att införande av ett system för märkning i befintligt datastöd kan vara förenat med betydande tekniska svårigheter. Domstolsverket betonar vikten av att ett system för märkning har implementerats och drifttestats innan den föreslagna lagstiftningen träder i kraft. Verket förutsätter att regeringen kommer att i samråd med berörda myndigheter följa upp när så kan ske. Säkerhets- och integritetsskyddsnämnden påpekar att eftersom ett system för märkning kan komma att kräva relativt stora insatser från myndigheternas sida vad gäller samarbete över myndighetsgränserna, utbildning och anpassning av IT-system, det finns en risk att frågan inte prioriteras av myndigheterna utan författningsstöd. Mot denna bakgrund bör en författningsreglering övervägas ytterligare. Uppsala universitet instämmer i att myndigheternas möjlighet att välja tekniska lösningar inte bör begränsas, men anser att det är lämpligt att det framgår av lag eller åtminstone förordning att ett system för märkning ska finnas som uppfyller de syften som rambeslutet avser att skydda. Det kan därefter delegeras till de aktuella myndigheterna att genomföra märkningen på lämpligt sätt.
Skälen för regeringens bedömning: För att skyddet för enskilda ska bli effektivt krävs att de myndigheter som hanterar uppgifter som omfattas av den nya lagen är medvetna om uppgifternas ursprung och att det på grund av ursprunget kan gälla särskilda begränsningar för behandlingen. Utredningen anser att frågan om att utarbeta ett system med märkning av uppgifter ska överlämnas till de myndigheter som utbyter uppgifterna och att någon författningsreglering på lag- eller förordningsnivå inte är nödvändig.
Regeringen instämmer i utredningens bedömning att det, för att säkerställa att dataskyddet fungerar, kan vara lämpligt att uppgifterna förses med någon form av märkning redan i samband med att de erhålls från en annan stat eller från ett EU-organ eller EU-informationssystem. En sådan märkning skulle göra det enklare att leva upp till de krav beträffande hanteringen som ställs upp i den nya lagen. Regeringen har därför förståelse för de synpunkter rörande reglering som i denna del förs fram av Ekobrottsmyndigheten, Åklagarmyndigheten, Uppsala universitet och Säkerhets- och integritetsskyddsnämnden. En reglering på lag- eller förordningsnivå skulle emellertid kunna innebära en onödig begränsning i myndigheternas arbete med att utveckla moderna tekniklösningar, särskilt som teknikutvecklingen och den ökade elektroniska hanteringen i sig skapar bättre förutsättningar för en praktisk och genomtänkt märkning. Mot denna bakgrund anser regeringen att frågan om hur eventuell märkning ska utformas inte bör regleras på lag- eller förordningsnivå.
Som Göteborgs tingsrätt framför är det lämpligt med en samverkan mellan berörda myndigheter när det gäller frågan om hur märkningen ska hanteras. Det finns redan i dag områden för samverkan mellan myndigheter i den pågående utvecklingen, såsom arbetet med e-förvaltning och arbetet med rättsväsendets informationsförsörjning. Det är naturligt att de myndigheter som har behov av att märka uppgifter tar om hand frågan gemensamt i ett sådant sammanhang. Regeringen ser för närvarande inget behov av att reglera frågan. Skulle det visa sig svårt för myndigheterna att samordna sig i frågan om märkning kan det närmast bli aktuellt att återkomma med uppdrag till en eller flera myndigheter att ta fram ett förslag till system för märkning.
De tekniska svårigheter som Kriminalvården och Domstolsverket befarar ska enligt regeringens mening inte överdrivas. För det första rör det sig troligen hos de flesta myndigheter om ett litet antal uppgifter. För det andra krävs det inte med nödvändighet ett nytt tekniskt system för märkningen.
6.19 Tillsyn
Regeringens bedömning: Rambeslutets regler om tillsyn kräver inga lagstiftningsåtgärder.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Flertalet remissinstanser berör inte frågan om tillsyn. Uppsala universitet påtalar dock behovet av att Datainspektionen tillförsäkras tillräckliga resurser och kompetens inom det aktuella området för att kunna bedriva en effektiv tillsyn.
Utkastet till lagrådsremiss behandlade inte frågan om tillsyn närmare.
Remissinstanserna: Uppsala universitet vidhåller sin tidigare framförda synpunkt. Säkerhets- och integritetsskyddsnämnden påpekar att den valda lagstiftningstekniken, där avvikande bestämmelser i den föreslagna lagen ska tillämpas i stället för bestämmelserna i exempelvis polisdatalagen, leder till oklarhet om hur långt nämndens tillsynsskyldighet sträcker sig. Det framstår bl.a. som oklart om vidarebehandling är tillåten när en polismyndighet har skyldighet att bistå annan myndighet - såsom en tillsynsmyndighet - med uppgifter. Om nämnden i sin tillsyn av en uppgiftsamling uppmärksammar att uppgifter där har behandlats i strid med den föreslagna lagen synes det formellt som om felaktigheterna ligger utanför nämndens tillsynsområde enligt polisdatalagen. Det kan dock ifrågasättas om detta är en rimlig konsekvens av den föreslagna lagstiftningstekniken. Regeringen kunde likaväl ha valt att reglera frågorna i polisdatalagen. Eftersom den föreslagna lagen inte utgör någon heltäckande reglering, exempelvis när det gäller behandling av känsliga personuppgifter, kan även andra oklarheter uppstå kring gränserna för nämndens tillsynsområde när det gäller personuppgifter som omfattas av den föreslagna lagen. Det är önskvärt att denna fråga uppmärksammas i det fortsatta lagstiftningsarbetet.
Skälen för regeringens bedömning: Rambeslutet förutsätter att det ska finnas en tillsynsmyndighet i varje medlemsstat (artikel 25). Enligt artikeln ska tillsynsmyndigheten bl.a. ha utredningsbefogenheter och tillgång till alla de uppgifter som behövs för tillsynen. Vidare ska enskilda kunna vända sig till tillsynsmyndigheten med klagomål över personuppgiftsbehandlingen.
Det finns bestämmelser om tillsynsmyndighetens befogenheter i 43-47 §§ personuppgiftslagen (1998:204). I dessa bestämmelser föreskrivs bl.a. att tillsynsmyndigheten har rätt att för sin tillsyn få tillträde till lokaler samt tillgång till de personuppgifter som behandlas och dokumentation rörande behandlingen. Vidare finns det regler om vilka åtgärder tillsynsmyndigheten får vidta om myndigheten vid sin tillsyn finner att personuppgifter behandlas på ett felaktigt sätt. Utredningen anser att bestämmelserna i personuppgiftslagen uppfyller bestämmelserna i rambeslutet. Regeringen instämmer i denna bedömning. Regeringen avser att utse Datainspektionen till nationell tillsynsmyndighet enligt rambeslutet.
När det gäller polisen så har också Säkerhets- och integritetsskyddsnämnden ett visst tillsynsansvar. Enligt 1 § lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet ska nämnden bl.a. utöva tillsyn över polisens behandling av personuppgifter enligt polisdatalagen (2010:361) och lagen (2010:362) om polisens allmänna spaningsregister. Med anledning av vad Säkerhets- och integritetsskyddsnämnden anför om oklarheter i nämndens tillsynsansvar, bör påpekas att även om en uppgift faller inom tillämpningsområdet för den nya lagen, så innehåller lagen bara kompletterande regler som på visst sätt inskränker eller preciserar möjligheterna att behandla personuppgifter. Själva behandlingen av uppgifterna sker även när lagen är tillämplig med stöd av de grundläggande reglerna i relevant registerförfattning, t.ex. polisdatalagen. Visserligen införs i polisdatalagen en bestämmelse som anger att i den mån den nya lagen innehåller bestämmelser som avviker från polisdatalagen, ska bestämmelserna i den nya lagen tillämpas i stället för bestämmelserna i polisdatalagen (se avsnitt 6.16). Hänvisningen innebär dock inte att Säkerhets- och integritetsskyddsnämndens tillsynsansvar enligt polisdatalagen faller bort. Det ingår alltså i nämndens tillsynsansvar att påpeka om nämnden vid sin granskning finner att bestämmelserna i den nya lagen borde ha, men inte har, iakttagits. Myndigheternas skyldighet att bistå nämnden med handlingar framgår av lagen om tillsyn över viss brottsbekämpande verksamhet. I den nya lagen regleras varken tillsynsmyndigheternas uppgifter eller deras rätt att få tillgång till handlingar. Sammanfattningsvis är den nya lagen alltså inte avsedd att innebära någon förändring i tillsynen över den personuppgiftsbehandling som förekommer vid berörda myndigheter. Frågan om huruvida Säkerhets- och integritetsskyddsnämndens tillsynsansvar bör vara utformat på annat sätt än i dag finns det inte möjlighet att behandla inom ramen för detta lagstiftningsärende.
Regeringen återkommer till frågan om Datainspektionens resurser i avsnitt 9.
7 Kompletterande lagstiftning med anledning av Europolrådsbeslutet
7.1 Något om Europol och dess verksamhet
Europol är medlemsstaternas i EU gemensamma polisbyrå. Europol arbetar med behandling och analys av underrättelser om allvarlig och gränsöverskridande brottslighet inom unionen. Syftet med Europol är att öka effektiviteten hos de nationella myndigheterna och förbättra deras inbördes samarbete i den brottsförebyggande och brottsbekämpande verksamheten.
Europols behörighet omfattar organiserad brottslighet, terrorism och vissa andra former av allvarlig brottslighet som rör två eller flera medlemsstater på ett sådant sätt att det krävs en gemensam åtgärd från medlemsstaternas sida på grund av brottslighetens omfattning, betydelse och följder. Exempel på brottslighet som omfattas av behörigheten är grova narkotikabrott och gränsöverskridande handel med barn som utnyttjas sexuellt.
Europol fungerar som en knutpunkt för utbyte av uppgifter mellan medlemsstaterna. Dessa tillhandahåller Europol uppgifter främst ur sina nationella polisregister. Uppgifterna sammanställs och bearbetas av Europol samt kompletteras i vissa fall med uppgifter från annat håll. Uppgifterna analyseras sedan hos Europol. Underrättelser går tillbaka till medlemsstaternas brottsbekämpande myndigheter som genom detta får ett bättre underlag för sin operativa verksamhet. Härutöver stöder Europol medlemsstaterna med rådgivning och specialkunskaper vid utredningar och tillhandahåller även strategiska underrättelser för att främja operationer i medlemsstaterna.
I varje medlemsstat finns det en nationell enhet som är förbindelselänk mellan Europol och medlemsstatens myndigheter. I Sverige är Rikspolisstyrelsen nationell enhet. Den nationella enheten har till huvudsaklig uppgift att förse Europol med uppgifter som ska tillföras Europols olika dataregister från de nationella polisregistren eller motsvarande. De nationella enheterna tar emot uppgifter som kommer från Europol och vidarebefordrar dem till behörig svensk myndighet och vidarebefordrar svenska myndighetens förfrågningar till Europol. Personalen som arbetar vid den nationella enheten är anställd av Rikspolisstyrelsen. Offentlighets- och sekretesslagen är tillämplig när den nationella enhetens personal hanterar uppgifter.
Europols verksamhet byggde tidigare på Europolkonventionen. Konventionen öppnades för undertecknande år 1995. När Sverige tillträdde Europolkonventionen år 1997 gjordes bedömningen att tillträdet till konventionen endast i mycket begränsad omfattning krävde lagändringar. Såvitt gällde konventionens bestämmelser om tystnadsplikt konstaterades dock att det fanns ett område där sekretess och tystnadsplikt rådde enligt Europolkonventionens bestämmelser och där Sverige hade åtagit sig att lagföra brott mot bestämmelserna som om de vore inhemska regler, men där motsvarande svenska regler om sekretess och tystnadsplikt saknades, nämligen Europolanställdas befattning med hemliga uppgifter. Regeringen angav i propositionen att denna fråga borde lösas i annat sammanhang, eftersom den hade vidare räckvidd än Europolkonventionen och rymde komplicerade rättsfrågor (prop. 1996/97:164 s. 53).
7.2 Europolrådsbeslutet
Den 6 april 2009 antogs rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), det s.k. Europolrådsbeslutet (EUT L 121, 15.5.2009, s. 37). Genom rådsbeslutet förändrades den rättsliga grunden för Europols verksamhet och Europol fick ställning som EU-myndighet. I samband härmed gjordes också en del sakliga förändringar, bl.a. av Europols mandat och av regleringen om informationsbehandling och dataskydd.
En konsekvens av att Europol numera är en EU-myndighet är att Europols struktur, arbetssätt, verksamhetsområde och uppgifter regleras av Europaparlamentet och rådet genom förordning, enligt det ordinarie lagstiftningsförfarandet inom EU. Av övergångsbestämmelserna till Lissabonfördraget följer emellertid att rättsakter som antagits före ikraftträdandet av Lissabonfördraget ska bestå så länge de inte upphävs, ogiltigförklaras eller ändras med tillämpning av EG- eller EU-fördragen (protokoll om övergångsbestämmelser, EUT C 306, 17.12.2007, s. 159). Rådsbeslutet om Europol kommer alltså att gälla till dess att nya rättsakter om Europol tas fram.
I propositionen Godkännande av rådets beslut om inrättande av Europeiska polisbyrån (Europol), prop. 2008/09:14, fann regeringen att ändringen av den rättsliga grunden för Europol inte i sig krävde några lagändringar, men att vissa hänvisningar till Europolkonventionen och de olika tilläggsprotokollen i lag eller förordning behövde ändras. Dessa ändringar har genomförts. Beträffande frågan om Europolanställdas befattning med hemliga uppgifter angavs att den behövde övervägas i det fortsatta lagstiftningsarbetet (prop. s. 39).
Europol leds av en styrelse bestående av representanter från alla medlemsstater och kommissionen (artikel 37 Europolrådsbeslutet). Den dagliga verksamheten leds av en direktör, som assisteras av tre biträdande direktörer (artikel 38).
Europols huvudkontor ligger i Haag i Nederländerna. Vid huvudkontoret finns personal som är direkt anställd av Europol (Europolanställda). Det är fråga om experter och analytiker inom olika områden som exempelvis kriminalunderrättelse- och analysverksamhet. De Europolanställda bearbetar och analyserar bl.a. den information som kommer in till Europol från medlemsstaterna och från andra källor. De Europolanställda lyder under de EU-bestämmelser som gäller för anställda vid EU:s institutioner, däribland reglerna om tystnadsplikt.
Vid Europols huvudkontor arbetar också särskilda sambandsmän som är utsända från medlemsstaterna. Sambandsmännen har till uppgift att praktiskt genomföra informations- och underrättelseutbytet mellan Europol och de nationella enheterna samt att samverka med Europols anställda i bl.a. analysarbetet. Sambandsmännen är inte anställda av Europol utan av myndigheter i respektive medlemsstat. De är utsända att arbeta vid Europol inom ramen för sina anställningar i medlemsstaten. Vid arbetet för Europol lyder de under sin medlemsstats nationella enhet och under medlemsstatens nationella lagstiftning (artikel 9.1 Europolrådsbeslutet). Sverige har för närvarande tre sambandsmän vid Europol, två från polisen och en från Tullverket. Eftersom de är offentliganställda är offentlighets- och sekretesslagen tillämplig vid deras hantering av uppgifter.
7.3 Tystnadsplikt inom EU
7.3.1 Allmänt om tystnadsplikten
Tjänstemän som är anställda av Europol och andra EU-organ lyder under EU:s särskilda bestämmelser, bl.a. EU:s allmänna tjänsteföreskrifter som föreskriver tystnadsplikt. Undantag gäller i vissa situationer där Europolanställda verkar både inom och utanför Europa (t.ex. i s.k. gemensamma utredningsgrupper enligt lagen [2003:1174] om vissa former av internationellt samarbete i brottsutredningar).
I artikel 339 i fördraget om Europeiska unionens funktionssätt (EUT C 83, 30.3.2010, s. 193, EUF-fördraget) finns en allmän bestämmelse om att unionens tjänstemän och befattningshavare, även efter det att deras uppdrag upphört, är skyldiga att inte avslöja upplysningar som omfattas av tystnadsplikt, särskilt uppgifter om företag, deras affärsförbindelser eller deras kostnadsförhållanden.
Den allmänna bestämmelsen i EUF-fördraget kompletteras genom regler i de särskilda tjänsteföreskrifterna för de olika EU-institutionerna. Tjänsteföreskrifterna innehåller bestämmelser om att en tjänsteman inte utan tillstånd får lämna ut information som han eller hon fått tillgång till i tjänsten, och att detta gäller även efter det att han eller hon har lämnat tjänsten. Beträffande Europol gäller EU:s tjänsteföreskrifter för tjänstemännen i Europeiska gemenskapen och anställningsvillkor för övriga anställda inom Europeiska gemenskaperna i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (14) och de bestämmelser som har antagits för tillämpningen av tjänsteföreskrifterna och anställningsvillkoren (artikel 39 Europolrådsbeslutet). Enligt dessa föreskrifter får en tjänsteman inte utan tillstånd lämna ut information som han fått tillgång till i tjänsten, om inte denna information redan har offentliggjorts eller är tillgänglig för allmänheten. Skyldigheten kvarstår även efter det att tjänstemannen har lämnat tjänsten (artikel 17 i tjänsteföreskrifterna och artikel 11 i anställningsvillkoren).
7.3.2 Tystnadsplikt i Europol
Det finns en särskild bestämmelse om tystnadsplikt i Europolrådsbeslutet. Enligt artikel 41.2 får de som arbetar för Europol inte till obehöriga personer sprida information om sakförhållanden eller upplysningar som de får kännedom om i sin tjänsteutövning eller vid utövandet av verksamheten. Detta gäller inte för sakförhållanden eller upplysningar som är för obetydliga för att omfattas av sekretesskrav. Denna bestämmelse skiljer sig från bestämmelserna om tystnadsplikt i tjänsteföreskrifterna och anställningsvillkoren i och med att den inte gör något undantag för information som redan har offentliggjorts eller är tillgänglig för allmänheten. Tystnadsplikten kvarstår även efter det att tjänsten, anställningsavtalet eller verksamheten har avslutats. När tystnadsplikt föreligger för en anställd eller annars verksam person ska Europol meddela detta särskilt. I samband med ett sådant meddelande, som ska vara skriftligt, ska Europol påpeka de rättsliga följderna om tystnadsplikten bryts. Bestämmelsen har överförts med i princip oförändrat innehåll från artikel 32 i Europolkonventionen.
Enligt artikel 41.4 i Europolrådsbeslutet ska varje medlemsstat behandla alla överträdelser av tystnadsplikten som överträdelser av skyldigheter i medlemsstatens egen lagstiftning om tystnadsplikt eller skydd av sekretessbelagt material. Bestämmelsen motsvarar artikel 32.4 i Europolkonventionen.
7.3.3 Sanktioner inom EU
Om en EU-rättslig tystnadsplikt åsidosätts kan enligt EU:s tjänsteföreskrifter disciplinära åtgärder i form av varning, degradering, avstängning från tjänsten, avskedande m.m. vidtas gentemot tjänstemän som är anställda av gemenskapen. Några straffrättsliga påföljder för åsidosättande av tystnadsplikt finns inte inom EU-rätten. Från gemenskapens sida förväntas i stället att varje medlemsstat beivrar de brott mot tystnadsplikten som dess medborgare begår.
7.4 Den svenska regleringen av frågor om tystnadsplikt
7.4.1 Yttrandefrihet
Rätten till yttrandefrihet slås fast i 2 kap. 1 § första stycket 1 regeringsformen som föreskriver att var och en gentemot det allmänna är tillförsäkrad frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar samt uttrycka tankar, åsikter och känslor.
Enligt 2 kap. 20 § regeringsformen får yttrandefriheten begränsas bara genom lag eller, när det gäller tystnadsplikt för offentliga funktionärer, efter bemyndigande i lag. Detta innebär att föreskrifter om tystnadsplikt måste vara föreskrivna i lag eller föreskrifter som meddelas på lägre nivå efter bemyndigande av riksdagen. I 2 kap. 21-25 §§ regeringsformen anges under vilka förutsättningar fri- och rättigheterna får begränsas. När det gäller yttrandefriheten får denna begränsas med hänsyn till rikets säkerhet, folkförsörjningen, allmän ordning och säkerhet, enskildas anseende, privatlivets helgd eller förebyggandet och beivrandet av brott. Yttrandefriheten får i övrigt även begränsas i näringsverksamhet samt om särskilt viktiga skäl föranleder det. En begränsning får dock inte sträcka sig längre än vad som är nödvändigt med hänsyn till det ändamål som den avser att tillgodose och får aldrig gå så långt att den utgör ett hot mot den fria åsiktsbildningen. I det nu aktuella fallet är grunden för att begränsa yttrandefriheten främst förebyggande och beivrande av brott.
Den lag som framför allt innehåller begränsningar avseende yttrandefriheten är offentlighets- och sekretesslagen (2009:400). Uppgifter som omfattas av sekretess enligt den lagen får inte röjas eller utnyttjas, vare sig muntligen eller skriftligen. Lagen reglerar således också tystnadsplikt beträffande de områden som omfattas av lagen. Det finns även regler om tystnadsplikt i vissa andra lagar. Det finns särskilda regler om tystnadsplikt för bl.a. präster, advokater och personal inom den privata hälso- och sjukvården. Regler om tystnadsplikt finns också i bl.a. rättegångsbalken.
I 44 kap. offentlighets- och sekretesslagen regleras i vilken mån tystnadsplikter, som följer av bestämmelser i andra författningar än den lagen, inskränker den rätt att meddela och offentliggöra uppgifter som följer av 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen.
Principen om meddelarfrihet, som är fastslagen i 1 kap. 1 § tredje stycket tryckfrihetsförordningen och 1 kap. 2 § yttrandefrihetsgrundlagen är av grundläggande betydelse för frågan om straffansvar med anledning av brott mot tystnadsplikt. Bestämmelserna om meddelarfrihet slår fast att var och en är tillförsäkrad rätten att till bl.a. författare och andra upphovsmän, redaktioner och nyhetsbyråer lämna uppgifter i vilket ämne som helst för offentliggörande i tryckta skrifter, radio- och tv-program, filmer m.m. Meddelarfriheten innebär att meddelaren inte bär något straffansvar för dessa uppgifter. Det är i stället den ansvariga utgivaren som i första hand bär ansvaret för det fall ett tryck- eller yttrandefrihetsbrott begås (s.k. ensamansvar). Meddelarfriheten innebär en rätt för dem som är offentligt anställda att i publiceringssyfte straffritt lämna uppgifter som är sekretessbelagda. Meddelarfriheten är förenad med en rätt till anonymitet. Den kompletteras av de s.k. efterforsknings- och repressalieförbuden. Dessa förbjuder myndigheter och andra offentliga organ att efterforska de uppgiftslämnare som har valt att vara anonyma och att vidta åtgärder som medför negativa konsekvenser för sådana personer med anledning av att de har utnyttjat sin meddelarfrihet.
