Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Transkript

1 Yttrande Diarienr 1 (13) Ert diarienr Ju2017/07698/L4 Justitiedepartementet Stockholm Brottsdatalag kompletterande lagstiftning (SOU 2017:74) Datainspektionen har granskat betänkandet utifrån inspektionen uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Med anledning av betänkandets storlek, det antal frågor som behandlas samt den ovanligt korta svarstiden, begränsar sig Datainspektionens yttrande till frågor av väsentlig betydelse för den enskildes personliga integritet. Det innebär att inspektionen fokuserat på utredningens förslag till generella förändringar i kapitel 4-6 samt Utredningens förslag till registerförfattningar i kapitel 7-13 har endast kunnat granskas översiktligt. Datainspektionen kommer att avge ett kompletterande yttrande som avser den del i betänkandet som gäller säkerhetspolisens behandling av personuppgifter och där svarstiden är satt till den 8 januari Inledning Datainspektionen har i ett tidigare remissvar över delbetänkandet välkomnat förslaget till en ny brottsdatalag, som ska vara en ramlag som gäller utöver de särskilda registerförfattningarna som utredningen nu föreslår 1. Som Datainspektionen framfört i det tidigare remissvaret har behöriga myndigheter olika behov av att behandla personuppgifter. I likhet med vad utredningen föreslagit finns det därför alltjämt ett behov av särregler för de olika myndigheterna i deras registerförfattningar. 1 Se Datainspektionens remissvar den 7 juni 2017, dnr Postadress: Box 8114, Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: Telefon:

2 Datainspektionen Diarienr (13) Datainspektionen går först igenom synpunkter på valda delar av betänkandet och därefter går inspektionen igenom synpunkter på föreslagna ändringar i myndigheternas registerförfattningar. Synpunkter på valda delar av betänkandet 4. Framtida utformning av registerförfattningarna Datainspektionen tillstyrker de utgångspunkter för anpassning av registerförfattningarna som framförs under kapitlet och som avser behov av enhetlig terminologi, behov av redaktionella ändringar, begränsning av tillämpningsområdet samt placering av viss sekretessbrytande bestämmelser och bestämmelser om hur personuppgifter får tillhandahållas i registerförfattningarna. Tillämpningsområdet för registerlagarna bör, i likhet med förslaget till brottsdatalag, utgå från syftet med behandlingen i stället för i vilken verksamhet den utförs. Såsom Datainspektionen framfört i remissvaret över delbetänkandet kommer brottsdatalagens tillämpningsområde, registerlagarnas tillämpningsområde samt tillämpningsområdet för dataskyddsförordningen 2 leda till gränsdragningsproblem och ställa höga krav på tillämparen. 5. Generella ändringar Behandling av känsliga personuppgifter Datainspektionen tillstyrker utredningens förslag till systematik. Som utredningen konstaterat är det en naturlig följd att nuvarande bestämmelser om behandling av känsliga personuppgifter i aktuella registerförfattningar upphävs eftersom det i brottsdatalagen föreslås generella bestämmelser om behandling av känsliga personuppgifter. Det är dock viktigt att utredningens förslag inte innebär en försämring av skyddet för den personliga integriteten vid behandling av känsliga personuppgifter. De generella bestämmelserna i brottsdatalagen om behandling av känsliga personuppgifter måste därför 2 Europarlamentets och rådets förordning (EU) 2106/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG

