Tillämpliga bestämmelser i personuppgiftslagen

Regeringens förslag: Följande bestämmelser i personuppgiftslagen ska vara tillämpliga vid behandling av personuppgifter i Kustbevak-ningens verksamhet:

– definitioner (3 §),

– förhållandet till offentlighetsprincipen (8 §),

– grundläggande krav på behandlingen av personuppgifter (9 §), dock med undantag för paragrafens första stycke i) och tredje stycket,

– behandling av personnummer och samordningsnummer (22 §), – information till den registrerade (23 och 25–27 §§),

– rättelse (28 §),

– säkerheten vid behandling (30 och 31 §§ samt 32 § första stycket), – överföring av personuppgifter till tredjeland (33–35 §§),

– personuppgiftsombudets uppgifter m.m. (38–41 §§), – upplysningar till allmänheten om vissa behandlingar (42 §), – tillsynsmyndighetens befogenheter (43 och 44 §§, 45 § första stycket samt 47 §),

– skadestånd (48 §), och

– överklagande (51 § första stycket, 52 § första stycket och 53 §).

Bestämmelserna i 8 § andra stycket personuppgiftslagen ska dock inte tillämpas om personuppgifter ska gallras enligt bestämmelser i den nya lagen eller enligt föreskrifter som meddelats i anslutning till lagen.

Bestämmelserna om informationsskyldighet i 23 § personuppgift-slagen behöver inte tillämpas om uppgifterna samlas in

1. genom bild- eller ljudupptagning eller

2. i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

Tillsynsmyndigheten ska inte kunna förena ett förbud att utföra viss behandling med vite.

Prop. 2011/12:45

78 Regeringens bedömning: Straffbestämmelsen i 49 §

personupp-giftslagen bör inte vara tillämplig.

Promemorians förslag och bedömning överensstämmer med regering-ens.

Remissinstanserna: Säkerhets- och integritetsskyddsnämnden har anfört att behovet av en förstärkt tillsyn bör övervägas i den vidare beredningen varvid särskild uppmärksamhet ska fästas vid frågan om huruvida den enskildes rätt till effektivt rättsmedel kommer att tillgodoses.

Migrationsverket påpekar att frågan om kontroll och tillsyn av verk-samheten, både internt och externt, kräver ett särskilt övervägande ifall inte en tillsynsmyndighet bör få ett mandat för att kunna genomföra en mer omfattande tillsyn när det gäller behandling av personuppgifter i brottsbekämpande verksamhet.

Datainspektionen har inget att erinra mot att möjligheterna att besluta om förhandskontroll enligt 41 § personuppgiftslagen behålls. Samma möjlighet finns i den lagstiftning som ska träda ikraft för polisens be-handling av personuppgifter. I praktiken har dock det nuvarande syste-met med förhandskontroll för polisen tagits bort och ersatts med en be-stämmelse i polisdataförordningen (2010:1155) om krav på samråd med Datainspektionen. När polisen planerar nya it-system av större omfatt-ning eller nya it-system som kan innebära särskilda risker för intrång i den personliga integriteten, ska den ansvariga myndigheten samråda med Datainspektionen i god tid innan beslut i frågan fattas. Enligt Datain-spektionens mening innebär ett sådant system bättre förutsättningar för att skydda den personliga integriteten än ett system med förhandskontroll och det gäller även i förhållande till Kustbevakningens verksamhet.

Riksarkivet tillbakavisar föreslagen reglering i 2 § första stycket andra och tredje punkten samt andra stycket med hänvisningar till personupp-giftslagen eftersom regleringen inte är klargörande utan snarast förvir-rande. Förslaget är onödigt.

Övriga remissinstanser har inte haft något att anföra mot förslaget eller bedömningen.

Skälen för regeringens förslag och bedömning Allmänna utgångspunkter

Nedan redovisas de bestämmelser i personuppgiftslagen som föreslås vara tillämpliga vid behandling av personuppgifter i Kustbevakningens verksamhet. Övriga bestämmelser i personuppgiftslagen är därmed an-tingen inte tillämpliga på det område som ska omfattas av den nya lagen eller föreslås ersättas av bestämmelser i denna. Som redogjorts för ovan gäller samma lagstiftningsteknik för Tullverkets brottsbekämpande verk-samhet och den nya polisdatalagen.

Regeringen delar inte Riksarkivets uppfattning att hänvisningarna till personuppgiftslagen är onödiga.