Meddelarfriheten är dock inte absolut. Av offentlighets- och sekretesslagen framgår i vilken utsträckning sekretessen inskränker meddelarfriheten. Sekretessregleringen medger således i vissa fall att sekretessbelagda uppgifter lämnas ut för publicering i ett medium som omfattas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen medan den i andra fall, helt eller delvis, inskränker meddelarfriheten för uppgifter i den offentliga verksamheten. Denna reglering har direkt betydelse för tillämpningen av straffbestämmelsen om brott mot tystnadsplikten, eftersom den påverkar i vilken mån den enskilde är skyldig att hemlighålla uppgifterna.
7.4.2 Straffansvar enligt brottsbalken
Brott mot tystnadsplikt är straffbelagt i 20 kap. 3 § brottsbalken. Om någon röjer eller utnyttjar en uppgift i strid med sin tystnadsplikt kan han eller hon dömas till böter eller fängelse i högst ett år för brott mot tystnadsplikt. I ringa fall ska straff inte dömas ut. Om brottet begås av oaktsamhet är straffet böter.
Bestämmelserna i 20 kap. 3 § brottsbalken är den centrala straffrättsliga regleringen av överträdelser mot författningsreglerade tystnadsplikter. Regleringen innebär en inskränkning i både yttrandefriheten och rätten att få ta del av allmänna handlingar. De bestämmelser om tystnadsplikt och sekretess som straffbudet sanktionerar utgör undantag från de konstitutionella huvudregler som sammanfattas med begreppen yttrandefrihet och offentlighet. Straffansvaret är utformat så att det balanserar dessa två intressen mot intresset av att begränsa kännedomen om vissa förhållanden.
Tystnadsplikten måste, som nyss nämnts, ha stöd i lag eller annan författning eller gälla enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning för att brott mot den ska kunna läggas till grund för ansvar enligt 20 kap. 3 § brottsbalken. Bestämmelser om tystnadsplikt i lag som gör straffbestämmelsen tillämplig finns, som nyss nämnts, framför allt i offentlighets- och sekretesslagen.
I propositionen Lagstiftning med anledning av Sveriges anslutning till Europeiska atomenergigemenskapen konstaterade regeringen att straffbestämmelsen i 20 kap. 3 § brottsbalken inte kan anses omfatta gemenskapsrättsliga tystnadsplikter (prop. 1994/95:118 s. 11 f.). I det lagstiftningsärendet ansågs någon ändring av bestämmelsen inte behöva göras eftersom de gemenskapsrättsliga tystnadsplikterna hade sin motsvarighet i den då gällande sekretesslagens föreskrifter.
7.5 En ny lag om tystnadsplikt
Regeringens förslag: En ny lag om tystnadsplikt för anställda vid Europeiska polisbyrån (Europol) införs. Enligt lagen får den som är eller har varit verksam vid Europol inte obehörigen röja uppgifter som han eller hon fått kännedom om på grund av sin verksamhet där. I fråga om den som fått del av sådana uppgifter inom ramen för anställning eller uppdrag hos en svensk myndighet ska i stället offentlighets- och sekretesslagen tillämpas.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningens förslag omfattar dock endast svenska medborgare som är eller har varit anställda vid Europol. Utredningen föreslår inte någon regel om den nya lagens förhållande till offentlighets- och sekretesslagen (2009:400).
Remissinstanserna: Flertalet remissinstanser kommenterar inte förslaget.
Svea hovrätt anser att en ny lag är att föredra framför ändringar i 20 kap. 3 § brottsbalken. Hovrätten ifrågasätter dock om det är lämpligt att bestämmelsen utformas så att den endast omfattar svenska medborgare, eftersom frågan om jurisdiktion normalt regleras genom bestämmelserna i 2 kap. brottsbalken och det är tveksamt om en sådan begränsning är förenlig med artikel 41 i Europolrådsbeslutet. Ekobrottsmyndigheten lämnar liknande synpunkter. Lunds universitet påpekar att det av lagförslaget inte framgår huruvida en f.d. svensk Europolanställd som efter tjänstgöringen har blivit medborgare i annan stat omfattas av bestämmelserna.
Tidningsutgivarna invänder att ett resultat av den nya lagen är att en svensk tjänsteman vid Europol har en längre gående tystnadsplikt och mer inskränkt meddelarfrihet än en person som är utsänd av Sverige. Detta kan i förlängningen innebära att två tjänstemän som varit verksamma vid Europol under samma tid och som spridit samma uppgifter i strid mot tystnadsplikten kan lagföras på olika sätt beroende på sin tidigare anställningsform. Svenska journalistförbundet har inget att invända mot förslaget, under förutsättning att inga förändringar genomförs i meddelarfriheten.
Utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.
Remissinstanserna: De flesta av remissinstanserna uttalar sig inte i denna del. Tullverket delar regeringens bedömning när det gäller lagens benämning. Journalistförbundet framför att förbundet inte har något att invända mot utkastet till lagrådsremiss då det inte innebär några principiella förändringar jämfört med utredningens förslag.
Skälen för regeringens förslag
Behovet av en särskild reglering
Regeringen fann i propositionen Godkännande av rådets beslut om inrättande av Europeiska polisbyrån (Europol) att Sverige får anses leva upp till de krav på tystnadsplikt som ställs i rådsbeslutet vad gäller offentligt anställda i Sverige vid deras befattning med uppgifter från Europol, liksom de svenska Europolsambandsmännens befattning med sådana uppgifter (prop. 2008/09:14 s. 39). Regeringen gör inte nu någon annan bedömning.
Vad gäller den personal som är anställd av Europol är situationen emellertid en annan. För att straffbestämmelsen om brott mot tystnadsplikt i 20 kap. 3 § brottsbalken ska kunna tillämpas krävs att tystnadsplikten har stöd i lag eller annan författning, eller i förordnande eller förbehåll meddelat med stöd av lag eller annan författning. Kravet är en följd av att tystnadsplikt utgör en begränsning av den grundlagsfästa yttrandefriheten. Av bestämmelserna i regeringsformen följer att sådana begränsningar endast får göras genom lag eller, i vissa fall, efter bemyndigande i lag (2 kap. 1 § första stycket 1 och 20 § samt 8 kap. 2 § första stycket 2, 3 § och 19 § regeringsformen). De regler i Europolrådsbeslutet som föreskriver tystnadsplikt kan alltså inte läggas till grund för en tilllämpning av 20 kap. 3 § brottsbalken. Tystnadsplikten för anställda vid Europol måste också ha täckning i en svensk reglering.
En sådan reglering är offentlighets- och sekretesslagen. Denna gäller för svenska myndigheter och för personer som för det allmännas räkning deltar i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, tjänsteplikt eller annan liknande grund. Rätten att ta del av allmänna handlingar och reglerna om meddelarskydd gäller också hos vissa privaträttsliga organ som finns angivna i bilagan till offentlighets- och sekretesslagen samt för aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser i vilka kommuner, landsting eller kommunalförbund har ett rättsligt bestämmande inflytande (2 kap. 3 § och 13 kap. 2 § offentlighets- och sekretesslagen). Lagen är, som tidigare nämnts, tillämplig på svenska sambandsmän som tjänstgör vid Europol. Tjänstemän som är anställda av Europol omfattas däremot inte av regleringen i offentlighets- och sekretesslagen.
Några andra svenska regler om tystnadsplikt som täcker tjänstemän som är anställda av Europol finns inte. Regeringen delar därför utredningens bedömning att det finns behov av en särskild reglering av tystnadsplikt för Europolanställda för att svensk rätt ska uppfylla rådsbeslutets krav.
Eftersom bestämmelsen i 20 kap. 3 § brottsbalken innehåller fängelse i straffskalan krävs att föreskriften om tystnadsplikt är grundad på lag eller på ett i lag lämnat bemyndigande (8 kap. 3 § regeringsformen). I likhet med utredningen anser därför regeringen att frågan om tystnadsplikt för anställda vid Europol bör regleras i lag. Eftersom det fåtal regler som finns i svensk lagstiftning om Europol är spridda på flera författningar och det inte finns någon befintlig lag där en bestämmelse om tystnadsplikt för nu aktuell kategori lämpligen kan placeras bör en ny lag införas.
Den nya lagens tillämpningsområde
I artikel 41.4 i rådsbeslutet anges att medlemsstaterna ska behandla "alla överträdelser" av den tystnadsplikt som föreskrivs i artikeln, som överträdelser av skyldigheter i statens egen lagstiftning om t.ex. tystnadsplikt. Utredningen anser att det inte är rimligt att i svensk lagstiftning reglera överträdelse av tystnadsplikt begången av exempelvis en spansk medborgare bosatt i Bryssel. Utredningen begränsar därför den föreslagna lagen till att omfatta svenska medborgare. Svea hovrätt och Ekobrottsmyndigheten ifrågasätter om en sådan begränsning är förenlig med rådsbeslutet. Svea hovrätt framhåller vidare att frågor om jurisdiktion normalt hanteras genom bestämmelserna i 2 kap. brottsbalken.
Enligt rådsbeslutet ska medlemsstaterna behandla alla överträdelser av tystnadsplikten som överträdelser av statens egen lagstiftning om tystnadsplikt eller skydd av sekretessbelagt material. Någon begränsning i straffbarheten till gärningar som begås av svenska medborgare finns inte i den svenska lagstiftningen om tystnadsplikt. Regeringen anser att det inte heller i detta sammanhang finns skäl att begränsa tystnadsplikten till att gälla enbart svenska medborgare. Om en utländsk Europoltjänsteman obehörigen åsidosätter sin tystnadsplikt enligt den föreslagna lagen, kommer det alltså att utgöra ett brott mot svensk lag oavsett vilket medborgarskap gärningsmannen har. Frågan om ett brott mot tystnadsplikten som begås av en person med medborgarskap i annat land än Sverige kan bestraffas enligt svensk lag vid svensk domstol bör i stället avgöras utifrån den generella regleringen av domsrättsfrågor i 2 kap. brottsbalken. Det innebär normalt, för sådana brott mot tystnadsplikten som begås utomlands, att svensk domsrätt enligt 2 kap. 2 § brottsbalken kommer att finnas om brottet begås av en svensk medborgare eller av en utlänning som befinner sig i riket. Som ett ytterligare krav gäller också att gärningen ska vara straffbar även på gärningsorten (dubbel straffbarhet).
Utredningen föreslår vidare att den nya lagen endast ska omfatta anställda vid Europol. Av rådsbeslutet följer emellertid att straffansvaret ska omfatta ledamöterna i styrelsen, direktören, de biträdande direktörerna, Europols anställda och sambandsmännen. Dessutom ska det omfatta varje annan person som uttryckligen har ålagts diskretions- och tystnadsplikt enligt artikel 41. Utgångspunkten bör därför vara att inte bara de anställda vid Europol, till vilka också direktören och de biträdande direktörerna räknas, utan även ledamot i Europols styrelse uttryckligen ska omfattas av den nya lagen. Regleringen bör också omfatta uppdragstagare och andra som av Europol har ålagts tystnadsplikt enligt artikel 41. Däremot saknas det anledning att låta de svenska sambandsmännen omfattas av tillämpningsområdet för den nya lagen. Skälet till detta är att dessa omfattas av reglerna om tystnadsplikt i offentlighets- och sekretesslagen, vilket bör gälla även i fortsättningen. Detsamma bör gälla andra personer som inom ramen för anställning eller uppdrag hos en svensk myndighet får del av sådana uppgifter som avses med den nya bestämmelsen. Genom regleringen i offentlighets- och sekretesslagen uppfyller Sverige redan rådsbeslutets krav på straffbarhet när det gäller dem.
För enkelhetens skull kallas de kategorier som regeringen föreslår ska omfattas av den nya lagens tillämpningsområde i fortsättningen för Europolanställda.
Den föreslagna lagen bör föreskriva förbud mot att obehörigen röja eller utnyttja uppgifter som erhållits på grund av verksamhet vid Europol. Att tystnadsplikten endast föreslås omfatta röjande som sker obehörigen, ger utrymme för sådant behörigt utlämnande av uppgifter som arbetet vid Europol kräver. Detta utrymme torde i allt väsentligt motsvara det utrymme som ges i de sekretessbrytande bestämmelserna i offentlighets- och sekretesslagen och innebär enligt regeringens bedömning att tystnadsplikten är i huvudsak densamma för Europolanställda som för utsända svenska sambandsmän.
Som utredningen föreslår bör tystnadsplikt enligt den nya lagen gälla både under tiden den berörda personens verksamhet vid Europol pågår och efter det att verksamheten har upphört. Huruvida brottet mot tystnadsplikten begås av en f.d. svensk Europolanställd som har blivit medborgare i annan stat, dvs. den situation som Lunds universitet refererar till, saknar betydelse för frågan om ett brott mot svensk lag begåtts. Det nya medborgarskapet kan däremot få betydelse för frågan om svensk domsrätt.
När uppgifter som omfattas av sekretess eller tystnadsplikt lämnas ut i strid med sekretessen eller tystnadsplikten, dvs. utan att det finns stöd för utlämnandet i sekretessbrytande bestämmelser, kan frågan om meddelarfrihet också aktualiseras, beroende på vem uppgifterna lämnas till. Meddelarfriheten innebär, som tidigare nämnts, en rätt att lämna uppgifter - som huvudregel även sekretessbelagda sådana - för offentliggörande i massmedia utan att kunna straffas för det. Det kompletterande meddelarskyddet, bl.a. efterforsknings- och repressalieförbuden, ska tillämpas av det allmänna, dvs. myndigheter och andra offentliga organ, i förhållande till enskilda. Detta innebär att alla som är offentligt anställda omfattas av meddelarskydd gentemot sin arbetsgivare. Genom särskilda regler i offentlighets- och sekretesslagen omfattas även anställda i vissa privaträttsliga organ på samma sätt av meddelarskydd. Övriga anställda har inte detta skydd.
Tidningsutgivarna invänder att den nya lagen strider mot grundläggande svenska rättsprinciper i och med att en svensk tjänsteman anställd vid Europol har en längre gående tystnadsplikt och en mer inskränkt meddelarfrihet än en person som är utsänd som svensk sambandsman.
Innebörden av förslaget är att de som arbetar vid Europol kommer att ha olika möjligheter att utan negativa följder meddela sig med media beroende på vilken arbetsgivare de har. Reglerna om ensamansvar, dvs. att ansvaret för en publicering ligger hos en enda person, ger skydd åt den som lämnar meddelanden för publicering gentemot svenska myndigheter och allmänna organ. Reglerna om meddelarskydd är dock inte tilllämpliga på en svensk som har anställning i ett annat land. Han eller hon kan således inte åberopa de svenska reglerna om meddelarskydd gentemot sin utländska arbetsgivare. Exempelvis gäller inte något efterforsknings- och repressalieförbud. I detta avseende är det, såsom Tidningsutgivarna påpekar, en skillnad mellan de svenskar som är utsända att arbeta som sambandsmän vid Europol och de som är anställda av Europol. Skillnaderna är dock inte unika för Europol. Motsvarande gäller i alla situationer där svenska medborgare tar anställning i annat land. Regeringen finner därför ingen anledning att vidta någon åtgärd med anledning av Tidningsutgivarnas invändning.
Lagrådet anser att regleringen avseende personer som har tystnadsplikt enligt offentlighets- och sekretesslagen bör formuleras på annat sätt än i lagrådsremissen, för att tydliggöra att regleringen inte avser enskild respektive offentlig verksamhet. Regeringen delar Lagrådets uppfattning att bestämmelsen bör utformas så att den i stället knyter an till den tystnadsplikt som följer av tjänstgöringen eller uppdraget. Bestämmelsen bör dock utformas på ett något annorlunda sätt än vad Lagrådet föreslår, så att den träffar den som inom ramen för anställning eller uppdrag hos en svensk myndighet har fått del av uppgifter som är hemliga hos Europol.
Lagens benämning
Utredningen föreslår att den nya lagen ska benämnas "Lag om Europolanställdas befattning med hemliga uppgifter". Mot bakgrund av att hemliga uppgifter i säkerhetsskyddslagen (1996:627) getts en särskild definition - som inte sammanfaller med de uppgifter som kan vara aktuella i Europol - anser regeringen att en annan benämning på den nya lagen bör väljas. Regeringens bedömning, som delas av Tullverket, är att den nya lagen bör benämnas "Lag om tystnadsplikt för anställda vid Europeiska polisbyrån".
8 Ikraftträdande och övergångsbestämmelser
8.1 Ikraftträdande
Regeringens förslag: De nya lagarna och ändringarna i befintliga lagar ska träda i kraft den 1 juli 2013.
Utredningens förslag överensstämmer inte med regeringens. Utredningen föreslår att de nya lagarna och lagändringarna ska träda i kraft samtidigt som polisdatalagen, dvs. den 1 mars 2012.
Remissinstanserna lämnar inga synpunkter på utredningens förslag i denna del.
Utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna yttrar sig inte över utkastet till lagrådsremiss i denna del.
Skälen för regeringens förslag: Enligt artikel 29.1 i dataskyddsrambeslutet ska medlemsstaterna vidta de åtgärder som är nödvändiga för att följa bestämmelserna i rambeslutet före den 27 november 2010. Europolrådsbeslutet tillämpas från den 1 januari 2010 (artikel 64.2).
Bestämmelserna i dataskyddsrambeslutet motsvarade till övervägande del gällande rätt i Sverige när rambeslutet trädde i kraft. Den ytterligare lagstiftning som föreslås nu i syfte att förstärka skyddet vid behandling av personuppgifter som överförts över gränserna som ett led i polisiärt och straffrättsligt samarbete bör enligt regeringens mening träda i kraft så snart som möjligt. Detsamma gäller föreslagna följdändringar och den nya lagen om tystnadsplikt för anställda vid Europeiska polisbyrån.
8.2 Övergångsbestämmelser
Regeringens förslag: Den nya lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete ska inte tillämpas på uppgifter som överförts eller gjorts tillgängliga före ikraftträdandet.
Utredningens förslag överensstämmer inte med regeringens. Utredningen föreslår en övergångsbestämmelse som innebär att avvikande användningsbegränsningar i tidigare EU-rättsakter ska gälla i stället för den föreslagna lagen om användningsbegränsningar.
Remissinstanserna lämnar inga synpunkter på utredningens förslag i denna del.
Utkastet till lagrådsremiss överensstämmer med regeringens förslag.
Remissinstanserna: Datainspektionen anser att det föreslagna undantaget i övergångsbestämmelserna är alltför generellt och ifrågasätter om det är förenligt med rambeslutet.
Skälen för regeringens förslag: I fråga om vissa typer av lagstiftning är utgångspunkten att de gäller i sin helhet vid ikraftträdandet. Utredningen berör inte frågan om den nya lagen om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska kunna tillämpas på uppgifter som har överförts eller gjorts tillgängliga redan innan lagen trätt i kraft.
Utredningen föreslår däremot en övergångsbestämmelse som innebär att avvikande användningsbegränsningar i tidigare beslutade EU-rättsakter ska gälla i stället för den föreslagna lagen om användningsbegränsningar. Den frågan behandlar regeringen i avsnitt 6.14.
Lagens syfte, förstärkt dataskydd, kan sägas tala för att den nya lagen om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska tillämpas omedelbart, dvs. även på uppgifter som har överförts före lagens ikraftträdande. Praktiska skäl talar emellertid med styrka mot en sådan tillämpning. Regeringen föreslår därför att lagen ska tillämpas på uppgifter som överförs eller görs tillgängliga från och med den dag då lagen träder i kraft. Datainspektionen ifrågasätter om en sådan lösning är förenlig med rambeslutet.
Regeringen gör följande bedömning. Det kan vara förenat med betydande svårigheter att identifiera alla uppgifter som kan ha överförts tidigare, eftersom de redan kan ha sammanblandats med andra uppgifter. Dessutom måste man då klarlägga när de överfördes eller gjordes tillgängliga och för vilka ändamål. Vidare kan uppgifterna redan ha använts på ett sätt som inte i alla detaljer överensstämmer med rambeslutets krav. Syftet med rambeslutet är att förstärka det framtida dataskyddet som en motvikt till det ökade informationsutbytet, vilket inte innebär att tidigare överförda uppgifter saknar dataskydd. Regeringen anser därför att den föreslagna lösningen är väl förenlig med rambeslutet.
Lagrådet anser att den föreslagna övergångsbestämmelsen bör utgå och menar att tillämpningsproblem av det slag regeringen redovisar inte är något unikt för den aktuella lagen. Lagrådet framhåller att den nya lagen åtminstone bör kunna tillämpas i de fall där uppgifternas ursprung och karaktär står klar. Regeringen har respekt för Lagrådets synsätt och instämmer i att dataskyddet naturligtvis så långt det är möjligt ska tillgodoses. Enligt regeringens mening får det dock inte råda oklarhet i fråga om vilka uppgifter som omfattas av den nya lagen. Även om både ursprunget och bakgrunden till överföringen av en äldre uppgift i vissa fall är känd, kan det vara svårt att i efterhand klarlägga för vilket eller vilka närmare ändamål uppgiften överfördes. Före lagens tillkomst har det sällan funnits anledning att diskutera den frågan närmare eller dokumentera detta. På motsvarande sätt kan det vara svårt att i efterhand få ett sådant medgivande som krävs för att en uppgift ska få föras vidare till exempelvis ett tredjeland eller enskild. En retroaktiv tillämpning av lagen väcker dessutom frågan hur långt tillbaka i tiden regleringen sträcker sig. Ju äldre uppgiften är desto svårare blir det för både myndigheter och tillsynsorgan att avgöra om uppgiften behandlas i enlighet med lagen. Av dessa skäl anser regeringen att lagen bör tillämpas på uppgifter som överförs eller görs tillgängliga från och med den dag då lagen träder i kraft.
Den nya lagen om tystnadsplikt för anställda vid Europeiska polisbyrån innehåller en straffbestämmelse. Förslaget innebär en kriminalisering av något som tidigare inte varit straffbelagt. Enligt 5 § andra stycket lagen (1964:163) om införande av brottsbalken ska straff bestämmas efter den lag som gällde när gärningen företogs. Gäller annan lag när dom meddelas ska den lagen, enligt samma lagrum, tillämpas om den leder till frihet från straff eller till lindrigare straff. Bestämmelsen anses generellt tilllämplig vid ändringar i strafflagstiftningen och nykriminalisering och innebär att i valet mellan äldre och ny lag ska den lag väljas som för den tilltalade är minst ingripande. Några särskilda övergångsbestämmelser behövs därför inte till den nu aktuella lagen.