3 Datainspektionen Diarienr (13) analyseras tillsammans med de eventuella avvikelser, t.ex. avseende sökförbudet, som utredningen föreslår för respektive registerförfattning. Datainspektionen återkommer till detta under redovisningen av synpunkter på respektive registerförfattning. Inspektionen vill redan här påtala vikten av att de behöriga myndigheterna loggar sökningar och att de har rutiner för att följa upp och granska sökningar på känsliga personuppgifter. I övrigt hänvisas i denna del till vad Datainspektionen framfört i remissvaret över delbetänkandet Särskilda upplysningar Datainspektionen avstyrker utredningens förslag att kravet på särskilda upplysningar enbart ska gälla om personuppgifterna har gjorts gemensamt tillgängliga. Enligt artikel 6 i direktivet ska medlemsstaterna föreskriva att den personuppgiftsansvarige, i tillämpliga fall och så långt som det är möjligt, gör en klar åtskillnad mellan personuppgifter som rör olika kategorier. I 2 kap. 9 brottsdatalagen föreslås en generell bestämmelse som motsvarar artikelns innehåll. Datainspektionen har, vilket framgår av tidigare remissvar över delbetänkandet, inga invändningar mot denna bestämmelse. Utredningen föreslår nu emellertid begränsningar i denna rätt i registerförfattningarna, dvs. den gäller enbart om uppgifterna är gemensamt tillgängliga. Datainspektionen delar inte utredningen bedömning att det saknas ett behov av särskilda upplysningar när informationen inte gjorts gemensamt tillgänglig. Även information som inte gjorts gemensamt tillgänglig kan innehålla ett mycket stort antal personuppgifter t.ex. i underrättelseverksamheten. Redan av den anledningen kan det finnas ett stort behov av särskilda upplysningar. Till det ska läggas att i underrättelseverksamheten bör det ställas höga krav på personuppgiftsbehandlingen eftersom den är särskilt integritetskänslig. Det är också svårare att kontrollera en behandling av personuppgifter om kravet på särskilda upplysningar begränsas till gemensamt tillgängliga uppgifter. 3 Se Datainspektionens remissvar den 7 juni 2017, dnr

4 Datainspektionen Diarienr (13) Administrativa sanktionsavgifter I remissvaret över delbetänkandet tillstyrkte Datainspektionen att sanktionsavgift införs på direktivets område. Datainspektionen tillstyrker även att det ska vara möjligt att utdöma sanktionsavgifter vid överträdelse av registerförfattningarna. Däremot är inspektionen tveksam till att införa ett minimibelopp eftersom detta inte har föreslagits på dataskyddsförordningens område. Som Datainspektionen framfört tidigare bör det i det fortsatta lagstiftningsarbetet övervägas om det ska vara några skillnader mellan direktivet och dataskyddsförordningens område Skadestånd Datainspektionen tillstyrker att rätten till skadestånd i brottsdatalagen även ska tillämpas på motsvarande sätt när personuppgifter behandlas i strid med registerförfattningarna. Som utredningen konstaterat bör rätten till skadestånd vid skada och kränkning vara densamma som när personuppgifter behandlas i strid med brottsdatalagen. 5.5 Särskilt om längsta tid för behandling Som Datainspektionen framförde i remissvaret över delbetänkandet är det positivt att begreppen bevarande och gallring enbart ska användas i den betydelse de har i arkivlagstiftningen. Det är också positivt att bestämmelserna om hur länge personuppgifter får behandlas samlas i egna kapitel i registerförfattningarna, det bidrar till en ökad tydlighet Omständigheter som påverkar längsta tid för behandling i underrättelseverksamhet Datainspektionen tillstyrker utredningens förslag att endast uppgifter om en persons anknytning till brottslig verksamhet ska påverka längsta tid för behandling av personuppgifter i underrättelseverksamhet. Det förhindrar möjligheterna att, i underrättelseverksamhet, skjuta på den tid som uppgifter får behandlas genom att tillföra t.ex. uppdaterade adressuppgifter. Det är positivt ur ett integritetsskyddsperspektiv. Som utredningen konstaterat kan det knappast ha varit lagstiftarens avsikt att tiden för hur länge personuppgifter får behandlas ska kunna påverkas av vilka uppgifter som helst.

