OBS: Detta är utgåva 2020.8. Sidan är avslutad 2020.

För att en behandling av personuppgifter inom den brottsbekämpande verksamheten ska vara tillåten måste den uppfylla de grundläggande krav på behandling, t.ex. kravet på rättslig grund, som finns uppställda i brottsdatalagen.

Hur de grundläggande principerna har införlivats i brottsdatalagen

De grundläggande principerna som fanns reglerade i 9 § PuL finns inte uttryckta i någon motsvarande generell bestämmelse i brottsdatalagen. I stället har man valt att visa de grundläggande kraven på behandling av personuppgifter i sitt sammanhang i särskilda bestämmelser i brottsdatalagen. På det sättet blir det uppenbart att principerna är materiella bestämmelser, vilket både förbättrar skyddet för den enskilda och underlättar för tillämparen (prop. 2017/18:232 sid. 141).

Rättslig grund

För att en personuppgiftsbehandling ska vara tillåten måste den ha en rättslig grund. Enligt 2 kap. 1 § brottsdatalagen får personuppgifter behandlas om det är nödvändigt för att en behörig myndighet ska kunna

  • förebygga, förhindra eller upptäcka brottslig verksamhet
  • utreda eller lagföra brott
  • verkställa straffrättsliga påföljder
  • upprätthålla allmän ordning och säkerhet.

Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten enligt lagen.

Kravet på rättslig grund är inte nytt men med den reglering som anges i brottsdatalagen görs en tydligare skillnad mellan bestämmelser om rättslig grund och bestämmelser om ändamål. Bestämmelserna som har kallats för primära och sekundära ändamålsbestämmelser ska snarare ses som en del av den rättsliga grunden. Om behandlingen är rättsligt grundad ska särskilda, uttryckligen angivna och berättigade ändamål bestämmas för den. Utifrån ändamålen får det sedan avgöras vilka personuppgifter som får behandlas och vilka övriga krav som ställs.

Vad menas med att behandlingen ska vara nödvändig (nödvändighetsrekvisitet)?

Nödvändighetsrekvisitet i 2 kap. 1 § brottsdatalagen innebär att personuppgiftsbehandlingen ska vara nödvändig för att uppgiften ska gå att fullgöra på ett effektivt sätt. I nödvändighetsrekvisitet ligger att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna.

Vad menas med en behörig myndighets uppgift?

Med en behörig myndighets uppgift menas en uppgift som framgår av en lag, förordning eller ett särskilt beslut där regeringen har gett myndigheten i uppdrag att

  • förebygga, förhindra eller upptäcka brottslig verksamhet
  • utreda eller lagföra brott
  • verkställa straffrättsliga påföljder
  • upprätthålla allmän ordning och säkerhet.

Det framgår inte direkt av brottsdatalagen i vilka fall Skatteverket är behörig myndighet – det avgörande är om Skatteverket genom någon lag har fått uppgiften att myndigheten ska behandla personuppgifter i brottsbekämpande syfte.

Personuppgiftsbehandlingen måste alltså alltid gå att spåra till Skatteverkets arbetsuppgifter så som de kommer till uttryck i

  • unionsrätten eller svensk lagstiftning
  • andra bindande beslut från regeringen om verksamhetens uppgifter.

För Skatteverket framgår det bl.a. av förordningen (2017:154) med instruktion för Skatteverket och skattebrottslagen (1971:69).

Läs mer om det i avsnittet Lag om Skatteverkets behandling av personuppgifter inom brottsdatalagens område.

Grundläggande principer

När man försäkrat sig om att behandlingen har en rättslig grund måste man också försäkra sig om att behandlingen följer de grundläggande principerna om att

  • ändamålet ska vara särskilt och berättigat (ändamålsbegränsningar)
  • behandlingen ska vara laglig och korrekt
  • uppgifterna ska vara korrekta
  • uppgifterna ska vara adekvata och relevanta (uppgiftsminimering)
  • olika kategorier av uppgifter ska skiljas åt
  • känsliga personuppgifter ska användas restriktivt
  • uppgifterna inte får behandlas under längre tid än nödvändigt lagringsminimering).

