Betänkandet Brottsdatalag (SOU 2017:29)

(Departementets diarienummer Ju2017/03283/L4)

Övergripande synpunkter

Bakgrunden till utredningens förslag är den dataskyddsreform som EU har beslutat om. Reformen innebär att personuppgiftslagen (1998:204) kommer att upphävas och ersättas av nya regler om behandling av personuppgifter.

Generella bestämmelser om behandling av personuppgifter kommer att finnas i en allmän dataskyddsförordning, som av allt att döma kommer att kompletteras av nationella föreskrifter. Förordningen har behandlats av Dataskyddsutredningen i betänkandet Ny dataskyddslag (SOU 2017:39).

Detta betänkande handlar om det direktiv som också är en del av den nämnda ­reformen. Direktivet gäller för behandling av personuppgifter vid bl.a. brottsbekämpning, lagföring och straffverkställighet. Utredningens förslag är att direktivet ska genomföras genom en ny lag, brottsdatalagen.

Både dataskyddsförordningen och direktivet har till syfte att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Detta är givetvis viktigt, särskilt mot bakgrund av den omfattande digitalisering som pågår. Det är också positivt att man inom EU kunnat enas om ett enhetligt skydd av enskildas personuppgifter på området för brottsbekämpning m.m.

Reformen innebär samtidigt att det samlade svenska regelverket om behandling av person­uppgifter blir ännu mera komplext och svåröver­skåd­ligt. Det kommer att vara en utmaning för både myndigheter och enskilda att söka anpassa sina verksamheter till de nya reglerna och att tillämpa dem på rätt sätt. För Justitiekanslerns egen del kan t.ex. vissa gränsdragnings­problem uppkomma, vilket berörs längre fram i detta yttrande.

Med detta sagt välkomnar Justitiekanslern utredningens noggranna och klargörande genomgång av det nya direktivet och frågan om hur det ska genom­fö­ras i svensk rätt. Betänkandet innehåller en värdefull analys av direktivet och välmotiverade förslag om genomförandet. Justitiekanslern kan till stor del ställa sig bakom utredningens bedömningar och förslag.

En allmän utgångspunkt för utredningens uppdrag har varit att sträva efter lösningar som ansluter till nuvarande systematik för reglering av person­uppgiftsbehandling. Utredningen har också strävat efter att ligga så nära dataskyddsförordningen som möjligt, när samma fråga behandlas i båda instrumenten och det inte finns sakliga skäl att välja en annan lösning för den nya brottsdatalagens tillämpningsområde. Justitiekanslern kan konstatera att utredningen har lyckats väl i dessa föresatser, vilket kommer att vara till hjälp vid tillämpningen av det nya regelverket.

I några delar har Justitiekanslern ändå en annan uppfattning än utredningen. Det gäller till att börja med förslaget om att tillsynsmyndigheten ska göra en anmälan till Justitiekanslern, om den uppmärksammar felaktigheter som kan medföra skadeståndsansvar för staten. Justitiekanslern avstyrker en sådan anmälningsskyldighet, åtminstone i den form som utredningen föreslår.

När det gäller skadestånd vill Justitiekanslern uppmärksamma behovet av en ändring i förordningen (1995:1301) om handläggning av skadestånds­an­språk mot staten. En sådan ändring behövs om Justitiekanslern ska vara den myndighet som prövar anspråk mot staten grundade på överträdelser av den nya brottsdatalagen eller föreskrifter som meddelats i anslutning till den.

Förutom att utveckla dessa synpunkter lyfter Justitiekanslern i det följande fram vissa frågor som bör belysas och övervägas närmare i det fortsatta lagstiftningsarbetet. Genomgången följer betänkandets disposition. Avslut­ningsvis finns några synpunkter på den lagtekniska utformningen av vissa förslag.

En ny ramlag (avsnitt 6 i betänkandet)

Justitiekanslern tillstyrker förslaget att direktivet ska genomföras genom en ny ramlag (brottsdatalagen) och en ny förordning (brottsdataförordningen). Justitiekanslern ifrågasätter inte heller utgångspunkten att de särskilda registerförfattningar som i dag gäller för polis och åklagare m.fl. ska finnas kvar men anpassas och gälla utöver den nya lagen och förordningen.

