Bilaga 1 Datum Sida 2014-06-30 1 (8) Lena Lindgren Schelin Ert datum Dnr Chefsjurist, personuppgiftsombud EBM A-2014/0261 Ekobrottsmyndighetens problembeskrivning inför ändringar i polisdatalagen från den 1 januari 2015 Bakgrund Ekobrottsmyndigheten har i flera sammanhang uppmärksammat problem och konsekvenser i samband med ändringar som genomförs i polisdatalagen (2010:361) i samband med övergången till en Polismyndighet den 1 januari 2015. I denna promemoria sammanfattas kortfattat de problem myndigheten har med att tolka den nya regleringen i polisdatalagen och vilka problem myndigheten står inför då den nya lagstiftningen träder ikraft. Främst handlar det om polisdatalagen över huvud taget är tillämplig på myndighetens brottsbekämpande verksamhet och vem som har personuppgiftsansvaret för olika delar av myndighetens verksamhet. Frågan har länge varit oklar. Redan i samband med att Ekobrottsmyndigheten fick kriminalunderrättelseverksamhet 2004 uppmärksammades behovet av en genomlysning av myndighetens konstruktion för att få en ändamålsenlig lösning (prop. 2002/03:144 s. 17). Ekobrottsmyndighetens brottmålsprocess en helt egen process Ekobrottsmyndigheten är en åklagarmyndighet. Cåbra är myndighetens diarieförings- och ärendehanteringssystem. Cåbra utgör således diarieförings- och ärendehanteringssystem för all operativ verksamhet, inklusive material som produceras i utredningsverksamheten. Anmälningar registreras därför i Cåbra varefter beslut fattas av åklagare om förundersökning ska inledas eller inte. Om förundersökning inte inleds hanteras anmälan enbart i Cåbra. Den traditionella kommunikationen mellan den allmänna polisens DurTvå och Cåbra fungerar därför inte. Det är från Cåbra som myndigheten får sina statistikuppgifter. Det är också Cåbra som kommunicerar externt mot Brå, MR och BR. Utredningsstöden består av system som huvudsakligen är placerade i Åklagarmyndighetens respektive Rikspolisstyrelsen nät. I Åklagarmyndighetens nät har Ekobrottsmyndigheten exempelvis revisionsprogram, analysprogram och lagringsenhet för material som avser hemliga tvångsmedel. I polisens nät återfinns RAR och DurTvå. DurTvå utgör en särskild applikation som är anpassad efter Ekobrottsmyndighetens konstruktion och som därför skiljer sig i vissa delar från det DurTvå-utredningsstöd som används inom polismyndigheterna. Det har, inte minst inom ramen för RIF-arbetet, alltmer tydliggjorts att myndighetens konstruktion ställer särskilda krav på anpassningar för att verksamhetsstöden ska fungera effektivt och främja den verksamhet som utförs vid myndigheten. I bilaga 1 finns en bild som schematiskt visar Ekobrottsmyndighetens brottmålsprocess. Fleminggatan 14 Box 22098 104 22 STOCKHOLM Tel 010-562 90 00 Fax www.ekobrottsmyndigheten.se
2 (8) Ändringar i polisdatalagen den 1 januari 2015 I samband med övergången till en polismyndighet kommer ändringar göras i polisdatalagen. Av dem är regleringen 1 kap. 2 och 2 kap. 4 polisdatalagen av central betydelse för Ekobrottsmyndigheten. Lydelsen kommer att ändras från och med den 1 januari 2015 enligt följande. Bestämmelse 1 kap. 2 polisdatalagen 2 kap. 4 polisdatalagen Nuvarande lydelse Ny lydelse från 1 jan 2015 Denna lag gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten, om behandlingen är / /. Rikspolisstyrelsen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför och den behandling som utförs i polisens verksamhet vid Ekobrottsmyndigheten. Varje polismyndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Denna lag gäller vid behandling av personuppgifter i 1. brottsbekämpande verksamhet vid Polismyndigheten, i Nationellt forensiskt centrum dock endast vid behandling av personuppgifter i särskilda register enligt 4 kap., 2. brottsbekämpande verksamhet vid Säkerhetspolisen i den utsträckning som anges i detta kapitel och i 5 kap., och 3. polisiär verksamhet vid Ekobrottsmyndigheten. Lagen gäller för sådan behandling / /. Polismyndigheten är personuppgiftsansvarig för 1. den behandling av personuppgifter som myndigheten utför och 2. den behandling som utförs i polisens verksamhet vid Ekobrottsmyndigheten. Det är oklart hur tolkningen av bestämmelserna ska ske och om någon betydelsebärande skillnad i förhållande till dagens reglering är avsedd. Ordalydelsen i bestämmelserna medför dock enligt myndighetens uppfattning begränsningar i hur regleringen kan tolkas. Tolkningen kompliceras av Ekobrottsmyndighetens särskilda konstruktion, att myndigheten är