Övriga lagändringar kräver inga övergångsbestämmelser.
9 Konsekvenserna av förslagen
Regeringens bedömning: De eventuella merkostnader som förslagen kan ge upphov till kan finansieras inom befintliga anslag.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Det övervägande antalet remissinstanser yttrar sig inte i fråga om ekonomiska konsekvenser av utredningens förslag. Ekobrottsmyndigheten anser dock att bedömningen av hur omfattande kostnaderna för framtagande av ett system för märkning kommer att bli kräver en närmare analys av hur märkningen kan genomföras. Att införa ett sådant system kräver både tid och resurser. Det är viktigt att kravet på märkningssystem, både i omfattning och i tid, överensstämmer med vad som är möjligt för myndigheterna att realisera. Att märkningen dessutom bör följa med från myndighet till myndighet medför att systemet blir än mer komplicerat. Kriminalvården framför liknande synpunkter. Kronofogdemyndigheten anser att det utan fördjupade analyser av förslagets effekter inte är möjligt att fullt ut bedöma de tekniska anpassningar av datastödet som märkningen kräver. Om märkningen av uppgifter inte går att genomföra inom ramen för befintligt datastöd, kommer det dock att krävas ett omfattande utvecklingsarbete vars kostnadsmässiga konsekvenser uppskattas till ca 1,7-4,3 miljoner kr. Kronofogdemyndigheten bedömer, i motsats till utredningen, att den kostnaden inte ryms inom befintliga budgetramar. Uppsala universitet påpekar, mot bakgrund av den svåröverskådliga reglering som numera gäller för internationellt samarbete och informationsutbyte inom rättsväsendet och de ofta mycket känsliga och integritetskränkande uppgifter som aktualiseras, att förutsättningarna för Datainspektionen att bedriva en effektiv tillsyn är av central betydelse. Frågan om Datainspektionen har tillräckliga resurser och kompetens inom det aktuella området för att faktiskt kunna bedriva en effektiv tillsyn har inte berörts.
Utkastet till lagrådsremiss överensstämmer med regeringens bedömning.
Remissinstanserna: Kriminalvården och Uppsala universitet vid-
håller sina i tidigare remissyttranden redovisade synpunkter. Domstolsverket delar inte bedömningen att anpassningskostnaderna för ett märkningssystem bör bli begränsade mot bakgrund av att det totalt sett kommer att röra sig om en mindre mängd uppgifter som överförs i enlighet med den nya lagstiftningen och menar att det står klart att det kommer att bli nödvändigt med ett resurstillskott för verkets utvecklingsverksamhet. Kronofogdemyndigheten framhåller att utvecklingskostnaden torde vara oberoende av om det är en större eller mindre mängd uppgifter som ska hanteras i det nya systemet.
Skälen för regeringens bedömning: Genomförandet av återstående delar av dataskyddsrambeslutet innebär inte någon utökning av informationsutbytet. Rambeslutet och de föreslagna författningsändringarna påverkar ändå alla myndigheter vars verksamhet helt eller delvis innefattar brottsbekämpning, lagföring eller verkställighet av påföljder. Även om myndigheterna i fråga utbyter information över gränserna i olika stor utsträckning, kräver dataskyddsrambeslutet att det vid alla myndigheter ska vara möjligt att särbehandla sådana uppgifter som omfattas av de nya reglerna. De föreslagna författningsändringarna förutsätter således någon form av märkning. Det är dock inte nödvändigt att skapa några nya datasystem för detta ändamål. Några kostnader för nya databaser behöver därför inte beräknas. En märkning av elektroniska uppgifter kan dock, beroende på hur den utformas, kräva viss anpassning av befintliga register och databaser. Eftersom det endast handlar om sådana uppgifter som skickas över gränserna, rör det sig totalt sett om en mindre mängd uppgifter. Beroende på mängden uppgifter som hos en myndighet omfattas av den nya lagen, kan det inte ens uteslutas att märkningen kan ske manuellt. Anpassningskostnaderna bör därför bli begränsade. Merparten av kostnaderna kan förväntas uppstå i samband med den initiala tekniska översynen och vid eventuell anpassning av befintliga system. Farhågorna som Kriminalvården och Kronofogdemyndigheten hyser bör därför inte överdrivas. Utgångspunkten är således, trots vad Domstolsverket och Kronofogdemyndigheten anför, att kostnaderna kan hanteras inom ramen för befintlig budget.
Dataskyddsrambeslutet och de föreslagna författningsändringarna innebär, som nyss nämnts, inte i sig något utökat informationsutbyte hos de berörda myndigheterna. Av samma skäl torde inte Datainspektionens tillsynsuppgifter öka. Några kostnader för ökad arbetsbelastning som Uppsala universitet befarar torde därför inte uppkomma hos myndigheterna.
Genomförandet av återstående delar av Europolrådsbeslutet bedöms inte leda till några kostnadsökningar.
Inte heller i övrigt kommer enligt regeringens mening förslagen att få några konsekvenser som bör redovisas här.
10 Författningskommentar
10.1 Förslaget till lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen
Lagens syfte
Rubriken har utformats i enlighet med Lagrådets förslag.
1 § Genom denna lag genomförs rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).
Lagen är ny. Genom lagen genomförs de sista delarna av rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personupp-gifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet). Lagen innehåller framförallt bestämmelser om tillåtna ändamål för vidarebehandling och villkor om användningsbegränsningar samt särskilda bestämmelser om överföring av uppgifter till enskilda, till tredjeland och till internationella organ.
I paragrafen upplyses om att lagen genomför dataskyddsrambeslutet.
Lagens tillämpningsområde
2 § Denna lag gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om uppgifterna inom ramen för polissamarbete eller straffrättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
När svenska myndigheter överför personuppgifter till eller gör sådana uppgifter tillgängliga för dem som anges i första stycket 1-4 gäller bara bestämmelserna i 3 och 9 §§, med de begränsningar som följer av 4 §.
Paragrafen, som genomför artikel 1.2 a-c i rambeslutet, innehåller bestämmelser om vilka uppgifter som lagen ska tillämpas på. Den reglerar tillsammans med 3 och 4 §§ lagens tillämpningsområde. Paragrafen behandlas i avsnitt 6.4.1.
Med personuppgifter avses här detsamma som i 3 § personuppgiftslagen (1998:204), dvs. all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Med behandling avses också detsamma som i 3 § personuppgiftslagen, dvs. varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter. Det kan röra sig om t.ex. registrering, organisering, lagring, bearbetning, utlämnande och förstöring.
Första stycket, som utformats i enlighet med Lagrådets synpunkter, anger att lagen gäller vid behandling av sådana personuppgifter som överförs inom ramen för polissamarbete eller straffrättsligt samarbete och behandlas i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder. Vidare anges varifrån uppgifterna ska härröra eller vart de ska skickas för att lagen ska vara tillämplig. Lagen är tilllämplig på uppgifter som en svensk myndighet erhåller från eller skickar till en annan EU-medlemsstat (punkt 1) eller Island, Norge, Schweiz eller Liechtenstein (punkt 2). Enligt rambeslutet ska det vidare tillämpas på uppgifter från och till EU-organ eller informationssystem som inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen eller fördraget om upprättande av Europeiska gemenskapen. Detta innebär att även uppgifter som en svensk myndighet erhåller från eller skickar till ett EU-organ, t.ex. Europol, eller ett EU-informationssystem som avser polissamarbete eller straffrättsligt samarbete, t.ex. Europol Information System (EIS), omfattas av lagen. En slagning i EIS som resulterar i personuppgifter omfattas alltså av lagens tillämpningsområde. Det sagda gäller dock bara när uppgifterna behandlas i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller verkställa straffrättsliga påföljder. Begreppen "överförs" och "görs tillgängliga" används i dataskyddsrambeslutet och innebörden av begreppen ska förstås utifrån rambeslutets syfte och sammanhang.
Lagen ska tillämpas bl.a. på uppgifter som polisen får från polismyndigheter i andra stater eller från Europol. Som exempel kan nämnas uppgifter om misstänkta brottslingar som tillhandahålls av en polismyndighet i en annan EU-stat. Lagen är också tillämplig exempelvis på uppgifter som Tullverket mottar vid europeiskt samarbete mot gränsöverskridande brottslighet, såsom tips om en misstänkt narkotikakurir eller sådan information om en kontrollerad leverans av narkotika som innefattar personuppgifter. Lagen är vidare tillämplig när en svensk brottsbekämpande myndighet begärt personinformation från en motsvarande europeisk myndighet. Lagen ska också tillämpas på personuppgifter i en framställning från en myndighet i en annan medlemsstat om förhör i Sverige med en viss utpekad person.
Lagen reglerar även vidarebehandling av uppgifter som erhållits för det primära syftet att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller verkställa straffrättsliga påföljder. Det innebär att lagen även kommer att kunna påverka i vilken utsträckning uppgifter som omfattas av lagens tillämpningsområde kan användas för annan polisiär verksamhet än brottsbekämpning och för administrativa förfaranden med anknytning till brottsbekämpning, t.ex. indragning av körkort. Behandling för historiska, statistiska och vetenskapliga ändamål är ett annat exempel på vidarebehandling. Dessa frågor behandlas närmare i kommentaren till 5 §.
Visst informationsutbyte undantas genom bestämmelser i 4 §. Som framgår av 3 § omfattar regleringen bara sådan behandling av personuppgifter som är helt eller delvis automatiserad eller som ingår i register.
Det andra stycket anger att när svenska myndigheter gör tillgängliga eller överför sådana personuppgifter som omfattas av lagens tillämpningsområde till en annan EU-stat eller annan mottagare som anges i lagen, gäller endast bestämmelserna i 3och 9 §§, med de begränsningar som följer av 4 §. Som exempel kan nämnas att en svensk polisman sänder över personuppgifter som underlag för ett förhör som på svensk begäran ska hållas i en annan medlemsstat, eller när en svensk åklagare sänder personuppgifter i syfte att en tjänsteman i en annan stat ska kunna bedöma om man kan ta över lagföringen för ett visst brott. Ett annat exempel är att Kriminalvården begär att en annan stat som omfattas av rambeslutet ska ta över verkställigheten av ett straff som har utdömts i Sverige. Stycket har utformats med beaktande av Lagrådets synpunkter.
3 § Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Paragrafen, som genomför artikel 1.3 i rambeslutet, preciserar vilka personuppgifter som omfattas av lagen. Paragrafen kommenteras i avsnitt 6.4.1.
Paragrafen, som är utformad efter mönster av 5 § personuppgiftslagen (1998:204), har samma innebörd som den paragrafen. Lagen gäller således framförallt sådana personuppgifter som behandlas helt eller delvis automatiserat. Det avgörande är om uppgifterna behandlas helt eller delvis automatiserat hos svenska myndigheter. Numera är automatiserad behandling oftast elektronisk. Om uppgifterna överförs eller görs tillgängliga i elektronisk form ska lagen således tillämpas. Det innebär exempelvis att uppgifter som lämnas i ett e-postmeddelande eller som vidarebefordras som bilaga i ett sådant meddelande faller under tillämpningsområdet. Även uppgifter i annan form, t.ex. uppgifter i pappersform, omfattas av lagens tillämpningsområde, under förutsättning att uppgifterna hos den svenska myndigheten ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen är också tillämplig på uppgifter som överförs i pappersform men som därefter behandlas elektroniskt.
4 § Lagen gäller inte för sådan behandling av personuppgifter som rör nationell säkerhet.
Lagen gäller inte heller för behandling av personuppgifter som görs eller har gjorts tillgängliga eller överförs eller har överförts genom
1. informationsutbyte som hänför sig till Schengens informationssystem (SIS),
2. informationsutbyte genom Tullinformationssystemet (TIS),
3. uppgiftsutbyte med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet), eller
4. åtkomst enligt rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott.
Paragrafen, som genomför artikel 1.4 och artikel 28 i rambeslutet, reglerar undantag från lagens tillämpningsområde. Paragrafen behandlas i avsnitt 6.4.2 och 6.14.
I det första stycket, som utformats enligt Lagrådets förslag, undantas från lagens tillämpningsområde sådan behandling av personuppgifter som rör nationell säkerhet. Undantaget för nationell säkerhet omfattar dels underrättelseverksamhet, dels brottsutredande verksamhet och lagföring av sådana brott som kan anses hota nationell säkerhet samt verkställighet av påföljder för sådana brott.
Med nationell säkerhet avses här framför allt verksamhet till skydd för rikets säkerhet, men också exempelvis terrorismbekämpning och personskydd för framför allt centrala statsledningen. Även bekämpning av andra brott där uppgifter om nationell säkerhet ingår kan omfattas av undantaget.
Undantaget har framförallt betydelse för Säkerhetspolisen, vars nuvarande verksamhet i allt väsentligt faller utanför lagens tillämpningsområde. Även andra myndigheter kan dock träffas av undantaget. Som exempel kan nämnas viss verksamhet vid åklagarkammaren för säkerhetsmål. Även andra åklagare kan komma att beröras av undantaget vid hantering av en förundersökning eller annan åklagarfråga där uppgifter om nationell säkerhet ingår. Likaså kan undantaget vara tillämpligt när en domstol handlägger bl.a. mål om brott mot rikets säkerhet eller tvångsmedelsfrågor med sådan anknytning. Det är således inte vissa myndigheter som undantas utan viss verksamhet.
I andra stycket undantas från lagens tillämpningsområde sådant informationsutbyte som hänför sig till Schengens informationssystem (SIS) eller sker genom Tullinformationssystemet (TIS) eller med stöd av Prümrådsbeslutet. Nu nämnda informationsutbyten regleras i stället i andra författningar. Undantaget för Schengens informationssystem omfattar, förutom de uppgifter som registreras i SIS, även s.k. tilläggsinformation enligt 12 § lagen (2000:344) om Schengens informationssystem. Undantag görs också för brottsbekämpande myndigheters åtkomst till VIS med stöd av VIS-rådsbeslutet.
Tillåtna ändamål för behandling av personuppgifter
5 § Personuppgifter som har erhållits enligt 2 § första stycket får endast behandlas för andra ändamål än det som uppgifterna först överfördes eller gjordes tillgängliga för, om syftet med behandlingen är att
1. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
2. vidta åtgärder i rättsliga eller administrativa förfaranden med direkt anknytning till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, eller
3. avvärja en omedelbar och allvarlig fara för allmän säkerhet.
Personuppgifter får även behandlas för andra ändamål än dem som anges i första stycket, om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.
Personuppgifter får också behandlas för historiska, vetenskapliga och statistiska ändamål.
Paragrafen, som genomför artikel 11 a-d i rambeslutet, anger för vilka ändamål en svensk myndighet får vidarebehandla uppgifter som omfattas av lagen. Den kommenteras i avsnitt 6.6.2. Paragrafen har utformats i enlighet med Lagrådets förslag.
En självklar utgångspunkt i lagen är att personuppgifter alltid får behandlas för det ändamål för vilket de ursprungligen överfördes eller gjordes tillgängliga. För att frågan om vidarebehandling, vilket denna paragraf reglerar, över huvud taget ska aktualiseras måste självfallet behandlingen i fråga vara nödvändig och tillåten enligt den svenska lagstiftningen om personuppgiftsbehandling. Eventuell vidarebehandling får inte heller strida mot villkor enligt 8 §.
Av första stycket framgår att vidarebehandling alltid är tillåten - utöver för det ändamål för vilket personuppgifterna ursprungligen överfördes eller gjordes tillgängliga - för vissa andra i paragrafen angivna ändamål.
Första stycket första punkten ger generell möjlighet att behandla personuppgifter som omfattas av lagen i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, i andra fall än det för vilka uppgifterna överfördes eller gjordes tillgängliga. Härigenom skapas bl.a. förutsättningar för att använda överförda uppgifter för i princip all brottsbekämpande verksamhet. För åklagarväsendets del innebär regleringen att uppgifter får användas för förundersökning och lagföring beträffande andra brott. Kriminalvården och andra myndigheter som verkställer påföljder får använda uppgifterna för verkställighet av andra påföljder. Det sagda gäller dock inte om den som översänt eller gjort uppgifterna tillgängliga i ett enskilt fall har ställt som villkor att användningen av uppgifterna begränsas på visst sätt, se kommentaren till 8 §.
Första stycket andra punkten ger möjlighet att behandla personuppgifter som omfattas av lagen i syfte att fatta beslut och vidta åtgärder i rättsliga eller administrativa förfaranden med direkt anknytning till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder. Punkten kan vara tillämplig exempelvis vid handläggning av frågor om disciplinansvar, körkortsåterkallelse, kontakt- eller tillträdesförbud och indragning av legitimation som grundas på sådana uppgifter om brott eller brottslig verksamhet som överförts eller gjorts tillgängliga med stöd av rambeslutet.
Första stycket tredje punkten ger även möjlighet att behandla person-uppgifter i syfte att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Exempel på situationer som kan föranleda behandling med stöd av denna punkt är omedelbar och allvarlig fara för allmän säkerhet som uppkommer i samband med kapning av flygplan eller andra kommunikationsmedel eller vid vissa idrottsevenemang av högriskkaraktär.
I andra stycket anges att vidarebehandling av personuppgifter som omfattas av lagen får ske också för andra ändamål, under förutsättning att den som överfört eller gjort uppgifterna tillgängliga lämnar sitt medgivande till den nya behandlingen. Detsamma gäller om den enskilde själv samtycker till behandlingen. Om den överförande staten inte har varit villig att ge sitt medgivande, ligger det dock nära till hands att avstå från den nya behandlingen även om den enskilde skulle samtycka till den. Den som överfört uppgifterna kan ju nämligen ha verksamhetsskäl för att inte acceptera vidarebehandling.
I tredje stycket anges att det alltid är tillåtet att behandla personuppgifter för historiska, vetenskapliga och statistiska ändamål.
Den aktuella paragrafen utgör den yttre ramen för vidarebehandling av uppgifter som omfattas av lagens tillämpningsområde. Om det i annan lagstiftning finns avvikande bestämmelser som inskränker möjligheterna till behandling ska även de beaktas.
Överföring av personuppgifter till enskilda
6 § Personuppgifter som har erhållits enligt 2 § första stycket får överföras till enskilda om
1. den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,
2. överföringen är nödvändig för att
a) myndigheten ska kunna fullgöra en författningsreglerad uppgift,
b) förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
c) avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller
d) förhindra att enskildas rättigheter allvarligt kränks, och
3. inga berättigade intressen hos den som uppgifterna avser hindrar att de överförs.
Första stycket gäller inte i fråga om uppgifter som lämnas till enskilda vid handläggning av brottmål.
Paragrafen, som genomför artikel 14 i rambeslutet, innehåller särskilda bestämmelser som måste iakttas om uppgifter som omfattas av lagen ska överföras till enskild. Paragrafen, som har utformats med beaktande av Lagrådets synpunkter, behandlas i avsnitt 6.13.
Regleringen i paragrafen hindrar inte ett utlämnande av allmänna handlingar enligt tryckfrihetsförordningen (se avsnitt 6.6.4). Jfr också 8 § personuppgiftslagen.
Enligt första stycket får överföring till enskild bara ske om de i punkt 1-3 angivna förutsättningarna samtidigt är uppfyllda. Punkterna 2 a-d är alternativa. Med enskild avses här t.ex. enskilda personer och företag, i motsats till myndigheter och andra offentliga organ. Som exempel på när andra punkten a kan vara tillämplig kan nämnas en författningsreglerad underrättelseskyldighet. Ett exempel på när det kan vara nödvändigt att lämna uppgifter enligt andra punkten c är om det finns uppgifter om förestående allvarliga störningar i samhällslivet som har samband med brott eller andra särskilda händelser som kan vålla omfattande ordningsstörningar. Andra punkten d kan vara tillämplig t.ex. om det är nödvändigt att varna banker eller kreditinstitut för förekomsten av förfalskade sedlar eller värdepapper. Ett annat exempel på tillåten överföring enligt denna punkt är när uppgifter om fordonsstölder lämnas till försäkringsbolag för att förhindra olaglig handel över gränserna med stulna motorfordon eller för att kunna återföra stulna motorfordon från utlandet. Den tredje punkten innebär att den som vill överföra uppgifter måste försäkra sig om att en sådan överföring inte hindras av några berättigade intressen hos den som uppgifterna rör. Om det skulle ligga i den enskildes eget intresse att uppgifterna överförs, exempelvis för att ett brottsoffer ska kunna återfå egendom, bör en överföring alltid kunna ske, även om det inte finns ett formellt samtycke från honom eller henne.
I andra stycket, som återspeglar skäl 17 och 18 i rambeslutet, finns ett viktigt undantag. Begränsningarna i första stycket gäller inte vid överföring av uppgifter till enskilda vid handläggningen av brottmål. Bestämmelsen begränsar således inte möjligheterna för bl.a. parter, målsägandeombud och offentliga försvarare att få del av uppgifter i samband med förundersökning och åtal. Regleringen hindrar inte heller att exempelvis Kriminalvården vidarebefordrar uppgifter till enskilda i enlighet med den lagstiftning som gäller för behandling i häkte. Eftersom sådant utlämnande ofta sker i pappersform används här formuleringen lämnas i stället för överförs.
Överföring av personuppgifter till tredjeland eller internationella organ
7 § Personuppgifter som har erhållits enligt 2 § första stycket får, förutom till dem som anges i 2 § första stycket 1-4, överföras till tredjeland eller internationella organ. Uppgifterna får dock endast överföras om
1. den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,
2. det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
3. mottagaren har ansvar för sådan verksamhet som anges i 2, och
4. den stat där den mottagande myndigheten eller det mottagande internationella organet finns har en adekvat skyddsnivå för den avsedda personuppgiftsbehandlingen.
Om kravet på adekvat skyddsnivå enligt första stycket 4 inte är uppfyllt, får personuppgifter ändå överföras i ett enskilt fall om överföringen är motiverad av ett berättigat intresse hos den som uppgifterna avser eller av ett särskilt viktigt allmänt intresse eller om mottagaren i det enskilda fallet tillhandahåller tillräckliga skyddsåtgärder för personuppgifterna.
Om medgivande enligt första stycket 1 på grund av tidsbrist inte kan utverkas i förväg, får personuppgifter ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller annan medlemsstat i Europeiska unionen.
