Bestämmelserna om behandling av personuppgifter i polisens verksamhet

Genom polisens nya personuppgiftslag säkerställs det att polisen behandlar personuppgifter i enlighet med kraven i den allmänna dataskyddslagstiftningen. Bakgrunden till detta är EU:s reviderade dataskyddslagstiftning. Riksdagen har i enlighet med den godkänt en ny nationell dataskyddslag och dataskyddslagen avseende brottmål. Polisens personuppgiftslag kompletterar den allmänna lagstiftningen om dataskydd.

Samtidigt har polisens personuppgiftslag uppdaterats så att dess struktur motsvarar dagens krav. Lagen är inte längre bunden till register eller informationssystem utan till de ändamål för vilka personuppgifter behandlas. Polisens verksamhetsmiljö har ändrats, och för att polisen ska kunna sköta sina uppdrag måste behandlingen av uppgifter och den reglering som gäller den också ändras.

Genom lagen effektiviseras också behandlingen av personuppgifter i brottsbekämpningen. Polisens befogenheter att inhämta information utvidgas inte i personuppgiftslagen. Däremot förbättras genom lagen polisens möjligheter att använda de personuppgifter som fåtts genom befintliga befogenheter för att förebygga, avslöja och utreda brott.

Den nya lagen möjliggör tydligare än för närvarande behandlingen och sammanlänkningen av uppgifter om personer som har anknytning till brott eller brottslig verksamhet när det t.ex. gäller att göra brottsanalyser som inriktas på organiserad brottslighet eller kriminella grupper samt i anslutning till mer omfattande händelsehelheter. Uppgifter som gäller organiserad brottslighet får i begränsad utsträckning också användas t.ex. vid tillståndsprövning i fråga om vapentillstånd.

För närvarande behandlar polisen de uppgifter som behövs för att förebygga och avslöja brott i flera informationssystem, t.ex. i informationssystemet för misstänkta (Epri) och i tillfälliga register för brottsanalys i anslutning till förebyggande av brott. I fortsättningen behandlas alla personuppgifter som behövs för att förebygga och avslöja brott enhetligt i enlighet med riksomfattande processer. Detta underlättar skyddandet av uppgifter och tillsynen av behandlingen av uppgifter och förbättrar därigenom också den registrerades rättsskydd.

Polisen kan behandla uppgifter om personer som

- på olika sätt har anknytning till brott eller brottslig verksamhet
- är föremål för observation i enlighet med polislagen eller andra åtgärder av polisen.

Polisen kan också behandla observationsuppgifter, dvs. uppgifter om händelser eller personer som utifrån omständigheterna eller en persons uppträdande med fog kan bedömas ha samband med brottslig verksamhet.

För att förebygga och avslöja brott kan polisen också behandla personuppgifter om vittnen, offer, dem som anmäler brott och målsägande. För behandlingen av dessa personers uppgifter ställs det dock en högre tröskel. Det kan vara nödvändigt att behandla uppgifterna t.ex. när målet är att förhindra ett nytt brott mot ett vittne till ett brott eller mot en målsägande. I systemet kan det införas uppgifter om en person mot vilken hotet om brott riktas.

I samband med sina uppdrag får polisen ofta sådana uppgifter vars betydelse med tanke på förebyggande och utredning av brott blir klar först genom noggrannare analys. Sådana uppgifter ingår också i kameraupptagningar som uppstår genom teknisk övervakning och i information som fås från öppna källor, t.ex. internet. Det är i många situationer omöjligt att identifiera betydelsen av dessa uppgifter utan automatisk behandling av uppgifter och bedömning av uppgifter med moderna tekniska metoder. Enligt den nya lagen ska inhämtad information utplånas utan dröjsmål efter att det framgått att den inte behövs i polisens uppgifter.

Vid bedömningen av behovet av uppgifter iakttas bestämmelserna i dataskyddslagstiftningen. Polisen måste till exempel säkerställa informationssäkerheten för behandlingen och bevara de logguppgifter som gäller behandlingen i enlighet med dataskyddslagen avseende brottmål.

