Behandling av personuppgifter inom kriminalvården
Departementsserien 2000:50
| Ds 2000:50 | 1 |
Sammanfattning
I promemorian föreslås en lag om behandling av personuppgifter inom kriminalvården. Lagen skall innehålla de bestämmelser som utöver personuppgiftslagen (1998:204) är nödvändiga för kriminalvårdens verksamhet. Regleringen kommer att ersätta de tillstånd från Datainspektionen på vilka delar av den nuvarande registerföringen vilar. Författningsförslaget kommer vidare att ersätta den reglering som för närvarande görs i förordningen (1970:517) om rättsväsendets informationssystem.
| 2 | Ds 2000:50 |
1 Författningsförslag
1.1Förslag till lag om behandling av personuppgifter inom kriminalvården
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter i kriminalvårdens verksamhet avseende personer som är
1.föremål för personutredning,
2.häktade,
3.dömda till fängelse,
4.dömda till skyddstillsyn,
5.dömda till villkorlig dom med föreskrift om samhällstjänst,
6.ålagda förvandlingsstraff för böter, eller
7.personer som på grund av utländsk dom skall verkställa en sådan påföljd som avses i 1–6 i Sverige, eller
8.personer som på annan grund är intagna i häkte eller anstalt. Lagen gäller endast om behandlingen av personuppgifterna är
helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning efter särskilda kriterier.
| Ds 2000:50 | 3 |
Förhållandet till personuppgiftslagen
2 § Om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter inom kriminalvården.
Ändamål med behandlingen
3 § En myndighet inom kriminalvården får behandla personuppgifter bara om det behövs för att
1.myndigheten skall kunna fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning,
2.underlätta tillgången till sådana uppgifter om verkställighet av straff som rättsväsendets myndigheter behöver, eller
3.upprätthålla säkerheten och förebygga brott under den tid som
verkställigheten pågår.
Uppgifter som behandlas enligt första stycket får också användas för tillsyn, planering, uppföljning och kvalitetssäkring av verksamheten.
Personuppgiftsansvar
4 § Den myndighet som utför en behandling av personuppgifter är personuppgiftsansvarig. Kriminalvårdsstyrelsen är dock personuppgiftsansvarig för behandling av uppgifter i centrala register som förs gemensamt för myndigheterna inom kriminalvården.
Behandling av känsliga uppgifter
5 § Sådana uppgifter som avses i 13 § personuppgiftslagen (1998:204) får behandlas om det är oundgängligen nödvändigt för syftet med behandlingen.
| 4 | Ds 2000:50 |
Sambearbetning
6 § Personuppgifter som behandlas för olika ändamål enligt denna lag får sambearbetas.
Direktåtkomst
7 § Direktåtkomst till de uppgifter som behandlas enligt denna lag skall vara förbehållen de personer som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.
Gallring
8 § Uppgifter om en person som behandlas i ett register skall gallras senast fem år efter det att den senaste registrerade påföljden om honom eller henne helt har verkställts eller upphört.
Sådana uppgifter som behövs för uppföljning och kvalitetssäkring av verksamheten får dock behandlas under ytterligare fem år.
Rättelse och skadestånd
9 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats med stöd av denna lag.
Bemyndiganden
10 § Föreskrifter om i vilken utsträckning uppgifter som behandlas enligt denna lag skall lämnas ut till andra myndigheter meddelas av regeringen.
11 § Regeringen, eller den myndighet regeringen bestämmer, får meddela föreskrifter om
1. begränsningar av de i 3 § angivna ändamålen,
| Ds 2000:50 | 5 |
2.begränsningar av de uppgifter som får behandlas för ett visst ändamål,
3.när gallring skall ske,
4.att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
_________
Denna lag träder i kraft den 1 oktober 2001
| 6 | Ds 2000:50 |
2Behandling av personuppgifter inom kriminalvården – utgångspunkter för förslaget
2.1Kriminalvårdens datorisering
Informationstekniken har under det senaste årtiondet utvecklats mycket snabbt. Tekniken erbjuder möjligheter att effektivisera och rationalisera verksamheter av skilda slag. På alla samhällsområden pågår en utveckling mot en allt mer intensifierad datorisering.
Under början av 1970-talet växte rättsväsendets informationssystem fram. I förordning (1970:517) om rättsväsendets informationssystem (RI-förordningen) regleras systemet. Ett av syftena med RI-förordningen var att genom ADB förenkla och förbättra informationsutbytet mellan myndigheterna inom rättsväsendet. Ett annat var att skapa underlag för planeringen inom myndigheterna och för den övergripande planeringen inom rättsväsendet i stort.
Enligt RI-förordningen skulle det finnas ett informationssystem grundat på ADB för att samla in, lagra, bearbeta och lämna uppgifter som har samband verksamheten inom polis-, åklagar-, och domstolsväsendet samt kriminalvården. Informationssystemet skulle bestå av olika delsystem.
Den ursprungliga regleringen i RI-förordningen har till en stor del ersatts av ny lagstiftning, dels den nya lagstiftningen om polisens register, dvs. främst lagen (1998:620) och förordningen (1999:1134) om belastningsregister och lagen (1998:621) och förordningen (1999:1135) om misstankeregister, dels förordningarna om register över strafföreläggande resp. föreläggande av
| Ds 2000:50 | 7 |
ordningsbot. Av det ursprungliga systemet återstår bl.a. systemet för brottsanmälningar (det s.k. RAR-registret) och systemet för förfarandet inom kriminalvården där kriminalvårdens centrala register ingår.
Under slutet av 1980-talet inleddes arbetet med att utveckla databaserade klientadministrativa system inom kriminalvården. På andra håll inom svensk statsförvaltning hade datoriseringsprocessen redan under 1970-talet hunnit relativt långt. Kriminalvården var vid denna tidpunkt emellertid ett av de områden där datorn ännu inte kommit till sådan användning att den gjort mera påtagligt avtryck i verksamheten. Det innebär att kriminalvården har väsentligt kortare erfarenhet av datoriseringen än många andra större myndigheter.
2.2Departementspromemorian Lag om kriminalvårdsregister
Inom Justitiedepartementet upprättades 1996 en promemoria Lag om kriminalvårdsregister (Ds 1996:19). I promemorian föreslogs en författningsreglering för de klientadministrativa personregister på ADB-medium som fördes eller höll på att utvecklas inom kriminalvården. Författningsförslaget var utformat så att de register som var under utveckling skulle kunna inrättas utan att någon lagändring krävdes. I den föreslagna lagen angavs de ur integritetssynpunkt grundläggande och mest betydelsefulla reglerna för registren. Den närmare reglering som krävdes föreslogs ske i förordning med en detaljerad bilaga för varje register.