5 Datainspektionen Diarienr (13) Annat elektroniskt utlämnande tillåts i större utsträckning Datainspektionen avstyrker utredningens förslag att personuppgifter ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. I slutbetänkandet konstaterar utredningen att det finns ett behov av att utvidga reglerna utan att närmare analyser vilka effekter på den personliga integriteten som utvidgningen får eller kan få. Utan att mer noggrant analysera detta går det inte att avgöra om utvidgningen kan anses proportionerlig i förhållande till enskildas personliga integritet. 6 Tillåtna rättsliga grunder och behandling för nya ändamål Tillåtna rättsliga grunder för behandlingen Datainspektionen delar utredningens bedömning att det i registerförfattningarna bör finnas bestämmelser som utgör rättsliga grunder för behandlingen och att dessa bestämmelser ska ersätta 2 kap. 1 brottsdatalagen. Den rättsliga grunden ska, såsom utredningen framfört, läsas tillsammans med myndighetens reglering av arbetsuppgifterna. Först vid en sådan läsning går det att avgöra om kravet i direktivet på att den rättsliga grunden ska vara tydlig, precis och förutsägbar är uppfyllt. När det, som t.ex. för underrättelseverksamheten, saknas närmare bestämmelser i svensk rätt kan det som Datainspektionen framfört i tidigare remissvar över delbetänkandet leda till problem med att fastställa den rättsliga grunden för sådan behandling. Utredningen har inte, för respektive myndighet, analyserat om brottsdatalagen, de aktuella registerförfattningarna och de regelverk som styr myndighetens verksamhet sammantaget ger en tydlig, precis och förutsägbar rättslig grund. Datainspektionen kan därför inte utesluta att det kan finnas andra områden än underrättelseverksamhet där den nationella lagstiftningen sammantaget inte uppfyller kraven på rättslig grund. Datainspektionen vidhåller att det i det fortsatta lagstiftningsarbetet är viktigt att det genomförs en analys av vilken betydelse det får för förutsättningarna att behandla personuppgifter. Datainspektionen delar utredningens bedömning att registervård inte behöver regleras särskilt utan kan ses som en integrerad del av den personuppgiftsansvariges skyldigheter.

6 Datainspektionen Diarienr (13) Behandling för nya ändamål Datainspektionen tillstyrker utredningens förslag att upphäva de sekundära ändamålsbestämmelserna i nuvarande registerförfattningar i de delar som gäller behandling för ändamål inom brottsdatalagens tillämpningsområde. Utredningen motiverar förslaget med att prövningen enligt 2 kap. 4 brottsdatalagen annars skulle sättas ur spel. En sådan prövning krävs enligt artikel 4.2 i direktivet. I remissvaret över delbetänkandet konstaterade Datainspektionen att artikel 4.2 i direktivet innebär en betydande förändring i förhållande till nuvarande reglering och att utredningens förslag i brottsdatalagen öppnar upp för en större möjlighet än idag för behöriga myndigheter att behandla personuppgifter eftersom finalitetsprincipen inte längre sätter gränser. Inspektionen framförde vidare att en viktig begränsning av behöriga myndigheters möjligheter att behandla personuppgifter är att de i ramlagen föreslås att behandlingar för nya ändamål inom lagens tillämpningsområde också ska vara nödvändiga och proportionerliga med hänsyn till det nya ändamålet. Datainspektionen vill påminna om att det i det fortsatta lagstiftningsarbetet är viktigt med vägledning för tillämparen när en sådan nödvändighets- och proportionalitetsbedömning ska göras En prövning ska göras innan personuppgifter lämnas ut och Utformningen av regleringen Datainspektionen avstyrker utredningens förslag till bestämmelse i 2 kap 22 brottsdatalagen. Datainspektionen konstaterar att bestämmelsen är en reglering på dataskyddsförordningens område, som placeras i brottsdatalagen. Utredningen har endast kortfattat analyserat förhållandet till dataskyddsförordningen. Det krävs särskilda överväganden för att införa en sådan bestämmelse, vilket bör utredas vidare.

