Lagstiftningen om behandlingen av personuppgifter inom polisen

Avsikten är att modernisera polisens personuppgiftslag och uppdatera den så att den motsvarar EU:s nya krav i fråga om dataskydd. Lagen innehåller också bestämmelser om behandlingen av personuppgifter vid skyddspolisen. Lagen ska inte längre vara bunden till register eller informationssystem utan till de ändamål för vilka personuppgifter behandlas.

Polisens verksamhetsmiljö har ändrats, och för att polisen ska kunna sköta sina uppdrag måste behandlingen av uppgifter och den reglering som gäller den också ändras. Regeringen lämnade propositioner med förslag till lagar om behandling av personuppgifter i polisens verksamhet och vid Gränsbevakningsväsendet till riksdagen den 22 november.

Frågor och svar

  • Varför ändras lagen om behandling av personuppgifter i polisens verksamhet?

    Genom polisens nya personuppgiftslag säkerställs att polisen behandlar personuppgifter i enlighet med kraven i den allmänna dataskyddslagstiftningen. Bakgrunden till detta är EU:s reviderade dataskyddslagstiftning. Riksdagen har i enlighet med den godkänt en ny nationell dataskyddslag och dataskyddslagen avseende brottmål. Polisens personuppgiftslag kompletterar den allmänna lagstiftningen om dataskydd.

    Samtidigt uppdateras polisens personuppgiftslag så att dess struktur svarar mot dagens krav. Lagen ska inte längre vara bunden till register eller informationssystem utan till de ändamål för vilka personuppgifter behandlas. Polisens verksamhetsmiljö har ändrats, och för att polisen ska kunna sköta sina uppdrag måste också behandlingen av uppgifter och den reglering som gäller den ändras.

    Genom lagen effektiviseras också behandlingen av personuppgifter i brottsbekämpningen. Det föreslås inga nya behörigheter för polisen när det gäller inhämtande av information. Lagen ska däremot förbättra polisens möjligheter att använda de uppgifter som fåtts genom befintliga befogenheter för att förebygga, avslöja och utreda brott.

  • Vad innebär behandlingen av personuppgifter för förebyggande och avslöjande av brott?

    I personuppgiftslagen föreslås inga nya behörigheter för polisen när det gäller inhämtande av information. Däremot ska polisen på ett mångsidigare sätt än för närvarande kunna använda de uppgifter som fåtts genom befintliga befogenheter för att förebygga, avslöja och utreda brott.

    Utgångspunkten för polisens nuvarande personuppgiftslag är kriminalunderrättelseinhämtning i situationer där polisen har fått kännedom om en konkret brottsmisstanke mot en enskild person. Den nya lagen ska tydligare än för närvarande möjliggöra behandlingen och sammanlänkningen av uppgifter om personer som har anknytning till brott eller brottslig verksamhet när det t.ex. gäller att göra brottsanalyser som inriktas på organiserad brottslighet eller kriminella grupper samt i anslutning till mer omfattande händelsehelheter. Uppgifter som gäller organiserad brottslighet ska i begränsad utsträckning också kunna användas t.ex. vid tillståndsprövning i fråga om vapentillstånd.

  • Vad händer med det nuvarande informationssystemet för misstänkta?

    För närvarande behandlar polisen de uppgifter som behövs för att förebygga och avslöja brott i flera informationssystem, t.ex. i informationssystemet för misstänkta (Epri) och i tillfälliga register för brottsanalys i anslutning till förebyggande av brott.

    I fortsättningen ska alla personuppgifter som behövs för att förebygga och avslöja brott behandlas enhetligt i enlighet med riksomfattande processer. Detta underlättar skyddandet av uppgifter och tillsynen av behandlingen av uppgifter och förbättrar därigenom också den registrerades rättsskydd.

  • Vems uppgifter kan polisen behandla för att förebygga och avslöja brott?

    Polisen ska kunna behandla uppgifter om personer som
    - på olika sätt har anknytning till brott eller brottslig verksamhet
    - är föremål för observation i enlighet med polislagen.

    Liksom för närvarande ska polisen också kunna behandla observationsuppgifter, dvs. uppgifter om händelser eller personer som utifrån omständigheterna eller en persons uppträdande med fog kan bedömas ha samband med brottslig verksamhet.

    För att förebygga och avslöja brott ska polisen också kunna behandla personuppgifter om vittnen, offer, dem som anmäler brott och målsägande. För behandlingen av dessa personers uppgifter ska det dock ställas en högre tröskel. Det kan vara nödvändigt att behandla uppgifterna t.ex. när målet är att förhindra ett nytt brott mot ett vittne till ett brott eller mot en målsägande. I systemet ska kunna införas uppgifter om en person mot vilken hotet om brott riktas.