Principerna beskrivs närmare under respektive rubrik nedan.

Ändamålsbegränsningar

Även om en viss behandling är rättsligt grundad innebär det inte att vilka personuppgifter som helst får behandlas eller att det får göras på valfritt sätt. Skatteverket måste också iaktta övriga krav som gäller för behandling av personuppgifter – att ändamålen ska vara särskilda och berättigade.

  • Särskilda ändamål innebär att de måste vara tillräckligt specificerade för att man ska kunna bedöma vilka uppgifter som är adekvata och relevanta för den aktuella behandlingen och för att man ska kunna avgöra att inte för många uppgifter behandlas. Man kan dock ange flera parallella ändamål för behandlingen. Ändamålen ska anges uttryckligen redan när personuppgifterna samlas in.
  • Berättigade ändamål innebär att de ska ha en koppling till den rättsliga grunden. Det betyder att myndighetens arbetsuppgift som medför ett behov av att behandla personuppgifter måste framgå av rättsordningen. Varje åtgärd som vidtas fortsättningsvis med insamlade uppgifter ska naturligtvis också uppfylla samtliga grundläggande krav.

Det ska också framgå tydligt för vilka ändamål personuppgifter behandlas. Det gäller framför allt i den del av den brottsbekämpande verksamheten där det långtifrån alltid framgår av omständigheterna för vilket ändamål uppgifter behandlas, t.ex. i underrättelseverksamheten.

Behandling för nya ändamål

När det gäller behandling för nya ändamål är utgångspunkten att Skatteverket alltid måste avgöra om ändamålen med behandlingen av personuppgifter omfattas av brottsdatalagens tillämpningsområde, på samma sätt som första gången en uppgift behandlas.

Det måste därför finnas en rättslig grund för den nya behandlingen. Därefter måste Skatteverket pröva om det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet innan behandlingen påbörjas. Kravet på proportionalitet innebär att skälen för att personuppgifterna behandlas för det nya ändamålet ska väga tyngre än det intrång som behandlingen innebär för den enskilda. Att det ska göras en proportionalitetsbedömning vid behandling för ett nytt ändamål inom brottsdatalagens tillämpningsområde är en nyhet jämfört med 1995 års dataskyddsdirektiv.

När personuppgifter behandlas för andra ändamål än de som anges i brottsdatalagen eller av någon som inte är en behörig myndighet ska dataskyddsförordningen tillämpas.

Behandlingen ska vara författningsenlig och korrekt

Personuppgifterna ska behandlas författningsenligt och korrekt (2 kap. 6 § brottsdatalagen).

De grundläggande kraven på lagenlighet, saklighet och opartiskhet i offentlig verksamhet finns i regeringsformen. I brottsdatalagen har man dock använt uttrycket ”författningsenligt” för att markera att behandlingen ska stå i överensstämmelse inte bara med lag utan även med föreskrifter på lägre nivåer.

Kravet på att behandlingen ska vara korrekt innebär i det här sammanhanget att behandlingen inte bara formellt ska vara i enlighet med regleringen utan också spegla intentionerna med lagstiftningen.

Uppgifterna ska vara korrekta

De personuppgifter som behandlas ska vara korrekta (2 kap. 7 § brottsdatalagen). En uppgift är korrekt om den stämmer överens med de verkliga förhållandena. För att bestämma vilka de verkliga förhållandena är som personuppgifterna ska spegla får Skatteverket utgå från ändamålen med behandlingen. I vissa fall är avsikten med behandlingen bara att registrera uppgifter som kommit in, t.ex. i en brottsanmälan. De behandlade personuppgifterna får då betraktas som korrekta om de stämmer överens med de inkomna uppgifterna, oavsett hur de förhåller sig till de verkliga förhållandena (jfr Öman och Lindblom 2011, Personuppgiftslagen – en kommentar s. 206).

Bedömningen av om en personuppgift är korrekt ska emellertid inte bara utgå från ändamålen för behandlingen. Eftersom uppgifter som förekommer i bl.a. brottsbekämpande verksamhet och vid annan behandling av uppgifter om lagöverträdelser har en särskild karaktär måste Skatteverket även ta hänsyn till vad uppgiften rör, när den lämnas och vem som lämnar den för att avgöra om en uppgift är korrekt.

