Sveriges advokatsamfund har genom remiss den 11 april 2017 beretts tillfälle att avge yttrande över betänkandet Brottsdatalag (SOU 2017:29).

Relevanta dokument
Stockholm den 21 november 2017

Stockholm den 25 november 2015 R-2015/2121. Till Justitiedepartementet. Ju2015/08545/L4

Stockholm den 12 december 2018 R-2018/1679. Till Försvarsdepartementet. Fö2018/00999/RS

Stockholm den 27 september 2017

Stockholm den 17 september 2015

Stockholm den 8 augusti 2014

Datainspektionen lämnar följande synpunkter.

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Stockholm den 30 oktober 2014

Stockholm den 27 september 2017

Med undantag för de förslag och synpunkter som anges nedan har Advokatsamfundet ingen erinran mot förslagen i promemorian.

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Stockholm den 16 december 2016

Utdrag ur protokoll vid sammanträde Skadestånd och Europakonventionen

Hur står det till med den personliga integriteten? (SOU 2016:41)

Sveriges advokatsamfund har genom remiss den 10 maj 2010 beretts tillfälle att avge yttrande över delbetänkandet Avtalad upphovsrätt (SOU 2010:24).

Svar på remiss, Så stärker vi den personliga integriteten, (SOU 2017:52)

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Stockholm den 17 maj 2016 R-2016/0740. Till Finansdepartementet. Fi2016/01353/S3

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Stockholm den 28 april 2015

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

En ny kamerabevakningslag, SOU 2017: Ökade möjligheter till kamerabevakning och ett förstärkt integritetsskydd

Sammanfattning. Direktivets syfte. Stockholm den 13 mars 2008 R-2008/0035. Till Justitiedepartementet. Ju2007/9590/BIRS

Personuppgiftsbiträdesavtal

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )


Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Personuppgiftsbiträdesavtal

Finansdepartementet Avdelningen för offentlig förvaltning Föreskriftsrätt för Lantmäteriet enligt förordningen om lägenhetsregister Maj

Remiss från Justitiedepartementet - Betänkande av brottsdatalag (SOU 2017:29)

Betänkandet SOU 2017:29 Brottsdatalag

Stockholm den 14 september 2017

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Eskil Nord och Lena Moore samt justitierådet Dag Mattsson

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Riktlinjer för hantering av personuppgifter

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Stockholm den 20 mars 2012

Utdrag ur protokoll vid sammanträde

PERSONUPPGIFTSBITRÄDESAVTAL

Tjänsteskrivelse. Remiss från Justitiedepartementet - Kamerabevakning i brottsbekämpningen - ett enklare förfarande (SOU 2018:62) STK

Utkast till lagrådsremissen Vägtrafikdatalag

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Utdrag ur protokoll vid sammanträde

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitierådet Dag Victor samt justitieråden Lennart Hamberg och Per Virdesten.

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Stockholm den 22 augusti 2018

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Snabbare lagföring (Ds 2018:9)

Utdrag ur protokoll vid sammanträde

Med undantag för de invändningar som följer nedan har Advokatsamfundet ingen erinran mot de lagändringar som föreslås i betänkandet.

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Stockholm den 10 augusti 2015

Stockholm den 7 september 2017 R-2017/0906. Till Justitiedepartementet. Ju2017/04264/L6

Sveriges advokatsamfund har genom remiss den 2 juli beretts tillfälle att avge yttrande över departementspromemorian Hyra av lös sak (Ds 2010:24).

Sveriges advokatsamfund har genom remiss den 5 april 2016 beretts tillfälle att avge yttrande över betänkandet En ny strafftidslag (SOU 2016:18).

R 6079/ Till Statsrådet och chefen för Justitiedepartementet

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Vem ska återkräva olagligt statsstöd?

Remissvar TCO Så stärker vi den personliga integriteten, SOU 2017:52

Samarbetsavtal behandling av personuppgifter 1. Bakgrund och syfte 2. Samarbetsavtalets giltighetstid

Dataskyddsförordningen

Stockholm den 21 augusti 2006 R-2006/0556. Till Miljö- och samhällsbyggnadsdepartementet M2006/1831/R

Stockholm den 12 februari 2014

Riktlinjer för dataskydd

Datalagring och integritet (SOU 2015:31)

Yttrande i Förvaltningsrätten i Stockholms mål

Stockholm den 27 juni 2012

Så stärker vi den personliga integriteten SOU 2017:52

Yttrande över betänkandet En ny kamerabevakningslag

Stockholm den 1 juni 2009 R-2009/0488. Till Justitiedepartementet. Ju2009/2441/PO

Välkomna till kurs i den nya dataskyddsförordningen

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Kommittédirektiv. Genomförande av EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet

Advokatsamfundet ansluter sig till utredningens bedömningar och förslag om att ålder införs som en ny diskrimineringsgrund.