  • Hur bedömer polisen behovet av de uppgifter som den behandlar?

    I samband med sina uppdrag får polisen ofta sådana uppgifter vars betydelse med tanke på förebyggande och utredning av brott blir klar först genom noggrannare analys. Sådana uppgifter ingår också i kameraupptagningar som uppstår genom teknisk övervakning och i information som fås från öppna källor, t.ex. internet. Det är i många situationer omöjligt att identifiera betydelsen av dessa uppgifter utan automatisk behandling av uppgifter och bedömning av uppgifter med moderna tekniska metoder.

    Behovet av personuppgifterna ska enligt förslaget kunna bedömas i högst sex månader i undersöknings- och övervakningsuppgifter, för att förebygga och avslöja brott samt för att sköta skyddspolisens uppgifter. Uppgifterna ska också kunna jämföras med andra uppgifter i polisens register för att hitta behövlig information. Motsvarande bestämmelser har föreslagits också för Försvarsmakten.

  • Vad ska ändras i bedömningen av behovet av uppgifter jämfört med nuläget?

    Polisen kan bedöma behovet av uppgifter också enligt den gällande lagstiftningen. För kameraupptagningar eller annat material som ska bedömas har det dock inte förskrivits någon enhetlig bevaringstid. Uppgifterna kan inte heller enligt den gällande lagen lagras i polisens riksomfattande informationssystem. De föreslagna bestämmelserna ska skapa klarhet i nuläget och precisera förutsättningarna och tidsperioden för bedömningen av uppgifternas betydelse.

    Målet är att förenhetliga bedömningen av behovet av personuppgifter och på sätt också förbättra den registrerades rättsskydd. Vid behandlingen av uppgifter iakttas kraven enligt dataskyddslagstiftningen. Användarrättigheterna till uppgifter ska begränsas endast till den polispersonal i vars uppdrag det ingår att bedöma uppgifternas betydelse. Polisen måste också säkerställa informationssäkerheten för behandlingen och bevara de logguppgifter som gäller behandlingen i enlighet med dataskyddslagen avseende brottmål. Logguppgifterna kan användas exempelvis för tillsynen över lagenligheten av behandlingen.

  • Kan polisen i fortsättningen registrera medborgarnas uppgifter på ett godtyckligt sätt?

    Genom bestämmelserna utvidgas inte polisens befogenheter att inhämta information. Avsikten är att se till att man hittar de med tanke på brottsbekämpningen väsentliga uppgifterna bland de uppgifter som polisen får tillgång till genom befintliga befogenheter eller på sätt som inte kräver några särskilda befogenheter, t.ex. från internet eller andra öppna källor. I behandlingen av personuppgifter inom polisen är det alltid fråga om användning av sådana uppgifter som fåtts på lagligt sätt när det är nödvändigt för att polisens uppdrag ska kunna utföras.

    Genom att tillfälligt lagra uppgifter för bedömning ska det säkerställas att endast behövliga uppgifter bevaras i polisens register för användning för en längre tid. Det ska ställas en enhetlig tidsfrist på sex månader för bedömningen av behovet av uppgifter. Under tidsfristen ska alla obehövliga tidsfrister raderas.

  • Begränsar en sådan mer omfattande behandling av personuppgifter inte medborgarnas grundläggande fri- och rättigheter?

    Lagring av uppgifter i polisens personregister innebär att de grundläggande fri- och rättigheterna begränsas. Enligt internationella konventioner om mänskliga rättigheter och grundlagen kan de grundläggande fri- och rättigheterna begränsas när begränsningen grundar sig på lag och det finns en samhällsrelaterad grund. Begränsningen får inte heller sträcka sig längre än vad som är nödvändigt för att målet ska nås. Exempelvis förebyggande, avslöjande och utredning av brott samt säkerställande av den nationella säkerheten anses utgöra en sådan grund.

    För att förebygga och avslöja brott måste polisen behandla också sådana personers uppgifter som inte misstänks för brottslig verksamhet. Personuppgifter om vittnen, offer, dem som anmäler brott och målsägande får behandlas för att förebygga och avslöja brott endast när det är nödvändigt.

    När betydelsen av uppgifter bedöms är det oundvikligt att även uppgifter om utomstående personer tillfälligt förs in i registret. Senare kan det visa sig att dessa uppgifter är betydelselösa med tanke på polisens arbetsuppgifter. För att de registrerades rättsskydd ska kunna garanteras ska behovet av uppgifterna bedömas inom sex månader efter det att uppgifterna har lagrats. Uppgifter som har bedömts vara onödiga ska raderas utan dröjsmål redan innan tidsfristen på sex månader har löpt ut.