Prop. 2011/12:45

79 Definitioner (3 §)

I 3 § personuppgiftslagen definieras vissa begrepp som är centrala vid behandling av personuppgifter. Där definieras t.ex. vad personuppgifter är (”All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.”) och vad som utgör behandling av person-uppgifter (”Varje åtgärd eller serie åtgärder som vidtas i fråga om per-sonuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. in-samling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning och annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.”). Enligt regeringens bedömning saknas det anledning att definiera begrepp som förekommer i den föreslagna lagen på något annat sätt än i 3 § personuppgiftslagen. En hänvisning till 3 § personuppgiftslagen bör därför tas in i den nya lagen.

Förhållandet till offentlighetsprincipen (8 §)

I 8 § första stycket personuppgiftslagen erinras om att personuppgifts-lagen inte ska tillämpas i den utsträckning det skulle inskränka en myn-dighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihets-förordningen, som reglerar allmänna handlingars offentlighet. Bestäm-melsen är en ren upplysning och markering av offentlighetsprincipens företräde.

I paragrafens andra stycke anges att bestämmelserna inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkiv-material tas om hand av en arkivmyndighet.

I klargörande syfte föreslår regeringen att en hänvisning till bestäm-melserna i 8 § personuppgiftslagen tas in i den nya lagen. Det bör dock tydliggöras att bestämmelserna i 8 § andra stycket inte är tillämpliga när uppgifter ska gallras enligt särskilda bestämmelser i den nya lagen. Ut-gallrade uppgifter bör som utgångspunkt inte få bevaras i ett digitalt arkiv och vara elektroniskt åtkomliga för arkivändamål, om inte särskilda föreskrifter meddelas med undantag från den nya lagens gallringsbe-stämmelser som tillåter ett bevarande.

Grundläggande krav på behandlingen av personuppgifter (9 §)

Några av personuppgiftslagens viktigaste bestämmelser om behandling av personuppgifter finns i 9 §. Där uppställs vissa grundläggande krav på den personuppgiftsansvarige. I första stycket a) och b) anges att den personuppgiftsansvarige ska se till att personuppgifter endast behandlas om det är lagligt och att personuppgifter alltid ska behandlas på ett kor-rekt sätt och i enlighet med god sed. Enligt e) – h) ska den ansvarige se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgif-ter behandlas än vad som är nödvändigt, att de personuppgifpersonuppgif-ter som be-handlas är riktiga och om nödvändigt aktuella samt att alla rimliga åtgär-der vidtas för att rätta, blockera eller utplåna sådana personuppgifter som

Prop. 2011/12:45

80 är felaktiga eller ofullständiga med hänsyn till ändamålet med

behand-lingen.

Enligt regeringens bedömning är det naturligt att dessa krav tillämpas även vid behandling av personuppgifter i Kustbevakningens verksamhet.

Den nya lagen bör därför hänvisa till 9 § första stycket a), b) och e) – h) personuppgiftslagen.

I 9 § första stycket c) personuppgiftslagen anges att personuppgifter får samlas in bara för särskilda, uttryckligt angivna ändamål och i punkten d) att personuppgifter inte får behandlas för något ändamål som är ofören-ligt med det för vilket uppgifterna samlades in. Regeringen kommer att föreslå uttryckligt angivna ändamål för vilka personuppgiftsbehandling i Kustbevakningens verksamhet ska få ske. För att tydliggöra att person-uppgifter endast får samlas in för sådana preciserade ändamål bör det därför tas in en hänvisning till 9 § första stycket c) personuppgiftslagen i den nya lagen.

Punkten d) ger uttryck för den s.k. finalitetsprincipen. Den persongiftsansvarige bör liksom för närvarande ha till uppgift att tillse att upp-gifter inte behandlas för ändamål som är oförenliga med insamlingsän-damålet. Det finns därför skäl att göra en hänvisning även till 9 § första stycket d) personuppgiftslagen.

I 9 § första stycket i) och tredje stycket personuppgiftslagen finns be-stämmelser om hur länge uppgifter får bevaras. Frågan om gallring och bevarande av uppgifter bör enligt regeringens mening regleras särskilt i den nya lagen och någon hänvisning till personuppgiftslagens bestäm-melser om hur länge uppgifter får bevaras behövs därför inte.

Frågor om bevarande och gallring behandlas i avsnitt 16.

