Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Relevanta dokument
Polismyndighetens utlämnande av personuppgifter till tredje land

Polismyndighetens nya allmänna spaningsregister

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst

Nämnden är kritisk till att Polismyndigheten inte har genomfört någon logguppföljning avseende de granskade uppgiftssamlingarna.

Säkerhetspolisens användning av s.k. misstankemärkning i it-systemet för bearbetning och analys

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (region Stockholm)

Dåvarande Rikspolisstyrelsens register över spaningsfilmer.

Bevarande av personuppgifter i Säkerhetspolisens dokument- och ärendehanteringssystem

Användning av kvalificerade skyddsidentiteter inom Polismyndighetens undercoververksamhet

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten, region Syd

Polismyndighetens behandling av känsliga personuppgifter i uppgiftssamling om inhemsk extremism

Säkerhetspolisens behandling av känsliga personuppgifter i ett it-system för bearbetning och analys av information

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser

Polismyndighetens behandling av personuppgifter i utredningsverksamheten

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (Nationella operativa avdelningen)

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Uppföljning av tidigare granskningar avseende Polismyndighetens behandling av personuppgifter i penningtvättsregistret

Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Säkerhetspolisens behandling av personuppgifter om barn i ett it-system för bearbetning och analys

Åklagarmyndighetens användning av s.k. postkontroll

Användning av kvalificerade skyddsidentiteter vid Polismyndigheten, region Nord

Kommittédirektiv. Genomförande av EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet

Nämnden är starkt kritisk till hur ärendet har hanterats.

Svensk författningssamling

SÄKERHETS- OCH. Uttalande med beslut Dnr och

Uppföljning av Polismyndighetens behandling av personuppgifter i signalementsregistret avseende gallring av och tillgången till uppgifter

Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet

Användning av en kvalificerad skyddsidentitet som upphört att gälla vid Polismyndigheten, region Nord

Hanteringen av hemliga tvångsmedel vid Åklagarkammaren i Göteborg

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

FÖRSLAG TILL BETÄNKANDE

Polismyndighetens behandling av personuppgifter med anledning av brottslighet kopplad till utsatta EU-medborgare

Granskning av ärenden vid Åklagarkammaren i Uppsala där den enskilde inte underrättats om hemlig tvångsmedelsanvändning

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tillsyn över Säkerhetspolisens utlämnande av personuppgifter till underrättelse- och säkerhetstjänster i andra stater

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

Snabbare lagföring (Ds 2018:9)

Uppföljning av polismyndigheternas användning av centrala säkerhetsloggen

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Nämnden bedömer att den granskade personuppgiftsbehandlingen är förenlig med PDL:s bestämmelser.

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Överskottsinformation från hemlig rumsavlyssning

Granskning av polismyndigheternas användning av centrala säkerhetsloggen

Polismyndigheternas behandling av känsliga personuppgifter

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt den s.k. inhämtningslagen

Loggning och logguppföljning i Polismyndighetens säkerhetslogg

Rikspolisstyrelsens IT-system OBS-portalen

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Förstöring av upptagningar och uppteckningar från vissa hemliga tvångsmedel en granskning av två åklagarkammare och en polismyndighet

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Underrättelser till enskilda vid internationell rättslig hjälp vid två internationella åklagarkammare

Uppföljning av Polismyndigheten i Skånes behandling av personuppgifter i uppgiftssamlingen benämnd Kringresande

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten. Dir. 2018:31

Handläggningen av ett tvångsmedelsärende vid City åklagarkammare i Stockholm. Handläggningen har uppvisat bl.a. följande anmärkningsvärda brister.