  • Ska polisens kameraövervakning ändras?

    Bestämmelser om kameraövervakning och annan teknisk övervakning finns i polislagen. I samband med revideringen av polisens personuppgiftslag föreslås inga ändringar i de situationer där polisen kan utöva kameraövervakning. Enligt förslaget kan dock kameraupptagningar som inhämtats med hjälp av polisens befogenheter bevaras endast i sex månader för att utreda huruvida upptagningarna innehåller uppgifter som är behövliga med tanke på polisens arbetsuppgifter.

  • Får polisen använda automatisk jämförelse av ansiktsbilder i brottsbekämpning?

    Automatisk jämförelse av ansiktsbilder hör till behandling av biometriska uppgifter för vilken det har fastställts strikta kriterier i EU:s dataskyddslagstiftning. Polisen ska kunna använda automatisk jämförelse av ansiktsbilder för att förebygga, avslöja och utreda brott samt för att till exempel nå efterlysta personer endast när det är nödvändigt. Sådana signalementsuppgifter i polisens register som också ursprungligen samlats in för brottsbekämpning ska kunna användas i jämförelsen av ansiktsbilder. Till exempel bilder på efterlysta personer ska kunna jämföras med kameraupptagningar som polisen har. Automatisk jämförelse av ansiktsbilder kan användas endast inom ramen för polisens befogenheter.

    Bilderna i pass och identitetskort kan inte användas i samband med automatisk jämförelse av ansiktsbilder i anslutning till förebyggande, avslöjande eller utredning av brott. De ansiktsbilder som polisen samlat in med stöd av utlänningslagen ska få användas för automatisk jämförelse av ansiktsbilder med strikta begränsningar, dvs. när det är nödvändigt för att förhindra, avslöja eller utreda terroristbrott och andra allvarliga brott.

  • Varför föreslås det att användningen av utlänningars fingeravtrycksuppgifter utvidgas?

    In i polisens register förs enligt 131 § i utlänningslagen fingeravtryck och andra signalement som behandlas för att verifiera identiteten, för behandling av, beslutsfattande i och övervakning av frågor som gäller utlänningars in- och utresa, vistelse och arbete och för tryggande av statens säkerhet. Utvidgningen gäller användningen av dessa fingeravtrycksuppgifter för att förebygga, avslöja och utreda terroristbrott och andra allvarliga brott.

    Förslaget utgår från behovet att säkerställa identifieringen av en brottsmisstänkt i situationer där personen inte annars kan identifieras på ett tillförlitligt sätt. Med hjälp av bestämmelsen kan man i betydande grad påskynda identifieringen av en person när det gäller att bekämpa terroristbrott och andra allvarliga och samhälleligt betydelsefulla brott som har allvarliga följder. En motsvarande utvidgning som gäller användningen av fingeravtrycksuppgifter har redan genomförts på EU-nivå i fråga om Eurodacsystemet som innehåller delvis samma fingeravtrycksuppgifter.

  • Vad ändras i behandlingen av personuppgifter i skyddspolisens verksamhet och vad är de föreslagna bestämmelsernas förhållande till underrättelselagstiftningen?

    Det föreslås inga betydande ändringar i behandlingen av personuppgifter i skyddspolisens verksamhet. Den största ändringen hänger samman med att regleringen ska motsvara förslaget om behandlingen av personuppgifter i militär underrättelseverksamhet. Lagstiftningen om civil och militär underrättelseinhämtning har under beredningen anpassats så att de motsvarar varandra, och på samma sätt ska de motsvara varandra när det gäller behandlingen av personuppgifter. Den nya underrättelselagstiftningen ska utvidga skyddspolisens befogenheter i anslutning till informationsinhämtning men den föreslagna personuppgiftslagen har ingen sådan inverkan. Skyddspolisen ska med stöd av denna personuppgiftslag kunna behandla de personuppgifter som den fått med befogenheterna att inhämta information. Det har också föreslagits att till regleringen om skyddspolisen fogas bestämmelser om datasäkerhet och dataskydd i anslutning till behandlingen av personuppgifter.

  • Vad är skillnaden mellan polisens kriminalunderrättelseinhämtning och skyddspolisens civila underrättelseinhämtning?

    Med hjälp av kriminalunderrättelseinhämtning skaffar och analyserar polisen sådan information som är betydelsefull med tanke på brottsbekämpning samt producerar utredningar om brott, brottslingar, brottslighet och dess följder samt om fenomen som äventyrar samhället. Civil underrättelseinhämtning som avses i lagstiftningen om underrättelseinhämtning är skyddspolisens inhämtande och nyttjande av information för uppdrag som hänför sig till den nationella säkerheten.