Regleringen var tänkt att ersätta de tillstånd från Datainspektionen på vilka den nuvarande registreringen vilar. Vidare skulle författningsförslagen på sikt komma att reglera sådana register som för närvarande förs med stöd av förordningen (1970:517) om rättsväsendets informationssystem (RI-förord- ningen). Förslaget i promemorian bygger på datalagens (1973:289) bestämmelser.
| 8 | Ds 2000:50 |
I den föreslagna lagen – lagen om vissa personregister inom kriminalvården – reglerades gränserna för registrets ändamål och innehåll. Lagen föreslogs också innehålla vissa bestämmelser om sambearbetning, registeransvar, terminalåtkomst, utlämnande av uppgifter, sökbegrepp, gallring och informationsskyldighet.
Promemorian har remissbehandlats. Remissinstanserna var i princip positiva till en författningsreglering. När det gäller den författningsteknik som valts tyckte några remissinstanser att flera bestämmelser var för allmänt hållna och att delegeringen till Kriminalvårdsstyrelsen var för långtgående. Datainspektionen var däremot av motsatt uppfattning och ansåg att den lösning som valts var onödigt krånglig. Enligt inspektionen borde det räcka med en generell reglering i lagen utan detaljbestämmelser för varje register. Promemorian har inte lett till något förslag från regeringen om lagstiftning.
2.3En ny utgångspunkt för behandling av personuppgifter
2.3.1Personuppgiftslagen
Den 24 oktober 1998 trädde personuppgiftslagen (1998:204) i kraft. Lagen ersätter datalagen (1973:289) och syftar till att hindra att den personliga integriteten kränks genom behandling av personuppgifter.
Personuppgiftslagen genomför Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Lagen omfattar all automatiserad behandling av personuppgifter. Den omfattar vidare manuell behandling av uppgifter i personregister. Rent privat användning av personuppgifter är dock undantagen.
| Ds 2000:50 | 9 |
Personuppgiftslagen är generellt tillämplig och omfattar även sådana verksamheter som faller utanför direktivets tillämpningsområde, dvs. bl.a. statens ansvar på straffrättens område. Av- vikande bestämmelser i lag eller förordning gäller dock framför personuppgiftslagen.
2.3.2Datalagen
Grundläggande regler om inrättande och förande av personregister med hjälp av automatisk databehandling fanns tidigare i datalagen (1973:289). Varje sammanställning av personuppgifter med hjälp av automatisk databehandling ansågs innebära att ett personregister hade inrättats. Bara den som anmält sig till Datainspektionen och fått licens fick inrätta och föra personregister. För att få inrätta och föra känsliga register krävdes dessutom ett särskilt tillstånd från Datainspektionen. Ett sådant tillstånd behövdes t.ex. i regel för att inrätta och föra register med uppgifter om brott och brottsmisstankar, uppgifter om hälsotillstånd eller sexualliv, omdömen om den registrerade eller personuppgifter som hämtats från något annat register. Om ett personregister beslutats av riksdagen eller regeringen krävdes inget tillstånd.
2.3.3Behandling av personuppgifter är tillåten i de fall och på de villkor personuppgiftslagen anger
Genom personuppgiftslagen har det tidigare licens- och tillståndsförfarandet avskaffats. Utgångspunkten för personuppgiftslagen är i stället att behandling av personuppgifter är tillåten i de fall och på de villkor lagen anger.
Personuppgiftslagen innehåller vissa grundläggande krav på hur uppgifter får behandlas. Dessa krav innebär bl.a. att personuppgifter får behandlas endast för särskilda, uttryckligt angivna och berättigade ändamål. Lagen innehåller vidare bestäm-
| 10 | Ds 2000:50 |
melser om information till den registrerade, om korrigering av uppgifter och om säkerheten vid behandlingen. Enligt huvudregeln får behandling av uppgifter endast ske med samtycke från den registrerade. Från den regeln finns det dock flera undantag, t.ex. om det är nödvändigt att behandla personuppgifter för att en arbetsuppgift av allmänt intresse skall kunna utföras eller för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet.
Personuppgiftslagen innehåller vidare ett förbud mot att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller uppgifter som rör hälsa eller sexualliv. Sådana uppgifter betecknas i lagen som känsliga personuppgifter.
Automatiserad behandling av personuppgifter måste i princip anmälas till tillsynsmyndigheten, men det finns omfattande undantag från denna anmälningsskyldighet, t.ex. när den ansvariga för behandlingen har anmält till tillsynsmyndigheten att ett personuppgiftsombud har utsetts.
2.4Kriminalvårdens register förs enligt övergångsbestämmelserna
Om en behandling av personuppgifter för ett visst ändamål har påbörjats före den 24 oktober 1998 gäller, enligt övergångsbestämmelserna till personuppgiftslagen, fortfarande datalagen fram till den 1 oktober 2001. Det innebär att datalagen fortfarande tillämpas på flertalet av de register som förs inom kriminalvården. Det är emellertid nödvändigt att nu överväga om det behövs någon särskild lagstiftning för att reglera kriminalvårdens möjligheter att behandla personuppgifter i fortsättningen. I det sammanhanget måste självklart också analyseras om det behövs några från personuppgiftslagen avvikande bestämmelser eller förtydligande.
| Ds 2000:50 | 11 |
3 Allmänt om kriminalvården
Detta avsnitt innehåller en beskrivning av kriminalvårdens organisation och uppgifter samt en kortfattad redogörelse för den lagstiftning som styr kriminalvårdens verksamhet.
3.1Kriminalvårdens organisation
Kriminalvårdens huvuduppgift är att verkställa påföljderna fängelse och skyddstillsyn, att ansvara för övervakningen av villkorligt frigivna, verkställa föreskrifter om samhällstjänst och utföra särskilda personutredningar i brottmål. Kriminalvården ansvarar dessutom för verksamheten vid häktena och ombesörjer transporter av personer som skall avvisas eller utvisas från Sverige.
Kriminalvårdsstyrelsen är central förvaltningsmyndighet för kriminalvården och chefsmyndighet för de lokala kriminalvårdsmyndigheterna och Transporttjänsten. Vidare är styrelsen i administrativt hänseende chefsmyndighet för Kriminalvårdsnämnden och övervakningsnämnderna.
