Rättelse, radering och begränsning av behandlingen

14.4.1 Rätten till rättelse och komplettering

Regeringens förslag: Säkerhetspolisen ska på begäran av den

registrerade utan onödigt dröjsmål rätta eller komplettera person- uppgifter som rör honom eller henne om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del.

Skälen för regeringens förslag: Enligt 4 kap. 9 § brottsdatalagen ska Prop. 2018/19:163

den personuppgiftsansvarige på begäran rätta eller komplettera personuppgifter som rör den registrerade om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen. En motsvarande skyldighet finns i dag för Säkerhetspolisen i 28 § personuppgiftslagen. Eftersom det är av grundläggande betydelse både för Säkerhetspolisens verksamhet och för enskilda att de personuppgifter som behandlas är korrekta bör en motsvarande bestämmelse införas i Säkerhetspolisens nya lag. Den bör utformas som i brottsdatalagen. Skyldigheten för Säkerhetspolisen att självmant vidta åtgärder när det upptäcks att personuppgifter är felaktiga, ofullständiga eller inaktuella behandlas i avsnitt 9.3.

Att en felaktig eller ofullständig personuppgift rättas eller kompletteras kan innebära att den ersätts av en annan uppgift som är korrekt ur ett objektivt perspektiv eller kompletteras med en uppgift om de rätta förhållandena så att den blir fullständig i objektiv mening. Det kan vara fråga om t.ex. ett felaktigt namn eller att endast delar av ett namn har återgetts i en handling. Det kan även vara fråga om något fel som uppstått på grund av ett tekniskt förfarande. Det ska alltså röra sig om ett fel eller en ofullständighet på grund av något som inte bygger på en bedömning. En felaktig uppgift kan också rättas på det sättet att den tas bort utan att ersättas.

14.4.2 Rätten till radering

Regeringens förslag: På begäran av den registrerade ska

Säkerhetspolisen utan onödigt dröjsmål radera personuppgifter som rör honom eller henne om de behandlas på otillåtet sätt. Detsamma gäller om det krävs radering för att Säkerhetspolisen ska utföra en rättslig förpliktelse.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del.

Skälen för regeringens förslag: I brottsdatalagen finns, förutom en

möjlighet för den registrerade att begära rättelse, även en möjlighet att begära radering om personuppgifterna behandlas i strid med lagen. Detta regleras i 4 kap. 10 §. I dag är Säkerhetspolisen skyldig att på begäran av den registrerade bl.a. utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Detta följer av 28 § personuppgiftslagen. En motsvarande bestämmelse bör införas i Säkerhetspolisens nya lag. Den bör utformas som i brottsdatalagen.

Hur personuppgifter ska behandlas diskuteras i avsnitt 8 och 9. Där föreslås att det i lagen ska tas in bestämmelser om att personuppgifter ska vara adekvata och relevanta, att inte fler personuppgifter än nödvändigt får behandlas, att de bara får behandlas om det finns en rättslig grund och för särskilt angivna ändamål. Vidare föreslås att det ska regleras i vilken utsträckning känsliga personuppgifter får behandlas och hur länge personuppgifter får behandlas. Frågan om en personuppgift bör raderas får bedömas mot bakgrund av dessa bestämmelser. Vid bedömningen ska

Prop. 2018/19:163 även 2 kap. tryckfrihetsförordningen och det arkivrättsliga regelverket beaktas.

Enligt brottsdatalagen får den registrerade även begära att en personuppgift ska raderas om det krävs för att utföra en rättslig förpliktelse. Motsvarande bör gälla även i Säkerhetspolisens nya lag. En rättslig förpliktelse kan t.ex. vara ett föreläggande från tillsynsmyndig- heten om att uppgifter ska raderas.

14.4.3 Begränsning av behandlingen

Regeringens förslag: Om förutsättningarna för att radera

personuppgifter är uppfyllda, men uppgifterna behöver finnas kvar av bevisskäl, ska Säkerhetspolisen på begäran av den registrerade i stället utan onödigt dröjsmål begränsa behandlingen av dem.

Om den registrerade bestrider att personuppgifter som rör honom eller henne är korrekta och det inte kan fastställas, ska Säkerhetspolisen utan onödigt dröjsmål begränsa behandlingen av uppgifterna.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt om för-

slaget.

Skälen för regeringens förslag

Begränsning när personuppgifterna behöver finnas kvar av bevisskäl

I 4 kap. 10 § andra stycket brottsdatalagen föreskrivs att om förutsät- tningarna för att radera personuppgifter är uppfyllda, men uppgifterna behöver finnas kvar av bevisskäl, ska den personuppgiftsansvarige på begäran av den registrerade i stället utan onödigt dröjsmål begränsa behandlingen av dem. Det kan då ligga både i den registrerades och i det allmännas intresse att personuppgifter sparas en tid som bevisning om hur de har behandlats i stället för att raderas. En motsvarande bestämmelse bör även införas i Säkerhetspolisens nya lag.

Ett exempel på att personuppgifter har sparats av bevisskäl är det s.k. kringresanderegistret där uppgifter enligt Säkerhets- och integritets- skyddsnämnden (uttalande den 15 november 2013, dnr 173–2013) behandlades i strid med polisdatalagen och där uppgifterna därför togs bort. Två kopior sparades dock för att Polismyndigheten skulle kunna besvara frågor om vilka som förekom i registret och för att uppgifterna eventuellt skulle kunna användas som bevis (se bl.a. SOU 2015:39 s. 574 och 645 f.).