Behandling av personnummer och samordningsnummer (22 §)

I 22 § personuppgiftslagen föreskrivs att uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifi-ering eller något annat beaktansvärt skäl. Personnummer eller samord-ningsnummer bör således inte användas av ren slentrian. Bestämmelserna innebär att den personuppgiftsansvarige måste göra en intresseavväg-ning. Tyngden av de skäl som talar för att behandlingen av personnum-mer eller samordningsnumpersonnum-mer är påkallad måste således vägas mot be-hovet av skydd för den personliga integriteten. Principen bör enligt rege-ringens mening gälla även vid behandling av personuppgifter i Kustbe-vakningens arbete. Av integritetsskäl kan det många gånger vara nöd-vändigt att använda personnummer med hänsyn till den större säkerhet för en riktig identifiering som detta innebär.

Sammanfattningsvis finner regeringen att den nya lagen bör hänvisa även till 22 § personuppgiftslagen.

Information till den registrerade (23 och 25–27 §§)

Av 23 § personuppgiftslagen framgår att den personuppgiftsansvarige självmant ska informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som lämnas är enligt

Prop. 2011/12:45

81 25 § uppgift om den personuppgiftsansvariges identitet, ändamålen med

behandlingen samt övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information ska också, enligt 26 § personuppgiftslagen, lämnas på begäran av den regi-strerade. Om uppgifter behandlas ska information lämnas om vilka upp-gifter det rör sig om, varifrån uppupp-gifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Information behöver dock inte lämnas om person-uppgifter i löpande text som inte har fått sin slutliga utformning när an-sökan gjordes, eller som utgör minnesanteckning eller liknande, under förutsättning att uppgifterna inte har lämnats ut till tredje man. För in-formation efter begäran av en registrerad gäller särskilda bestämmelser.

Rätten till information gäller enligt 27 § personuppgiftslagen inte om det i lag eller annan författning, eller i beslut som har meddelats med stöd av författning, särskilt föreskrivits att uppgifter inte får lämnas ut till den registrerade. Information behöver alltså inte lämnas ut om sådana förhål-landen för vilka sekretess gäller.

Dessa bestämmelser utgör enligt regeringens bedömning i allt väsent-ligt en lämplig avvägning mellan den enskildes intresse av att få inform-ation om vilken behandling som sker av uppgifter om denne och Kustbe-vakningens intresse av effektivitet i verksamheten. En hänvisning till bestämmelserna bör därför införas i den nya lagen. Det bör dock övervä-gas om det i den nya lagen behövs undantag från informationsskyldig-heten för viss insamling av uppgifter som t.ex. insamling genom bild och ljud och insamling i samband med larm.

I sin operativa verksamhet bedriver Kustbevakningen bl.a. spaning med kustbevakningsflyget. I samband med det görs insamling genom bild och ljud, t.ex. filmning av oljeutsläpp från fartyg. I en sådan situat-ion framstår det enligt regeringen inte bara som orimligt utan också som praktiskt ogörligt att informera den person eller de personer som kan tänkas fångas på bild om att deras personuppgifter behandlas. Värdet av sådan information kan också ifrågasättas. Mot denna bakgrund bör det inte krävas att Kustbevakningen tillämpar 23 § personuppgiftslagen vid insamling av personuppgifter genom bild och ljud.

När det kommer till undantag gällande insamling av uppgifter vid larm anför regeringen följande. Av Datainspektionens allmänna råd om in-formation till registrerade enligt personuppgiftslagen framgår att inform-ation enligt 23 § personuppgiftslagen bör lämnas muntligen när person-uppgifter samlas in vid telefonkontakt eller annan muntlig kontakt. I praktiken uppstår emellertid inte sällan svårigheter att lämna information om behandlingen till den som ringer upp i avsikt att larma eller lämna en motsvarande brådskande underrättelse som kräver omedelbar åtgärd.

Både med hänsyn till risken för försening av den åtgärd som efterfrågas i det enskilda fallet och till risken för negativa konsekvenser i stort för den verksamhet som bedrivs är det inte rimligt att kräva att det alltid lämnas information i samband med larm. Regeringen ifrågasätter även, i likhet med promemorian, om personen i fråga som larmar över huvud taget är intresserad av att i den aktuella situationen få information om att lämnade personuppgifter kan komma att behandlas automatiserat. Vidare torde alla som vänder sig till en myndighet i en sådan situation redan känna till

Prop. 2011/12:45

82 att uppgifter registreras i någon form av automatiserat register. Den

regi-strerade får därmed antas känna till vem den personuppgiftsansvarige är och ändamålen med behandlingen. Regeringens bedömning är att in-formationen inte ska behöva lämnas vid larm om det med hänsyn till omständigheterna inte finns tid att lämna informationen. Regeringen föreslår att detta klart framgår av den nya lagen. Bedömningen av om information ska lämnas bör göras från fall till fall.

