Personuppgifter som har gjorts

Regeringens förslag: Personuppgifter som har gjorts gemensamt till-

gängliga ska som huvudregel inte få behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Uppgifter om en person som vid tiden för registre- ringen inte fyllt 18 år ska dock inte få behandlas längre än fem år efter utgången av det kalenderår då den senaste registreringen gjordes av- seende den unge. Det förutsätter att någon ny registrering inte har gjorts efter det att han eller hon fyllt 18 år.

Personuppgifter som behandlas i en uppgiftssamling som har skapats för att bearbeta och analysera information ska inte få behandlas längre än tre år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personen.

Utredningens förslag överensstämmer delvis med regeringens. Utred-

ningen föreslår att endast sådana omständigheter som har betydelse för personens anknytning till brottslig verksamhet bör kunna påverka längsta tid för behandling av personuppgifter i underrättelseverksamhet.

Remissinstanserna: Datainspektionen tillstyrker förslaget att införa

begränsande regler för hur länge uppgifter om personer under 18 år får behandlas. Datainspektionen tillstyrker vidare utredningens förslag att endast uppgifter om en persons anknytning till brottslig verksamhet ska påverka längsta tid för behandling av personuppgifter i underrättelse- verksamhet. Säkerhetspolisen anser däremot att bestämmelsen inte är ändamålsenlig vid personuppgiftsbehandling i myndighetens underrät- telseverksamhet. Säkerhets- och integritetsskyddsnämnden anser att det är angeläget att det tydliggörs om en ny registrering avseende en person förlänger tiden för behandling enbart avseende den personen, eller om registreringen även påverkar tiden för behandling avseende personer som har anknytning till samma brottsliga verksamhet.

Skälen för regeringens förslag

Gemensamt tillgängliga personuppgifter ska som huvudregel få behandlas lika länge som i dag

Enligt 6 kap. 12 § polisdatalagen ska gemensamt tillgängliga personupp- gifter gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Personuppgifter som behandlas i en uppgiftssamling som har skapats för att bearbeta och analysera information ska dock gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

I förarbetena till polisdatalagen gjordes bedömningen att en allmän Prop. 2018/19:163 gallringsfrist om tio år utgjorde en lämplig avvägning mellan Säkerhets-

polisens behov och den enskildes krav på att uppgifter inte bevaras alltför lång tid. I fråga om personuppgifter som förekommer i en uppgiftssamling som skapats för att bearbeta och analysera information gjordes dock bedömningen att en kortare gallringsfrist borde gälla (prop. 2009/10:85 s. 269). Den bedömning som gjordes då av hur länge personuppgifter bör få behandlas har enligt regeringens mening fortfarande fog för sig. Be- stämmelserna bör av de skäl som anges i avsnitt 12.1.1 formuleras så att de anger hur länge uppgifterna får behandlas. Regeringen återkommer till behovet av att beträffande några kategorier av personuppgifter ha en mer differentierad reglering.

Av 2 kap. 2 § andra stycket polisdatalagen följer att arkivlagstiftningen inte ska ha företräde om 6 kap. 12 § är tillämplig. Detsamma bör gälla enligt den nya lagen. Det bör därför göras undantag från den föreslagna regeln om att arkivlagstiftningen ska ha företräde för nu aktuella person- uppgifter.

En särskild bestämmelse för personuppgifter som rör barn

Polisdatalagen innehåller inte några särskilda bestämmelser om behand- ling av personuppgifter som avser barn. Samma bestämmelser gäller så- ledes vid personuppgiftsbehandlingen oavsett den registrerades ålder. Säkerhetspolisen har i sina interna styrdokument reglerat gallringsfristen i myndighetens centralregister för personer som vid tiden för registreringen inte fyllt 18 år. Sådana uppgifter gallras senast fem år efter det att en uppgift om personen senast infördes. Säkerhets- och integritetsskydds- nämnden har särskilt granskat hur brottsbekämpande myndigheter be- handlar personuppgifter om barn. Nämnden har uttalat att integritets- skyddande regler i polisdatalagen gör sig gällande i särskilt hög grad vid behandling av uppgifter om barn. Nämnden är också positiv till Säker- hetspolisens interna bestämmelser om kortare gallringsfrist för sådana uppgifter (uttalande den 17 februari 2016, dnr 50–2015 s. 5 och 8). Mot den bakgrunden anser regeringen i likhet med utredningen att det i den nya lagen bör föreskrivas kortare tid för behandling av uppgifter om personer som vid registreringen inte hade fyllt 18 år. Sådana uppgifter bör inte få behandlas längre än fem år efter utgången av det kalenderår då den senaste registreringen avseende den unge gjordes.

Omständigheter som kan påverka längsta tid för behandling i underrättelseverksamhet

I dag framgår det av 6 kap. 12 § polisdatalagen att den tid som person- uppgifter får behandlas i underrättelseverksamhet kan förlängas om en ny registrering avseende personen i fråga görs. Det framgår emellertid inte av bestämmelsen vad den registrering som kan föranleda att personuppgifter får fortsätta att behandlas ska avse. Tiden för hur länge personuppgifter får behandlas ska naturligtvis inte kunna påverkas av vilka uppgifter som helst. I de brottsbekämpande myndigheternas registerförfattningar har motsvarande bestämmelser om hur länge personuppgifter får behandlas i underrättelseverksamhet därför förtydligats på så sätt att det endast är sådana omständigheter som har betydelse för personens anknytning till

Prop. 2018/19:163 brottslig verksamhet som ska påverka hur länge personuppgifterna får behandlas (prop. 2017/18:269 s. 128 f.). Utredningen föreslår att samma förtydligande ska göras i den nya lagen.

Det är självfallet viktigt att vilka uppgifter som helst inte ska påverka hur länge personuppgifter får behandlas. Ett förtydligande i denna del hade därför varit önskvärt. När det gäller Säkerhetspolisens underrät- telseverksamhet är det dock ofta svårt att veta vilken brottslig verksamhet en viss uppgift kan hänföras till eftersom myndigheten agerar i ett så tidigt skede. Om möjligheterna att fortsätta behandla personuppgifter knyts till omständigheter som har betydelse för personens anknytning till brottslig