En ofrånkomlig konsekvens av utredningens förslag är emellertid att de behöriga myndigheterna framöver kommer att ha ett omfattande och splittrat regelverk att tillämpa på sin behandling av personuppgifter. Inom direktivets tillämpningsområde kommer bestämmelser att finnas i

(1) brottsdatalagen,

(2) brottsdataförord­ningen och

(3) ett flertal särskilda registerförfattningar (ofta både lag och förordning).

Utanför direktivets tillämpningsområde, dvs. när det är fråga om annan verksamhet hos dessa myndigheter än brottsbekämpning, lagföring och straffverkställighet m.m., kommer bestämmelser av allt att döma att finnas i (1) dataskyddsförordningen,

(2) den komp­let­terande lag som Dataskyddsutredningen har föreslagit,

(3) den komplet­te­rande förordning som samma utredning har föreslagit och

(4) ett fler­tal särskilda registerförfattningar (ofta både lag och förordning).

Därutöver har myndigheterna att ta hänsyn till regler om bl.a. allmänna handlingar, offentlighet och sekretess, partsinsyn och informationssäkerhet.

Det säger sig självt att det kommer att vara svårt för myndigheterna att överblicka alla olika bestämmelser och att tillämpa dem på rätt sätt. Det samlade regelverket kommer att bli både komplext och svåröverskådligt och risken för förbiseenden och felaktigheter är uppenbar. Detta är naturligtvis olyckligt för den enskilde, vars personuppgifter kan komma att behandlas felaktigt, men det är också problematiskt med tanke på statens långtgående skadeståndsansvar. På sikt måste regelverket rimligen förenklas, antingen på EU-nivå eller på nationell nivå. Den reform som EU nu har beslutat måste emellertid genomföras och Justitiekanslern kan inte se någon bättre lösning än den som utredningen har föreslagit.

En fråga som bör ställas är dock hur det förslag till myndighetsdatalag som Informationshanteringsutredningen lämnade år 2015 (SOU 2015:39) förhål­ler sig till den föreslagna brottsdatalagen och till dataskyddsreformen i stort.

Ramlagens tillämpningsområde och gränsdragningsfrågor som rör tillämpningsområdet (avsnitt 7 och 8 i betänkandet)

Allmänt om tillämpningsområdet och gränsdragningsfrågorna

Utredningen föreslår att den nya brottsdatalagen ska gälla för behandling av person­uppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den ska också gälla för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet. Begreppet behörig myndighet definieras i lagen. Tillämpningsområdet preciseras även av andra bestämmelser.

Justitiekanslern konstaterar att utredningens förslag i den här delen knyter nära an till direktivet. Som utgångspunkt får tillämpningsområdet anses vara tillräckligt tydligt beskrivet, även om gränsdragningsproblem kan uppstå. Den genomgång med exempel som finns i avsnitt 8 bör emellertid vara till god hjälp.

Som utredningen påpekar (s. 206 f.) har Justitiekanslern åklagaruppgifter och kommer därför att tillämpa brottsdatalagen i delar av sin verksamhet. Det gäller framför allt när Justitiekanslern behandlar personuppgifter som åklagare på tryck- och yttrandefrihetens område. I andra delar, t.ex. vid handläggningen av skadeståndsärenden, kommer Justitiekanslern i stället att tillämpa dataskyddsförordningen med kompletterande föreskrifter på nationell nivå. Några särskilda registerförfattningar, som gäller utöver allmänna bestämmelser, finns inte för Justitiekanslerns verksamhet.

Justitiekanslern utgår från att tillsynsverksamhet generellt sett faller utanför den nya brottsdatalagens tillämpningsområde. Det huvudsakliga syftet med tillsynsverksamhet kan inte sägas vara att förebygga, förhindra eller upptäcka brottslig verksamhet eller att utreda eller lagföra brott. Både Justitiekanslern och Riksdagens ombudsmän (JO) har dock befogenhet att väcka åtal inom ramen för sin tillsyn och om det sker ska brottsdatalagen tillämpas på behandlingen av personuppgifter (s. 206 f.). Utredningen diskuterar inte från vilken tidpunkt lagen i sådana fall ska tillämpas men enligt Justitiekanslern framstår det som rimligt att låta tidpunkten för beslutet om förundersökning vara avgörande. När en förundersökning har inletts kan tillsynen sägas ha gått över till en brottsutredning.

