Europeiska unionens dataskyddsreform - Ny lag om Säkerhetspolisens behandling av personuppgifte

6.1 Två nya rättsliga instrument

Den allmänna regleringen av behandling av personuppgifter inom EU har sedan länge funnits i 1995 års dataskyddsdirektiv, vilket genomfördes genom personuppgiftslagen (1998:204). Efter flera års förhandlingar enades Europaparlamentet och rådet den 27 april 2016 om en ny reglering av skyddet för enskilda vid behandling av personuppgifter. Den består av två rättsliga instrument. Det ena är dataskyddsförordningen och det andra är dataskyddsdirektivet. Viss behandling av personuppgifter undantas från både dataskyddsförordningens och dataskyddsdirektivets tillämpnings- områden. Det gäller personuppgiftsbehandling i verksamhet som inte omfattas av unionsrätten, däribland området nationell säkerhet.

6.2 Dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen utgör sedan den 25 maj 2018 den generella regleringen av personuppgiftsbehandling inom EU. Förordningen ersätter 1995 års dataskyddsdirektiv och baseras till stor del på den struktur och reglering som finns i det direktivet. I förordningen regleras bl.a. grund- läggande principer för behandling av personuppgifter, den registrerades rättigheter, personuppgiftsansvar, tillsyn över personuppgiftsbehandling och rätten för enskilda att få tillgång till rättsmedel. Genom dataskydds- förordningen införs ett nytt system med administrativa sanktionsavgifter som ska tas ut vid överträdelser av förordningen.

Från dataskyddsförordningens tillämpningsområde undantas bl.a. personuppgiftsbehandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspo- litiken. Vidare gäller förordningen inte för sådan behandling av personuppgifter som utförs av behöriga myndigheter för ändamålen att före- bygga, utreda, upptäcka eller lagföra brott eller verkställa straff. Sådan personuppgiftsbehandling omfattas i stället av dataskyddsdirektivets till- lämpningsområde.

När dataskyddsförordningen började tillämpas upphörde personuppgiftslagen (1998:204) att gälla. Samtidigt trädde lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (i det föl- jande dataskyddslagen) i kraft. Enligt 1 kap. 2 § ska bestämmelserna i dataskyddsförordningen och dataskyddslagen gälla även utanför sitt egentliga tillämpningsområde, t.ex. i verksamhet som rör nationell säker- het. Det gäller dock enligt 1 kap. 3 § 3 inte Säkerhetspolisens brottsbe- kämpande verksamhet. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i registerförfattningar. Dataskyddslagen gäller på samma sätt som data- skyddsförordningen inte när dataskyddsdirektivet är tillämpligt.

6.3 Genomförandet av dataskyddsdirektivet

Prop. 2018/19:163

Brottsdatalagen

Dataskyddsdirektivet ska dels skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt. Direktivet ersätter rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete. Direktivet har i huvudsak genomförts genom en ny ramlag, brottsdatalagen (2018:1177), som trädde i kraft den 1 augusti 2018.

Brottsdatalagen drar upp gränsen mellan å ena sidan den särskilda regleringen av behandling av personuppgifter vid brottsbekämpning, lag- föring, straffverkställighet och upprätthållande av allmän ordning och säkerhet och å andra sidan dataskyddsförordningens tillämpningsområde. Lagen ska tillämpas av dem som är behöriga myndigheter enligt lagen, om syftet med personuppgiftsbehandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Det är alltså syftet med behandlingen av personuppgifter i det enskilda fallet som blir avgörande för när lagen ska tillämpas, inte i vilken verksamhet behandlingen utförs.

Lagen gäller enbart för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling som ingår i eller är avsedd att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier.

I brottsdatalagen regleras frågor som är gemensamma för alla behöriga myndigheter. Där finns de grundläggande bestämmelserna om hur personuppgifter får behandlas. Där regleras även personuppgiftsansvarigas skyldigheter, enskildas rättigheter och tillsynen över personuppgiftsbehandling. Brottsdatalagen innehåller vidare bestämmelser om administrativa sanktionsavgifter, skadestånd och rättsmedel. Brottsdatalagen fyller inom sitt tillämpningsområde i stort sett samma funktion som personuppgiftslagen tidigare gjort. Det finns, precis som tidigare, särskilda registerförfattningar för flertalet av de myndigheter som tillämpar brottsdatalagen. Där finns de bestämmelser som är specifika för respektive myndighet.

Ändringar i myndigheternas registerförfattningar

Tillämpningsområdet för registerförfattningarna

Registerförfattningarna för myndigheterna i rättskedjan utgick tidigare från personuppgiftslagen, antingen genom att registerförfattningen gällde i stället för personuppgiftslagen, men hänvisade till bestämmelser i den eller genom att registerförfattningen gällde utöver personuppgiftslagen. Regeringen föreslog i propositionen Brottsdatalag – kompletterande lag- stiftning (prop. 2017/18:269) de ändringar i registerförfattningarna som föranleds av införandet av brottsdatalagen. Lagändringarna trädde i kraft

Prop. 2018/19:163 den 1 januari 2019. Registerförfattningarna bytte då också namn. Registerförfattningarna gäller utöver brottsdatalagen och innehåller bestämmelser som innebär preciseringar, undantag eller avvikelser från bestämmelserna i den lagen.

Som nyss nämnts är det syftet med personuppgiftsbehandlingen som avgör om brottsdatalagen är tillämplig. Detsamma gäller registerförfattningarnas tillämpningsområde. Tidigare reglerade registerförfattningarna personuppgiftsbehandling såväl i myndigheternas kärnverksamhet som för att lämna uppgifter till andra – oavsett för vilket ändamål det gjordes. I dag reglerar registerförfattningarna enbart den personuppgiftsbehandling som ligger inom brottsdatalagens tillämpningsområde. Det är en direkt effekt av att olika regelverk gäller för personuppgiftsbehandling inom brottsdatalagens respektive dataskyddsförordningens tillämpningsområden.

Övergångsreglering styr Säkerhetspolisens personuppgiftsbehandling

Den 1 januari 2019 upphävdes polisdatalagen samtidigt som lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, hädanefter polisens brottsdatalag, trädde i kraft. I förarbetena till polisens brottsdatalag ansåg regeringen att Säkerhetspolisens behandling av personuppgifter på området för nationell säkerhet inte skulle regleras i den lagen utan regleras på annat sätt (prop. 2017/18:269 s. 285). I avvaktan på ett sådant regelverk, gäller polisdatalagen i dess äldre lydelse för Säkerhetspolisens behandling av personuppgifter i frågor som rör nationell säkerhet. I de delar polisdatalagen hänvisar till personuppgiftslagen fortsätter även den lagen att gälla för Säkerhetspolisen. Även vissa äldre bestämmelser i offentlighets- och sekretesslagen (2009:400), säkerhetsskyddslagen (2018:585) och lagen (2017:496) om internationellt polisiärt samarbete fortsätter övergångsvis att gälla för Säkerhetspolisen (prop. 2017/18:269 s. 285).

In document Ny lag om Säkerhetspolisens behandling av personuppgifter (Page 44-46)