Skillnad mellan ändamålsbestämmelser och

En grundläggande princip för all personuppgiftsbehandling är att person- uppgifter får samlas in bara för särskilda, uttryckligt angivna och berätti- gade ändamål. Principen kommer i dag till uttryck i både dataskydds- förordningen och brottsdatalagen (2018:1177). Både förordningen och lagen utgår också från att varje behandling av personuppgifter måste vila på en rättslig grund för att vara laglig. Det är alltså endast om det finns en rättslig grund som personuppgifter överhuvudtaget får behandlas. Kravet är inte nytt utan framgår av artikel 7 i 1995 års dataskyddsdirektiv och kom till uttryck i bl.a. 10 § personuppgiftslagen (1998:204). Det fördes dock inga resonemang kring kravet på rättslig grund i förarbetena till de registerförfattningar som tidigare gällde för de brottsbekämpande myndigheterna. I förarbetena till brottsdatalagen tog regeringen därför upp frågan om hur kravet på rättslig grund förhöll sig till de s.k. primära och sekundära ändamålsbestämmelserna i registerförfattningarna.

Regeringen konstaterade med hänvisning till Informationshanterings- utredningen att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman (SOU 2015:39 s. 277 f.). Det kan leda till att tillämparen förväxlar ändamål med rättslig grund och godtar ett i författning angivet allmänt ändamål som ett särskilt och tillräckligt preciserat ändamål i det enskilda fallet. Det borde därför göras tydligare skillnad mellan bestämmelser om rättslig grund och ändamåls- bestämmelser (Brottsdatalag, prop. 2017/18:232, s. 115). I myndigheter- nas registerförfattningar på brottsdatalagens område ersattes därefter de primära ändamålsbestämmelserna med bestämmelser om rättslig grund, se t.ex. 2 kap. 1 § polisens brottsdatalag, som ersatte 2 kap. 7 § polisdata- lagen (2010:361).

Prop. 2018/19:163 I detta kapitel diskuteras först hur man bör se på ändamålsbestämmelser- na i 6 kap. 1 och 2 §§ polisdatalagen (avsnitt 8.2). Hur regleringen bör utformas diskuteras i avsnitt 8.3 och hur ändamålen för behandling av personuppgifter ska bestämmas finns i avsnitt 8.4.

8.2

Dagens primära ändamålsbestämmelser är

bestämmelser om rättslig grund

Regeringens bedömning: Det som i dag kallas primära ändamåls–

bestämmelser är en del av den rättsliga grunden för behandling av personuppgifter. Det som kallas sekundära ändamålsbestämmelser bör dock fortfarande anses vara ändamålsbestämmelser. Regleringen bör ha i huvudsak samma innehåll som i dag.

Utredningens bedömning överensstämmer delvis med regeringens.

Utredningen föreslår att även det som i dag kallas sekundära ändamålsbestämmelser ska vara en del av den rättsliga grunden för behandlingen av personuppgifter.

Remissinstanserna: Endast Säkerhetspolisen yttrar sig i denna del och

anser att 6 kap. 1 polisdatalagen är tillräckligt preciserad för att utgöra en ändamålsbestämmelse och att det därför saknas skäl att ändra den gällande ordningen.

Skälen för regeringens bedömning

Dagens reglering

I 6 kap. 1 och 2 §§ polisdatalagen föreskrivs för vilka ändamål Säker- hetspolisen får behandla personuppgifter i sin brottsbekämpande verk- samhet. Ändamålen delas upp i primära och sekundära. De primära ända- målen reglerar behandlingen av de personuppgifter som behövs i Säker- hetspolisens egen brottsbekämpande verksamhet. Myndigheten får t.ex. behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar bl.a. brott mot rikets säkerhet och terroristbrott. De sekundära ändamålen reglerar i vilken utsträckning personuppgifter som behandlas för något av de primära ändamålen får behandlas för att lämnas ut till andra för att tillgodose deras behov. Säkerhetspolisen får t.ex. behandla redan insamlade uppgifter när det är nödvändigt för att tillhandahålla information som behövs i brotts- bekämpande verksamhet hos vissa andra myndigheter.

