Den nuvarande lagstiftningen

Syftet med personuppgiftslagen (1998:204) är att skydda männi-skor mot att deras personliga integritet kränks genom behandling av personuppgifter (1 §). Personuppgiftslagen är generellt tillämp-lig, men om det i en annan lag eller förordning finns avvikande be-stämmelser ska dessa tillämpas i stället (2 §). Undantag gäller också för privat behandling av uppgifter (6 §). Vidare behöver flertalet av lagens regler inte tillämpas på behandling av personuppgifter i ostrukturerat material (5 a §).

I 3 § lagen definieras vissa grundläggande begrepp, bl.a. vad per-sonuppgifter är och vad som avses med personuppgiftsbehandling och personuppgiftsansvarig. Personuppgiftslagen gäller bara för sådan behandling av personuppgifter som är helt eller delvis auto-matiserad, men även för andra uppgifter om de ingår i eller är av-sedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda krite-rier.

Lagen ställer vissa grundläggande krav för behandlingen. Den personuppgiftsansvarige ska bl.a. se till att personuppgifter bara behandlas om det är lagligt, att uppgifterna behandlas på ett kor-rekt sätt och i enlighet med god sed, att uppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, att uppgif-terna inte behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in, att inte fler uppgifter än nödvändigt behandlas och att uppgifterna är adekvata och relevanta i förhållande till ändamålen med behandlingen (9 §).

Lagen reglerar också när behandling är tillåten (10–12 §§) och behandling av känsliga personuppgifter (14–20 §§) och uppgifter om lagöverträdelser (21 §). Vidare finns det särskilda bestämmelser om information till den registrerade (23–27 §§), om rättelse av uppgifter som har behandlats i strid med lagen eller föreskrifter som har meddelats med stöd av lagen (28 §) och om skadestånd för felaktig behandling (48 §).

Dessutom finns bl.a. bestämmelser om överföring av uppgifter till tredje land (33–35 §§), säkerheten vid behandlingen (30–32 §§) och tillsynen över att regleringen efterlevs (43–47 §§).

Lagen innehåller också en regel om straffansvar (49 §) och regler om överklagande av vissa beslut (51–53 §§).

4.1.2 Polisdatalagen

Polisdatalagen (2010:361) gäller vid behandling av personuppgifter i polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen och polismyndigheterna samt i Ekobrottsmyndighetens polisiära verk-samhet. Lagen gäller i stället för personuppgiftslagen, men hänvisar till ett stort antal bestämmelser i personuppgiftslagen som alltså gäller vid behandling av personuppgifter i polisens brottsbekäm-pande verksamhet.

För den personuppgiftsbehandling som inte avser brottsbekäm-pande verksamhet, exempelvis tillståndsgivning eller mer renodlad övervakning och ordningshållande verksamhet, gäller personupp-giftslagen.

Rikspolisstyrelsen är enligt 2 kap. 4 § polisdatalagen personupp-giftsansvarig för den behandling av personuppgifter som myndig-heten utför och den behandling som utförs i polisiär verksamhet vid Ekobrottsmyndigheten. Varje polismyndighet är personupp-giftsansvarig för den behandling av personuppgifter som myndig-heten utför.

I polisdatalagen anges för vilka ändamål personuppgifter får be-handlas i polisens brottsbekämpande verksamhet. Ändamålen delas in i primära och sekundära, där de primära avser behandling av per-sonuppgifter för att tillgodose behov i polisens brottsbekämpande verksamhet och de sekundära anger när personuppgifter, som ändå

Ds 2014:18 Behandlingen av personuppgifter

behandlas i polisens brottsbekämpande verksamhet, får lämnas ut till andra myndigheter eller organisationer för dessas behov.

De primära ändamålen är uttömmande angivna i 2 kap. 7 § polisdatalagen. Personuppgifter får enligt den bestämmelsen be-handlas om de behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra för-pliktelser som följer av internationella åtaganden.

De sekundära ändamålen regleras i 2 kap. 8 § polisdatalagen.

Personuppgifter får behandlas om det är nödvändigt för att tillhan-dahålla information som behövs i brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheter, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket eller hos utländsk myndighet eller mellanfolklig organisation. Personuppgifter får vidare behandlas om det är nödvändigt för att tillhandahålla in-formation som behövs i polisens handräckningsverksamhet eller, om det finns särskilda skäl, att tillhandahålla information i annan verksamhet som polisen ansvarar för. Personuppgifter får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten, eller i en myndighets verksam-het i övrigt, om polisen är skyldig att bistå myndigverksam-heten med viss uppgift, eller informationen tillhandahålls inom ramen för myndig-hetsöverskridande samverkan mot brott.

Uppgifter som behandlas för ett primärt ändamål får även be-handlas om det är nödvändigt för att lämna information till riksda-gen och regerinriksda-gen samt, i den utsträckning det finns en uppgifts-skyldighet i lag eller förordning, till andra. I ett enskilt fall får per-sonuppgifter behandlas genom att lämnas ut även för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

För uppgifter som görs eller har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet finns särskilda och mer begränsande regler i 3 kap. polisdatalagen. Avgörande för om upp-gifter ska anses vara gemensamt tillgängliga är hur många personer som har rätt att ta del av dem. Uppgifter som endast ett fåtal per-soner har rätt att ta del av anses inte som gemensamt tillgängliga.

Vid bedömning av om en uppgift har gjorts gemensamt tillgänglig saknar det betydelse hur många personer som rent faktiskt tar del av de aktuella uppgifterna.

Några register regleras särskilt i 4 kap. polisdatalagen. Det är re-gister över DNA-profiler, dvs. DNA-registret, utredningsregistret och spårregistret, fingeravtrycks- och signalementsregister, pen-ningtvättsregister samt det internationella registret. Rikspolissty-relsen för dessa register och för dem gäller särskilda bestämmelser om ändamål, gallring och direktåtkomst.

Från polisdatalagens tillämpningsområde har undantagits be-handling i vissa register som förs av Rikspolisstyrelsen men som regleras i andra författningar, nämligen lagen (1998:620) om be-lastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister och lagen (2010:362) om polisens allmänna spaningsregister. Polisdatalagen gäller inte heller när personupp-gifter behandlas i polisens vapenregister enligt vapenlagen (1996:67), utom i de avseenden som anges i den lagen.

I 5 kap. polisdatalagen finns bestämmelser om behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksam-het. Dessa bestämmelser reglerar bl.a. ändamålen för Säkerhetspoli-sens personuppgiftsbehandling, som delvis avviker från regleringen för den övriga polisen. Det finns även särskilda bestämmelser om bevarande och gallring. När det gäller behandlingen av känsliga uppgifter, utlämnande av personuppgifter och uppgiftsskyldighet gäller samma bestämmelser för Säkerhetspolisen som för polisen i övrigt. Säkerhetspolisen är personuppgiftsansvarig för den behand-ling som den utför.

4.2 Behandlingen av personuppgifter vid Statens