Rättslig grund för behandling

8.3.1

Rättslig grund för behandling – huvudregeln

Regeringens förslag: Personuppgifter ska få behandlas om det är

nödvändigt för att Säkerhetspolisen ska kunna

1. förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar

a) brott mot Sveriges säkerhet, b) terrorbrott, eller

c) tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlingsfientliga motiv,

2. utreda eller lagföra sådana brott som avses i 1, eller, efter särskilt beslut, annat brott,

3. fullgöra uppgifter

a) i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,

b) enligt säkerhetsskyddslagen (2018:585), eller c) enligt utlännings- och medborgarskapslagstiftningen,

4. fullgöra annan uppgift som rör nationell säkerhet och som anges i lag eller förordning eller särskilt beslut av regeringen, eller

5. fullgöra förpliktelser som följer av internationella åtaganden.

Utredningens förslag överensstämmer i huvudsak med regeringens.

Utredningen föreslår också att det i lagen uttryckligen ska anges att uppgiften ska framgå av lag, förordning eller av ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften.

Remissinstanserna: Endast Säkerhetspolisen uttalar sig i denna del och

anser att rekvisitet nödvändigt ska ersättas med behövs som i 6 kap. 1 § polisdatalagen.

Skälen för regeringens förslag

En bestämmelse om rättsliga grunder behövs

Som framgår av avsnitt 8.1 utgår både dataskyddsdirektivet och data- skyddsförordningen från att varje behandling måste vila på en rättslig grund för att vara laglig. I artikel 6.1 i förordningen finns det en uttöm- mande uppräkning av de rättsliga grunderna för behandling av person- uppgifter enligt förordningen. Någon motsvarande uppräkning finns inte i direktivet. Däremot anges förutsättningarna för att en behandling ska vara laglig i artikel 8.1.

Brottsdatalagen innehåller bestämmelser om rättsliga grunder. Enligt 2 kap. 1 § får personuppgifter behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Uppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket

regeringen uppdragit åt myndigheten att utföra uppgiften Prop. 2018/19:163 (prop. 2017/18:232 s. 116–118). För att personuppgiftsbehandling ska

vara tillåten enligt brottsdatalagen krävs det således både en reglerad arbetsuppgift och bestämmelser om att personuppgifter får behandlas för att utföra uppgiften. Detsamma bör gälla för Säkerhetspolisen. Regeringen delar därför utredningens bedömning att det bör finnas en bestämmelse i den nya lagen som anger de rättsliga grunderna för personuppgifts- behandlingen.

Utformningen av bestämmelsen

Regleringen i 6 kap. 1 § polisdatalagen korresponderar i princip med 3 § polislagen (1984:387) som anger Säkerhetspolisens huvudsakliga uppgif- ter. Bestämmelsen har endast förändrats marginellt sedan polisdatalagens tillkomst. Den bedömning av Säkerhetspolisens behov av att behandla personuppgifter som gjordes då gör sig fortfarande gällande (Integritet och effektivitet i polisens brottsbekämpande verksamhet, prop. 2009/10:85, s. 255 f.). Den nya lagen bör i huvudsak innehålla samma reglering.

Utredningen föreslår att det särskilt ska anges att uppgifterna ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften. Att ett sådant krav infördes i brottsdatalagen var en följd av regleringen i dataskyddsdirektivet. En förutsättning för att Säkerhetspolisen ska få behandla personuppgifter är att Säkerhetspolisens har ålagts att utföra en viss arbetsuppgift. Vilka arbetsuppgifter Säkerhetspolisen har framgår av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften. Ett motsvarande krav behöver därför inte särskilt anges i förevarande paragraf.

Säkerhetspolisen förespråkar att ordet ”behövs” används i lagtexten för

att det inte ska framstå som att kravet för att få behandla personuppgifter har höjts. Eftersom ”nödvändigt” är det ord som finns i artikeln om rättslig grund i dataskyddsförordningen valdes det ordet även i brottsdatalagens bestämmelse om rättslig grund. Även om det inte finns något som hindrar att den nya lagen i detta avseende utformas på annat sätt än brottsdatalagen anser regeringen att skälen för en enhetlig terminologi överväger. Samma uttryckssätt som i brottsdatalagen bör därför användas i den nya lagen. Som anges i förarbetena till brottsdatalagen bör ordet ”nödvändigt” i detta sammanhang tolkas som att det är fråga om något som behövs för att på ett effektivt sätt kunna utföra uppgiften (prop. 2017/18:232 s. 117). Trots att terminologin ändras blir det därför inte fråga om någon ändring i förhållande till vad som krävs enligt dagens reglering.