Rättelse (28 §)

I 28 § personuppgiftslagen anges att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med personupp-giftslagens bestämmelser. När en personuppgiftsansvarig rättar en per-sonuppgift, ska underrättelse lämnas till tredje man som har fått del av uppgiften, om den registrerade begär det eller om mer betydande skada eller olägenhet därigenom kan undvikas. Sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller om det skulle inne-bära en oproportionerligt stor arbetsinsats.

Det är viktigt att personuppgifter som behandlats felaktigt hos en myn-dighet rättas så att intrång i den personliga integriteten kan begränsas.

Bedömningen av om en uppgift har behandlats på ett felaktigt sätt måste göras mot bakgrund av de bestämmelser som gäller för behandlingen, oavsett om det är grundläggande regler i personuppgiftslagen eller speci-albestämmelser som gäller för Kustbevakningen. Regeringen föreslår därför att bestämmelserna i 28 § personuppgiftslagen ska tillämpas vid behandling av personuppgifter i Kustbevakningens verksamhet.

Säkerheten vid behandling (30–32 §§)

I 30–32 §§ personuppgiftslagen finns regler om hur den personuppgifts-ansvarige ska organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Det rör sig om instruktioner till personalen samt tekniska och organisatoriska åtgärder. Dessa bestämmelser ska vara till-lämpliga i Kustbevakningens verksamhet, vilket innebär att det måste finnas bestämda rutiner för hanteringen av personuppgifter. Det kan t.ex.

behövas såväl tekniska lösningar för datorsystemen som olika behörig-hetsnivåer för skilda personalkategorier, för att garantera att regleringen i den föreslagna lagen kan efterlevas.

Med hänsyn till att tillsynsmyndigheten inte bör ha möjlighet att förena förbud med vite (se nedan under rubriken Tillsynsmyndighetens befo-genheter) bör någon hänvisning till 32 § andra stycket personuppgifts-lagen inte göras i den nya personuppgifts-lagen.

Överföring av personuppgifter till tredjeland (33–35 §§)

Personuppgifter som är under behandling får enligt 33 § personuppgift-slagen inte föras över till tredjeland, dvs. en stat som inte ingår i EU eller är ansluten till Europeiska ekonomiska samarbetsområdet (EES) om inte det mottagande landet har en adekvat nivå för skyddet av

personuppgif-Prop. 2011/12:45

83 ter. Från förbudet finns vissa undantag i 34 §, bl.a. för överföring till

länder som har anslutit sig till dataskyddskonventionen. Enligt 35 § har regeringen också möjlighet att föreskriva ytterligare undantag från förbu-det, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse. Re-geringen har härvid att förhålla sig till bestämmelsen i 2 kap. 6 § andra stycket regeringsformen, dvs. de föreskrifter regeringen meddelar får inte innebära ett betydande intrång i den personliga integriteten. I data-skyddsdirektivets ingresspunkt 58 nämns utbyte av uppgifter mellan bl.a.

tullmyndigheter och skattemyndigheter som ett sådant viktigt intresse och i 3 § förordningen (2000:1222) om internationellt tullsamarbete, som också är tillämplig på Kustbevakningen, finns en bestämmelse om un-dantag från 33 § personuppgiftslagen.

Regeringen anser att förbudet mot överföring till tredjeland som inte har tillräckliga skyddsnivåer, och de undantag från förbudet som före-skrivs, bör vara tillämpliga även på behandling enligt den här föreslagna lagstiftningen.

Upplysningar till allmänheten, personuppgiftsombudets uppgifter m.m.

(38–42 §§)

Automatiserade behandlingar av personuppgifter ska enligt 36 § första stycket personuppgiftslagen anmälas till tillsynsmyndigheten (Datain-spektionen). Anmälan behöver dock enligt 3 § personuppgiftsförordning-en (1998:1191) inte göras för behandlingar som regleras gpersonuppgiftsförordning-enom särskilda föreskrifter i lag eller förordning. Det finns därför enligt regeringen inte någon anledning att ställa krav på anmälningsskyldighet för behandlingar som utförs med stöd av den föreslagna lagen. Någon hänvisning till 36 § första stycket personuppgiftslagen behövs således inte.

