Innehåll

Lagar & Förordningar

Lagar & Förordningar är en kostnadsfri rättsdatabas från Norstedts Juridik där alla Sveriges författningar och EU-rättsliga dokument finns samlade. Nu kan organisationer och företag prova den mer omfattande juridiska informationstjänsten JUNO - gratis i 14 dagar - läs mer om erbjudandet och vad du kan få tillgång till här.
SFS2018-1177

Brottsdatalag (2018:1177)

Publicerad den 27 juni 2018
Utfärdad den 20 juni 2018

Allmänna bestämmelser

Syftet med lagen

Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här benämnt dataskyddsdirektivet.

Syftet med lagen är att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt.

Anmärkt författning:

Lag (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens områdeF (2018:1943) i samma ämne – Kustbevakningsdatalag (2019:429)F (2019:438) i samma ämne.

Lagens tillämpningsområde

Denna lag gäller vid behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också vid behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet.

Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Lagen gäller inte vid Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.

Lagen gäller inte i verksamhet enligt lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten.

SFS 2021:1175

Avvikande bestämmelser i annan författning

Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från denna lag, tillämpas den bestämmelsen.

Definitioner

I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck

 

Betydelse

 

Behandling av personuppgifter

 

En åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, sammanföring, begränsning, radering eller förstöring.

 

Behörig myndighet

 

1. En myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet, när den behandlar personuppgifter för ett sådant syfte, eller

 
 

2. en annan aktör som har anförtrotts myndighetsutövning för ett syfte som anges i 1, när den behandlar personuppgifter för ett sådant syfte.

 

Biometriska uppgifter

 

Personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen.

 

Dataskyddsombud

 

Den som utses av den personuppgiftsansvarige för att självständigt kontrollera att personuppgifter behandlas författningsenligt och på ett korrekt sätt enligt vad som närmare anges i lagen.

 

Genetiska uppgifter

 

Personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen.

 

Internationell organisation

 

En organisation och dess underställda organ som lyder under folkrätten eller ett annat organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera stater.

 

Medlemsstat

 

En stat som är medlem i Europeiska unionen samt Island, Liechtenstein, Norge och Schweiz.

 

Mottagare

 

Den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision.

 

Personuppgift

 

Varje upplysning om en identifierad eller identifierbar fysisk person som är i livet.

 

Personuppgiftsansvarig

 

Den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

 

Personuppgiftsbiträde

 

Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

 

Personuppgiftsincident

 

En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter.

 

Registrerad

 

Den fysiska person som personuppgiften gäller.

 

Tillsynsmyndigheten

 

Myndighet som regeringen utser enligt dataskyddsdirektivet för att utöva tillsyn över behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.

 

Tredjeland

 

En stat som inte är en medlemsstat.

 

Tredje man

 

Någon annan än den registrerade, den personuppgiftsansvarige, dataskyddsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har rätt att behandla personuppgifter.

 

Uppgift som rör hälsa

 

Personuppgift som rör en persons fysiska eller psykiska hälsa, inklusive information om tillhandahållande av hälso- och sjukvårdstjänster som ger upplysning om personens hälsostatus.

 

Behandling av personuppgifter

Grundläggande krav på behandlingen

Rättsliga grunder

Personuppgifter får behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.

Med en behörig myndighets uppgift avses en uppgift som framgår av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften.

Utöver vad som sägs i 1 § får personuppgifter behandlas om

  1. det är nödvändigt för diarieföring, eller

  2. uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.

Ändamål

Personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål.

Om det ändamål som personuppgifterna behandlas för inte framgår av sammanhanget eller på annat sätt, ska det tydliggöras genom en särskild upplysning.

Innan personuppgifter får behandlas för ett nytt ändamål ska det säkerställas att

  1. det finns en rättslig grund enligt 1 § för den nya behandlingen, och

  2. det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet.

I den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning ska någon prövning enligt första stycket inte göras.

En behörig myndighet får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde.

Författningsenlig och korrekt behandling

Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Personuppgifternas kvalitet

Personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Åtskillnad mellan olika slag av personuppgifter

Så långt det är möjligt ska personuppgifter som rör olika kategorier av registrerade särskiljas så att det framgår om personen är misstänkt, dömd för brott, brottsoffer eller någon annan som berörs av ett brott. Om det inte framgår av sammanhanget eller på annat sätt till vilken kategori personen hör, ska det tydliggöras genom en särskild upplysning.

Så långt det är möjligt ska personuppgifter som grundar sig på fakta särskiljas från personuppgifter som grundar sig på personliga bedömningar. Om det inte framgår av sammanhanget eller på annat sätt vad uppgiften grundas på ska det tydliggöras genom en särskild upplysning.

Känsliga personuppgifter

Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.

Om uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter som anges i första stycket när det är absolut nödvändigt för ändamålet med behandlingen.

Biometriska uppgifter och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.

Personuppgifter som avses i 11 och 12 §§ (känsliga personuppgifter) får alltid behandlas med stöd av 2 §.

Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Rättelse, uppdatering och radering

Alla rimliga åtgärder ska vidtas för att personuppgifter som med hänsyn till ändamålet med behandlingen är felaktiga eller ofullständiga utan onödigt dröjsmål rättas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt.

När personuppgifter lämnas ut till en behörig myndighet ska mottagaren så långt det är möjligt ges information som gör att det går att bedöma i vilken utsträckning uppgifterna är korrekta, fullständiga, uppdaterade och tillförlitliga.

Alla rimliga åtgärder ska vidtas för att personuppgifter som behandlas i strid med 1, 2, 3 § första stycket eller någon av 4–6 §§ eller 8, 11, 12, 14 eller 17 § första stycket utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Detsamma gäller om radering krävs för att utföra en rättslig förpliktelse.

Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men uppgifterna behöver finnas kvar av bevisskäl, ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.

Längsta tid som personuppgifter får behandlas

Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

Bestämmelsen i första stycket hindrar inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.

Om det inte är föreskrivet i lag eller annan författning när en viss kategori av personuppgifter inte längre får behandlas för ändamål inom denna lags tillämpningsområde, ska den personuppgiftsansvarige årligen se över behovet av att fortsätta behandla personuppgifterna.

Automatiserade beslut

Om ett beslut har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne och beslutet enbart grundas på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma hans eller hennes egenskaper, ska personen ha möjlighet att på begäran få beslutet prövat på nytt av någon person.

Automatiserade beslut får inte enbart grundas på känsliga personuppgifter.

Överföring av personuppgifter till eller från en annan medlemsstat

Rubriken har denna lydelse enl. 2022:737. SFS2022-0737

Om det inte är särskilt föreskrivet får villkor för behandling av personuppgifter inte ställas upp i förhållande till en mottagare i en annan medlemsstat eller ett EU-organ, om det inte i motsvarande fall får ställas upp samma typ av villkor i förhållande till en svensk mottagare.

Om en svensk behörig myndighet har fått personuppgifter från en annan medlemsstat eller ett EU-organ och det finns villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

SFS 2022:737

Uppgiftslämnande för rättsstatistik

Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.

Hänvisad författning:

Enl. F (2001:100) om den officiella statistiken, anm. efter lagen 2001:99, Bih., ansvarar Brottsförebyggande rådet för rättsstatistiken.

Behandling för ändamål utanför denna lags tillämpningsområde

Innan personuppgifter som behandlas med stöd av denna lag behandlas för ett ändamål utanför lagens tillämpningsområde ska det säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det ändamålet.

I den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning ska någon prövning enligt första stycket inte göras.

Personuppgiftsansvarigas skyldigheter

Personuppgiftsansvarets omfattning

Den personuppgiftsansvarige är ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller på dennes vägnar.

Åtgärder för att säkerställa författningsenlig behandling

Tekniska och organisatoriska åtgärder

Den personuppgiftsansvarige ska, genom lämpliga tekniska och organisatoriska åtgärder, säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att den registrerades rättigheter skyddas.

Den personuppgiftsansvarige ska när medlen för behandlingen bestäms och vid behandlingen, genom lämpliga tekniska och organisatoriska åtgärder, se till att nödvändiga skyddsåtgärder integreras i behandlingen (inbyggt dataskydd).

Den personuppgiftsansvarige ska se till att det i automatiserade behandlingssystem som regel inte är möjligt att behandla andra personuppgifter än de som är nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd som standard).

Den personuppgiftsansvarige ska säkerställa att det i automatiserade behandlingssystem förs loggar över personuppgiftsbehandling i den utsträckning det är särskilt föreskrivet.

Tillgången till personuppgifter

Den personuppgiftsansvarige ska se till att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Konsekvensbedömning och förhandssamråd

Om en ny typ av behandling, eller betydande förändringar av redan pågående behandling, kan antas medföra särskild risk för intrång i den registrerades personliga integritet, ska den personuppgiftsansvarige innan behandlingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter.

Om konsekvensbedömningen visar att det finns särskild risk för intrång i registrerades personliga integritet eller om typen av behandling innebär särskild risk för intrång, ska den personuppgiftsansvarige samråda med tillsynsmyndigheten i god tid innan behandlingen påbörjas eller betydande förändringar genomförs (förhandssamråd).

Säkerheten för personuppgifter

Säkerhetsåtgärder

Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada.

Personuppgiftsincidenter

Senast 72 timmar efter det att den personuppgiftsansvarige fått kännedom om en personuppgiftsincident ska den anmälas till tillsynsmyndigheten, utom i de fall där incidenten ska rapporteras enligt säkerhetsskyddslagen (2018:585) eller föreskrifter som har meddelats i anslutning till den lagen.

Anmälan behöver inte göras om det är osannolikt att personuppgiftsincidenten har medfört eller kommer att medföra någon risk för otillbörligt intrång i den registrerades personliga integritet.

SFS 2018:1249

Om en personuppgiftsincident som ska anmälas enligt 9 § första stycket har medfört eller kan antas medföra särskild risk för otillbörligt intrång i registrerades personliga integritet, ska den personuppgiftsansvarige utan onödigt dröjsmål underrätta den registrerade om incidenten.

Underrättelseskyldigheten gäller inte om den personuppgiftsansvarige

  1. har tillämpat lämpliga tekniska och organisatoriska skyddsåtgärder på de personuppgifter som påverkades av incidenten,

  2. har säkerställt att det inte längre finns särskild risk för otillbörligt intrång i registrerades personliga integritet, eller

  3. skulle behöva göra oproportionerliga ansträngningar för att underrätta alla berörda.

I fall som avses i andra stycket 3 ska allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade får nödvändig information.

Den personuppgiftsansvarige får avstå från att lämna information enligt 10 § i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att

  1. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,

  2. andra rättsliga utredningar eller undersökningar inte hindras,

  3. nationell säkerhet skyddas, eller

  4. någon annans rättigheter och friheter skyddas.

Om den personuppgiftsansvarige inte är en myndighet, gäller undantaget i första stycket även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).

Samarbete med tillsynsmyndigheten

Den personuppgiftsansvarige ska samarbeta med tillsynsmyndigheten när den utför uppgifter enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.

Dataskyddsombud

Den personuppgiftsansvarige ska utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.

Dataskyddsombud ska

  1. självständigt kontrollera att den personuppgiftsansvarige behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter,

  2. informera och ge råd till den personuppgiftsansvarige och de som behandlar personuppgifter under dennes ledning om deras skyldigheter vid behandling av personuppgifter,

  3. på begäran ge den personuppgiftsansvarige råd vid en konsekvensbedömning och kontrollera att den genomförs på korrekt sätt,

  4. vara kontaktpunkt för enskilda i frågor som rör behandling av personuppgifter, och

  5. samarbeta med tillsynsmyndigheten och vara kontaktpunkt för den vid förhandssamråd och andra frågor som rör behandling av personuppgifter.

Den som fullgör uppgift som dataskyddsombud får inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått kännedom om.

I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400) i stället för första stycket.

Personuppgiftsbiträden

Den personuppgiftsansvarige får, om det är lämpligt, anlita personuppgiftsbiträden för behandling av personuppgifter på den personuppgiftsansvariges vägnar. Innan ett personuppgiftsbiträde anlitas ska den personuppgiftsansvarige försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.

Personuppgiftsbiträdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse.

Ett personuppgiftsbiträde får inte anlita ett annat personuppgiftsbiträde utan skriftligt tillstånd från den personuppgiftsansvarige.

Ett personuppgiftsbiträde och de som arbetar under biträdets ledning ska behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige.

Om ett personuppgiftsbiträde bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig för den behandlingen.

Det som sägs om den personuppgiftsansvariges skyldigheter i 5, 6, 8 och 12 §§ gäller även för personuppgiftsbiträden.

Gemensamt personuppgiftsansvar

Två eller flera behöriga myndigheter är gemensamt personuppgiftsansvariga om de gemensamt bestämmer ändamålen med och medlen för personuppgiftsbehandlingen.

Den registrerade får utöva sina rättigheter enligt lagen mot var och en av de gemensamt personuppgiftsansvariga.

Bemyndigande

Regeringen får meddela föreskrifter om skyldighet att föra register över kategorier av behandling av personuppgifter och skyldighet att införa interna rutiner för anmälan av överträdelser.

Enskildas rättigheter

Rätten till information

Allmän information

Den personuppgiftsansvarige ska göra följande allmänna information tillgänglig för den registrerade:

  1. den personuppgiftsansvariges identitet och kontaktuppgifter,

  2. dataskyddsombudets kontaktuppgifter,

  3. kategorier av ändamål för behandlingen,

  4. rätten enligt 3 § att begära att få information om behandling av personuppgifter och att få del av uppgifterna,

  5. rätten att begära rättelse, radering eller begränsning av behandlingen enligt 9 och 10 §§, och

  6. möjligheten att lämna in klagomål till tillsynsmyndigheten samt kontaktuppgifterna till myndigheten.

Personrelaterad information

Den personuppgiftsansvarige ska i ett enskilt fall lämna följande information till den registrerade, om det behövs för att han eller hon ska kunna ta till vara sina rättigheter:

  1. den rättsliga grunden för behandlingen,

  2. kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer,

  3. hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det, och

  4. övrig nödvändig information.