En annan gränsdragningsfråga hänför sig till Justitiekanslerns uppgifter på rättshjälpsområdet. Domstolar och andra myndigheter är i vissa fall skyldiga att underrätta Justitiekanslern om beslut angående rättshjälp samt ersättning till offentliga försvarare m.fl. Detta framgår av Domstolsverkets föreskrifter (DVFS 2012:15) om rättshjälp. Justitiekanslern har rätt att överklaga sådana beslut enligt lagen (2005:73) om rätt för Justitiekanslern att överklaga vissa beslut. Utredningen framhåller (s. 207 f.) att den nya brottsdatalagen ska tillämpas när allmänna domstolar handlägger brottmål och att det inkluderar handläggning av frågor om t.ex. målsägandebiträde. Justitiekanslern tolkar det som att allmänna domstolar enligt utredningen ska tillämpa brottsdata­lagen även när de bestämmer ersättning till målsägandebiträden och offent­liga försvarare m.fl. Frågan är då om även Justitiekanslern ska tillämpa brottsdatalagen när Justitiekanslern tar emot eller överklagar beslut av det slaget. Någon direkt vägledning finns inte i betänkandet men syftet med Justitiekanslerns verksamhet på rättshjälpsområdet kan inte anses vara att förebygga, förhindra eller upptäcka brottslig verksamhet eller att utreda eller lagföra brott. Justitiekanslerns handläggning bör därför rimligen inte omfattas av lagens tillämpningsområde i dessa fall.

Ytterligare en gränsdragningsfråga är vad som gäller om Polismyndigheten behandlar personuppgifter som rör nationell säkerhet, utan att ha övertagit någon arbetsuppgift från Säkerhetspolisen. Det skulle t.ex. kunna handla om att Polismyndigheten tar emot en brottsanmälan som rör nationell säkerhet och som eventuellt ska lämnas över till Säkerhetspolisen. Justitiekanslern tolkar den bestämmelse som föreslås i 1 kap. 4 § brottsdatalagen på så sätt att Polismyndigheten i den situationen ska tillämpa brottsdatalagen på sin personuppgiftsbehandling (jfr även s. 671). Den tolkningen framstår dock inte som given och frågan kan möjligen behöva klarläggas ytterligare.

Liknande och andra gränsdragningsfrågor kommer troligen att uppkomma efter hand och någon uttömmande reglering som ger svar på alla tänkbara frågor om tillämpningsområdet går knappast att åstadkomma. Vissa frågor kommer att få lösas i rättstillämpningen. Om regeringen har någon annan uppfattning beträffande de gränsdragningsfrågor som Justitiekanslern nu har lyft fram bör detta dock behandlas i det fortsatta lagstiftningsarbetet.

Särskilt om förhållandet till TF och YGL (avsnitt 7.3 i betänkandet)

Av 7 och 8 §§ personuppgiftslagen framgår att bestämmelserna i den lagen inte tillämpas i den utsträckning det skulle strida mot de bestämmelser om utlämnande av allmänna handlingar samt tryck- och yttrandefrihet som finns i tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen (YGL).

Förhållandet mellan de olika regelverken behandlades i förarbetena till per­sonuppgiftslagen. Där angavs också att de tilltänkta bestämmelserna i 7 och 8 §§ personuppgiftslagen hade ett värde trots att bestämmelser i grundlag alltid tar över bestämmelser i vanlig lag (prop. 1997/98:44 s. 46 och 51).

När dataskyddsreformen nu ska genomföras uppkommer återigen frågan om förhållandet mellan reglerna om personuppgiftsbehandling och reglerna om handlingsoffentlighet samt tryck- och yttrandefrihet. Frågan är i princip vilket av regelkomplexen som har företräde vid en eventuell konflikt.

Dataskyddsutredningen bedömer att artikel 86 i dataskyddsförordningen medför att 2 kap. TF om allmänhetens tillgång till handlingar har företräde framför förordningen (s. 356 i SOU 2017:39). Dataskyddsutredningen bedömer att även bestämmelserna om tryck- och yttrandefrihet har företräde framför förordningen (avsnitt 7 i SOU 2017:39). För att klargöra detta föreslår Dataskyddsutredningen ändå att en upplysningsbestämmelse som motsvarar 7 § personuppgiftslagen ska tas in i den nya dataskydds­lagen.

Någon motsvarande upplysningsbestämmelse föreslås inte i brottsdatalagen. Utredningen menar såvitt framgår att brottsdatalagen över huvud taget inte kommer att vara tillämplig när allmänna handlingar lämnas ut eller när personuppgifter behandlas på tryck- och yttrandefrihetens område. Även om det inte uttryckligen anges måste utredningens tanke vara att sådan behand­ling av personuppgifter inte omfattas av lagen eftersom behandlingen inte utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Utredning­en anger att sådan behandling i stället omfattas av dataskyddsförordningen. Det skulle i sin tur innebära att bestämmelserna i TF och YGL har företräde.

