8.1 Behovet av en ny lagstiftning
Regeringens förslag: Kustbevakningens personuppgiftsbehandling ska regleras i en ny teknikneutral lag.
De grundläggande principerna för behandling av personuppgifter i Kustbevakningens operativa verksamhet ska regleras i lagen.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: De flesta remissinstanser har tillstyrkt eller har inget att invända mot förslaget. Datainspektionen anser dock att en dju-pare analys bör ske vid proportionalitetsbedömningen mellan Kustbe-vakningens behov av personuppgiftsbehandling i sin verksamhet och den enskildes rätt till skydd för intrång i den personliga integriteten. Sveriges advokatsamfund anser att verkningarna från integritetsskyddssynpunkt blir synnerligen svåra att överblicka, och att dessa behöver genomlysas ytterligare innan en ny reglering införs. Göta hovrätt, Förvaltningsrätten i Växjö och Kustbevakningen anser att innehållet i förslaget till kustbe-vakningsdatalag i stort utgör en rimlig avvägning mellan skyddet av den personliga integriteten för dem vilkas personuppgifter behandlas och effektiviteten i Kustbevakningens verksamhet.
Skälen för regeringens förslag Allmänna utgångspunkter
Sedan många år tillbaka utgör modern informationsteknik en naturlig del av Kustbevakningens verksamhet. Denna utveckling har varit ett led i effektiviseringen av verksamheten och det finns inte någon anledning att anta annat än att behovet av informationsteknik kommer att fortsätta att öka i Kustbevakningens arbete. En väl utnyttjad informationsteknik är av
Prop. 2011/12:45
61 stor betydelse och en förutsättning för myndighetens möjligheter att
bedriva sin verksamhet på ett effektivt sätt. Samtidigt måste informat-ionshanteringen ske med respekt för enskildas integritet.
Efter det att förordningen (2003:188) om behandling av personuppgif-ter inom Kustbevakningen trädde i kraft har den tekniska utvecklingen hastigt fortskridit och antalet personuppgifter som behandlas i Kustbe-vakningens verksamhet har ökat. Den tekniska utvecklingen och använ-dandet av informationsteknik har medfört att det finns ett behov av en ny författningsreglering som styr Kustbevakningens personuppgiftsbehand-ling och som inte onödigtvis hindrar en ändamålsenlig effektivisering av verksamheten som kontinuerligt pågår. Reglerna för behandlingen av personuppgifter bör vara utformade på ett sådant sätt att de underlättar för Kustbevakningen att på ett rationellt sätt använda informationsteknik i sin verksamhet för att möjliggöra för myndigheten att bedriva en effek-tiv brottsbekämpning samt kontroll- och tillsynsverksamhet m.m. enligt de särskilda föreskrifter som Kustbevakningen har att beakta. Reglerna bör också vara utformade så att intresset av att upprätthålla ett ändamåls-enligt skydd för den personliga integriteten tillvaratas på ett effektivt sätt.
Kustbevakningens verksamhet har vidare alltmer kommit att präglas av samverkan med andra myndigheter och med organisationer, både nation-ella och internationnation-ella, med vilka ett utbyte av personuppgifter behöver ske. Det är därför av vikt att förutsättningar även ges för att underlätta detta informationsutbyte så långt som det är möjligt. Därvid bör särskilt beaktas intresset av att regleringen av behandlingen av personuppgifter inom brottsbekämpande verksamhet blir enhetlig. Från brottsbekämp-ningssynpunkt är det angeläget att samhällets samlade resurser används rationellt och effektivt. En utgångspunkt för den nya författningsregle-ringen måste därför vara att, med beaktande av befogade krav på skydd för enskildas integritet, var och en av de brottsbekämpande myndigheter-na kan få tillgång till uppgifter från andra brottsbekämpande myndighet-er, i den mån uppgifterna behövs där.
När det gäller frågan om hur Kustbevakningens personuppgiftshante-ring ska regleras på det brottsbekämpande området bör en allmän ut-gångspunkt vara att den motsvarar vad som gäller för polisens brottsbe-kämpande verksamhet, om det är motiverat från effektivitetssynpunkt och acceptabelt från integritetsskyddssynpunkt. Det huvudsakliga skälet till det är att polisen har huvudansvaret för den brottsbekämpande verk-samheten och att regleringen på detta område om möjligt bör vara enhet-lig för att skapa goda förutsättningar för samarbete och effektivitet i verksamheten. En hög grad av enhetlighet i den brottsbekämpande verk-samheten leder också till bättre förutsebarhet för enskilda. Av särskilt intresse när det kommer till utformningen av en ny författningsreglering, både vad avser systematik och innehåll, är därför den polisdatalag (2010:361) som riksdagen har antagit och som kommer att träda i kraft den 1 mars 2012 (se prop. 2009/10:85, bet. 2009/10:JuU19, rskr.