Vid bedömningen av om information enligt första stycket 4 ska lämnas ska det särskilt beaktas om personuppgifterna samlats in utan den registrerades vetskap.

Den personuppgiftsansvarige ska till den som begär det utan onödigt dröjsmål lämna skriftligt besked om huruvida personuppgifter som rör honom eller henne behandlas. Om sådana uppgifter behandlas, ska sökanden få del av dem och få följande skriftliga information:

  1. vilka personuppgifter om sökanden som behandlas,

  2. varifrån personuppgifterna kommer,

  3. den rättsliga grunden för behandlingen,

  4. ändamålen med behandlingen,

  5. mottagare eller kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer,

  6. hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det,

  7. rätten att begära rättelse, radering eller begränsning av behandlingen enligt 9 och 10 §§, och

  8. möjligheten att lämna in klagomål till tillsynsmyndigheten samt kontaktuppgifterna till myndigheten.

Utlämnande av personuppgifter enligt första stycket behöver inte omfatta sådana personuppgifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas.

Den som har varit föremål för ett sådant beslut som avses i 2 kap. 19 § har rätt att på begäran få närmare information om beslutet av den personuppgiftsansvarige.

Begränsning av rätten till information

Informationsskyldigheten i 2 och 3 §§ gäller inte i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att

  1. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,

  2. andra rättsliga utredningar eller undersökningar inte hindras,

  3. nationell säkerhet skyddas, eller

  4. någon annans rättigheter och friheter skyddas.

Om förutsättningarna i första stycket är uppfyllda, är den personuppgiftsansvarige inte skyldig att lämna ut skälen för beslut enligt första stycket eller beslut i fråga om rättelse, radering eller begränsning av behandlingen enligt 9 eller 10 §.

Om den personuppgiftsansvarige inte är en myndighet, gäller undantagen i första och andra styckena även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).

Informationsskyldigheten i 3 § gäller inte personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.

Informationsskyldigheten gäller dock om uppgifterna

  1. har lämnats ut till tredje man, med undantag för en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision,

  2. behandlas enbart för vetenskapliga, statistiska eller historiska ändamål, eller

  3. har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.

Om en begäran enligt 3 § är orimlig eller uppenbart ogrundad får den personuppgiftsansvarige avslå den.

Av 12 § andra stycket framgår att den personuppgiftsansvarige i vissa fall får ta ut avgift i stället för att avslå begäran.

Möjligheten att begära kontroll genom tillsynsmyndigheten

I 5 kap. 3 § finns bestämmelser om att en fysisk person får begära att tillsynsmyndigheten kontrollerar om hans eller hennes personuppgifter behandlas författningsenligt.

Rätten till rättelse, radering och begränsning av behandlingen

Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål rätta eller komplettera personuppgifter som rör honom eller henne, om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.

Om den personuppgiftsansvarige inte kan fastställa att personuppgifterna är korrekta ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.

Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål radera personuppgifter som rör honom eller henne, om de behandlas i strid med 2 kap. 1, 2, 3 § första stycket eller någon av 4–6 §§ eller 8, 11, 12, 14 eller 17 § första stycket. Detsamma gäller om det krävs radering för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse.

Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men uppgifterna behöver finnas kvar av bevisskäl, ska den personuppgiftsansvarige på begäran av den registrerade i stället utan onödigt dröjsmål begränsa behandlingen av uppgifterna.

Den personuppgiftsansvarige avgör vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen.

Avgiftsfri information

Information enligt 1, 2 och 4 §§ ska lämnas utan avgift. Information och uppgifter enligt 3 § ska lämnas utan avgift en gång per år.

Om någon begär information och uppgifter enligt 3 § oftare än en gång per år, får den personuppgiftsansvarige ta ut en rimlig avgift eller avslå begäran enligt 7 § första stycket.

Tillsyn

Tillsynsmyndighetens uppdrag

Tillsynsmyndigheten ska verka både för att fysiska personers grundläggande rättigheter och friheter skyddas i samband med behandling av personuppgifter och för att underlätta det fria flödet av personuppgifter inom denna lags tillämpningsområde.

Tillsynsmyndighetens uppgifter

Tillsynsmyndigheten ska

  1. utöva allmän tillsyn över personuppgiftsbehandling,

  2. handlägga klagomål från registrerade,

  3. utföra kontroll enligt 3 §, och

  4. på begäran bistå en tillsynsmyndighet i en annan medlemsstat.

Tillsynen ska inte omfatta behandling av personuppgifter inom ramen för domstolarnas dömande verksamhet.

Tillsynsmyndigheten ska på begäran kontrollera om uppgifter om en fysisk person behandlas författningsenligt. Den som begär en sådan kontroll ska visa att han eller hon har begärt information enligt 4 kap. 3 § eller en åtgärd enligt 4 kap. 9 eller 10 §.

Myndigheten får vägra att utföra kontrollen om begäran är orimlig eller uppenbart ogrundad.

Tillsynsmyndigheten ska vid förhandssamråd enligt 3 kap. 7 § och när det i övrigt är påkallat ge råd och stöd till personuppgiftsansvariga och personuppgiftsbiträden om deras skyldigheter enligt lag eller annan författning.

Tillsynsmyndighetens befogenheter

Undersökningsbefogenheter

Tillsynsmyndigheten har rätt att av personuppgiftsansvariga och personuppgiftsbiträden på begäran få

  1. tillgång till alla personuppgifter som behandlas,

  2. upplysningar om och dokumentation av behandlingen av personuppgifter och säkerhets- och skyddsåtgärder,

  3. tillträde till lokaler som den personuppgiftsansvarige eller personuppgiftsbiträdet disponerar samt tillgång till utrustning och andra medel för behandling av personuppgifter, och

  4. den hjälp och den information som behövs för tillsynen.

Förebyggande befogenheter

Om tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att motverka den risken.

Tillsynsmyndigheten får utfärda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.

Korrigerande befogenheter

Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning eller att den personuppgiftsansvarige eller personuppgiftsbiträdet på något annat sätt inte fullgör sina skyldigheter, får tillsynsmyndigheten

  1. genom sådana åtgärder som anges i 6 § första stycket försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig, eller att uppfylla andra skyldigheter,

  2. förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,

  3. förbjuda fortsatt behandling om bristen är allvarlig, eller

  4. besluta om en sanktionsavgift enligt 6 kap.

Om ett föreläggande utfärdas ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.

Verkställighet av beslut

Tillsynsmyndighetens beslut får inte verkställas omedelbart.

Samarbete med tillsynsmyndigheter i andra medlemsstater

Tillsynsmyndigheten får vägra en begäran om bistånd från en tillsynsmyndighet i en annan medlemsstat endast om det skulle strida mot en lag eller en förordning att tillmötesgå den.

När tillsynsmyndigheten på begäran bistår en tillsynsmyndighet i en annan medlemsstat har den de befogenheter som anges i 5–7 §§.

Tillsynsmyndigheten får, om det är förenligt med svenska intressen, lämna ut en uppgift till en tillsynsmyndighet i en annan medlemsstat, även om uppgiften är sekretessbelagd enligt offentlighets- och sekretesslagen (2009:400).

Information som tillsynsmyndigheten efter begäran har fått från en tillsynsmyndighet i en annan medlemsstat får inte användas för något annat ändamål än det för vilket informationen begärdes.

Administrativa sanktionsavgifter

Överträdelser som kan leda till en sanktionsavgift

En sanktionsavgift får tas ut av en personuppgiftsansvarig vid överträdelse av någon av

  1. 2 kap. 1–5, 7–12 eller 14–18 §§, 19 § andra stycket eller 22 §,

  2. 3 kap. 2–8 §§, eller

  3. 8 kap. 1–6 §§ eller 8 §.

En sanktionsavgift får också tas ut om en personuppgiftsansvarig inte anmäler en personuppgiftsincident enligt 3 kap. 9 § första stycket, inte dokumenterar en sådan incident, låter bli att bistå tillsynsmyndigheten enligt 5 kap. 5 § eller inte följer tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.

Rättsfall:

ERD Segerstedt-Wiberg m.fl. mot Sverige (2006, Säkerhetspolisens registrering av personuppgifter).

En sanktionsavgift får tas ut av ett personuppgiftsbiträde vid överträdelse av 3 kap. 5, 6 eller 8 §.

En sanktionsavgift får också tas ut om ett personuppgiftsbiträde låter bli att bistå tillsynsmyndigheten enligt 5 kap. 5 § eller inte följer tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.

Hur sanktionsavgiften ska bestämmas

Sanktionsavgiften ska vid överträdelser av 3 kap. 6 eller 7 § eller av bestämmelser om dokumentation av personuppgiftsincidenter bestämmas till högst 5 000 000 kronor.

Vid överträdelser av övriga bestämmelser som anges i 1 och 2 §§ ska avgiften bestämmas till högst 10 000 000 kronor.

Om flera bestämmelser har överträtts genom samma personuppgiftsbehandling, eller om en eller flera bestämmelser har överträtts genom sammankopplade personuppgiftsbehandlingar, ska sanktionsavgiften bestämmas efter överträdelsernas allvar. Sanktionsavgiften får aldrig överstiga maximibeloppet för den allvarligaste överträdelsen.

Vid bedömningen av om någon sanktionsavgift ska tas ut och när storleken på avgiften ska bestämmas ska särskild hänsyn tas till

  1. om överträdelsen varit uppsåtlig eller berott på oaktsamhet,

  2. den skada, fara eller kränkning som överträdelsen inneburit,

  3. överträdelsens karaktär, svårhetsgrad och varaktighet,

  4. vad den personuppgiftsansvarige eller personuppgiftsbiträdet gjort för att begränsa verkningarna av överträdelsen, och

  5. om den personuppgiftsansvarige eller personuppgiftsbiträdet tidigare ålagts att betala en sanktionsavgift.

Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut en avgift.

Beslut om sanktionsavgift

Tillsynsmyndigheten beslutar om sanktionsavgift.

Sanktionsavgiften tillfaller staten.

En sanktionsavgift får inte beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträdelsen ägde rum.

Ett beslut om sanktionsavgift ska delges.

Betalning av sanktionsavgift

En sanktionsavgift ska betalas till den myndighet som regeringen bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

Bemyndigande

Regeringen får meddela ytterligare föreskrifter om sanktionsavgifter enligt denna lag.

Skadestånd och överklagande

Skadestånd

Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.

Överklagande

Överklagande av personuppgiftsansvariga myndigheters beslut

Beslut i fråga om rättelse eller komplettering enligt 4 kap. 9 § första stycket, radering enligt 4 kap. 10 § första stycket, eller begränsning av behandlingen enligt 4 kap. 9 § andra stycket eller 10 § andra stycket, som har meddelats av en myndighet i egenskap av personuppgiftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information enligt 4 kap. 3 §, att ta ut avgift enligt 4 kap. 12 § andra stycket eller att inte medge prövning av ett automatiserat beslut enligt 2 kap. 19 § första stycket.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Första stycket gäller inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller Riksdagens ombudsmän.

Överklagande av tillsynsmyndighetens beslut

Tillsynsmyndighetens beslut enligt denna lag får överklagas till allmän förvaltningsdomstol. När ett beslut överklagas är tillsynsmyndigheten motpart i domstolen.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagandeförbud

Andra beslut enligt denna lag än de som avses i 2 och 3 §§ får inte överklagas.

Överföring av personuppgifter till tredjeland och internationella organisationer

Förutsättningar för överföring

En behörig myndighet får överföra personuppgifter till ett tredjeland eller en internationell organisation, om personuppgifterna behandlas i Sverige eller är avsedda att behandlas i ett tredjeland eller av en internationell organisation. Personuppgifterna får dock endast överföras om överföringen

1. är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,

2. riktas till en behörig myndighet i ett tredjeland eller till en internationell organisation som är en behörig myndighet, och

  1. omfattas av

    a) ett beslut om adekvat skyddsnivå enligt 3 §,

    b) tillräckliga skyddsåtgärder enligt 4 §, eller

    c) ett undantag för särskilda situationer enligt 5 §.

En behörig myndighet som avser att överföra personuppgifter till ett tredjeland eller en internationell organisation, ska särskilt beakta risken för att enskilda får ett försämrat skydd för sina personuppgifter.

Personuppgifter som en svensk myndighet har fått från en annan medlemsstat får överföras till ett tredjeland eller en internationell organisation endast om den medlemsstat som lämnat uppgifterna till en svensk myndighet har medgett att de överförs.

Om medgivandet på grund av tidsbrist inte kan inhämtas i förväg, får personuppgifter ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller någon annan medlemsstat.

Beslut om adekvat skyddsnivå

Om Europeiska kommissionen har beslutat att det finns en adekvat nivå för skyddet av personuppgifter i ett tredjeland, eller en viss geografisk eller på annat sätt angiven del av det, får personuppgifter överföras dit under de förutsättningar som anges i 1 och 2 §§. Detsamma gäller om det finns ett sådant beslut avseende en internationell organisation.

Tillräckliga skyddsåtgärder

Om det inte finns något beslut om adekvat skyddsnivå enligt 3 §, får personuppgifter, under de förutsättningar som anges i 1 och 2 §§, ändå överföras till ett tredjeland eller en internationell organisation om

  1. skyddsåtgärder för personuppgifterna har fastställts i ett avtal som ger tillräckliga garantier till skydd för den registrerade, eller

  2. den behöriga myndighet som uppgifterna ska överföras till på annat sätt garanterar tillräckligt skydd för dem.

Överföring i särskilda situationer

Om det inte finns något beslut om adekvat skyddsnivå enligt 3 § eller tillräckliga skyddsåtgärder enligt 4 §, får en överföring, eller en samling av överföringar, av personuppgifter, under de förutsättningar som anges i 1 och 2 §§, göras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig för att

  1. värna den registrerades eller någon annan fysisk persons vitala intressen, eller andra berättigade intressen som den registrerade har,

  2. i ett enskilt fall förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,

  3. i ett enskilt fall kunna fastställa, göra gällande eller försvara ett rättsligt anspråk som hänför sig till ett sådant syfte som anges i 2, eller

  4. avvärja en omedelbar och allvarlig fara för allmän säkerhet.