Justitiekanslern har i och för sig ingenting att invända mot utredningens slutsatser. Utredningens överväganden i denna del är dock knapphändiga och det skulle kunna vara av värde att frågan om innebörden av grund­lagarnas företräde tydliggörs närmare i det fortsatta lagstiftningsarbetet. Det kan t.ex. övervägas om inte en upplysningsbestämmelse skulle fylla en funktion även i brottsdatalagen.

Justitiekanslerns bedömning är att TF och YGL skulle ha företräde framför bestämmelserna i brottsdatalagen även om lagen i något fall skulle vara tillämplig på sådan personuppgiftsbehandling som också omfattas av TF eller YGL. Detta följer redan av grundlagarnas överordnade ställning i förhållande till vanlig lag. Det följer rimligen också av den bestämmelse om subsidiaritet som utredningen föreslår i 1 kap. 5 § brottsdatalagen.

Principer för behandling av personuppgifter (avsnitt 9 i betänkandet)

I 2 kap. 3 § brottsdatalagen föreslår utredningen en bestämmelse om att personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Förslaget behandlas närmare i avsnitt 9.1.5.

Som utredningen själv påpekar (s. 240) har bestämmelser om ändamål en central roll i dagens registerförfattningar. Vanligtvis anges ganska detaljerat vilka ändamål personuppgifter får behandlas för. Den bestämmelse som utredningen föreslår är i stället mycket allmänt hållen och Justitiekanslern har, trots uttalandena i avsnitt 9.1.5, svårt att till fullo förstå bestämmelsens syfte och innebörd. Det är också svårt att förstå hur den kommer att förhålla sig till registerförfattningarna. Ytterligare klargöranden kan behövas.

Dataskyddsombud (avsnitt 10.5 i betänkandet)

Utredningen föreslår en skyldighet för personuppgiftsansvariga att utse ett eller flera dataskyddsombud och att anmäla till tillsynsmyndigheten när dataskyddsombud utses eller entledigas. Att myndigheter som behandlar personuppgifter måste utnämna dataskyddsombud framgår även av artikel 37 i dataskyddsförordningen. Justitiekanslern vill i denna del bara påpeka att det är något oklart hur brottsdatalagens och dataskyddsförordningens regler om dataskyddsombud förhåller sig till varandra. Justitiekanslern tolkar reglerna som att en myndighet som tillämpar båda regelverken ska utse och anmäla dataskyddsombud dels enligt brottsdatalagen, dels enligt dataskyddsförordningen. Frågan kan behöva belysas närmare.

Tillsyn (avsnitt 12 i betänkandet)

Allmänt om tillsynen

Utredningen om tillsynen över den personliga integriteten har föreslagit att Datainspektionen ska utses till svensk nationell tillsynsmyndighet enligt

både dataskyddsförordningen och det nya dataskyddsdirektivet. Utredningen leddes av justitiekanslern och presenterade sina förslag i betänkandet Ett samlat ansvar för tillsyn över den personliga integriteten (SOU 2016:65).

I det nu aktuella betänkandet lämnas ytterligare förslag om tillsynen över den personliga integriteten, i syfte att genomföra direktivets bestämmelser på detta område. Förslagen knyter nära an till direktivet och motsvarande regler i dataskyddsförordningen. I vissa delar lämnar direktivet utrymme för olika lösningar och Justitiekanslern anser att utredningen i dessa fall har gjort kloka ställningstaganden. Det gäller t.ex. bedömningen att det inte bör införas några särskilda regler om när och hur tillsyn ska inledas respektive avslutas eller hur tillsynen närmare ska bedrivas (s. 441 ff.). Justitiekanslern ställer sig alltså bakom merparten av utredningens förslag om tillsyn.

Justitiekanslern vill dock påpeka att det inte fram­står som självklart att tillsynsmyndighetens beslut, t.ex. förelägganden och förbud, alltid måste vinna laga kraft för att få verkställas (avsnitt 12.8.3 i betänkandet). Dataskyddsutredningen menar, när det gäller motsvarande tillsynsbeslut på dataskyddsförordningens område, att besluten i vissa fall ska kunna verkställas innan de har vunnit laga kraft (s. 329 i SOU 2017:39). Det kan diskuteras om denna skillnad mellan regelverken är motiverad.