Paragrafen, som genomför artikel 13.1-3, anger vilka särskilda regler som måste iakttas om uppgifter som omfattas av lagen ska överföras till tredjeland eller ett internationellt organ. Paragrafen behandlas i avsnitt 6.12. Paragrafen har utformats med beaktande av Lagrådets synpunkter.
Av första stycket framgår att uppgifter som omfattas av lagen får överföras till eller göras tillgängliga för, förutom dem som anges i 2 § första stycket 1-4, tredjeland och internationella organ. Överföring till tredjeland eller internationella organ får dock endast ske om de i punkterna 1-4 i denna paragraf angivna förutsättningarna samtidigt är uppfyllda.
En grundläggande förutsättning, som anges i den första punkten, är att den som från början överförde eller gjorde uppgifterna tillgängliga medger att överföring sker. Kravet i andra punkten innebär en generell begränsning av de ändamål för vilka personuppgifter som omfattas av lagen får skickas vidare till tredjeland och internationella organ. Överföringen av uppgifterna måste vara nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda eller beivra brott eller verkställa straffrättsliga påföljder.
Den tredje punkten innebär en begränsning av vilka utländska mottagare som kan få del av personuppgifter som omfattas av lagen. Mottagaren behöver inte ha samma uppgifter som den svenska myndighet som överför uppgifterna eller gör dem tillgängliga. Det finns således inget som hindrar att exempelvis en svensk åklagare lämnar uppgifter till en utländsk polismyndighet eller en utländsk domstol. När det gäller internationella organ är det framför allt Interpol som är av intresse. Även vissa utredningsorgan under FN torde kunna ha sådana uppgifter som anges i punkt 2 och därmed omfattas av förevarande punkt.
Enligt fjärde punkten krävs slutligen att den stat där den myndighet eller det internationella organ finns som ska ta emot personuppgifterna har en adekvat skyddsnivå för den avsedda personuppgiftsbehandlingen. Bedömningen av om mottagaren har en adekvat skyddsnivå får avgöras med hänsyn till samtliga omständigheter. Särskild hänsyn bör tas till uppgifternas art, den avsedda behandlingen och dess ändamål och varaktighet, vem mottagaren är och vilken lagstiftning som gäller för mottagaren. Hänsyn kan även tas till de säkerhetsbestämmelser som finns och eventuella etiska regler för behandlingen. Generellt sett torde bl.a. Interpol och utredningsorgan under FN uppfylla kraven. Bestämmelsen har viss motsvarighet i 35 § personuppgiftslagen (1998:204).
I andra stycket finns en ventil som ger möjlighet att göra undantag från kravet på adekvat skyddsnivå. Enligt detta stycke får i ett enskilt fall personuppgifter överföras trots att en adekvat skyddsnivå inte kunnat fastställas, om ett berättigat intresse hos den som uppgifterna avser eller ett viktigt allmänt intresse föranleder det, eller om mottagaren i det tredjelandet eller det internationella organet i det enskilda fallet garanterar tillräckliga skyddsåtgärder för personuppgifterna. Exempel på skyddsåtgärder är bl.a. åtagande att inte sprida uppgifterna vidare eller att gallra uppgifterna vid viss tidpunkt.
Om det på grund av tidsbrist inte är möjligt i förväg inhämta medgivande från den som överfört uppgifterna till Sverige finns det enligt tredje stycket möjlighet att överföra personuppgifter utan medgivande. För att detta ska vara tillåtet krävs dock att åtgärden är nödvändig för att avvärja en omedelbar och allvarlig fara för allmän säkerhet i Sverige eller utomlands eller för att tillgodose andra väsentliga intressen för Sverige eller en annan medlemsstat i EU. Möjligheten att överföra uppgifter utan medgivande i förväg ska betraktas som en nödlösning. En konkret och akut risk för terrorattentat eller flygplanskapning kan vara exempel på situationer där det kan vara nödvändigt att utnyttja denna möjlighet. Ett annat exempel kan vara en plötslig omdestinering av ett större parti narkotika.
Villkor om användningsbegränsningar
Villkor som ställs upp av andra stater eller EU-organ
8 § Om en svensk myndighet har erhållit uppgifter enligt 2 § första stycket och det finns villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.
Det som sägs i första stycket hindrar inte att uppgifter behandlas efter utgången av en sådan tidsfrist för gallring som angetts som villkor vid överföringen, om behandlingen behövs för en pågående utredning, beivrande av brott eller verkställighet av straffrättsliga påföljder. Uppgifterna ska då gallras när de inte längre behövs för ett sådant ändamål.
I första stycket, som tillsammans med 9 § genomför artikel 12 i rambeslutet, anges vad som gäller om en svensk myndighet erhållit uppgifter som omfattas av lagen och överföringen eller tillgängliggörandet förenats med villkor för användningen av uppgifterna. Paragrafen behandlas i avsnitt 6.7.1.
Om den som överfört eller gjort uppgifter tillgängliga har ställt upp särskilda villkor för hur en viss uppgift får behandlas, t.ex. för vilka ändamål detta får ske, när uppgiften tidigast får användas eller hur länge uppgiften får bevaras, ska enligt paragrafen villkoren följas av svenska myndigheter. Detta gäller oavsett vad som annars är föreskrivet i lag eller annan författning. Förundersökningsplikten och åtalsplikten kan alltså få vika för ett villkor om användningsbegränsning. Som Lagrådet påpekar avses med "svenska myndigheter" också domstolar. Ett begränsande villkor följer med uppgiften om den lämnas vidare till en annan myndighet (se prop. 1990/91:131 s. 15 f. och JO 2007/08 s. 57 f.). Bestämmelser om användningsbegränsningar med likartad innebörd finns bl.a. i 3 § lagen (2000:343) om internationellt polisiärt samarbete och 5 kap. 1 § lagen (2000:562) om internationell rättslig hjälp i brottmål.
Enligt andra stycket får under vissa förutsättningar uppgifterna användas, trots att de skulle ha gallrats enligt meddelade villkor om gallringsfrist. Undantaget omfattar bara uppgifter som behövs för en redan påbörjad utredning eller för pågående beivrande av brott eller verkställighet av straffrättsliga påföljder. Uppgifterna ska då gallras när de inte längre behövs för ett sådant ändamål.
Villkor när svenska myndigheter överför uppgifter eller gör uppgifter tillgängliga
9 § Om en svensk myndighet överför personuppgifter till eller gör personuppgifter tillgängliga för någon av dem som anges i 2 § första stycket 1-4, ska myndigheten underrätta mottagaren om de särskilda villkor som gäller för användningen av uppgifterna. Villkoren får inte innebära andra begränsningar än sådana som gäller vid överföring inom Sverige och får inte heller strida mot en internationell överenskommelse som är bindande för Sverige.
Paragrafen genomför tillsammans med 8 § artikel 12 i rambeslutet. Paragrafen behandlas i avsnitt 6.7.2.
Enligt paragrafen åligger det den svenska myndighet som överför personuppgifter till någon av dem som anges i 2 § första stycket 1-4 att underrätta mottagaren om de särskilda villkor som gäller för användningen av uppgifterna. Sådana villkor får inte innebära andra begränsningar än de som gäller för överföring inom Sverige. Andra villkor än sådana som hade kunnat ställas upp gentemot en svensk mottagare, t.ex. med hänsyn till sekretess, får alltså inte ställas upp gentemot den utländska mottagaren. Ett villkor får inte heller innebära strängare krav på gallring än vad som kunnat ställas gentemot en svensk mottagare.
Som exempel på när det kan vara aktuellt att ange villkor kan nämnas att användningen av uppgifterna kan påverka en pågående svensk förundersökning som är i ett känsligt utredningsskede. Då kan det finnas skäl att ange villkor om hur och när uppgifterna får användas för att skydda den svenska brottsutredningen; jfr 18 kap. 1 § offentlighets- och sekretesslagen (2009:400). Ett annat exempel är att det är fråga om uppgifter för vilka det gäller sekretess enligt svensk rätt och vilkas röjande skulle kunna innebära skada för enskild. I sådana fall kan villkor ställas upp för att skydda den till vars förmån sekretessen gäller. Ytterligare ett exempel är att uppgifterna har inhämtats genom hemlig avlyssning av elektronisk kommunikation eller hemlig kameraövervakning. Om sådana uppgifter överlämnas finns det skäl att ställa villkor om att materialet ska förstöras när det rättsliga förfarandet är avslutat i den andra staten, eftersom sådant material enligt svenska regler ska förstöras när domen vunnit laga kraft.
Även sådana särskilda begränsningar som föranleds av en internationell överenskommelse som är bindande för Sverige kan aktualisera villkor. Som exempel kan nämnas att det är fråga om uppgifter som en svensk myndighet har fått från en annan stat med villkor om begränsningar för användningen. Om den svenska myndigheten med ursprungsstatens medgivande sänder uppgifterna vidare till tredjeland framstår det som självklart att den svenska myndigheten måste ange motsvarande villkor för den nya mottagarens användning.
Bestämmelser av likartat slag finns bl.a. i 3 a § lagen (2000:343) om internationellt polisiärt samarbete och 5 kap. 2 § lagen (2000:562) om internationell rättslig hjälp i brottmål.
Övriga bestämmelser
Rubriken har utformats i enlighet med Lagrådets förslag.
10 § Bestämmelsen om jämkning av skadestånd i 48 § andra stycket personuppgiftslagen (1998:204) gäller inte vid behandling av personuppgifter enligt denna lag.
Paragrafen, som genomför artikel 19.2 i rambeslutet, behandlas i avsnitt 6.10.1. I paragrafen föreskrivs att bestämmelsen om jämkning i 48 § andra stycket personuppgiftslagen (1998:204) inte gäller för uppgifter som överförts till eller gjorts tillgängliga för svenska myndigheter med stöd av förevarande lag.
I fråga om uppgifter som behandlas av svenska myndigheter och som därefter överförs till t.ex. en annan medlemsstat - och som således varken har erhållits från ett EU-organ, en annan medlemsstat eller någon annan med tillämpning av rambeslutet - gäller dock personuppgiftslagens jämkningsregel som vid annan nationell behandling (se 2 § andra stycket).
11 § Regeringen eller den myndighet regeringen bestämmer meddelar ytterligare föreskrifter om skyddet av personuppgifter enligt denna lag.
Paragrafen upplyser om att regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om skyddet av personuppgifter som omfattas av lagen. Sådana föreskrifter kan avse exempelvis gallringsbestämmelser (jfr avsnitt 6.7.2). Paragrafen har utformats i enlighet med Lagrådets förslag.
10.2 Förslaget till lag om tystnadsplikt för anställda vid Europeiska polisbyrån
1 § Den som är eller har varit verksam vid Europeiska polisbyrån (Europol) i egenskap av ledamot i styrelsen eller anställd, eller har ålagts tystnadsplikt med stöd av artikel 41.2 i rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), får inte obehörigen röja uppgifter som han eller hon fått kännedom om på grund av verksamheten vid Europol.
I fråga om den som fått del av uppgifter som avses i första stycket inom ramen för anställning eller uppdrag hos en svensk myndighet ska i stället offentlighets- och sekretesslagen (2009:400) tillämpas.
Lagen är ny. Den behandlas i avsnitt 7.5.
Lagens tillämpningsområde, som anges i paragrafens första stycke, omfattar vissa personer verksamma vid Europol. Lagen gäller både för personer som fortfarande tjänstgör vid Europol och personer vilkas tjänstgöring har upphört. En förutsättning för att lagen ska vara tillämplig är att personen i fråga har ålagts tystnadsplikt enligt artikel 41.2 i rådets beslut av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), det s.k. Europolrådsbeslutet. Tystnadsplikt kan åläggas de som är anställda vid Europol. Det kan vara fråga bl.a. om direktören och de biträdande direktörerna och andra anställda i Europol. Tystnadsplikt kan också åläggas ledamöter i styrelsen för Europol. Även andra personer kan åläggas tystnadsplikt enligt nämnda artikel. Externa konsulter är exempel på sådana andra personer. Rådsbeslutet förutsätter att den som åläggs tystnadsplikt skriftligen informeras om detta.
Lagen förbjuder bara sådant uppgiftslämnande som sker obehörigen. Uppgiftslämnande som utgör ett led i arbetet vid Europol omfattas således inte av förbudet. Som obehörigt röjande anses inte heller att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Om utlämnandet av en motsvarande uppgift skulle stå i överensstämmelse med regleringen i offentlighets- och sekretesslagen (2009:400), om uppgiften lämnades av en offentliganställd, får uppgiftslämnandet anses vara behörigt vid tillämpningen av denna lag. Rådsbeslutet undantar även "sakförhållanden eller upplysning som är för obetydlig för att omfattas av sekretesskrav". Detta kan närmast jämföras med uppgifter som antingen är allmänt kända eller vilkas röjande inte skulle anses innebära något men i offentlighets- och sekretesslagens mening. Det kan således inte anses vara obehörigt att röja sådana uppgifter.
Röjande av uppgifter i strid med tystnadsplikten enligt denna lag bestraffas som brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken. Reglerna om jurisdiktion i 2 kap. brottsbalken avgör möjligheterna att vid svensk domstol lagföra en person som begått brott mot förevarande lag. En person som är verksam vid Europol som sambandsman utsänd av en svensk myndighet har också tystnadsplikt enligt nyss nämnda artikel i Europolrådsbeslutet. Eftersom sådana sambandsmän är offentligt anställda i Sverige regleras deras tystnadsplikt inte i den nu aktuella lagen utan i offentlighets- och sekretesslagen vilket framgår av andra stycket, som har utformats med beaktande av Lagrådets synpunkter. Andra stycket upplyser vidare om att offentlighets- och sekretesslagen också gäller i fråga om den som inom ramen för ett uppdrag för en svensk myndighet har fått del av uppgifter som anges i första stycket.
10.3 Förslaget till lag om ändring i lagen (1998:620) om belastningsregister
Förhållandet till andra bestämmelser om personuppgiftsbehandling
1 a § Denna lag gäller utöver personuppgiftslagen (1998:204).
Paragrafen, som behandlar förhållandet till personuppgiftslagen, är ny. Den behandlas i avsnitt 6.16. I paragrafen tydliggörs att lagen gäller utöver personuppgiftslagen (1998:204).
1 b § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204). Detta gäller dock inte vid behandling av uppgifter som utbyts eller har utbytts enligt rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av personuppgifter ur kriminalregistret och uppgifternas innehåll. Bestämmelsen i 10 § lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska dock tillämpas även vid sådan behandling.
Paragrafen är ny. Paragrafen har utformats i enlighet med Lagrådets synpunkter. Bestämmelsen kommenteras i avsnitt 6.16.
Det första stycket innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.
I det andra stycket klargörs att om det i den nya lagen eller i anslutande föreskrifter från regeringen finns bestämmelser om behandling av personuppgifter som avviker från bestämmelserna i förevarande lag eller i personuppgiftslagen (1998:204) ska bestämmelserna i den nya lagen tillämpas. Att även personuppgiftslagen omnämns beror på att förevarande lag gäller utöver personuppgiftslagen. Ett generellt undantag görs dock för behandling av personuppgifter som härrör från uppgiftsutbyte med stöd av rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll. Regleringen i 10 § lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, som undantar möjligheten att jämka skadeståndsersättning, ska dock tillämpas även på sådan behandling.
10.4 Förslaget till lag om ändring i lagen (1998:621) om misstankeregister
Förhållandet till andra bestämmelser om personuppgiftsbehandling
1 a § Denna lag gäller utöver personuppgiftslagen (1998:204).
Paragrafen, som behandlar förhållandet till personuppgiftslagen, är ny. Den behandlas i avsnitt 6.16. I paragrafen tydliggörs att lagen gäller utöver personuppgiftslagen (1998:204).
1 b § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Paragrafen är ny. Paragrafen har utformats i enlighet med Lagrådets förslag. Bestämmelsen kommenteras i avsnitt 6.16.
Det första stycket innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.
I det andra stycket klargörs att om det i den nya lagen eller i anslutande föreskrifter från regeringen finns bestämmelser om behandling av personuppgifter som avviker från bestämmelserna i förevarande lag eller i personuppgiftslagen (1998:204) ska bestämmelserna i den nya lagen tillämpas. Att även personuppgiftslagen omnämns beror på att förevarande lag gäller utöver personuppgiftslagen.
10.5 Förslaget till lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar
1 a § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Paragrafen är ny. Den innehåller reglering av samma slag som 1 b § lagen (1998:621) om misstankeregister. Bestämmelsen kommenteras i avsnitt 6.16.
10.6 Förslaget till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete
1 b § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och i föreskrifter som regeringen har meddelat i anslutning till lagen. Detta gäller dock inte behandling av personuppgifter som utbyts eller har utbytts med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet.
Paragrafen, som behandlar förhållandet till andra bestämmelser om personuppgiftsbehandling, är ny. Den kommenteras i avsnitt 6.16. Paragrafen har utformats i enlighet med Lagrådets förslag.
Första stycket innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.
Första meningen i andra stycket klargör att om det i den nya lagen eller i anslutande föreskrifter från regeringen finns bestämmelser om behandling av personuppgifter som avviker från bestämmelserna i förevarande lag eller i förordningen till denna lag, ska bestämmelserna i den nya lagen tillämpas. Av sista meningen i stycket framgår att detta dock inte gäller uppgiftsutbyte med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet).
10.7 Förslaget till ändring i lagen (2011:1175) om ändring i lagen (2000:344) om Schengens informationssystem
4 § När det gäller framställningar som rör personer får endast följande uppgifter registreras:
1. efternamn, förnamn, tidigare använda namn, namn vid födseln och annat namn som personen använder,
2. särskilda bestående fysiska kännetecken,
3. fotografier och fingeravtryck,
4. födelsedatum och födelseort,
5. kön,
6. medborgarskap,
7. om personen kan vara beväpnad eller kan tillgripa våld,
8. om personen har avvikit från en inrättning där han eller hon med stöd av lag har varit berövad friheten,
9. syftet med framställningen,
10. begärd åtgärd,
11. om en försvunnen person behöver omhändertas eller inte,
12. den myndighet som har lagt in registreringen,
13. en hänvisning till det beslut som har föranlett registreringen,
14. typ av brott som avses i framställningen, samt
15. övriga uppgifter som ska anges i en europeisk eller nordisk arresteringsorder.
Därutöver får det, om det behövs, förekomma länkar till andra registreringar i registret, och uppgifter om verkställighetsförbud i Sverige med anledning av framställningar från andra Schengenstater.
Kompletterande uppgifter enligt 3 a § får endast avse sådana uppgifter om personen som anges i första stycket 1-6 samt uppgifter om nummer och datum för personens identitetshandlingar.
I paragrafens första stycke punkten 11 har av förbiseende ett stavfel uppkommit under tidigare lagstiftningsarbete. Ändringen består i att detta fel rättas till. I övrigt är paragrafen oförändrad.
10.8 Förslaget till lag om ändring i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet
1 kap.
3 a § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Paragrafen är ny. Den behandlas i avsnitt 6.16.
Det första stycket innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.
I det andra stycket klargörs att om det i den nya lagen eller i anslutande föreskrifter från regeringen finns bestämmelser om behandling av personuppgifter som avviker från bestämmelserna i förevarande lag eller i personuppgiftslagen (1998:204) ska bestämmelserna i den nya lagen tillämpas. Att även personuppgiftslagen omnämns beror på att förevarande lag gäller utöver personuppgiftslagen.
Exempel på verksamhet hos Kronofogdemyndigheten där bestämmelserna i den nya lagen kan behöva tillämpas är myndighetens uppgifter enligt lagen (2009:1427) om erkännande och verkställighet av bötesstraff inom Europeiska unionen. Ett annat exempel är myndighetens uppgifter inom ramen för bl.a. tillsyn över näringsförbud; jfr 24 § tredje stycket lagen (1986:436) om näringsförbud.
10.9 Förslaget till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården
2 a § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Paragrafen är ny. Den innehåller reglering av samma slag som 1 b § lagen (1998:621) om misstankeregister. Bestämmelsen kommenteras i avsnitt 6.16.
10.10 Förslaget till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet
1 a § I lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser om polisiärt samarbete.
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första och andra styckena finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
Paragrafen reglerar förhållandet till andra bestämmelser om personuppgiftsbehandling. Ändringen kommenteras i avsnitt 6.16.
Sista meningen i första stycket har brutits ut och placerats i ett nytt tredje stycke. I övrigt är första stycket oförändrat.
Det andra stycket är nytt och innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.
Det tredje stycket är också nytt, men motsvarar delvis den tidigare sista meningen i första stycket. Regleringen omfattar nu även lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen. Ändringen innebär att i den utsträckning det i de i första eller andra stycket angivna lagarna, eller i föreskrifter som regeringen har meddelat i anslutning till dessa, finns bestämmelser om personuppgiftsbehandling som saknar motsvarighet i eller som avviker från vad som föreskrivs i förevarande lag, ska den andra författningens bestämmelser tillämpas i stället.
7 § Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller beivra visst brott, eller
3. fullgöra förpliktelser som följer av internationella åtaganden.
Paragrafen reglerar de primära ändamålen för behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Ändringarna kommenteras i avsnitt 6.4.1 och 6.6.5.
I förtydligande syfte har ordet "förebygga" lagts till i den första punkten. Härigenom uppnås likformighet med hur motsvarande bestämmelser för andra brottsbekämpande myndigheter är utformade. Tillägget innebär att det görs tydligt att Tullverket får behandla personuppgifter i sin underrättelseverksamhet och annan verksamhet för att förebygga brott och brottslig verksamhet.
Den andra punkten är oförändrad.
I den tredje punkten har förtydligats att Tullverket generellt får be-handla personuppgifter i sin brottsbekämpande verksamhet i den utsträckning som krävs för att fullgöra internationella åtaganden.
Behandling av uppgifter som rör internationella åtaganden
15 § Utöver vad som följer av 12-14 §§ får Tullverket behandla uppgifter för sådant ändamål som anges i 7 § 3.
Endast de personer som arbetar med internationella åtaganden får ha direkt tillgång till uppgifterna.
Paragrafen reglerar behandling av personuppgifter för att fullgöra internationella åtaganden.
Det första stycket är oförändrat. I paragrafens andra stycke har en följdändring gjorts med anledning av att regleringen i 7 § 3 angående internationellt samarbete har gjorts generell. Ändringen kommenteras i avsnitt 6.6.5.