Personuppgifter får inte överföras till ett tredjeland eller en internationell organisation om den registrerades intresse av skydd mot kränkning av rättigheter och friheter väger tyngre än det allmännas intresse av en sådan överföring som avses i första stycket 2 eller 3.

Vidareöverföring

En svensk behörig myndighet får inte tillåta att sådana personuppgifter som anges i 2 § första stycket, och som överförts till ett tredjeland eller en internationell organisation, vidareöverförs till ett tredjeland eller en internationell organisation, om inte någon behörig myndighet i den andra medlemsstaten har medgett att uppgifterna får vidareöverföras.

När en svensk behörig myndighet ska ta ställning till om personuppgifter som har överförts från Sverige till en annan medlemsstat, som har överfört dem till ett tredjeland eller en internationell organisation, får vidareöverföras till ett tredjeland eller en internationell organisation, ska alla kända omständigheter som har samband med vidareöverföringen beaktas. Särskild vikt ska läggas vid brottets allvar, allvaret i faran för allmän säkerhet, det ändamål för vilket personuppgifterna ursprungligen lämnades till den andra medlemsstaten och nivån på skyddet av personuppgifter i tredjelandet eller hos den internationella organisationen som uppgifterna ska vidareöverföras till.

Överföring till andra än behöriga myndigheter

En svensk behörig myndighet får i ett enskilt fall överföra personuppgifter till någon som inte är en behörig myndighet i ett tredjeland. Personuppgifterna får överföras endast om de övriga förutsättningarna i 1 och 2 §§ är uppfyllda och om

  1. det är absolut nödvändigt för att den svenska myndigheten ska kunna utföra en uppgift enligt 1 kap. 2 § som den har ansvar för,

  2. den svenska myndigheten informerar den som ska ta emot personuppgifterna om det eller de specifika ändamål för vilket eller vilka uppgifterna får behandlas, och

  3. det skulle vara ineffektivt eller olämpligt att överföra dem till en behörig myndighet i tredjelandet.

Personuppgifter får inte överföras enligt första stycket om den registrerades intresse av skydd mot kränkning av rättigheter och friheter väger tyngre än det allmännas intresse av att överföringen görs.

Första och andra styckena gäller inte en sådan annan aktör som är behörig myndighet enligt definitionen i 1 kap. 6 §.

Villkor om användningsbegränsning

Om en svensk behörig myndighet har fått personuppgifter från ett tredjeland eller en internationell organisation och gäller på grund av en överenskommelse med tredjelandet eller den internationella organisationen villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

En svensk behörig myndighet får vid överföring av personuppgifter till ett tredjeland eller en internationell organisation i ett enskilt fall ställa upp villkor som begränsar möjligheten att använda uppgifterna, om det krävs med hänsyn till den enskildes rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internationell överenskommelse som är bindande för Sverige.

Ikraftträdande- och övergångsbestämmelser

SFS 2018:1177

1. Denna lag träder i kraft d. 1 aug. 2018.

2. Genom lagen upphävs lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

3. Bestämmelsen i 3 kap. 5 § om loggning tillämpas från och med d. 6 maj 2023 i fråga om automatiserade behandlingssystem som inrättats före d. 6 maj 2016.

4. En sanktionsavgift enligt 6 kap. får beslutas endast för överträdelser som har skett efter ikraftträdandet.

5. Äldre föreskrifter gäller fortfarande för överträdelser som har skett före ikraftträdandet.

6. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.

SFS 2018:1249

Denna lag träder i kraft d. 1 april 2019.

SFS 2021:1175

Denna lag träder i kraft d. 1 jan. 2022.

SFS 2022:737

Denna lag träder i kraft d. 28 juni 2022.

Anmärkt författning:

BrottsdataF (2018:1202).

Lag 2018:1177

Författare: Gunnel Lindberg

stjärnnoten, 3 kap., 5–8 kap.

Författare: Sofie Lindblom

1 kap., 2 kap., 4 kap.

Författare: Gunnel Lindberg

Brottsdatalagen är resultatet av EU:s dataskyddsreform. Reformen består av två delar. Den ena är Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad GDPR. Den andra delen är Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här kallat dataskyddsdirektivet.

GDPR, som är generellt tillämplig på automatiserad behandling av personuppgifter och viss annan strukturerad information, gäller inte när dataskyddsdirektivet är tillämpligt (se artikel 2.2 d i GDPR). Brottsdatalagen genomför tillsammans med brottsdataförordningen (2018:1202) dataskyddsdirektivet i svensk rätt. Det innebär att gränsen mellan när GDPR respektive brottsdatalagen gäller regleras i den lagen.

GDPR ersätter personuppgiftslagen (1998:204), här kallad PUL inom sitt tillämpningsområde, medan brottsdatalagen kan ses som en för vissa myndigheter och andra gemensam ersättning av PUL när de är att anse som behöriga myndigheter enligt brottsdatalagen. Brottsdatalagen gäller huvudsakligen för myndigheter i rättskedjan när de behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, upprätthålla allmän ordning och säkerhet eller verkställa straffrättsliga påföljder. Dessa myndigheters registerlagstiftningar har anpassats till att det genom brottsdatalagen finns en ny generell reglering som är särskilt utformad för den personuppgiftsbehandling som de utför och som inte styrs av GDPR, se prop. 2017/18:269. Det har resulterat i nya lagar för polisen, Kustbevakningen, Tullverket, Skatteverket, åklagarväsendet, domstolarna och Kriminalvården.

I lagen räknas inte de behöriga myndigheterna upp, eftersom lagen enbart gäller när behöriga myndigheter behandlar personuppgifter för vissa i lagen angivna syften. Det innebär att när dessa myndigheter eller organ behandlar personuppgifter för andra syften än som anges i brottsdatalagen ska de i stället tillämpa GDPR.

Eftersom EU-regleringen bygger vidare på det tidigare dataskyddsdirektivet är vissa av de grundläggande bestämmelserna mer eller mindre likalydande med bestämmelser i det direktivet, som genomfördes genom PUL. Därför är den rättspraxis som har utbildats kring regleringen i PUL fortfarande av intresse för tolkningen av vissa bestämmelser i brottsdatalagen.

Vissa av bestämmelserna i direktivet har en direkt motsvarighet i GDPR eller i den svenska lagstiftning som kompletterar den. Det gäller t.ex. bestämmelserna om känsliga personuppgifter, dataskyddsombud, personuppgiftsincidenter och sanktioner. Den rättspraxis som utbildas beträffande tillämpningen av GDPR och den svenska lagstiftning som kompletterar GDPR kan därför få betydelse även för tolkningen av vissa bestämmelser i brottsdatalagen.

Brottsdatalagen är, på samma sätt som PUL, subsidiär i förhållande till annan lagstiftning. Det innebär att om det finns avvikande bestämmelser t.ex. i en viss myndighets registerlagstiftning gäller de bestämmelserna i stället för brottsdatalagens.

Förarbetena finns i SOU 2017:29 och prop. 2017/18:232.

Författare: Sofie Lindblom

Behörig myndighet definieras i 1 kap. 6 §. Det framgår inte direkt av lagen vilka som är behöriga myndigheter. Det avgörande är om myndigheten har en uppgift inom brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet. Myndigheten är behörig myndighet bara när den utför sådana uppgifter. En myndighet kan alltså vara både behörig och icke behörig i lagens mening beroende på vilka uppgifter som utförs. En förutsättning för att myndigheten ska vara behörig myndighet är också att den i det konkreta fallet behandlar personuppgifter för något av syftena brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet. Gränsdragningsfrågor behandlas i prop. 2017/18:232 s. 109 f. och 429 f. och SOU 2017:29 s. 181 f.

Även andra aktörer än myndigheter kan vara behöriga myndigheter i lagens mening om de har anförtrotts myndighetsutövning för brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet.

Författare: Sofie Lindblom

Det är framför allt Polismyndighetens och andra brottsbekämpande myndigheters underrättelseverksamhet som avses med formuleringen. I det ligger arbete med insamling, bearbetning och analys av information i syfte att förhindra eller upptäcka brottslig verksamhet när det ännu inte finns misstankar om att ett visst konkret brott har begåtts (prop. 2009/10:85 s. 318). Även behandling av överskottsinformation med stöd av 27 kap. 23 a § RB omfattas, om syftet är att förhindra brott. För exempel och gränsdragningsfrågor, se SOU 2017:29 s. 185.

Författare: Sofie Lindblom

Det är framför allt att genomföra förundersökning enligt 23 kap. RB som avses. Med brott avses konkreta brott. Det gäller såväl brott som bevisligen har begåtts som brott som det enbart finns misstankar om. Även förenklad utredning enligt 23 kap. 22 § RB och åtgärder som vidtas med stöd av 23 kap. 3 och 8 §§ RB innan förundersökning har hunnit inledas omfattas. För exempel och gränsdragningsfrågor, se SOU 2017:29 s. 185.

Författare: Sofie Lindblom

Det är framför allt åklagares beslut i åtalsfrågor och om åtalsunderlåtelse samt brottmålsförfarandet i allmän domstol som avses. Brottmålsförfarandet omfattar allt från förprocessuella frågor som förordnande av offentlig försvarare och straffprocessuella tvångsmedel till expediering av domar och beslut. I lagföra brott ingår även föreläggande av ordningsbot och strafföreläggande. För exempel och gränsdragningsfrågor, se SOU 2017:29 s. 206.

Författare: Sofie Lindblom

I uttrycket ingår även andra påföljder än fängelse, skyddstillsyn och samhällstjänst som Kriminalvården verkställer. Statens institutionsstyrelse verkställer sluten ungdomsvård. Även socialnämnder verkställer till viss del påföljder när påföljden är ungdomsvård, ungdomstjänst eller vård av missbrukare. På motsvarande sätt verkställer rättspsykiatriska enheter rättspsykiatrisk vård. För exempel och gränsdragningsfrågor, se SOU 2017:29 s. 217.

Författare: Sofie Lindblom

Vad som omfattas av uttrycket behandlas i prop. 2017/18:232 s. 95 f. Informationssäkerhet omfattas inte. För exempel och gränsdragningsfrågor, se SOU 2017:29 s. 227.

Författare: Sofie Lindblom

Det är samma uttryck som i 5 § PUL.

Författare: Sofie Lindblom

Det är bara behandling av personuppgifter som rör nationell säkerhet som undantas. När Säkerhetspolisen exempelvis övertagit en förundersökning från Polismyndigheten med stöd av 30 § förordningen (2014:1102) med instruktion för Polismyndigheten ska lagen tillämpas. Något motsvarande generellt undantag för personuppgiftsbehandling som rör nationell säkerhet gäller inte för andra myndigheter som tillämpar lagen.

Författare: Sofie Lindblom

Det finns ingen definition av uttrycket. I t.ex. 19 kap. BrB och säkerhetsskyddslagen (2018:585) används uttrycket Sveriges säkerhet.

Författare: Sofie Lindblom

Enligt 28 § förordningen (2014:1102) med instruktion för Polismyndigheten ska myndigheten under vissa förutsättningar bistå Säkerhetspolisen. Säkerhetspolisen och Polismyndigheten kan komma överens om att Polismyndigheten ska överta arbetsuppgifter från Säkerhetspolisen (15 § förordningen [2014:1103] med instruktion för Säkerhetspolisen). Polismyndigheten ska då inte tillämpa brottsdatalagen om Säkerhetspolisen inte hade behövt göra det.

Författare: Sofie Lindblom

Lagen är subsidiär till annan lagstiftning. Om det finns avvikande bestämmelser i t.ex. en myndighets registerförfattning, som lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område eller i en författning som reglerar ett visst register, som lagen (1998:620) om belastningsregister, ersätter de bestämmelserna i förevarande lag. Det gäller även avvikande bestämmelser i RB och OSL. Avvikande bestämmelser kan också finnas i författningar som innehåller dataskyddsbestämmelser som enligt artiklarna 60 och 61 i dataskyddsdirektivet ska ha företräde framför direktivet, t.ex. samarbete enligt Prümrådsbeslutet som regleras i 7 kap. lagen (2017:496) om internationellt polisiärt samarbete.

Författare: Sofie Lindblom

Se kommentaren till 1 kap. 2 §.

Författare: Sofie Lindblom

Se kommentaren till 2 kap. 12 §.

Författare: Sofie Lindblom

Se kommentaren till 2 kap. 12 §.

Författare: Sofie Lindblom

Se kommentaren till 3 kap. 1 §.

Författare: Sofie Lindblom

Integritetsskyddsmyndigheten är tillsynsmyndighet enligt lagen, se 2 a § förordningen (2007:975) med instruktion för Integritetsskyddsmyndigheten.

Författare: Sofie Lindblom

Personuppgiftsbehandling är nödvändig om den behövs för att den behöriga myndigheten ska kunna utföra en arbetsuppgift på ett effektivt sätt. Det krävs alltså inte att det ska vara omöjligt att utföra uppgiften om personuppgifterna inte behandlas (se prop. 2017/18:232 s. 117). Kravet på nödvändighet innebär dock att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna.

Författare: Sofie Lindblom

Bestämmelsen bildar den yttre ramen för när personuppgiftsbehandling är tillåten enligt lagen. I myndigheternas registerförfattningar finns mer specifika bestämmelser om rättslig grund, se t.ex. 2 kap. 1 § lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område eller 2 kap. 1 § lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område.

Författare: Sofie Lindblom

Se kommentaren till 1 kap. 2 §.

Författare: Sofie Lindblom

Se kommentaren till 1 kap. 2 §.

Författare: Sofie Lindblom

Se kommentaren till 1 kap. 2 §.

Författare: Sofie Lindblom

Se kommentaren till 1 kap. 2 §.

