• No results found

Tillsynsmyndighetens befogenheter

15 Tillsyn

15.5 Tillsynsmyndighetens befogenheter

15.5.1 Undersökningsbefogenheter

Regeringens förslag: Tillsynsmyndigheten ska ha rätt att av Säkerhets-

polisen och personuppgiftsbiträden på begäran få 1. tillgång till alla personuppgifter som behandlas,

2. upplysningar om och dokumentation av behandlingen av person- uppgifter och säkerhets- och skyddsåtgärder,

3. tillträde till lokaler som Säkerhetspolisen eller personuppgifts- biträdet disponerar samt tillgång till utrustning och andra medel för behandling av personuppgifter, och

4. den hjälp och den information som behövs för tillsynen.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig i denna del.

Skälen för regeringens förslag: Rättslig tillsyn består till stor del av

granskning av dokumentation. Tillsynsmyndigheten behöver därför tillgång till de personuppgifter som behandlas. Tillsynsmyndigheten be– höver även upplysningar och dokumentation om pågående behandlingar. Därutöver bör tillsynsmyndigheten ha rätt till annan information, bl.a. dokumentation av säkerhets- och skyddsåtgärder samt dokumentation som inte är direkt kopplad till den behandling som granskas, men som tillsynsmyndigheten ändå behöver för att genomföra sin tillsyn. I 5 kap. 5 § brottsdatalagen föreskrivs därför att tillsynsmyndigheten ska ges tillgång till de personuppgifter som behandlas, tillgång till dokumentation om behandlingen av dem och övrig dokumentation som behövs för tillsynen. Motsvarande reglering bör även tas in i Säkerhetspolisens nya lag.

Regeringen uttalar i förarbetena till brottsdatalagen att det normala Prop. 2018/19:163 förfarandet bör vara att tillsynsmyndigheten tar hjälp av personal vid den

granskade myndigheten för att få tillgång till behandlade personuppgifter. Tillgång på det sättet ska inte betraktas som en rätt till direktåtkomst. I vissa fall skulle det dock kunna underlätta om tillsynsmyndigheten själv i samband med en inspektion på plats får använda datorer och andra medel som tillsynsobjektet använder. En sådan möjlighet torde dock förutsätta att tillsynsmyndigheten ges direktåtkomst till de behöriga myndigheternas information. Tillsynsmyndigheten bör därför ges tillgång till utrustning och andra medel som har anknytning till behandlingen av personuppgifter enbart med hjälp av tillsynsobjektets personal (prop. 2017/18:232 s. 291). Motsvarande bör gälla vid tillsynen över Säkerhetshetspolisens person- uppgiftsbehandling.

Tillsynsmyndigheten kan även behöva tillgång till lokaler, utrustning och andra medel som används för att behandla personuppgifter. En sådan bestämmelse finns i brottsdatalagen och bör vara densamma vid tillsynen över Säkerhetspolisens personuppgiftbehandling. Tillsynsmyndigheten bör inte ha rätt att med tvång skaffa sig tillgång till lokaler (jfr Integritet, Offentlighet, Informationsteknik, SOU 1997:39, s. 443 och Person- uppgiftslag, prop. 1997/98:44, s. 102). Att göra lokaler tillgängliga ingår dock i den personuppgiftsansvariges samarbetsskyldighet i förhållande till tillsynsmyndigheten (avsnitt 13.2.6).