Den personuppgiftsansvarige kan enligt 36 § andra stycket personupp-giftslagen utse ett personuppgiftsombud. Om ett sådant ombud utses, ska bestämmelserna om ombudets skyldigheter i 38–40 §§ personuppgifts-lagen tillämpas. I personuppgiftsombudets skyldigheter ingår bl.a. att se till att behandlingen av personuppgifter sker på ett lagligt sätt och att hjälpa registrerade att få rättelse. Den personuppgiftsansvarige ska an-mäla ombudet till Datainspektionen. Även entledigande ska anan-mälas till inspektionen. I avsnitt 9.5 föreslås en särskild bestämmelse om skyldig-het för Kustbevakningen att utse personuppgiftsombud och att anmäla till Datainspektionen när ett sådant ombud utses och entledigas. Någon hän-visning till 36 § andra stycket behövs därför inte. Den nya lagen bör dock hänvisa till 38–40 §§ personuppgiftslagen där ombudets skyldigheter regleras.

Regeringen har enligt 41 § personuppgiftslagen möjlighet att före-skriva att vissa särskilt känsliga behandlingar ska anmälas till Datain-spektionen för förhandskontroll. Denna möjlighet bör regeringen även ha i fråga om sådana behandlingar som utförs i Kustbevakningen. Den nya lagen bör därför innehålla en hänvisning till denna paragraf.

Enligt 42 § personuppgiftslagen ska den personuppgiftsansvarige, till den som begär det, lämna upplysningar om de behandlingar av person-uppgifter som utförs och som inte har anmälts till Datainspektionen. Det är från integritetssynpunkt viktigt att den enskilde på ett snabbt och

en-Prop. 2011/12:45

84 kelt sätt kan få besked av Kustbevakningen om vilka behandlingar som

utförs även för sådana fall då den behandling som utförs inte omfattas av någon anmälningsskyldighet till Datainspektionen. Regeringen föreslår därför att en hänvisning till 42 § personuppgiftslagen förs in i den nya lagen.

Tillsynsmyndighetens befogenheter (43–45 och 47 §§)

Datainspektionen ska som tillsynsmyndighet bl.a. verka för att männi-skor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter (1 och 2 §§ förordningen [2007:975] med instruktion för Datainspektionen och 2 § personuppgiftsförordningen).

För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen vissa befogenheter gentemot personuppgiftsan-svariga. Datainspektionens befogenheter i förhållande till Kustbevak-ningen regleras i dag i personuppgiftslagen och personuppgiftsförord-ningen. Enligt regeringens mening är det rimligt att Datainspektionen fortsättningsvis i stort sett har samma befogenheter vid tillsyn över Kust-bevakningens personuppgiftsbehandling.

Enligt 43 § personuppgiftslagen har Datainspektionen möjlighet att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler. Regeringen föreslår att en hänvisning till paragrafen tas in i den nya lagen.

Om Datainspektionen inte efter en begäran enligt 43 § personuppgift-slagen får tillräckligt underlag för att konstatera att personuppgiftsbe-handlingen är laglig, får myndigheten med stöd av 44 § vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än att lagra dem. Beträffande myndigheters personuppgiftsbehand-ling har man valt olika lösningar när det gäller Datainspektionens möj-lighet att meddela sådana förbud. En sådan möjmöj-lighet finns exempelvis inte enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och inte heller enligt lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelse-verksamhet och militära säkerhetstjänst. Däremot har Datainspektionen möjlighet att meddela sådana förbud enligt lagen (1999:90) om behand-ling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.

Den ordningen har också valts i den nya polisdatalagen (2 kap. 2 § polis-datalagen och prop. 2009/10:85 s. 89 f.).

När det gäller frågan om Datainspektionen bör ha rätt att förbjuda be-handling av personuppgifter i Kustbevakningens verksamhet kan det inledningsvis konstateras att det i dag inte finns någon enhetlig lösning.

Kustbevakningen behandlar visserligen personuppgifter i betydligt mer begränsad utsträckning än polisen, men det finns ett värde i att reglering-en av personuppgiftsbehandlingreglering-en är likartad när det gäller myndigheter med brottsbekämpande uppgifter. Förutsättningarna för behandlingen av personuppgifter i den brottsbekämpande verksamheten – där riskerna för den personliga integriteten är störst – föreslås också motsvara dem som gäller för polisens del. Några direkta nackdelar med att införa en sådan ordning också för Kustbevakningens del är svåra att se. Detta talar för att Datainspektionen bör kunna förbjuda viss behandling, om det någon

Prop. 2011/12:45

85 gång skulle inträffa att inspektionen inte får tillgång till tillräckligt

un-derlag för att kunna bedöma personuppgiftsbehandlingen. En hänvisning

un-derlag för att kunna bedöma personuppgiftsbehandlingen. En hänvisning