Författare: Sofie Lindblom

Vad som omfattas av uttrycket behandlas i prop. 2017/18:232 s. 95 f.

Författare: Sofie Lindblom

Enligt lagen (1994:1500) med anledning av Sveriges anslutning till Europeiska unionen gäller EU-rättsakter här i landet med den verkan som följer av EU-fördragen. Även arbetsuppgifter som framgår av EU-rättsakter kan alltså ligga till grund för personuppgiftsbehandling enligt lagen.

Författare: Sofie Lindblom

Det ska vara fråga om ett för verksamheten bindande beslut (se prop. 2017/18:232 s. 440).

Författare: Sofie Lindblom

Paragrafen ger stöd för behandling av personuppgifter i vissa fall där behandlingen inte har stöd i 2 kap. 1 §, t.ex. för att nödvändighetsrekvisitet inte är uppfyllt. Enligt 2 kap. 13 § får även känsliga personuppgifter behandlas enligt denna paragraf.

Författare: Sofie Lindblom

Både handlingar och muntliga uppgifter som nedtecknas i en tjänsteanteckning eller liknande omfattas av bestämmelsen. Vilka uppgifter som måste noteras i samband med diarieföring framgår av 5 kap. 2 § OSL. Annan behandling än den som är nödvändig för diarieföringen är inte tillåten.

Författare: Sofie Lindblom

Uttrycket innefattar alla slag av framställningar till en behörig myndighet. Det kan vara både skriftliga framställningar och muntliga uppgifter som nedtecknas av någon hos den behöriga myndigheten.

Författare: Sofie Lindblom

Annan behandling än den som är nödvändig för handläggning av framställningen får inte utföras.

Författare: Sofie Lindblom

Det är skillnad mellan ändamålet med behandlingen och den rättsliga grunden för behandlingen. Ändamålet ska i de flesta fall vara mer konkret. Ändamålen måste bestämmas redan när personuppgifter behandlas första gången.

Att ändamålet ska vara särskilt innebär att det måste vara tillräckligt preciserat för att det ska kunna avgöras om de personuppgifter som behandlas är adekvata och relevanta för ändamålet med behandlingen eller om för många personuppgifter behandlas (se kommentaren till 2 kap. 8 §). Det får inte vara så vagt eller omfattande att en prövning blir omöjlig i praktiken. Ändamålet kan t.ex. vara förundersökningen om ett visst brott, åtalet för vissa gärningar eller handläggningen av en begäran om ett kontaktförbud. Det kan också vara fråga om ett pågående underrättelsearbete om viss, närmare angiven, brottslig verksamhet eller om verkställigheten av ett visst straff.

Att ändamålet ska vara berättigat innebär en koppling till de rättsliga grunderna. Personuppgifter som avser en förundersökning får t.ex. inte längre behandlas för det ändamålet när brottet har preskriberats. Uppgifter om verkställigheten av en påföljd får inte behandlas om påföljden har bortfallit. Däremot kan det vara berättigat för åklagare och domstolar att fortsätta behandla personuppgifter efter en dom till dess att det står klart att domen har fått laga kraft.

Författare: Sofie Lindblom

Oftast framgår det av sammanhanget för vilket ändamål personuppgifter behandlas, t.ex. förundersökningen om ett visst brott, handläggningen av ett visst mål eller ärende eller verkställigheten av ett visst straff. Det är framför allt i underrättelseverksamhet som det inte alltid framgår av omständigheterna för vilket ändamål personuppgifter behandlas och där det behöver tydliggöras genom en särskild upplysning.

Författare: Sofie Lindblom

För de brottsbekämpande myndigheterna gäller kravet på särskild upplysning endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga (dvs. uppgifter som är tillgängliga för fler än ett fåtal), se t.ex. 2 kap. 3 § lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område och 2 kap. 3 § lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område.

Författare: Sofie Lindblom

Bara om de förutsättningar som räknas upp i paragrafen är uppfyllda får personuppgifter behandlas för ett nytt ändamål. Någon prövning av om behandlingen för det nya ändamålet är förenlig med det ändamål för vilket uppgifterna ursprungligen behandlades behöver däremot inte göras (se prop. 2017/18:232 s. 126). Det saknar också betydelse om det är samma eller en annan personuppgiftsansvarig som ska behandla uppgifterna för ett nytt ändamål, så länge det nya ändamålet omfattas av lagens tillämpningsområde. Behandling för nya ändamål utanför lagens tillämpningsområde regleras i 2 kap. 22 §.

Författare: Sofie Lindblom

Det ska vara fråga om något som behövs snarare än något som absolut krävs (jfr kommentaren till 2 kap. 1 §). Behandlingen kan vara nödvändig exempelvis om det i en förundersökning finns uppgifter som avslöjar planer på fritagning av en häktad och uppgiften därför behöver lämnas till Kriminalvården. Se också prop. 2017/18:232 s. 128.

Författare: Sofie Lindblom

Behandlingen är proportionerlig om skälen för att behandla uppgifterna för det nya ändamålet väger tyngre än de intrång som behandlingen innebär för enskilda. Bedömningen ska inte göras i förhållande till varje enskild uppgift i exempelvis ett register, utan behovet av sökningen ska vägas mot det samlade intrånget av att sökningen görs. Det har också betydelse vilka personuppgifter det är fråga om och i vilken verksamhet de används (se prop. 2017/18:232 s. 128).

Författare: Sofie Lindblom

För exempel på uppgiftsskyldighet som gör prövning av nödvändighet och proportionalitet obehövlig, se prop. 2017/18:232 s. 137 f. Undantaget omfattar även en myndighets skyldighet enligt 6 kap. 5 § OSL att på begäran av en annan myndighet lämna ut uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. I de fall där det i lag eller förordning bara föreskrivs en möjlighet, men ingen skyldighet, att lämna personuppgifter ska det däremot prövas om uppgiftslämnandet är nödvändigt och proportionerligt.

Författare: Sofie Lindblom

GDPR gäller för all personuppgiftsbehandling som omfattas av unionsrätt men som inte ligger inom brottsdatalagens tillämpningsområde. En behörig myndighet måste därför alltid avgöra om ändamålen med behandlingen omfattas av lagens tillämpningsområde, oavsett om det är första gången en uppgift behandlas eller om den ska behandlas för nya ändamål. Se 2 kap. 22 § om behandling för nya ändamål utanför lagens tillämpningsområde.

Författare: Sofie Lindblom

En personuppgift är korrekt om den stämmer överens med de verkliga förhållandena. Bedömningen av om en personuppgift är korrekt måste göras dels utifrån ändamålen med behandlingen, dels utifrån vad uppgiften rör, vem som lämnar den och när den lämnas. Det har också stor betydelse att veta om uppgiften grundar sig på fakta eller på personliga bedömningar. Kravet på att personuppgifter ska vara korrekta innebär inte något hinder mot att samla in osäkra uppgifter, under förutsättning att de är relevanta för arbetet (se 2 kap. 8 §) och att det framgår att det är osäkert om uppgiften är riktig. När det gäller personuppgifter som behandlas vid utsagor, exempelvis förhör, kan det endast krävas att utsagorna återges på ett korrekt sätt, dvs. så som de har lämnats, och att dokumentationen av dem följer gällande regler. Se vidare prop. 2017/18:232 s. 143 f.

Författare: Sofie Lindblom

Om det är nödvändigt att uppdatera personuppgifter får avgöras med hänsyn till ändamålen med behandlingen. Ändrade kontaktuppgifter kan exempelvis behöva uppdateras under handläggningen av ett ärende, men har ärendet avslutats och arkiverats är det inte nödvändigt att göra det.

Författare: Sofie Lindblom

Syftet är att förhindra att personers utseende beskrivs på ett sätt som är kränkande för individen.

En behörig myndighet är alltid oförhindrad att göra de anteckningar som är nödvändiga för att underlätta identifieringen av en person, t.ex. anteckningar om fysiska kännetecken vid tips från allmänheten om någon som kan misstänkas för brott. I anslutning till dessa anteckningar får även känsliga personuppgifter antecknas, om det är absolut nödvändigt för det arbete som tipset kan komma att leda till, se 2 kap. 11 § andra stycket.

Författare: Sofie Lindblom

Kravet innebär att ovidkommande uppgifter inte får behandlas. Det måste därför alltid prövas om det går att utelämna personuppgifter, eller i vart fall att endast använda uppgifter som indirekt går att hänföra till en viss person. Om fullständig avidentifiering är ett fullgott alternativ till att använda direkta eller indirekta personuppgifter är kravet på adekvans och relevans inte uppfyllt och det är då inte tillåtet att behandla personuppgifterna.

Författare: Sofie Lindblom

En prövning av om en personuppgift är nödvändig för behandlingen ska göras kontinuerligt och inte bara när uppgiften registreras eller på annat sätt samlas in. Även vid en senare behandling ska personuppgiften behövas för just den behandlingen.

Författare: Sofie Lindblom

På exempelvis fotografier och i filmer kan det förekomma andra personer som är helt okända. Det är då tillräckligt att det tydliggörs vem som är den intressanta personen och till vilken kategori han eller hon hör.

Författare: Sofie Lindblom

Det är särskilt viktigt att det framgår om någon är misstänkt för brott eller inte. Det gäller oavsett misstankegrad.

Författare: Sofie Lindblom

Det kan vara exempelvis vittnen eller vårdnadshavare för målsägande, misstänkta eller vittnen.

Författare: Sofie Lindblom

Oftast framgår det av sammanhanget vilken kategori en person tillhör. Om en person har hörts under en förundersökning eller en brottmålsrättegång och det av sammanhanget framgår att han eller hon har hörts som t.ex. målsägande, tilltalad eller vittne, behöver uppgifterna inte förses med någon tilläggsupplysning.

Varje enskild uppgift behöver inte förses med en särskild upplysning. Vid behandling av uppgifter i ljud- eller bildupptagningar eller i löpande text framgår det som regel av sammanhanget till vilka personkategorier olika personer hör. Ibland kan det dock behövas en upplysning som förtydligar det.

Författare: Sofie Lindblom

För de brottsbekämpande myndigheterna gäller kravet på särskild upplysning endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga (dvs. uppgifter som är tillgängliga för fler än ett fåtal), se t.ex. 2 kap. 3 § lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område och 2 kap. 3 § lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område.

Författare: Sofie Lindblom

Se kommentaren till 2 kap. 9 §.

Författare: Sofie Lindblom

Se kommentaren till 2 kap. 9 §.

Författare: Sofie Lindblom

För de brottsbekämpande myndigheterna gäller kravet på särskild upplysning endast vid behandling av personuppgifter som har gjorts gemensamt tillgängliga (dvs. uppgifter som är tillgängliga för fler än ett fåtal), se t.ex. 2 kap. 3 § lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område och 2 kap. 3 § lagen (2018:1695) om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område.

Författare: Sofie Lindblom

Uppgifter om sexuell läggning är en ny kategori känsliga personuppgifter. I övrigt är regleringen densamma som tidigare.

En uppgift om utseende är normalt inte en känslig personuppgift. Den får behandlas med den begränsning som följer av 2 kap. 7 § andra stycket. Om en sådan uppgift samtidigt innebär en uppgift om etniskt ursprung omfattas den dock av förbudet mot att behandla känsliga personuppgifter. Bestämmelsen hindrar inte att uppgifter om en persons nationalitet behandlas, eftersom en sådan uppgift normalt inte ger upplysning om etniskt ursprung (se prop. 2009/10:85 s. 325). Uppgifter om att en person kommer från en viss världsdel eller ett visst land faller också som regel utanför förbudet.

Fotografier och filmer kan avslöja många detaljer, t.ex. hudfärg eller om en person bär klädsel eller andra kännetecken som är typiska för utövare av en viss religion. Även fysiska funktionsnedsättningar eller att en person är sjuk eller skadad kan framgå. Bilder på människor i mer normala situationer torde inte avslöja känsliga personuppgifter, medan bilder på människor som utövar religiösa, politiska eller sexuella aktiviteter som regel utgör känsliga personuppgifter (jfr Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen, En kommentar, 4:e uppl. 2011, s. 288).

Författare: Sofie Lindblom

Det är inte tillåtet att föra register eller på annat sätt göra anteckningar om enskilda enbart på den grunden att de utifrån etniskt ursprung, politiska åsikter eller något annat i paragrafen angivet förhållande kan hänföras till en viss kategori av människor. Om andra uppgifter om en person samlas in och behandlas får de dock kompletteras med känsliga personuppgifter. I en förundersökning som gäller brottet hets mot folkgrupp kan det t.ex. finnas skäl att anteckna uppgifter om målsägandens religiösa övertygelse eller etniska ursprung.

Författare: Sofie Lindblom

Uttrycket innebär att behovet av att komplettera personuppgifter med känsliga personuppgifter måste prövas noga i det enskilda fallet.

Författare: Sofie Lindblom

Biometriska uppgifter definieras i 1 kap. 6 §. Biometriska uppgifter är en ny kategori känsliga personuppgifter. Fingeravtryck och dna-profiler är vanliga former av biometriska uppgifter. Personuppgifter, t.ex. om ett fingeravtryck, som förekommer i ett utlåtande som baseras på teknisk bearbetning av biometriska uppgifter utgör däremot inte biometriska uppgifter. Även fotografier och filmer som inte bearbetas tekniskt i syfte att åstadkomma en unik identifiering faller utanför definitionen. Fotografier och filmer kan alltså bearbetas för att förbättra bildkvaliteten eller förstärka detaljer utan att det utgör behandling av biometriska uppgifter. Se vidare prop. 2017/18:232 s. 85 f. och 150 f.

Författare: Sofie Lindblom

Genetiska uppgifter definieras i 1 kap. 6 §. Genetiska uppgifter är en ny kategori känsliga personuppgifter. Sådana uppgifter behandlas vid dna-analyser i forensisk verksamhet för att ta fram dna-profiler eller forensiska uppslag. Själva dna-profilen, som behandlas i exempelvis Polismyndighetens dna-register, utgör inte en genetisk uppgift men däremot en biometrisk uppgift. Se vidare prop. 2017/18:232 s. 86 f. och 150.