Personuppgiftsförordning (1998:1191)

Tilldelning och användning av behörigheter i DurTvå

Behandlingen av personuppgifter i Länskriminalpolisen i Västra Götalands uppgiftssamlingar med spaningsfilmer

Svensk författningssamling

Tillsyn - äldreomsorg

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Hur står det till med den personliga integriteten? (SOU 2016:41)

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Anpassning av lagen om passagerarregister till EU:s dataskyddsreform

Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Svensk författningssamling

Kommittédirektiv. Personuppgiftsbehandling inom den arbetsmarknadspolitiska verksamheten och i tillsynsverksamheten över denna. Dir.

Svensk författningssamling

Personuppgiftsförordning (1998:1191)

Stockholm den 25 november 2015 R-2015/2121. Till Justitiedepartementet. Ju2015/08545/L4

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Stockholm den 27 september 2017

Datainspektionens riktlinjer för förebyggande och korrigerande befogenheter samt administrativa sanktionsavgifter enligt brottsdatalagen

Kommittédirektiv. Möjligheterna till kameraövervakning ska förenklas. Dir. 2017:124. Beslut vid regeringssammanträde den 13 december 2017

Hanteringen av hemliga tvångsmedel vid Ekobrottsmyndigheten

Säkerhetspolisens behandling av personuppgifter inom ramen för NCT-samarbetet

Personuppgiftslagen baseras på det s.k. dataskyddsdirektivet (95/46/EG). Inom EU har det beslutats att detta direktiv ska ersättas av

Arbetsordning för Säkerhets- och integritetsskyddsnämnden Beslutad vid nämndens sammanträde den 27 april 2016

Svensk författningssamling

Nämnden konstaterar att det har funnits flera fel och brister i hanteringen av hemliga tvångsmedel vid Åklagarkammaren i Skövde.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Hanteringen av hemliga tvångsmedel vid Åklagarkammaren i Kalmar

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i polisens allmänna spaningsregister, ASP

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Kommittédirektiv Dir. 2016:22 Sammanfattning PNR-direktivet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Stensjö Fastigheter

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Transkript:

SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN Uttalande med beslut 2016-11-16 Dnr 71-2016 Säkerhetspolisens utlämnande av personuppgifter till underrättelse- och säkerhetstjänster i andra stater en förnyad granskning 1. SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden har gjort en förnyad granskning av Säkerhetspolisens rutiner för utlämnande av personuppgifter till underrättelseoch säkerhetstjänster i andra stater. Nämnden har tidigare granskat den verksamheten vid två tillfällen. Enligt gällande lagstiftning finns ett förbud mot att överföra personuppgifter till ett land som inte är medlem i EU eller anslutet till EES (tredjeland), om landet inte har en adekvat nivå för skyddet av personuppgifterna. Nämnden anser inte att Säkerhetspolisens prövningar av skyddsnivån i tredjeländer uppfyller de krav som lagen ställer. Det ingår nämligen inte i Säkerhetspolisens rutiner att utreda vilka bestämmelser som gäller för personuppgiftsbehandlingen i respektive land. Nämnden förutsätter att Säkerhetspolisen vidtar åtgärder för att komma till rätta med denna brist. Nämnden uppmanar också Säkerhetspolisen att i sina riktlinjer tydligt ange hur bedömningen av skyddsnivån ska gå till samt att dokumentera bedömningarna på ett konsekvent sätt. Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703 Besöksadress Telefax Webbplats Bankgiro Norr Mälarstrand 6, Stockholm 08-617 98 88 www.sakint.se 782-4329

2 Innehåll 1. SAMMANFATTNING... 1 2. BAKGRUND... 3 3. RÄTTSLIGA UTGÅNGSPUNKTER... 3 4. UTREDNINGEN... 5 4.1. Syfte... 5 4.2. Genomförande... 5 4.3. Säkerhetspolisens bedömningar av adekvat skyddsnivå... 5 4.4. Dokumentation av bedömningar av skyddsnivån... 6 4.5. Riktlinjer för bedömningar vid utlämnanden... 7 5. NÄMNDENS BEDÖMNING... 7 5.1. Inledning... 7 5.2. Säkerhetspolisens bedömningar av adekvat skyddsnivå... 7 5.3. Dokumentation av bedömningar av skyddsnivån... 8 5.4. Riktlinjer för bedömningar vid utlämnanden... 8 6. BESLUT... 8