  • Hur skyddas den registrerades rättigheter?

    I EU:s nya dataskyddslagstiftning föreskrivs om den registrerades rättsmedel och den personuppgiftsansvariges ansvar. Om den registrerades rättsskydd och konsekvenserna av lagstridig behandling av uppgifter föreskrivs dessutom i den nationella dataskyddslagen och dataskyddslagen avseende brottmål. Den registrerade har till exempel rätt att vid behov lämna in ärendet till dataombudsmannen för behandling. Den registrerade har också rätt till ersättning om en lagstridig behandling av personuppgifter har orsakat honom eller henne skada.

    Den registrerade har inte direkt rätt till insyn i alla personuppgifter som polisen behandlar. Rätten till insyn gäller t.ex. inte sådana uppgifter som, om de röjs, skadar förebyggandet och utredningen av brott. Den registrerade har dock alltid rätt att be dataombudsmannen kontrollera lagenligheten i personuppgifterna och behandlingen av dem. Personen ska via dataombudsmannen få bekräftelse på huruvida hans eller hennes uppgifter har behandlats i enlighet med lag.

  • Hur försäkrar man sig om att personuppgifter behandlas endast av de poliser som behöver dem för sitt arbete?

    Användarrättigheter till polisens informationssystem beviljas utifrån arbetsuppgifterna för polisen i fråga. Poliserna får använda endast de personuppgifter som de behöver i sitt eget arbete. En lagenlig behandling av personuppgifter ingår i tjänsteplikten för poliser och andra som arbetar vid myndigheterna.

    Dataombudsmannen övervakar behandlingen av personuppgifter i polisens verksamhet. Användningen av systemen övervakas också regelbundet som en del av den interna laglighetskontrollen vid Polisstyrelsen och polisens enheter. Lagligheten hos polisens verksamhet och behandlingen av personuppgifterna kontrolleras också av riksdagens justitieombudsman, justitiekanslersämbetet vid statsrådet och inrikesministeriet. Polisförvaltningen samarbetar med datasekretess- och laglighetskontrollmyndigheterna för att utveckla behandlingen av uppgifter.

    Dataombudsmannen har i samband med revideringen av EU:s dataskyddslagstiftning fått allt bättre möjligheter att övervaka att personuppgifterna behandlas på ett lagenligt sätt. Den nya dataskyddslagstiftningen innehåller också allt noggrannare bestämmelser om datasäkerhet och övervakning av behandlingen av personuppgifter.

  • Också lagen om behandling av personuppgifter vid Gränsbevakningsväsendet ska revideras. Vad eftersträvas med ändringarna?

    Målet med revideringen av Gränsbevakningsväsendets personuppgiftslag är att behandlingen av personuppgifter vid Gränsbevakningsväsendet ska motsvara EU:s reviderade dataskyddslagstiftning. Gränsbevakningsväsendets personuppgiftslag kompletterar EU:s allmänna dataskyddsförordning och dataskyddslagen avseende brottmål. Lagens struktur ska förtydligas och regleringen förenklas.

    I stället för bestämmelser om enskilda register och informationssystem ska lagen i fortsättningen innehålla bestämmelser om de ändamål för vilka Gränsbevakningsväsendet får behandla personuppgifter. På motsvarande sätt som i den gällande lagen ska till ändamål med behandlingen av personuppgifter räknas gränskontroll, upprätthållande av gränsordningen och gränssäkerheten, utredning av brott som undersöks av Gränsbevakningsväsendet samt att upprätthålla allmän ordning och säkerhet, att förebygga och avslöja brott som undersöks av Gränsbevakningsväsendet, militärrättsvården samt andra uppgifter som föreskrivits för Gränsbevakningsväsendet, t.ex. olika tillsynsuppgifter.

    Behandlingen av personuppgifter vid brottsbekämpning inom Gränsbevakningsväsendet ska effektiviseras på motsvarande sätt som det föreslås för polisens personuppgiftslag. Motsvarande bestämmelser som inom polisen ska tillämpas också på den registrerades rättigheter och övervakningen av behandlingen av personuppgifter.

    På motsvarande sätt som i den gällande lagen ska det i Gränsbevakningsväsendets personuppgiftslag föreskrivas också om Gränsbevakningsväsendets rätt att få uppgifter för att utföra sina lagstadgade uppdrag samt om transportörers skyldigheter att lämna uppgifter om passagerare och besättning till gränskontrollmyndigheten.

    I samband med revideringen av Gränsbevakningsväsendets personuppgiftslag ska också sjöräddningslagens bestämmelser om sjöräddningsregister ses över.