5.1
Grundläggande reglering om skydd av den
personliga integriteten
Regeringsformen och Europakonventionen
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en – utöver vad som anges i första stycket i paragrafen – skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar i detta skydd får enligt 2 kap. 20 och 21 §§ regeringsformen enbart göras genom lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle.
Grundlagsskyddet omfattar enbart betydande intrång. I förarbetena till ändringen framhålls att det är naturligt att det läggs stor vikt vid uppgif- ternas karaktär vid bedömningen av hur ingripande intrånget i den per- sonliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga för- hållanden. Ju känsligare uppgifterna är, desto mer ingripande anses det allmännas hantering av uppgifterna normalt vara. Även hantering av ett fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Mängden uppgifter kan också vara en betydelsefull faktor i sammanhanget (En reformerad grundlag, prop. 2009/10:80, s. 183). Konstitutionsutskottet har i flera lag- stiftningsärenden som rört myndigheters personuppgiftsbehandling fram- hållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll ska regleras särskilt i lag (se bl.a. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 43).
Den europeiska konventionen angående skydd för de mänskliga rättig- heterna och de grundläggande friheterna (Europakonventionen) gäller som svensk lag (SFS 1994:1219). Enligt artikel 8 har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Inskränkningar i dessa rättigheter får endast göras med stöd av lag och för vissa i artikeln uppräknade ändamål, bl.a. hänsyn till den allmänna
Prop. 2018/19:163 säkerheten och förebyggande av oordning och brott. Artikel 8 skyddar bl.a. mot felaktig behandling av personuppgifter (se Segerstedt-Wiberg m.fl. mot Sverige, Ansökan 62332/00, dom den 6 juni 2006).
Även Europeiska unionens (EU) stadga om de grundläggande rättig- heterna (rättighetsstadgan) innehåller bestämmelser om behandling av personuppgifter.
Dataskyddskonventionen
Europarådets ministerkommitté antog 1981 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. data- skyddskonventionen (nr 108). Konventionen trädde i kraft den 1 oktober 1985. I syfte att modernisera konventionen har en översyn av den pågått inom Europarådet. Förhandlingarna resulterade i maj 2018 i att ett ändringsprotokoll antogs och Sverige tillhörde de första konventionsstaterna att underteckna protokollet. Processen för att ändringsprotokollet ska träda i kraft har därmed inletts. Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Utgångspunkten är att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter. Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet.
I konventionen anges krav på de personuppgifter som är föremål för automatisk databehandling, bl.a. krav på att uppgifterna ska hämtas in och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet, att vissa typer av uppgifter inte får behandlas automatiserat om inte nationell lagstiftning ger ett ändamålsenligt skydd och att lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse.
Konventionen kompletteras av ett antal av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden. En sådan rekommendation rör polisen.
Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till konventionen.
5.2
Regleringen av Säkerhetspolisens
personuppgiftsbehandling
Polisdatalagen
Säkerhetspolisens personuppgiftsbehandling regleras i 6 kap. polisdatalagen (2010:361). Lagen upphörde att gälla den 1 januari 2019, men gäller för Säkerhetspolisens behandling av personuppgifter i frågor som rör nationell säkerhet genom en övergångsreglering (avsnitt 6.3). I
kapitlet anges ändamålen för Säkerhetspolisens personuppgiftsbe- Prop. 2018/19:163 handling. Det finns även särskilda bestämmelser om behandling av
känsliga personuppgifter och om bevarande och gallring. I 6 kap. 4 § hänvisas till ett flertal bestämmelser i 2 kap. som ska tillämpas av Säkerhetspolisen. Bland dem 2 kap. 2 § som i sin tur hänvisar till ett antal bestämmelser i personuppgiftslagen (1998:204) som gäller vid Säkerhetspolisens behandling av personuppgifter enligt polisdatalagen. Det gäller bl.a. definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd. Även personuppgiftlagen har upphört att gälla, men kan tillämpas av Säkerhetspolisen genom en övergångsreglering (avsnitt 6.3).
I polisdataförordningen (2010:1155), som övergångsvis fortfarande gäller för Säkerhetspolisen, finns ytterligare bestämmelser om bl.a. behörighetstilldelning, ändamål, elektroniskt utlämnande och bevarande och gallring.
Ändamål för behandling
I 6 kap. 1–3 §§ polisdatalagen anges för vilka ändamål Säkerhetspolisen får behandla personuppgifter. Ändamålen delas in i primära och sekun- dära.
De primära ändamålen, som avser behandling av personuppgifter för behoven i Säkerhetspolisens brottsbekämpande verksamhet, anges ut- tömmande i 6 kap. 1 § polisdatalagen. Personuppgifter får behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet, terrorbrott eller tryck- eller yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv. Person- uppgifter får även behandlas för att utreda eller beivra sådana brott eller, efter särskilt beslut, annat brott. Säkerhetspolisen får också behandla per- sonuppgifter om det behövs för att fullgöra uppgifter i samband med per- sonskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer, fullgöra uppgifter enligt säkerhetsskydds- lagen, fullgöra förpliktelser som följer av internationella åtaganden, lämna tekniskt biträde till Polismyndigheten, Ekobrottsmyndigheten, Åklagarmyndigheten eller Tullverket eller fullgöra annan verksamhet som anges i lag eller förordning eller särskilt beslut av regeringen.
