Tillsynsmyndighetens uppgifter

15.4.1 Allmän tillsyn

Regeringens förslag: Tillsynsmyndigheten ska utöva allmän tillsyn

över Säkerhetspolisens personuppgiftsbehandling.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna: Datainspektionen välkomnar förslaget i denna del.

Säkerhetspolisen anser att det bör införas en bestämmelse i den nya lagen

som motsvarar 5 kap. 1 § brottsdatalagen om tillsynsmyndighetens uppdrag. Övriga remissinstanser yttrar sig inte särskilt i denna del.

Skälen för regeringens förslag: Enligt 5 kap. 2 § 1 brottsdatalagen ska

tillsynsmyndigheten utöva allmän tillsyn över personuppgiftsbehandling. På motsvarande sätt som i brottsdatalagen bör det av Säkerhetspolisens nya lag framgå att tillsynsmyndigheten ska utöva allmän tillsyn. Med detta avses rättslig tillsyn över hur Säkerhetspolisen följer regelverket för behandling av personuppgifter. Sådan tillsyn har av naturliga skäl främst ett tillbakablickande perspektiv. Den inriktas i första hand på att kontrollera om behandlingen av personuppgifter är författningsenlig och

Prop. 2018/19:163 utförs normalt genom granskning av dokumentation och inspektioner på plats.

Uppgiften att bedriva allmän tillsyn över Säkerhetspolisens person- uppgiftsbehandling kräver delvis andra överväganden än tillsynen över andra brottsbekämpande myndigheters personuppgiftsbehandling. Det beror på att tillsynen, som beskrivs i avsnitt 15.1.2, inte i samma utsträckning som annars kan bygga på klagomål från allmänheten och mediegranskning. Den allmänna tillsynen måste i stället bygga på att de som utövar tillsyn har goda kunskaper om både verksamheten och de risker för den personliga integriteten som personuppgiftsbehandlingen kan föra med sig.

En särskild fråga är om tillsynen bör omfatta både Säkerhetspolisen och eventuella personuppgiftsbiträden som myndigheten anlitar. När det gäller Säkerhetspolisens verksamhet är de faktiska möjligheterna att låta personuppgiftsbiträden hantera personuppgifter i den operativa verksam– heten betydligt mer begränsade än i annan brottsbekämpande verksamhet på grund av sekretessens omfattning. Behovet av att låta tillsynen omfatta personuppgiftsbiträden är därmed begränsat. Det finns emellertid inte skäl att ha en annan lösning för tillsynen enligt Säkerhetspolisens datalag än den som gäller för andra brottsbekämpande myndigheter. Tillsynen bör således även omfatta personuppgiftsbehandling som personuppgifts– biträden utför enligt lagen.

Säkerhetspolisen anser att det i den nya lagen bör införas en

bestämmelse som motsvarar 5 kap. 1 § brottsdatalagen om tillsyns- myndighetens uppdrag. I paragrafen föreskrivs att tillsynsmyndigheten ska verka för att både fysiska personers grundläggande rättigheter och friheter skyddas i samband med personuppgiftsbehandling och för att underlätta det fria flödet av personuppgifter inom ramlagens område. Att bestämmelsen infördes i brottsdatalagen berodde på att dataskydds- direktivet krävde det. Något motsvarande krav finns inte här. Vidare kan de dubbla syften som anges i brottsdatalagens bestämmelse komma att strida mot varandra i vissa fall. Mot den bakgrunden och då utredningen inte har föreslagit att det införs en sådan bestämmelse, ser inte heller regeringen skäl för att det tas in en motsvarande bestämmelse i den nya lagen.

15.4.2 Förhandssamråd och annat råd och stöd

Regeringens förslag: Tillsynsmyndigheten ska vid förhandssamråd

och när det i övrigt är påkallat ge råd och stöd till Säkerhetspolisen och personuppgiftsbiträden om deras skyldigheter enligt lag eller annan författning.

Utredningens förslag överensstämmer i sak med regeringen.

Remissinstanserna: Datainspektionen tillstyrker utredningens förslag

att Säkerhetspolisen endast ska samråda med inspektionen, men att Datainspektionen inom ramen för samrådet ska låta nämnden yttra sig om det är lämpligt. Övriga remissinstanser yttrar sig inte särskilt i denna del.

