Personuppgifter från transportföretag

Regeringens förslag: Bestämmelserna om behandling av personupp-

gifter som tillhandahålls av transportföretag enligt polislagen ska tas in i den nya lagen. Sådana personuppgifter ska endast i enskilda fall få behandlas för nya ändamål.

Utredningens förslag överensstämmer i huvudsak med regeringens

förslag. Utredningen föreslår dock att personuppgifter från transportföre- tag endast ska få behandlas för vissa syften.

Prop. 2018/19:163 Remissinstanserna: Endast Säkerhetspolisen yttrar sig i denna del och

avstyrker bestämmelsen om att uppgifter från transportföretag endast får behandlas för vissa syften eftersom det innebär en begränsning i förhål- lande till vad som gäller i dag.

Skäl för regeringens förslag

Nuvarande reglering

Enligt 25 § polislagen (1984:387) är transportföretag skyldiga att på be- gäran skyndsamt lämna vissa personuppgifter till Polismyndigheten och Säkerhetspolisen. Det rör sig bl.a. om uppgifter om resenärers namn, medresenärers namn och transportmedel.

Personuppgifterna får tillhandahållas genom terminalåtkomst till tran- sportföretagens bokningssystem där polisen får läsa uppgifterna. Terminalåtkomst tillåts enligt 26 § polislagen bara i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Uppgifterna får även lämnas på annat sätt om transportföretaget anser att det är bättre. Uppgifterna lämnas ofta elektroniskt, men det förekommer även att de tillhandahålls på papper.

Personuppgiftsbehandlingen bör regleras i den nya lagen

I polislagen reglerades tidigare inte bara transportföretagens uppgifts- skyldighet utan även på vilket sätt och hur länge polisen fick behandla personuppgifterna. Regeringen föreslog i propositionen Brottsdatalag – kompletterande lagstiftning att bestämmelserna om hur personuppgifter från transportföretag får behandlas skulle föras över till polisens brottsdatalag. Bakgrunden till det var att det inte fanns någon reglering av behandling av personuppgifter från transportföretag i polisdatalagen. Inom brottsdatalagens tillämpningsområde är dock utgångspunkten att myndigheternas personuppgiftsbehandling i så stor utsträckning som möjligt ska regleras i respektive myndighets registerförfattning. En annan ordning, med enstaka bestämmelser om personuppgiftsbehandling i andra lagar, skulle innebära att regleringen blir mer svåröverskådlig för enskilda (prop. 2017/18:232 s. 158). Dessa skäl har även giltighet för Säkerhetspolisen. Regleringen av hur Säkerhetspolisen får behandla personuppgifter som transportföretag på begäran tillhandahåller myndigheten enligt polislagen bör därför tas in i den nya lagen. Transportföretagens skyldigheter bör dock, på samma sätt som för Polismyndighetens del, fortfarande regleras i polislagen.

Hur får uppgifterna behandlas?

Utredningen föreslår att Säkerhetspolisen på samma sätt som Polis- myndigheten ska få behandla personuppgifter från transportföretag endast för vissa syften. Säkerhetspolisen har invänt att det innebär en begränsning i förhållande till vad som gäller i dag och att behovet av uppgifter från transportföretag kan förekomma i hela myndighetens verksamhet. Enligt 25 § andra stycket polislagen är Polismyndighetens möjligheter att begära uppgifter från transportföretag begränsade till uppgifter som kan antas ha betydelse för den brottsbekämpande verksamheten. Av förarbetena till den

ändring av bestämmelsen som gjordes i samband med polis- Prop. 2018/19:163 omorganisationen framgår att Säkerhetspolisen inte behöver anges i

bestämmelsen eftersom myndigheten enbart bedriver brottsbekämpande verksamhet (En ny organisation för polisen, del 1, prop. 2013/14:110, s. 581). Som framgår av avsnitt 7.3 anses all Säkerhetspolisens verksamhet vara brottsbekämpande och lagförande. Det är inte någon förändring i sak jämfört med tidigare ställningstaganden utan hänger samman med att uttrycket brottsbekämpande verksamhet har fått en snävare innebörd genom brottsdatalagens införande. Den begränsning som utredningen föreslår finns alltså inte i dagens reglering. Mot den bakgrunden och eftersom behovet av uppgifter från transportföretag kan förekomma i Säkerhetspolisens hela verksamhet anser regeringen att myndighetens möjligheter att begära uppgifter från transportföretag inte bör begränsas till om uppgifterna behövs för vissa syften.

