Avgränsning av tillämpningsområdet

Regeringens förslag: Lagen ska gälla vid behandling av personupp-

gifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet.

Lagen ska gälla för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna: Polismyndigheten efterfrågar en definition av ut-

trycket nationell säkerhet. Datainspektionen anser att begreppet nationell säkerhet bör ersättas med ett tydligare begrepp av vilket framgår att det rör Sveriges säkerhet såväl direkt som indirekt. Dataskydd.net anser att begreppet nationell säkerhet bör snävas in.

Prop. 2018/19:163 Skälen för regeringens förslag

Lagen ska gälla för behandling av personuppgifter som rör nationell säkerhet

I 1 kap. 4 § brottsdatalagen undantas Säkerhetspolisens personuppgifts- behandling som rör nationell säkerhet från brottsdatalagens tillämpnings- område. Frågan är om begreppet nationell säkerhet bör användas för att avgränsa tillämpningsområdet för den nya lagen eller om det finns skäl att, som Datainspektionen anser, välja ett annat begrepp.

I 19 kap. brottsbalken används numera begreppet Sveriges säkerhet, vilket ersatte det äldre begreppet rikets säkerhet. När begreppet byttes ut konstaterade regeringen att innebörden av vad som betraktas som rikets säkerhet hade förändrats och fått ett vidare tillämpningsområde (Förstärkt skydd mot främmande makts underrättelseverksamhet, prop. 2013/14:51, s. 20 och 36). I den nya säkerhetsskyddslagen används också begreppet Sveriges säkerhet (En ny säkerhetsskyddslag, prop. 2017/18:89, s. 41 f.). Ett alternativ skulle därför vara att använda det begreppet även i den nya lagen.

Uttrycket Sveriges säkerhet kan dock vara snävare än nationell säkerhet. En fråga som rör nationell säkerhet i något av våra grannländer kan t.ex. vara av den karaktären att den även indirekt kan komma att påverka Sveriges säkerhet. När det gäller gränsöverskridande terrorism är det av stor betydelse att Säkerhetspolisen både kan ta emot och lämna informa- tion som kan bidra till att förhindra terrorbrott oavsett vilken stats natio- nella säkerhet som hotas. Om uttrycket Sveriges säkerhet skulle användas i den nya lagen medan nationell säkerhet används i brottsdatalagen finns det därför risk för att viss personuppgiftsbehandling i Säkerhetspolisens brottsbekämpande verksamhet skulle falla utanför båda regelverken och i stället omfattas av dataskyddsförordningens tillämpningsområde. För att undvika det bör därför samma uttryck som i brottsdatalagen användas för att avgränsa tillämpningsområdet i den nya lagen.

Polismyndigheten efterfrågar en definition av vad som avses med ut-

trycket nationell säkerhet. En definition skulle kunna underlätta be- dömningen av när lagen är tillämplig. I förarbetena till brottsdatalagen framgår att det rör sig om ett EU-rättsligt begrepp som avgränsar EU:s kompetens gentemot medlemsstaterna och att det i förlängningen är upp till EU-domstolen att avgöra begreppets närmare innebörd (prop. 2017/18:232 s. 104). Mot den bakgrunden ansågs det inte lämpligt att definiera uttrycket nationell säkerhet inom ramen för det lagstiftnings- ärendet. Det finns inte skäl att nu göra någon annan bedömning.

Lagen ska gälla vid behandling av personuppgifter i den brottsbekämpande och lagförande verksamheten

Brottsdatalagens tillämpningsområde avgränsas framför allt genom syftet med behandlingen. Det beror på att dataskyddsdirektivets tillämpnings- område är avgränsat på det sättet (prop. 2017/18:232 s. 82.). I direktivet och dataskyddsförordningen anges att de inte ska tillämpas på behandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten, vilket bl.a. syftar på nationell säkerhet (avsnitt 6.2). Säkerhetspolisens verksamhet ligger därmed som nämnts till allra största delen utanför både

direktivets och förordningens tillämpningsområde. Syftet med behand- Prop. 2018/19:163 lingen behöver därför inte användas för att avgränsa tillämpningsområdet

för den nya lagen. Tillämpningsområdet bör i stället, på samma sätt som i dag, kopplas till Säkerhetspolisens verksamhet.

Frågan är om tillämpningsområdet i den nya lagen bör avgränsas på samma sätt som i polisdatalagen, dvs. genom en hänvisning till brottsbe- kämpande verksamhet, eller genom någon annan formulering, t.ex. ope- rativ verksamhet.

I förarbetena till polisdatalagen konstaterar regeringen att arbetet inom Säkerhetspolisens olika verksamhetsområden är förebyggande och ytterst syftar till att förhindra att brott begås och att det därför får anses utgöra en del av Säkerhetspolisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 255 f.). Därför räknas samtliga områden där myndigheten bedriver verksamhet upp i 6 kap. 1 § polisdatalagen. Även i senare förarbeten har det uttalats att all verksamhet vid Säkerhetspolisen i någon mån är brottsbekämpande (En ny organisation för polisen, prop. 2013/14:110, s. 480 f.). Det talar för att uttrycket brottsbekämpande verksamhet bör användas även i den nya lagen.

