Uttryck i lagen

Regeringens förslag: Vissa av de uttryck som används i den nya lagen

ska definieras.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna: Ingen av remissinstanserna yttrar sig särskilt i

Prop. 2018/19:163 Skälen för regeringens förslag

Definitionerna i den nya lagen bör så långt möjligt överensstämma med brottsdatalagens definitioner

Genom hänvisningar i 2 kap. 2 § 1 och 6 kap. 4 § 1 polisdatalagen gäller definitionerna i 3 § personuppgiftslagen av vissa uttryck som är centrala vid behandling av personuppgifter för Säkerhetspolisen. Även i den nya lagen bör vissa centrala uttryck definieras.

I 1 kap. 6 § brottsdatalagen definieras vissa uttryck som används i den lagen. Definitionerna överensstämmer i allt väsentligt med definitionerna i dataskyddsförordningen. Säkerhetspolisen kommer att tillämpa både dataskyddsförordningen och brottsdatalagen i delar av sin verksamhet. För att underlätta tillämpningen bör definitionerna i den nya lagen därför så långt möjligt överensstämma med de definitioner som används i brottsdatalagen. Det innebär att motsvarande definitioner som tidigare använts i personuppgiftslagen inte bör användas i den mån de avviker från brottsdatalagens terminologi, trots att de har tillämpats under lång tid och stämmer bättre överens med terminologin i svensk lagstiftning (prop. 2017/18:232 s. 84).

Nedan följer en redogörelse för ett antal centrala definitioner som bör finnas i den nya lagen. Regeringen återkommer till definitionerna av dataskyddsombud (avsnitt 13.3.1), internationell organisation (av- snitt 17.2), personuppgiftsansvarig (avsnitt 13.1.1), personuppgiftsbiträde (avsnitt 13.4.1), tredjeland (avsnitt 17.2) och tredje man (avsnitt 14.3.2).

Behandling av personuppgifter

I brottsdatalagen avses med behandling av personuppgifter en åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, be- arbetning eller ändring, framtagning, läsning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, sammanföring, begränsning, radering eller förstöring. Uttrycket omfattar alla åtgärder som vidtas med personuppgifter. Uttrycket är centralt och definitionen bör var densamma som i brottsdatalagen.

Biometriska uppgifter

Varken 1995 års dataskyddsdirektiv eller personuppgiftslagen innehåller någon definition av biometriska uppgifter. Inte heller i andra författningar finns det någon sådan definition, men uttrycket biometriska data används i bl.a. passlagen (1978:302).

Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd identitet är riktig. Den baseras på mätning av fysiska karaktärsdrag hos den som ska identifieras (jfr propositionen Fingeravtryck i pass, prop. 2008/09:132, s. 6 f.). När det gäller pass är det framför allt mönster av fingeravtryck, ansiktsgeometri och ögats iris som används, men även regnbågshinna, näthinna, röst, hand, blodkärl, dna eller gång går att använda. Gemensamt för teknikerna är att kroppen mäts elektroniskt. Biometriska uppgifter är den information som kan tas fram ur ett biometriskt underlag. Dessa

uppgifter kan användas för att skapa en referensmall eller för att jämföra Prop. 2018/19:163 med tidigare lagrade referensmallar i syfte att kontrollera en persons

identitet.

Biometriska uppgifter definieras i brottsdatalagen som personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga känne- tecken, som tagits fram genom särskild teknisk behandling och som möj- liggör eller bekräftar unik identifiering av personen i fråga. Definitionen bör användas även i den nya lagen.

Fotografier och filmer som inte bearbetas tekniskt i syfte att åstad- komma unik identifiering faller utanför definitionen. Bearbetning av bilder av personer för att förbättra bildkvaliteten, förstärka detaljer och liknande omfattas alltså inte. Om bilder däremot bearbetas i exempelvis ett ansiktsigenkänningsprogram i syfte att identifiera personer omfattas de av definitionen. Det kan även anmärkas att sådana personuppgifter, t.ex. fingeravtryck, som förekommer i ett utlåtande som baseras på en teknisk bearbetning av biometriska uppgifter däremot inte i sig utgör biometriska uppgifter.