19 § Om förutsättningarna för behandling enligt 1, 7, 8 och 11-18 §§ är uppfyllda, får i tullbrottsdatabasen behandlas handlingar som kommit in till eller upprättats av Tullverket i ett ärende samt följande uppgifter:
1. uppgifter om en fysisk persons identitet, arbetsplats och yrke samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,
2. uppgifter om en juridisk persons identitet, firmatecknare, säte och verksamhet samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,
3. upplysningar om varifrån en uppgift kommer och om uppgiftslämnarens trovärdighet,
4. de omständigheter och händelser som är orsaken till att uppgifter om en person behandlas,
5. uppgifter om särskilda fysiska kännetecken,
6. uppgifter om varor, brottshjälpmedel och transportmedel,
7. varning om att en person tidigare varit beväpnad, våldsam eller flyktbenägen,
8. ärendenummer, ärendekoder, ärendemening och andra uppgifter som beskriver ett ärende,
9. administrativa åtgärder i ett ärende,
10. uppgifter som är nödvändiga för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden,
11. hänvisning till andra brottsbekämpande myndigheters databaser eller register i vilka uppgifter om en person som avses i 12 § första stycket 1 eller som är skäligen misstänkt för ett visst brott också förekommer, samt
12. upplysningar som avses i 16 §.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om de uppgifter som får behandlas i tullbrottsdatabasen.
Uppgifter som behandlas enbart med stöd av 13 § får inte behandlas i tullbrottsdatabasen.
Paragrafen reglerar vilka uppgifter som får behandlas i tullbrottsdatabasen. Ändringen är en följdändring till ändringen i 7 § 3.
I första stycket punkten 10 har hänvisningen till lagen om internationellt tullsamarbete ändrats till en generell bestämmelse som anger att uppgifter som är nödvändiga för att Tullverket ska kunna fullgöra sina internationella förpliktelser får behandlas i databasen. Ändringen kommenteras i avsnitt 6.6.5. Vidare har språket moderniserats.
Både det andra och tredje stycket är oförändrade.
21 § Namn, personnummer och samordningsnummer får användas som sökbegrepp bara om uppgifterna avser en person som misstänks för något visst brott eller för brottslig verksamhet.
Första stycket gäller inte vid sökning
1. i ett visst ärende eller en viss handling,
2. efter den som en handling kommit in från eller expedierats till i ett ärende, eller
3. för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden.
Paragrafen reglerar villkor för sökning. Ändringen hör samman med ändringen i 7 § 3. Det första stycket är oförändrat.
I andra stycket har ytterligare ett undantag från bestämmelserna i första stycket gjorts (punkten 3). Undantaget innebär att sådana sökningar som krävs för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden får göras utan den begränsning som anges i första stycket. Stycket har också omarbetats redaktionellt. Ändringen kommenteras i avsnitt 6.6.5.
10.11 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
9 kap.
2 § Bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i
1. lagen (1990:314) om ömsesidig handräckning i skatteärenden,
2. lagen (2000:343) om internationellt polisiärt samarbete,
3. lagen (2000:344) om Schengens informationssystem,
4. lagen (2000:562) om internationell rättslig hjälp i brottmål,
5. lagen (2000:1219) om internationellt tullsamarbete,
6. lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar,
7. lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen,
8. lagen (1998:620) om belastningsregister,
9. lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning, och
10. lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
I paragrafen räknas upp bestämmelser som begränsar svenska myndigheters rätt att fritt använda uppgifter som de fått från utlandet.
Paragrafen kompletteras med en ny punkt 10, vilken hänvisar till lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen. Ändringen innebär att det tydliggörs att bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns även i nämnda lag.
Ändringen behandlas i avsnitt 6.17.
10.12 Förslaget till lag om ändring i polisdatalagen (2010:361)
1 kap.
2 b § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
Paragrafen är ny. Den innehåller reglering av samma slag som 1 b § lagen (1998:621) om misstankeregister. Bestämmelsen kommenteras i avsnitt 6.16.
10.13 Förslaget till lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister
2 a § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Paragrafen är ny. Den innehåller reglering av samma slag som 1 b § lagen (1998:621) om misstankeregister. Bestämmelsen kommenteras i avsnitt 6.16.
10.14 Förslaget till lag om ändring i kustbevakningsdatalagen (2012:145)
1 kap.
2 a § I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
Paragrafen är ny. Bestämmelsen kommenteras i avsnitt 6.16.
Det första stycket innehåller en hänvisning till att det i den nya lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen finns särskilda bestämmelser om behandling av personuppgifter.
I det andra stycket klargörs att om det i den nya lagen eller i anslutande föreskrifter från regeringen finns bestämmelser om behandling av personuppgifter som avviker från bestämmelserna i förevarande lag eller i personuppgiftslagen (1998:204) ska bestämmelserna i den nya lagen tillämpas.
I 1 kap. 4 § och 3 kap. 6 § kustbevakningsdatalagen definieras och anges vissa begrepp som rör hanteringen av personuppgifter ("gemensamt tillgängliga" och "får lämnas till") som skiljer sig åt i förhållande till 2 § förslaget till den nya lagen ("har överförts" och "gjorts tillgängliga"). De begrepp som föreslås i den nya lagen påverkar inte tillämpningen av begreppen i kustbevakningsdatalagen.
Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete
Rådets beslut av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol)
Sammanfattning av betänkandet
Dataskyddsrambeslutet
Några allmänna utgångspunkter för uppdraget
Vårt uppdrag i denna del har varit att analysera hur svensk rätt förhåller sig till bestämmelserna i Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet), och utarbeta nödvändiga författningsförslag för att Sverige ska leva upp till bestämmelserna i rambeslutet.
Dataskyddsrambeslutet utgör ett komplement till olika instrument om utvidgat polisiärt och rättsligt samarbete inom Europeiska unionen, med inriktning på utökat gränsöverskridande informationsutbyte.
Dataskyddsrambeslutets bestämmelser innehåller i huvudsak följande. Syfte och tillämpningsområde (artikel 1), definitioner (artikel 2), grundläggande principer för personuppgiftsbehandlingen, bl.a. principer om ändamål (artikel 3), rättelse, radering och blockering samt regelbunden kontroll av nödvändigheten av lagringen av uppgifterna (artiklarna 4 och 5), behandling av känsliga uppgifter (artikel 6), bestämmelser som stadgar att ett automatiserat beslutsförfarande är tillåtet endast om det föreskrivs i en lag där det även föreskrivs bestämmelser till skydd för den registrerades legitima intressen (artikel 7), kvalitetskontroll (artikel 8), registrering och dokumentation (artikel 10), bestämmelser om begränsningar i rätten att behandla uppgifter, däribland tidsfrister för gallring av uppgifter, iakttagande av nationella restriktioner och andra användarbegränsningar (artiklarna 9 och 12), förutsättningar för överföring av uppgifter till tredjeland, internationella organ och privata subjekt i medlemsstaterna (artiklarna 13 och 14), den registrerades rättigheter i olika avseenden, bl.a. rätt till information, rättelse, skadestånd och tillgång till rättsmedel (artiklarna 16-20), tystnadsplikt samt krav på säkerhet i samband med behandlingen av uppgifter (artiklarna 21 och 22), föregående samråd (artikel 23), påföljder (artikel 24), nationella tillsynsmyndigheter (artikel 25), förhållandet mellan dataskyddsrambeslutet och andra överenskommelser med tredjeland respektive befintliga rättsakter (artiklarna 26 och 28).
Sverige har genom beslut av riksdagen den 30 oktober 2008 (bet. 2008/09:JuU7, rskr. 2008/09:41) godkänt utkastet till dataskyddsrambeslutet. Som grund för beslutet har regeringens proposition den 18 september 2008 om Godkännande av dataskyddsrambeslutet (2008/09:16) legat, i vilken det gjordes en preliminär bedömning av vilka lagändringar som kunde bli nödvändiga med anledning av dataskyddsrambeslutet. Propositionen innehöll dock inte några lagförslag.
I våra kommittédirektiv (dir 2010:17) har regeringen framhållit att de frågeställningar som är i behov av närmare analys är avgränsningen av dataskyddsrambeslutets tillämpningsområde, behandlingen av känsliga uppgifter samt användningsbegränsningar. Vi har dock vid en genomgång av prop. 2008/09:16 funnit att det, förutom dessa områden, även finns ett tjugotal andra frågor som regeringen i nämnda proposition har påpekat bör utredas ytterligare.
Vårt arbete har därför omfattat samtliga frågeställningar.
Vilka svenska myndigheter omfattas av dataskyddsrambeslutet?
I vårt arbete har vi inledningsvis gjort bedömningen att dataskyddsrambeslutets regelverk har påverkan på följande myndigheter
som ägnar sig helt eller delvis åt brottsbekämpande verksamhet;
• Kustbevakningen,
• Polisen,
• Åklagarväsendet,
• Skatteverket och
• Tullverket
Dessutom har vi ansett att följande andra myndigheter i rättskedjan
också påverkas av dataskyddsrambeslutets regler;
• Kriminalvården,
• Kronofogdemyndigheten samt
• Allmänna domstolar och allmänna förvaltningsdomstolar
Närmare om utredningens arbete
Utöver genomgången av dataskyddsrambeslutet har vi i vårt arbete gjort jämförelser med svensk rätt, främst i form av personuppgiftslagens bestämmelser och de aktuella registerförfattningar som rör ovan nämnda myndigheter. Vi har vidare gjort en kartläggning av den lagstiftning om internationellt samarbete som föreligger inom området för dessa myndigheter, samt gjort en genomgång av aktuella sekretessbestämmelser inom området.
Efter en jämförelse mellan dataskyddsrambeslutet och gällande svensk rätt har vi lämnat förslag till nya eller kompletterande bestämmelser för att Sverige ska leva upp till dataskyddsrambeslutets krav.
I vårt arbete har vi utgått från gällande svenska författningar, med undantag av polisdatalagen (2010:361) som träder i kraft den 1 mars 2012. Vi har inte beaktat arbetet med justeringar av gällande registerförfattningar som i nuläget pågår inom Regeringskansliet, eftersom någon proposition till ny lagstiftning ännu inte har beslutats.
Frågan om att ta fram förslag till bestämmelser som reglerar möjligheten för svenska myndigheter att ställa villkor m.m. för användningen av uppgifter som överförs till andra stater, har vi bedömt ligga utanför vårt uppdrag.
Nedan redogörs kortfattat för de delar av dataskyddsrambeslutet som vi anser bör föranleda ändringar och tillägg i svensk rätt samt våra förslag i dessa delar. Övriga delar av dataskyddsrambeslutet bedömer vi inte ska föranleda någon ändring i lag eller förordning.
Avgränsningen av dataskyddsrambeslutets tillämpningsområde
Behandling av personuppgifter vid polisiärt eller straffrättsligt samarbete i annat syfte än att förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder, faller utanför dataskyddsrambeslutets tillämpningsområde.
Dataskyddsrambeslutets tillämpningsområde omfattar uppgifter som överförs eller görs tillgängliga m.m. mellan medlemsstater.
I artikel 1.3 i dataskyddsrambeslutet klargörs att bestämmelserna omfattar behandling av personuppgifter som utförs helt eller delvis automatiserat eller som ingår i eller är avsedda att ingå i register.
Enligt vår bedömning ska svensk lagstiftning anpassas till dataskyddsrambeslutet när detta är möjligt och lämpligt för att beslutet ska följas.
Enligt artikel 1.4 i dataskyddsrambeslutet undantas från rambeslutet "viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet".
Vad gäller Säkerhetspolisen anser vi att hela dess verksamhet bör omfattas av begreppet nationell säkerhet, i den mening som avses i dataskyddsrambeslutet. Säkerhetspolisen ska därför enligt vår bedömning vara undantagen från dataskyddsrambeslutets tillämpningsområde.
Annan verksamhet än Säkerhetspolisens föreslås inte ska undantas från tillämpningsområdet.
Ny lagstiftning om användarbegränsningar vid behandling av personuppgifter
För att uppfylla dataskyddsrambeslutets krav föreslår vi en ny lag - lagen om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
I dag finns bestämmelser som reglerar situationer då en svensk myndighet erhåller information eller bevismaterial med användningsbegränsningar (villkor för användningen) från en utländsk myndighet.
Sådana bestämmelser finns i de internationella samarbetslagarna - lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (2000:343) om internationellt polisiärt samarbete, lagen (2000:1174) om vissa former av internationellt samarbete i brottsutredningar, lagen (2000:1219) om internationellt tullsamarbete, samt lagen (2000:344) om Schengens informationssystem.
I samtliga dessa lagar föreskrivs att svenska myndigheter är skyldiga att följa de villkor som ställs i sammanhanget av en utländsk myndighet eller mellanfolklig organisation.
De internationella samarbetslagarna ovan har dock ett mer vitt tillämpningsområde än dataskyddsrambeslutet. Samarbetslagarna täcker vidare inte allt samarbete i form av uppgiftsutbyte som myndigheterna utövar.
Mot bakgrund härav föreslår vi därför att en ny lag ska införas inom området.
Alternativet till att införa en ny lag hade i stället varit att föreslå att motsvarande bestämmelser skulle införas direkt i de ovan nämnda internationella samarbetslagarna. Då den av oss nu föreslagna lagen enbart omfattar personuppgiftsbehandling av uppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, hade ett sådant alternativ varit mindre lämpligt.
Ett annat alternativ till införandet av en ny lag hade varit att placera bestämmelserna i myndigheternas registerförfattningar. Vi anser dock att det för tillämparna blir tydligast att de nya bestämmelserna finns i en särskild lag. Enligt vår mening lämpar det sig bäst att specialregler inom ett visst område finns i en särskild lag till vilken sedan hänvisningar görs i de aktuella myndigheternas registerförfattningar (jfr 2 kap. 2 § tryckfrihetsförordningen). Dessutom ter det sig naturligt att reglera ett generellt rambeslut som täcker flera myndigheters verksamhet i en särskild lag.
Vår föreslagna lag omfattar följande myndigheter; Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen utom Säkerhetspolisen, Skatteverket, allmänna domstolar och allmänna förvaltningsdomstolar, Tullverket, Åklagarmyndigheten och Ekobrottsmyndigheten.
Vi föreslår att den nya lagen ska innehålla bestämmelser om lagens tillämpningsområde m.m. (1-3 §§), ändamål för vidarebehandling av personuppgifter (4 §), överföring av personuppgifter till tredje land eller till internationella organ (5 §), överföring av personuppgifter till privat part inom den Europeiska unionen (6 §), iakttagande av nationella restriktioner (7 §), information till den registrerade (8 §), samt bevarande och gallring av personuppgifter (9 §).
Lagens bestämmelser motsvarar artikel 3.2 jämförd med artikel 11 samt artiklarna 9, 12, 13, 14 och 16.2 i dataskyddsrambeslutet.
Dataskyddsrambeslutets regler (artikel 26) om förhållandet till avtal med tredjestater föranleder enligt vår mening inte någon ändring i lag eller förordning. Vad gäller dataskyddsrambeslutets regler (artikel 28) om förhållandet till tidigare antagna unionsakter anser vi dock att det bör tydliggöras i övergångsbestämmelserna till vår föreslagna lag att avvikande användningsbegränsningar i tidigare beslutade EU-akter ska gälla i stället för användningsbegränsningarna i vår föreslagna lag.
Vi föreslår vidare att nya hänvisningsparagrafer till vår föreslagna lag ska införas i de registerförfattningar som enligt vår mening omfattas av dataskyddsrambeslutets regler (se ovan).
Utlämnande med stöd av handlingsoffentligheten
Bestämmelserna om användarbegränsningar m.m. i dataskyddsrambeslutet reglerar endast vidarebehandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Detta innebär bl.a. att de bestämmelser om t.ex. användarbegränsningar som ställs upp i rambeslutet - och som ligger till grund för vårt förslag till ny lagstiftning inom området (se ovan) - endast avser en inskränkning för enskilda att få del av personuppgifter i en viss form. Dataskyddsrambeslutets bestämmelser strider således inte mot allmänhetens rätt att ta del av allmänna handlingar. Dataskyddsrambeslutets bestämmelser om användningsbegränsningar m.m. föranleder vidare inte någon ändring i offentlighets- och sekretesslagen (2009:400).
Tillägg i ändamålsbestämmelserna i myndigheternas registerförfattningar
Dataskyddsrambeslutet innehåller regler om bl.a. ändamålen för insamling och behandling av personuppgifter (artikel 3). Som anförts ovan anser vi att svensk lagstiftning ska anpassas till dataskyddsrambeslutet där det är möjligt och lämpligt. I svensk rätt saknas i dag - i stort sett - uttryckliga ändamålsbestämmelser som särskilt reglerar den personuppgiftsbehandling som följer av myndigheternas internationella åtaganden.
För att tydliggöra myndigheternas fullgöranden av förpliktelser som följer av sådana åtaganden, föreslår vi att kompletterande ändamålsbestämmelser införs i de registerförfattningar som reglerar Kronofogdemyndigheten, Kustbevakningen, Skatteverket, Tullverket och åklagarväsendet. Den kompletterande ändamålsbestämmelsen föreslås ska få lydelsen "fullgöra förpliktelser som följer av internationella åtaganden". Vad avser Kriminalvården samt de allmänna domstolarna och de allmänna förvaltningsdomstolarna, bedömer vi inte att det finns behov av kompletterande bestämmelser.
Ändringar i bestämmelserna om behandlingen av känsliga uppgifter i myndigheternas registerförfattningar
Dataskyddsrambeslutets bestämmelser (artikel 6) innehåller regler för behandling av känsliga uppgifter som rör ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, samt hälsa och sexualliv. Enligt artikeln får sådana uppgifter behandlas endast när det är absolut nödvändigt och om det tillhandahålls tillräckliga adekvata skyddsåtgärder i den nationella lagstiftningen.
Mot bakgrund härav - och för att få till stånd en språklig likformighet mellan myndigheternas registerförfattningar - föreslår vi därför att justeringar görs i de paragrafer i registerförfattningarna som reglerar känsliga uppgifter, på så sätt att begreppet absolut nödvändigt genomgående införs.
Vidare föreslår vi att ett motsvarande tillägg av begreppet absolut nödvändigt ska införas i registerförfattningarna för Kronofogdemyndigheten, de allmänna domstolarna och de allmänna förvaltningsdomstolarna, polisen, åklagarväsendet och Tullverket vad gäller behandlingen av känsliga uppgifter vid dels diarieföring, dels då uppgifterna har lämnats i ett mål, ett ärende, en anmälan eller liknande och dels vid själva handläggningen.
Vissa justeringar i övriga författningar
Dataskyddsrambeslutets regler om rättelse och skadestånd föranleder tillägg i förordningen (1997:902) om register över strafförelägganden och förordningen (1997:903) om register över förelägganden av ordningsbot, vari det anges att bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd ska tillämpas.
Märkning av uppgifter
Eftersom dataskyddsrambeslutets bestämmelser omfattar personuppgifter som en svensk myndighet har erhållit från, eller som har gjorts tillgängliga av, en annan medlemsstat, bedömer vi att en märkning varifrån uppgifterna härstammar är både nödvändig och möjlig, för att reglerna i dataskyddsrambeslutet, om t.ex. användningsbegränsningar ska kunna tillämpas på rätt sätt. Utarbetandet av ett system med märkning av uppgifter överlämnas till de myndigheter som utbyter de aktuella uppgifterna.
Något krav på att myndigheterna även ska märka uppgifter som har inkommit före tidpunkten för ikraftträdandet av de nya och justerade regler som vi föreslår med anledning av dataskyddsrambeslutet, föreligger enligt vår mening inte.
Framtagande av sådana system för märkning av uppgifter hos myndigheterna kan komma att innebära vissa kostnader.
Europolanställdas befattning med hemliga uppgifter
Några allmänna utgångspunkter för uppdraget
Vårt uppdrag i denna del har varit att analysera om det finns behov av särskilda regler om Europolanställdas befattning med hemliga uppgifter för att svensk rätt ska vara förenlig med Rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), Europolrådsbeslutet, och vid behov utarbeta nödvändiga författningsförslag.
Allmänt om Europol och Europolrådsbeslutet
Europol är Europeiska unionens gemensamma polisbyrå och utgör en del av det polisiära samarbetet i unionen. Genom Europolrådsbeslutet förändrades den rättsliga grunden för Europols verksamhet och Europol fick ställning som EU-myndighet. I samband härmed gjordes också en del sakliga förändringar, bl.a. av Europols mandat samt vad avser bestämmelser om informationsbehandling och dataskydd.
I varje medlemsstat finns en nationell enhet som är förbindelselänk mellan Europol och medlemsstaten.
Vid Europols huvudkontor arbetar särskilda sambandsmän som är utsända från respektive medlemsland. Sambandsmännen är inte anställda av Europol utan är utskickade från medlemsländerna och lyder under sitt medlemslands nationella enhet. Frågan om tystnadsplikten m.m. för sambandsmännen är inte föremål för vår prövning (jfr vårt ursprungliga kommittédirektiv, 2010:17, s. 6).
Inom Europol finns även personal som är direkt anställd av Europol (Europoltjänstemän). Eftersom dessa Europoltjänstemän är anställda av Europol, arbetar de under EU:s särskilda bestämmelser och är inte knutna till medlemsländernas regler.
Enligt artikel 41.2 i Europolrådsbeslutet får Europols anställda och sambandsmännen samt andra som uttryckligen ålagts diskretions- och tystnadsplikt - "inte till någon obehörig person eller till allmänheten sprida sakförhållanden eller upplysningar som kommer till deras kännedom i deras tjänsteutövning eller vid utövandet av deras verksamhet".
I artikel 41.3 finns vidare bestämmelser som reglerar vad "... Europols anställda och sambandsmännen samt andra personer som är underkastade den skyldighet som anges i punkt 2..." har att rätta sig efter inför ett eventuellt avläggande av vittnesmål i eller utom domstol eller uttalande om de uppgifter som har kommit till deras kännedom i deras tjänsteutövning eller vid utövandet av deras verksamhet.
I artikel 41.4 första stycket anges att medlemsstaterna ska behandla alla överträdelser av diskretions- eller tystnadsplikten enligt artiklarna 41.2 och 41.3 som överträdelse av skyldigheter i staternas egen lagstiftning om tystnadsplikt eller skydd av sekretessbelagt material.
I artikel 41.4 andra stycket anges vidare att medlemsstaterna ska säkerställa att dessa regler och bestämmelser är tillämpliga även på deras egna tjänstemän som i samband med sin tjänsteutövning har kontakt med Europol.
För anställda vid de olika EU-organen gäller även interna tjänsteföreskrifter, av vilka framgår att tjänstemännen har rätt till yttrandefrihet med hänsyn tagen till principer om lojalitet och opartiskhet.