Primära ändamålsbestämmelser är bestämmelser om rättslig grund

Som framgår i avsnitt 8.1 anser regeringen att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman. Det kan leda till att tillämparen förväxlar ändamål med rättslig grund och godtar ett i författning angivet allmänt ändamål som ett särskilt och tillräckligt preciserat ändamål i det enskilda fallet. Det bör därför göras tydligare skillnad mellan bestämmelser om rättslig grund och ändamålsbestäm- melser.

I avsnitt 8.4.1 föreslås att all behandling av personuppgifter även i Prop. 2018/19:163 fortsättningen ska utföras för särskilda, uttryckligt angivna och berättigade

ändamål. Det är i förhållande till ändamålen som det ska prövas vilka personuppgifter som är adekvata och relevanta för behandlingen och att inte för många personuppgifter behandlas. Prövningen av att per- sonuppgifter inte behandlas under längre tid än nödvändigt ska också ske i förhållande till ändamålen (avsnitt 12.2.1). Ändamålen måste därmed vara tillräckligt specifika för att ge ledning för dessa bedömningar. Mot den bakgrunden ansåg regeringen i förarbetena till brottsdatalagen att de primära ändamålsbestämmelserna i de brottsbekämpande myndigheternas registerförfattningar borde ses som bestämmelser om rättslig grund. Be- stämmelserna tydliggör att personuppgiftsbehandling är tillåten när upp- gifterna fullgörs (prop. 2017/18:232 s. 123 f.). Frågan är om samma be- dömning bör göras beträffande de primära och sekundära ändamålsbe- stämmelserna i 6 kap. 1 och 2 §§ polisdatalagen. Säkerhetspolisen har invänt att 6 kap. 1 § polisdatalagen är tillräckligt preciserad för att utgöra en ändamålsbestämmelse och att det därför saknas skäl att ändra gällande ordning.

Regleringen i 6 kap. 1 § polisdatalagen är delvis annorlunda utformad än de tidigare primära ändamålsbestämmelserna i t.ex. 2 kap. 7 § polisdatalagen. Paragrafen är mer detaljerad. Det beror framför allt på att Säkerhetspolisen har ett betydligt mer begränsat uppdrag än exempelvis Polismyndigheten. Som utredningen framhåller ger dock paragrafen inte någon egentlig ledning för prövningen av vilka personuppgifter som får behandlas. Det anges endast att Säkerhetspolisen får behandla personuppgifter för att utföra vissa av sina arbetsuppgifter. Syftet är att precisera när personuppgifter alls får behandlas i Säkerhetspolisens brottsbekämpande verksamhet. Paragrafen utgör därmed den yttre ram inom vilken de särskilda, uttryckligt angivna och berättigade ändamålen med behandlingen i enskilda fall ska bestämmas. Regeringen delar mot den bakgrunden utredningens bedömning att de primära ändamåls- bestämmelserna i 6 kap. 1 § polisdatalagen inte är ändamålsbestämmelser i egentlig mening, utan en del av den rättsliga grunden. Vad

Säkerhetspolisen anfört i denna del föranleder ingen annan bedömning.

När det gäller de sekundära ändamålsbestämmelserna i 6 kap. 2 § polisdatalagen är situationen en annan än för de primära ändamåls- bestämmelserna i 6 kap. 1 §. De sekundära ändamålsbestämmelserna anger endast i vilken utsträckning som Säkerhetspolisen får lämna person- uppgifter till andra och förutsätter att det redan finns stöd för behandlingen enligt 1 §. Det är alltså inte tillåtet att samla in personuppgifter enbart i syfte att behandla dem med stöd av 2 §. Vidare innehåller paragrafen en uppräkning av flera förhållandevis specifika situationer. Mot den bakgrunden anser regeringen, till skillnad från utredningen, att de nuvarande sekundära ändamålsbestämmelserna inte kan ses som en del av den rättsliga grunden för behandling av personuppgifter. Den rättsliga grunden finns även i dessa situationer angiven i 1 §. Systematiken i lagen kommer då också att i högre grad motsvara systematiken på brottsdatalagens område, där det endast finns mer allmänt hållna bestämmelser om rättslig grund (se t.ex. 2 kap. 1 § brottsdatalagen och 2 kap. 1 § polisens brottsdatalag). Regeringen instämmer dock i

Prop. 2018/19:163 utredningens bedömning att regleringen bör i huvudsak ha samma sakliga innehåll som i dag, vilket utvecklas i avsnitt 8.4.3.