Författare: Sofie Lindblom

I de brottsbekämpande myndigheternas registerförfattningar finns bestämmelser om i vilken utsträckning de myndigheterna får behandla biometriska och genetiska uppgifter, se t.ex. 2 kap. 4 §, 5 kap. 2–6 och 11–14 §§ och 6 kap. 4 § lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område.

Författare: Sofie Lindblom

Se kommentaren till 2 kap. 11 §.

Författare: Sofie Lindblom

Sökningar som görs för att få fram ett urval av personer som t.ex. har viss politisk eller religiös åskådning eller sexuell läggning är förbjudna. Det är dock tillåtet att söka på känsliga personuppgifter om sökningen begränsas till att gälla en viss person. Uppgifter som beskriver en persons utseende, t.ex. uppgifter om längd, hudfärg eller tatueringar, får också användas som sökbegrepp så länge syftet med sökningen inte är att göra en sammanställning av en viss grupp av personer grundat på exempelvis etniskt ursprung eller politisk åskådning.

Även tillåtna sökningar kan resultera i ett urval av personer grundat på känsliga personuppgifter. I vilken utsträckning det är tillåtet att behandla någon eller några av uppgifterna i sammanställning får prövas mot huvudregeln för behandling av känsliga personuppgifter i 2 kap. 11 §. Se vidare prop. 2017/18:232 s. 155 f.

I flera av de behöriga myndigheternas registerförfattningar finns undantag från sökförbudet som är anpassade till de olika myndigheternas behov av att använda känsliga personuppgifter vid sökning, se t.ex. 2 kap. 5 och 6 §§ lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område och 2 kap. 5 och 6 §§ lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.

Författare: Sofie Lindblom

I kapitlet regleras den personuppgiftsansvariges skyldighet att vidta korrigerande åtgärder på eget initiativ. Skyldigheterna att vidta motsvarande åtgärder på den registrerades initiativ regleras i 4 kap.

Felaktiga personuppgifter ska rättas (2 kap. 15 §) medan personuppgifter som behandlas på ett otillåtet sätt ska raderas eller så ska behandlingen av dem begränsas (2 kap. 16 §).

Författare: Sofie Lindblom

Vad som utgör rimliga åtgärder beror på om personuppgifterna är felaktiga, ofullständiga eller inaktuella, eftersom personuppgifter enligt 2 kap. 7 § alltid ska vara korrekta men bara behöver vara uppdaterade om det är nödvändigt. Vad som är rimliga åtgärder får bedömas i det enskilda fallet med hänsyn till ändamålet med behandlingen, vilka personuppgifter som behandlas och vilka konsekvenser en felaktig eller ofullständig uppgift kan få för den enskilde.

Författare: Sofie Lindblom

Vad som avses med en korrekt uppgift behandlas i kommentaren till 2 kap. 7 §.

Författare: Sofie Lindblom

Den personuppgiftsansvarige ska skyndsamt utreda frågan om en personuppgift är felaktig, ofullständig eller inaktuell och, om det finns skäl för det, så fort som möjligt genomföra rättelse eller komplettering.

Författare: Sofie Lindblom

Enligt 2 kap. 1 § brottsdataförordningen (2018:1202) ska mottagaren underrättas om det visar sig att felaktiga, ofullständiga eller inaktuella personuppgifter har lämnats ut. Även den som har tagit del av tillgängliggjorda uppgifter ska underrättas så långt det är möjligt.

Författare: Sofie Lindblom

I vilken utsträckning inaktuella personuppgifter behöver uppdateras framgår av kommentaren till 2 kap. 7 §.

Författare: Sofie Lindblom

Mottagare definieras i 1 kap. 6 §. Det är endast när personuppgifter lämnas till andra behöriga myndigheter som informationsskyldigheten gäller.

Författare: Sofie Lindblom

Det kan vara information om varifrån personuppgifterna kommer, vad som är känt om uppgiftslämnaren, när och för vilket ändamål som personuppgifterna hämtades in och om de grundar sig på fakta eller personliga bedömningar. Det kan också vara relevant för mottagaren att känna till om personuppgiften grundas på misstanke om brott, saken är föremål för domstolsprövning eller avser en lagakraftvunnen dom.

Författare: Sofie Lindblom

Syftet med informationsskyldigheten är att mottagaren ska kunna fullgöra sin skyldighet att kontrollera kvaliteten på personuppgifter som kommer från andra behöriga myndigheter.

Författare: Sofie Lindblom

Se kommentaren till 2 kap. 15 §.

Författare: Sofie Lindblom

Den personuppgiftsansvarige ska skyndsamt utreda frågan om en personuppgift ska raderas och, om det finns skäl för det, så fort som möjligt radera uppgiften.

Författare: Sofie Lindblom

Med radering avses att personuppgifter tas bort från informationssamlingar på ett sådant sätt att de inte kan återskapas. Radering kan komma i fråga bl.a. om behandlingen strider mot bestämmelserna om att personuppgifter ska vara adekvata och relevanta, att inte fler personuppgifter än nödvändigt får behandlas och att de bara får behandlas om det finns en rättslig grund och för särskilt angivna ändamål. Även behandling i strid med bestämmelserna om hur känsliga personuppgifter får behandlas eller hur länge personuppgifter får behandlas kan föranleda radering. Frågan om en personuppgift ska raderas ska bedömas mot bakgrund av kraven i dessa bestämmelser.

Utrymmet för att radera uppgifter i allmänna handlingar begränsas av arkivlagstiftningen genom att det krävs författningsstöd för gallring.

Författare: Sofie Lindblom

Det kan avse en skyldighet som rör hur personuppgifter får behandlas enligt brottsdatalagen, myndighetens registerförfattning eller annan författning om ett enskilt register, t.ex. lagen (1998:621) om misstankeregister.

Författare: Sofie Lindblom

Den personuppgiftsansvarige ska skyndsamt utreda frågan om behandlingen av en personuppgift ska begränsas och, om det finns skäl för det, så fort som möjligt begränsa behandlingen.

Författare: Sofie Lindblom

En begränsning kan bara göras som ett alternativ till radering, dvs. om personuppgifter behandlas otillåtet. Om personuppgifterna behöver finnas kvar som bevisning, t.ex. i en rättsprocess om otillåten personuppgiftsbehandling, ska behandlingen av dem begränsas. Det är inte tillåtet att ha kvar personuppgifter som ska raderas i syfte att använda dem för t.ex. brottsbekämpning (se prop. 2017/18:232 s. 251 f.)

När behandlingen av en personuppgift har begränsats får uppgiften inte behandlas av den personuppgiftsansvarige, ett personuppgiftsbiträde eller någon annan, utom för de ändamål för vilka behandlingen begränsades. Uppgiften får dock lämnas ut med stöd av 2 kap. tryckfrihetsförordningen.

Begränsning av behandling är inte en permanent åtgärd. När personuppgifterna inte längre behöver finnas kvar av bevisskäl, t.ex. för att domen eller beslutet i målet om otillåten personuppgiftsbehandling har fått laga kraft, ska begränsningen upphöra och personuppgifterna raderas.

Författare: Sofie Lindblom

Se kommentaren till 2 kap. 1 §.

Författare: Sofie Lindblom

Det är ändamålet i det enskilda fallet som avses. Ibland behandlas personuppgifter för flera olika ändamål. Att det inte längre finns behov att behandla en personuppgift för ett visst ändamål medför inte att behandlingen av den samtidigt måste upphöra för alla andra ändamål. Att personuppgiften behövs för ett visst ändamål innebär inte att den får fortsätta att behandlas för alla ändamål lika länge. Behovet av att fortsätta behandla uppgiften måste alltså prövas kontinuerligt för varje ändamål för sig.

Författare: Sofie Lindblom

Bestämmelsen om längsta tid för behandling hindrar inte att personuppgifter arkiveras eller att arkivmaterial lämnas till en arkivmyndighet. Eftersom brottsdatalagen enligt 1 kap. 2 § endast gäller för behöriga myndigheters behandling för vissa syften omfattas behandling för arkivändamål av GDPR:s tillämpningsområde. Det hindrar dock inte att de arkiverade personuppgifterna hämtas för att behandlas i exempelvis ett nyinkommet brottmål. Det blir då brottsdatalagen och eventuell annan lagstiftning som genomför dataskyddsdirektivet som ska tillämpas på de inhämtade uppgifterna.

Författare: Sofie Lindblom

Bestämmelser om hur länge personuppgifter får behandlas finns i de behöriga myndigheternas registerförfattningar, t.ex. 4 kap. lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område eller i författningar som reglerar ett visst register, t.ex. 16 och 17 §§ lagen (1998:620) om belastningsregister. De finns dock inte bara i lag eller förordning utan kan även finnas i myndighetsföreskrifter som har stöd i bemyndiganden.

Enligt 2 kap. 2 § brottsdataförordningen (2018:1202) ska den personuppgiftsansvarige se till att det finns rutiner som säkerställer att de som behandlar personuppgifter respekterar tidsfristerna för när personuppgifter inte längre får behandlas.

Författare: Sofie Lindblom

Vilka ändamål som faller inom lagens tillämpningsområde regleras i 1 kap. 2 §.

Författare: Sofie Lindblom

Enligt 2 kap. 2 § brottsdataförordningen (2018:1202) ska den personuppgiftsansvarige se till att det finns rutiner som säkerställer årlig översyn av behovet av att lagra personuppgifter.

Författare: Sofie Lindblom

Paragrafen motsvarar 29 § PUL. Att enskilda har rätt till närmare information om automatiserade beslut framgår av 4 kap. 4 §.

Författare: Sofie Lindblom

Bestämmelser om att användningsbegränsningar får ställas upp finns inom brottsdatalagens tillämpningsområde i lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (2000:1219) om internationellt tullsamarbete, lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar, förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen, lagen (2017:496) om internationellt polisiärt samarbete och lagen (2017:1000) om en europeisk utredningsorder.

Författare: Sofie Lindblom

Se kommentaren till 2 kap. 1 §.

Författare: Sofie Lindblom

Av 2 § 1 förordningen (2016:1201) med instruktion för Brottsförebyggande rådet framgår att Brottsförebyggande rådet ansvarar för den officiella kriminalstatistiken i enlighet med förordningen (2001:100) om den officiella statistiken.

Författare: Sofie Lindblom

Personuppgifter som en behörig myndighet behandlar enligt lagen kan behöva lämnas till en enhet inom myndigheten som bedriver verksamhet utanför lagens tillämpningsområde. Personuppgifter som behandlas i Polismyndighetens brottsbekämpande verksamhet kan t.ex. behövas för att bedöma en persons lämplighet att få vapenlicens. Ett annat exempel är att personuppgifter som Kustbevakningen behandlar i sin brottsbekämpande verksamhet behöver överlämnas till den enhet som hanterar frågor om vattenföroreningsavgift på grund av oljeutsläpp. Prövningen av om behandlingen är tillåten ska då göras med utgångspunkt i GDPR:s bestämmelser. Någon prövning av om behandlingen för det nya ändamålet är förenlig med det ändamål för vilket uppgifterna ursprungligen behandlades behöver dock inte göras (se prop. 2017/18:232 s. 132).

Författare: Sofie Lindblom

Se kommentaren till 2 kap. 4 §.

Författare: Sofie Lindblom

Se kommentaren till 2 kap. 4 §.

Författare: Sofie Lindblom

Se kommentaren till 2 kap. 4 §.

Författare: Gunnel Lindberg

Personuppgiftsansvarig definieras i 1 kap. 6 §.

Författare: Gunnel Lindberg

Paragrafen uttrycker den personuppgiftsansvariges helhetsansvar, som även omfattar den behandling som ett personuppgiftsbiträde utför. Två eller flera personuppgiftsansvariga kan behandla samma personuppgifter samtidigt för olika ändamål, t.ex. om de har direktåtkomst till personuppgifter i samma system. Varje personuppgiftsansvarig ansvarar då för den behandling som utförs under dennes ledning eller på dennes vägnar. Gemensamt personuppgiftsansvar regleras i 3 kap. 20 § denna lag och 3 kap. 22 § brottsdataförordningen (2018:1202).

Författare: Gunnel Lindberg

Paragrafen reglerar den personuppgiftsskyldiges övergripande skyldighet att säkerställa att behandlingen är författningsenlig och att enskildas personuppgifter skyddas. Åtgärderna ska enligt 3 kap. 1 § brottsdataförordningen (2018:1202) vara rimliga med hänsyn till behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen. Organisatoriska åtgärder som avses i paragrafen är bl.a. att anta interna strategier för dataskydd, att informera och utbilda personalen och att säkerställa en tydlig ansvarsfördelning. Se 3 kap. 2 § brottsdataförordningen om interna strategier för dataskydd. Skyldigheten att vidta åtgärder är inte knuten till någon särskild tidpunkt.

Författare: Gunnel Lindberg

Åtgärder som vidtas för att visa att behandlingen är författningsenlig kan t.ex. vara dokumentation av it-system, behandlingar och vidtagna åtgärder och teknisk spårbarhet genom loggning och logguppföljning (prop. 2017/18:232 s. 453).

Författare: Gunnel Lindberg

I paragrafen preciseras den personuppgiftsansvariges skyldighet att vidta nödvändiga säkerhetsåtgärder. Åtgärderna ska enligt 3 kap. 1 § brottsdataförordningen (2018:1202) vara rimliga med hänsyn till behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen. Även de tekniska möjligheterna och kostnaderna för åtgärderna ska beaktas. Exempel på grundläggande principer för dataskydd som bör säkerställas är uppgiftsminimering, dvs. att så få personuppgifter som möjligt samlas in och hanteras, och att personuppgifter inte behandlas längre än vad som behövs eller används på ett otillåtet sätt. Det kan göras t.ex. genom att begränsa behandlingen till personuppgifter som endast indirekt pekar ut en individ eller till personuppgifter som är mindre integritetskänsliga eller genom pseudonymisering, som innebär att uppgifterna inte går att koppla till en enskild person utan ytterligare information som hålls avskild. Funktioner för att avskilja personuppgifter automatiskt är också exempel på inbyggt dataskydd, liksom behörighetsstyrning och kryptering. Integrering av skyddsåtgärder kan även avse funktioner för autentisering, t.ex. lösenord, möjlighet att använda kryptering vid kommunikation över internet och på mobila enheter, funktioner för loggning och säkerhetskopiering (prop. 2017/18:232 s. 454).