Särskilt om anmälningsskyldigheten (avsnitt 12.8.4 i betänkandet)

Justitiekanslern avstyrker den anmälningsskyldighet som utredningen föreslår i 5 kap. 3 § andra stycket brottsdataförordningen. Förslaget innebär att tillsynsmyndigheten, om den uppmärksammar felaktigheter som kan medföra skadeståndsansvar för staten, ska anmäla detta till Justitiekanslern.

Utredningens förslag grundar sig på artikel 47.5 i direktivet. Enligt den artikeln ska medlemsstaterna i lag säkerställa att tillsynsmyndigheten har befogenhet att göra rättsliga myndigheter uppmärksamma på överträdelser av de nationella bestämmelser som antas för att genomföra direktivet.

Justitiekanslern konstaterar inledningsvis att direktivet såvitt framgår inte kräver att det ska finnas en skyldighet för tillsynsmyndigheten att anmäla överträdelser till rättsliga myndigheter. I direktivet talas om en befogenhet. Det framgår inte heller att bestämmelsen tar sikte just på skadestånd för överträdelser. Det framstår alltså som att utredningen har gått längre än vad direktivet kräver. För- och nackdelarna med detta bör övervägas noga.

En fördel som utredningen själv pekar på är att sanktionssystemet på detta sätt bör bli mycket effektivt. En anmälningsskyldighet leder till att skadeståndsfrågan kan prövas även när den enskilde själv inte har begärt skadestånd. Ett annat argument för en anmälningsskyldighet är att den enskilde i vissa fall, på grund av sekretess, inte kommer att ha fått del av det underlag som kan behövas för att begära skadestånd. Detta var, såvitt Justitiekanslern kan bedöma, det bärande argumentet när Säkerhets- och integritetsskyddsnämnden (SIN) ålades en skyldighet att anmäla statens eventuella skade­ståndsskyldighet till Justitiekanslern (jfr SOU 2006:98 s. 131 f.). En motsvarande skyldighet gäller för Statens inspektion för försvarsunderrättelseverksamheten (SIUN).

Det finns samtidigt flera argument mot en absolut anmälningsskyldighet. Redan när Säkerhets- och integritetsskyddsnämndens anmälningsskyldighet infördes påpekade Justitiekanslern att det normala är att den enskilde måste begära skadestånd för att Justitiekanslern ska pröva frågan. Skadeståndet är ett civilrättsligt institut och Justitiekanslerns beslut är ett besked om hur staten som part har ställt sig till anspråket. Att Justitiekanslern utan att något anspråk framställts skulle pröva en skadeståndsfråga är ett avvikande inslag i det system som finns.

Det avsteg som ändå har gjorts för SIN och SIUN har kunnat motiveras utifrån dessa myndigheters mycket speciella verksamhetsområden. De utövar tillsyn bl.a. över användningen av hemliga tvångsmedel och på andra områden där sekretess ofta gäller även i förhållande till den enskilde själv. Brottsdatalagen har ett brett tillämpningsområde och i många fall kommer det inte att finnas något hinder för den enskilde att få ta del av de uppgifter som behandlats och för tillsynsmyndigheten att lämna uppgifter till den enskilde om hur hans eller hennes personuppgifter har behandlats. Exempel­vis är domstolarnas handläggning av brottmål till allra största del offentlig. Sekretess lär inte heller hindra att uppgifter lämnas till t.ex. målsägan­den, vittnen eller försvarare om hur deras personuppgifter har behandlats. Skälen för en anmälningsskyldighet framstår därför som mycket svagare i detta sammanhang än när det gäller verksamheten hos SIN och SIUN.

Det kan vidare framstå som olämpligt att tillsynsmyndigheten genom en anmälan ska väcka ett nytt ärende hos en annan myndighet, Justitiekanslern, och ytterligare sprida den enskildes personuppgifter utan att den enskilde över huvud taget har begärt skadestånd. Det kan inte uteslutas att detta i sig kan uppfattas som kränkande. När Justitiekanslern har tagit emot anmälningar från SIN har det i flera fall visat sig att den enskilde inte har velat begära skadestånd. Särskilt olycklig kan situationen bli om den enskilde genom tillsynsmyndighetens anmälan uppfattar sig ha en rätt till skadestånd varefter Justitiekanslern finner att det saknas grund för det.