3 2. BAKGRUND Säkerhetspolisen samarbetar i stor utsträckning och på olika sätt med andra länder. Det internationella samarbetet utgör en viktig del av underrättelseverksamheten och gör det möjligt för Säkerhetspolisen att utbyta information med underrättelse- och säkerhetstjänster (framöver kallade tjänster) i andra länder. Informationsutbyte sker inom alla Säkerhetspolisens operativa verksamhetsgrenar och har stor betydelse bland annat när det gäller att bekämpa och motverka terrorism. Utbytet kan omfatta uppgifter om organisationer, företeelser och enskilda individer. Säkerhets- och integritetsskyddsnämnden har granskat Säkerhetspolisens utlämnande av personuppgifter till tjänster i andra stater vid två tidigare tillfällen. 1 Nämnden har då bland annat uppmanat Säkerhetspolisen att arbeta fram tydliga riktlinjer för den prövning som ska göras i samband med utlämnanden av uppgifter som omfattas av sekretess och för den prövning av skyddsnivån för personuppgifter som ska göras vid ett utlämnande till ett land som inte är medlem i EU eller anslutet till EES (tredjeland). Nämnden har också uppmanat Säkerhetspolisen att dokumentera prövningarna. Den 16 mars 2016 beslutade nämnden att inleda en ny granskning av Säkerhetspolisens utlämnande av personuppgifter till tjänster i andra stater. 3. RÄTTSLIGA UTGÅNGSPUNKTER I 16 förordningen (2014:1103) med instruktion för Säkerhetspolisen anges att Säkerhetspolisen ska samarbeta med andra länder i den utsträckning som behövs för myndighetens verksamhet och som regeringen närmare bestämmer. Av polisdatalagen (2010:361) (PDL) framgår att Säkerhetspolisen får lämna ut personuppgifter till en utländsk tjänst om det är förenligt med svenska intressen (6 kap. 4 6 p. och 2 kap. 15 1 st. 2 p. PDL). Innan uppgifter som omfattas av sekretess lämnas ut måste Säkerhetspolisen beakta det intresse som sekretessen ska skydda, exempelvis de konsekvenser som utlämnandet kan innebära för en enskild person vars uppgifter lämnas ut. 2 1 Nämndens rapport från den 9 juni 2011 Tillsyn över Säkerhetspolisens utlämnande av personuppgifter till underrättelse- och säkerhetstjänster i andra stater (dnr 886-2010) och nämndens uttalande från den 22 maj 2013 Uppföljning av tidigare granskning Säkerhetspolisens utlämnande av personuppgifter till underrättelse- och säkerhetstjänster i andra stater (dnr 205-2012). 2 Prop. 1981/82:186 s. 59. Se även nämndens uttalande från den 22 maj 2013 (dnr 205-2012), s. 3.

4 Det är förbjudet att lämna ut personuppgifter till ett tredjeland, om landet inte har en adekvat nivå för skyddet av personuppgifterna. Frågan om en skyddsnivå är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i tredjelandet (6 kap. 4 1 p. och 2 kap. 2 1 st. 8 p. PDL samt 33 personuppgiftslagen [1998:204] [PUL]). Det är emellertid tillåtet att lämna ut personuppgifter till ett tredjeland om och i den utsträckning Europeiska kommissionen i ett beslut har konstaterat att landet har en adekvat nivå för skyddet av personuppgifter (6 kap. 4 1 p. och 2 kap. 2 1 st. 8 p. PDL, 35 PUL samt 13 personuppgiftsförordningen [1998:1191]), eller för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (6 kap. 4 1 p. och 2 kap. 2 1 st. 8 p. PDL samt 34 2 st. PUL). Den 27 april 2016 beslutades ett nytt EU-direktiv om behandling av personuppgifter i brottsbekämpande verksamhet. 3 Direktivet innehåller ett antal nya bestämmelser som rör utlämnande av personuppgifter till tredjeländer (artikel 35-40). Direktivets bestämmelser ska införas av medlemsstaterna senast den 6 maj 2018 och kommer då bland annat att gälla i Polismyndighetens verksamhet. En utredare har fått i uppdrag att föreslå de lagändringar som krävs för att genomföra direktivet i svensk rätt. Utredaren ska även analysera och bedöma hur Säkerhetspolisens personuppgiftsbehandling bör regleras och om regleringen bör separeras från den lagstiftning som gäller för Polismyndigheten. 4 3 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 4 Dir 2016:21, Genomförande av EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet.