2009/10:255).
När det gäller Kustbevakningens övriga operativa verksamhet, är de regler som gäller i dag i behov av kompletteringar och moderniseringar.
Prop. 2011/12:45
62 Fortsatt behov av en särskild författningsreglering
I avsnitt 4.3 har redogjorts för de regler som gäller för Kustbevakningen när personuppgifter behandlas. Som där har nämnts gäller förordningen om behandling av personuppgifter i Kustbevakningens verksamhet utö-ver personuppgiftslagen. Det finns ingen enhetlig systematik bland de registerförfattningar som i dag gäller inom skilda myndighetsområden.
Vilken systematik som väljs kan vara beroende av olika faktorer, t.ex.
hur omfattande regleringen är, vilken verksamhet den avser och om för-fattningen gäller utöver eller i stället för personuppgiftslagen (1998:204).
Personuppgiftslagen gäller generellt för all behandling av personupp-gifter, såvida det inte finns avvikande regler i lag eller förordning. I det lagstiftningsärende som föregick personuppgiftslagen uttalade regeringen att lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar (prop. 1997/98:44 s. 40 f.). Sådan författningsreg-lering, främst i form av s.k. registerlagar, har skett utifrån det principiella ställningstagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör regleras i lag.
Sedan den 1 januari 2011 är enskilda skyddade gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär kartläggning eller övervakning av personliga för-hållanden (2 kap. 6 § regeringsformen). Inskränkningar i detta skydd kan enbart ske i lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle (2 kap. 20 och 21 §§ regeringsformen). Ut-gångspunkten för behovet av och villkoren för lagregleringen av behand-ling av personuppgifter som utförs av myndigheter bör således numera tas i regeringsformens bestämmelser om integritetsskydd. Med hänsyn till omfattningen och arten av Kustbevakningens verksamhet, den ingri-pande myndighetsutövning som ingår i uppgiften samt behovet av att kunna behandla personuppgifter även av känsligare slag inom främst den brottsbekämpande verksamheten anser regeringen att stora delar av Kustbevakningens personuppgiftsbehandling innefattar sådan integritets-känslig informationshantering som enskilda är skyddade mot enligt 2 kap. 6 § andra stycket regeringsformen. Det finns därför ett behov av en särskild författningsreglering i lag av behandlingen av personuppgifter i Kustbevakningens verksamhet.
Val av reglering och behovet av en teknikneutral författningsreglering I Kustbevakningens verksamhet behandlas en stor mängd uppgifter om enskilda personer i olika register eller datorsystem. Uppgifterna kan i flera fall vara känsliga och det är därför viktigt att de behandlas på ett sådant sätt att hänsyn tas till de registrerades personliga integritet.
I promemorian har anförts, att en utgångspunkt vid utformningen av förslag till en lag för personuppgiftsbehandling i Kustbevakningens verk-samhet bör vara att skapa en så flexibel och teknikneutral lagstiftning som möjligt. Ingen remissinstans har ifrågasatt denna utgångspunkt. För att åstadkomma detta föreslår regeringen, i likhet med promemorian, att lagen ska innehålla ramarna och de grundläggande principerna för den automatiserade behandlingen av personuppgifter som förekommer i
Prop. 2011/12:45
63 Kustbevakningens verksamhet. Med en sådan lagstiftning skapas
möjlig-heter bl.a. för en utvecklad och fortsatt samverkan mellan Kustbevak-ningen och andra myndigheter samtidigt som den personliga integriteten värnas. Vidare måste det ställas höga krav på kontroll och tillsyn av verksamheten, både internt och externt.