Slutligen anser Justitiekanslern att frågan måste ses i ett vidare perspektiv.

Om tillsynsmyndigheten på just detta område skulle vara skyldig att anmäla en eventuell skadeståndsskyldighet till Justitiekanslern, skulle det onekligen kunna ifrågasättas varför inte andra myndigheter ska göra det. Den som har utsatts för felaktig personuppgiftsbehandling är knappast mer skyddsvärd än den som t.ex. har frihetsberövats, avhysts eller utvisats felaktigt. I dessa fall gäller inte någon motsvarande anmälningsskyldighet. Justitiekanslern ifrågasätter mot bakgrund av vad som nu sagts att det införs en sådan anmälningsskyldighet som utredningen föreslår. Frågan behöver föregås av noggrannare överväganden än de som finns i betänkandet.

Ett rimligt alternativ till en anmälningsskyldighet är att tillsynsmyndigheten när det är befogat upplyser den enskilde om möjligheten att vända sig till Justitiekanslern med ett skadeståndsanspråk. Den enskilde kan därefter själv välja om han eller hon vill begära skadestånd. Om ett sådant anspråk förs fram, kan Justitiekanslern själv hämta in det underlag som behövs. Det kan påpekas att Justitiekanslern framförde detta som ett alternativ redan när anmälningsskyldigheten för Säkerhets- och integritetsskyddsnämnden infördes. Tillsynsmyndigheten kan lämna sådana upplysningar med stöd av förvaltningslagen (1986:223) och någon ytterligare reglering behövs knappast. Tillsynsmyndigheten torde vidare ha goda möjligheter att vid behov fästa Justitiekanslerns uppmärksamhet på eventuella överträdelser utan att det är fråga om någon anmälningsskyldighet i det enskilda fallet.

Om regeringen bedömer att direktivet ändå kräver lagstiftning om någon form av anmälan till Justitiekanslern, kan det diskuteras om det inte borde vara fråga om en befogenhet för tillsynsmyndigheten att göra en anmälan snarare än en skyldighet. Det kan också diskuteras om sådana anmälningar inte borde vara begränsade till fall när den enskilde på grund av sekretess inte kan få närmare upplysningar om den eventuella överträdelsen, samt fall när den enskilde själv har initierat ärendet hos tillsynsmyndigheten. Om anmälningsskyldigheten ska genomföras, måste en ändring av 11 § förord­ningen (1975:1345) med instruktion för Justitiekanslern vidare övervägas.

Sanktioner (avsnitt 13 i betänkandet)

Utredningen föreslår att brottsdatalagen inte ska innehålla någon straff­bestämmelse. Justitiekanslern har inga invändningar mot det förslaget.

Justitiekanslern har inte heller några principiella invändningar mot förslaget om sanktionsavgift. För enhetlig­hetens skull är det positivt om systemet så långt som möjligt utformas med dataskyddsförordningen som förebild.

Utredningen menar att sanktionsavgiften bör kunna sättas ner helt eller delvis bl.a. om den personuppgiftsansvarige blir skadeståndsskyldig. Enligt utredningen skulle den samlade reaktionen annars kunna bli för betungande.

Justitiekanslern konstaterar att utredningens resonemang bygger på att skadeståndsfrågan har avgjorts före frågan om sanktionsavgift. Det kan i stället tänkas att beslutet om sanktionsavgift kommer först. Detta gäller särskilt eftersom preskriptionstiden för ett skadeståndsanspråk är längre (tio år) än den föreslagna fristen för sanktionsavgift (fem år). Om beslutet om sanktionsavgift kommer först, finns det knappast någon möjlighet att i efterhand sätta ner avgiften med hänsyn till att den personuppgiftsansvarige också blivit skadeståndsskyldig. Utredningen föreslår att skadestånd inte ska kunna jämkas och det kommer därför inte gå sätta ner skadeståndet med hänvisning till att sanktionsavgift redan tagits ut. Den samordning mellan sanktionsavgift och skadestånd som utredningen tänker sig kommer i många fall alltså inte att vara möjlig utifrån de förslag som utredningen har lämnat. Om regeringen eftersträvar en sådan samordning kan förslagen behöva ändras eller i alla fall bli föremål för ytterligare överväganden.