Transportföretagen får, som framgår av 26 § polislagen, tillhandahålla Polismyndigheten och Säkerhetspolisen passageraruppgifter genom att göra dem läsbara via terminalåtkomst. Tidigare föreskrevs också att uppgifter som hålls tillgängliga på det sättet inte fick ändras eller på annat sätt bearbetas eller lagras av myndigheterna. Bestämmelsen kunde uppfattas på det sättet att myndigheterna inte fick hantera personuppgifterna på annat sätt än att läsa dem på en terminal. Det kunde dock inte ha varit avsikten att regleringen skulle tolkas så snävt, eftersom tillgången till sådana uppgifter skulle vara meningslös om uppgifter av betydelse för brottsbekämpningen inte skulle få tillföras den brottsbekämpande verksamheten. I förarbetena till polisens brottsdatalag ansåg regeringen därför att det borde förtydligas att bestämmelsen endast hindrar ändring eller bearbetning av uppgifterna i transportbolagens it- system (prop. 2017/18:269 s. 158 f.). Ett motsvarande förtydligande bör tas in i den nya lagen.

Uppgifterna från transportföretagen är till allra största delen information om personer som inte är intressanta ur ett brottsbekämpningsperspektiv. Utgångspunkten är därför att uppgifterna ska ges så liten spridning som möjligt. Säkerhetspolisen bör liksom Tullverket och Polismyndigheten få göra uppgifter från transportföretag gemensamt tillgängliga vid behov (jfr prop. 2017/18:269 s. 161). Det kan vara uppgifter om någon eller några personer eller transporter som är av betydelse i underrättelseverksamheten eller i en brottsutredning som görs gemensamt tillgängliga. Säkerhetspolisen får göra personuppgifter gemensamt tillgängliga om det behövs för några av de uppgifter för vilka Säkerhetspolisen får behandla personuppgifter (avsnitt 8.3.1). Någon särskild reglering behövs därför inte.

Tidigare angavs i 26 § tredje stycket polislagen att uppgifter om enskilda personer som ett transportföretag lämnat på annat sätt än genom terminalåtkomst omedelbart skulle förstöras om de visade sig sakna betydelse för utredning av eller lagföring för brott. Bestämmelsen upphävdes i samband med införandet av polisens brottsdatalag, eftersom uppgifterna får tillräckligt skydd genom bestämmelsen i 2 kap. 17 § första stycket brottsdatalagen om att personuppgifter inte får behandlas under längre tid än som är nödvändigt med hänsyn till ändamålet med behandlingen (prop. 2017/18:269 s. 161 f.). En motsvarande bestämmelse

Prop. 2018/19:163 om hur länge personuppgifter från transportföretag får behandlas behövs därför inte.

Behandling för nya ändamål

I dag finns det ingen bestämmelse om vidarebehandling av personupp- gifter som transportföretag tillhandahåller. Regeringen konstaterar i för- arbetena till polisens brottsdatalag att riksdagen nyligen har ställt sig bakom att Tullverket ska få behandla personuppgifter av nu aktuellt slag för nya ändamål endast om det behövs i enskilda fall. Mot den bakgrunden ansåg regeringen att polisens rätt att behandla personuppgifter som tillhandahålls av transportföretag för nya ändamål bör begränsas på mot- svarande sätt (prop. 2017/18:269 s. 160 f.). Det bör gälla även för Säkerhetspolisen.

Det bör inte regleras vilka sökbegrepp som får användas

I dag gäller inga begränsningar i polisens möjligheter att söka i uppgifter från transportföretag. Utredningen föreslog att sådana begränsningar skulle införas för Polismyndigheten men inte för Säkerhetspolisen. I för- arbetena till polisens brottsdatalag konstaterade regeringen att den före- slagna sökbegränsningen kunde riskera att försämra Polismyndighetens möjligheter att bekämpa den organiserade gränsöverskridande brottslig- heten och någon sökbegränsning infördes därför inte (prop. 2017/18:269 s. 159 f.). Säkerhetspolisens användning av direkta personuppgifter vid sökning i uppgifter från transportföretag bör därför inte heller begränsas.

Lagen om flygpassageraruppgifter i brottsbekämpningen har företräde

Lagen (2018:1180) om flygpassageraruppgifter i brottsbekämpningen innehåller bl.a. bestämmelser om personuppgiftsbehandling i enlighet med kraven i det s.k. PNR-direktivet. Där regleras skyldigheten för flygbolag att överföra passageraruppgiftssamlingar till särskilda enheter för passagerarinformation i medlemsstaterna, för vilka ändamål personupp- gifterna får behandlas, hur länge de får lagras och under vilka förutsätt- ningar de får lämnas ut. Lagen om flygpassageraruppgifter i brottsbe- kämpningen kommer att ha företräde framför bestämmelserna i den nya lagen (avsnitt 7.6).