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Yttrande över utkast till lagrådsremiss Stärkt skydd mot diskriminering i skolan

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39)

Remiss av SOU 2015:66 En förvaltning som håller ihop

~ Ekobrottsmyndigheten

Datainspektionen informerar. Vägledningen ska tjäna som verktyg för att bedöma integritetsriskerna med ny eller ändrad lagstiftning.

Advokatsamfundets inställning till utredningens olika förslag kan sammanfattas enligt följande:

Dataskyddsförordningen

SOU 2017:39 Ny dataskyddslag

Stockholm den 30 augusti 2019

Socialdepartementet Stockholm 1 (7) Dnr: :3084. Yttrande över betänkandet Barnkonventionen blir svensk lag (SOU 2016:19)

Myndighetsdatalag (SOU 2015:39)

Stockholm den 25 november 2008

Stockholm den 16 januari 2013

Transkript:

R-2017/0744 Stockholm den 10 juli 2017 Till Justitiedepartementet Ju2017/03283/L4 Sveriges advokatsamfund har genom remiss den 11 april 2017 beretts tillfälle att avge yttrande över betänkandet Brottsdatalag (SOU 2017:29). Utredningen har haft i uppdrag att föreslå hur det nya dataskyddsdirektivet ska genomföras i svensk rätt. Förslaget innefattar dels en ny brottsdatalag och en ny brottsdataförordning, dels ändringar i redan befintlig lagstiftning. Den nya brottsdatalagen behandlar dataskyddet inom myndigheternas brottsbekämpande arbete. Syftet med lagen är att skydda fysiska personers grundläggande fri- och rättigheter samt att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt. Sammanfattning Advokatsamfundet har i huvudsak ingen erinran mot förslagen i betänkandet, men instämmer i de kritiska synpunkter som Advokatsamfundets expert i utredningen har anfört i ett särskilt yttrande (betänkandet s. 775 ff.). Härutöver vill Advokatsamfundet även särskilt framhålla följande. Allmänt Advokatsamfundet konstaterar inledningsvis att det är en svår avvägning mellan å ena sidan intresset för effektivitet i brottsbekämpande verksamhet och å andra sidan hänsyn till skyddet för den personliga integriteten och upprätthållandet av den enskildes rättssäkerhet. Samtidigt är utrymmet för nationella regler begränsade av dataskyddsdirektivet, eftersom de nationella regler som föreslås är underordnade EU-rätten och direktivet. Den bakomliggande tanken att beivra brott kan många gånger framstå som lovvärd, men om regelverket överlämnar många frågor till rättstillämpningen kan detta på lång sikt leda till konsekvenser som kan vara svåra att överblicka och drabba enskilda negativt. Balansgången mellan effektivitet och integritet underlättas inte heller av att bedömningarna blir komplexa och måste göras utifrån ett flertal källor såsom förslaget till