en åklagarmyndighet med integrerad brottsutredning och att personuppgiftsförfattningarna inte naturligt följer den verksamhet som bedrivs vid myndigheten. Oklart vad som avses med polisiär verksamhet i 1 kap. 2 polisdatalagen Enligt regeringens förslag till ny reglering som också har beslutats av riksdagen kommer polisdatalagen enligt 1 kap. 2 att gälla i polisiär verksamhet vid Ekobrottsmyndigheten. Beträffande begreppet polisiär verksamhet anges i författningskommentaren till propositionen (avsnitt 14.176) att uttrycket omfattar både brottsförebyggande verksamhet och utredningsverksamhet och att någon ändring i sak inte är avsedd. Med detta som grund skulle kunna argumenteras för att polisiär verksamhet vid Ekobrottsmyndigheten även i fortsättningen ska avse polisens brottsbekämpande verksamhet vid Ekobrottsmyndigheten.
3 (8) Även i avsnitt 8.2 ges en förklaring till polisiärt arbete. Där anges att den polisiära verksamheten vid Ekobrottsmyndigheten bedrivs av polispersonal som Ekobrottskansliet vid Rikspolisstyrelsen har ställt till myndighetens förfogande. Det är enligt denna definition således poliser som bedriver polisiär verksamhet. Polisdatalagens tillämpningsområde skulle med den definitionen således styras av vem som vid varje givet tillfälle vidtar viss uppgift och var denne har sin anställning. 1 Ekobrottsmyndigheten ser följande problem med dessa förarbetsuttalanden. Om personuppgiftsansvaret utgår från den verksamhet polisanställda utför innebär det att anställningsformen avgör vilken myndighet som har personuppgiftsansvaret, även om polisanställda och civila utredare utför samma uppgifter eller delar på ansvaret i olika utredningar. Detta skulle innebära att personuppgiftsansvaret för den brottsutredande verksamheten vid Ekobrottsmyndigheten skulle vara delat mellan den nya Polismyndigheten och Ekobrottsmyndigheten beroende på anställningsform. Ett sådant synsätt ställer krav på att verksamhetssystemen, hanteringsreglerna och säkerheten för uppgifterna måste anpassas efter olika registerlagstiftningar. Detta strider mot systematiken bakom registerlagstiftningen där personuppgiftsansvaret följer uppgiften. Utredningsverksamheten leds enligt 23 kap. 3 rättegångsbalken av förundersökningsledaren. Hos Ekobrottsmyndigheten är åklagare alltid förundersökningsledare. Såväl polispersonal som andra anställda vid Ekobrottsmyndigheten (t.ex. civila utredare, analytiker, ITforensiker m.fl.) är utredare och verksamma i den brottsbekämpande verksamheten. Ekobrottsmyndigheten leder enligt 7 andra stycket förordningen (2007:972) med instruktion för Ekobrottsmyndigheten den verksamhet som polismännen ska delta i vid myndigheten, med undantag för åtgärder i verksamheten som enligt lag eller annan författning endast får utföras av anställda inom Polisen (dvs. polismän). Det är således enbart åtgärder i den brottsutredande verksamheten som enligt lag eller författning endast får utföras av anställda inom Polisen, som Ekobrottsmyndigheten inte leder. Rikspolisstyrelsen leder således den verksamheten och även Ekobrottsmyndighetens anställda, såsom analytiker och administrativ personal, när de deltar i den verksamhet som polisen leder (se dock prop. 2002/03:144 s. 18). 2 1 I förarbetena till nuvarande polisdatalag anges också att polisen bör vara personuppgiftsansvarig för de polisiära systemen (prop. 2009/10:85 s. 93). Det saknas grund för ett sådant resonemang eftersom det utgör en avvikelse från den grundläggande tanken om teknikneutralitet som numera är norm inom dataskyddslagstiftningen. Både Tullverket och Kustbevakningen använder t.ex. polisiära system men har personuppgiftsansvaret. 2 I samband med övervägandena om Ekobrottsmyndigheten skulle få kriminalunderrättelsetjänst angavs att ändringen innebar att polisverksamhet vid Ekobrottsmyndigheten skulle komma att omfattas av lagen. Den verksamhet som avsågs med detta skulle motsvara den verksamhet som avses inom polisen, dvs. den egentliga polisverksamheten eller polisens kärnverksamhet. Vidare angavs att vid Ekobrottsmyndigheten är det huvudsakligen poliser som bedriver sådan verksamhet. I likhet med vad som gäller inom polisen kan dock i vissa fall även civilanställd personal, t.ex. analytiker, ha denna typ av arbetsuppgifter. Även administrativ personal kan genom att biträda polisman utföra arbete som faller inom lagens tillämpningsområde. Den verksamhet som bedrivs av åklagare vid Ekobrottsmyndigheten omfattas dock inte av bestämmelsen.
