Grundläggande krav på behandlingen

9.1.1

Krav på författningsenlig och korrekt behandling

Regeringens förslag: Personuppgifter ska behandlas författningsenligt

och på ett korrekt sätt.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del.

Skälen för utredningens förslag: I 9 § personuppgiftslagen regleras de

grundläggande principerna för personuppgiftsbehandling. I brottsdata- lagen (2018:1177) har de grundläggande principerna i stället delats upp och behandlas tillsammans med regleringen av de frågor som respektive princip tar sikte på (Brottsdatalag, prop. 2017/18:232, s. 141 f.). Samma lösning bör väljas i den nya lagen.

Enligt 9 § första stycket a och b personuppgiftslagen (1998:204) får personuppgifter behandlas bara om det är lagligt. Personuppgifterna ska vidare behandlas på ett korrekt sätt och i enlighet med god sed. Bestäm- melserna gäller genom hänvisningar i 2 kap. 2 § första stycket 3 och 6 kap. 4 § 1 polisdatalagen (2010:361) för Säkerhetspolisen. Att en myndighet ska agera i enlighet med lag framstår som en självklarhet och är djupt för- ankrat i den svenska förvaltningstraditionen. Det gäller också att handlägg- ningen ska ske på ett korrekt sätt. Det bör emellertid tydliggöras i den nya lagen att personuppgifter alltid ska behandlas lagligt och på ett korrekt sätt. I 2 kap. 6 § brottsdatalagen föreskrivs att personuppgifter ska behandlas författningsenligt och på ett korrekt sätt. Skälet till att ordet författ- ningsenlig används i stället för laglig är enligt förarbetena att ordet laglig lätt kan leda till motsatsslut och att det i andra bestämmelser i lagen regleras att behandlingen ska stå i överensstämmelse inte bara med lag utan även med föreskrifter på lägre nivåer (prop. 2017/18:232 s. 142 f.). Samma överväganden gör sig gällande i förhållande till Säkerhetspolisen och en motsvarande bestämmelse bör tas in även i den nya lagen.

Att personuppgifter ska behandlas författningsenligt innebär att det ska finnas en rättslig grund för behandlingen (avsnitt 8.3.1). Att personuppgif- terna ska behandlas korrekt innefattar att behandlingen inte bara formellt ska vara i enlighet med regleringen utan också spegla intentionerna med lagstiftningen.

9.1.2

Personuppgifter ska vara korrekta, adekvata och

relevanta

Regeringens förslag: De personuppgifter som behandlas ska vara

korrekta och, om det är nödvändigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

De personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får

inte behandlas än vad som är nödvändigt med hänsyn till ändamålen Prop. 2018/19:163 med behandlingen.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Endast Datainspektionen yttrar sig i denna del.

Inspektionen ifrågasätter inte att det kan finnas ett mycket kortvarigt behov för Säkerhetspolisen att vid informationsinhämtning behandla uppgifter om andra än den misstänkte för att inte avslöja vem misstanken riktas mot och anser att de uppgifter som behandlas då kan anses både adekvata och relevanta under insamlingsfasen. Det måste dock ställas högre krav på insamlingen av uppgifter om andra än den misstänkte och de bör skyddas av särskilda skyddsåtgärder, t.ex. genom krav på särskilda beslutsfattare och att det garanteras att informationen raderas omgående efter att Säkerhetspolisen samlat in den.

Skälen för regeringens förslag

Personuppgifter ska vara korrekta och uppdaterade

Enligt 9 § första stycket g personuppgiftslagen ska personuppgifter som behandlas vara riktiga och, om nödvändigt, aktuella. Bestämmelsen gäller för Säkerhetspolisen genom hänvisningar i 2 kap. 2 § första stycket 3 och 6 kap. 4 § 1 polisdatalagen. I 2 kap. 7 § första stycket brottsdatalagen finns en bestämmelse med motsvarande innehåll, men den har formulerats något annorlunda. Personuppgifter som behandlas ska enligt bestämmelsen vara korrekta och, om det är nödvändigt, uppdaterade. En motsvarande bestämmelse bör tas in i den nya lagen.