3.2Kriminalvårdslagstiftningens uppbyggnad
Den centrala regleringen av kriminalvården är uppbyggd efter i huvudsak följande mönster. De viktigaste frågorna regleras i lag. Detta gäller t.ex. grundläggande frågor om kroppsbesiktning,
| 12 | Ds 2000:50 |
kontakter med omvärlden och utevistelser. I lag anges vidare att vissa frågor delegeras till regeringen eller den myndighet som regeringen bestämmer. I förordning regleras sedan vilka frågor som Kriminalvårdsstyrelsen kan reglera genom föreskrifter. Sådana föreskrifter kungörs och publiceras i Kriminalvårdsverkets författningssamling (KVVFS).
Det finns ett stort antal författningar som har betydelse för kriminalvårdens verksamhet. Beträffande de personer som är häktade eller annars intagna i häkte gäller lagen (1976:371) och förordningen (1976:376) om behandlingen av häktade och anhållna m.fl. Kriminalvårdsstyrelsen har också utfärdat häktesföreskrifter (KVVFS 1997:15)
För personer som dömts till fängelse eller som ålagts fängelse som förvandlingsstraff för böter gäller lagen (1974:203) och förordningen (1974:248) om kriminalvård i anstalt samt lagen (1994:451) och förordningen (1994:451) om intensivövervakning med elektronisk kontroll. I anslutning till dessa författningar har Kriminalvårdsstyrelsen utfärdat ett flertal föreskrifter, bl.a. anstaltsföreskrifter (KVVFS 1998:8), föreskrifter om permissioner (KVVFS 1998:9) och föreskrifter om intensivövervakning med elektronisk kontroll (KVVFS 1999:2).
27 och 28 kap. brottsbalken respektive förordningen (1998:642) om verkställighet av frivårdspåföljderna innehåller de huvudsakliga bestämmelserna om personer som har dömts till villkorlig dom eller skyddstillsyn. Kriminalvårdsstyrelsen har i anslutning härtill utfärdat frivårdsföreskrifter (KVVFS 1986:7) och föreskrifter om samhällstjänst (1998:79).
I brottsbalken finns regler om bl.a. strafftidsberäkning och villkorlig frigivning som också har betydelse för kriminalvårdens verksamhet. Bestämmelserna kompletteras av lagen (1974:202) och förordningen (1974:286) om beräkning av strafftid m.m. I detta sammanhang bör också nämnas de av Kriminalvårdsstyrelsen utfärdade verkställighetsföreskrifterna (KVVFS 1998:10).
Det kan också nämnas att det finns lagstiftning om verkställighet av utländska domar som föranleder vissa ad-ministrativa åtgärder inom kriminalvården.
| Ds 2000:50 | 13 |
3.3Akthantering och journalföring
Med stöd av förordningarna om kriminalvård i anstalt och behandlingen av häktade och anhållna samt frivårdsförordningen har Kriminalvårdsstyrelsen utfärdat föreskrifter om akthantering och journalföring (KVVFS 1995:3). Enligt dessa föreskrifter skall det finnas en personakt för varje person som står under övervakning, är intagen i kriminalvårdsanstalt eller är häktad.
Personakten skall bestå av behandlingsjournal och domsakt. Den skall förvaras hos den myndighet som ansvarar för klienten. När personakten under pågående kriminalvård skickas till en annan myndighet inom kriminalvården skall endast de handlingar som är aktuella för den mottagande myndigheten följa med. Beslut och viktiga händelser under verkställighetstiden skall dokumenteras i behandlingsjournalen.
Varje uppgift som förs in i en behandlingsjournal skall enligt föreskrifterna utformas så att klientens integritet respekteras. En anteckning som har gjorts i journalen får inte tas bort; vid rättelse skall den gamla, felaktiga anteckningen fortfarande vara läslig. En anteckning skall vara daterad och det skall framgå vem som har gjort den.
Alla beslut som fattas eller åtgärder som vidtas angående klienten med stöd av lag eller annan författning skall antecknas i behandlingsjournalen. Av anteckningen skall framgå bl.a. beslutets innehåll, skäl för beslutet, de villkor som kan vara förenade med beslutet och vem som fattat beslutet. Om det införs en uppgift som är så känslig att det kan finnas anledning att sekretessbelägga den även gentemot klienten, skall en särskild notering göras i journalen.
I föreskrifterna om akthantering och journalföring finns särskilt reglerat vad som gäller vid en myndighet, som använder kriminalvårdens klientadministrativa ADB-register (KLAS). Av dessa bestämmelser framgår bl.a. att delar av daganteckningarna i behandlingsjournalen inte förs i registret utan antecknas manuellt.
| 14 | Ds 2000:50 |
4Nuvarande register inom kriminalvården
4.1Allmänt
Inom Kriminalvårdsverket finns ett antal olika databaserade personregister som avser klientadministration. Vissa register förs centralt av Kriminalvårdstyrelsen med stöd av förordningen (1970:517) om rättsväsendets informationssystem (RI-förord- ningen). Andra register förs av de olika myndigheterna efter tillstånd av Datainspektionen.
4.2Centrala register
De centrala klientadministrativa registren som används inom kriminalvården förs med stöd av i RI-förordningen. Enligt den förordningen skall det finnas ett delsystem för handlingar med uppgifter över personer som har dömts till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst, ålagts förvandlingsstraff för böter eller på grund av utländsk brottmålsdom skall verkställa en påföljd i Sverige (2 § 3). Systemet skall användas för att förse myndigheterna inom rättsväsendet med de uppgifter de behöver om kriminalvårdens verksamhet. RI- förordningen innehåller inga närmare bestämmelser om vilka uppgifter systemet skall innehålla.
| Ds 2000:50 | 15 |
4.2.1Det s.k. kumulativregistret (KUM)
Sedan år 1972 förs av Kriminalvårdsstyrelsen det s.k. kumulativregistret (KUM). Uppgifter om domar läses in från magnetband som skickas från Rikspolisstyrelsen fem gånger per vecka. Övriga indata utgörs i huvudsak av uppgifter från häkten, anstalter och frivård. För närvarande omfattar registret cirka 92 000 personer som inom en femårsperiod är eller har varit föremål för någon kriminalvårdspåföljd. Uppgifterna registreras i kronologisk ordning. KUM är inte tillgängligt via terminal men man kan få utskrifter från registret. Som huvudregel gallras uppgifterna fem år efter att den senaste påföljden har upphört. Samtliga uppgifter om en person sparas till ett gallringstillfälle. Detta innebär att om en ny påföljd registreras inom femårsfristen sparas de äldre uppgifterna till dess fem år förflutit från den senaste registreringen. Särskilda gallringsregler gäller vid dödsfall, påföljdspreskription och ändring i högre instans (jfr 30 § RI-förordningen). Efter gallringen registreras vissa uppgifter i ett av-ställningsregister varefter personakten arkiveras.