Rättsmedel och skadestånd (avsnitt 14 i betänkandet)

Skadestånd (avsnitt 14.3 i betänkandet)

Justitiekanslern konstaterar att utredningen har beskrivit reglerna om det allmännas skadeståndsansvar på ett korrekt sätt. Det kan tilläggas att regeringen numera har överlämnat en remiss till lagrådet med anledning av betänkandet Skadestånd och Europakonventionen (SOU 2010:87). I lagråds­remiss föreslås att den nya bestämmelsen om rätten till skadestånd vid överträdelser av Europakonventionen ska träda i kraft den 1 april 2018.

Utredningen utgår från att Justitiekanslern ska pröva skadeståndsanspråk som grundar sig på att statliga myndigheter har behandlat personuppgifter i strid med brottsdatalagen eller föreskrifter som har meddelats i anslutning till brottsdatalagen. Det motsvarar vad som gäller i dag. Justitiekanslerns behörighet att handlägga anspråk enligt 48 § personuppgiftslagen framgår av 3 § förordningen om handläggning av skadeståndsanspråk mot staten.

Om regeringen i likhet med utredningen anser att Justitiekanslern ska vara den myndighet som prövar anspråk enligt brottsdatalagen, vilket verkar rimligt, behövs en ändring av den nämnda förordningen. Annars följer det av 5 § i förordningen att bl.a. Kriminalvården, Polismyndigheten och Åklagarmyndigheten själva är behöriga att pröva sådana anspråk. Ett tillägg kan göras genom att en hänvisning till 7 kap. 1 § brottsdatalagen tas in i en ny strecksats eller i den befintliga fjärde strecksatsen i 3 § i förordningen.

Samtidigt behöver hänvisningen till 48 § personuppgiftslagen finnas kvar i förordningen, bl.a. eftersom frågor om skadestånd för förfluten tid kan uppkomma även efter brottsdatalagens ikraftträdande. Alternativt behövs någon form av övergångsbestämmelse, som pekar ut Justitiekanslern som behörig myndighet även för anspråk enligt personuppgiftslagen.

Justitiekanslern konstaterar liksom utredningen att artikel 56 i direktivet inte innehåller någon exculperingsregel, till skillnad från artikel 23 i det direktiv som ligger till grund för personuppgiftslagen. Det måste dock ifrågasättas om det betyder att jämkning över huvud taget inte kan komma på tal. Om någon slutsats kan dras är det endast att den personuppgiftsansvariga myndigheten inte kan undgå ansvar på den grunden att myndigheten inte är ansvarig för den händelse som orsakade skadan. Direktivet ger knappast några besked om vad som gäller beträffande jämkning på andra grunder, t.ex. för att den skadelidande underlåtit att begränsa sin skada. Skyldigheten att begränsa sin skada är en allmän skadeståndsrättslig princip som kan ha stor betydelse vid överträdelser av regler om personuppgiftsbehandling. Det skulle vara orimligt om skadeståndet inte gick att sätta ner i en situation när den enskilde enkelt hade kunnat begränsa sin ekonomiska skada.

Över huvud taget framstår det som rimligt att allmänna skadeståndsrättsliga regler, både i fråga om jämkning och i övrigt, tillämpas i den utsträckning en ersättningsfråga inte berörs i brottsdatalagen eller direktivet. Det skulle vara önskvärt med ett klargörande från regeringens sida på den punkten, även om utredningen själv uttalat sig i denna riktning (s. 536 och 749 f.).

Dröjsmålstalan (avsnitt 14.6 i betänkandet)

Av artikel 53.2 i direktivet framgår att den som har gett in ett klagomål till tillsynsmyndigheten ska ha rätt till ett effektivt rättsmedel om myndigheten inte inom tre månader behandlar klagomålet eller om myndigheten inte lämnar viss information. En närmast identisk bestämmelse om rätten till ett effektivt rättsmedel finns i artikel 78.2 i dataskyddsförordningen.

Både den nu aktuella utredningen och Dataskyddsutredningen föreslår nationella föreskrifter om dröjsmålstalan för att uppfylla de EU-rättsliga bestämmelserna. De föreslagna reglerna om dröjsmålstalan är invecklade. Tillsynsmyndigheten ska först, på den enskildes skriftliga begäran, antingen lämna ett besked i frågan om tillsyn kommer att utövas eller annars avslå begäran. Ett avslagsbeslut ska därefter kunna överklagas till domstol. Om domstolen bifaller överklagandet ska den förelägga tillsynsmyndigheten att inom viss tid lämna besked i frågan om tillsyn kommer att utövas.