De bestämmelser som bör återfinnas i lagen är främst sådana som anger för vilka ändamål personuppgifter får behandlas, i vilken omfatt-ning andra myndigheter ska tillåtas direktåtkomst, i vilken omfattomfatt-ning uppgifter ska få lämnas ut i elektronisk form, under vilka förutsättningar vissa känsliga uppgifter får behandlas, när uppgifter ska gallras samt vilka rättigheter enskilda har. I vissa fall bör sådana bestämmelser vara ovillkorliga, medan regeringen i andra fall har möjlighet att gå med på undantag och meddela vissa kompletterande bestämmelser. Härigenom undviks att detaljregler som kan komma att behöva ändras ofta, t.ex. som en följd av ändrade villkor för verksamheten, måste prövas av riksdagen.
Regeringen har då att förhålla sig till 2 kap. 6 § andra stycket regerings-formen, dvs. de föreskrifter regeringen meddelar får inte innebära ett betydande intrång i den personliga integriteten. En sådan åtgärd kräver författningsändring på lagnivå (2 kap. 20 § regeringsformen).
Det kan i vissa fall även vara lämpligt att regeringen delegerar rätten att meddela verkställighetsföreskrifter.
Regeringen föreslår sammanfattningsvis en ny lag för Kustbevakning-ens personuppgiftsbehandling, i vilken de grundläggande principerna för personuppgiftsbehandling regleras.
En eller flera lagar?
Mot bakgrund av att Kustbevakningen har uppgifter inom flera olika områden (se avsnitt 6) finns det anledning för regeringen att överväga om Kustbevakningens personuppgiftsbehandling ska regleras i en eller flera lagar. Även om Kustbevakningens olika uppgifter skiljer sig åt inne-hållsmässigt är de i den operativa verksamheten integrerade och utförs ofta av samma tjänstemän. Kustbevakningens verksamheter är vidare inte organisatoriskt indelade i självständiga verksamhetsgrenar, på det sätt som är vanligt hos andra myndigheter med olika uppgifter. Det skulle därför, menar regeringen, försvåra tillämpningen om regleringen av Kustbevakningens personuppgiftsbehandling i myndighetens operativa verksamhet delades upp på flera lagar. Mot den bakgrunden anser rege-ringen, i likhet med vad som sagts i promemorian, att övervägande skäl talar för att den nya regleringen av Kustbevakningens personuppgiftsbe-handling bör omfatta hela Kustbevakningens operativa verksamhet.
När det gäller myndighetens interna administrativa förvaltning, t.ex.
lokal- och personalfrågor, kan redan här emellertid nämnas att regeringen anser att personuppgiftslagens regler är fullt tillräckliga för att hantera behandlingen av personuppgifter. Regeringen kommer vidare att be-handla frågan om lagens tillämpningsområde i avsnitt 9.1.
Prop. 2011/12:45
64 Lagstiftningens systematik och struktur
Kustbevakningen har, som tidigare framgått, ett stort antal uppgifter.
Dessa omfattar bl.a. räddningstjänst och fiskerikontroll. Dessutom bedri-ver myndigheten brottsbekämpande bedri-verksamhet. Detta får av nödvändig-het konsekvenser för lagens systematik. Förutom i fråga om vissa be-stämmelser som bör vara allmänt tillämpliga anser regeringen att lagen därför bör delas upp i regler som avser den brottsbekämpande verksam-heten och den övriga operativa verksamverksam-heten. Kustbevakningens brotts-bekämpande verksamhet är inte identisk med polisens men reglerna, efter anpassning till Kustbevakningens behov, bör följa den nya polisdatala-gen. Ett rättssäkert och effektivt arbete förutsätter att reglerna för be-handling av personuppgifter inte skiljer sig alltför mycket åt mellan brottsbekämpande myndigheter. Inom den brottsbekämpande verksam-heten, där särskilt känsliga uppgifter kan komma att behandlas, krävs med hänsyn till skyddet för den personliga integriteten i större utsträck-ning regler som på ett eller annat sätt ytterligare begränsar möjligheten att behandla personuppgifter, än vad som är fallet för den del av Kustbe-vakningens verksamhet som innefattar övervakning av den allmänna ordningen och säkerheten till sjöss, kontroll, tillsyn och räddningstjänst.
Det gäller särskilt förutsättningarna för att göra uppgifter gemensamt tillgängliga. Med gemensamt tillgängliga menas att fler än ett fåtal per-soner har rätt att få ta del av uppgifterna i fråga. Frågan om gemensamt tillgängliga uppgifter kommer att behandlas i avsnitt 9.2.