Genom bestämmelserna utvidgas inte polisens befogenheter att inhämta information. Avsikten är att se till att man hittar de med tanke på brottsbekämpningen väsentliga uppgifterna bland de uppgifter som polisen får tillgång till genom befintliga befogenheter eller på sätt som inte kräver några särskilda befogenheter, t.ex. från internet eller andra öppna källor. I behandlingen av personuppgifter inom polisen är det alltid fråga om användning av sådana uppgifter som fåtts på lagligt sätt när det är nödvändigt för att polisens uppdrag ska kunna utföras. Bedömningen av uppgifternas behövlighet omfattas av de skyldigheter som gäller styrningen av behandlingen av personuppgifter, tillsynen och skyddet av uppgifter på samma sätt som de andra faserna av behandlingen av personuppgifter.

Lagring av uppgifter i polisens personregister innebär att de grundläggande fri- och rättigheterna begränsas. Enligt internationella konventioner om mänskliga rättigheter och grundlagen kan de grundläggande fri- och rättigheterna begränsas när begränsningen grundar sig på lag och det finns en godtagbar samhällsrelaterad grund. Begränsningen får inte heller sträcka sig längre än vad som är nödvändigt för att målet ska nås. Exempelvis förebyggande, avslöjande och utredning av brott samt säkerställande av den nationella säkerheten anses utgöra en sådan grund.

Automatisk jämförelse av ansiktsbilder hör till behandling av biometriska uppgifter för vilken det har fastställts strikta kriterier i EU:s dataskyddslagstiftning. Polisen får använda automatisk jämförelse av ansiktsbilder för att förebygga, avslöja och utreda brott samt för att till exempel nå efterlysta personer endast när det är nödvändigt. Sådana signalementsuppgifter i polisens register som också ursprungligen samlats in för brottsbekämpning kan användas i jämförelsen av ansiktsbilder. Till exempel kan bilder på efterlysta personer jämföras med kameraupptagningar som polisen har. Automatisk jämförelse av ansiktsbilder kan användas endast inom ramen för polisens befogenheter.

Bilderna i pass och identitetskort kan inte användas i samband med automatisk jämförelse av ansiktsbilder i anslutning till förebyggande, avslöjande eller utredning av brott. De ansiktsbilder som polisen samlat in med stöd av utlänningslagen får användas för automatisk jämförelse av ansiktsbilder med strikta begränsningar, dvs. när det är nödvändigt för att förhindra, avslöja eller utreda terroristbrott och andra allvarliga brott som anknyter till statens säkerhet.

In i polisens register förs enligt 131 § i utlänningslagen fingeravtryck och andra signalement som behandlas för att verifiera identiteten, för behandling av, beslutsfattande i och övervakning av frågor som gäller utlänningars in- och utresa, vistelse och arbete och för tryggande av statens säkerhet. Utvidgningen gäller användningen av dessa fingeravtrycksuppgifter för att förebygga, avslöja och utreda terroristbrott och andra brott som äventyrar statens säkerhet.

Utvidgningen utgår från behovet att säkerställa identifieringen av en brottsmisstänkt i situationer där personen inte annars kan identifieras på ett tillförlitligt sätt. Med hjälp av bestämmelsen kan man i betydande grad påskynda identifieringen av en person när det gäller att bekämpa terroristbrott och andra allvarliga och samhälleligt betydelsefulla brott som har allvarliga följder.

Behandlingen av skyddspolisens personuppgifter ändras inte betydligt. Den största ändringen är att regleringen motsvarar regleringen om behandlingen av personuppgifter i militär underrättelseverksamhet. Lagstiftningen om civil och militär underrättelseinhämtning har under beredningen anpassats så att de motsvarar varandra, och det samma ska gälla lagstiftningen om behandlingen av personuppgifter.

Den nya underrättelselagstiftningen utvidgar skyddspolisens befogenheter i anslutning till informationsinhämtning men polisens personuppgiftslag har ingen sådan inverkan. Skyddspolisen kan med stöd av denna personuppgiftslag behandla de personuppgifter som den fått med befogenheterna att inhämta information. Till regleringen om skyddspolisen har också fogats bestämmelser om datasäkerhet och dataskydd i anslutning till behandlingen av personuppgifter.

Med hjälp av kriminalunderrättelseinhämtning skaffar och analyserar polisen sådan information som är betydelsefull med tanke på brottsbekämpning samt producerar utredningar om brott, brottslingar, brottslighet och dess följder samt om fenomen som äventyrar samhället. Civil underrättelseinhämtning som avses i lagstiftningen om underrättelseinhämtning är skyddspolisens inhämtande och nyttjande av information för uppdrag som hänför sig till den nationella säkerheten.

