Rätten till information

14.2.1 Allmän information som ska göras tillgänglig

information tillgänglig för den registrerade. Bland annat ska kategorier av ändamål för behandlingen göras tillgänglig.

Utredningens förslag överensstämmer i huvudsak med regeringens.

Enligt utredningens förslag ska bl.a. ändamålen med behandlingen göras tillgänglig.

Remissinstanserna yttrar sig inte särskilt i denna del.

Skälen för regeringens förslag: I 4 kap. 1 § brottsdatalagen anges

vilken information den personuppgiftsansvarige på eget initiativ ska göra tillgänglig för den registrerade. Det är information om den person- uppgiftsansvariges identitet och kontaktuppgifter, dataskyddsombudets kontaktuppgifter och kategorier av ändamål för behandlingen. Även information om rätten att begära tillgång till personuppgifter och att begära rättelse, radering och begränsning av behandlingen och möjligheten att lämna in klagomål till en tillsynsmyndighet och dess kontaktuppgifter, ska göras tillgänglig. I kravet på att information ska vara tillgänglig ligger att de registrerade i princip ska ha möjlighet att ta del av informationen när de önskar. Informationen kan t.ex. publiceras på myndighetens webbplats eller finnas i en broschyr, folder eller annan informationsskrift.

Att kategorier av ändamål ska göras tillgänglig innebär att det är fråga om upplysningar av generell karaktär som gäller den behöriga myndighetens personuppgiftsbehandling i allmänhet. Det innebär att det inte är fråga om ändamålen för behandling i varje enskilt fall som avses utan för vilka kategorier av ändamål personuppgifter får behandlas t.ex. för förundersökningar. Det är tillräckligt att enskilda genom uppräkningen får en god bild av den personuppgiftsbehandling som den behöriga myndigheten utför (Brottsdatalagen, prop. 2017/18:232, s. 232).

I Säkerhetspolisen nya lag bör det finnas en bestämmelse som reglerar myndighetens skyldighet att självmant göra allmän information om myndighetens personuppgiftbehandling tillgänglig. Bestämmelsen bör i huvudsak utformas på samma sätt som i brottsdatalagen. I brottsdatalagen föreskrivs dock att behöriga myndigheter också ska informera om möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifter till den. Det beror på att direktivet kräver det och

innehåller en särskild reglering för handläggning av klagomål. Prop. 2018/19:163 Utredningen föreslår ingen motsvarande reglering för Säkerhetspolisen.

Ingen remissinstans har heller ansett att det behövs. Säkerhetspolisens informationsskyldighet bör därför inte omfatta sådana uppgifter.

Vilka krav som ska ställas på utformningen av informationen till enskilda kan regleras i förordning.

14.2.2 Information som ska lämnas på begäran

Regeringens förslag: Säkerhetspolisen ska till den som begär det utan

onödigt dröjsmål lämna skriftligt besked om huruvida personuppgifter som rör honom eller henne behandlas. Om sådana uppgifter behandlas, ska sökanden få del av uppgifterna och få viss skriftlig information om behandlingen.

Sökanden behöver inte få del av personuppgifter som han eller hon redan har tagit del av, om det inte begärs. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del.

Skälen för regeringens förslag: Enligt 4 kap 3 § första stycket

brottsdatalagen ska den personuppgiftsansvarige till den som begär det utan onödigt dröjsmål lämna skriftligt besked om huruvida personuppgifter som rör honom eller henne behandlas. Om den personuppgiftsansvarige behandlar personuppgifter om en sökande ska alltså han eller hon få del av uppgifterna när det efterfrågas. Det rör dock endast uppgifter som behandlas vid tiden för utlämnandet.

Utgångspunkten är att sökanden ska få tillgång till all information som den personuppgiftsansvarige själv kan få fram om honom eller henne. Det förutsätter att det finns uppgifter som direkt kan hänföras till den person som begär informationen. Sökanden måste därför lämna sådana uppgifter om sin identitet att det blir möjligt att söka efter informationen. Det kan t.ex. vara fullständigt namn eller person- eller samordningsnummer.

Om personuppgifter som rör sökanden behandlas ska sökanden få del av dem samt få skriftlig information om vilka uppgifter som behandlas och varifrån dessa kommer. Information om varifrån personuppgifterna kommer behöver bara avse den information som finns tillgänglig. Vidare ska sökanden informeras om de kategorier av personuppgifter som behandlingen gäller. Kategorier av personuppgifter kan t.ex. vara adressuppgifter eller fordonsuppgifter. Även behandlingens rättsliga grund ska framgå. Den personuppgiftsansvarige ska vidare informera om ändamålen med behandlingen. Det som avses är ändamålen med behandlingen i det enskilda fallet.

Information om mottagare eller kategorier av mottagare av personuppgifterna ska också lämnas. Med mottagare avses i brottsdatalagen den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision (avsnitt 7.7). Den personuppgiftsansvarige behöver således inte informera sökanden om att uppgifter har lämnats ut till myndigheter för tillsyn, t.ex. till Justitiekanslern eller Säkerhets- och integritets-

Prop. 2018/19:163 skyddsnämnden. Eftersom en myndighet enligt 2 kap. 14 § tryckfrihetsförordningen varken får efterfråga eller dokumentera vilka som tar del av allmänna handlingar med personuppgifter behöver inte heller uppgifter om sådana mottagare lämnas ut (Myndighetsdatalagen, SOU 2015:39, s. 500). Exempel på kategorier av mottagare kan vara åklagare eller domstol. Om mottagaren finns i ett tredjeland eller är en internationell organisation ska det anges. Vidare ska det framgå hur länge personuppgifterna får behandlas. Om det inte är möjligt att ange hur länge de får behandlas i det enskilda fallet ska i stället kriterierna för att fastställa det anges. Det kan exempelvis vara den föreskrivna tidpunkten i en myndighets registerlagstiftning när de personuppgifter som saken gäller inte längre får behandlas. Den personuppgiftsansvarige ska även underrätta den registrerade om rätten att begära rättelse, radering eller begränsning av behandlingen. Informationen till den enskilde behöver inte omfatta personuppgifter som den sökanden redan tagit del av. Detta följer av 4 kap. 3 § andra stycket brottsdatalagen (Brottsdatalag, 2017/18:232, s.229–234).

För att den enskilde ska kunna hålla sig underrättad om hans eller hennes personuppgifter behandlas och kunna kontrollera om behandlingen utförs författningsenligt bör Säkerhetspolisens nya lag innehålla en bestämmelse som i huvudsak motsvarar 4 kap. 3 § brottsdatalagen. Att en registrerads rätt till information om vilka personuppgifter om honom eller henne som behandlas inte gäller i den utsträckning personuppgifterna inte får lämnas ut behandlas i avsnitt 14.3.1. Personuppgifter i ofärdig text eller som utgör minnesanteckningar behandlas i avsnitt 14.3.2. Vilka närmare krav som bör ställas på en begäran om information kan regleras i förordning.