I 5 kap. 5 § 4 brottsdatalagen föreskrivs att tillsynsmyndigheten har rätt att av den personuppgiftsansvariga på begäran få den hjälp och information som behövs för tillsynen. Sådant biträde kan bestå i att den granskade myndigheten gör lokaler, arkiv och databaser tillgängliga för tillsynsmyndigheten. En förutsättning för att få tillgång till de person– uppgifter som behandlas är att personal från Säkerhetspolisen bistår vid tillsynen genom att utföra de sökningar som behövs. Enligt regeringens uppfattning har tillsynsmyndigheten, på motsvarande sätt som i brottsdatalagen, behov av den typen av hjälp och en bestämmelse om det bör tas in i den nya lagen. Bestämmelsen bör utformas som motsvarande bestämmelse i brottsdatalagen. Vid sökningar som görs på direkt begäran av tillsynsmyndigheten bör Säkerhetspolisen inte vara bunden av de begränsningar i fråga om behandlingen av personuppgifter som annars gäller i verksamheten. Det kan t.ex. gälla ändamålen för behandlingen eller hur känsliga personuppgifter får behandlas.

Regeringen återkommer till frågan om vad tillsynsmyndigheten kan göra om Säkerhetspolisen eller personuppgiftsbiträdet inte uppfyller sina skyldigheter (avsnitt 15.5.4).

15.5.2 Både förebyggande och korrigerande

befogenheter behövs

Regeringens bedömning: Tillsynsmyndigheten bör ha både före-

byggande och korrigerande befogenheter.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del.

i Prop. 2018/19:163 Skälen för regeringens bedömning

Tydligare reglering av tillsynsmyndighetens befogenheter

I artikel 47.2 dataskyddsdirektivet görs tydlig skillnad mellan före– byggande och korrigerande befogenheter. Detta återspeglas i regleringen i brottsdatalagen genom att tillsynsmyndighetens befogenheter förebyggande respektive korrigerande syfte regleras i olika paragrafer som också speglar i vilken ordning befogenheterna ska användas. Det finns inga motsvarande krav när det gäller tillsyn över personuppgifts– behandling som rör nationell säkerhet. Enligt utredningen är det dock lämpligt att tillsynsmyndigheten får befogenheter som ger möjlighet att successivt använda kraftfullare medel och därigenom stegra påtryckningarna om Säkerhetspolisen inte självmant rättar sig efter tillsynsmyndighetens anvisningar. Regeringen delar den bedömningen. Det innebär att tillsynsmyndigheten bör ha både förebyggande och korrigerande befogenheter. Det bör vidare göras tydlig skillnad mellan de förebyggande och de korrigerande befogenheterna på samma sätt som i brottsdatalagen. Mot bakgrund av Säkerhetspolisens speciella verksamhet är det dock inte självklart att tillsynsmyndigheten bör ha alla de befogenheter som regleras i brottsdatalagen.

15.5.3 Förebyggande befogenheter

Regeringens förslag: Om tillsynsmyndigheten bedömer att det finns

risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå Säkerhetspolisen eller personuppgifts- biträdet att vidta åtgärder för att motverka den risken.

Tillsynsmyndigheten ska få utfärda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna: Datainspektionen anser att varningar bör vara

rättsligt bindande. Övriga remissinstanser yttrar sig inte i denna del.

Skälen för regeringens förslag

Råd och stöd

Om tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning ska den enligt 5 kap. 6 § första stycket brottsdatalagen genom råd, rekommenda- tioner eller påpekanden försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att minska den risken. Som nyss sagts bör tillsynsmyndigheten ha förebyggande befogenheter. En bestämmelse som motsvarar 5 kap. 6 § första stycket brottsdatalagen bör därför tas in i Säkerhetspolisens datalag.

På vilket sätt förändringen ska åstadkommas bör i första hand lämnas åt Säkerhetspolisen eller personuppgiftsbiträdet att avgöra. I många fall torde det vara tillräckligt att tillsynsmyndigheten upplyser om på vilket sätt

personuppgiftsbehandlingen riskerar att strida mot regelverket. Prop. 2018/19:163 Tillsynsmyndigheten är skyldig att lämna skriftliga råd vid förhandssam-

råd (avsnitt 13.2.5 och 15.4.2).