7 Datainspektionen Diarienr (13) 17 Övriga författningsändringar 17.1 Tystnadsplikt för dataskyddsombud Datainspektionen tillstyrker utredningens förslag att i brottsdatalagen införa en tystnadsplikt för dataskyddsombud. Den bör, såsom utredningen konstaterat, regleras på samma sätt som på dataskyddsförordningens område. I författningsförslaget i 3 kap. 16 används ordalydelsen Den som fullgör uppgift som dataskyddsombud, vilket bättre fångar vad som ska skyddas än den lydelse som Dataskyddsutredningen föreslagit på dataskyddsförordningens område (se SOU 2017:39). Samtidigt vill Datainspektionen påtala att artikel 29-gruppen i sin vägledning om dataskyddsombud inte utesluter att denne kan vara juridisk person samt att fullgörandet av uppgifterna kan utföras av medhjälpare 4. Oavsett synen på om ett dataskyddsombud kan vara en juridisk person eller inte så ligger det i sakens natur att fullgörandet av dataskyddsombudets uppgifter kan behöva att ske med hjälp av medarbetare. Det innebär att den tystnadsplikt som gäller för ett dataskyddsombud även bör gälla den som under dennes ledning fullgör sådana uppgifter. Datainspektionen föreslår därför att bestämmelsen om tystnadsplikt utformas på ett sätt som även omfattar sådana medhjälpare Sekretess för personuppgiftsincidenter Som utredningen har konstaterat har Datainspektionen i en skrivelse till Justitiedepartementet väckt frågan om skyndsam utredning av sekretessen hos myndigheten för anmälningar om personuppgiftsincidenter (se skrivelse den 7 juli 2017, dnr ). Datainspektionen vidhåller att det bör införas en bestämmelse i offentlighetsoch sekretesslagen, som innebär att absolut sekretess alternativt sekretess med omvänt skaderekvisit gäller i Datainspektionens verksamhet för anmälningar av personuppgiftsincidenter. 4

8 Datainspektionen Diarienr (13) Översiktliga synpunkter på ändringarna i registerförfattningarna 7 Polisdatalagen Personuppgiftsansvar Datainspektionen tillstyrker den uppdelning som utredningen föreslår avseende personuppgiftsansvar men konstaterar samtidigt att det kommer att uppstå gränsdragningsproblem i den operativa verksamheten Behandling av biometriska och genetiska uppgifter Utredningen har på ett bra sätt analyserat de verksamhetsbehov som de aktuella myndigheterna har av att behandla biometriska och genetiska uppgifter. Datainspektionen tillstyrker utredningens förslag om när dessa uppgifter ska få behandlas Sökning på känsliga personuppgifter Datainspektionen tillstyrker utredningens förslag att begränsa möjligheterna att söka med hjälp av känsliga personuppgifter i icke gemensamt tillgängliga uppgifter. Datainspektionen delar utredningens bedömning att det inte finns något behov för aktuella myndigheter att kunna söka, i icke gemensamt tillgängliga uppgifter, med hjälp av andra känsliga personuppgifter än de som räknas upp av utredningen Personuppgifter från transportföretag Såsom utredningen konstaterat bör personuppgifter från transportföretagen regleras i polisens brottsdatalag. Datainspektionen välkomnar utredningens föreslagna begränsning i när aktuella myndigheter får söka i uppgifterna från transportföretagen. Det är en integritetshöjande åtgärd men den bör också kombineras med interna rutiner för att följa upp sökningarna så att eventuella överträdelser kan fångas upp och avslöjas. 7.5 Gemensamt tillgängliga uppgifter Datainspektionen avstyrker utredningens förslag som innebär att begränsningsregeln, vid sökningar i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer m.m., enbart ska vara tillämplig avseende automatiserade behandlingsystem. En sådan reglering riskerar att öppna upp möjligheten för de aktuella myndigheterna att söka i vidare omfattning än vad