Författare: Gunnel Lindberg

Med automatiserade behandlingssystem avses särskilt för verksamheten utformade eller anpassade it-system där personuppgifter behandlas mer eller mindre strukturerat, t.ex. verksamhetsstöd i form av dokument- och ärendehanteringssystem och olika typer av register och databaser (prop. 2017/18:232 s. 455).

Författare: Gunnel Lindberg

Dataskydd som standard innebär att systemet automatiskt styr användaren mot att arbeta integritetssäkert. Grundinställningarna ska vara sådana att inte mer information än nödvändigt samlas in eller visas. Skyldigheten att ha dataskydd som standard tar sikte på mängden insamlade personuppgifter, behandlingens omfattning, hur länge personuppgifterna behandlas och hur tillgängliga de är. Den personuppgiftsansvarige ska se till att det i automatiserade behandlingssystem endast är möjligt att samla in de typer av personuppgifter som behövs, att personuppgifterna endast kan behandlas på ett sådant sätt och så länge som det är nödvändigt och att uppgifterna endast är tillgängliga för de personer som behöver dem i sitt arbete (prop. 2017/18:232 s. 454 f.). Se 3 kap. 10 § brottsdataförordningen (2018:1202) om skyldigheten att ha interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling.

Författare: Gunnel Lindberg

Se kommentaren till 3 kap. 4 § om vad som avses med automatiserade behandlingssystem. Standardprogram som Word, Outlook och Excel omfattas inte (prop. 2017/18:232 s. 455).

Författare: Gunnel Lindberg

Med logg avses en behandlingshistorik som sparas viss tid. Det är en teknisk funktion som ska fungera automatiskt och som inte ska gå att ändra eller påverka på annat sätt. Skyldigheten att föra loggar preciseras i 3 kap. 4 § brottsdataförordningen (2018:1202).

Författare: Gunnel Lindberg

Vid tilldelning av behörighet för åtkomst till personuppgifter ska – förutom behovet av uppgifterna – särskilt personens utbildning och erfarenhet beaktas. Det innebär att tillgången till personuppgifter för viss personal inte får hanteras slentrianmässigt. Närmare bestämmelser finns i 3 kap. 5–7 §§ brottsdataförordningen (2018:1202). Vid direktåtkomst ansvarar den mottagande myndigheten för att den egna personalen inte ges tillgång till fler personuppgifter i det it-system som åtkomsten avser än vad arbetsuppgifterna motiverar (prop. 2017/18:232 s. 456).

Författare: Gunnel Lindberg

Vid riskbedömningen ska bl.a. behandlingens art, omfattning, sammanhang och ändamål beaktas. Exempel på riskfyllda behandlingar som bör föranleda en konsekvensbedömning är enligt förarbetena inrättande av storskaliga register som innehåller känsliga personuppgifter och vissa former av profilering (prop. 2017/18:232 s. 456). Vad en konsekvensbedömning ska innehålla regleras i 3 kap. 8 § brottsdataförordningen (2018:1202).

Författare: Gunnel Lindberg

Det är bara när konsekvensbedömningen leder till slutsatsen att det faktiskt finns en sådan risk som förhandssamråd krävs.

Författare: Gunnel Lindberg

Förfarandet vid förhandssamråd regleras i 3 kap. 9 § och 5 kap. 3 § brottsdataförordningen (2018:1202).

Författare: Gunnel Lindberg

Åtgärderna ska bl.a. avse åtkomstskydd av olika slag, fysiskt skydd, driftssäkerhet och möjlighet att återställa data. Uppräkningen är inte uttömmande.

Författare: Gunnel Lindberg

Personuppgiftsincident definieras i 1 kap. 6 §. Alla personuppgiftsincidenter ska dokumenteras av den personuppgiftsansvarige, se 3 kap. 14 § brottsdataförordningen (2018:1202). Dokumentationen ska förutom omständigheterna kring incidenten även spegla effekterna av den och vilka åtgärder som vidtagits med anledning av den.

Författare: Gunnel Lindberg

Vad anmälan ska innehålla framgår av 3 kap. 12 § brottsdataförordningen (2018:1202).

Författare: Gunnel Lindberg

Bestämmelser om rapportering av incidenter finns också i 2 kap. 10 § säkerhetsskyddsförordningen (2018:658) och 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Någon anmälan enligt brottsdatalagen krävs inte i de fall där annan anmälningsskyldighet föreskrivs, se andra stycket.

Författare: Gunnel Lindberg

Undantaget kan t.ex. vara tillämpligt om incidenten påverkat en mycket begränsad mängd personuppgifter som inte är av känslig art eller om skyddet för uppgifterna påverkats under så kort tid att obehörig åtkomst inte varit möjlig. Den personuppgiftsansvarige har bevisbördan för att det är osannolikt att personuppgiftsincidenten har medfört eller kommer att medföra risk för otillbörligt intrång i registrerades personliga integritet (prop. 2017/18:232 s. 458).

Författare: Gunnel Lindberg

Underrättelseskyldigheten gäller således inte om det inte funnits sådan risk. Särskild risk för intrång kan föreligga t.ex. om känsliga personuppgifter gjorts tillgängliga för ett stort antal obehöriga personer eller om en större mängd personuppgifter i ett specifikt ärende har ändrats eller förstörts (prop. 2017/18:232 s. 458).

Författare: Gunnel Lindberg

Hur snabbt den personuppgiftsansvarige bör informera den registrerade beror på omständigheterna i det enskilda fallet. En omedelbar skaderisk kan kräva att de registrerade underrättas omgående och i övrigt bör den lämnas så snart det är möjligt (prop. 2017/18:232 s. 458 f.).

Författare: Gunnel Lindberg

Underrättelseskyldigheten omfattar alltså enbart sådana incidenter som ska anmälas. Vad underrättelsen ska innehålla framgår av 3 kap. 13 § brottsdataförordningen (2018:1202). Om ett undantag från anmälningsskyldigheten gäller behöver den registrerade inte underrättas.

Författare: Gunnel Lindberg

Bara om det är absolut nödvändigt med hänsyn till de intressen som anges i paragrafen bör den personuppgiftsansvarige helt underlåta att informera den registrerade (prop. 2017/18:232 s. 459).

Författare: Gunnel Lindberg

I första hand avses sekretess och tystnadsplikt enligt OSL.

Författare: Gunnel Lindberg

Samarbetsskyldigheten enligt denna paragraf, som enligt 3 kap. 19 § även gäller för personuppgiftsbiträden, omfattar bara samarbete med Integritetsskyddsmyndigheten. Viss annan samarbetsskyldighet regleras i 5 kap. 5 §.

Författare: Gunnel Lindberg

Dataskyddsombud definieras i 1 kap. 6 §. Dataskyddsombudet kan vara anställd hos den personuppgiftsansvarige eller en utomstående. Den personuppgiftsansvarige får inte utse sig själv till dataskyddsombud. Inget hindrar att flera personuppgiftsansvariga har ett gemensamt dataskyddsombud (prop. 2017/18:232 s. 460). I 3 kap. 16 § brottsdataförordningen (2018:1202) regleras vad som gäller i fråga om dataskyddsombudets kvalifikationer och arbetsförhållanden.

Författare: Gunnel Lindberg

Bestämmelsen om tystnadsplikt träffar enbart dataskyddsombud som utövar sin funktion i verksamhet där OSL inte gäller.

Författare: Gunnel Lindberg

Personuppgiftsbiträde definieras i 1 kap. 6 §.

Författare: Gunnel Lindberg

Se 3 kap. 17 § brottsdataförordningen (2018:1202) om vad en sådan överenskommelse ska innehålla.

Författare: Gunnel Lindberg

Gemensamt personuppgiftsansvar ska regleras i en skriftlig överenskommelse, se 3 kap. 22 § brottsdataförordningen (2018:1202).

Författare: Sofie Lindblom

Det rör sig om information som riktar sig till allmänheten eller en obestämd, större krets av registrerade. Informationen ska göras tillgänglig på den personuppgiftsansvariges eget initiativ, t.ex. på den behöriga myndighetens webbplats.

Författare: Sofie Lindblom

Det är uppgifter om namn, post- och besöksadress, telefonnummer och e-postadress.

Författare: Sofie Lindblom

Det behöver inte vara kontaktuppgifter direkt till dataskyddsombudet, t.ex. hans eller hennes e-postadress, utan det är tillräckligt att ombudet går att nå med hjälp av uppgifterna.

Författare: Sofie Lindblom

Det är inte ändamålen med behandlingen i enskilda fall som avses utan vilka kategorier av ändamål som den behöriga myndigheten behandlar personuppgifter för, t.ex. förundersökning, handläggning av brottmål eller ärenden om strafföreläggande.

Författare: Sofie Lindblom

Det är fråga om personrelaterad information som den personuppgiftsansvarige på eget initiativ ska lämna till den registrerade.

Författare: Sofie Lindblom

Att informationen är tillgänglig på den behöriga myndighetens webbplats eller i en informationsskrift befriar inte från skyldigheten att lämna samma information till en viss registrerad om den behövs för att han eller hon ska kunna ta till vara sina rättigheter.

Författare: Sofie Lindblom

Det kan vara att den registrerade riskerar att lida rättsförlust om han eller hon inte får del av informationen eller att det av något annat skäl är viktigt för honom eller henne att känna till behandlingen för att kunna ta till vara sina rättigheter. Ett annat exempel kan vara att känsliga personuppgifter har behandlats i strid med 2 kap. 11 §. Information behöver inte lämnas vid fel som inte kan antas ha någon negativ påverkan, t.ex. när namn eller adressuppgifter som visat sig vara felaktiga rättas. För att den personuppgiftsansvarige ska vara skyldig att lämna information krävs det normalt att det är fråga om fel som kan föranleda skadeståndsansvar eller allvarlig kritik eller ingripande från tillsynsmyndigheten.

Författare: Sofie Lindblom

Mottagare definieras i 1 kap. 6 §. Allmän information om till vilken typ av myndighet som personuppgifter har lämnats eller ska lämnas till är tillräckligt.

Författare: Sofie Lindblom

Det kan vara upplysningar om vilka omständigheter eller tidpunkter som styr hur länge personuppgifter får behandlas, t.ex. nedläggning av åtal eller när viss tid gått sedan uppgifterna behandlades första gången.

Författare: Sofie Lindblom

Vad som är nödvändigt ska bedömas utifrån den registrerades behov av informationen för att kunna ta till vara sina rättigheter, t.ex. upplysning om rätten att få ta del av uppgifterna, rätten att begära rättelse, radering eller begränsning av behandling och möjligheten att lämna in klagomål till tillsynsmyndigheten.

Författare: Sofie Lindblom

Vem som helst kan begära besked av den personuppgiftsansvarige. Vårdnadshavare och andra ställföreträdare kan begära besked för den som inte själv har rätt att göra det. En underårig kan själv begära besked om han eller hon förstår vad det innebär och kan tillgodogöra sig den information som avses.

Det är sökanden som har bevisbördan för att begäran har gjorts och när den gjordes. Bestämmelsen i 22 § förvaltningslagen (2017:900) kan vara till ledning när man ska bestämma när en begäran har gjorts.

Författare: Sofie Lindblom

Det är de personuppgifter som behandlas vid tiden för utlämnandet som ska lämnas ut (jfr prop. 1997/98:44 s. 132). Sökanden ska få del av all information som den personuppgiftsansvarige själv kan få fram, men det är tillräckligt att de sök- och sammanställningsmöjligheter som är faktiskt tillgängliga och rättsligt tillåtna används (jfr prop. 1997/98:44 s. 82 f.). Det räcker att sökningar görs i verksamhetsspecifika system, t.ex. dokument- och ärendehanteringssystem, register och databaser. Om uppgifter är sökbara i standardprogram som Word eller Outlook omfattas även de.

Sökanden måste lämna uppgifter om sin identitet som gör att det blir möjligt att göra sökningar för att se om några uppgifter om honom eller henne behandlas.

Rätten omfattar även personuppgifter som omfattas av bild- och ljudupptagningar och personuppgifter i t.ex. löpande text (se prop. 2017/18:232 s. 467).

Författare: Sofie Lindblom

Sökanden kan få del av uppgifterna t.ex. genom en kopia av en handling med de personuppgifter som rör honom eller henne. Det kan dock vara tillräckligt att sökanden får en sammanställning av vilka personuppgifter som behandlas.

Författare: Sofie Lindblom

Det är ändamålen i det enskilda fallet som avses, t.ex. vilket ärende eller vilken förundersökning det är fråga om.

Författare: Sofie Lindblom

Mottagare definieras i 1 kap. 6 §. Se även kommentaren till 4 kap. 2 §.

Författare: Sofie Lindblom

Se kommentaren till 4 kap. 2 §.

Författare: Sofie Lindblom

Det har ingen betydelse på vilket sätt sökanden har fått del av uppgifterna. Det kan vara personuppgifter i handlingar som sökanden själv har skickat in till myndigheten eller som myndigheten har expedierat till honom eller henne. Den personuppgiftsansvarige måste i vilket fall tydligt ange vilka personuppgifter som behandlas och ge sökanden en förteckning över dem. Sökanden har rätt att få del av personuppgifterna om han eller hon begär det.

Enligt 4 kap. 12 § ska information lämnas till den registrerade avgiftsfritt en gång per år. Om en begäran är orimlig eller uppenbart ogrundad får den avslås enligt 4 kap. 7 §.