Definitionen omfattar Säkerhetspolisens hantering av fingeravtryck. Fingeravtryck som har tagits med stöd av rättegångsbalken eller lagen (1991:572) om särskild utlänningskontroll får behandlas i de fingerav- trycks- och signalementsregister som Polismyndigheten för enligt 5 kap. 11 § polisens brottsdatalag. Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får också behandlas om uppgiften kommit fram vid utredning om brott. Även oidentifierade fingeravtryck omfattas således av definitionen av biometriska uppgifter, eftersom det är möjligt att med hjälp av dem identifiera personen som har avsatt dem.

Genetiska uppgifter

Genetiska uppgifter definieras inte i 1995 års dataskyddsdirektiv eller i personuppgiftslagen. Med genetiska uppgifter avses i brottsdatalagen personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen i fråga. All information som rör en persons nedärvda eller för- värvade genetiska kännetecken och som kan tas fram ur ett spår från t.ex. en brottsplats eller ett prov från människokroppen omfattas av definitio- nen. En motsvarande definition bör tas in i den nya lagen.

Genetiska uppgifter behandlas vid dna-analyser i forensisk verksamhet för att ta fram dna-profiler eller forensiska uppslag. Behandlingen kan avse genetiska uppgifter från såväl identifierade som oidentifierade personer. Eftersom nedärvda eller förvärvade genetiska kännetecken för en person kan framgå av ett spår som påträffas vid utredning av ett brott, omfattas även analys av spåren av definitionen, trots att de vid den tidpunkten inte går att härleda till en identifierad person. Själva dna-profilen, som behandlas i framför allt Polismyndighetens dna-register, är endast en sifferkombination och därmed ingen genetisk uppgift. Den är däremot en biometrisk uppgift, eftersom det är möjligt att med hjälp av den unikt identifiera en person.

Prop. 2018/19:163 Mottagare

I 3 § personuppgiftslagen, som genomförde artikel 2 g i 1995 års data- skyddsdirektiv, anges att en myndighet inte ska anses som mottagare när personuppgifter lämnas ut till myndigheten för att den ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta. Vilka myndighetsuppdrag som avses kommenteras inte i förarbetena, utan där anges endast att definitionen av mottagare är avsedd att ha samma inne- börd som motsvarande uttryck i direktivet (Personuppgiftslag, prop. 1997/98:44, s. 116). Ett motsvarande undantag har ansetts behövas i brottsdatalagen (prop. 2017/18:232 s. 89). Mottagare definieras därför i brottsdatalagen som den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision. Definitionen bör användas även i den nya lagen.

Personuppgift

Personuppgifter är enligt brottsdatalagen varje upplysning om en identi- fierad eller identifierbar fysisk person som är i livet. En motsvarande definition bör tas in i den nya lagen.

All information som kan hänföras till en fysisk person är en person- uppgift. Det gäller även information som kan hänföras till en individ om en fysisk person kan identifieras med hjälp av informationen. Det krävs inte att den personuppgiftsansvarige ska förfoga över samtliga uppgifter som gör identifieringen möjlig. Det innebär att t.ex. oidentifierade finger- avtryck och dna-profiler är personuppgifter, eftersom det är möjligt att identifiera en person med hjälp av dem. Även bild- eller ljudupptagningar kan utgöra personuppgifter, om man direkt eller indirekt kan avgöra vilken individ som upptagningen avser. Uppgifter om avlidna personer omfattas inte av definitionen.

Registrerad

I brottsdatalagen avses med registrerad den fysiska person som person- uppgiften gäller. En motsvarande definition bör tas in i den nya lagen.

Uppgift som rör hälsa

Varken 1995 års dataskyddsdirektiv eller personuppgiftslagen definierade vad som avses med uppgift om hälsa. I brottsdatalagen definieras uttrycket som en personuppgift som rör en persons fysiska eller psykiska hälsa, inklusive information om tillhandahållande av hälso- och sjukvårdstjänster som ger upplysning om personens hälsostatus. En motsvarande definition bör tas in i den nya lagen.