Varning

Enligt 5 kap. 6 § andra stycket brottsdatalagen får tillsynsmyndigheten utfärda varning i vissa fall. En varning är inte bindande utan är tänkt att kunna användas som ett påtryckningsmedel innan bindande föreläggande att vidta viss åtgärd utfärdas för att i ett enskilt fall markera allvaret. Därigenom kan det förebyggas att behandling som inte är förenlig med regelverket påbörjas. Varning får även användas om en pågående behandling riskerar att strida mot lag eller annan författning.

En varning ska vara skriftlig och tydligt ange på vilket sätt behandlingen riskerar att strida mot regelverket. En varning kan avse vilken form av förändring som helst i behandlingen, t.ex. vilka personuppgifter som får behandlas, hur ett behandlingsystem bör utformas, vilka säkerhetsåtgärder som krävs eller något annat som har betydelse för behandlingen. I förarbetena till brottsdatalagen ansåg regeringen att en varning inte ska vara bindande (prop. 2017/18:232 s. 295). Regeringen gör ingen annan bedömning nu.

Möjligheten att utfärda varning är ny. En varning är ett lämpligt komplement till de förebyggande åtgärder som finns i dag. En bestämmelse som motsvarar 5 kap. 6 § andra stycket brottsdatalagen bör därför tas in i Säkerhetspolisens datalag.

15.5.4 Korrigerande befogenheter

Regeringens förslag: Om tillsynsmyndigheten konstaterar att

personuppgifter behandlas i strid med lag eller annan författning eller att Säkerhetspolisen eller personuppgiftsbiträdet på något annat sätt inte fullgör sina skyldigheter, får tillsynsmyndigheten

1. genom förebyggande åtgärder försöka förmå Säkerhetspolisen eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,

2. förelägga Säkerhetspolisen eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter, eller

3. förbjuda fortsatt behandling om bristen är allvarlig.

Om tillsynsmyndigheten utfärdar ett föreläggande ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens förslag

Vilka åtgärder kan komma i fråga?

Om tillsynsmyndigheten konstaterar att Säkerhetspolisen eller person– uppgiftsbiträdet inte uppfyller kraven på författningsenlig personuppgifts–

Prop. 2018/19:163 behandling bör det finnas möjlighet för myndigheten att uppmana Säkerhetspolisen och biträdet att uppfylla sina skyldigheter. Det kan göras genom vissa av de åtgärder som normalt används i det förebyggande arbetet, nämligen råd, rekommendationer eller påpekanden. Om Säkerhetspolisen eller personuppgiftsbiträdet vidtar de åtgärder som krävs så snart tillsynsmyndigheten väcker en sådan fråga, torde det räcka med fortsatt dialog. Tillsynsmyndigheten behöver emellertid också kunna tvinga myndigheten eller personuppgiftsbiträdet att fullgöra sina skyldigheter. Medlen för det är i brottsdatalagen bindande förelägganden, förbud mot fortsatt behandling och beslut om sanktionsavgift.

Som framgår av avsnitt 16.2 bör sanktionsavgift inte kunna tas ut av Säkerhetspolisen. I övrigt bör tillsynsmyndigheten få samma korrigerande befogenheter som enligt brottsdatalagen.

Regleringen bör byggas upp på samma sätt som i brottsdatalagen, vilket innebär att åtgärderna i princip ska prövas i den ordning de anges i bestämmelsen. Det bör dock inte krävas att alla lindrigare åtgärder har beslutats. Om omständigheterna är sådana att det redan från början står klart att fortsatt behandling ska förbjudas, bör tillsynsmyndigheten kunna besluta om det utan att ha prövat någon annan åtgärd först.

Bindande förelägganden

I 5 kap. 7 § brottsdatalagen föreskrivs att tillsynsmyndigheten får förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig. Regleringen innebär att tillsynsmyndigheten kan utfärda bindande beslut som uppmanar tillsynsobjektet att vidta vissa åtgärder för att göra person– uppgiftsbehandlingen författningsenlig. Rättelse, radering och be– gränsning av behandlingen är exempel på åtgärder som tillsyns- myndigheten kan förelägga den personuppgiftsansvarige eller person– uppgiftsbiträdet att vidta. En motsvarande möjlighet att anta bindande förelägganden bör även gälla för tillsynsmyndigheten i den nya lagen.

