Detaljerade krav för utlämnandet

Ett utbyte av information enligt artikel 11 och artikel 12 i direktivet om finansiell information ska ske elektroniskt i enlighet med Europolförordningen, antingen genom systemet Siena (eller dess efterföljare) på det språk som gäller för Siena eller i förekommande fall genom FIU.Net (eller dess efterföljare). Redan i dag lämnas uppgifter ut till Europol på detta sätt. För närvarande administreras FIU.Net av Europol som också är mottagare av information via FIU.Net. Kravet i artikel 13.1. medför enligt vår bedömning därför inget behov av författningsreglering.

7.6 Överväganden om dataskyddsreglering

Direktivet om finansiell information innehåller vissa bestämmelser om behandling av personuppgifter vid utbyte av finansiell infor-mation och finansiella analyser där Europols nationella enheter involveras (artikel 15). I detta avsnitt tar vi ställning till om det krävs några åtgärder för genomförande av direktivets krav i denna del.

7.6.1 Behandling av känsliga personuppgifter

Bedömning: Det behövs inga särskilda bestämmelser i anledning av direktivets krav på lämpliga skyddsåtgärder för den registrerades rättigheter och friheter vid behandling av känsliga personuppgifter.

Skäl för bedömningen

Av artikel 16.1 i direktivet framgår att behandling av känsliga personuppgifter ska vara tillåten endast om det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter i enlighet med tillämpliga dataskyddsregler. Vidare framgår av artikel 16.2 att endast anställda med särskild utbildning och som ut-tryckligen bemyndigats av den personuppgiftsansvarige ska kunna få åtkomst till och behandla känsliga personuppgifter under vägledning av dataskyddsombudet.

BDL och den anknytande brottsdataförordningen (2018:1202) (BDF) är de centrala författningarna när det gäller Polismyndig-hetens behandling av personuppgifter i syfte att förebygga, för-hindra eller upptäcka brottslig verksamhet samt utreda eller lagföra brott är brottsdatalagen. Författningarna gäller för Polismyndig-hetens brottsbekämpande verksamhet, med visst undantag för Polismyndighetens behandling av personuppgifter i sådan verk-samhet som rör nationell säkerhet. I sådan verkverk-samhet gäller i stället lagen (2019:1182) om Säkerhetspolisens behandling av person-uppgifter.

Utgångspunkten i BDL är att känsliga personuppgifter inte får behandlas. Detta framgår av 2 kap. 11 § första stycket BDL. I paragrafens andra stycke anges dock att om uppgifter om en person redan behandlas, får de ändå kompletteras med sådana känsliga uppgifter, när det är absolut nödvändigt för ändamålet med behandlingen. Det är vidare som huvudregel förbjudet att utföra sökningar grundat på känsliga personuppgifter, i syfte att få fram ett urval av personer, 2 kap. 14 § BDL. Det finns utöver detta också särskild reglering för vissa register, som kan innehålla känsliga personuppgifter. För att skydda de personuppgifter som behandlas ställs vidare, i 3 kap. 8 § BDL, krav på lämpliga tekniska och organisatoriska åtgärder samt att tillgången till personuppgifter, enligt 3 kap. 6 § BDL, begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Vid tilldelning av behörighet för åtkomst till personuppgifter ska, utöver behovet av uppgifterna, utbildning och erfarenhet särskilt beaktas, 3 kap. 5 § BDF, och inom myndigheten ska enligt 3 kap. 6 § BDF finnas rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörig-heter för åtkomst till personuppgifter.

Vi bedömer sammantaget att den nationella regleringen på området väl tillgodoser direktivets krav på lämpliga skyddsåtgärder för den registrerades rättigheter och friheter vid behandling av känsliga personuppgifter. Någon ytterligare författningsreglering krävs därför inte.

7.6.2 Dokumentation av begäran om information

Bedömning och förslag: Det behövs inga särskilda bestämmelser om dokumentation för informationsutbyte mellan FIU och Europol.