Från gemenskapens sida förväntas att varje medlemsstat beivrar de brott mot tystnadsplikten som dess medborgare begår.
Reglering om tystnadsplikt m.m. i svensk rätt
Enligt 2 kap. 1 § offentlighets- och sekretesslagen gäller förbud för myndighet att röja eller utnyttja en uppgift enligt lagen, eller lag eller förordning som lagen hänvisar till.
Brott mot tystnadsplikten är kriminaliserat enligt 20 kap. 3 § brottsbalken.
I nämnda bestämmelse är det således kriminaliserat när någon röjer en uppgift som han eller hon är förpliktad att hålla hemlig "...enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning..."
Reglerna i 2 kap. 2 § brottsbalken möjliggör en reglering av brott som begåtts utom riket, t.ex. i Europols huvudkvarter i Haag, Nederländerna.
Vår bedömning i denna del
De Europolanställda tjänstemännen omfattas inte av samma regler som de som handhar Europolfrågor vid nationella enheten i Sverige eller sambandsmännen i Europol. För att svensk rätt ska anses motsvara de krav som ställs i artikel 41.1 i Europolrådsbeslutet anser vi att det krävs kompletteringar i svenska författningar.
Det är således inte tillräckligt att frågorna regleras i ett rådsbeslut, utan detta måste också genomföras i svensk lagstiftning.
En ny lag är enligt vår mening att föredra jämfört med ändringar i 20 kap. 3 § brottsbalken.
Vi föreslår därför införandet av en ny lag med följande lydelse.
En svensk medborgare får inte obehörigen röja eller utnyttja en uppgift som han eller hon har fått kännedom om genom att delta i Europeiska polisbyråns (Europols) verksamhet på grund av anställning vid Europol.
Vi finner i denna del inte att det kan anses vara rimligt att svensk lagstiftning ska utsträckas längre än vad avser svenska medborgare.
Vår föreslagna lag ska omfatta personer som både är och har varit anställda vid Europol.
Då bestämmelsen således enbart utgör en reglering av tystnadsplikt och inte en begränsning av rätten att ta del av allmänna handlingar enligt 2 kap. 2 § tryckfrihetsförordningen, krävs inte någon följdändring i offentlighets- och sekretesslagen.
Utredningens lagförslag
Förslag till lag om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen
Härigenom föreskrivs följande.
Lagens tillämpningsområde m.m.
1 § I denna lag finns bestämmelser om användningsbegränsningar vid behandling av personuppgifter enligt Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).
2 § Denna lag gäller endast vidarebehandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete, som Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, polisen utom Säkerhetspolisen, Skatteverket, allmänna domstolar, allmänna förvaltningsdomstolar, Tullverket, Åklagarmyndigheten eller Ekobrottsmyndigheten har tagit emot från en annan medlemsstat i Europeiska unionen, eller som har gjorts tillgängliga av en sådan medlemsstat.
3 § Denna lag gäller för sådan vidarebehandling av personuppgifter som är helt eller delvis automatiserad.
Lagen gäller även för annan vidarebehandling av personuppgifter, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Ändamål för vidarebehandling av personuppgifter
4 § Utöver de ändamål för vilka personuppgifter har överförts eller gjorts tillgängliga får vidarebehandling av personuppgifter endast ske
a) för att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga,
b) för andra rättsliga eller administrativa förfaranden med direkt anknytning till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder,
c) för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller
d) för varje annat syfte endast om den överförande medlemsstaten har givit ett förhandsmedgivande eller den registrerade har samtyckt till det.
Vidarebehandling enligt första stycket får endast ske om behandlingen inte är oförenlig med de ändamål för vilka uppgifterna samlades in och behandlingen är nödvändig och står i proportion till de andra ändamålen.
Personuppgifter får vidarebehandlas för historiska, statistiska eller vetenskapliga ändamål.
Överföring av personuppgifter till tredje land eller till internationella organ
5 § Personuppgifter som har överförts eller gjorts tillgängliga av en myndighet i en annan medlemsstat får föras över till ett tredje land eller ett internationellt organ om
a) det är nödvändigt för att förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder,
b) mottagaren har ansvar för sådan verksamhet som anges i a),
c) den stat från vilken uppgifterna har tagits emot har samtyckt till överföringen, och
d) mottagaren har en adekvat skyddsnivå för den avsedda databehandlingen.
Uppgifter får föras över utan samtycke enligt första stycket om det är absolut nödvändigt, antingen för att avvärja en omedelbar och allvarlig fara för allmän säkerhet eller för en medlemsstats väsentliga intresse, och ett sådant samtycke inte kan erhållas i tid.
Överföring av personuppgifter till privat part inom Europeiska unionen
6 § Personuppgifter som har överförts från eller gjorts tillgängliga av en myndighet i en annan medlemsstat får föras över till en privat part i en annan medlemsstat under förutsättning att
1. myndigheten i den medlemsstat från vilken uppgifterna har tagits emot har samtyckt till överföringen,
2. inga berättigade intressen för den som omfattas av uppgifterna hindrar överföringen, och
3. överföringen är absolut nödvändig för att
a) utföra en författningsenlig uppgift,
b) förebygga, utreda, avslöja eller lagföra brott, eller verkställa straffrättsliga påföljder,
c) avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller
d) förhindra att enskildas rättigheter lider allvarlig skada.
Vid överföringen ska mottagaren underrättas om för vilka ändamål uppgifterna uteslutande får användas.
Nationella restriktioner för behandling av uppgifter
7 § Om den överförande medlemsstatens nationella lagstiftning innehåller bestämmelser i fråga om utbyte av uppgifter mellan behöriga myndigheter inom den medlemsstaten, ska den överförande myndigheten informera mottagaren om dessa begränsningar. I sådana fall ska mottagaren följa begränsningarna för behandlingen.
Medlemsstaterna får inte tillämpa några andra begränsningar när det gäller överföring av uppgifter till en annan stat än de som gäller motsvarande nationella överföringar av uppgifter.
Information till den registrerade
8 § Om personuppgifter har överförts eller gjorts tillgängliga får den överförande medlemsstaten begära att den mottagande medlemsstaten inte informerar den registrerade om behandlingen. I sådana fall ska den registrerade inte informeras utan förhandsmedgivande från den överförande medlemsstaten.
Bevarande och gallring av personuppgifter
9 § Om en överförande myndighet har ställt upp krav på tidsfrister för bevarande och gallring av personuppgifter, som är kortare än vad som följer av svensk rätt, ska dessa tidsfrister följas.
Första stycket gäller inte om dessa uppgifter vid utgången av tidsfristerna krävs för en pågående utredning, lagföring av brott eller verkställighet av straffrättsliga påföljder.
1. Denna lag träder i kraft den 1 mars 2012.
2. Avvikande användningsbegränsningar i tidigare beslutade EU-rättsakter ska gälla i stället för användningsbegränsningarna i denna lag.
Förslag till lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister
Härigenom föreskrivs i fråga om lagen (2010:362) om polisens
allmänna spaningsregister
dels att det i lagen ska införas en ny paragraf, 2 a §, av följande
lydelse,
dels att det närmast före den paragrafen ska införas en ny rubrik,
med följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Användningsbegränsningar
2 a §
Bestämmelser om användningsbegränsningar finns i lagen (2011:000) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
Denna lag träder i kraft den 1 mars 2012.
Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs i fråga om polisdatalagen (2010:361)
dels att 2 kap. 10 § ska ha följande lydelse,
dels att det i lagen ska införas en ny paragraf, 1 kap. 5 §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
5 §
Bestämmelser om användningsbegränsningar finns i lagen (2011:000) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
2 kap.
10 §
Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.
Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas med stöd av 9 §.
Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas med stöd av 9 § om behandlingen är absolut nödvändig för syftet med behandlingen
Denna lag träder i kraft den 1 mars 2012.
Förslag till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet
Härigenom föreskrivs i fråga om lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet
dels att 7 och 11 §§ samt rubriken närmast före 15 § ska ha följande lydelse,
dels att det i lagen ska införas en ny paragraf, 2 a §, av följande
lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 a §
Bestämmelser om användningsbegränsningar finns i lagen (2011:000) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
7 §
Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att
1. förhindra eller upptäcka brottslig verksamhet,
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller beivra visst brott, eller
3. fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete.
3. fullgöra förpliktelser som följer av internationella åtaganden.
11 §
Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.
Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som beskriver en persons utseende skall alltid utformas på ett objektivt sätt med respekt för människovärdet.
Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som beskriver en persons utseende ska alltid utformas på ett objektivt sätt med respekt för människovärdet.
Dessutom får uppgifter som avses i första stycket behandlas om de förekommer i en handling som kommit in till Tullverket i ett ärende.
Dessutom får uppgifter som avses i första stycket behandlas om de förekommer i en handling som kommit in till Tullverket i ett ärende och behandlingen är absolut nödvändig.
Behandling av uppgifter för internationellt tullsamarbete
Behandling av uppgifter för att fullgöra förpliktelser som följer av internationella åtaganden
15 §
Utöver vad som följer av 12-14 §§ får Tullverket behandla
uppgifter för sådant ändamål som anges i 7 § 3.
Endast de personer som arbetar med tullsamarbete får ha direkt
tillgång till uppgifterna.
Denna lag träder i kraft den 1 mars 2012.
Förslag till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården
Härigenom föreskrivs att det i lagen (2001:617) om behandling av personuppgifter inom kriminalvården ska införas en ny paragraf, 1 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 a §
Bestämmelser om användningsbegränsningar finns i lagen (2011:000) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
Denna lag träder i kraft den 1 mars 2012.
Förslag till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
Härigenom föreskrivs i fråga om lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
dels att 1 kap. 6 § och 2 kap. 2 §, ska ha följande lydelse,
dels att det i lagen ska införas en ny paragraf, 1 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
1 a §
Bestämmelser om användningsbegränsningar finns i lagen (2011:000) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
6 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller är nödvändiga för handläggningen av det.
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller vid handläggningen av det, och det är absolut nödvändigt.
Uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller är nödvändiga för handläggningen av det. Uppgifter som avses i första stycket får i annat fall behandlas
Uppgifter som avses i första stycket får i annat fall endast om det särskilt anges i 2 kap.
Uppgifter som avses i första och andra stycket får i annat fall endast om det särskilt anges i 2 kap.
2 kap.
2 §
Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Skatteverkets och Kronofogdemyndighetens verksamhet för
1. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning,
2. indrivning av statliga fordringar m.m.,
3. avräkning vid återbetalning av skatter och avgifter,
4. ansökan om och tillsyn över näringsförbud,
5. ärenden om ansvar för någon annans skatter och avgifter, och
6. tillsyn, kontroll, uppföljning och planering av verksamheten.
I Kronofogdemyndighetens utsöknings- och indrivningsverksamhet får personuppgifter behandlas för att fullgöra förpliktelser som följer av internationella åtaganden.
Denna lag träder i kraft den 1 mars 2012.
Förslag till lag om ändring i lagen (2000:344) om Schengens informationssystem
Härigenom föreskrivs att det i lagen (2000:344) om Schengens informationssystem ska införas en ny paragraf, 1 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 a §
Bestämmelser om användningsbegränsningar finns i lagen (2011:000) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
Denna lag träder i kraft den 1 mars 2012.
Förslag till lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar
Härigenom föreskrivs i fråga om lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar
dels att 1 och 4 §§ ska ha följande lydelse,
dels att det i lagen ska införas en ny paragraf, 1 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 §
Denna lag gäller utöver personuppgiftslagen (1998:204) vid behandling av personuppgifter i Skatteverkets verksamhet för att
1. bedriva spaning och utredning i fråga om brott som avses i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar,
2. förebygga brott som avses i 1.
2. förebygga brott som avses i 1, eller
3. fullgöra förpliktelser som följer av internationella åtaganden enligt 1. och 2.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter, vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
1 a §
Bestämmelser om användningsbegränsningar finns i lagen (2011:000) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
4 §
Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får uppgifterna kompletteras med sådana uppgifter om det är oundgängligen nödvändigt för syftet med behandlingen.
Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får uppgifterna kompletteras med sådana uppgifter om det är absolut nödvändigt för syftet med behandlingen.
Denna lag träder i kraft den 1 mars 2012.
Förslag till lag om ändring i lagen (1998:621) om misstankeregister
Härigenom föreskrivs att det i lagen (1998:621) om misstankeregister ska införas en ny paragraf, 1 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 a §
Bestämmelser om användningsbegränsningar finns i lagen (2011:000) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
Denna lag träder i kraft den 1 mars 2012.
Förslag till lag om ändring i lagen (1998:620) om belastningsregister
Härigenom föreskrivs att det i lagen (1998:620) ska införas en ny paragraf, 1 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 a §
Bestämmelser om användningsbegränsningar finns i lagen (2011:000) om användningsbegränsningar vid behandling av personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
Denna lag träder i kraft den 1 mars 2012.
Förslag till lag om Europolanställda svenska medborgares befattning med hemliga uppgifter
Härigenom föreskrivs följande.
En svensk medborgare får inte obehörigen röja eller utnyttja en
uppgift som han eller hon har fått kännedom om genom att delta i
Europeiska polisbyråns (Europols) verksamhet på grund av
anställning vid Europol.
Denna lag träder i kraft den 1 mars 2012.
Förteckning över remissinstanserna (betänkandet)
Riksdagens ombudsmän, Svea hovrätt, Göteborgs tingsrätt, Kammarrätten i Sundsvall, Förvaltningsrätten i Linköping, Justitiekanslern, Domstolsverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen, Säkerhetspolisen, Säkerhets- och integritetsskyddsnämnden, Statens kriminaltekniska laboratorium, Kriminalvården, Brottsförebyggande rådet, Brottsoffermyndigheten, Kustbevakningen, Tullverket, Skatteverket, Kronofogdemyndigheten, Datainspektionen, Statskontoret, Socialstyrelsen, Statens institutionsstyrelse, Uppsala universitet (Juridiska fakulteten), Lunds universitet (Juridiska fakulteten), Örebro universitet (Akademin för juridik, psykologi och socialt arbete), Riksarkivet, Sveriges advokatsamfund, Svenska polisförbundet, ST-Polisväsendet, Sveriges Akademikers Centralorganisation (SACO), Tull-Kust, Internationella Juristkommissionen, Svenska Avdelningen, Civil Rights Defenders, Svenska Journalistförbundet och Tidningsutgivarna.
Lagförslagen i utkastet till lagrådsremiss
Förslag till lag om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen
Härigenom föreskrivs följande.
1 § Genom denna lag genomförs rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om personuppgifterna inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Bestämmelserna i 3, 4 och 9 §§ gäller också när svenska myndigheter överför personuppgifter till eller gör sådana uppgifter tillgängliga för dem som anges i första stycket 1-4.
3 § Lagen gäller inte vid behandling av personuppgifter som rör nationell säkerhet.
Lagen gäller inte heller vid
1. informationsutbyte genom Schengens informationssystem (SIS),
2. informationsutbyte genom Tullinformationssystemet (TIS),
3. uppgiftsutbyte med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet), eller
4. åtkomst enligt rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott.
4 § Denna lag gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Tillåtna ändamål för behandling av personuppgifter
5 § Personuppgifter som har erhållits enligt 2 § första stycket får endast behandlas för andra ändamål än dem som uppgifterna först överfördes eller gjordes tillgängliga för om syftet med behandlingen är att
1. förebygga, förhindra eller upptäcka annan brottslig verksamhet, utreda eller beivra andra brott eller verkställa andra straffrättsliga påföljder än dem som uppgifterna överfördes eller gjordes tillgängliga för,
2. vidta åtgärder i rättsliga eller administrativa förfaranden med direkt anknytning till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, eller
3. avvärja en omedelbar och allvarlig fara för allmän säkerhet.
Personuppgifter får även behandlas för andra ändamål än dem som anges i första stycket, om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.
Personuppgifter får också, utan hinder av det som sägs i första stycket, behandlas för historiska, vetenskapliga och statistiska ändamål.
Överföring av personuppgifter till enskilda
6 § Personuppgifter som har erhållits enligt 2 § första stycket får föras över till enskilda endast om
1. den som fört över eller gjort uppgifterna tillgängliga har medgett att de överförs,
2. inga berättigade intressen hos den som uppgifterna avser hindrar att de förs över, och
3. överföringen är nödvändig för att
a) utföra en författningsenlig uppgift,
b) förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
c) avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller
d) förhindra att enskildas rättigheter allvarligt kränks.
Första stycket gäller inte i fråga om uppgifter som lämnas till enskilda vid handläggning av brottmål.
Överföring av personuppgifter till tredje land eller internationella organ
7 § Personuppgifter som har erhållits enligt 2 § första stycket får, förutom till dem som anges i 2 § första stycket 1-4, föras över till tredje land eller internationella organ. Uppgifterna får dock endast föras över om
1. det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
2. mottagaren har ansvar för sådan verksamhet som anges i 1,
3. mottagaren har en adekvat skyddsnivå för den avsedda personuppgiftsbehandlingen, och
4. den som fört över eller gjort uppgifterna tillgängliga har medgett att de förs över.
Om kravet på adekvat skyddsnivå enligt första stycket 3 inte är uppfyllt, får personuppgifter ändå föras över om ett berättigat intresse hos den som uppgifterna avser eller ett viktigt allmänt intresse föranleder det, eller om mottagaren i det enskilda fallet tillhandahåller tillräckliga skyddsåtgärder för personuppgifterna.
Om medgivande enligt 4 på grund av tidsbrist inte kan utverkas i förväg får personuppgifter föras över trots detta, om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet eller för att tillgodose ett väsentligt intresse.
Villkor om användningsbegränsningar
Villkor som ställs upp av andra stater eller EU-organ
8 § Om en svensk myndighet har erhållit uppgifter enligt 2 § första stycket och det finns villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.
Det som sägs i första stycket hindrar inte att uppgifter behandlas efter utgången av en sådan tidsfrist för gallring som angetts som villkor vid överföringen, om behandlingen behövs för en pågående utredning, beivrande av brott eller verkställighet av straffrättsliga påföljder. Uppgifterna ska då gallras när de inte längre behövs.
Villkor när svenska myndigheter överför uppgifter eller gör uppgifter tillgängliga
9 § Om en svensk myndighet överför personuppgifter till eller gör personuppgifter tillgängliga för någon av dem som anges i 2 § första stycket 1-4 ska myndigheten underrätta mottagaren om de särskilda villkor som gäller för användningen av uppgifterna. Villkoren får inte innebära andra begränsningar än sådana som gäller vid överföring inom Sverige och får inte heller i övrigt strida mot en internationell överenskommelse som är bindande för Sverige.
Skadestånd
10 § Bestämmelsen om jämkning av skadestånd i 48 § andra stycket personuppgiftslagen (1998:204) gäller inte vid behandling av personuppgifter enligt denna lag.
Bemyndigande
11 § Regeringen eller den myndighet regeringen bestämmer meddelar ytterligare föreskrifter om tillämpningen av denna lag.
Denna lag träder i kraft den......men tillämpas inte på uppgifter som överförts eller gjorts tillgängliga tidigare.
Förslag till lag om ändring i lagen (1998:620) om belastningsregister
Härigenom föreskrivs att det i lagen (1998:620) om belastningsregister ska införas två nya paragrafer, 1 a och 1 b §§, samt närmast före 1 a § en ny rubrik av följande lydelse.
Förhållandet till andra bestämmelser om personuppgiftsbehandling
1 a §
Denna lag gäller utöver personuppgiftslagen (1998:204).
1 b §
I lagen (2013:000) om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204). Detta gäller dock inte vid uppgiftsutbyte enligt rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av personuppgifter ur kriminalregistret. Bestämmelsen om jämkning av skadestånd i 10 § lagen om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska dock tillämpas även på sådant uppgiftsutbyte.
Denna lag träder i kraft den.........
Förslag till lag om ändring i lagen (1998:621) om misstankeregister
Härigenom föreskrivs att det i lagen (1998:621) om misstankeregister ska införas två nya paragrafer, 1 a och 1 b §§, samt närmast före 1 a § en ny rubrik av följande lydelse.
Förhållandet till andra bestämmelser om personuppgiftsbehandling
1 a §
Denna lag gäller utöver personuppgiftslagen (1998:204).
1 b §
I lagen (2013:000) om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Denna lag träder i kraft den..........
Förslag till lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar
Härigenom föreskrivs att det i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar ska införas en ny paragraf, 1 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 a §
I lagen (2013:000) om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Denna lag träder i kraft den..........
Förslag till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete
Härigenom föreskrivs att det i lagen (2000:343) om internationellt polisiärt samarbete ska införas en ny paragraf, 1 b §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 b §
I lagen (2013:000) om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag. Detta gäller dock inte vid behandling av personuppgifter som utbytts med stöd av Prümrådsbeslutet.
Denna lag träder i kraft den..........
Förslag till lag om ändring i lagen (2011:1175) om ändring i lagen (2000:344) om Schengens informationssystem
Härigenom föreskrivs att 4 § lagen (2000:344) om Schengens informationssystem i stället för dess lydelse enligt lagen (2011:1175) om ändring i nämnda lag ska ha följande lydelse.
4 §
När det gäller framställningar som rör personer får endast följande uppgifter registreras:
1. efternamn, förnamn, tidigare använda namn, namn vid födseln och annat namn som personen använder,
2. särskilda bestående fysiska kännetecken,
3. fotografier och fingeravtryck,
4. födelsedatum och födelseort,
5. kön,
6. medborgarskap,
7. om personen kan vara beväpnad eller kan tillgripa våld,
8. om personen har avvikit från en inrättning där han eller hon med stöd av lag har varit berövad friheten,
9. syftet med framställningen,
10. begärd åtgärd,
11. om en förvunnen person behöver omhändertas eller inte,
11. om en försvunnen person behöver omhändertas eller inte,
12. den myndighet som har lagt in registreringen,
13. en hänvisning till det beslut som har föranlett registreringen,
14. typ av brott som avses i framställningen, samt
15. övriga uppgifter som ska anges i en europeisk eller nordisk arreste-ringsorder.
Därutöver får det, om det behövs, förekomma länkar till andra registreringar i registret, och uppgifter om verkställighetsförbud i Sverige med anledning av framställningar från andra Schengenstater.
Kompletterande uppgifter enligt 3 a § får endast avse sådana uppgifter om personen som anges i första stycket 1-6 samt uppgifter om nummer och datum för personens identitetshandlingar.
Förslag till lag om ändring i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet
Härigenom föreskrivs i fråga om lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet
dels att det i lagen ska införas en ny paragraf, 1 kap. 3 a §, av följande lydelse,
dels att rubriken närmast före 1 kap. 2 § ska lyda "Förhållandet till andra bestämmelser om personuppgiftsbehandling".