2 brottsdatalag, dataskyddsförordningen och bestämmelser i speciallagstiftning. En ytterligare problematik ligger i att myndigheternas intresse att nå resultat i sin verksamhet typiskt sett står i konflikt med den personliga integriteten och där avvägningen kommer att göras av samma personal som ska besluta om eller utföra de olika myndighetsåtgärderna. Denna komplexitet gör det särskilt angeläget att myndigheterna får resurser för att ge stöd till och utbilda personalen om regelverket, där Advokatsamfundet särskilt ifrågasätter om Datainspektionen verkligen har eller kommer att få tillräckliga resurser för att kunna bedriva en effektiv tillsynsverksamhet. Utredningens slutsatser tyder också beklagligt nog på att några väsentliga resurstillskott till tillsynsverksamheten inte blir aktuella. 1 När det gäller förslaget till brottsdatalag har Advokatsamfundet följande synpunkter på lagförslaget. Frågan om subsidiaritet 1 kap. 5 Den språkliga innebörden av den föreslagna lagtexten är att brottsdatalagen ska vara subsidiär i förhållande till annan lag eller förordning. Detta kan ge intrycket att de föreslagna bestämmelserna och även dataskyddsdirektivet kan åsidosättas genom bestämmelser i svensk lagstiftning. I Datalagskommitténs betänkande (SOU 1997:39 s. 210 f.) diskuterades det att införa en spärr för att förtydliga att möjligheten till subsidiaritet inte gäller i den mån avvikelsen åsidosätter EU-direktivet. Någon spärr infördes emellertid inte, då kommittén utgick ifrån att aktuella registerlagar inte stred mot det då gällande dataskyddsdirektivet. Ett liknande resonemang har förts även i nu aktuellt betänkande (s. 140 f.) med slutsatsen att det inte finns något behov av att införa en generell spärr. 2 Advokatsamfundet anser emellertid att en sådan viktig princip bör framgå uttryckligen i lagtexten i den föreslagna brottsdatalagen. Behandling för andra ändamål 2 kap. 4 Lagförslaget innebär att det ska vara möjligt att behandla personuppgifter för ett annat ändamål än det som ursprungligen var tänkt. En förutsättning är att det finns en rättslig grund och att behandlingen är nödvändig och proportionerlig för det nya ändamålet. 3 Advokatsamfundet vill peka på att det är förenat med risker att möjliggöra behandling av personuppgifter för andra syften än vad som ursprungligen var tänkt. Räckvidden kan vara oklar och det finns en risk för bristande förutsebarhet. I direktivet finns en uttrycklig begränsning innebärande att ändamålet även ska vara nödvändigt och proportionerligt i enlighet med unionsrätten eller medlemsstaternas nationella rätt. Denna begränsning finns dock inte med i den föreslagna bestämmelsen, vilket Advokatsamfundet finner särskilt olyckligt. Enligt svensk grundlag måste inskränkningar av de enskildas fri- och rättigheter även vara godtagbara i ett demokratiskt samhälle. 4 Samtidigt hänvisas till den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna, som innehåller en motsvarande begränsning för inskränkningar i de enskildas 1 Se betänkandet s. 649 f., jfr även SOU 2017:39 s. 348 f. 2 Se betänkandet s. 140 f. 3 Se a.a. s. 246. 4 2 kap. 21 regeringsformen (1974:152).

3 fri- och rättigheter. 5 Advokatsamfundet anser därför att det är av största betydelse att gränsen för de sekundära ändamålen är klar och tydlig samt motsvarar svensk och europeisk rättighetslagstiftning. Enligt Advokatsamfundet bör därför förslaget kompletteras på så sätt att det i lagtexten uttryckligen anges att ändamålen även ska vara godtagbara i ett demokratiskt samhälle. Personuppgifternas kvalitet 2 kap. 15 Det är givetvis av största vikt att personuppgifter som behandlas är korrekta och uppfyller de krav som framgår av dataskyddsdirektivet. 6 Detta gäller framför allt när uppgifterna behandlas i brottsbekämpande sammanhang, där felaktig information kan leda till förödande konsekvenser för den registrerade/misstänkte. Felaktigt registrerade personuppgifter eller personuppgifter med ett felaktigt eller missvisande innehåll kan komma att ligga till grund för olika ingripande åtgärder som kan drabba den registrerade, såsom spaningsåtgärder eller begränsningar för den registrerade att resa fritt. Om uppgifterna dessutom behandlas i hemlighet finns det ingen möjlighet för den registrerade att kontrollera riktigheten i de uppgifter som registreras. Åtgärder som stickprovskontroller från tillsynsmyndigheten får därför särskild betydelse som ett skydd för den personliga integriteten. Ju allvarligare konsekvenserna kan bli för den registrerade, desto större krav måste kunna ställas på att den som behandlar personuppgifterna vidtar åtgärder för att förvissa sig om personuppgifternas riktighet. 7 Advokatsamfundet anser inte att denna problematik fått tillräcklig uppmärksamhet i betänkandet och anser att det finns en överhängande risk för att de brottsbekämpande myndigheterna kan komma att underlåta att kontrollera personuppgifternas riktighet när de förekommer och får betydelse i utredningarna. Advokatsamfundet anser därför att det i förordningsform bör införas en reglering som behandlar vikten av kontrollåtgärder i förhållande till de registrerade uppgifternas sannolika konsekvenser för den enskilde. Frågan om säkerhet 3 kap. 8 Det är av yttersta vikt att personuppgifter skyddas på ett adekvat sätt. Emellertid kan det vara förenat med betydande tillämpningssvårigheter att bedöma vilka säkerhetskrav som kan behöva ställas rent konkret. Både tekniska och organisatoriska åtgärder kan komma att krävas av den personuppgiftsansvarige. Advokatsamfundet vill här särskilt framhålla de tillämpningssvårigheter som de personuppgiftsansvariga kommer att ställas inför när det gäller vilka konkreta säkerhetskrav detta innebär. De personuppgiftsansvariga kommer därför ha ett mycket stort behov av stöd och vägledning från tillsynsmyndigheterna, inte bara när det gäller hur de tekniska lösningarna ska utformas, utan även hur de personuppgiftsansvarigas organisation och administration ska se ut. Uppfyllandet av säkerhetskraven torde även kunna få betydelse när det gäller att bedöma värdet hos sådan bevisning som innehåller personuppgifter som förekommer i utredningarna. Bevisvärdet 5 2 kap. 19 regeringsformen (1974:152) och art. 11.2 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. 6 Art. 4.1 d, 7.2 och 7.3 dataskyddsdirektivet. 7 Jfr skäl 52 dataskyddsdirektivet.