4.2.2Sökregistret (SÖK)
Sökregistret (SÖK) är terminalsystemet för KUM. Registret har en egen databas och innehåller de senaste uppgifterna i KUM. Det går inte att registrera uppgifter i registret utan det gör endast vissa uppgifter i KUM tillgängliga via terminal. Uppgifterna gallras fem år efter det att kriminalvården upphört under förutsättning att ingen ny kriminalvård påbörjats sedan den föregående upphört. När kriminalvården upphört visas endast den registrerades namn och personnummer, typ av tidigare kriminalvård med datum för dess upphörande samt uppgift om vid vilken myndighet den upphört. Sökmöjligheterna i SÖK är obegränsade, dvs. man kan använda vilka sökbegrepp som helst. De vanligaste sökbegreppen är namn och personnummer (helt eller del av).
| 16 | Ds 2000:50 |
4.2.3Övervakarregistret (ÖR)
Övervakarregistret (ÖR) har som huvudfunktion att vara ett arvoderingssystem för kriminalvårdens övervakare. De uppgifter som lagras i registret är i huvudsak persondata om övervakarna såsom personnummer, namn och adress. Även vissa uppgifter som gäller klienterna lagras i registret. Det är här fråga om uppgifter om typ av påföljd, frivårdsmyndighet, prövo- och övervakningstid. Uppgifterna om övervakare och klienter tillförs KUM och SÖK vid varje uppdateringstillfälle.
4.3Register i KLAS-systemet
Under början av 1990-talet startade arbetet med att bygga upp lokala klientadministrativa system, det s.k. KLAS-projektet. Systemen används också för att följa upp verksamheten på lokal, regional och central nivå. De register som ingår i systemet förs med stöd av Datainspektionens tillstånd.
4.3.1Häktesregistret (KLAS-HÄK)
Datainspektionen gav den 3 september 1993 tillstånd till att inrätta och föra personregistren "Klientregister (KLAS-HÄK)". Registret utgör underlag för klientadministration, verksamhetsplanering samt statistikframställning. Registret får innehålla uppgifter om den som är intagen i häkte. Förutom uppgifter som namn, adress, personnummer och medborgarskap registreras uppgifter om bl.a. domstols beslut, anledning till intagning och restriktioner. Registret får även innehålla uppgifter om tjänstemän med anknytning till den intagne såsom offentlig försvarare och förhörsledare. Anhörig till
| Ds 2000:50 | 17 |
den intagne får registreras med namn, adress och telefonnummer. Beträffande besökare i häktet får även personnummer registreras.
Registeransvaret ligger hos den myndighet som för registret. Uppgifterna i registret skall gallras mellan två och tre månader efter att den intagne lämnat häktet. Vad gäller informations-skyldighet har föreskrivits att den registeransvarige på lämpligt sätt skall underrätta inskrivna, anhöriga och besökare om förekomsten av registret. Beträffande ADB-säkerhet har Datainspektionen gett föreskrifter om bl.a. åtkomstskydd, behörighetskontroll och loggning.
4.3.2Anstaltsregistret (KLAS-KVA)
Datainspektionen gav den 17 december 1993 tillstånd till personregistret "KLAS-KVA". Ändamålet med registret är att det skall utgöra underlag för klientadministration, verksamhetsplanering samt framställning av statistik.
Registret får innehålla uppgifter om den intagne såsom personnummer, nationalitet, yrke och utbildning. Vidare registreras uppgifter om bl.a. påföljd, permissioner, misskötsamhet, sysselsättning och transporter. Andra personer som registreras är olika tjänstemän som har anknytning till den intagne. Vidare får anhöriga registreras med uppgifter om namn, adress och relation till den intagne. Vad gäller besökare får dessutom personnummer registreras.
Den myndighet som för registret är registeransvarig. Uppgifterna i registret skall gallras mellan två och tre månader efter utskrivning. Datainspektionen har beträffande informationsskyldighet föreskrivit att den registeransvarige skall, i den mån sekretesslagen (1980:100) medger det, på lämpligt sätt underrätta såväl intagna som övriga registrerade om vem som för registret, registrets ändamål och innehåll samt den registrerades rätt enligt 10 § datalagen att få utdrag ur registret. Vad gäller ADB-säkerhet har inspektionen gett likalydande föreskrifter som gäller för häktesregistret.
Det kan anmärkas att regeringen efter överklagande av Kriminalvårdsstyrelsen har beslutat att tillåta registrering av uppgifter om
| 18 | Ds 2000:50 |
narkotikaklass, som är en kodbeteckning baserad på den samlade bedömningen av den intagnes drogmissbruk, och missbrukskontroll. Vidare innebar regeringens beslut att informationsskyldigheten inte omfattar den som registrerats på grund av sin tjänsteutövning.
4.3.3Register för platsplanering m.m.
Datainspektionen gav den 31 mars 1995 tillstånd till två personregister; "KLAS-Platsplanering" och "KLAS centrala bokningsregister". Det förstnämnda förs av respektive registeransvarig myndighet medan det centrala bokningsregistret förs gemensamt för myndigheterna.
Platsplaneringsregistret skall vara ett hjälpmedel för anstaltsplacering av fängelsedömda personer samt underlätta verksamhetsuppföljning och framställning av statistik som inte avslöjar enskilda personers identitet. Det centrala bokningsregistret skall ge information om tillgängliga platser som motsvarar en klients s.k. profil.
Platsplaneringssystemet innehåller uppgifter om personer som har dömts till fängelse och registreringen sker då klienten skall placeras på anstalt. Registret får innehålla uppgifter om bl.a. personnummer, huvudbrott och strafftid. Vidare får också olika s.k. skyddsfaktorer såsom våldsbenägenhet och droghantering i anstalt, narkotikamissbruk, rymning och organiserad brottslighet registreras. På grundval av dessa uppgifter görs bedömningen av var den dömde bör placeras, dvs. vilken säkerhetsklass anstalten bör ha. Även uppgifter om behov av t.ex. alkohol-, narkotika- eller våldsprogram, s.k. behovsfaktorer, får registreras. Genom dessa uppgifter tillsammans kan en s.k. klientprofil bestämmas. Det bör också nämnas att det finns möjlighet att registrera ytterligare uppgifter om dessa bedöms vara av väsentlig betydelse för placeringen. Som exempel på sådana uppgifter har angetts handikapp, etnisk tillhörighet och medlemskap i MC-klubb. Förutom personer som har dömts till fängelse registreras endast
| Ds 2000:50 | 19 |
begränsade uppgifter om kontaktperson inom kriminalvården och den person som har upprättat klientprofilen.
