15 Tillsyn
15.2 Vem ska utöva tillsyn över Säkerhetspolisen?
Regeringens bedömning: Tillsynen över Säkerhetspolisens be–
handling av personuppgifter bör utövas av både Datainspektionen och Säkerhets- och integritetsskyddsnämnden. Deras tillsyn bör i huvudsak vara densamma som i dag.
Utredningens bedömning överensstämmer med regeringens be-
dömning.
Remissinstanserna: Datainspektionen tillstyrker utredningens förslag
att tillsynen över Säkerhetspolisen bör utövas av både inspektionen och nämnden. Säkerhetspolisen anser att frågan om parallell tillsyn och hur den kan lösas bör behandlas i särskild ordning eftersom den kräver en djupare analys än vad tiden för den nu aktuella utredningen har medgett.
Skälen för regeringens bedömning
För- och nackdelar med parallell tillsyn
En första fråga att ta ställning till är om dagens parallella tillsyn över Säkerhetspolisens personuppgiftsbehandling bör bestå eller om tillsynen bör utföras av en tillsynsmyndighet.
En fördel med parallell tillsyn är att myndigheterna kan inrikta sin granskning på olika områden, vilket kan bidra till en mer omfattande och allsidig tillsyn. Två tillsynsmyndigheter med olika uppdrag och fokus kan på så sätt komplettera varandra. En sådan förstärkt tillsyn har ansetts vara särskilt värdefull i verksamhet som omfattas av stark sekretess och där allmänheten och enskilda har begränsad insyn (Ytterligare rättssäkerhetsgarantier vid användandet av hemliga tvångsmedel, m.m., prop. 2006/07:133, s. 30 f., Integritet och effektivitet i polisens brottsbekämpande verksamhet, prop. 2009/10:85, s. 273 f. och SOU 2016:65 s. 175 f.).
Nackdelarna med parallell tillsyn är att det kan leda till oklar ansvarsfördelning mellan tillsynsmyndigheterna. Det finns då risk för att vissa frågor aldrig blir föremål för tillsyn eller att samma fråga granskas gång på gång. Även om myndigheterna har olika fokus och inriktning på sin tillsyn kan parallell tillsyn vidare leda till motstridig praxis. Ett överlappande ansvar riskerar också att medföra dubbelarbete och skapa
samordningsbehov och därmed inte vara resurseffektivt (Riksrevisionens Prop. 2018/19:163 rapport om Säkerhets- och integritetsskyddsnämndens tillsyn över
brottsbekämpande myndigheter, skr. 2015/16:188, s. 31 f.). En särskild nackdel med parallell tillsyn är att den kan leda till att fler personer får insyn i speciellt känslig verksamhet där hemliga uppgifter hanteras i stor omfattning.
Det finns således både för- och nackdelar med parallell tillsyn. För att kunna besvara frågan om den parallella tillsynen bör bestå eller om tillsynen bör utövas av en myndighet måste för- respektive nackdelarna med de myndigheter som är aktuella för tillsynsuppdraget, dvs. Datainspektionen och nämnden, belysas närmare.
För- och nackdelar med nämnden som tillsynsmyndighet
Nämnden inrättades bl.a. för att förstärka tillsynen över Säkerhetspolisen. Nämndens särskilda beslutsform, med parlamentarisk förankring, har ansetts utgöra dess styrka och vara särskilt viktig för att tillgodose allmänhetens insyn i verksamhet som omfattas av stark sekretess (prop. 2006/07:133 s. 65 och prop. 2009/10:85 s. 272 f.). Bestämmelserna i 42 kap. offentlighets- och sekretesslagen (2009:400) om sekretess hos nämnden har också anpassats till behovet av att kunna hantera hemliga uppgifter i tillsynen. Regeringen har framhållit att nämnden har särskild insikt i och erfarenhet av sådan verksamhet som nu är i fråga. Det ökar, enligt förarbetena till polisdatalagen, förutsättningarna för att tillsynen inriktas på de områden där det finns särskilda risker för intrång i enskildas integritet (prop. 2009/10:85 s. 273 f.).