Skälen för regeringens förslag Prop. 2018/19:163

Dagens samrådsskyldighet

Enligt 2 § polisdataförordningen ska Säkerhetspolisen samråda med Datainspektionen i god tid innan beslut fattas om nya it-system av större omfattning eller betydande förändringar genomförs i befintliga it-system om de kan innebära särskilda risker för intrång i den personliga integriteten. Om det krävs ska Säkerhetspolisen även samråda med nämnden.

Säkerhetspolisen samråder normalt med båda myndigheterna. Deras rådgivning skiljer sig åt på så sätt att Datainspektionen lämnar mer omfattande och generella synpunkter, medan nämndens uttalanden oftast är kortare och riktar in sig mer på konkreta frågor om person- uppgiftsbehandlingen. Den dubbla samrådsskyldigheten har kritiserats eftersom det finns risk att tillsynsmyndigheterna lämnar motstridiga råd (jfr skr. 2015/16:188 s. 31 f.).

Tillsynsmyndighetens skyldigheter vid förhandssamråd

I avsnitt 13.2.5 föreslås att Säkerhetspolisen ska samråda med tillsynsmyndigheten om en konsekvensbedömning visar särskild risk för intrång i registrerades personliga integritet eller om typen av behandling innebär särskild risk för intrång. Förhandssamrådet motsvarar i stort det samråd som regleras i 2 § polisdataförordningen.

Tillsynsmyndighetens skyldigheter vid samråd är i dag inte närmare reglerade. Som framgår av avsnitt 13.2.5 bör Säkerhetspolisens skyldigheter vid förhandssamråd regleras på samma sätt som i brottsdata- lagen. Tillsynsmyndigheten bör då också ha i huvudsak motsvarande skyldigheter. Det innebär att tillsynsmyndigheten bör vara skyldig att lämna skriftliga råd i vissa fall. Den närmare utformningen av tillsynsmyndighetens skyldigheter vid förhandssamråd kan dock regleras på lägre författningsnivå.

Nämndens roll vid förhandssamråd

Frågan är om Säkerhetspolisen även i fortsättningen bör ha samma skyldighet att samråda med nämnden som i dag.

Nämndens tillsynsuppdrag avser rättslig granskning i efterhand och uttalanden om behov av förändringar i verksamheten eller i lagstiftningen. I förarbetena framhålls att planerade åtgärder inte kan bli föremål för granskning och att nämndens verksamhet således inte kan uppfattas som ett godkännande av framtida åtgärder (prop. 2006/07:133 s. 63). Även om tyngdpunkten i nämndens tillsyn alltjämt kommer att vara tillsyn i efterhand bör nämnden inte stängas ute vid överväganden som kan komma att påverka den framtida personuppgiftsbehandlingen. Eftersom Datainspektionens och nämndens kompetens och erfarenheter kompletterar varandra anser regeringen, i likhet med utredningen, att nämnden även i fortsättningen bör ha en roll vid förhandssamråd.

Det är dock inte lämpligt att behålla den dubbla samrådsskyldigheten som den är utformad i dag. I stället bör inspektionen, om det är lämpligt, ge nämnden tillfälle att yttra sig inom ramen för förhandssamrådet. Nämnden bör då också ha rätt att ta del av underlaget för

Prop. 2018/19:163 förhandssamrådet. Nämnden får på det sättet möjlighet att lämna synpunkter utan att det uppfattas som ett godkännande av viss behandling på förhand. Den lösningen innebär att risken för att Säkerhetspolisen får motstridiga råd kan undvikas. Skulle Säkerhetspolisen föreslå att Datainspektionen låter nämnden yttra sig bör inspektionen givetvis beakta det. Detta kan regleras på förordningsnivå.

Annat råd och stöd

En viktig uppgift vid tillsyn är att tillsynsmyndigheten även i andra fall än vid förhandssamråd lämnar råd och stöd till personuppgiftsansvariga och personuppgiftsbiträden om deras skyldigheter enligt lagstiftningen. Att tillsynsmyndigheten har en sådan uppgift framgår därför i dag av 5 kap. 4 § brottsdatalagen. Eftersom Säkerhetspolisen har samma behov som andra brottsbekämpande myndigheter av att rådgöra med tillsyns- myndigheten, bör tillsynsmyndigheten ha samma rådgivande uppgifter som anges i brottsdatalagen. Av hänsyn till tillsynsmyndighetens oberoende bör bestämmelsen utformas så att det, förutom vid förhands- samråd, tydligt framgår att myndigheten själv avgör när råd och stöd kan vara påkallat.