De sekundära ändamålen aktualiseras när personuppgifter som redan behandlas i Säkerhetspolisens brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för deras behov. Enligt de sekundära ändamålen, som anges i 6 kap. 2 § polisdatalagen, får person- uppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevak- ningen och Skatteverket eller hos en utländsk myndighet eller mellan- folklig organisation. Utlämnande är vidare tillåtet om behandlingen är nödvändig för att tillhandahålla information som behövs i en myndighets verksamhet, om informationen tillhandahålls inom ramen för myndig- hetsöverskridande samverkan mot brott eller i Försvarsmaktens försvars- underrättelseverksamhet och militära säkerhetstjänst om det finns sär- skilda skäl att tillhandahålla informationen. Detsamma gäller om Säker- hetspolisen enligt lag eller förordning ska bistå en myndighet med viss
Prop. 2018/19:163 uppgift. Säkerhetspolisen får även behandla personuppgifter om det är nödvändigt för att tillhandahålla information till bl.a. riksdagen och rege- ringen. Personuppgifter får dessutom behandlas för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen). I 12 § polisdataförordningen finns ytterligare be- stämmelser om ändamål för utlämnande av personuppgifter.
Personuppgifter får enligt 6 kap. 3 § polisdatalagen också behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Säkerhetspolisen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
Utlämnande av personuppgifter
När det gäller utlämnande av personuppgifter och uppgiftsskyldighet gäl- ler bestämmelserna i 2 kap. 14 och 15 §§ polisdatalagen för Säkerhets- polisen. I 14 § föreskrivs att personuppgifter får lämnas ut för att fram- ställa rättsstatistik. I 15 § finns sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol, Europol, utländsk underrättelse- eller säkerhetstjänst och annan utländsk myndighet eller mellanfolklig organisation.
Även bestämmelserna om elektroniskt utlämnande i 2 kap. 20 och 21 §§ polisdatalagen gäller för Säkerhetspolisen. Där föreskrivs att enstaka personuppgifter får lämnas ut på medium för automatiserad behandling och att utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av lagen. Säkerhetspolisen har inte getts någon möjlighet att lämna ut personuppgifter genom direktåtkomst. I polisdataförordningen finns kompletterande bestämmelser om elektroniskt utlämnande. Där föreskrivs bl.a. att fler än enstaka personuppgifter under vissa förutsättningar får lämnas ut på medium för automatiserad behandling till ett antal angivna myndigheter.
Behandling av känsliga personuppgifter
Bestämmelserna om behandling av känsliga personuppgifter i 2 kap. 10 § polisdatalagen gäller för Säkerhetspolisen. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgif- ter om det är absolut nödvändigt för syftet med behandlingen.
Behandling av gemensamt tillgängliga uppgifter
I 6 kap. 8 § polisdatalagen föreskrivs att personuppgifter får göras gemensamt tillgängliga i Säkerhetspolisen verksamhet om det behövs för de ändamål för vilka Säkerhetspolisen får behandla personuppgifter.
När personuppgifter görs gemensamt tillgängliga ska det, enligt 6 kap. 9 §, genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas. Om uppgifterna direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva brottslig verksamhet ska det enligt 6 kap. 10 § framgå att personen inte är misstänkt. Uppgifter om en person
som kan antas ha samband med misstänkt brottslig verksamhet ska förses Prop. 2018/19:163 med upplysning om uppgiftslämnarens trovärdighet och uppgifternas
riktighet i sak. Sådana upplysningar behöver dock inte lämnas om det på grund av särskilda omständigheter är onödigt eller om uppgifterna ingår i en uppgiftssamling som har skapats för att bearbeta och analysera information och bearbetningen och analysen befinner sig i ett inledande skede.
Vid sökning i gemensamt tillgängliga uppgifter får Säkerhetspolisen enligt 6 kap. 11 § polisdatalagen använda känsliga personuppgifter som sökbegrepp endast om det är absolut nödvändigt.
Bevarande och gallring
I 6 kap. 6 § polisdatalagen föreskrivs att Säkerhetspolisen inte får bevara personuppgifter under längre tid än vad som behövs för något eller några av de ändamål som anges i lagen. I 6 kap. 7 och 12–14 §§ regleras hur länge uppgifter längst får bevaras.
Personuppgifter som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter att ärendet avslutats. Om uppgifterna inte kan hänföras till ett ärende ska de gallras senast ett år efter att de behandlades automatiserat första gången.
Personuppgifter som har gjorts gemensamt tillgängliga ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Särskilda regler gäller för personuppgifter som behandlas i en uppgiftssamling som har skapats för att bearbeta och analysera information och som enbart särskilt angivna tjänstemän har tillgång till. Sådana personuppgifter ska gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Om det finns särskilda skäl får Säkerhetspolisen besluta att personuppgifter får bevaras längre tid om uppgifterna fortfarande behövs för det ändamål för vilket de behandlas.
Annan tillämplig lagstiftning
Säkerhetspolisen tillämpar också lagen (2017:496) om internationellt polisiärt samarbete och föreskrifter som har meddelats i anslutning till den lagen. Lagen tillämpas på polisiärt samarbete mellan Sverige och andra stater i den utsträckning som Sverige i en internationell överenskommelse har gjort sådana åtaganden som avses i lagen. För Säkerhetspolisen behandling av personuppgifter vid internationellt polisiärt samarbete gäller polisdatalagen, om inte annat följer av lagen om internationellt polisiärt samarbete eller förskrifter som regeringen har meddelat i anslutning till den lagen.
I 7–9 kap. lagen om internationellt polisiärt samarbete regleras infor- mationsutbyte enligt vissa EU-rättsakter; Prümrådsbeslutet, CBE-direk- tivet och VIS-rådsbeslutet. I 10 kap. regleras uppgiftsutbyte enligt avtalet med USA.