Nuvarande lydelse
Föreslagen lydelse
1 kap.
3 a §
I lagen (2013:000) om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Denna lag träder i kraft den...
Förslag till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården
Härigenom föreskrivs i fråga om lagen (2001:617) om behandling av personuppgifter inom kriminalvården
dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse,
dels att rubriken närmast före 2 § ska lyda "Förhållandet till andra bestämmelser om personuppgiftsbehandling".
Nuvarande lydelse
Föreslagen lydelse
2 a §
I lagen (2013:000) om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Denna lag träder i kraft den...
Förslag till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet
Härigenom föreskrivs i fråga om lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet
dels att 1 a, 7, 15, 19 och 21 §§ ska ha följande lydelse,
dels att rubriken närmast före 15 § ska lyda "Behandling av uppgifter som rör internationella åtaganden".
Nuvarande lydelse
Föreslagen lydelse
1 a §
I lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser om polisiärt samarbete. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
I lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser om polisiärt samarbete.
I lagen (2013:000) om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag.
7 §
Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att
1. förhindra eller upptäcka brottslig verksamhet,
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller beivra visst brott, eller
3. fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete.
3. fullgöra förpliktelser som följer av internationella åtaganden.
15 §
Utöver vad som följer av 12-14 §§ får Tullverket behandla uppgifter för sådant ändamål som anges i 7 § 3.
Endast de personer som arbetar med tullsamarbete får ha direkt tillgång till uppgifterna.
Endast de personer som arbetar med internationella åtaganden får ha direkt tillgång till uppgifterna.
19 §
Om förutsättningarna för behandling enligt 1, 7, 8 och 11-18 §§ är uppfyllda, får i tullbrottsdatabasen behandlas handlingar som kommit in till eller upprättats av Tullverket i ett ärende samt följande uppgifter:
1. uppgifter om en fysisk persons identitet, arbetsplats och yrke samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,
2. uppgifter om en juridisk persons identitet, firmatecknare, säte och verksamhet samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,
3. upplysningar om varifrån en uppgift kommer och om uppgiftslämnarens trovärdighet,
4. de omständigheter och händelser som är orsaken till att uppgifter om en person behandlas,
5. uppgifter om särskilda fysiska kännetecken,
6. uppgifter om varor, brottshjälpmedel och transportmedel,
7. varning om att en person tidigare varit beväpnad, våldsam eller flyktbenägen,
8. ärendenummer, ärendekoder, ärendemening och andra uppgifter som beskriver ett ärende,
9. administrativa åtgärder i ett ärende,
10. uppgifter som är nödvändiga för att Tullverket skall kunna fullgöra det arbete som verket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete,
10. uppgifter som är nödvändiga för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden,
11. hänvisning till andra brottsbekämpande myndigheters databaser eller register i vilka uppgifter om en person som avses i 12 § första stycket 1 eller som är skäligen misstänkt för ett visst brott också förekommer, samt
12. upplysningar som avses i 16 §.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om de uppgifter som får behandlas i tullbrottsdatabasen.
Uppgifter som behandlas enbart med stöd av 13 § får inte behandlas i tullbrottsdatabasen.
21 §
Namn, personnummer och samordningsnummer får användas som sökbegrepp bara om uppgifterna avser en person som misstänks för något visst brott eller för brottslig verksamhet.
Första stycket gäller inte vid sökning bara i ett visst ärende eller en viss handling. Första stycket gäller inte heller vid sökning efter den som en handling kommit in från eller expedierats till i ett ärende.
Första stycket gäller inte vid sökning
1. i ett visst ärende eller en viss handling,
2. efter den som en handling kommit in från eller expedierats till i ett ärende, eller
3. för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden.
Denna lag träder i kraft den .....
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 9 kap. 2 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Lydelse enligt prop. 2011/12:163
Föreslagen lydelse
9 kap.
2 §
Bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i
1. lagen (1990:314) om ömsesidig handräckning i skatteärenden,
2. lagen (2000:343) om internationellt polisiärt samarbete,
3. lagen (2000:344) om Schengens informationssystem,
4. lagen (2000:562) om internationell rättslig hjälp i brottmål,
5. lagen (2000:1219) om internationellt tullsamarbete,
6. lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar,
7. lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen, och
8. lagen (1998:620) om belastningsregister.
7. lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen,
8. lagen (1998:620) om belastningsregister, och
9. lagen (2013:000) om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
Denna lag träder i kraft den .......
Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs att det i polisdatalagen (2010:361) ska införas en ny paragraf, 1 kap. 2 b § av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
2 b §
I lagen (2013:000) om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag.
Denna lag träder i kraft den .....
Förslag till lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister
Härigenom föreskrivs i fråga om lagen (2010:362) om polisens allmänna spaningsregister
dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse,
dels att rubriken närmast före 2 § ska lyda "Förhållandet till andra bestämmelser om personuppgiftsbehandling".
Nuvarande lydelse
Föreslagen lydelse
2 a §
I lagen (2013:000) om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag och personuppgiftslagen.
Denna lag träder i kraft den ..........
Förslag till lag om ändring i kustbevakningsdatalagen (2012:145)
Härigenom föreskrivs att det i kustbevakningsdatalagen (2012:145) ska införas en ny paragraf, 1 kap. 2 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
2 a §
I lagen (2013:000) om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag.
Denna lag träder i kraft den...
Förslag till lag om tystnadsplikt för anställda vid Europeiska polisbyrån
Härigenom föreskrivs följande.
1 § Den som
1. är eller har varit verksam vid Europeiska polisbyrån i egenskap av ledamot i styrelsen eller anställd, eller
2. annars har ålagts tystnadsplikt med stöd av artikel 41.2 i rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol)
får inte obehörigen röja uppgifter som han eller hon fått kännedom om på grund av verksamheten där.
I det allmännas verksamhet ska i stället offentlighets- och sekretesslagen (2009:400) tillämpas.
Denna lag träder i kraft den .........
Förteckning över remissinstanserna (utkastet till lagrådsremiss)
Svea hovrätt, Göteborgs tingsrätt, Kammarrätten i Sundsvall, Förvaltningsrätten i Linköping, Justitiekanslern, Domstolsverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen, Säkerhetspolisen, Säkerhets- och integritetsskyddsnämnden, Statens kriminaltekniska laboratorium, Kriminalvården, Brottsförebyggande rådet, Brottsoffermyndigheten, Kustbevakningen, Tullverket, Skatteverket, Kronofogdemyndigheten, Datainspektionen, Statskontoret, Socialstyrelsen, Statens institutionsstyrelse, Rättsmedicinalverket, Uppsala universitet (Juridiska fakulteten), Lunds universitet (Juridiska fakulteten), Örebro universitet (Akademin för juridik, psykologi och socialt arbete), Riksarkivet, Sveriges advokatsamfund, Svenska Journalistförbundet, Tidningsutgivarna.
Lagrådsremissens lagförslag
Förslag till lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen
Härigenom föreskrivs följande.
Allmän bestämmelse
1 § Genom denna lag genomförs rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av sådana personuppgifter som överförs inom ramen för polissamarbete eller straffrättsligt samarbete och behandlas i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder.
Lagen gäller personuppgifter som görs tillgängliga eller överförs mellan en svensk myndighet och
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
När svenska myndigheter överför personuppgifter till eller gör sådana uppgifter tillgängliga för dem som anges i andra stycket 1-4 gäller bara bestämmelserna i 3, 4 och 9 §§.
3 § Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
4 § Lagen gäller inte vid behandling av personuppgifter som rör nationell säkerhet.
Lagen gäller inte heller vid
1. informationsutbyte genom Schengens informationssystem (SIS),
2. informationsutbyte genom Tullinformationssystemet (TIS),
3. uppgiftsutbyte med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet), eller
4. åtkomst enligt rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott.
Tillåtna ändamål för behandling av personuppgifter
5 § Personuppgifter som har erhållits enligt 2 § första och andra styckena får endast behandlas för andra ändamål än dem som uppgifterna först överfördes eller gjordes tillgängliga för, om syftet med behandlingen är att
1. förebygga, förhindra eller upptäcka annan brottslig verksamhet, utreda eller beivra andra brott eller verkställa andra straffrättsliga påföljder än dem som uppgifterna överfördes eller gjordes tillgängliga för,
2. vidta åtgärder i rättsliga eller administrativa förfaranden med direkt anknytning till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, eller
3. avvärja en omedelbar och allvarlig fara för allmän säkerhet.
Personuppgifter får även behandlas för andra ändamål än dem som anges i första stycket, om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.
Personuppgifter får också, trots det som sägs i första och andra styckena, behandlas för historiska, vetenskapliga och statistiska ändamål.
Överföring av personuppgifter till enskilda
6 § Personuppgifter som har erhållits enligt 2 § första och andra styckena får överföras till enskilda endast om
1. överföringen är nödvändig för att
a) utföra en författningsenlig uppgift,
b) förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
c) avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller
d) förhindra att enskildas rättigheter allvarligt kränks,
2. inga berättigade intressen hos den som uppgifterna avser hindrar att de överförs, och
3. den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs.
Första stycket gäller inte i fråga om uppgifter som lämnas till enskilda vid handläggning av brottmål.
Överföring av personuppgifter till tredjeland eller internationella organ
7 § Personuppgifter som har erhållits enligt 2 § första och andra styckena får, förutom till dem som anges i 2 § andra stycket 1-4, överföras till tredjeland eller internationella organ. Uppgifterna får dock endast överföras om
1. det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
2. mottagaren har ansvar för sådan verksamhet som anges i 1,
3. den stat där den mottagande myndigheten eller det mottagande internationella organet finns har en adekvat skyddsnivå för den avsedda personuppgiftsbehandlingen, och
4. den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs.
Om kravet på adekvat skyddsnivå enligt första stycket 3 inte är uppfyllt, får personuppgifter ändå överföras i ett enskilt fall om ett berättigat intresse hos den som uppgifterna avser eller ett viktigt allmänt intresse föranleder det eller mottagaren i det enskilda fallet tillhandahåller tillräckliga skyddsåtgärder för personuppgifterna.
Om medgivande enligt första stycket 4 på grund av tidsbrist inte kan utverkas i förväg, får personuppgifter ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet eller för att tillgodose ett väsentligt allmänt intresse.
Villkor om användningsbegränsningar
Villkor som ställs upp av andra stater eller EU-organ
8 § Om en svensk myndighet har erhållit uppgifter enligt 2 § första och andra styckena och det finns villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.
Det som sägs i första stycket hindrar inte att uppgifter behandlas efter utgången av en sådan tidsfrist för gallring som angetts som villkor vid överföringen, om behandlingen behövs för en pågående utredning, beivrande av brott eller verkställighet av straffrättsliga påföljder. Uppgifterna ska då gallras när de inte längre behövs för ett sådant ändamål.
Villkor när svenska myndigheter överför uppgifter eller gör uppgifter tillgängliga
9 § Om en svensk myndighet överför personuppgifter till eller gör personuppgifter tillgängliga för någon av dem som anges i 2 § andra stycket 1-4, ska myndigheten underrätta mottagaren om de särskilda villkor som gäller för användningen av uppgifterna. Villkoren får inte innebära andra begränsningar än sådana som gäller vid överföring inom Sverige och får inte heller strida mot en internationell överenskommelse som är bindande för Sverige.
Skadestånd
10 § Bestämmelsen om jämkning av skadestånd i 48 § andra stycket personuppgiftslagen (1998:204) gäller inte vid behandling av personuppgifter enligt denna lag.
Övrig bestämmelse
11 § Regeringen eller den myndighet regeringen bestämmer meddelar ytterligare föreskrifter om tillämpningen av denna lag.
Denna lag träder i kraft den 1 juli 2013 men tillämpas inte på uppgifter som överförts eller gjorts tillgängliga tidigare.
Förslag till lag om tystnadsplikt för anställda vid Europeiska polisbyrån
Härigenom föreskrivs följande.
1 § Den som är eller har varit verksam vid Europeiska polisbyrån (Europol) i egenskap av ledamot i styrelsen eller anställd, eller har ålagts tystnadsplikt med stöd av artikel 41.2 i rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), får inte obehörigen röja uppgifter som han eller hon fått kännedom om på grund av verksamheten vid Europol.
I det allmännas verksamhet ska i stället offentlighets- och sekretesslagen (2009:400) tillämpas.
Denna lag träder i kraft den 1 juli 2013.
Förslag till lag om ändring i lagen (1998:620) om belastningsregister
Härigenom föreskrivs att det i lagen (1998:620) om belastningsregister ska införas två nya paragrafer, 1 a och 1 b §§, samt närmast före 1 a § en ny rubrik av följande lydelse.
Förhållandet till andra bestämmelser om personuppgiftsbehandling
1 a §
Denna lag gäller utöver personuppgiftslagen (1998:204).
1 b §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204). Detta gäller dock inte vid uppgiftsutbyte enligt rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av personuppgifter ur kriminalregistret och uppgifternas innehåll. Bestämmelsen om jämkning av skadestånd i 10 § lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska dock tillämpas även på sådant uppgiftsutbyte.
Denna lag träder i kraft den 1 juli 2013.
Förslag till lag om ändring i lagen (1998:621) om misstankeregister
Härigenom föreskrivs att det i lagen (1998:621) om misstankeregister ska införas två nya paragrafer, 1 a och 1 b §§, samt närmast före 1 a § en ny rubrik av följande lydelse.
Förhållandet till andra bestämmelser om personuppgiftsbehandling
1 a §
Denna lag gäller utöver personuppgiftslagen (1998:204).
1 b §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de
tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Denna lag träder i kraft den 1 juli 2013.
Förslag till lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar
Härigenom föreskrivs att det i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar ska införas en ny paragraf, 1 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 a §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Denna lag träder i kraft den 1 juli 2013.
Förslag till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete
Härigenom föreskrivs att det i lagen (2000:343) om internationellt polisiärt samarbete ska införas en ny paragraf, 1 b §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 b §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och i föreskrifter som regeringen har meddelat i anslutning till lagen. Detta gäller dock inte vid behandling av personuppgifter som utbyts med stöd av Prümrådsbeslutet.
Denna lag träder i kraft den 1 juli 2013.
Förslag till lag om ändring i lagen (2011:1175) om ändring i lagen (2000:344) om Schengens informationssystem
Härigenom föreskrivs att 4 § lagen (2000:344) om Schengens informationssystem i stället för dess lydelse enligt lagen (2011:1175) om ändring i nämnda lag ska ha följande lydelse.
Lydelse enligt SFS 2011:1175
Föreslagen lydelse
4 §
När det gäller framställningar som rör personer får endast följande uppgifter registreras:
1. efternamn, förnamn, tidigare använda namn, namn vid födseln och annat namn som personen använder,
2. särskilda bestående fysiska kännetecken,
3. fotografier och fingeravtryck,
4. födelsedatum och födelseort,
5. kön,
6. medborgarskap,
7. om personen kan vara beväpnad eller kan tillgripa våld,
8. om personen har avvikit från en inrättning där han eller hon med stöd av lag har varit berövad friheten,
9. syftet med framställningen,
10. begärd åtgärd,
11. om en förvunnen person behöver omhändertas eller inte,
11. om en försvunnen person behöver omhändertas eller inte,
12. den myndighet som har lagt in registreringen,
13. en hänvisning till det beslut som har föranlett registreringen,
14. typ av brott som avses i framställningen, samt
15. övriga uppgifter som ska anges i en europeisk eller nordisk arreste-ringsorder.
Därutöver får det, om det behövs, förekomma länkar till andra registreringar i registret, och uppgifter om verkställighetsförbud i Sverige med anledning av framställningar från andra Schengenstater.
Kompletterande uppgifter enligt 3 a § får endast avse sådana uppgifter om personen som anges i första stycket 1-6 samt uppgifter om nummer och datum för personens identitetshandlingar.
Förslag till lag om ändring i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet
Härigenom föreskrivs i fråga om lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet
dels att det i lagen ska införas en ny paragraf, 1 kap. 3 a §, av följande lydelse,
dels att rubriken närmast före 1 kap. 2 § ska lyda "Förhållandet till andra bestämmelser om personuppgiftsbehandling".
Nuvarande lydelse
Föreslagen lydelse
1 kap.
3 a §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Denna lag träder i kraft den 1 juli 2013.
Förslag till lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården
Härigenom föreskrivs i fråga om lagen (2001:617) om behandling av personuppgifter inom kriminalvården
dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse,
dels att rubriken närmast före 2 § ska lyda "Förhållandet till andra bestämmelser om personuppgiftsbehandling".
Nuvarande lydelse
Föreslagen lydelse
2 a §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Denna lag träder i kraft den 1 juli 2013.
Förslag till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet
Härigenom föreskrivs i fråga om lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet att 1 a, 7, 15, 19 och 21 §§ samt rubriken närmast före 15 § ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 a §
I lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser om polisiärt samarbete. Om det i dessa författningar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
I lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser om polisiärt samarbete.
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första och andra styckena finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
7 §
Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att
1. förhindra eller upptäcka brottslig verksamhet,
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller beivra visst brott, eller
3. fullgöra det arbete som Tullverket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete.
3. fullgöra förpliktelser som följer av internationella åtaganden
Behandling av uppgifter för internationellt tullsamarbete
Behandling av uppgifter som rör internationella åtaganden
15 §
Utöver vad som följer av 12-14 §§ får Tullverket behandla uppgifter för sådant ändamål som anges i 7 § 3.
Endast de personer som arbetar med tullsamarbete får ha direkt tillgång till uppgifterna.
Endast de personer som arbetar med internationella åtaganden får ha direkt tillgång till uppgifterna.
19 §
Om förutsättningarna för behandling enligt 1, 7, 8 och 11-18 §§ är uppfyllda, får i tullbrottsdatabasen behandlas handlingar som kommit in till eller upprättats av Tullverket i ett ärende samt följande uppgifter:
1. uppgifter om en fysisk persons identitet, arbetsplats och yrke samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,
2. uppgifter om en juridisk persons identitet, firmatecknare, säte och verksamhet samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,
3. upplysningar om varifrån en uppgift kommer och om uppgiftslämnarens trovärdighet,
4. de omständigheter och händelser som är orsaken till att uppgifter om en person behandlas,
5. uppgifter om särskilda fysiska kännetecken,
6. uppgifter om varor, brottshjälpmedel och transportmedel,
7. varning om att en person tidigare varit beväpnad, våldsam eller flyktbenägen,
8. ärendenummer, ärendekoder, ärendemening och andra uppgifter som beskriver ett ärende,
9. administrativa åtgärder i ett ärende,
10. uppgifter som är nödvändiga för att Tullverket skall kunna fullgöra det arbete som verket är skyldigt att utföra enligt lagen (2000:1219) om internationellt tullsamarbete,
10. uppgifter som är nödvändiga för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden,
11. hänvisning till andra brottsbekämpande myndigheters databaser eller register i vilka uppgifter om en person som avses i 12 § första stycket 1 eller som är skäligen misstänkt för ett visst brott också förekommer, samt
12. upplysningar som avses i 16 §.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om de uppgifter som får behandlas i tullbrottsdatabasen.
Uppgifter som behandlas enbart med stöd av 13 § får inte behandlas i tullbrottsdatabasen.
21 §
Namn, personnummer och samordningsnummer får användas som sökbegrepp bara om uppgifterna avser en person som misstänks för något visst brott eller för brottslig verksamhet.
Första stycket gäller inte vid sökning bara i ett visst ärende eller en viss handling. Första stycket gäller inte heller vid sökning efter den som en handling kommit in från eller expedierats till i ett ärende.
Första stycket gäller inte vid sökning
1. i ett visst ärende eller en viss handling,
2. efter den som en handling kommit in från eller expedierats till i ett ärende, eller
3. för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden.
Denna lag träder i kraft den 1 juli 2013.
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 9 kap. 2 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
9 kap.
2 §
Bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i
1. lagen (1990:314) om ömsesidig handräckning i skatteärenden,
2. lagen (2000:343) om internationellt polisiärt samarbete,
3. lagen (2000:344) om Schengens informationssystem,
4. lagen (2000:562) om internationell rättslig hjälp i brottmål,
5. lagen (2000:1219) om internationellt tullsamarbete,
6. lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar,
7. lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen,
8. lagen (1998:620) om belastningsregister, och
9. lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning.
8. lagen (1998:620) om belastningsregister,
9. lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning, och
10. lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
Denna lag träder i kraft den 1 juli 2013.
Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs att det i polisdatalagen (2010:361) ska införas en ny paragraf, 1 kap. 2 b §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
2 b §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag.
Denna lag träder i kraft den 1 juli 2013.
Förslag till lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister
Härigenom föreskrivs i fråga om lagen (2010:362) om polisens allmänna spaningsregister
dels att det i lagen ska införas en ny paragraf, 2 a §, av följande lydelse,
dels att rubriken närmast före 2 § ska lyda "Förhållandet till andra bestämmelser om personuppgiftsbehandling".
Nuvarande lydelse
Föreslagen lydelse
2 a §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag och personuppgiftslagen (1998:204).
Denna lag träder i kraft den 1 juli 2013.
Förslag till lag om ändring i kustbevakningsdatalagen (2012:145)
Härigenom föreskrivs att det i kustbevakningsdatalagen (2012:145) ska införas en ny paragraf, 1 kap. 2 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
2 a §
I lagen (2013:000) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tilllämpas i stället för bestämmelserna i denna lag.
Denna lag träder i kraft den 1 juli 2013.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2013-01-23
Närvarande: F.d. justitieråden Susanne Billum och Dag Victor samt justitierådet Annika Brickman.
Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete
Enligt en lagrådsremiss den 10 januari 2013 (Justitiedepartementet) har regeringen beslutat att inhämta Lagrådets yttrande över förslag till
1. lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen,
2. lag om tystnadsplikt för anställda vid Europeiska polisbyrån,
3. lag om ändring i lagen (1998:620) om belastningsregister,
4. lag om ändring i lagen (1998:621) om misstankeregister,
5. lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,
6. lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete,
7. lag om ändring i lagen (2011:1175) om ändring i lagen (2000:344) om Schengens informationssystem,
8. lag om ändring i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet,
9. lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården,
10. lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,
11. lag om ändring i offentlighets- och sekretesslagen (2009:400),
12. lag om ändring i polisdatalagen (2010:361),
13. lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister,
14. lag om ändring i kustbevakningsdatalagen (2012:145).
Förslagen har inför Lagrådet föredragits av ämnessakkunniga Pia Cedermark.