Begränsning när personuppgifternas korrekthet bestrids

Begränsning av behandlingen kan också, enligt 4 kap. 9 § andra stycket brottsdatalagen, komma i fråga om den registrerade bestrider att personuppgifterna är korrekta, men det inte är möjligt att fastställa om så är fallet. En felaktig personuppgift ska utan onödigt dröjsmål rättas enligt brottsdatalagen. Om den personuppgiftsansvariges utredning om den omstridda personuppgiften inte kan slutföras tillräckligt snabbt ska behandlingen begränsas under utredningstiden. Uppgifterna får då inte

behandlas av den personuppgiftsansvarige eller personuppgiftsbiträden Prop. 2018/19:163 annat än för det ändamål som föranledde begränsningen. Om det efter

utredning visar sig att personuppgifterna är korrekta kan behandlingen av dem fortsätta som tidigare. Begränsningen ska då upphävas. Innan dess ska dock den registrerade underrättas om att begränsningen upphör. Skulle det visa sig att personuppgifterna är felaktiga ska den personuppgifts- ansvarige rätta dem, varefter begränsningen kan upphöra. Åtgärden kan inte vara ett alternativ till radering, eftersom den ska användas när uppgifters korrekthet bestrids och därför knyter an till rättelseförfarandet (prop. 2017/18:232 s. 252). Även denna typ av begränsning bör införas i Säkerhetspolisens nya datalag. Bestämmelsen bör utformas som i brottsdatalagen.

Åtgärd som visar att behandlingen har begränsats

Säkerhetspolisen ska vidta en åtgärd med personuppgifterna som visar att behandlingen har begränsats. Hur själva begränsningen bör göras får dock bedömas med utgångspunkt i vad som är lämpligt i det enskilda fallet. En naturlig åtgärd kan vara att avskilja uppgifterna från det datasystem där de behandlas. Begränsningen kan också ha formen av en teknisk begränsning, vilket kan vara en lämplig åtgärd medan personuppgifternas korrekthet utreds. En tredje möjlighet att begränsa behandlingen är att inskränka tillgången till uppgifterna.

Har behandlingen av en personuppgift begränsats får uppgiften som utgångspunkt inte längre behandlas av vare sig den personuppgifts- ansvarige eller ett personuppgiftsbiträde utom för det syfte som har föranlett begränsningen. Har en personuppgift behandlats på otillåtet sätt måste den ändå kunna behandlas inom ramen för en utredning av om brott har begåtts i samband med behandlingen eller om någon tjänsteman vid behandlingen gjort sig skyldig till fel som kan föranleda disciplinansvar eller skadestånd. Det beror på felets karaktär om all behandling av personuppgiften måste upphöra eller om det bara gäller behandlingen i viss verksamhet. Vidare bör beaktas att nationella bestämmelser om straffrättsliga förfaranden kan påverka rätten till begränsning av behandling (prop. 2017/18:232 s. 252 f.).

Oavsett vilken åtgärd som vidtas för att begränsa behandlingen är den inte avsedd att vara permanent. När personuppgifterna inte längre behöver finnas kvar som bevisning ska de raderas och när utredningen om personuppgifternas korrekthet är avslutad ska begränsningen av behandlingen upphöra och uppgifterna antingen fortsätta att behandlas eller rättas. Begränsning av behandlingen bör i likhet med de andra korrigerande åtgärderna genomföras utan onödigt dröjsmål.

14.4.4 Val av åtgärd

Regeringens förslag: Säkerhetspolisen avgör vilken åtgärd som ska

vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del.

Prop. 2018/19:163 Skälen för regeringens förslag: Enligt förarbetena till personuppgifts-

lagen väljer den personuppgiftsansvarige själv vilket alternativ som ska användas av rättelse, utplånande eller blockering (prop. 1997/98:44 s. 87). Den ordningen gäller även i fråga om rättelse, radering eller begränsning av behandlingen enligt brottsdatalagen (4 kap. 11 §). Den personuppgifts- ansvarige ska därför enligt brottsdatalagen inte endast pröva om den åtgärd som begärs av den registrerade ska vidtas eller inte, utan är fri att välja en annan åtgärd om den är lämpligare. Det följer av att den personuppgifts- ansvarige är skyldig att vidta alla rimliga åtgärder för att rätta personuppgifter som är felaktiga eller ofullständiga och för att radera eller begränsa behandlingen av personuppgifter som har behandlats otillåtet. Den personuppgiftsansvarige ska alltså se till att den lämpligaste åtgärden vidtas oavsett vad som begärs. En åtgärd kan emellertid inte vidtas om den strider mot annan lagstiftning. Det innebär t.ex. att en myndighet inte kan radera uppgifter i en allmän handling utan författningsstöd för gallring (prop. 2017/18:232 s. 253 f.).

Även Säkerhetspolisen bör få avgöra vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen. En bestämmelse som motsvarar 4 kap. 11 § brottsdatalagen bör därför tas in i Säkerhetspolisen nya lag.