Som exempel anges i förarbetena om en person anmäler en annan person för brott är uppgifterna i anmälan korrekta om de återspeglar vad anmälaren har uppgett. Det förhållandet att det senare hålls ett förhör där vissa uppgifter tas tillbaka eller ändras innebär inte att de först nedtecknade uppgifterna i anmälan är felaktiga. Och om personen sedan vid en rättegång lämnar nya uppgifter eller ändrar tidigare påståenden, så återspeglar ändå uppgifterna från förhöret vad som sades vid det tillfället och är därigenom korrekta.

För att kunna avgöra om uppgifterna är korrekta är det också av stor betydelse att veta om de grundar sig på fakta eller på personliga bedömningar. De behandlade uppgifterna behöver bara vara uppdaterade om det är nödvändigt. Frågan om det är nödvändigt att uppgifterna är uppdaterade får avgöras med hänsyn till ändamålen med behandlingen (jfr Öman och Lindblom 2011, Personuppgiftslagen – en kommentar s. 206). Exempelvis kan adressuppgifter ändras under handläggningen av ett ärende och därmed behöva uppdateras. Men när ärendet har avslutats är det inte nödvändigt att uppdatera en adressuppgift.

Särskilt om uppgifter om en persons utseende

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt och med respekt för människovärdet. Bestämmelsen har placerats tillsammans med reglerna om personuppgifters kvalitet för att tydliggöra att uppgifter om utseende inte i sig ska ses som känsliga personuppgifter. Ett signalement kan dock innehålla uppgifter där man kan utläsa uppgifter om t.ex. hälsa eller etniskt ursprung. Sådana uppgifter ska hanteras enligt reglerna om känsliga personuppgifter.

Uppgifterna ska vara adekvata och relevanta (uppgiftsminimering)

Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen (2 kap. 8 § brottsdatalagen). Det betyder att Skatteverket inte får behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, och inte heller behandla ovidkommande uppgifter.

Vilka uppgifter som är adekvata och relevanta ska bedömas i förhållande till ändamålen med behandlingen. Detsamma gäller hur många personuppgifter det finns behov av att behandla. Det får betydelse för hur s.k. överskottsinformation ska hanteras, alltså uppgifter som samlas in och som visar sig inte vara adekvata eller relevanta för det bestämda ändamålet.

Prövningen av om en personuppgift är nödvändig för en viss behandling måste göras kontinuerligt av Skatteverket och inte bara när uppgiften registreras eller på annat sätt samlas in i verksamheten. Det innebär exempelvis att även om uppgiften om en persons namn måste behandlas vid handläggningen av ett ärende där personen är part eller annars direkt berörd, är det inte säkert att namnuppgiften behöver behandlas i ett senare skede, t.ex. vid verksamhetsuppföljning. Det ska alltså vid all behandling prövas om det går att avstå från att använda uppgifter som direkt går att hänföra till en viss person. Möjligheten till avidentifiering ska därför användas i så stor utsträckning som möjligt.

Åtskillnad mellan olika slag av personuppgifter

Olika kategorier av personuppgifter ska så långt möjligt skiljas åt, och personuppgifter som grundar sig på fakta ska så långt möjligt särskiljas från personuppgifter som grundar sig på personliga bedömningar (2 kap. 9 § och 2 kap. 10 § brottsdatalagen).

Syftet med bestämmelserna är att säkerställa att den som söker eller får del av information också får veta varför uppgifter om en viss person behandlas av Skatteverket. Inom brottsdatalagens tillämpningsområde är det särskilt viktigt att det framgår om en uppgift rör en icke misstänkt person och hur tillförlitlig en underrättelseuppgift bedöms vara. Ofta framgår det redan av sammanhanget där personuppgifterna behandlas, men om en uppgift tas ur sitt sammanhang för att behandlas för ett nytt ändamål blir informationen viktig. Ju längre ett brottmålsförfarande fortskrider, desto tydligare blir det vilken roll olika personer har och varför deras personuppgifter behandlas. Det är framför allt i det inledande skedet av en förundersökning och i underrättelseverksamhet som det kan vara otydligt vilken roll en person har och varför uppgifter om personen behandlas av Skatteverket.