I EU:s nya dataskyddslagstiftning finns det bestämmelser om den registrerades rättsmedel och den personuppgiftsansvariges ansvar. Om den registrerades rättsskydd och konsekvenserna av lagstridig behandling av uppgifter föreskrivs dessutom i den nationella dataskyddslagen och i dataskyddslagen avseende brottmål. Den registrerade har till exempel rätt att vid behov lämna in ärendet till dataombudsmannen för behandling. Den registrerade har också rätt till ersättning om en lagstridig behandling av personuppgifter har orsakat honom eller henne skada.

Den registrerade har inte direkt rätt till insyn i alla personuppgifter som polisen behandlar. Rätten till insyn gäller t.ex. inte sådana uppgifter som, om de röjs, skadar förebyggandet och utredningen av brott. Den registrerade har dock alltid rätt att be dataombudsmannen kontrollera lagenligheten i personuppgifterna och behandlingen av dem. Personen får via dataombudsmannen bekräftelse på huruvida hans eller hennes uppgifter har behandlats i enlighet med lag.

Användarrättigheter till polisens informationssystem beviljas utifrån arbetsuppgifterna för polisen i fråga. Poliserna får använda endast de personuppgifter som de behöver i sitt eget arbete. En lagenlig behandling av personuppgifter ingår i tjänsteplikten för poliser och andra som arbetar vid myndigheterna.

Dataombudsmannen övervakar behandlingen av personuppgifter i polisens verksamhet. Användningen av systemen övervakas också regelbundet som en del av den interna laglighetskontrollen vid Polisstyrelsen och polisens enheter. Lagligheten hos polisens verksamhet och behandlingen av personuppgifterna kontrolleras också av riksdagens justitieombudsman, justitiekanslersämbetet vid statsrådet och inrikesministeriet. Polisförvaltningen samarbetar med datasekretess- och laglighetskontrollmyndigheterna för att utveckla behandlingen av uppgifter.

Dataombudsmannen har i samband med revideringen av EU:s dataskyddslagstiftning fått allt bättre möjligheter att övervaka att personuppgifterna behandlas på ett lagenligt sätt. Den nya dataskyddslagstiftningen innehåller också noggrannare bestämmelser om datasäkerhet och övervakning av behandlingen av personuppgifter.

Genom Gränsbevakningsväsendets nya personuppgiftslag säkerställs det att Gränsbevakningsväsendet behandlar personuppgifter i enlighet med kraven i den allmänna dataskyddslagstiftningen. Gränsbevakningsväsendets personuppgiftslag kompletterar EU:s allmänna dataskyddsförordning och dataskyddslagen avseende brottmål. Lagens struktur har förtydligats och regleringen förenklats.

I stället för bestämmelser om enskilda register och informationssystem finns i lagen bestämmelser om de ändamål för vilka Gränsbevakningsväsendet får behandla personuppgifter. Såsom ändamål med behandlingen av personuppgifter anges gränskontroll, upprätthållande av gränsordningen och gränssäkerheten, utredning av brott som undersöks av Gränsbevakningsväsendet samt att upprätthålla allmän ordning och säkerhet, att förebygga och avslöja brott som undersöks av Gränsbevakningsväsendet, militärrättsvården samt andra uppgifter som föreskrivits för Gränsbevakningsväsendet, t.ex. olika tillsynsuppgifter.

Behandlingen av personuppgifter vid brottsbekämpning inom Gränsbevakningsväsendet har effektiviserats på motsvarande sätt som i polisens personuppgiftslag. Motsvarande bestämmelser som inom polisen tillämpas också på den registrerades rättigheter och övervakningen av behandlingen av personuppgifter.

I Gränsbevakningsväsendets personuppgiftslag föreskrivs det också om Gränsbevakningsväsendets rätt att få uppgifter för att utföra sina lagstadgade uppdrag samt om transportörers skyldigheter att lämna uppgifter om passagerare och besättning till gränskontrollmyndigheten.

I samband med revideringen av Gränsbevakningsväsendets personuppgiftslag sågs också sjöräddningslagens bestämmelser om sjöräddningsregister över.