Det centrala bokningsregistret innehåller uppgifter om anstalter och noteringar om bokade platser med uppgifter om den dömde såsom namn, personnummer och verkställighetstider. Den person inom kriminalvården som har gjort bokningen registreras också med namn och anstaltstillhörighet. Registeransvarig är respektive myndighet för de uppgifter som lagras i respektive delsystem. Beträffande gallring i platsplaneringsregistret gäller i den del av det lokala systemet som förs hos regionmyndigheten att uppgifterna gallras senast tre månader efter inskrivning i anstalt. I anstalts- och häktessystemen gallras uppgifterna senast tre månader efter utskrivning samtidigt som övriga uppgifter i KLAS-systemet gallras. I det centrala bokningsregistret kan ingå flera bokningsuppgifter som relateras till samma person men till olika myndigheter. Högst tre månader efter utskrivning från anstalt eller häkte avidentifieras de bokningsuppgifter som inte längre är aktuella. När den registrerade slutligen fullgjort verkställigheten avidentifieras även den senaste bokningsuppgiften enligt samma gallringsprincip. Datainspektionen har beträffande informationsskyldigheten föreskrivit att den registrerade på lämpligt sätt skall informeras om registret vad avser registeransva-ret, registrets ändamål och innehåll samt rätten för den registrera-de att enligt 10 § datalagen få utdrag ur registret. Vad gäller ADB-säkerhet gäller likalydande föreskrifter som för häktes- och anstaltsregistren.
4.3.4Förelägganderegistret (KLAS-FÖR)
KLAS-FÖR ersatte 1998 det förelägganderegister som funnits sedan 1981. Registret fungerar som ett hjälpmedel för att Kriminalvårdsstyrelsen skall kunna fullgöra sin skyldighet att bevaka att personer som dömts till frihetsberövande påföljd verkställer sina straff. De uppgifter som registeras ur dom eller beslut är bl.a. personnummer, namn, påföljd, förverkande av villkorligt medgiven frihet och reseförbud. Vidare registreras föreläggande, uppskov, överklagande, nåd och uppgifter om för-
| 20 | Ds 2000:50 |
passning. Registret fungerar som ett bevakningssystem och används även för att framställa förelägganden och förpassningar.
Kriminalvårdsstyrelsen delar registeransvaret med lokal kriminalvårdsmyndighet.
4.4Vissa övriga register
4.4.1Frivårdens register (FRAS)
Den 8 mars 1994 gav Datainspektionen tillstånd till personregistret "Klientregister för frivården". Registrets ändamål är att utgöra underlag för administration av mellanhavande med klienter, verksamhetsplanering, framtagande av prognoser och bevakning av händelser vid verkställighet av frivårdspåföljd. Ändamålet med registret är vidare att framställa statistik och att underlätta myndighetens skyldighet enligt RI-förordningen att lämna uppgifter till Kriminalvårdsstyrelsen.
Registret får innehålla uppgifter om den dömde såsom personnummer, medborgarskap och socialdistriktstillhörighet. Vidare får registret innehålla uppgifter om den övervakningsgrundande domen liksom vissa uppräknade uppgifter om ärendet. Begränsade uppgifter om övervakare, handläggare och arbetsgivare får också registreras. Registeransvaret har den myndighet som för registret. Gallring av klient- och verkställighetsuppgifter sker ett år efter prövotidens utgång.
Datainspektionen har i sina föreskrifter angett att den registeransvarige på lämpligt sätt skall informera den registrerade om förekomsten av registret. ADB-säkerhetsföreskrifterna är desamma som för de registren som redovisats i avsnitt 4.3.
| Ds 2000:50 | 21 |
4.4.2Register avseende intensivövervakning
Datainspektionen gav under år 1994 tillstånd till personregistren "ELOV-system för elektronisk övervakning". Ett register får användas för den kontroll som avses i lagen (1994:451) om intensivövervakning med elektronisk kontroll och för utvärdering av verksamheten.
Ändamålet med registret är även att utgöra underlag för kriminalvårdens administration av intensivövervakning enligt lagen och för uppföljning av intensivövervakning som påföljdstyp. Dessutom får registret utgöra ett hjälpmedel för att kontrollera att den dömde avhåller sig från alkohol. Registret får innehålla bl.a. följande om den dömde; uppgifter om personnummer, bostadssituation, misskötsamhet, typ och frekvens av missbruk, alkoholkoncentration samt vissa doms- och verkställighetsuppgifter. Andra personer som registreras är personal inom kriminalvården, övervakare och kontaktperson hos arbetsgivare; det är dock i dessa fall endast frågan om vissa begränsade uppgifter.
Den myndighet som för registret är registeransvarig. Datainspektionen har vad gäller den registeransvariges informationsskyldighet föreskrivit att de registrerade på lämpligt sätt skall underrättas om vem som för registret, registrets ändamål och innehåll samt den registrerades rätt enligt 10 § datalagen att få utdrag ur registret. Inspektionens föreskrifter om ADB-säkerhet stämmer överens med vad som redovisats ovan under avsnitt 4.3.
4.4.3Kriminalvårdsnämndens register
Datainspektionen gav den 7 augusti 1990 tillstånd att inrätta och föra personregistret "Ärendebevakning vid Kriminalvårdsnämnden". Ändamålet för registret är att utgöra underlag för Kriminalvårdsnämndens ärendebevakning och statistikrutiner avseende intagna som dömts till fängelse i lägst två år. Registret får innehålla uppgifter om bl.a. personnummer, strafftid, brottstyp och beslut.
| 22 | Ds 2000:50 |
Registeransvarig för registret är Kriminalvårdsstyrelsen. Uppgifterna i registret gallras tre månader efter att ärendet avskrivits vid nämnden. Beträffande informationsskyldigheten har inspektionen föreskrivit att den registeransvarige skall på lämpligt sätt informera de registrerade om registrets innehåll och ändamål. Vad gäller ADB-säkerhet har Datainspektionen föreskrivit bl.a. att det skall finnas ett tekniskt system för behörighetskontroll och att behandlingshistorik skall bevaras i minst två år och kontrolleras stickprovsvis.
4.5Den framtida utvecklingen
Systemen för klientadministration inom kriminalvården är fortfarande inne i en uppbyggnadsfas. Slutmålet är att utveckla ett komplett klientinformationssystem för kriminalvården med system som kan kommunicera med varandra. Det pågår vidare en försöksverksamhet med att pröva olika databaserade klientanalyssystem (t.ex. ASI och MAPS) vid ett antal kriminalvårdsmyndigheter i landet. Syftet är att skapa ett system som kan ge underlag för planering av verkställigheten utifrån en gemensam struktur och underlätta formuleringen av individuella mål. Genom ett sådant system blir det också möjligt att följa upp klientens förändringar i olika avseenden under verkställighetstiden.
| Ds 2000:50 | 23 |
5Behandling av personuppgifter inom kriminalvården
5.1En författningsreglering behövs
Förslag: Kriminalvårdens rätt att behandla uppgifter automatiserat och i manuella register författningsregleras.