Kravet på att ange särskilda upplysningar för kategorier av personuppgifter och om de grundar sig på fakta eller personliga bedömningar väcker frågan om Skatteverket blir skyldigt att förse alla äldre personuppgifter som saknar sådana upplysningar med det. Regeringen har emellertid ansett att det inte kan krävas av myndigheterna att de går igenom alla äldre personuppgifter för att kontrollera om det finns särskilda upplysningar.

Känsliga personuppgifter ska användas restriktivt

Känsliga personuppgifter ska användas restriktivt och en bedömning av om kravet är uppfyllt ska göras i det enskilda fallet. Den närmare innebörden av uttrycket kan dock variera mellan olika myndigheter, eftersom deras verksamheter och behov av att behandla känsliga personuppgifter skiljer sig åt. Om Skatteverket får behandla känsliga personuppgifter och i så fall vilka uppgifter framgår av den kompletterande lagstiftningen om Skatteverkets brottsbekämpande verksamhet. Läs mer om vad som gäller särskilt för Skatteverket i avsnitt Grundläggande bestämmelser.

En nyhet i brottsdatalagen är att även genetiska och biometriska uppgifter räknas som känsliga personuppgifter. Skatteverket har dock inte behov av och får inte behandla genetiska och biometriska uppgifter (prop. 2017/18:269 s. 200).

Sökförbud på känsliga personuppgifter

Brottsdatalagen har ett generellt sökförbud på känsliga personuppgifter där syftet med sökningen är avgörande. T.ex. är Kristen ett vanligt personnamn som man får använda vid sökning om syftet är att identifiera en person, men det är inte tillåtet som sökbegrepp om syftet är att kartlägga uppgifter som avslöjar religiös övertygelse.

Uppgifterna får inte behandlas under längre tid än nödvändigt (lagringsminimering)

Huvudregeln är att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (2 kap. 17 § BDL).

I brottsdatalagen använder man begreppet längsta tid för behandling i stället för begreppen bevarande och gallring för att skilja det från vad som gäller på arkivlagstiftningens område. Brottsdatalagen utgår alltså från hur länge personuppgifter får behandlas för ändamål inom lagens tillämpningsområde.

Huvudregeln i brottsdatalagen är att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I 4 kap Skatteverkets brottsdatalag finns det särskilda bestämmelser om längsta tid som personuppgifter får behandlas för Skatteverket, ”gallring” enligt registerlagstiftningen görs för att skydda den enskildas integritet. De personuppgifter som Skatteverket behandlar ingår i mycket stor utsträckning i upptagningar som är eller kommer att bli allmänna handlingar. Principen om bestämmelser om längsta tid för behandling hindrar inte att Skatteverket arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. För att tydligare skilja mellan arkivrättsliga regler och regler om skydd för personuppgifter används därför begreppen bevarande och gallring bara i den betydelse de har i arkivlagstiftningen.

Arkivlagen kontra registerlagstiftningen

Arkivlagen innebär att allmänna handlingar ska bevaras i arkiv och har till syfte att upprätthålla handlingsoffentligheten. Allmänna handlingar får gallras, men man ska då ta hänsyn till att det arkivmaterial som återstår ska kunna tillgodose ändamålen med arkiven (10 § arkivlagen). Statliga myndigheter får bara gallra allmänna handlingar i enlighet med föreskrifter eller beslut av Riksarkivet eller enligt särskilda gallringsföreskrifter i lag eller förordning (14 § arkivförordningen). Gallring enligt Riksarkivets föreskrifter görs för att begränsa arkivens omfattning. Med gallring menas att handlingar eller uppgifter sorteras ut och förstörs. Gallring av elektroniska upptagningar innebär normalt att information raderas från databäraren.

Referenser på sidan

Lagar & förordningar

Propositioner

  • Proposition 2017/18:232 Brottsdatalag [1]

Övrigt

  • Öman och Lindblom 2011, Personuppgiftslagen – en kommentar [1] [2]