Kustbevakningen har även ett särskilt uppdrag att samordna civila be-hov av sjöövervakning och förmedla civil sjöinformation till berörda myndigheter, en verksamhet som kräver särskild reglering i vissa avse-enden. I Kustbevakningens verksamhet som inte rör brottsbekämpning är risken för integritetsintrång inte lika påtaglig som i den brottsbekäm-pande verksamheten. Regeringen anser därför inte att det finns ett lika stort behov av skyddsregler i lagen för den personliga integriteten i den övriga operativa verksamheten. För det fall misstanke om brott eller brottslig verksamhet uppstår vid behandling i denna del av Kustbevak-ningens verksamhet bör dock de regler som gäller för den brottsbekäm-pande verksamheten tillämpas. På så sätt upprätthålls skyddet för den personliga integriteten.
Lagrådet har haft synpunkter på lagens rubriker och föreslagit ändring-ar för att göra förhållandet mellan kapitlen tydligändring-are. Regeringen in-stämmer i att rubrikerna kan göras tydligare, men anser att detta främst bör ske genom att de kortas ned.
8.2 Lagens syfte och skyddet för den personliga integriteten
Regeringens förslag: Syftet med lagen ska vara att ge Kustbevak-ningen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin operativa verksamhet och att skydda människor mot att deras personliga integritet kränks vid behandlingen.
Prop. 2011/12:45
65 Promemorians förslag överensstämmer med regeringens.
Remissinstanserna har tillstyrkt eller har inget att invända mot försla-get.
Skälen för regeringens förslag: För att Kustbevakningen ska kunna fullgöra sina uppgifter på ett effektivt sätt måste myndigheten ha lagliga förutsättningar att utnyttja en ändamålsenlig informationsteknik som gör det möjligt att samla in och i övrigt behandla stora informationsmängder.
Det kan gälla personuppgifter som behandlas i Kustbevakningens brotts-bekämpande verksamhet eller personuppgifter som behöver behandlas i annan Kustbevakningens operativa verksamhet. Exempelvis kan det handla om uppgifter om en misstänkt eller en målsägande, eller andra personer vilka kan ha blivit föremål för Kustbevakningens verksamhet i form av räddningstjänst, kontroll och tillsyn m.m. Kustbevakningen måste därför i olika sorters verksamhet ha möjlighet att registrera och lagra personuppgifter av vitt skilda slag. Uppgifterna måste vid behov kunna tillhandahållas ett större antal personer vid myndigheten på auto-matiserad väg. Dessutom måste i vissa fall andra myndigheter kunna få tillgång till uppgifter. Uppgifter måste också – inom ramen för det inter-nationella samarbetet – kunna utbytas med myndigheter i andra länder.
En effektiv verksamhet förutsätter alltså att Kustbevakningen har möj-lighet att använda sig av en väl fungerande informationsteknik. Detta kan dock innebära en risk för intrång i den personliga integriteten. Sådana intrång måste stå i rimlig proportion till det intresse som ska tillgodoses med behandlingen.
De grundläggande bestämmelserna till skydd för den personliga in-tegriteten finns i regeringsformen (se närmare avsnitt 4.1). Av förarbe-tena till 2 kap. 6 § regeringsformen framgår att utgångspunkten för grundlagsregleringen har varit att kränkningen av den personliga integri-teten kan sägas utgöra ett intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där intrång bör kunna avvisas (prop. 2009/10:80 s.
175). Regeringen ansåg dock att det inte var nödvändigt att formulera en allmängiltig definition av begreppet för att kunna bedöma vilka intressen det fanns att skydda från omotiverade intrång.
Det torde stå klart att vissa faktorer är särskilt viktiga att ta hänsyn till när det gäller att bedöma intrånget i den personliga integriteten vid auto-matiserad behandling av personuppgifter. Det gäller arten av de person-uppgifter som samlas in och registreras, för vilka ändamål detta görs, hur och av vem uppgifterna används, hur sökning får ske, hur länge uppgif-terna sparas samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar. Stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg och som används vid myndighetsverksamhet medför typiskt sett en risk för att enskilda perso-ner utsätts för intrång i den personliga integriteten.
Rätten till skydd mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen är inte absolut. Som framgår av avsnitt 4.1 får denna rättighet begränsas i lag enligt de förut-sättningar som framgår av 2 kap. 21 och 22 §§ regeringsformen. En be-gränsning av rätten till skydd mot sådana integritetsintrång får ske endast för att tillgodose ett ändamål som är godtagbart i ett demokratiskt sam-hälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det
Prop. 2011/12:45
66 ändamål som har föranlett den. Av Europadomstolens praxis följer för
övrigt att en liknande proportionalitetsprincip också gäller enligt artikel 8 i Europakonventionen, som reglerar rätten till skydd för privat- och fa-miljeliv.