Det ska införas ett undantag i polisens brottsdatalag som möjlig-gör bevarande av dokumentationen i det internationella registret enligt direktivets krav.

Skäl för bedömning och förslaget

Direktivet ställer krav på att en sådan begäran som avser finansiell information eller finansiell analys och där Europols nationella enheter involveras ska dokumenteras. Av dokumentationen ska, enligt artikel 17, åtminstone vissa angivna uppgifter framgå, såsom uppgifter om vem som begärt informationen (organisationen och den anställda), referensuppgifter till det nationella ärende infor-mationen gäller, vad begäran avser samt vilka åtgärder som mot-tagaren vidtagit i anledning av begäran, vilket i direktivet benämns verkställighetsåtgärder för begäran. En begäran om information från Europol torde utgöra en till myndigheten inkommen, allmän handling och därmed vara underkastad det krav på registrerings-skyldighet som framgår av 5 kap. 1 och 2 §§ OSL. Även myndig-hetens svar på en sådan begäran kommer att registreras. Kravet i 5 kap. 2 § OSL på vilka uppgifter som ska registreras svarar enligt vår bedömning väl mot direktivets krav på uppgifter som ska dokumenteras.

Den dokumentation som det här är fråga om registreras av den nationella Europolenheten i det internationella registret. För det internationella registret finns särskilda bestämmelser om person-uppgiftsbehandling i polisens brottsdatalag, 5 kap. 21–22 §§. Enligt 5 kap. 22 § i denna lag får personuppgifter i det internationella registret inte behandlas längre än tre år efter utgången av det

kalenderår då ärendet som uppgifterna behandlades i avslutades. I artikel 17 i direktivet om finansiell information framgår att doku-mentationen ska bevaras under fem års tid efter det att den skapats.

Mot denna bakgrund behöver regleringen ändras för att möjliggöra ett bevarande av dokumentationen i registret i enlighet med direktivets krav. Att dokumentationen på begäran ska göras till-gänglig för tillsynsmyndigheten framgår av BDL och behöver inte regleras särskilt.

7.6.3 Begränsningar av den registrerades rättigheter

Av artikel 18 i direktivet framgår att medlemsstaterna får anta lag-stiftningsåtgärder som helt eller delvis begränsar de registrerades rätt att få åtkomst till personuppgifter som rör dem och som behandlas enligt direktivet om finansiell information. Detta antingen enligt artikel 23.1 i EU:s dataskyddsförordning eller enligt artikel 15.1 i brottsdatadirektivet beroende på vilken som är tillämplig.

I 4 kap. 5 § BDL finns en bestämmelse om begränsning av informationsskyldigheten i förhållande till den registrerade när detta är särskilt föreskrivet, med hänsyn till vissa angivna intressen. Bland dessa intressen anges att förebygga, förhindra eller upptäcka brotts-lig verksamhet, utreda eller lagföra brott, verkställa uppbörd, upprätthålla allmän ordning och säkerhet, eller fullgöra förpliktelser som följer av internationella åtaganden. Det är främst bestämmelser om sekretess som avses. I brottsbekämpande verksamhet gäller sekretess enligt 18 kap. OSL. Denna sekretess, även i förhållande till den vars personuppgifter som behandlas, är dock inte absolut. Om den vars personuppgifter behandlas är misstänkt för ett brott och förundersökningen har kommit så långt att denne skäligen miss-tänks för brottet, ska den misstänkte underrättas om misstanken vid förhör. Därefter har den misstänkte enligt 23 kap. 18 § andra stycket rättegångsbalken, av rättssäkerhetsskäl, såsom part rätt till insyn i förundersökningsmaterialet.

BDL medger alltså en begränsning av enskildas rättigheter att få åtkomst till personuppgifter som rör dem, i den utsträckning detta har bedömts proportionerligt och nödvändigt för att de brotts-bekämpande myndigheterna ska kunna utföra sina uppdrag. Dessa regler kommer att gälla även för den behandling av personuppgifter

för brottsbekämpande syften som omfattas av direktivet om finansiell information och står inte i strid med direktivet.