4 (8) Ekobrottsmyndighetens instruktion överensstämmer med 6 7 punkten i förordning (1989:773) med instruktion för Rikspolisstyrelsen som anger att styrelsen får leda polisverksamhet som faller inom Ekobrottsmyndighetens ansvarsområde och som avser åtgärder i Ekobrottsmyndighetens verksamhet som enligt lag eller annan författning endast får utföras av anställda inom Polisen. I denna förklaring av begreppet polisverksamhet är det således inte frågan om utredningsverksamhet. Begreppet polisiär verksamhet synes således ha getts olika definitioner och innebörd. Enligt Ekobrottsmyndigheten är det självklart att myndigheten ska leda den verksamhet som utförs inom myndigheten, vilket enligt myndighetens instruktion även innefattar den generella brottsutredande verksamhet som poliser deltar i vid myndigheten, dvs. den verksamhet som inte är rent polisiär. Inom Polismyndighetens ansvarsområde ligger att leda dels den verksamhet som enligt lag eller annan författning bara får utövas av anställda inom polisen, dels kriminalunderrättelseverksamheten, som är renodlat polisiär och inte utgör del i brottsutrednings- eller åklagarverksamheten. Det är högst otillfredsställande att lagstiftningen och dess förarbeten inte ger ett entydigt svar på frågan vilken eller vilka delar av verksamheten vid Ekobrottsmyndigheten som omfattas av 1 kap. 2 polisdatalagen. Då 1 kap. 2 1 2 polisdatalagen från den 1 januari 2015 behandlar brottsbekämpande verksamhet vid Polismyndigheten, Nationellt forensiskt centrum och Säkerhetspolisen, är det svårt att göra tolkningen att med polisiär verksamhet vid Ekobrottsmyndigheten i p. 3 avses den brottsbekämpande verksamheten vid Ekobrottsmyndigheten. En sådan tolkning medför att delar av Ekobrottsmyndighetens verksamhet riskerar att falla mellan/utanför registerlagstiftningen. Polisdatalagen är då inte tillämplig på den generella brottsutredande verksamheten utan enbart på kriminalunderrättelseverksamheten och verksamhet som enbart får utföras av polisen. Förordning (2006:937) om behandling av personuppgifter inom åklagarväsendet (Cåbraförordningen) reglerar enbart åklagarverksamheten och den åklagardatalag som är under beredning kan inte förväntas naturligt bli anpassad för den typ av brottsbekämpande verksamhet som polisdatalagen reglerar. Konsekvensen blir att Ekobrottsmyndighetens generella brottsutredande verksamhet från den 1 januari 2015 enbart kommer att regleras av personuppgiftslagen (1998:204). Hur personuppgiftsansvaret tidigare har reglerats När Ekobrottsmyndigheten bildades var polisdatalagen inte tillämplig på myndighetens verksamhet och Ekobrottsmyndigheten var personuppgiftsansvarig för all behandling av personuppgifter som skedde vid myndigheten utifrån personuppgiftslagen och sedermera Cåbraförordningen.