En uppgift är korrekt om den stämmer överens med de verkliga för- hållandena. För att bestämma vilka de verkliga förhållandena är som per- sonuppgifterna ska spegla får man söka ledning i ändamålen med be- handlingen. I vissa fall är avsikten med behandlingen bara att registrera uppgifter som kommit in, t.ex. i en brottsanmälan. De behandlade per- sonuppgifterna får då betraktas som korrekta om de stämmer överens med de inkomna uppgifterna, oavsett hur de förhåller sig till de verkliga förhållandena (jfr Sören Öman och Hans-Olof Lindblom, Personupp- giftslagen, En kommentar, 4:e uppl. 2011, i fortsättningen Öman m.fl., s. 206).

Bedömningen av om en personuppgift är korrekt ska inte bara utgå från ändamålen för behandlingen. Att uppgifter som förekommer i bl.a. brottsbekämpande verksamhet och vid annan behandling av uppgifter om lagöverträdelser har en särskild karaktär måste också beaktas. Frågan om en uppgift är korrekt måste därför även ses mot bakgrund av vad uppgiften rör, när den lämnas och vem som lämnar den. Om t.ex. en person anmäler en annan för brott är uppgifterna i anmälan korrekta om de återspeglar vad anmälaren har uppgett. Det förhållandet att det senare hålls ett förhör vid vilket vissa uppgifter tas tillbaka eller ändras innebär inte att de först nedtecknade uppgifterna i anmälan är felaktiga. Om det sedan vid en rättegång visar sig att personen i fråga lämnar nya uppgifter eller ändrar tidigare påståenden återspeglar ändå en uppteckning av tidigare förhör vad som sades vid det tillfället och är därigenom korrekt. Bedömningen blir densamma i underrättelseverksamheten, där en uppgift måste anses

Prop. 2018/19:163 korrekt om den återger vad som inkommit i underrättelseflödet även om det senare visar sig att uppgiften inte stämmer överens med verkligheten.

De behandlade uppgifterna behöver bara vara uppdaterade om det är nödvändigt. Frågan om det är nödvändigt att uppgifterna är uppdaterade får avgöras med hänsyn till ändamålen med behandlingen (jfr Öman m.fl. s. 206). Exempelvis kan adressuppgifter ändras under handläggningen av ett ärende och därmed behöva uppdateras. När ärendet har avslutats är det dock inte nödvändigt att uppdatera en adressuppgift.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt

I 2 kap. 10 § tredje stycket polisdatalagen, som gäller för Säkerhetspolisen genom en hänvisning i 6 kap. 4 § 4, föreskrivs att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt och med respekt för människovärdet. En motsvarande bestämmelse bör tas in i den nya lagen. Bestämmelsen finns i dag i den paragraf som reglerar användningen av känsliga personuppgifter. Regleringen har lett till viss osäkerhet om signalementsuppgifter är känsliga personuppgifter. I 2 kap. 7 § andra stycket brottsdatalagen har bestämmelsen därför placerats tillsammans med reglerna om personuppgifters kvalitet för att tydliggöra att uppgifter om utseende inte i sig ska betraktas som känsliga personuppgifter. Den lösningen bör väljas även i den nya lagen. Ett signalement kan dock inne- hålla uppgifter ur vilka man kan utläsa uppgifter om t.ex. hälsa eller etniskt ursprung. Sådana uppgifter ska hanteras enligt reglerna om känsliga personuppgifter (avsnitt 9.1.2).

Personuppgifter ska vara adekvata och relevanta

Enligt 9 § första stycket e och f personuppgiftslagen ska de personupp- gifter som behandlas vara adekvata och relevanta i förhållande till ända- målen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen. Bestämmelsen gäller för Säkerhetspolisen genom hänvisningar i 2 kap. 2 § första stycket 3 och 6 kap. 4 § 1 polisdatalagen. Motsvarande reglering finns i 2 kap. 8 § brottsdatalagen. En likadan bestämmelse bör tas in i den nya lagen.