Enligt 6 kap. 1 § 5 polisdatalagen får Säkerhetspolisen behandla per- sonuppgifter om det behövs för att lämna tekniskt biträde till vissa andra brottsbekämpande myndigheter. Den uppgiften omfattas i dag av brottsdatalagens tillämpningsområde (prop. 2017/18:232 s. 105). Person- uppgiftsbehandling för sådant biträde bör därför inte regleras i den nya lagen.

Prop. 2018/19:163 Uppgifter enligt utlännings- och medborgarskapslagstiftningen

Säkerhetspolisen har vissa uppgifter enligt utlännings- och medborgar- skapslagstiftningen (avsnitt 4.1). Det framgår inte av förarbetena till polis- datalagen hur lagstiftaren ser på personuppgiftsbehandling för sådana ändamål.

I förarbetena till utlänningsdatalagen (2016:27) konstaterar regeringen att all verksamhet hos Säkerhetspolisen i någon mening är brottsbekäm- pande. Mot den bakgrunden och då Säkerhetspolisens uppgifter på utlän- nings- och medborgarskapsområdet är förhållandevis begränsade ansågs det inte vara ändamålsenligt att låta Säkerhetspolisen omfattas av utlän- ningsdatalagens reglering. Konsekvensen blev att Säkerhetspolisen i stäl- let antingen ska tillämpa de särskilda regler om personuppgiftsbehandling som gäller för myndigheten enligt polisdatalagen eller personupp- giftslagen (Utlänningsdatalag, prop. 2015/16:65, s. 40). Mot bakgrund av förarbetsuttalandena och att personuppgiftslagen har upphävts är det nöd- vändigt att reglera myndighetens personuppgiftsbehandling på området.

Säkerhetspolisens arbetsuppgifter enligt utlännings- och medborgar- skapslagstiftningen syftar till att förhindra att individer som är eller kan bli ett säkerhetshot mot Sverige etablerar sig i landet. Utifrån vad som är känt om personens bakgrund, kontakter eller egna aktiviteter gör Säker- hetspolisen en bedömning av om han eller hon kan komma att ägna sig åt säkerhetshotande verksamhet. Säkerhetsskälen kan exempelvis bestå av kopplingar till personer som antas syssla med olovlig underrättelseverk- samhet eller terrorism. Mot den bakgrunden anser regeringen, i likhet med utredningen, att Säkerhetspolisens uppgifter enligt utlännings- och medborgarskapslagstiftningen är ett led i uppgifterna som rör nationell säkerhet och därför bör anges som en tillåten rättslig grund för behandling av personuppgifter i den nya lagen.

8.3.2

Rättslig grund i undantagsfall för diarieföring och

handläggning

Regeringens förslag: Personuppgifter ska få behandlas om det är

nödvändigt för diarieföring eller om uppgifterna har lämnats till Säkerhetspolisen i en anmälan, ansökan eller liknande och behand- lingen är nödvändig för myndighetens handläggning.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del.

Skälen för regeringens förslag: Säkerhetspolisen tar dagligen emot

stora mängder information, ofta i elektronisk form. De inkommande upp- gifterna kan vara en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 5 kap. 1 § offentlighets- och sekretesslagen (2009:400) ska som huvudregel allmänna handlingar som kommit in till en myndighet registreras, dvs. diarieföras, så snart som möjligt. En myndighet måste därför alltid ha möjlighet att behandla personuppgifter för att diarieföra och handlägga inkommande handlingar. Det gäller även i de fall där myndigheten inte behöver behandla personuppgifterna för att utföra sina uppgifter (prop. 2009/10:85 s. 112 f.) I 6 kap. 3 § polisdatalagen föreskrivs att Säkerhetspolisen får behandla personuppgifter om det är

nödvändigt för diarieföring eller om uppgifterna har lämnats i en anmälan Prop. 2018/19:163 eller liknande och behandlingen är nödvändig för handläggningen. Det bör

tas in en motsvarande bestämmelse i den nya lagen som tydliggör att det är en tillåten rättslig grund för behandling.