Skälen för förslaget: Kriminalvården behöver även i fortsättningen föra register av de slag som för närvarande görs. Ett modernt IT-stöd är helt nödvändigt för att kriminalvården skall kunna leva upp till de krav som ställs på en rättssäker och effektiv verksamhet.
Personuppgiftslagens (1998:204) bestämmelser innebär i och för sig att kriminalvården kan behandla uppgifter helt eller delvis automatiserat, om det är nödvändigt för att uppgifter av ett allmänt intresse skall kunna utföras eller för att arbetsuppgifter i samband med myndighetsutövning skall kunna utövas. Det innebär att kriminalvården även utan särskilt lagstöd skulle kunna föra register av det slag som föreslogs i departementspromemorian Lag om kriminalvårdsregister.
De senaste årens målsättning har dock varit att myndighetsregister med ett stort antal registrerade personer och ett särskilt känsligt innehåll skall lagregleras (prop. 1990/91:60 s. 50, bet. 1990/91:Ku11 s.11). I förarbetena till personuppgiftslagen uttalas att det inte finns någon anledning att avvika från denna målsättning (prop. 1997/98:44 s. 41). Redan mot bakgrund av nämnda
| 24 | Ds 2000:50 |
förarbetsuttalanden finns det anledning att ifrågasätta om de register som förs inom kriminalvården inte är av sådan karaktär att de bör lagregleras.
Riksrevisionsverket, som på regeringens uppdrag har granskat kriminalvårdens resursutnyttjande, har funnit att det på lokal nivå finns en osäkerhet om vad som enligt gällande rätt får registreras. Verket konstaterar att oklara regler om vad som får registreras gör att potentiellt värdefull information för bl.a. uppföljning aldrig registreras (Informationsförsörjning och IT-användning inom kriminalvården, RRV 1999:19). Även detta talar för en författningsreglering av kriminalvårdens rätt att behandla uppgifter automatiserat.
De senaste årens utveckling mot tyngre och organiserad brottslighet innebär att det finns behov av att bygga upp speciella informationssystem över intagna som utgör särskilda risker i t.ex. hot eller våldshänseende. I det sammanhanget finns det särskild anledning att överväga om det finns behov av någon i förhållande till personuppgiftslagen avvikande reglering, t.ex. när det gäller att behandla känsliga uppgifter.
Med hänsyn till vad som nu anförts finns det anledning att särskilt författningsreglera kriminalvårdens rätt att behandla personuppgifter automatiserat. De remissinstanser som yttrat sig över förslaget i departementspromemorian Lag om kriminalvårdsregister (Ds 1996:19) har också varit positiva till en författningsreglering av rätten att föra kriminalvårdsregister. Eftersom departementspromemorians förslag bygger på en annan utgångspunkt i fråga om när datoriserad behandling av personuppgifter är tillåten finns det anledning att på nytt överväga hur en författningsreglering skall utformas.
I personuppgiftslagen förekommer inte längre begreppet dataregister. I förarbetena till lagen konstateras att registerbegreppet med fog kritiserats för att vara otidsenligt eftersom det på grund av den tekniska utvecklingen blivit allt svårare att fastställa vad som är ett register i förhållande till ett annat och det dessutom har vuxit fram allt flexiblare och kraftfullare metoder för att med hjälp av datorer söka och hantera uppgifter som inte finns i någon
| Ds 2000:50 | 25 |
registerstruktur (prop. 1997/98:44 s.39). Personuppgiftslagen omfattar därför all automatiserad behandling av personuppgifter. Dessutom omfattar den manuella register. Den reglering som nu föreslås bör ha samma tillämpningsområde.
5.2Författningsteknisk lösning
Förslag: En ny lag om behandling av personuppgifter inom kriminalvården införs. Den nya lagen skall bygga på personuppgiftslagen och innehålla de särbestämmelser som är nödvändiga för kriminalvården. Lagen skall ge ramarna för när behandling av personuppgifter är tillåten och skall kompletteras av författningar på lägre nivå.
Skälen för förslaget: Det är ofrånkomligt att behandling av personuppgifter kan innebära ett intrång i den enskildes personliga integritet. Detta gäller särskilt om uppgifterna behandlas automatiserat. Personuppgiftslagen (1998:204) syftar till att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen innehåller vissa grundläggande krav på när behandling av personuppgifter är tillåten. Den ställer även vissa krav på den som behandlar sådana uppgifter. I lagen finns det vidare bestämmelser om information till den registrerade, om säkerheten vid behandlingen samt om rättelse av felaktiga uppgifter och skadestånd.
Personuppgiftslagen bör gälla även för behandling av personuppgifter inom kriminalvården. Den reglering som nu föreslås bör därför endast innehålla de särbestämmelser som behövs för kriminalvården. Ramarna för när behandling av uppgifter är tillåten bör framgå av lag. En lagreglering bör dock inte vara allt för detaljerad utan endast innehålla de ur integritetssynpunkt viktigaste bestämmelserna. Lagen bör därför kompletteras av mer detaljerade författningar på lägre nivå.
Det finns inte någon lag som täcker hela kriminalvårdens verksamhet. Det kan därför övervägas om regleringen av
| 26 | Ds 2000:50 |
behandlingen av personuppgifter skall tas in i de olika författningarna som styr de olika verksamheterna inom kriminalvården eller om regleringen bör göras i en särskild författning. Riksrevisionsverket har vid sin granskning av kriminalvården funnit att det förekommer onödigt arbete genom att uppgifter dubbelregistreras vid klienternas övergång från ett verksamhetsställe till ett annat (Informationsförsörjning och IT- användning inom kriminalvården, RRV 1999:19, s.23 och 40). Detta talar för en sammanhållen reglering. Lagtekniskt är det inte heller helt lätt att placera in bestämmelser om behandling av personuppgifter på ett bra sätt i de befintliga lagarna. En ny lag om behandling av personuppgifter inom kriminalvården bör därför införas.
5.3Ändamålet med behandlingen
Förslag: Personuppgifter får behandlas om det behövs för att
1.en myndighet inom kriminalvården skall kunna fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning,
2.underlätta tillgången till sådana uppgifter om verkställighet av straff som rättsväsendets myndigheter behöver, eller
3.upprätthålla säkerheten och förebygga brott under den tid som verkställigheten pågår.
De uppgifter som behandlas enligt 1–3 får också behandlas för
tillsyn, planering, uppföljning och kvalitetssäkring.