Vilka uppgifter som är adekvata och relevanta ska bedömas i förhållande till ändamålen med behandlingen. Detsamma gäller hur många personuppgifter det finns behov av att behandla. Det kan emellertid vara svårare att bedöma om uppgifterna är adekvata och relevanta i Säkerhets- polisens verksamhet än i annan polisverksamhet, eftersom det som regel inte är lika tydligt vari den brottsliga verksamheten eller säkerhetshotet består.

Att det krävs att uppgifterna ska vara adekvata och relevanta får be- tydelse för hur s.k. överskottsinformation ska hanteras, dvs. uppgifter som samlas in och som visar sig inte vara adekvata eller relevanta för det bestämda ändamålet. Om uppgifterna inte behövs för något annat tillåtet ändamål får de inte lagras för framtida behov. Det finns särskilda regler om i vilken utsträckning överskottsinformation överhuvudtaget får be- handlas i vissa sammanhang (t.ex. 27 kap. 23 a § rättegångsbalken).

Med hänsyn till Säkerhetspolisens känsliga verksamhet kan det, bl.a. vid bedömningen av hur många personuppgifter som behöver behandlas i

förhållande till ändamålet, vara nödvändigt att utöver behoven i det kon- Prop. 2018/19:163 kreta ärendet ta hänsyn till andra aspekter, framför allt hur säkra de system

som Säkerhetspolisen har direktåtkomst till är. Säkerhetspolisen kan t.ex. i vissa situationer behöva begära uppgifter om fler personer än den som är misstänkt för att inte avslöja vem eller vilka personer som myndigheten intresserar sig för i sitt underrättelsearbete eller i en brottsutredning. Regeringen delar utredningens bedömning att kravet på att uppgifterna ska vara adekvata och relevanta och inte för många i förhållande till ändamålet med behandlingen ändå bör anses vara uppfyllt vid själva sökningen. Behovet av att behandla sådana uppgifter är mycket kortvarigt och ska givetvis upphöra så snart syftet med sökningen är uppnått. Regeringen anser därför, till skillnad från Datainspektionen, att det inte finns skäl att förena den här typen av sökningar med några särskilda krav på skyddsåtgärder.

Särskilt om material från användning av hemliga tvångsmedel

Säkerhetspolisen behandlar i stor utsträckning material som inhämtats genom hemliga tvångsmedel. Det beror dels på att Säkerhetspolisen biträder andra brottsbekämpande myndigheter med tekniska åtgärder, dels på att sådana tvångsmedel förekommer i Säkerhetspolisens egen verksamhet. För behandling av uppgifter som inhämtas genom hemliga tvångsmedel gäller dels reglerna i rättegångsbalken eller motsvarande lagstiftning, dels myndighetens registerlagstiftning (Integritet och effektivitet i polisen brottsbekämpande verksamhet, prop. 2009/10:85, s. 78). Material av nu aktuellt slag kan både behöva bearbetas tekniskt eller på annat sätt, och i vissa fall även tolkas eller översättas, innan det kan granskas på det sätt som förutsätts i rättegångsbalken och annan motsvarande lagstiftning. Det ligger i sakens natur att kravet på granskning av det materiella innehållet inte kan uppfyllas innan det har gjorts tillgängligt på sådant sätt att en åklagare eller den utredningspersonal som biträder honom eller henne kan ta del av det. Det innebär att personuppgifter måste kunna behandlas för att den granskningen ska kunna komma till stånd. Kravet på att sådant material som härrör från hemliga tvångsmedel och som är ovidkommande ska tas bort så snabbt som möjligt måste därför ses i ljuset av möjligheterna att på ett tidigt stadium kunna bedöma värdet av informationen.