5 (8) Den huvudsakliga förändring som skett avseende personuppgiftsansvaret ägde rum den 1 januari 2004 i samband med att Ekobrottsmyndigheten fick kriminalunderrättelseverksamhet. Ekobrottsmyndigheten gavs då möjlighet att tillämpa dåvarande polisdatalag. Avsikten var att ge Ekobrottsmyndigheten möjlighet att bedriva kriminalunderrättelseverksamhet, men denna verksamhet ansågs så renodlat polisiär att den skulle ledas av Rikspolisstyrelsen med stöd av dess instruktion. I förarbetena (prop. 2002/03:144 s. 16 17) uttrycktes det tydligt att Rikspolisstyrelsens ledningsansvar inte skulle omfatta Ekobrottsmyndighetens kärnverksamhet. Den mest lämpliga lösningen är därför att utvidga polisdatalagens tillämpningsområde till att omfatta polisverksamhet vid Ekobrottsmyndigheten. En sådan ordning bör kunna genomföras utan att utvecklingen av det integrerade arbetssättet inom myndigheten hindras, eftersom den aktuella verksamheten inte kräver samverkan mellan polis och åklagare på sätt som gäller för övrig verksamhet inom myndigheten. Mot bakgrund av det anförda anser regeringen därför att polisdatalagen skall omfatta polisverksamhet även vid Ekobrottsmyndigheten. Rikspolisstyrelsen får enligt sin instruktion leda polisverksamhet som faller inom Ekobrottsmyndighetens område. Kriminalunderrättelseverksamhet är typiskt sett renodlad polisverksamhet och bör därför inte ledas av Ekobrottsmyndigheten såsom varande åklagarmyndighet. Verksamheten bör i stället ledas av Rikspolisstyrelsen. Med stöd av instruktionen kan Rikspolisstyrelsen fatta de beslut som är nödvändiga i denna verksamhet vid Ekobrottsmyndigheten. Enligt 2 kap. 4 polisdatalagen är Rikspolisstyrelsen personuppgiftsansvarig för den behandling av personuppgifter som utförs i polisens verksamhet vid Ekobrottsmyndigheten. Oklart om 2 kap. 4 polisdatalagen ska tolkas på samma sätt som tidigare Enligt 2 kap. 4 ska Polismyndigheten även i fortsättningen vara personuppgiftsansvarig för den behandling som utförs i polisens verksamhet vid Ekobrottsmyndigheten. Någon ändring är inte gjord i bestämmelsen, men måste läsas och tolkas i ljuset av regleringen i 1 kap. 2 polisdatalagen. Det är därför inte självklart att personuppgiftsansvaret ska tolkas på samma sätt som tidigare. Verksamhetsansvaret bör som har beskrivits ovan utgöra ett viktigt tolkningsunderlag för att avgöra var personuppgiftsansvaret ligger. Viktigt att verksamhetsansvaret och personuppgiftsansvaret hänger ihop Det är enligt Ekobrottsmyndigheten naturligt att ansvaret för behandlingen av personuppgifter följer verksamhetsansvaret. Det är därför naturligt att Ekobrottsmyndigheten ansvarar för personuppgiftsbehandlingen i den verksamhet myndigheten leder. Det avser den verksamhet som utförs inom myndigheten, vilket omfattar den generella brottsutredande verksamhet som poliser deltar i vid myndigheten, som inte är rent polisiär. Polismyndigheten ska ansvara för personuppgifterna i den verksamhet som leds av Rikspolisstyrelsen inom myndigheten. Denna verksamhet omfattar dels den verksamhet som enligt lag eller annan författning bara får utövas av anställda inom polisen, dels kriminalunderrättelseverksamheten.