Förslagen föranleder följande yttrande av Lagrådet:
1. Förslaget till lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen
Allmänt
I remissen föreslås en särskild reglering som ska gälla vid behandling av personuppgifter som överförs eller görs tillgängliga inom ramen för det s.k. dataskyddsrambeslutet. En ny lag föreslås innehålla de specialbestämmelser som krävs. Samtidigt föreslås ändringar i ett antal anslutande registerförfattningar, huvudsakligen av innebörd att om den nya lagen är tillämplig på vissa personuppgifter ska den lagen tillämpas framför registerlagen i fråga.
Den föreslagna lagstiftningen är komplicerad och svåröverblickbar och det kan enligt Lagrådets mening inte uteslutas att olika tillämpningssvårigheter kan uppstå. Det gäller bl.a. i förhållande till personuppgiftslagen (1998:204), PUL, vilken också förutsätts gälla med visst undantag, samtidigt som de berörda registerförfattningarna i stor utsträckning innehåller från PUL avvikande bestämmelser och ibland undantar PUL, ibland inte. Det anförda talar för att särskild uppmärksamhet bör ägnas åt att klargöra i vilken utsträckning centrala bestämmelser i PUL kan bli tillämpliga samtidigt med den nya lagen. Det gäller bl.a. bestämmelsen i 8 § PUL om förhållandet till offentlighetsprincipen. Lagrådet återkommer till den frågan under 6 § i lagförslaget.
Rubrikerna i lagen
Enligt Lagrådets mening behöver rubrikerna ses över, bl.a. så att rubrikerna över 10 och 11 §§ inte blir underrubriker till Villkor om användningsbegränsningar. Lagrådet föreslår vidare att rubriken över 1 § ändras till "Lagens syfte" samt att rubrikerna över 10 § respektive 11 § utgår och ersätts med en rubrik, "Övriga bestämmelser", som täcker båda paragraferna.
2 §
Paragrafen innehåller allmänna bestämmelser om lagens tillämpningsområde. Dessa avser dels vilka uppgifter, dels vilken behandling av dessa som omfattas av lagens bestämmelser. Det senare regleras enligt förslaget i första stycket medan det förra regleras i andra stycket. I tredje stycket finns en bestämmelse enligt vilken endast vissa av bestämmelserna i lagen är tillämpliga vid viss behandling (överföring från svensk myndighet) av personuppgifter som omfattas av lagen.
Vid föredragningen har det bl.a. upplysts att avsikten med den föreslagna regleringen varit att lagen inte ska vara tillämplig om personuppgifter som i och för sig omfattas av lagen skulle behandlas i verksamhet som har annat ändamål än som anges i det föreslagna första stycket. Bestämmelserna om exempelvis begränsningar av de tillåtna ändamålen för behandling och överföring av personuppgifter (5,6 och 7 §§) är således inte avsedda att vara tillämpliga om uppgifterna väl skulle komma att behandlas i annan verksamhet (jfr härtill 5 § andra stycket i förslaget) än som anges i första stycket. Den föreslagna regleringen framstår inte som självklar men Lagrådet anser sig inte ha tillräckligt underlag för att ifrågasätta en sådan ordning.
Lagrådet vill emellertid framhålla att en på detta sätt utformad reglering åtminstone i viss mån blir missvisande genom att den i förslagets 8 § upptagna bestämmelsen om användningsbegränsningar är, som bekräftats vid föredragningen, avsedd att vara tillämplig även om uppgifterna skulle bli föremål för behandling för andra ändamål än som anges i det föreslagna första stycket. Med hänsyn till att detta får anses framgå klart av utformningen av 8 § kan Lagrådet till nöds acceptera att det inte återspeglas också i 2 §.
Även bortsett härifrån har emellertid förslaget fått en utformning, bl.a. till följd av att första och andra styckena innehåller delvis men inte helt överensstämmande rekvisit, som gör att det inte är helt lätt att tillgodogöra sig det avsedda innehållet.
Lagrådet noterar också att enligt den nu aktuella paragrafen gäller lagen "vid behandling" medan den enligt exempelvis förslagets 3 § gäller "för behandling". Enligt Lagrådet är det lämpligt med en enhetlig terminologi i detta hänseende, vilket påverkar ett stort antal av de i remissen föreslagna bestämmelserna. Lagrådet anser för sin del att uttrycket "för behandling" är att föredra (jfr t.ex. 5 § personuppgiftslagen, 1998:204,).
Lagrådet ifrågasätter om det föreslagna tredje stycket behövs över huvud taget. Om så anses vara fallet finner Lagrådet det i vart fall mindre lyckat att föreskriva att bestämmelserna i en paragraf (4 §), i motsats till bestämmelserna i andra inte angivna paragrafer, gäller när innehållet i den paragrafens bestämmelser endast är att lagen inte gäller i vissa fall.
Med beaktande av bl.a. vad som nu anförts föreslår Lagrådet att paragrafen formuleras på exempelvis följande sätt:
Denna lag gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder om personuppgifterna överförs, har överförts, görs eller har gjorts tillgängliga inom ramen för polissamarbete eller straffrättsligt samarbete mellan en svensk myndighet och
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
(För behandling av personuppgifter som innebär att uppgifterna förs över till eller hålls tillgängliga för dem som anges i första stycket 1-4 gäller bara bestämmelserna i 3 och 9 §§ med de begränsningar som följer av 4 §).
4 §
I paragrafen anges olika undantag från lagens bestämmelser.
Första stycket bör justeras med hänsyn till att den föreslagna formuleringen kan skapa osäkerhet om bestämningen "rör nationell säkerhet" hänför sig till viss behandling eller vissa typer av personuppgifter.
Andra stycket bör justeras så att det klart framgår att undantaget inte endast gäller det initiala utbytet eller den ursprungliga åtkomsten av personuppgifter utan också efterföljande behandling av dessa.
Lagrådet föreslår att paragrafen formuleras på exempelvis följande sätt:
Lagen gäller inte för sådan behandling av personuppgifter som rör nationell säkerhet.
Lagen gäller inte heller för behandling av personuppgifter som erhålls eller erhållits
1. genom Schengens informationssystem (SIS),
2. genom Tullinformationssystemet (TIS),
3. med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet), eller
4. enligt rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott.
5 §
Bestämmelsen reglerar när en svensk myndighet får vidarebehandla uppgifter som omfattas av lagen, dvs. när sådana uppgifter får användas för andra ändamål än det för vilket de ursprungligen överfördes eller gjordes tillgängliga.
Lagrådet utgår från att ändamålet med en viss överföring av uppgifter normalt är så generellt utformad att uppgifter som tillhandahålls för att upptäcka eller utreda viss brottslighet också får användas för att t.ex. lagföra någon för brottet och för att verkställa det straff som kan komma att utdömas. Om emellertid en sådan användning i något fall inte skulle omfattas av det ursprungligen angivna ändamålet bör en bestämmelse om vidarebehandling säkerställa att uppgifterna kan användas också på detta sätt. Första stycket första punkten i den föreslagna bestämmelsen innebär dock bara att uppgifterna får användas för bekämpning av andra brott än de som aktualiserade den första överföringen. Inte heller den andra punkten synes omfatta fortsatt straffrättsliga hantering av den ursprungligen avsedda brottsligheten.
Lagrådet föreslår därför att första stycket första punkten i bestämmelsen får följande lydelse:
... förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder.
6 §
I paragrafen ges bestämmelser om i vilka fall personuppgifter som omfattas av lagens bestämmelser får överföras till enskilda.
Enligt första stycket får personuppgifter som erhållits enligt vissa angivna bestämmelser överföras till enskilda bara om vissa förutsättningar är uppfyllda. En sådan anges vara (1 a) att överföringen är "nödvändig för att utföra en författningsenlig uppgift". Uttryckssättet framstår inte som helt adekvat. Dels saknas subjekt - den berörda myndigheten -, dels synes ordet "författningsenlig" inte täcka den avsedda innebörden. Lagrådet förordar att punkten utformas exempelvis enligt följande:
... (nödvändig för att) myndigheten ska kunna fullgöra en författningsreglerad skyldighet,...
Utlämnande av allmänna handlingar med stöd av offentlighetsprincipen nämns inte i paragrafen. Detta motiveras i remissen (avsnitt 6.6.4) med att en sådan bestämmelse är onödig eftersom det av normhierarkin följer att den nya lagen inte får tillämpas i strid med grundlag och att det i 8 § personuppgiftslagen finns en "upplysningsbestämmelse" som gäller för alla aktuella myndigheter (genom hänvisning eller direkt) och av vilken det framgår att personuppgiftslagen inte hindrar en utlämning av allmänna handlingar.
I samband med utarbetandet av personuppgiftslagen fanns en omfattande diskussion om den svenska offentlighetsprincipens förenlighet med det bakomliggande dataskyddsdirektivet. Bl.a. uttalade Lagrådet tveksamhet i frågan. Lagen utformades emellertid utifrån den utgångspunkten att någon motsättning inte förelåg. Den bedömningen grundade sig i första hand på den skrivning i punkt 72 i ingressen som Sverige fick in i slutskedet av förhandlingarna. När det gäller förenligheten mellan offentlighetsprincipen och det nu aktuella rambeslutet hänvisar regeringen på motsvarande sätt till punkt 31 i skälen enligt vilken rambeslutet "gör att principen om allmänhetens tillgång till offentliga handlingar kan tillgodoses vid tillämpningen av principerna i detta".
Det går inte att komma ifrån att det stöd för en tillämpning av offentlighetsprincipen som sålunda åberopas framstår som ganska skört. Lagrådet har emellertid förståelse för den svenska ståndpunkten och finner inte skäl att motsätta sig att den läggs till grund för den svenska lagstiftningens utformning.
Enligt Lagrådet finns det emellertid i sammanhanget anledning att beakta att personuppgiftslagen enligt en uttrycklig bestämmelse (2 §) är subsidiär i förhållande till annan lag och förordning. Om det i någon sådan finns bestämmelser som avviker från bestämmelserna i personuppgiftslagen så är det alltså dessa bestämmelser som gäller. Den nu föreslagna bestämmelsen skulle kunna läsas så att 8 § personuppgiftslagen inte skulle "gälla" i förhållande till den nu föreslagna lagen (jfr t.ex. 2 kap. 2 § polisdatalagen). För att undvika att lagstiftningen uppfattas på detta sätt förordar Lagrådet att satsen "utöver vad som framgår av 8 § personuppgiftslagen (1998:204)" skjuts in mellan orden "får" och "överföras" i paragrafens inledning.
Lagrådet noterar också att det i punkt 3 upptagna villkoret gäller generellt. Det bör därför placeras först.
7 §
På motsvarande sätt som Lagrådet förordat beträffande 6 § bör i första stycket det i punkt 4 upptagna villkoret sättas först av villkoren för överföring.
I andra och tredje stycket föreskrivs undantag från de krav för överföring som ställs upp i första stycket. Undantagen baserar sig på det bakomliggande rambeslutet (artikel 13.2 och 13.3). I andra stycket används uttrycket "ett viktigt allmänt intresse" och i tredje stycket "ett väsentligt allmänt intresse". Uttrycken motsvaras i den engelska versionen av rambeslutet av uttrycken "especially important public interests" respektive "essential interests of a Member State". Av skäl 25 framgår att det senare uttrycket bl.a. avser en medlemsstats "kritiska infrastruktur" och "finansiella system".
Enligt Lagrådet skulle den avsedda innebörden av bestämmelserna framgå tydligare om andra och tredje stycket formulerades på exempelvis följande sätt:
Om kravet på adekvat skyddsnivå enligt första stycket 4 inte är uppfyllt, får personuppgifter ändå överföras i ett enskilt fall om en överföring är motiverad av ett berättigat intresse hos den som uppgifterna avser eller av ett särskilt viktigt allmänt intresse eller om mottagaren i det enskilda fallet tillhandahåller tillräckliga skyddsåtgärder för personuppgifterna.
Om medgivande enligt första stycket 1 på grund av tidsbrist inte kan utverkas i förväg, får personuppgifter ändå överföras om en överföring är nödvändig för att avvärja en omedelbar och allvarlig fara för allmän säkerhet eller andra för en medlemsstat väsentliga intressen.
8 §
Den föreslagna paragrafen är utformad på motsvarande sätt som en rad andra lagregler om användningsbegränsningar som numera finns (en förteckning finns i lagförslag 11). I paragrafen sägs att "svenska myndigheter" ska följa uppställda villkor "oavsett vad som är föreskrivet i lag eller annan författning".
Det kan finnas skäl att framhålla att med "svenska myndigheter" i bestämmelser av detta slag avses också domstolar. Bestämmelserna innefattar alltså en viktig inskränkning i den princip om fri bevisföring som annars anses gälla enligt svensk processrätt. Det kan också påpekas att det för frågan om användningsbegränsningar saknar betydelse om en uppgift omfattas av sekretess eller inte. Enligt Lagrådets uppfattning skulle frågan om användningsbegränsningar och den praktiska hanteringen av sådana vara värd en grundligare analys och närmare överväganden än de som gjorts i detta ärende. Det nu aktuella lagstiftningsärendet är dock knappast den naturliga platsen för detta varför det inte heller finns anledning att rikta kritik mot det framlagda förslaget för bristande beredning i detta hänseende.
11 §
Paragrafen erinrar om regeringens restkompetens. För att tydliggöra att bestämmelsen inte avser verkställighetsföreskrifter föreslår Lagrådet att den utformas exempelvis enligt följande.
Regeringen eller den myndighet regeringen bestämmer meddelar kompletterande föreskrifter om skyddet av personuppgifter som avses i denna lag.
Övergångsbestämmelser
Enligt förslaget ska den nya lagen inte tillämpas på uppgifter som överförts eller gjorts tillgängliga före ikraftträdandet. De skäl som åberopas för denna övergångsbestämmelse är av praktisk art. Enligt vad som anges i remissen skulle det vara förenat med betydande svårigheter att identifiera alla uppgifter som kan ha överförts tidigare eftersom de kan ha sammanblandats med andra uppgifter.
Lagrådet betvivlar inte att tillämpningsproblem av detta slag kan uppstå. Detta är dock knappast något som är unikt för denna lag. Det är också svårt att förstå varför den nya lagen inte skulle tillämpas i de fall där uppgifternas ursprung och karaktär står klar. Lagrådet vill också erinra om att det enligt rambeslutet (artikel 29.1) ålegat Sverige att vidta de åtgärder som är nödvändiga för att följa bestämmelserna före den 27 november 2010. Lagrådet förordar att den föreslagna övergångsbestämmelsen får utgå.
2. Förslaget till lag om tystnadsplikt för anställda vid Europeiska polisbyrån
I remissen föreslås en särskild lag om tystnadsplikt för vissa angivna personer som är eller har varit verksamma inom Europol. Lagens enda paragraf innehåller i första stycket en bestämmelse om tystnadsplikt för dessa. I paragrafens andra stycke anges att i det allmännas verksamhet ska i stället offentlighets- och sekretesslagen (2009:400), OSL, tillämpas.
Andra stycket har liknande motsvarigheter på många håll i lagstiftningen. Där är det dock genomgående fråga om verksamheter som kan bedrivas i såväl enskild som offentlig regi, varvid offentlighetsprincipen nödvändiggör olika reglering av tystnadsplikten.
Någon sådan situation är det inte fråga om här. Syftet med det föreslagna andra stycket synes vara att första stycket inte ska tillämpas i de fall personen i fråga - t.ex. en svensk sambandsman - redan har tystnadsplikt enligt OSL. Lagrådet anser därför att andra stycket bör omformuleras, t.ex. enligt följande:
Om någon som avses i första stycket omfattas av tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400) ska i stället den lagen tillämpas.
3. Förslaget till lag om ändring i lagen (1998:620) om belastningsregister
I remissen föreslås införande av en ny 1 a § av innebörd att lagen gäller "utöver" personuppgiftslagen (1998:204), PUL.
Som Lagrådet inledningsvis konstaterat är sambandet mellan de nya bestämmelserna och PUL samt mellan de nya bestämmelserna inbördes komplicerat och svåröverblickbart. Den nu föreslagna bestämmelsen bidrar knappast till att skingra oklarheten. Av 2 § PUL framgår sålunda att om det finns avvikande bestämmelser i annan författning ska de bestämmelserna gälla. Lagen om belastningsregister gör - till skillnad från bl.a. polisdatalagen (2010:361) som uttryckligen gäller "i stället för" PUL - inget allmänt undantag för PUL. Däremot innehåller lagen många bestämmelser som avviker från centrala bestämmelser i PUL, t.ex. om rätten att få ut uppgifter. Samtidigt anges i 20 § att PUL:s bestämmelser om rättelse och skadestånd gäller, något som knappast vore befogat om PUL redan är tillämplig.
Enligt Lagrådets mening tillför uttrycket "utöver PUL" inget som kan underlätta tolkningen av bestämmelserna. Den omständligheten att samma uttryckssätt använts i andra lagstiftningssammanhang påverkar inte denna bedömning.
Om man önskar klargöra förhållandet mellan de båda lagarna, vilket otvivelaktigt vore önskvärt, anser Lagrådet att bestämmelsen kan utformas exempelvis enligt följande:
1 a § Om inte avvikande bestämmelser finns i denna lag gäller personuppgiftslagen (1998:204).
Bestämmelsen i 20 § kan då utgå.
4. Förslaget till lag om ändring i lagen (1998:621) om misstankeregister
Lagrådet har samma synpunkter på förslaget till 1 a § som beträffande motsvarande bestämmelse i lagen om belastningsregister. Bestämmelsen i 15 § om att PUL:s bestämmelser om rättelse och skadestånd gäller kan då utgå.
6. Förslaget till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete
I andra stycket i den föreslagna paragrafen (1 b §) finns en hänvisning till "Prümrådsbeslutet". Prümrådsbeslutets fullständiga beteckning återges i 2 §, som också innehåller andra definitioner.
Enligt Lagrådets mening bör beslutet presenteras med sin fullständiga beteckning åtminstone första gången det nämns i författningen. Lagrådet föreslår därför att den fullständiga beteckningen används även i den nya bestämmelsen eller att ordningsföljden mellan paragraferna ändras.
10. Förslaget till lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet
Den föreslagna lydelsen av 7 § 3 innebär att uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att "fullgöra förpliktelser som följer av internationella åtaganden". I den föreslagna lydelsen av 15 § föreskrivs att endast personer som "arbetar med internationella åtaganden" får ha direkt tillgång till uppgifter för sådant ändamål som avses i 7 § 3.
Den föreslagna ändringen i 15 § är, såvitt framgår av författnings-kommentaren, en följdändring till ändringen i 7 § 3. Ändringen innebär emellertid att en vidare personkrets än den som ansvarar för verksamhet enligt 7 § 3 får tillgång till överförda eller tillgängliggjorda uppgifter. Någon närmare bestämning av denna personkrets eller något skäl för att annan personal än den som har att fullgöra de förpliktelser som följer av internationella överenskommelser ska ha tillgång till uppgifterna framgår inte. Lagrådet anser att en snävare begränsning av den persongrupp som ska ha tillgång till de skyddade uppgifterna bör övervägas.
Övriga lagförslag
Lagrådet lämnar förslagen utan erinran.
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 21 februari 2013
Närvarande: Statsministern Reinfeldt, ordförande, och statsråden Björklund, Ask, Larsson, Erlandsson, Hägglund, Carlsson, Billström, Ohlsson, Norman, Attefall, Engström, Elmsäter-Svärd, Ullenhag, Hatt, Ek, Lööf, Enström, Arnholm
Föredragande: statsrådet Ask
Regeringen beslutar proposition Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete
Rättsdatablad
Författningsrubrik
Bestämmelser som inför, ändrar, upp-häver eller upprepar ett normgivnings-bemyndigande
Celexnummer för bakomliggande EU-regler
Lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen
11 §
32008F0977
Lag om tystnadsplikt för anställda vid Europeiska polisbyrån
32009D0371
Lag om ändring i lagen (1998:620) om belastningsregister
32008F0977
Lag om ändring i lagen (1998:621) om misstankeregister
32008F0977
Lag om ändring i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar
32008F0977
Lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete
32008F0977
Lag om ändring i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet
32008F0977
Lag om ändring i lagen (2001:617) om behandling av personuppgifter inom kriminalvården
32008F0977
Lag om ändring i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet
32008F0977
Lag om ändring i polisdatalagen (2010:361)
32008F0977
Lag om ändring i lagen (2010:362) om polisens allmänna spaningsregister
32008F0977
Lag om ändring i kustbevakningsdatalagen (2012:145)
32008F0977
Prop. 2012/13:
Prop. 2012/13:
6
5
1
Prop. 2012/13:73
Prop. 2012/13:73
Prop. 2012/13:73
Prop. 2012/13:73
26
25
1
Prop. 2012/13:
Prop. 2012/13:
Prop. 2012/13:73
Prop. 2012/13:73
148
149
1
Prop. 2012/13:
Prop. 2012/13:
Prop. 2012/13:73
Bilaga 1
Prop. 2012/13:73
Bilaga 1
160
161
1
Prop. 2012/13:73
Bilaga 1
Prop. 2012/13:
Bilaga 1
Prop. 2012/13:73
Bilaga 2
Prop. 2012/13:73
Bilaga 2
190
191
1
Prop. 2012/13:73
Bilaga 2
Prop. 2012/13:
Bilaga 2
Prop. 2012/13:73
Bilaga 3
Prop. 2012/13:73
Bilaga 3
214
213
1
Prop. 2012/13:
Bilaga 3
Prop. 2012/13:
Bilaga 3
Prop. 2012/13:73
Bilaga 4
Prop. 2012/13:73
Bilaga 4
Prop. 2012/13:73
Bilaga 5
Prop. 2012/13:73
Bilaga 5
234
233
1
Prop. 2012/13:
Bilaga 5
Prop. 2012/13:
Bilaga 5
Prop. 2012/13:73
Bilaga 6
Prop. 2012/13:73
Bilaga 6
Prop. 2012/13:73
Bilaga 7
Prop. 2012/13:73
Bilaga 7
252
253
1
Prop. 2012/13:
Bilaga 7
Prop. 2012/13:
Bilaga 7
Prop. 2012/13:73
Bilaga 8
Prop. 2012/13:73
Bilaga 8
Prop. 2012/13:73
Bilaga 9
Prop. 2012/13:73
Bilaga 9
264
263
1
Prop. 2012/13:
Bilaga 8
Prop. 2012/13:
Bilaga 8
Prop. 2012/13:73
Prop. 2012/13:73
266
265
1
Prop. 2012/13:73
Prop. 2012/13:73