Skälen för förslaget: En utgångspunkt för personuppgiftslagen (1998:204) är att behandlingen av personuppgifter skall ske för ett visst ändamål. Den personuppgiftsansvarige skall bl.a. se till att uppgifter bara samlas in för uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in samt att de uppgifter som behandlas är adekvata och relevanta i förhållande till ändamålet med behandlingen (9 §). Beskrivningen i lagen av det ändamål för
| Ds 2000:50 | 27 |
vilket uppgifterna får behandlas kommer alltså att utgöra ramen för vilka uppgifter som får behandlas och hur de får användas. Det är därför viktigt att ändamålet noga preciseras. Det ligger samtidigt i sakens natur att en ändamålsbestämmelse inte kan bli allt för preciserad.
Behandling för att kriminalvården skall kunna fullgöra sina uppgifter
De informationssystem som finns eller är under utveckling inom kriminalvården skall utgöra ett stöd för kriminalvårdens verksamhet. En myndighet inom kriminalvården måste därför få behandla de uppgifter som behövs för att den skall kunna fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning.
Behandling för att underlätta tillgången till sådana uppgifter som behövs inom rättsväsendet
Kriminalvårdsstyrelsen ansvarar för närvarande enligt förordningen (1970:517) om rättsväsendets informationssystem (RI- förordningen) för vissa centrala register som innehåller sådana uppgifter som behövs hos rättsväsendets myndigheter (se 2 §). Regleringen i RI-förordningen har till en stor del ersatts av ny lagstiftning, dels den nya lagstiftningen om polisens register, dvs. främst lagen (1998:620) och förordningen (1999:1134) om belastningsregister och lagen (1998:621) och förordningen (1999:1135) om misstankeregister, dels förordningarna om register över strafföreläggande resp. föreläggande av ordningsbot. Avsikten är att RI-förordningen på sikt skall upphävas. Kriminalvårdsstyrelsen behöver dock även i fortsättningen kunna föra centrala register över sådana uppgifter om verkställigheten som behövs inom rättsväsendet. Av lagens ändamålsbestämmelse bör det därför framgå att kriminalvården får behandla uppgifter för att
| 28 | Ds 2000:50 |
underlätta tillgången till de uppgifter om verkställighet av straff som rättsväsendets myndigheter behöver.
Behandling för att upprätthålla säkerheten och förebygga brott
De senaste årens utveckling mot tyngre och organiserad brottslighet innebär att det finns behov av att bygga upp speciella informationssystem över intagna som utgör särskilda risker i t.ex. hot eller våldshänseende.
I rapporten för översyn av Risk-, skydds, och säkerhetsarbete vid kriminalvårdsanstalterna Hall, Kumla och Tidaholm (RSS- rapporten, utgiven av kriminalvården) konstateras att den samlade informationen om de intagna avseende hot- och våldsrisker är undermålig och ibland närmast obefintlig. Det är naturligtvis inte tillfredställande.
Framväxten av olika typer av kriminella gäng, t.ex. med anknytning till olika motorcykelklubbar eller med sympatier för nazistiska, eller därmed besläktade ideologier, förutsätter ett väl fungerande samarbete mellan kriminalvård och polis. Ett sådant samarbete förutsätter väl utarbetade rutiner för dokumentation om de intagna. För att förhindra att brott begås eller planeras under verkställigheten och för att skydda såväl intagna och personal som samhället i stort är det nödvändigt att kriminalvården använder befintlig teknik för att samla, bearbeta och analysera all tillgänglig information om de intagna som kan anses utgöra en säkerhetsrisk. Den kunskap som ett sådant system ger om de intagna kan t.ex. användas för att styra valet av anstalt eller avdelning. Informationen kan också användas vid fastställande av de särskilda villkor som skall gälla för de långtidsdömda liksom vid beviljandet av permissioner och andra utevistelser.
Av lagen bör därför framgå att uppgifter får behandlas om det behövs för att upprätthålla säkerheten och förebygga brott under den tid verkställigheten pågår.
Att förebygga brott är också en uppgift för polisen. Den kunskap om de intagna som ett särskilt informationssystem inom kriminalvården innebär bör därför självfallet även komma polisen
| Ds 2000:50 | 29 |
till godo. Uppgifterna kan få stor betydelse för polisen, särskilt i kriminalunderrättelseverksamheten. Polisen bör därför ges tillgång till de uppgifter som behandlas för detta ändamål.
Behandling för tillsyn m.m.
Tillsyn, uppföljning och utvärdering av vidtagna åtgärder är en självklar förutsättning för att verksamhetens kvalitet skall förbättras. En viktig uppgift för kriminalvården är att förhindra återfall i brott. För att kriminalvården skall kunna analysera vilka åtgärder som bäst bidrar till att den intagne inte återfaller i brott efter frigivningen krävs det att det utvecklas metoder för att följa upp och utvärdera återfallsfrekvensen.
Redan av personuppgiftslagen följer visserligen att uppgifter som samlats in för ett bestämt ändamål även får användas för historiska, statistiska eller vetenskapliga ändamål (9 § andra stycket). För att undvika eventuella tveksamheter om vad som omfattas av statistiska eller vetenskapliga ändamål bör det i den föreslagna lagens ändamålsbestämmelse särskilt anges att de uppgifter som behandlas för något av de ändamål som tidigare angetts också får användas för tillsyn, planering, uppföljning och kvalitetssäkring av verksamheten.
| 30 | Ds 2000:50 |
5.4Vilka personuppgifter får behandlas?
5.4.1Ändamålet avgör vilka uppgifter som får behandlas
Förslag: Alla uppgifter som är nödvändiga för det ändamål för vilket behandlingen utförs får behandlas.
Regeringen, eller den myndighet regeringen bestämmer, får meddela föreskrifter som begränsar såväl de ändamål för vilka behandling är tillåten som vilka uppgifter som får behandlas för ett visst ändamål.
Skälen för förslaget: Personuppgiftslagens krav på behandling av uppgifter bör gälla även inom kriminalvården. Det innebär att beskrivningen i lagen av det ändamål för vilket uppgifterna får behandlas kommer att utgöra ramen för vilka uppgifter som får behandlas och hur de får användas.
De uppgifter som behandlas av kriminalvården är mycket integritetskänsliga eftersom det rör sig om uppgifter om begångna brott, ådömda och verkställda påföljder, missbruk, händelser under verkställighetstiden etc. Det är därför viktigt att understryka att det framförallt är uppgifter om häktade eller dömda personer som behandlas. En person som blir föremål för denna typ av samhällsingripande får tåla att mycket känsliga personuppgifter som normalt inte förekommer i personregister får behandlas inom ramen för verkställigheten och att behandlingen får avse alla uppgifter som behövs för att kriminalvården skall kunna bedriva en effektiv och rättssäker verksamhet och upprätthålla de säkerhetskrav som är motiverade.