När det gäller åtgärder för att göra personuppgiftsbehandlingen författningsenlig kan det i vissa fall vara lämpligt att tillsynsmyndigheten i föreläggandet anger vilken åtgärd som ska vidtas. I många andra fall är dock Säkerhetspolisen bättre lämpad att avgöra vad som bör göras för att behandlingen ska bli författningsenlig. Det kan t.ex. vara fråga om vilka tekniska åtgärder som bör vidtas eller vilka säkerhetslösningar som bör väljas. Tillsynsmyndigheten bör därför endast om det är lämpligt ange vilken åtgärd som ska vidtas. Däremot ska det alltid framgå när åtgärden ska vara genomförd.

Tillsynsmyndigheten bör även kunna förelägga Säkerhetspolisen att radera uppgiften (jfr prop. 2017/18:232 s. 297). Som framgår av avsnitt 14.4.2 kan radering sällan komma i fråga med hänsyn till reglerna i 2 kap. tryckfrihetsförordningen. Om tillsynsmyndigheten överväger att förelägga tillsynsobjektet att radera uppgiften måste myndigheten beakta att åtgärden inte får stå i strid med annan lagstiftning.

Förelägganden bör inte bara kunna utfärdas för att säkerställa att personuppgiftsbehandling ska vara författningsenlig. För att tillsyns– myndigheten ska ha effektiva befogenheter behöver den även kunna utfärda bindande förelägganden som tar sikte på att Säkerhetspolisen och

personuppgiftsbiträden ska uppfylla andra skyldigheter. Det kan t.ex. vara Prop. 2018/19:163 att införa bättre säkerhetslösningar, fullgöra dokumentationsskyldighet

eller att överlämna viss dokumentation eller ge tillträde till lokaler. Motsvarande möjlighet för tillsynsmyndigheten finns i brottsdatalagen.

Förbud mot fortsatt behandling

Med förbud mot fortsatt behandling avses att någon behandling inte längre får förekomma. Personuppgifter får dock alltid behandlas om det är nödvändigt med hänsyn till reglerna i 2 kap. tryckfrihetsförordningen.

I 5 kap. 7 § brottsdatalagen finns en bestämmelse om förbud mot fortsatt behandling. En motsvarande bestämmelse bör tas in i Säkerhetspolisens nya datalag. I flera lagstiftningsärenden har det ansetts naturligt att förbud mot fortsatt behandling även bör kunna riktas mot myndigheter (prop. 2009/10:85 s. 275 och Domstolsdatalag, prop. 2014/15:148, s. 89). Åtgärden bör dock på samma sätt som i dag användas restriktivt (jfr prop. 1997/98:44 s. 103). Förbud mot fortsatt behandling bör bara kunna meddelas om en myndighet på ett allvarligt sätt har åsidosatt sina skyldigheter och bristerna är sådana att de inte kan åtgärdas på annat sätt än att behandlingen upphör (jfr Myndighetsdatalag, SOU 2015:39, s. 626 f.).

Att en personuppgift har behandlats på ett sådant sätt att förbud mot fortsatt behandling aktualiseras behöver inte innebära att all behandling av uppgiften måste upphöra. Förbudet måste kopplas till vad som föranledde åtgärden (jfr avsnitt 14.4.3). Hur omfattande förbudet blir beror på vilken typ av personuppgift det är och hur den har behandlats.

Ett förbud mot fortsatt behandling bör normalt vara permanent. I vissa fall kan dock ett tillfälligt förbud vara en lämplig åtgärd, t.ex. om Säkerhetspolisen trots påpekande eller varning från tillsynsmyndigheten har påbörjat otillåten personuppgiftsbehandling och myndigheten bedömer att bristerna kan rättas till.