9 Datainspektionen Diarienr (13) som gäller idag. De argument som utredningen framför, framförallt att det tydliggör att regleringen inte är tänkt att träffa sökningar i all information, är inte tillräckligt starka för att genomföra en sådan förändring. Här får istället de aktuella myndigheternas bedömning, utifrån verksamhetsskäl, av vilka informationssamlingar som ska vara sökbar vara avgörande. Om myndigheterna, rent tekniskt, väljer att begränsa möjligheterna att söka enbart till automatiserade behandlingsystem är en annan sak. 7.6 Längsta tid för behandling Datainspektionen tillstyrker utredningens förslag till att förkorta den tid som uppgifter i underrättelseverksamheten får behandlas i ett ärende till ett år efter att ärendet avslutades. Såsom utredningen konstaterat bör uppgifterna på samma sätt som vid behandling av personuppgifter i andra ärende, inte få behandlas längre än ett år efter det att ärendet avslutas. 8 Tullbrottsdatalagen Sökning på känsliga personuppgifter Datainspektionen tillstyrker utredningens förslag att begränsa möjligheterna att söka med hjälp av känsliga personuppgifter i icke gemensamt tillgängliga uppgifter. Datainspektionen delar utredningens bedömning att det inte finns något behov för aktuella myndigheter att kunna söka, i icke gemensamt tillgängliga uppgifter, med hjälp av andra känsliga personuppgifter än de som räknas upp av utredningen. 8.5 Gemensamt tillgängliga uppgifter Datainspektionen avstyrker utredningens förslag som innebär att begränsningsregeln i gemensamt tillgängliga uppgifter, som anger att sökningar får ske med hjälp av namn, personnummer m.m., enbart ska vara tillämplig avseende automatiserade behandlingsystem. Datainspektionen hänvisar här till vad myndigheten framfört under avsnitt Längsta tid för behandling Datainspektionen tillstyrker utredningens förslag till att förkorta den tid som uppgifter i underrättelseverksamheten får behandlas i ett ärende till ett år efter att ärendet avslutades. Såsom utredningen konstaterat bör uppgifterna på samma sätt som vid behandling av personuppgifter i andra ärende, inte få behandlas längre än ett år efter det att ärendet avslutas.

10 Datainspektionen Diarienr (13) 9 Kustbevakningsdatalagen Sökning på känsliga personuppgifter Datainspektionen tillstyrker utredningens förslag att begränsa möjligheterna att söka med hjälp av känsliga personuppgifter i icke gemensamt tillgängliga uppgifter. Datainspektionen delar utredningens bedömning att det inte finns något behov för aktuella myndigheter att kunna söka, i icke gemensamt tillgängliga uppgifter, med hjälp av andra känsliga personuppgifter än de som räknas upp av utredningen. 9.4 Gemensamt tillgängliga uppgifter Datainspektionen avstyrker utredningens förslag som innebär att begränsningsregeln vid sökningar i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer m.m. enbart ska vara tillämplig avseende automatiserade behandlingsystem. Datainspektionen hänvisar här till vad myndigheten framfört under avsnitt Skattebrottsdatalagen Sökning på känsliga personuppgifter Datainspektionen tillstyrker utredningens förslag att begränsa möjligheterna att söka med hjälp av känsliga personuppgifter i icke gemensamt tillgängliga uppgifter. Datainspektionen delar utredningens bedömning att det inte finns något behov för Skatteverket att kunna söka, i icke gemensamt tillgängliga uppgifter, med hjälp av andra känsliga personuppgifter än de som räknas upp av utredningen Gemensamt tillgängliga uppgifter Datainspektionen avstyrker utredningens förslag som innebär att begränsningsregeln vid sökningar i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer m.m. enbart ska vara tillämplig avseende automatiserade behandlingsystem. Datainspektionen hänvisar här till vad myndigheten framfört under avsnitt Övergångsbestämmelser till skattebrottsdatalagen Tillskillnad mot utredningen anser Datainspektionen att det inte är möjligt, med hänsyn till artikel 6 i direktivet, att ha kvar nuvarande övergångsbestämmelse i punkten 4a. Den bör därför upphävas.

