Säkerhetspolisens behandling av

Behandling av personuppgifter i Säkerhetspolisens brottsbekäm-pande verksamhet regleras för närvarande av 6 kap. polisdatalagen (2010:361). Av 6 kap. 4 § polisdatalagen jämförd med 2 kap. 2 § samma lag framgår att även vissa bestämmelser i personuppgiftslagen (1998:204) gäller för sådan behandling av personuppgifter. Person-uppgiftslagen upphävdes genom ikraftträdandet av dataskyddslagen den 25 maj 2018. Av övergångsbestämmelserna till dataskyddslagen framgår emellertid att personuppgiftslagen fortfarande gäller i den utsträckning som det i en annan lag eller förordning finns bestäm-melser som innehåller hänvisningar till den lagen.

Förslaget till Säkerhetspolisens datalag

Utredningen om 2016 års dataskyddsdirektiv har i sitt slutbetän-kande (SOU 2017:74) förslagit att Säkerhetspolisens personupp-giftsbehandling i huvudsak ska regleras i en ny lag, kallad Säkerhets-polisens datalag. Lagen föreslås kompletteras av en förordning, kallad Säkerhetspolisens dataförordning. Förslaget följer i princip brotts-datalagens systematik och många av de materiella bestämmelserna lik-nar brottsdatalagens. Av förarbetena till de registerförfattningar som ska komplettera brottsdatalagen (prop. 2017/18:269 s. 285) framgår att förslaget till en anpassad lagstiftning om Säkerhetspolisens behandling av personuppgifter har remitterats och bereds i Reger-ingskansliet. Vi har i utredningsarbetet därför utgått från att Säker-hetspolisens personuppgiftsbehandling kommer att regleras i en egen lag på det sätt som föreslagits av den nyss nämnda utredningen.

Säkerhetspolisens datalag ska, enligt förslaget till 1 kap. 2 §, gälla vid behandling av personuppgifter som rör nationell säkerhet i Säker-hetspolisens brottsbekämpande och lagförande verksamhet samt i tillämpliga delar vid Polismyndighetens behandling av person-uppgifter när myndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen. Som vi nyss nämnt (av-snitt 3.4.1) rör Säkerhetspolisens verksamhet i princip uteslutande nationell säkerhet. I likhet med brottsdatalagen och dataskydds-förordningen föreslås Säkerhetspolisens datalag gälla bl.a. för sådan behandling av personuppgifter som är helt eller delvis automatiserad (1 kap. 3 §).

Grundläggande krav på personuppgiftsbehandlingen

De tillåtna rättsliga grunderna för behandling av personuppgifter framgår av 2 kap. 1 §. Enligt bestämmelsen får personuppgifter behandlas om det är nödvändigt för att utföra en arbetsuppgift i vissa där angivna syften, t.ex. för att förebygga, förhindra eller upp-täcka brottslig verksamhet som innefattar brott mot rikets säkerhet, terrorbrott eller tryckfrihets- eller yttrandefrihetsbrott med rasis-tiska eller främlingsfientliga motiv. Personuppgifter får också be-handlas bl.a. om det är nödvändigt för att utreda eller lagföra nyss nämnda brott, för att fullgöra uppgifter i samband med visst

person-skydd, uppgifter enligt säkerhetsskyddslagen (1996:627) eller upp-gifter enligt utlännings- och medborgarskapslagstiftningen. Av be-stämmelsen framgår också att de arbetsuppgifter som avses ska framgå av en lag, en förordning eller ett särskilt beslut i vilket reger-ingen uppdragit åt myndigheten att ansvara för en sådan uppgift.

Därtill regleras i 2 kap. 2 § i vilka situationer personuppgifter får behandlas för att tillhandahålla information till andra myndigheter m.fl. för deras behov.

Principen om ändamålsbegränsning kommer till uttryck i 2 kap.

4 § första stycket, som motsvarar brottsdatalagens bestämmelse. Av 2 kap. 4 § andra stycket framgår att personuppgifter inte får be-handlas för något ändamål som är oförenligt med det ändamål för vilket personuppgifterna ursprungligen behandlades (finalitetsprin-cipen). Principerna om laglighet, korrekthet, uppgifts- och lagrings-minimering överensstämmer i princip med brottsdatalagens bestäm-melser och finns i 2 kap. 6 §, 2 kap. 8 § respektive 4 kap. 1 §.

Den personuppgiftsansvariges skyldigheter och enskildas rättigheter Principen om ansvarsskyldighet finns i 5 kap. 1 §. Bestämmelserna om inbyggt dataskydd, dataskydd som standard, loggning och tjänste-mäns tillgång till personuppgifter finns i lagens 5 kap. 2–5 §§ res-pektive 4 kap. 5 § i tillhörande förordning. Bestämmelserna om kon-sekvensbedömningar och dess dokumentation samt förhandssamråd finns i lagens 5 kap. 6 § och 4 kap. 6 § i dess tillhörande förordning.

Bestämmelser om skyldigheten att vidta lämpliga tekniska och orga-nisatoriska åtgärder finns i 5 kap. 7 § Säkerhetspolisens datalag och skyldigheten att upprätta en förteckning över de kategorier av be-handlingar m.m. som utförs finns i 4 kap. 4 § Säkerhetspolisens dataförordning.

Av 6 kap. 1 § Säkerhetspolisens datalag framgår att Säkerhets-polisen, på samma sätt som enligt brottsdatalagen, ska göra viss allmän information tillgänglig för den registrerade. I 6 kap. 2 § finns be-stämmelser om den registrerades rätt till registerutdrag och i 6 kap. 6 och 7 §§ om den registrerades rätt att under vissa förutsättningar begära rättelse, komplettering eller radering av personuppgifter.

Samtliga ovan nämnda bestämmelser motsvarar brottsdatalagens.

Tillsyn och skadestånd

Utredningen om 2016 års dataskyddsdirektiv har i sitt slutbetän-kande (SOU 2017:74 s. 711–716) föreslagit att tillsynen över Säker-hetspolisens personuppgiftsbehandling även fortsatt bör utövas av både Datainspektionen och Säkerhets- och integritetsskydds-nämnden (SIN). Av 1 § första stycket lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet framgår att SIN ska utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel samt kvalificerade skyddsidentiteter och därmed sam-manhängande verksamhet. Nyss nämnda utredning har i sitt slut-betänkande föreslagit att det av den bestämmelsens andra stycke ska framgå att SIN även ska utöva tillsyn över Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet i brotts-bekämpande och lagförande verksamhet. Tillsynen föreslås särskilt avse sådan behandling som avses i 2 kap. 9 och 10 §§ Säkerhets-polisens datalag (behandling av känsliga personuppgifter).

Av 7 kap. 1 § Säkerhetspolisens datalag framgår att den myndig-het som utövar tillsyn enligt den lagen ska utöva allmän tillsyn över personuppgiftsbehandling och ge råd och stöd till Säkerhetspolisen om dess skyldigheter enligt lag eller annan författning vid förhands-samråd eller när det i övrigt är påkallat. Med undantag för sanktions-avgifter har tillsynsmyndigheten samma befogenheter som enligt brottsdatalagen, vilket framgår av 7 kap. 3–5 §§. I 8 kap. 1 § finns även en bestämmelse om skadestånd till den registrerade som mot-svarar brottsdatalagens.