4 torde generellt sett vara högre för sådan information som omgärdas av höga säkerhetskrav och där det framgår att säkerhetskraven har uppfyllts. Förutsättningarna för att de personuppgiftsansvariga ska kunna göra korrekta bedömningar avseende säkerhetskraven vilar även på att den personuppgiftsansvarige och dennes personal har den kompetens som behövs och får rätt utbildning. Därför är det även utifrån denna problematik betydelsefullt att tillsynsmyndigheterna får de resurser och den kompetens som behövs för att kunna bistå de personuppgiftsansvariga. 8 Dataskyddsombud 3 kap. 13-15 I förslaget ingår bestämmelser om dataskyddsombud som motsvarar vad som anges i dataskyddsdirektivet. 9 Det är enligt Advokatsamfundet av största vikt att dataskyddsombuden kan agera oberoende i förhållande till de personuppgiftsansvariga, 10 vilket särskilt gäller mot bakgrund av att de personuppgiftsansvariga ofta även kommer att utgöra dataskyddsombudens arbetsgivare, med den underordnade ställning ett anställningsförhållande innebär. Sådana dataskyddsombud som samtidigt är anställda hos den personuppgiftsansvarige, har ofta sådan kunskap och kännedom om personuppgiftsbehandlingen, rutiner, kontaktpersoner m.m. i verksamheten som extern personal normalt saknar. Samtidigt kan extern personal som anlitas för att vara dataskyddsombud ofta ha ett större mått av självständighet och specialistkunskap än vad den personuppgiftsansvariges egen personal har. Med hänsyn till intresset av att ett dataskyddsombud ska inta en oberoende ställning, bör det enligt Advokatsamfundet normalt vara lämpligt att sådana ombud anlitas externt. Personuppgiftsbiträde 3 kap. 17 I förslaget till Brottsdatalag definieras personuppgiftsbiträde som den som med stöd av skriftligt avtal eller annan skriftlig överenskommelse behandlar personuppgifter. 11 Utformningen skiljer sig från direktivet, som inte har något krav på skriftlighet för att det ska vara fråga om ett personuppgiftsbiträde. Enligt direktivet är kravet på skriftligt avtal snarare en ordningsfråga och tillsynsmyndigheten kan ingripa på olika sätt mot brister i detta avseende. Diskrepansen mellan direktivets lydelse och den föreslagna lagen kan därmed ge upphov till oklarheter i händelse av att ett skriftligt avtal inte upprättats. Med tanke på de viktiga uppgifter som ett personuppgiftsbiträde anförtros, är det av vikt att ett sådant ansvar inte kan kringgås med hänvisning till att något skriftligt avtal ej träffats. Advokatsamfundet anser därför att lagförslagets definition är mindre lämplig och föreslår i stället att definitionen i dataskyddsdirektivet används. För det fall det blir aktuellt att anlita ett personuppgiftsbiträde som bedriver sin verksamhet utomlands, vill Advokatsamfundet vidare särskilt framhålla risken för att de personuppgifter som personuppgiftsbiträdet kan komma att få tillgång till även kan 8 Jfr skäl 77 dataskyddsdirektivet. 9 Art. 32-34 dataskyddsdirektivet. 10 Skäl 63 dataskyddsdirektivet. 11 Se betänkandet s. 32.