Även om all Säkerhetspolisens verksamhet har ansetts vara i viss utsträckning brottsbekämpande finns det delar av verksamheten som inte har ett lika tydligt brottsbekämpande syfte som övrig verksamhet. Det beror på att Säkerhetspolisen också är en säkerhetstjänst. I den rollen arbetar Säkerhetspolisen för att höja nivån på säkerheten i Sverige. Verksamheten är främst inriktad på att bedöma om viss säkerhetshotande brottslighet kan antas komma att begås. Bedömningarna tjänar som underlag för beslut om vilka åtgärder Säkerhetspolisen vidtar i sitt förebyggande arbete. De ligger också till grund för beslut om t.ex. personskydd för den centrala statsledningen eller säkerhetsskyddsåtgärder. Eftersom verksamheten och åtgärderna är inriktade på att förebygga att säkerhetshot skapas och kan förverkligas kan de indirekt sägas ha brottsbekämpande syfte.

Det kan diskuteras om Säkerhetspolisens roll som säkerhetstjänst gör det lämpligare att använda ett annat uttryck än brottsbekämpning för att avgränsa tillämpningsområdet, t.ex. operativ verksamhet. Ett alternativ skulle kunna vara att låta lagen omfatta brottsbekämpande och annan operativ verksamhet. Inarbetade begrepp bör dock inte ändras om inte starka skäl talar för det. Det har inte framförts några skäl mot att använda uttrycket brottsbekämpande verksamhet. Även om det skulle finnas för- delar med ett annat uttryck anser regeringen, i likhet med utredningen, att övervägande skäl talar för att behålla samma formulering som i dag.

Med brottsbekämpning avses i dag såväl arbetsuppgifterna att före- bygga, förhindra och upptäcka brottslig verksamhet som att utreda och beivra brott. I brottsdatalagen görs det emellertid skillnad mellan brotts- bekämpning och lagföring. Det beror på att dataskyddsdirektivet är utfor- mat på det sättet. Uppgiften att beivra brott hänförs till lagföring. Brotts- bekämpning har därmed i brottsdatalagen fått en snävare innebörd än i dag (prop. 2017/18:232 s. 93 f.). Brottsbekämpning bör ha samma innebörd i den nya lagen. Säkerhetspolisen har enligt sin instruktion i uppgift att även utreda och beivra, dvs. lagföra, vissa typer av brott. Den nuvarande regleringen omfattar således även lagföring. Den nya lagen bör därför

Prop. 2018/19:163 gälla personuppgiftsbehandling som rör nationell säkerhet i Säker- hetspolisens brottsbekämpande och lagförande verksamhet.

Intern och administrativ verksamhet bör inte omfattas

Säkerhetspolisen har tidigare tillämpat personuppgiftslagen i sin interna och administrativa verksamhet. Som exempel på interna åtgärder är framtagande av interna föreskrifter, handböcker och policydokument Exempel på administrativ verksamhet kan nämnas personalfrågor och ekonomihantering. I dag ska Säkerhetspolisen tillämpa dataskydds- förordningen och dataskyddslagen vid personuppgiftsbehandling i den interna och administrativa verksamheten. Detta eftersom endast personuppgiftsbehandling i verksamhet som omfattas av 6 kap. polisdatalagen undantas från dataskyddsförordningen och dataskyddslagen utvidgade tillämpningsområde (1 kap. 3 § dataskyddslagen). Frågan är om det finns skäl att låta den nya lagen omfatta personuppgiftsbehandling i intern och administrativ verksamhet om behandlingen rör nationell säkerhet? Viss behandling av personuppgifter som utförs i Säkerhetspolisens interna eller administrativa verksamhet kan nämligen vara av sådan karaktär att den gäller nationell säkerhet. Eftersom det inte ska vara möjligt för en annan stat att med hjälp av offentliga uppgifter kunna kartlägga Säkerhetspolisens organisation gäller dock sekretess i större utsträckning än normalt för uppgifter som rör Säkerhetspolisens personal (se t.ex. 15 kap. 2 § och 18 kap. 2 och 5 §§ offentlighets- och sekretesslagen).

Merparten av den personuppgiftsbehandling som sker i intern och administrativ verksamhet hos Säkerhetspolisens får dock antas inte vara av sådan karaktär att den rör nationell säkerhet. Med beaktande av detta och med hänsyn till den sekretessreglering som finns, föreligger inte skäl att låta den nya lagen omfatta personuppgiftsbehandling i intern och administrativ verksamhet ens om behandlingen rör nationell säkerhet.

Helt eller delvis automatiserad behandling

Den nya lagen bör på samma sätt som i dag gälla för behandling av per- sonuppgifter som är helt eller delvis automatiserad och för annan be- handling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.