Konsekvensbedömning och

tillsynsmyndigheten

Regeringens förslag: Om en ny typ av behandling, eller betydande

förändringar av redan pågående behandling, kan antas medföra särskild risk för intrång i den registrerades personliga integritet, ska Säkerhetspolisen innan behandlingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter.

Om konsekvensbedömningen visar att det finns särskild risk för in- trång i registrerades personliga integritet eller om typen av behandling innebär särskild risk för intrång, ska Säkerhetspolisen samråda med tillsynsmyndigheten i god tid innan behandlingen påbörjas eller bety- dande förändringar genomförs (förhandssamråd).

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna: Datainspektionen anser, med hänvisning till utta-

landen på dataskyddsförordningens område från den s.k. artikel 29-grup- pen, att den personuppgiftsansvarige inte bör vara skyldig att samråda med tillsynsmyndigheten om åtgärder har vidtagits för att minska risken för intrång i den registrerades personliga integritet i tillräcklig omfattning. Övriga remissinstanser yttrar sig inte särskilt i denna del.

Skälen för regeringens förslag

Regleringen i brottsdatalagen

Enligt 3 kap. 7 § första stycket brottsdatalagen är den personuppgifts- ansvarige skyldig att göra konsekvensbedömningar. En konsekvensbe- dömning ska göras om det kan antas att en ny typ av behandling kommer att medföra särskild risk för intrång i registrerades personliga integritet. Detsamma gäller om betydande förändringar av redan pågående behand- lingar förväntas leda till sådan risk. Vid riskbedömningen ska bl.a. användningen av ny teknik och behandlingens art, omfattning, samman- hang och ändamål beaktas. En konsekvensbedömning ska omfatta rele- vanta system och processer för behandlingen, men inte behandlingen i enskilda fall (se prop. 2017/18:232 s. 181 f.).

I 3 kap. 7 § andra stycket regleras förhandssamråd. När en konsekvens- bedömning visar att det finns särskild risk för intrång i registrerades per- sonliga integritet ska den personuppgiftsansvarige samråda med tillsyns- myndigheten. Samråd aktualiseras också om typen av behandling, särskilt med beaktande av ny teknik, nya rutiner eller nya förfaranden, i sig innebär särskild risk för intrång i registrerades personliga integritet och en konsekvensbedömning med anledning av det har gjorts. I sådana fall är resultatet av konsekvensbedömningen inte avgörande för om samråd med tillsynsmyndigheten ska äga rum. För att underlätta för den person- uppgiftsansvarige och för att säkerställa att förhandssamrådet träffar rätt situationer kan tillsynsmyndigheten genom föreskrifter ange vilka typer av behandlingar som ska omfattas av förhandssamråd.

Säkerhetspolisen bör göra konsekvensbedömningar och genomföra Prop. 2018/19:163

förhandssamråd

I 2 § polisdataförordningen (2010:1155) regleras när Säkerhetspolisen ska samråda med Datainspektionen. Sådant samråd ska äga rum när myn- digheten planerar nya it-system av större omfattning eller nya it-system som kan innebära särskilda risker för intrång i den personliga integriteten och när det genomförs betydande förändringar i sådana system. Samråd ska äga rum i god tid innan beslut i frågan fattas. Paragrafen föreskriver även samråd med Säkerhets- och integritetsskyddsnämnden i vissa frågor. Polismyndigheten hade tidigare motsvarande samrådsskyldighet och Kustbevakningen skulle i liknande situationer samråda med Data- inspektionen.

För Polismyndigheten och Kustbevakningen har samrådsskyldigheten ersatts av regleringen i 3 kap. 7 § brottsdatalagen. För att uppnå enhetlighet för tillsynsmyndigheten bör enligt regeringens mening samrådsskyldig- heten för Säkerhetspolisen formuleras på samma sätt som i brottsdatalagen. Regeringen återkommer till frågan om vilken tillsyns- myndighet som Säkerhetspolisen ska samråda med i avsnitt 15.

Det är viktigt att samrådet äger rum så tidigt i utvecklingsprocessen som möjligt. Då kan frågor om integritetsskydd beaktas på ett bättre sätt. Samtidigt bör förhandssamrådet inte äga rum så tidigt att det inte finns något konkret förslag på teknisk lösning för tillsynsmyndigheten att ta ställning till. Samrådet bör äga rum i god tid innan behandlingen påbörjas eller större förändringar av redan pågående behandlingar genomförs.

Datainspektionen anser att samråd inte ska behöva hållas när den per-

sonuppgiftsansvarige har vidtagit tillräckliga åtgärder för att minska risken för intrång. Som anges i förarbetena till brottsdatalagen kan det vara svårt för den personuppgiftsansvarige att på egen hand avgöra vilka åtgärder som är tillräckliga. Det är dock inte uteslutet att vidtagna åtgärder från den personuppgiftsansvariges sida kan befria från samrådsskyldigheten. Regeringen har i förarbetena till brottsdatalagen bedömt att frågan om i vilken utsträckning samråd inte borde krävas för att den per- sonuppgiftsansvarige har vidtagit åtgärder som minskat risken för intrång till en godtagbar nivå får överlämnas åt rättstillämpningen (prop. 2017/18:232 s. 188). Det finns inte skäl att nu göra någon annan bedömning.

Eftersom samrådsskyldigheten i brottsdatalagen är knuten till skyldig- heten att göra konsekvensbedömningar bör även Säkerhetspolisen ha motsvarande skyldighet att göra konsekvensbedömningar som behöriga myndigheter har enligt brottsdatalagen. Säkerhetspolisens skyldighet att samråda med tillsynsmyndigheten kommer härigenom att förändras något, men regeringen anser i likhet med utredningen att kravet på kon- sekvensbedömning fyller en viktig funktion ur ett integritetsperspektiv. Det bör regleras vilken information konsekvensbedömningen ska inne- hålla och att den ska dokumenteras, men detta kan göras i förordning.

Vid förhandssamråd bör Säkerhetspolisen lämna in konsekvens- bedömningen och eventuell annan information som tillsynsmyndigheten kan behöva för sin prövning.

Prop. 2018/19:163 Tillsynsmyndighetens befogenheter

Tillsynsmyndigheten ska inom ramen för förhandssamrådet använda sina befogenheter, om den anser att den planerade behandlingen inte kommer att vara författningsenlig. Tillsynsmyndigheten bör i dessa situationer ha möjlighet att använda sina förebyggande befogenheter gentemot Säker- hetspolisen. Tillsynsmyndigheten ska inom ramen för förhandssamrådet ge Säkerhetspolisen skriftliga råd. Tillsynsmyndigheten har också möj- lighet att utfärda varning för att behandla personuppgifterna på det plane- rade sättet (avsnitt 15.5.3). Om Säkerhetspolisen ignorerar råden och var- ningen och påbörjar behandlingen kan tillsynsmyndigheten vidta andra åtgärder, t.ex. utfärda ett föreläggande (avsnitt 15.5.4). Korrigerande åtgärder ska dock inte vidtas inom ramen för förhandssamrådet utan är i stället ett led i tillsynsmyndighetens allmänna tillsynsuppgifter enligt lagen.

Detaljbestämmelser om tillsynsmyndighetens roll vid förhandssamråd motsvarande dem som finns i brottsdataförordningen (2018:1202) kan även för Säkerhetspolisens del finnas i förordning.