5 4. UTREDNINGEN 4.1. Syfte Följande frågor har stått i fokus för nämndens granskning. Är Säkerhetspolisens rutiner för att bedöma skyddsnivån för personuppgifter i tredjeländer ändamålsenliga? Är Säkerhetspolisens rutiner för att dokumentera sina bedömningar av skyddsnivån ändamålsenliga? Är Säkerhetspolisens skriftliga riktlinjer för utlämnande av personuppgifter ändamålsenligt utformade? 4.2. Genomförande Vid en inspektion, som genomfördes den 25 maj 2016, har Säkerhetspolisen visat några exempel på ärenden som rör utlämnande av personuppgifter till tredjeländer och lämnat muntlig information som har sammanställts i ett protokoll. Under granskningen har Säkerhetspolisen även besvarat frågor skriftligt och tillhandahållit ett antal interna rutindokument som rör utlämnanden av personuppgifter samt dokument som rör myndighetens samarbeten med tre olika länder. De länder som nämnden har valt ut är sådana som Säkerhetspolisen utbyter personuppgifter med och där det ankommer på Säkerhetspolisen att pröva skyddsnivån. 4.3. Säkerhetspolisens bedömningar av adekvat skyddsnivå Säkerhetspolisen har uppgett följande. Alla länder och tjänster som myndigheten har någon relation till utvärderas fortlöpande. Bland annat utvärderas hur tjänsterna hanterar uppgifter som lämnas ut och hur säker överföringen av uppgifter till dessa är. Det är också viktigt att tjänsterna respekterar den så kallade tredjepartsregeln, som innebär att uppgifter som kommer från en samverkande tjänst aldrig får föras vidare till en tredje part utan att den samverkande tjänsten har gett sin tillåtelse till det. Även respekten för mänskliga rättigheter i länderna har stor betydelse. Bedömningarna sammanställs en gång per år i en lista över de olika tjänsternas förtroende och prioritet, där bedömningen av varje tjänst anges med en kod. Koden ligger därefter till grund för den bedömning av skyddsnivån som görs i varje enskilt fall innan personuppgifter lämnas ut. Om tjänsten har högt förtroende bedöms landet i allmänhet ha en adekvat skyddsnivå för personuppgifter. En annan bedömning kan dock göras i enskilda fall. Nämnden har gjort följande iakttagelser vid sin genomgång av Säkerhetspolisens dokument med bedömningar av förtroendet för tjänsterna i