Justitiekanslern anser att det föreslagna systemet är komplicerat, tidsödande och kostnadskrävande i förhållande till vad som i sak går att uppnå med en dröjsmålstalan. Som framgår av avsnitt 12.6.2 är tillsyns­myn­digheten inte skyldig att utreda ett klagomål, bara att på något sätt behandla det. Det kan handla om ett enkelt besked om att någon tillsynsåtgärd inte kommer att vidtas. Att införa ett system med dröjsmålstalan för att eventuellt tvinga fram ett besked av det slaget framstår som orimligt. Det kan också noteras att de regler om dröjsmålstalan som föreslås i en ny förvaltningslag inte kommer att vara tillämpliga i tillsynsärenden som har inletts med anledning av ett klagomål från någon enskild, eftersom den som klagat i ett sådant fall inte får partsställning i tillsynsärendet (prop. 2016/17:180 s. 295). Mot denna bakgrund bör det övervägas om inte tillgången till ett effektivt rättsmedel kan säkerställas på något annat sätt än genom dröjsmålstalan.

Överklagande av tillsynsmyndighetens beslut (avsnitt 14.7 i betän­kandet)

Justitiekanslern har svårt att förstå de bestämmelser om överklagande som föreslås i 7 kap. 2–5 §§ brottsdatalagen. Det gäller särskilt förhållandet mellan 7 kap. 4 och 5 §§. Enligt 7 kap. 4 § får tillsyns­myndighetens beslut enligt brottsdatalagen eller anslutande föreskrifter överklagas till allmän förvaltningsdomstol. Därefter anges, i följande paragraf, att andra beslut enligt lagen inte får överklagas. Enligt författningskommentaren (s. 753) gäller det även tillsynsmyndighetens övriga beslut enligt brottsdatalagen.

När man läser de två paragraferna tillsammans är det svårt att förstå vilka av tillsynsmyndighetens beslut som får överklagas respektive inte överklagas. Om tanken är att allmänna förvaltningsrättsliga principer ska styra vilka beslut av tillsynsmyndigheten som får överklagas, bör paragraferna rimligen utformas på ett annat sätt. Vad som ska gälla i fråga om överklagande av tillsynsmyndighetens beslut bör under alla förhållanden förtydligas.

Konsekvenser (avsnitt 17 i betänkandet)

När det gäller ekonomiska konsekvenser för staten gör utredningen bedömningen att kostnaderna för den utbildning som kommer att krävas för de behöriga myndigheterna med anledning av förslaget till ramlag bör rymmas inom befintliga anslag. Enligt Justitiekanslerns uppfattning har utredningen möjligen underskattat såväl behovet av utbildning inom de myndigheter som främst berörs av förslaget till ramlag som kostnaderna för denna utbildning. Utifrån Justitiekanslerns erfarenhet kan det t.ex. konstateras att kunskapen om nu befintlig personuppgifts­lagstiftning stundtals brister hos myndigheterna. Det regelverk som nu föreslås, dels genom detta betänkande men även genom Dataskyddsutredningens betänkande, torde som ovan framgått vara mera komplicerat och troligen svårare att tillämpa än det nu befintliga. Det finns därför anledning att tro att införandet av den föreslagna ramlagen bör ge anledning till relativt omfattande, både grundläggande och mera kvalificerade, utbildnings­insatser för ett stort antal personer inom alla berörda myndigheter.

Lagteknisk utformning av vissa förslag

2 kap. 12 § förslaget till brottsdatalag

Om andra föreskrifter ska innehålla bestämmelser om behandling av biometriska och genetiska uppgifter, är det något svårt att förstå tillägget om att behandlingen dessutom ska vara absolut nödvändig. Det kan ifrågasättas om inte förutsättningarna för behandlingen i stället kan anges uttömmande i de särskilda föreskrifter som ska tillämpas.

4 kap. 10 § förslaget till brottsdatalag

Det står klart att personuppgifter ska raderas på begäran av den enskilde om de behandlas i strid med vissa bestämmelser i lagen. Det är däremot oklart vad som avses med att personuppgifter ska raderas om det krävs ”för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse”. En viss förklaring finns i författningskommentaren (s. 727) men bestäm­melsen bör kunna förtydligas så att det klarare framgår vad som avses.

7 kap. 2 § förslaget till brottsdatalag

Det bör övervägas om läsbarheten kan ökas genom en punktuppställning.