6 (8) Ekobrottsmyndigheten har uppfattat att Rikspolisstyrelsen hittills har gjort samma tolkning av personuppgiftsansvaret. Även andra myndigheter synes ha uppfattat att det är Ekobrottsmyndigheten som har personuppgiftsansvaret för myndighetens kärnverksamhet. SIN inspekterade tidigare i år Ekobrottsmyndighetens hantering och riktlinjer gällande hemliga tvångsmedel utifrån att Ekobrottsmyndigheten har personuppgiftsansvaret. I RIF-arbetet företräder Ekobrottsmyndigheten hela brottmålsflödet inom myndigheten. Datainspektionen har i rapporten Rättsväsendets informationsförsörjning och den personliga integriteten 2012:1 s. 35 utgått från att Ekobrottsmyndigheten har personuppgiftsansvaret, men påtalade samtidigt att myndighetens personuppgiftsansvar är otydligt. Att verksamhets- och personuppgiftsansvaret följs åt är en avgörande förutsättning för en effektiv verksamhet. Skulle tolkningen göras att Ekobrottsmyndighetens kärnverksamhet dvs. den brottsutredande verksamheten omfattas av polisiär verksamhet i den nya lagstiftningen är det svårt att inte göra tolkningen att Polismyndigheten skulle ha personuppgiftsansvaret över denna. Det skulle innebära en splittring av personuppgifts- och verksamhetsansvaret. Om denna ändring är avsedd saknas helt en analys av vad det skulle ge för konsekvenser och hur det skulle hanteras rent faktiskt och praktiskt. Ekobrottsmyndigheten behöver ha tillgång till polisdatalagen och samtidigt ha personuppgiftsansvaret för den brottsutredande verksamheten Den myndighet som bedriver en verksamhet och som har befogenhet och medel att styra över uppgiftshanteringen har naturligen bäst förutsättningar att ta personuppgiftsansvaret. Det är därför en rimlig utgångspunkt att Ekobrottsmyndigheten har personuppgiftsansvaret för den uppgiftsbehandling som sker i kärnverksamheten. Om Ekobrottsmyndigheten har verksamhetsansvaret men inte personuppgiftsansvaret, har Ekobrottsmyndigheten ett ansvar för att utredningarna och dess processer hanteras på ett rättsenligt och effektivt sätt, men kan inte införskaffa system eller bestämma hur uppgifterna ska behandlas digitalt. Det innebär att det metod- och utvecklingsarbete, som har en koppling till de digitala systemen, inte kan drivas av Ekobrottsmyndigheten utifrån myndighetens behov. Det förutsätter att Polismyndigheten delar uppfattningen om vilka behov som föreligger och att Polismyndigheten driver dessa frågor i olika sammanhang. Dessutom förutsätts att Ekobrottsmyndighetens metod- och utvecklingsarbete prioriteras av Rikspolisstyrelsen för att kunna genomföras. En lösning med ett personuppgiftsbiträdesavtal, såsom föreslås i propositionen avsnitt 8.2, löser inte den komplexiteten. Biträdesrollen innebär att biträdet behandlar uppgifterna å någon annans vägnar och biträdet har inte ett självständigt mandat att bestämma över behandlingen. Att myndigheter samverkar och lämnar biträde åt varandra för att effektivt kunna lösa gemensamma frågor är naturligt. Det är dock främmande att en myndighet ska ha ett avgörande inflytande över en annan myndighets verksamhet i centrala avseenden. Det säger sig självt att en annan myndighet aldrig kan inventera behov av IT-stöd och säkerställa lösningar som behövs för att bedriva en rättssäker och effektiv verksamhet. Även praktiska frågor, t.ex. hur en
7 (8) förfrågan om registerutdrag ska hanteras och ansvaret för att uppgifterna är korrekta, aktualiseras. Praktiska konsekvenser om Ekobrottsmyndigheten inte omfattas av polisdatalagen i den brottsutredande verksamheten Om Polismyndigheten får personuppgiftsansvaret för Ekobrottsmyndighetens utredningsverksamhet kommer det sannolikt att påverka de befintliga system inom utredningsverksamheten som inte finns i polisens nät. Åklagarmyndigheten och polisen har inte samma regler för sin IT-hantering och polisen har inte tillgång till de uppgifter som finns i åklagarnätet. Att polisen skulle kunna ha kvar systemen i Åklagarmyndighetens nät är därför inte troligt. Att ge Polismyndigheten tillgång till och insyn i Åklagarväsendets system står dessutom i strid med regleringen i Cåbraförordningen och ansvaret för uppgifterna där. Det är oklart vad en flytt skulle medföra för konsekvenser. I ett värsta scenario kommer myndighetens forensiker, ekonomer, analytiker och finansmarknadsspecialister sakna tillgång till specifika IT-stöd. En konsekvens är också att alla medarbetare som arbetar med utredningsverksamhet och som idag inte redan har tillgång till de polisiära verksamhetsstöden, måste få nödvändig utrustning, främst i form av BasA-datorer. Ett antal pågående projekt bland annat att ensa forensikernas arbete gällande hantering av digitala bevis, att utveckla digitala lösningar för att forensikerna ska kunna arbeta över riket och utvecklingsarbetet inom RIF kan inte drivas om myndigheten inte är personuppgiftsansvarig för den utrednings- och lagföringsprocess som sker inom myndigheten.
8 (8) Ekobrottsmyndighetens brottsutredande process schematisk skiss (bilaga) RPS Ingivare: Konkursförvaltare, revisorer m.fl. EBM:s KUT, rent polisiär vsh Anmälan CÅBRA (EBM) Åtal Domstols processen SKV (Fiskala) SBE EBM:s utredningsstöd Domstolen SKV EBM