6 tre utvalda länder. Dokumenten innehåller allmänt hållna formuleringar om att tjänsterna är professionella och pålitliga vad gäller informationshantering, kan hantera känslig information, har en hög skyddsnivå för sina personuppgifter och respekterar den s.k. tredjepartsregeln. Dokumenten innehåller inte några bedömningar av de lagar och andra regler som gäller för tjänsternas personuppgiftsbehandling. Säkerhetspolisen har uppgett följande. Myndigheten saknar kunskap om de aktuella ländernas lagstiftning och tjänsternas interna regler för personuppgiftsbehandling. Skyddsnivån bedöms huvudsakligen utifrån hur tjänsterna i praktiken hanterar utlämnade uppgifter. Säkerhetspolisen har vidare uppgett följande. Även om Säkerhetspolisen har system för att bedöma behov av skydd för uppgifter finns det undantagsfall när personuppgifter måste kunna lämnas ut till ett tredjeland trots att det inte har kunnat fastställas att landet har en adekvat skyddsnivå. Om Säkerhetspolisen till exempel får tillförlitliga uppgifter om ett nära förestående attentat från personer kopplade till ett visst land måste information kunna utbytas med myndigheterna där även om Säkerhetspolisen inte vet om skyddsnivån är adekvat eller inte. 4.4. Dokumentation av bedömningar av skyddsnivån Säkerhetspolisen har i denna del sammanfattningsvis uppgett följande. Skälen för bedömningen av förtroendet för en tjänst ska normalt dokumenteras i en promemoria. Det har dock framkommit att sådana promemorior har saknats avseende tjänsterna i två av de tre länder som nämnden har begärt in dokumentation om. Anledningen till detta är att en promemoria bara upprättas när bedömningen av en tjänst förändras på något sätt. Bedömningen av tjänsterna i de båda länderna har inte förändrats sedan rutinen att upprätta promemorior infördes. I de fall personuppgifter lämnas ut till tjänster i andra stater framgår det alltid av Säkerhetspolisens ärendehanteringssystem vem som har beslutat om utlämnandet, vilka uppgifter som har lämnats ut och när utlämnandet har skett. Om den mottagande tjänsten har högt förtroende framgår det i normalfallet inte vilka bedömningar som har gjorts inför utlämnandet, eftersom skyddsnivån redan har bedömts vara adekvat. Om det finns anledning att göra en annan värdering av tjänstens förtroende i det enskilda fallet görs dock en tjänsteanteckning om skälen för den avvikande bedömningen. Om personuppgifter lämnas ut till en tjänst med lägre förtroende ska skälen för beslutet alltid dokumenteras genom en tjänsteanteckning. Undantag kan göras

7 i vissa fall om det av informationen i sig framstår som överflödigt att dokumentera bedömningen. 4.5. Riktlinjer för bedömningar vid utlämnanden Nämnden har granskat Säkerhetspolisens olika riktlinjer för de bedömningar som ska göras innan personuppgifter lämnas ut till tjänster i andra stater. När det gäller utlämnande av uppgifter som omfattas av sekretess till skydd för enskilda personer anges i riktlinjerna att Säkerhetspolisens behov och nytta av utlämnandet alltid måste vägas mot den enskildes rätt till skydd för uppgifterna. I ett dokument sägs dock att en noggrann analys av Säkerhetspolisens och mottagarens behov torde innebära att skyddet för den enskilde har beaktats i tillräcklig utsträckning. Säkerhetspolisen har uppgett att den formuleringen framstår som missvisande och kommer att tas bort. Vad gäller bedömningen av skyddsnivån för personuppgifter i tredjeländer återges den aktuella bestämmelsens lydelse i flera av dokumenten. De riktlinjer som handlar om hur förtroendet för en tjänst ska bedömas innehåller dock inte någon hänvisning till bestämmelserna om adekvat skyddsnivå. 5. NÄMNDENS BEDÖMNING 5.1. Inledning Utbyte av personuppgifter är av central betydelse för Säkerhetspolisens verksamhet, inte minst för att bekämpa terroristbrott. Den spridning av personuppgifter som ett sådant utbyte innebär är dock ytterst känslig från integritetssynpunkt. När uppgifter lämnas ut till främmande tjänster går det inte alltid att överblicka hur de kommer att värderas, var uppgifterna slutligt hamnar och hur de kan komma att användas. Regelverket gällande behandling av personuppgifter såväl i Sverige som i det land till vilket uppgifter lämnas är därför av särskild vikt från integritetssynpunkt. Nämndens bedömning i detta ärende ska ses mot denna bakgrund. 5.2. Säkerhetspolisens bedömningar av adekvat skyddsnivå Enligt bestämmelserna om adekvat skyddsnivå ska särskild vikt läggas vid vissa omständigheter däribland de regler som finns för behandlingen av personuppgifterna i tredjelandet. Granskningen har emellertid visat att det inte ingår i Säkerhetspolisens rutiner att utreda vilka bestämmelser som gäller för personuppgiftsbehandlingen i respektive land. Säkerhetspolisens prövningar av skyddsnivån i tredjeländer uppfyller därmed inte lagens krav. Nämnden förutsätter att Säkerhetspolisen vidtar åtgärder för att komma till rätta med denna brist.