Författare: Sofie Lindblom

Det är framför allt sekretess och tystnadsplikt enligt OSL som avses, men även andra bestämmelser om tystnadsplikt och bestämmelser som begränsar möjligheten att använda uppgifter som en behörig myndighet fått från en myndighet i en annan stat kan begränsa informationsskyldigheten. Se prop. 2017/18:232 s. 238 f. om vilken prövning den personuppgiftsansvarige ska göra.

Av 4 kap. 4 § brottsdataförordningen (2018:1202) framgår att sökanden utan onödigt dröjsmål ska underrättas om beslut att begränsa vilken information som lämnas. Sökanden ska då också få information om möjligheten att lämna in klagomål till tillsynsmyndigheten och att begära kontroll enligt 5 kap. 3 § brottsdatalagen. Informationen behöver dock inte lämnas om det skulle skada det intresse som gör att informationen inte lämnas.

Författare: Sofie Lindblom

Det kan t.ex. gälla utredning om administrativa avgifter som vattenföroreningsavgift vid oljeutsläpp.

Författare: Sofie Lindblom

Det är inte den registrerades rättigheter och friheter som skyddas utan andra personers.

Författare: Sofie Lindblom

Information som inte har strukturerats så att sökning av personuppgifter underlättas. Bild- och ljudupptagningar omfattas inte.

Författare: Sofie Lindblom

Det kan vara koncept eller utkast till protokoll, beslut eller liknande. Text som ska ändras eller kompletteras och därför aldrig får någon slutlig utformning omfattas inte, t.ex. diarier, journaler, register eller förteckningar som förs löpande.

Författare: Sofie Lindblom

Det är tidpunkten för begäran som är avgörande för om något av undantagen i paragrafen gäller (jfr prop. 1997/98:44 s. 83 f.).

Författare: Sofie Lindblom

Anteckningar som är hjälpmedel vid handläggningen, t.ex. promemorior eller andra anteckningar som skapats bara för att förbereda ett ärende för avgörande och som inte har tillfört ärendet något i sak.

Författare: Sofie Lindblom

Tredje man definieras i 1 kap. 6 §. Det är den version av uppgifterna i exempelvis ett utkast som har lämnats till tredje man som omfattas av informationsskyldigheten, även om utkastet därefter har ändrats.

Författare: Sofie Lindblom

En begäran kan vara orimlig om den upprepas ofta eller om den är så oprecis att det i princip är omöjligt att besvara den, t.ex. om den rör en större myndighets hela verksamhet.

Författare: Sofie Lindblom

En begäran kan vara uppenbart ogrundad om sökanden t.ex. missbrukar sin rätt till information genom att lämna felaktiga eller missvisande uppgifter i sin begäran.

Författare: Sofie Lindblom

Det är den personuppgiftsansvarige som har bevisbördan för att begäran är orimlig eller uppenbart ogrundad. Enligt 4 kap. 5 § brottsdataförordningen (2018:1202) ska sökanden underrättas om beslutet.

Författare: Sofie Lindblom

I kapitlet regleras den personuppgiftsansvariges skyldighet att vidta korrigerande åtgärder på begäran av den registrerade. Skyldigheterna att vidta motsvarande åtgärder på eget initiativ regleras i 2 kap.

Felaktiga personuppgifter ska rättas eller så ska behandlingen av dem begränsas (4 kap. 9 §) medan personuppgifter som behandlas på ett otillåtet sätt ska raderas eller så ska behandlingen av dem begränsas (4 kap. 10 §). Det är den personuppgiftsansvarige som avgör vilken åtgärd som ska vidtas med anledning av en begäran (4 kap. 11 §).

Enligt 4 kap. 6 § brottsdataförordningen (2018:1202) ska den registrerade underrättas om beslut om rättelse, radering och begränsning av behandling och om möjligheten att lämna in klagomål till tillsynsmyndigheten. Den som har tagit emot uppgifterna ska enligt 4 kap. 8 § brottsdataförordningen också underrättas.

Författare: Sofie Lindblom

Vårdnadshavare eller andra ställföreträdare kan begära rättelse eller komplettering åt en registrerad som inte själv har rätt att göra det.

Författare: Sofie Lindblom

Den personuppgiftsansvarige ska skyndsamt utreda frågan om en personuppgift ska rättas eller kompletteras och, om det finns skäl för det, så fort som möjligt rätta eller komplettera uppgiften. Om uppgifterna kommer från en annan myndighet ska den myndigheten enligt 4 kap. 8 § brottsdataförordningen (2018:1202) underrättas om att uppgifterna rättats.

Författare: Sofie Lindblom

Vad som avses med en korrekt uppgift behandlas i kommentaren till 2 kap. 7 §.

Författare: Sofie Lindblom

Om den personuppgiftsansvarige inte utan dröjsmål kan avgöra om en personuppgift är felaktig eller inte ska behandlingen av uppgiften begränsas under utredningstiden. När utredningen om personuppgiften är avslutad ska begränsningen av behandlingen upphöra och uppgiften antingen rättas eller fortsätta att behandlas som tidigare. Av 4 kap. 7 § brottsdataförordningen (2018:1202) framgår att den registrerade ska underrättas innan begränsningen upphör.

Författare: Sofie Lindblom

När behandlingen av en personuppgift har begränsats får uppgiften inte behandlas av den personuppgiftsansvarige, ett personuppgiftsbiträde eller någon annan, utom för de ändamål för vilka behandlingen begränsades. Uppgiften får dock lämnas ut med stöd av 2 kap. TF.

Författare: Sofie Lindblom

Vårdnadshavare eller andra ställföreträdare kan begära radering eller begränsning av behandling åt en registrerad som inte själv har rätt att göra det.

Författare: Sofie Lindblom

Den personuppgiftsansvarige ska skyndsamt utreda frågan om en personuppgift ska raderas och, om det finns skäl för det, så fort som möjligt radera uppgiften.

Författare: Sofie Lindblom

Vad som avses med radering behandlas i kommentaren till 2 kap. 16 §.

Författare: Sofie Lindblom

Vad som avses med rättslig förpliktelse behandlas i kommentaren till 2 kap. 16 §.

Författare: Sofie Lindblom

Den personuppgiftsansvarige ska skyndsamt utreda frågan om behandlingen av en personuppgift ska begränsas och, om det finns skäl för det, så fort som möjligt begränsa behandlingen.

Författare: Sofie Lindblom

Vad som avses med begränsning av behandling behandlas i kommentaren till 2 kap. 16 §.

Författare: Sofie Lindblom

I stället för att ta ut avgift får den personuppgiftsansvarige avslå begäran enligt 4 kap. 7 §. Vilken åtgärd som är lämpligast beror på omständigheterna i det enskilda fallet, t.ex. hur många framställningar som har gjorts under året och hur lång tid som har gått sedan den senaste framställan gjordes. Även hur preciserad eller komplicerad framställan är och vilka skäl som anges för den kan beaktas.

Enligt 4 kap. 5 § brottsdataförordningen (2018:1202) ska sökanden underrättas om beslutet.

Författare: Gunnel Lindberg

Integritetsskyddsmyndigheten är tillsynsmyndighet enligt lagen, se 2 a § förordningen (2007:975) med instruktion för Integritetsskyddsmyndigheten.

Författare: Gunnel Lindberg

Paragrafen ger uttryck för Integritetsskyddsmyndighetens dubbla uppdrag – att både värna fysiska personers integritet och underlätta det fria flödet av personuppgifter enligt lagen. Se prop. 2017/18:232 s. 275 f. och 474 om vad det innebär.

Författare: Gunnel Lindberg

Paragrafen reglerar Integritetsskyddsmyndighetens tillsynsuppgifter. De behandlas närmare i prop. 2017/18:232 s. 277 f. (punkt 1), 278 f. (punkt 2) och 302 f. (punkt 4).

Författare: Gunnel Lindberg

Undantaget för dömande verksamhet har sin grund i EU-regleringen, se prop. 2017/18:232 s. 268 f. och 475. Det är oklart hur långt undantaget sträcker sig.

Författare: Gunnel Lindberg

Integritetsskyddsmyndighetens uppgifter enligt denna paragraf behandlas i prop. 2017/18:232 s. 280 f. En begäran om kontroll ska enligt 5 kap. 1 § brottsdataförordningen (2018:1202) göras skriftligen och närmare ange vad kontrollen ska omfatta. Myndigheten ska enligt 5 kap. 2 § brottsdataförordningen skriftligen underrätta sökanden om att kontrollen har utförts. Det innebär inte att sökanden har rätt att få del av vad som har kommit fram vid kontrollen. I många fall torde sekretess hindra att upplysning lämnas ens om att uppgifter om personen i fråga behandlas (se prop. 2017/18:232 s. 475). Paragrafen ger alltså ingen rätt till insyn utan ålägger enbart Integritetsskyddsmyndigheten skyldighet att på begäran kontrollera om personuppgifter behandlats författningsenligt. Säkerhets- och integritetsskyddsnämnden har en motsvarande kontrollskyldighet inom sitt tillsynsområde, se 1 och 3 §§ lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet.

Författare: Gunnel Lindberg

Begäran om kontroll kan aktualiseras t.ex. om någon inte har fått tillgång till eller information om vilka personuppgifter som en viss myndighet behandlar om honom eller henne och därför inte själv kunnat kontrollera om behandlingen är författningsenlig.

Författare: Gunnel Lindberg

Ett beslut att vägra utföra kontroll ska enligt 5 kap. 2 § brottsdataförordningen (2018:1202) vara skriftligt och motiverat. Beslutet får överklagas enligt 7 kap. 3 § denna lag.

Författare: Gunnel Lindberg

En begäran om kontroll kan vara orimlig t.ex. om den upprepas för ofta eller är så oprecis att det skulle krävas oproportionerligt stora ansträngningar för att genomföra den (prop. 2017/18:232 s. 475).

Författare: Gunnel Lindberg

En begäran om kontroll kan vara uppenbart ogrundad t.ex. om den som begär kontrollen inte först har vänt sig till den personuppgiftsansvarige (prop. 2017/18:232 s. 475).

Författare: Gunnel Lindberg

Det innefattar inte någon rätt att bereda sig tillträde med tvång, se prop. 2017/18:232 s. 477.

Författare: Gunnel Lindberg

Regleringen ger inte någon rätt att i tillsyn fritt använda tillsynsobjektets utrustning och datasystem. Utgångspunkten är att tillgången ska möjliggöras med hjälp av tillsynsobjektets personal, jfr punkt 4 (prop. 2017/18:232 s. 477).

Författare: Gunnel Lindberg

Paragrafen ger inte några tvingande befogenheter; de regleras i 5 kap. 7 § första stycket 2–4.

Författare: Gunnel Lindberg

För att befogenheterna ska få användas är det tillräckligt att Integritetsskyddsmyndigheten bedömer att det finns risk för att behandlingen som den utförs eller planerar att utföras inte är författningsenlig.

Författare: Gunnel Lindberg

En varning ska vara skriftlig och tydligt ange på vilket sätt behandlingen riskerar att strida mot regelverket (prop. 2017/18:232 s. 295 f.). En varning är inte bindande för mottagaren och därmed inte heller överklagbar, men den utgör ett tydligt bevis på hur allvarligt Integritetsskyddsmyndigheten ser på risken för att behandlingen av personuppgifter inte kommer att vara författningsenlig (prop. 2017/18:232 s. 295 f. och 477 f.).

Författare: Gunnel Lindberg

För användning av de korrigerande befogenheterna ska Integritetsskyddsmyndigheten ha konstaterat att personuppgifter inte behandlas författningsenligt eller att den personuppgiftsskyldige på annat sätt brister i sina skyldigheter. I dessa fall räcker det alltså inte med en bedömning av den framtida risken. Bindande beslut enligt denna paragraf får överklagas, se 7 kap. 3 §.

Författare: Gunnel Lindberg

Ett förbud mot fortsatt behandling innebär att uppgifterna inte längre får behandlas för de ändamål som den personuppgiftsansvarige har bestämt, utan enbart för att uppfylla krav i 2 kap. TF. Ett förbud kan vara permanent eller tillfälligt. Ett tillfälligt förbud kan utfärdas om Integritetsskyddsmyndigheten anser att det finns förutsättningar för att bristen, trots att den är allvarlig, kan rättas till (prop. 2017/18:232 s. 479).

Författare: Gunnel Lindberg

Till allvarliga brister räknas bl.a. att personuppgifter behandlas för otillåtna ändamål eller att den personuppgiftsansvarige inte rättar sig efter ett föreläggande eller negligerar en skriftlig varning. Att inte ge nödvändigt biträde vid tillsyn kan också vara en allvarlig brist (prop. 2017/18:232 s. 479).

Författare: Gunnel Lindberg

Regleringen avviker från bestämmelserna i 35 § förvaltningslagen (2017:900) och innebär att det inte är möjligt att förordna att beslutet ska gälla innan det har fått laga kraft.

Författare: Gunnel Lindberg

Närmare bestämmelser om samarbetet med utländska tillsynsmyndigheter finns i 5 kap. 4–8 §§ brottsdataförordningen (2018:1202). Medlemsstat definieras i 1 kap. 6 §.

Författare: Gunnel Lindberg

Regleringen innebär ett absolut förbud att använda uppgifterna för något annat ändamål än det som angavs i begäran. Uppgifterna får t.ex. inte lämnas vidare till en annan myndighet för att användas i dess verksamhet. Det gäller oavsett vad som annars är föreskrivet i lag eller annan författning.

Författare: Gunnel Lindberg

I paragrafen anges uttömmande i vilka fall sanktionsavgift får tas ut av en personuppgiftsansvarig. Ansvaret för överträdelser är strikt. Om ett personuppgiftsbiträde gör sig skyldig till en överträdelse kan sanktionsavgift även tas ut av den personuppgiftsansvarige, eftersom personuppgiftsansvaret enligt 3 kap. 1 § omfattar all behandling som utförs på dennes vägnar (prop. 2017/18:232 s. 481). Integritetsskyddsmyndigheten har bevisbördan för att en överträdelse har ägt rum (se Kammarrättens i Stockholm dom den 7 november 2022, dnr 7678-21.