5 komma att lämnas ut till det aktuella landets myndigheter i enlighet med den lagstiftning som gäller där. Detta kan betyda att det inte i tillräckligt hög grad beaktas att dessa myndigheter kan komma att få tillgång till personuppgifter som senare kan komma att användas på ett sätt som i olika avseenden äventyrar den registrerades personliga integritet. I vissa fall finns det till och med risk för att detta kan utgöra ett obehörigt utlämnande i strid med svensk lag. Advokatsamfundet anser att denna fråga bör adresseras ytterligare under den fortsatta beredningen av lagstiftningsärendet. Tillsyn 5 kap. 1 I motsats till dataskyddsdirektivet innehåller de föreslagna bestämmelserna inget krav på att tillsynsmyndigheten ska vara oberoende. 12 Advokatsamfundet ifrågasätter starkt om det är förenligt med direktivet att i de föreslagna bestämmelserna utelämna detta krav. Enligt Advokatsamfundets uppfattning bör svank lagstiftning, i likhet med dataskyddsdirektivet, uttryckligen slå fast att tillsynsmyndigheten ska vara oberoende. Skadestånd 7 kap. 1 Ersättningen för den skada och kränkning av den personliga integriteten ligger på förhållandevis blygsamma nivåer enligt svensk rättspraxis. 13 Möjligheten att driva skadeståndsfrågor i allmän domstol begränsas dessutom av reglerna om mål av mindre värden. 14 Reglernas komplexitet gör att den registrerade inte sällan kan komma i behov av juridisk rådgivning. Advokatsamfundet ställer sig därför ytterst tveksamt till om möjligheten för de registrerade att föra skadeståndstalan verkligen kommer att utgöra ett sådant effektivt rättsmedel som är avsikten enligt dataskyddsdirektivet. Om skadeståndssanktionen inte upplevs av de registrerade som meningsfull och effektiv, riskerar detta leda till att den skadeståndsberättigade i praktiken fråntas sin rätt att tillvara sina intressen. Advokatsamfundet befarar att skadeståndssanktionen i praktiken knappast kommer att få någon betydelse, vare sig som ett medel för att kompensera de registrerade eller som styrmedel mot de personuppgiftsansvariga. Överföring av personuppgifter till tredje land 8 kap. 1-5 Det är i sig förenat med stora risker att lämna ut personuppgifter till annat land. Detta gäller särskilt länder utanför EU och EES. Det är även svårt att förutse hur uppgifterna kommer att användas, då överlämnandet inte kan förenas med villkor som strider mot nationell rätt i dessa länder. Advokatsamfundet vill därför särskilt framhålla de risker som är förenade med att lämna ut känsliga personuppgifter till tredje land. Det är därför av väsentlig betydelse att de personuppgiftsansvariga myndigheterna gör en noggrann bedömning av riskerna att uppgifterna kan komma att behandlas för andra ändamål som inte är förenliga med direktivet och att myndigheterna vare sig kan kontrollera hur 12 Jfr. art. 42.1 dataskyddsdirektivet. 13 Se t.ex. Högsta domstolens dom meddelad den 6 december 2013 i mål nr T 2807-12. 14 Se 18 kap. 8 a rättegångsbalken.

6 uppgifterna används eller vidta någon åtgärd för det fall uppgifterna visar sig behandlas på ett sätt som inte avsetts. Särskilt om behovet av utbildning och resurser Det nya lagförslaget är komplext i sig och förutsätter dessutom kunskap om hur de olika regelverken samverkar. Svåra avvägningar kommer sannolikt att göras av personal som inte har någon juridisk utbildning och som primärt företräder myndighetens intresse. Uppfyllande av behovet av kompetens och utbildning för personal, är därför ytterst väsentligt för att lagförslaget ska få ett reellt genomslag och kunna tjäna som en garant för att rättssäkerhetsfrågor behandlas på ett korrekt sätt. Även Datainspektionen kommer att behöva ett rejält resurstillskott för att möta behovet av tillsyn, råd och anvisningar. Advokatsamfundet konstaterar att det finns ett omfattande utbildningsbehov, behov av råd, stöd och anvisningar för att de personuppgiftsansvariga ska kunna leva upp till de krav som kommer att ställas och ser det som mycket tveksamt om kostnadsökningarna verkligen kan rymmas inom befintliga kostnadsramar. SVERIGES ADVOKATSAMFUND Anne Ramberg