8 Nämnden har förståelse för Säkerhetspolisens behov av att i undantagsfall kunna lämna ut personuppgifter till ett tredjeland trots att det inte har konstaterats att landet har en adekvat skyddsnivå. Den nuvarande lagstiftningen medger emellertid inte att så sker. Nämnden noterar i detta sammanhang att det pågår en utredning om hur Säkerhetspolisens personuppgiftsbehandling bör regleras. 5.3. Dokumentation av bedömningar av skyddsnivån Som nämnden tidigare har uttalat är det angeläget att de omständigheter som legat till grund för bedömningen av det mottagande landets skyddsnivå dokumenteras på något sätt. 5 Dokumentation behövs för att det i efterhand, både vid intern och extern granskning, ska vara möjligt att kontrollera vilka omständigheter som har legat till grund för ett beslut om att lämna ut uppgifter. Enligt Säkerhetspolisen ska skälen för den generella bedömningen av ett tredjelands skyddsnivå framgå av den promemoria som rör förtroendet för den aktuella tjänsten. Om det i ett enskilt fall finns anledning att frångå den generella bedömningen ska skälen för detta framgå av en tjänsteanteckning. Nämnden anser att de principer för dokumentation som har beskrivits av Säkerhetspolisen kan vara godtagbara. Principerna måste dock tillämpas konsekvent. Granskningen har visat att promemorior av nu aktuellt slag saknades beträffande två av tre granskade länder. Nämnden förutsätter att promemorior upprättas om tjänsterna i alla länder där Säkerhetspolisen ska göra en bedömning av skyddsnivån. Eftersom promemoriorna ska uppdateras fortlöpande krävs också att det framgår vilken version som har legat till grund för bedömningen i fråga om utlämnande i varje enskilt fall. Som har påpekats ovan (avsnitt 5.1) måste bedömningen av skyddsnivån göras så att lagens krav uppfylls. 5.4. Riktlinjer för bedömningar vid utlämnanden Nämnden anser att Säkerhetspolisens riktlinjer inte ger tillräckligt tydlig vägledning för hur bedömningen av skyddsnivån för personuppgifter i ett tredjeland ska göras. Nämnden uppmanar Säkerhetspolisen att avhjälpa denna brist. I övrigt anser nämnden att riktlinjerna är ändamålsenligt utformade. 6. BESLUT Med detta uttalande avslutas ärendet. 5 Se främst nämndens uttalande från den 22 maj 2013 Uppföljning av tidigare granskning - Säkerhetspolisens utlämnande av personuppgifter till underrättelse- och säkerhetstjänster i andra stater (dnr 205-2012).

9 På Säkerhets- och integritetsskyddsnämndens vägnar Sigurd Heuman I avgörandet har deltagit: Sigurd Heuman (ordförande), Barbro Thorblad, Cecilia Dalman Eek, Linnéa Darell, Berit Jóhannesson, Christina Linderholm, Ewa Samuelsson, Mats Sander och Jonas Åkerlund (enhälligt). Föredragande: Fabian Holgersson Expedition till: Säkerhetspolisen Kopia för kännedom till: Datainspektionen