Det som särskilt talar för att välja nämnden som tillsynsmyndighet är därför dess särskilda kompetens, erfarenhet och vana att utöva tillsyn över personuppgiftsbehandling i känslig verksamhet där sekretessen är mycket omfattande. Förutom att ha god kännedom om den verksamhet som tillsynen avser är nämnden också väl förtrogen med den personuppgiftsbehandling som utförs och vilka personuppgiftssamlingar som förs av Säkerhetspolisen. En annan fördel är att nämnden har ett begränsat tillsynsuppdrag, vilket ger den goda förutsättningar att säkerställa att tillsyn över Säkerhetspolisen bedrivs på ett aktivt och kontinuerligt sätt. En ytterligare omständighet som talar för nämnden som tillsynsmyndighet är att det endast är nämnden som har till uppdrag att utföra en kontroll på begäran av en enskild avseende Säkerhetspolisens personuppgiftsbehandling. Nämnden utövade i praktiken länge ensam tillsynen över Säkerhetspolisen. Riksrevisionen har granskat verksam- heten och funnit att nämnden utför sina uppgifter på ett ändamålsenligt sätt (skr. 2015/16:188 s. 3). Sekretessregleringen är också särskilt anpassad för tillsynen över Säkerhetspolisen.
Det som kan tala mot att nämnden ensam utses till tillsynsmyndighet är att den är liten och därmed sårbar för personalförändringar, vilket kan leda till att värdefull erfarenhet går förlorad. Ur ett säkerhetsperspektiv kan det samtidigt vara en fördel att nämnden är liten, eftersom det innebär att färre personer blir involverade i tillsynen.
Det som vidare talar mot att välja nämnden som enda tillsynsmyndighet är att den i dag inte har de befogenheter som krävs för att utöva tillsynen på egen hand, Det är också tveksamt om det är lämpligt att ge nämnden
Prop. 2018/19:163 sådana befogenheter med hänsyn till hur nämnden är organiserad. Vidare får nämndens avgöranden inte överklagas. Samtidigt talar starka skäl för att det bör finnas möjlighet att klaga på vissa av tillsynsmyndighetens beslut eftersom de kan få långtgående konsekvenser för tillsynsobjektet.
För- och nackdelar med Datainspektionen som tillsynsmyndighet
Det som särskilt talar för att välja Datainspektionen som tillsyns- myndighet är att den har bred kompetens och lång erfarenhet av tillsyn över hur personuppgifts- och integritetsskyddslagstiftning tillämpas. Inspektionen har därför goda förutsättningar att utöva tillsyn över tillämpningen av allmänna principer för behandling av personuppgifter. Eftersom inspektionen utövar tillsyn över övriga brottsbekämpande myndigheter får den också en allmän överblick som nämnden saknar.
Datainspektionen har ett generellt uppdrag att följa den tekniska utvecklingen på personuppgiftsområdet. Inspektionen genomför också förhandssamråd med de flesta myndigheter och andra personuppgifts- ansvariga. Genom samarbetet inom EU kommer inspektionen att få en överblick över den tekniska utvecklingen även i andra stater. Det skapar goda förutsättningar för rådgivning i frågor som gäller uppbyggnad av it- system.
Det som främst talar mot att välja Datainspektionen som enda tillsynsmyndighet är att inspektionen har ett mycket omfattande tillsynsuppdrag och att tillsynen över en viss myndighet därför av naturliga skäl bara kan ägnas begränsade resurser. Inspektionen utövade i praktiken länge inte någon tillsyn över Säkerhetspolisen och har därför inte samma kunskap som nämnden om Säkerhetspolisens verksamhet och personuppgiftsbehandling. Genom EU:s dataskyddsreform har inspektionen dessutom fått ett utökat uppdrag som kan medföra att utrymmet att bedriva tillsyn över enskilda myndigheter i praktiken begränsas ytterligare.
Den parallella tillsynen bör bestå
Vilken myndighet bör då utöva tillsyn över Säkerhetspolisens personuppgiftsbehandling? Som konstaterats finns det både för- och nackdelar med ett parallellt tillsynssystem och det finns både för- och nackdelar med att välja Datainspektionen respektive nämnden som ensam tillsynsmyndighet. Som utredningen konstaterar kompletterar myndig– heternas styrkor varandra. Detta lyfts också som argument av Utredningen om tillsyn över den personliga integriteten för att nämnden, vid sidan av Datainspektionen, ska fortsätta att ha tillsyn över Säkerhetspolisens personuppgiftsbehandling (SOU 2016:65 s. 179). En sådan ordning överensstämmer också med den tillsyn som i dag utövas över Polismyndighetens personuppgiftsbehandling. Tillsynen över Säkerhets– polisens personuppgiftsbehandling skulle vidare minska betydligt i omfattning om den parallella tillsynen skulle upphöra, eftersom det inte är realistiskt att förvänta sig att Datainspektionens tillsyn skulle kunna ersätta den omfattande tillsyn som i dag utövas av nämnden. Tillsynen över Säkerhetspolisens personuppgiftsbehandling bör mot den bakgrunden fortsätta att vara parallell och utövas av både Datainspektionen och
nämnden. Vad Säkerhetspolisen anfört i denna del föranleder ingen annan Prop. 2018/19:163 bedömning.