Den närmare utformningen av de nya bestämmelserna måste alltså fö-regås av en avvägning mellan å ena sidan intresset av en effektiv verk-samhet och å andra sidan intresset av skyddet för den personliga integri-teten. Vid den avvägningen finns det anledning att hålla i minnet att de uppgifter som kan bli aktuella för Kustbevakningens verksamhet, fram-förallt i den brottsbekämpande delen, kan vara särskilt integritetskäns-liga, dels därför att de kan peka ut personer såsom misstänkta för brott, dels därför att de inte sällan rör enskildas personliga sfär. För den en-skilde kan enbart det förhållandet att omfattande uppgifter om hans eller hennes privata förhållanden kan komma att sammanställas och göras tillgängliga uppfattas som ett allvarligt integritetsintrång. Nedan redovi-sas några allmänna utgångspunkter för avvägningen mellan Kustbevak-ningens behov av att behandla personuppgifter och skyddet för den per-sonliga integriteten. Dessa överväganden, liksom de synpunkter som bl.a.
Datainspektionen har framfört vad gäller denna proportionalitetsbedöm-ning¸ kommer att behandlas ytterligare i de följande avsnitten.
Inledningsvis vill regeringen framhålla att det är viktigt att den nya la-gen tydligt anger för vilka ändamål behandling av personuppgifter ska få ske. Särskilda bestämmelser som begränsar möjligheterna att behandla s.k. känsliga personuppgifter, dvs. uppgifter som avslöjar exempelvis etniskt ursprung eller politiska åsikter (13 § personuppgiftslagen [1998:204]), bör även fortsättningsvis finnas för att upprätthålla skyddet för den personliga integriteten. I lagen bör det vidare, då det gäller den brottsbekämpande verksamheten, införas mer inskränkande bestämmel-ser för behandling av personuppgifter som görs tillgängliga för en större krets av tjänstemän än när uppgifterna är åtkomliga för enbart ett fåtal personer. För att Kustbevakningen ska kunna bedriva ett effektivt brotts-förebyggande arbete förutsätts att Kustbevakningen kan behandla uppgif-ter om personer som inte är misstänkta för något konkret brott men som ändå misstänks ägna sig åt brottslig verksamhet, s.k. underrättelseverk-samhet. Ur ett integritetsskyddsperspektiv bör större restriktivitet gälla för behandling av uppgifter som inte har samband med ett konkret brott.
Ur integritetsskyddssynpunkt är det vidare viktigt att det inte uppstår oklarheter om huruvida en person som en uppgift rör är misstänkt för brott eller inte. I den nya lagen bör det därför regleras att det av uppgif-terna ska framgå huruvida behandlingen sker för att personen är miss-tänkt eller inte. Även tillförlitligheten av behandlade uppgifter bör kunna utläsas, exempelvis om informationen består av kontrollerade fakta eller bara obekräftade påståenden. Regler om sökning, sammanställning och gallring bör också utformas så att skyddet för den personliga integriteten upprätthålls.
Större enhetlighet i regelverket för brottsbekämpande myndigheter le-der vidare till ökad förutsebarhet vilket är av vikt ur ett integritets-skyddsperspektiv.
I 1 § personuppgiftslagen finns en bestämmelse som anger den lagens syfte. Syftet anges vara att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Enligt
regering-Prop. 2011/12:45
67 ens mening finns det skäl för att även låta den nya lagen om
Kustbevak-ningens personuppgiftsbehandling innehålla en bestämmelse i vilken förtydligas att lagens syfte är att skydda den personliga integriteten. Som nämnts i det föregående finns det emellertid även andra intressen som ska vägas mot detta skydd. Även dessa är enligt regeringens mening väsentliga för den nya lagen. Mot denna bakgrund föreslår regeringen, vilket även föreslagits i promemorian, att det i den nya lagen införs en inledande bestämmelse som uttrycker att lagens övergripande syfte är att ge Kustbevakningen möjlighet att behandla personuppgifter på ett ända-målsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
I de följande avsnitten kommer det att redovisas närmare hur behovet av att kunna behandla vissa uppgifter lämpligen bör vägas mot intresset av skyddet för den personliga integriteten.