Författare: Gunnel Lindberg

I paragrafen anges uttömmande i vilka fall sanktionsavgift får tas ut av ett personuppgiftsbiträde. Ansvaret för överträdelser är strikt.

Författare: Gunnel Lindberg

Någon minimiavgift är inte fastställd.

Författare: Gunnel Lindberg

Paragrafen reglerar hur sanktionsavgiften ska räknas ut. Möjligheten att sätta ned avgiften regleras i 6 kap. 5 §.

Författare: Gunnel Lindberg

Att överträdelsen berott på exempelvis att den personuppgiftsansvarige inte har känt till reglerna eller på dålig ekonomi, tidsbrist, glömska eller dåliga rutiner anses inte vara ursäktligt (prop. 2017/18:232 s. 485).

Författare: Gunnel Lindberg

Det kan t.ex. ha gått så lång tid sedan överträdelsen begicks att det skulle vara oskäligt att ta ut sanktionsavgift. Ett annat skäl kan vara att den samlade reaktionen, t.ex. på grund av skadeståndsskyldighet, kan bli oproportionerlig (prop. 2017/18:232 s. 485).

Författare: Gunnel Lindberg

Beslut om sanktionsavgift får överklagas enligt 7 kap. 3 §.

Författare: Gunnel Lindberg

Sanktionsavgifter ska enligt 6 kap. 1 § brottsdataförordningen (2018:1202) betalas till Kammarkollegiet. Om betalningsansvaret upphävs ska avgiften enligt 6 kap. 3 § brottsdataförordningen betalas tillbaka. En beslutad sanktionsavgift bortfaller enligt 6 kap. 2 § brottsdataförordningen till den del den inte har verkställts inom 5 år från laga kraft.

Författare: Gunnel Lindberg

Eftersom paragrafen har utformats med 48 § PUL som mönster kan rättspraxis från den bestämmelsen vara av intresse. Något utrymme för jämkning av skadeståndsskyldigheten finns dock inte i förevarande paragraf. Den är en sådan specialbestämmelse om skadestånd som enligt 1 kap. 1 § skadeståndslagen (1972:207) tar över reglerna i den lagen. Bara om en ersättningsfråga inte berörs i förevarande paragraf – t.ex. frågan om hur ersättningen för en personskada eller sakskada ska beräknas eller hur ansvaret ska fördelas när flera är skadeståndsskyldiga – tillämpas de allmänna reglerna i skadeståndslagen (prop. 2017/18:232 s. 486). Endast sådan skada eller kränkning som behandlingen av personuppgifter har vållat ersätts, vilket framgår av att behandlingen ska ha orsakat skada respektive kränkning. Orsakssambandet ska vara adekvat. Se Justitiekanslerns beslut 29.12.2020 (dnr 6098-19-4.4) och 10.3.2021 (dnr 2019/6642 och 2019/6643) om skyldighet för Polismyndigheten att utge skadestånd för felaktig personuppgiftsbehandling. Eftersom den personuppgiftsansvarige enligt 3 kap. 1 § är ansvarig för all behandling som utförs är denne skadeståndsansvarig även för personuppgiftsbehandling som utförts av ett personuppgiftsbiträde.

Författare: Gunnel Lindberg

Att tillsynsmyndigheten anges som motpart beror på att det inte anses finnas något partsförhållande i tillsynsärenden.

Författare: Gunnel Lindberg

Se 7 kap. brottsdataförordningen (2018:1202) om dokumentations- och underrättelseskyldighet vid överföring av personuppgifter till tredjeland och internationella organisationer.

Författare: Gunnel Lindberg

Se 1 kap. 6 § och kommentaren till 1 kap. 2 § om behörig myndighet. En kontaktpunkt hos en behörig myndighet anses också vara en behörig myndighet i denna paragrafs mening även om kontaktpunkten inte själv utför uppgifter för de syften som är aktuella, eftersom kontaktpunktens uppgift är att vidareförmedla personuppgifterna till rätt behörig myndighet (prop. 2017/18:232 s. 489).

Författare: Gunnel Lindberg

Med överföring avses att en behörig myndighet skickar, vidarebefordrar eller förmedlar information elektroniskt till en mottagare i tredjeland eller till en internationell organisation. Det spelar ingen roll på vems initiativ som personuppgifterna överförs. Att göra personuppgifter tillgängliga genom att införa dem i en gemensam databas eller ett informationssystem som är tillgängligt för tredjeland eller en internationell organisation anses också vara en överföring (prop. 2017/18:232 s. 489). Regleringen gäller även för överföring till ett personuppgiftsbiträde i tredjeland. Överföring på papper av personuppgifter som inte har behandlats automatiserat faller däremot utanför, utom i de fall där avsikten är att personuppgifterna ska behandlas automatiserat för den personuppgiftsansvariges räkning i tredjeland. Om det finns avvikande bestämmelser om överföring i annan lagstiftning, t.ex. i lagen (2017:496) om internationellt polisiärt samarbete, ska de bestämmelserna tillämpas i stället för brottsdatalagen, se 1 kap. 5 §.

Författare: Gunnel Lindberg

Tredjeland definieras i 1 kap. 6 §.

Författare: Gunnel Lindberg

Internationell organisation definieras i 1 kap. 6 §.

Författare: Gunnel Lindberg

Se 1 kap. 6 § om vad behandling innebär. Endast sådana uppgifter som får behandlas enligt lagen får överföras.

Författare: Gunnel Lindberg

Uttrycket avsedda att behandlas syftar t.ex. på att ostrukturerade uppgifter sänds på papper till någon i ett tredjeland som har fått i uppdrag att föra in dem i ett register.

Författare: Gunnel Lindberg

För att överföring ska vara tillåten krävs att både punkt 1 och 2 är uppfyllda plus något av alternativen i punkt 3.

Författare: Gunnel Lindberg

Denna punkt begränsar för vilka syften uppgifter får överföras, se prop. 2017/18:232 s. 490.

Författare: Gunnel Lindberg

Nödvändighetsrekvisitet i denna paragraf ska tolkas på samma sätt som motsvarande rekvisit i 2 kap. 1 §. Överföringen kan vara nödvändig för den överförande myndighetens behov, t.ex. om målsäganden eller ett vittne befinner sig i tredjeland och förhör behöver hållas där eller om personuppgifter rörande någon som är internationellt efterlyst behöver sändas till Interpol. Överföringen kan också vara nödvändig för den mottagande myndighetens behov, t.ex. om det är fråga om uppgifter om att ett allvarligt brott har begåtts eller kan komma att begås i tredjeland. Det kan t.ex. vara fråga om uppgifter om grova narkotikabrott eller människohandel (se prop. 2017/18:232 s. 490.).

Författare: Gunnel Lindberg

Denna punkt begränsar till vem uppgifterna får överföras.

Författare: Gunnel Lindberg

Det behöver inte vara en behörig myndighet som har samma uppgifter som den avsändande. En åklagarmyndighet kan t.ex. överföra personuppgifter till en utländsk polismyndighet eller en utländsk domstol.

Författare: Gunnel Lindberg

Se kommentaren till 8 kap. 3 § om adekvat skyddsnivå.

Författare: Gunnel Lindberg

Se kommentaren till 8 kap. 4 § om tillräckliga skyddsåtgärder.

Författare: Gunnel Lindberg

Se kommentaren till 8 kap. 5 § om undantag för särskilda situationer.

Författare: Gunnel Lindberg

Eftersom alla stater inte har samma skyddsnivå för personuppgifter ska det alltid göras en sorts proportionalitetsbedömning innan uppgifter överförs.

Författare: Gunnel Lindberg

Paragrafen reglerar vad som gäller vid vidareöverföring av uppgifter som kommer från en annan medlemsstat.

Författare: Gunnel Lindberg

Med svensk myndighet avses här myndigheter generellt, således inte bara de som är behöriga myndigheter enligt lagen (prop. 2017/18:232 s. 491).

Författare: Gunnel Lindberg

Medlemsstat, som definieras i 1 kap. 6 §, syftar på de stater som är bundna av dataskyddsdirektivet. Det gäller alla stater som är medlemmar i EU, men vissa av dem är inte bundna av direktivet i sin helhet. Några stater utanför EU räknas som medlemsstat enligt denna lag (se prop. 2017/18:232 s. 363 f.).

Författare: Gunnel Lindberg

Medgivande till vidareöverföring ska normalt hämtas in innan uppgifterna överförs. Det kan både vara fråga om medgivande som lämnats i ett enskilt fall och generella medgivanden t.ex. om att uppgifter av visst slag alltid får överföras eller att överföring alltid är tillåten till en viss mottagare.

Författare: Gunnel Lindberg

Överföring utan förhandstillstånd får bara förekomma i de särskilda undantagssituationer som anges i paragrafen (prop. 2017/18:232 s. 492). Att den svenska myndigheten inte i tid har begärt sådant tillstånd kan inte anses utgöra tidsbrist i paragrafens mening. Se 7 kap. 1 § brottsdataförordningen (2018:1202) om skyldighet att i efterhand underrätta den medlemsstat som har lämnat personuppgifterna.

Författare: Gunnel Lindberg

Se kommentaren till 8 kap. 5 § om vad som avses med en omedelbar och allvarlig fara för allmän säkerhet.

Författare: Gunnel Lindberg

Kommissionens beslut i fråga om adekvat skyddsnivå publiceras i EUT. Skulle kommissionen besluta att ett tredjeland eller en internationell organisation inte längre har en adekvat skyddsnivå får personuppgifter inte överföras dit med stöd av den nu aktuella paragrafen. Då får i stället övervägas om 8 kap. 4 eller 5 § kan tillämpas.

Författare: Gunnel Lindberg

Personuppgifter kan normalt överföras till länder som är anslutna till dataskyddskonventionen eller som har ingått bindande avtal om internationellt samarbete som innehåller dataskyddsregler som är tillämpliga på överföringen. Det kan också vara fråga om bilaterala avtal som ger tillräckliga garantier (prop. 2017/18:232 s. 493). När uppgifter överförs till en nationell kontaktpunkt är det kontaktpunktens dataskyddsnivå som ska bedömas, inte den slutliga mottagarens.

Författare: Gunnel Lindberg

Alla omständigheter kring överföringen ska bedömas och ge vid handen att skyddsåtgärderna är tillräckliga. Exempel på sådant som kan vägas in vid bedömningen är bl.a. bindande åtaganden att inte sprida personuppgifterna vidare eller att inte använda personuppgifterna efter viss tidpunkt (prop. 2017/18:232 s. 493).

Författare: Gunnel Lindberg

Nödvändighetsrekvisitet ska tolkas på samma sätt som motsvarande rekvisit i 2 kap. 1 §, se kommentaren till den paragrafen.

Författare: Gunnel Lindberg

Punkterna 1–4 är alternativa.

Författare: Gunnel Lindberg

Det kan vara vitala intressen för såväl den som personuppgifterna rör som en annan fysisk person. Det behöver inte vara fråga om intressen som är direkt avgörande för liv och död utan kan vara även andra väsentliga intressen, t.ex. hälsa och ekonomiska intressen (prop. 2017/18:232 s. 494).

Författare: Gunnel Lindberg

Det kan röra sig om olika typer av åtgärder som gör överföringen nödvändig, t.ex. förhör eller bevisupptagning i utlandet, kallelse eller delgivning i utlandet eller kvarstad, husrannsakan eller andra straffprocessuella tvångsmedel.

Författare: Gunnel Lindberg

Punkten kan tillämpas exempelvis i frågor om skadestånd på grund av brott.

Författare: Gunnel Lindberg

En omedelbar och allvarlig fara för allmän säkerhet kan vara om det finns information om förestående allvarliga störningar i samhällslivet som har samband med brott, t.ex. terroristaktioner, eller andra särskilda händelser som kan vålla omfattande ordningsstörningar, t.ex. gatukravaller och plundring. Det kan vara fråga om allmän säkerhet i Sverige eller i någon annan stat (prop. 2017/18:232 s. 495).

Författare: Gunnel Lindberg

För att göra det möjligt att leva upp till kraven i paragrafen bör en svensk behörig myndighet ställa villkor för mottagarens användning av de överförda uppgifterna, se 8 kap. 10 § om sådana villkor.

Författare: Gunnel Lindberg

Det behöver inte vara samma behöriga myndighet som ursprungligen förde över uppgifterna.

Författare: Gunnel Lindberg

Paragrafen reglerar vidareöverföring av uppgifter som härrör från Sverige.

Författare: Gunnel Lindberg

Uppräkningen är inte uttömmande (prop. 2017/18:232 s. 497).

Författare: Gunnel Lindberg

Mottagaren kan vara t.ex. ett företag, en privatperson eller en myndighet som inte är behörig myndighet i lagens mening.

Författare: Gunnel Lindberg

Observera att kraven i punkterna 1–3 är kumulativa. Det räcker således inte att kraven i någon av punkterna är uppfyllda. Exempel på situationer där bestämmelserna kan tillämpas finns i prop. 2017/18:232 s. 497 f.

Författare: Gunnel Lindberg

Det ställs särskilt höga krav på en sådan överföring, som ska vara absolut nödvändig.

Författare: Gunnel Lindberg

Villkoren gäller oavsett vad som annars är föreskrivet i lag eller annan författning (prop. 2017/18:232 s. 498). Det innebär bl.a. att förundersökningsplikt och åtalsplikt viker för ett begränsande villkor. Ett sådant villkor följer med personuppgiften om den lämnas vidare till en annan myndighet (se JO 2007/08 s. 57).

Författare: Gunnel Lindberg

Se kommentaren till 8 kap. 6 § om att sådana villkor kan behöva ställas upp. Regleringen avser enbart sådana villkor som ställs upp i förhållande till tredjeland eller internationella organisationer. För att ställa upp villkor i förhållande till en mottagare i en annan medlemsstat eller ett EU-organ gäller de begränsningar som anges i 2 kap. 20 §.