11 Datainspektionen Diarienr (13) 11 Åklagardatalagen Sökning på känsliga personuppgifter Datainspektionen tillstyrker utredningens förslag att begränsa möjligheterna att söka med hjälp av känsliga personuppgifter i form av brottsrubriceringar eller uppgifter som beskriver en persons utseende oavsett om uppgifterna gjorts gemensamt tillgängliga eller inte Gemensamt tillgängliga uppgifter Datainspektionen avstyrker utredningens förslag som innebär att begränsningsregeln vid sökningar i gemensamt tillgängliga uppgifter med hjälp av namn, personnummer m.m. enbart ska vara tillämplig avseende automatiserade behandlingsystem. Datainspektionen hänvisar här till vad myndigheten framfört under avsnitt Domstolsdatalagen Tillämpningsområdet Datainspektionen tillstyrker utredningens förslag till tillämpningsområdet men vill samtidigt framhålla vad myndigheten framfört i remissyttrande över förslaget till omarbetad domstolsdatalag på dataskyddsförordningens område (Ds 2017:41). I remissvaret har Datainspektionen uttalat att regleringen riskerar att bli svårtillämpad då domstolarna har många olika regler att tillämpa. Gränsdragningen mellan personuppgiftsbehandlingen inom domstolarnas dömande verksamhet och övrig rättskipande och rättsvårdande verksamhet är svår att göra och får slutligen avgöras av rättspraxis (se remissyttrande daterat den 30 oktober 2017, dnr ) Ska domstolarna utse dataskyddsombud? Enligt artikel 32 i direktivet får domstolars och andra oberoende rättsliga myndigheters dömande verksamhet undantas från skyldigheten att utse dataskyddsombud. Utredningen föreslår dock att domstolar inte ska undantas från skyldigheten i brottsdatalagen att utse ett dataskyddsombud. Den utredare som övervägt anpassningar av domstolsdatalagen till dataskyddsförordningen föreslår inte heller att motsvarande undantag i förordningen ska utnyttjas. Datainspektionen välkomnar utredningens förslag och anser att dataskyddsombud är en viktig funktion för att kunna följa och visa att man följer integritetsskyddslagstiftningen.

12 Datainspektionen Diarienr (13) Elektroniskt utlämnande I likhet med avsnitt avstyrker Datainspektionen utredningens förslag att personuppgifter ska få lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Datainspektionen hänvisar till de argument som framförs där Föreskriftsrätt Datainspektionen tillstyrker utredningens förslag att Domstolsverket ska ha en skyldighet att samråda med inspektionen innan verket utfärdar föreskrifter. Det ger Datainspektionen möjlighet att i ett tidigt skede vara med och påverka utformningen av föreskrifter som kan påverka integritetsskyddet vid behandling av personuppgifter Sanktionsavgifter Vad avser minimibelopp för sanktionsavgifter hänvisar Datainspektionen till vad som framförs under avsnitt Lagen om behandling av personuppgifter inom kriminalvården Tillåtna rättsliga grunder och behandling för nya ändamål Datainspektionen tillstyrker utredningens förslag till tillämpningsområdet men vill samtidigt framhålla, på motsvarande sätt som beträffande domstolsdatalagen, att regleringen riskerar att bli svårtillämpad i förhållande till dataskyddsförordningens tillämpningsområde Kriminalvårdens register Datainspektionen delar utredningens bedömning att det är angeläget med en allmän översyn av bestämmelserna om centrala kriminalvårdsregistret och har förståelse för att utredningen inte kunnat genomföra en sådan inom ramen för uppdraget Säkerhetsregistret Datainspektionen tillstyrker att de personer som idag får registreras i Säkerhetsregistret även fortsättningsvis ska få registreras. Datainspektionen avstyrker utredningens förslag till utvidgning av vilka personer som får registreras i enlighet med avsnitt och Även om det kan antas att Kriminalvården har ett behov av att registrera dessa personer saknar Datainspektionen en analys av vilka effekter registreringarna kan få på

13 Datainspektionen Diarienr (13) den personliga integriteten. Särskilt anmärkningsvärt är förslaget att utvidga registreringen till att omfatta även personer som har en personlig anknytning eller annan nära förbindelse till den som finns registrerad. Att registrera personer som har kontakt eller besöker personer som finns registrerade i säkerhetsregistret kräver mycket noggranna överväganden. Detta yttrande har beslutats av generaldirektören Eva Håkansson efter föredragning av Jonas Agnvall. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och t.f. enhetschefen Vilhelm Andersson deltagit. Eva Håkansson Jonas Agnvall