Av personuppgiftslagen följer att inte fler uppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (9 § f). I de fall en behandling av personuppgifterna
| Ds 2000:50 | 31 |
avser andra personer än de som är föremål för tvångsbehandling, t.ex. advokater, besökare och anhöriga, bör de uppgifter som behandlas därför begränsas så mycket det är möjligt inom ramen för ändamålet med behandlingen av uppgifterna. Det är däremot självklart att det i en personundersökning eller utredning inför en behandlingsplan måste få förekomma relativt omfattande uppgifter om närstående etc. för att syftet med behandlingen inte skall gå förlorat. Utgångspunkten måste vara att alla uppgifter som är nödvändiga för det ändamål för vilket behandlingen utförs får behandlas. Det innebär naturligtvis inte att varje uppgift hos kriminalvården skall få behandlas automatiserat och vara sökbar av vem som helst. Personuppgiftslagens krav på att den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de uppgifter som behandlas är avsedda att förebygga ett missbruk (jfr 31 § personuppgiftslagen).
Riksrevisionsverket har vid sin granskning av kriminalvården konstaterat att det inom kriminalvården finns olika uppfattningar om vad som får registreras t.ex. när det gäller journalanteckningar (jfr rapporten Informationsförsörjning och IT-användning inom kriminalvården, RRV 1999:19). Det visar att det kan behövas detaljerade bestämmelser om vilka uppgifter som får behandlas. Det kan också finnas ett behov att av integritetsskäl begränsa rätten att behandla uppgifter för ett visst ändamål. Det gäller särskilt i fråga om uppgifter om personer som inte själva är misstänkta för brott. Det är inte praktiskt möjligt att i lag närmare reglera vilka uppgifter som får behandlas. Regeringen, eller den myndighet regeringen föreskriver, bör därför bemyndigas att begränsa såväl de ändamål för vilka behandlingen är tillåten som de uppgifter som får behandlas för ett bestämt ändamål.
| 32 | Ds 2000:50 |
5.4.2Känsliga uppgifter
Förslag: Känsliga uppgifter får behandlas om det är oundgängligen nödvändigt för syftet med behandlingen.
Skälen för förslaget: Enligt 13 § personuppgiftslagen är det i princip förbjudet att behandla vissa känsliga personuppgifter, nämligen sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.
Från förbudet finns några undantag. Känsliga uppgifter får t.ex. under vissa förutsättningar behandlas för hälso- och sjukvårdsändamål.
Med hänsyn till den dömde, andra intagna och kriminalvårdens personal är det helt nödvändigt att kriminalvården vid placeringen av den dömde får behandla alla uppgifter av betydelse för säkerheten. Det kan därför vara nödvändigt att behandla känsliga uppgifter, t.ex. om etnisk tillhörighet, sexuell läggning och medlemskap i vissa extrema organisationer. Redan för närvarande är det för övrigt tillåtet att under vissa förutsättningar registrera sådana uppgifter i de platsplaneringsregister som förs med Datainspektionens tillstånd.
Flera händelser under senare år visar att det inte råder någon tvekan om att högerextremister har utvecklat sina kontaktnät på fängelserna. Kriminalvården måste därför utveckla sin förmåga att motverka att fängelsetiden används till att bygga upp nätverk med nazistiska förtecken. Den information kriminalvården har om de intagna måste användas för att kartlägga de intagna och förhindra att de förbereder brott. Intagna med nazistiska sympatier eller med anknytning till de s.k. mc-klubbarna måste spridas på olika anstalter eller avdelningar och hållas åtskilda från varandra. För att förhindra att brott begås eller planeras under verkställigheten och för att skydda såväl intagna och personal som samhället i stort
| Ds 2000:50 | 33 |
måste kriminalvården få använda befintlig teknik för att samla, bearbeta och analysera information om de intagna som kan anses utgöra en säkerhetsrisk. I det sammanhanget kan det också vara helt nödvändigt att behandla uppgifter om nazistiska sympatier eller medlemskap i extrema organisationer.
Det sagda innebär att kriminalvården har ett behov av att behandla sådana uppgifter som i personuppgiftslagen benämns känsliga personuppgifter. Sådana uppgifter bör därför få behandlas men bara om det är oundgängligen nödvändigt för syftet med behandlingen.
5.5Personuppgiftsansvar
Förslag: Den myndighet som utför behandlingen skall vara personuppgiftsansvarig. Kriminalvårdsstyrelsen skall dock vara personuppgiftsansvarig för behandling av personuppgifter som sker gemensamt för myndigheterna inom kriminalvården.
Skälen för förslaget: Enligt 3 § personuppgiftslagen är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter personuppgiftsansvarig.
Det är naturligt att den myndighet som utför behandlingen av personuppgifter ansvarar för att behandlingen sker i enlighet med vad som är föreskrivet. Den myndighet som behandlar uppgifterna bör därför också vara personuppgiftsansvarig. Mot bakgrund av att de ändamål för vilket behandling får ske är lagreglerade och regeringen, eller den myndighet regeringen föreskriver, dessutom kan meddela föreskrifter som inskränker ändamålen, kan det förefalla tveksamt om den myndighet som utför behandlingen kan anses ha ett sådant inflytande över ändamålen med behandlingen att myndigheten blir att anse som personuppgiftsansvarig (jfr. Lagrådets yttrande över förslaget till lag om hälsodataregister, prop. 1997/98:108 s. 125). För att undanröja all osäkerhet på denna
| 34 | Ds 2000:50 |
punkt bör det av lagen framgå att den myndighet som utför behandlingen är personuppgiftsansvarig. I departementspromemorian Lag om kriminalvårdsregister (Ds 1996:19) föreslogs ett delat registeransvar för register som fördes gemensamt för myndigheterna inom verket. Varje myndighet skulle ansvara för sin del av behandlingen. För den enskilde är det emellertid en klar fördel att ha en myndighet att vända sig till. För behandlingar som sker i gemensamma register för hela kriminalvården bör därför Kriminalvårdsstyrelsen vara personuppgiftsansvarig.
5.6Sambearbetning
Förslag: Personuppgifter som behandlas automatiserat för olika ändamål enligt den föreslagna lagen får sambearbetas.
Skälen för förslagen: Personuppgiftslagen innehåller inte något förbud mot sambearbetning av uppgifter. Däremot får en uppgift inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (9 § d). Ändamålsbestämmelsen anger alltså inte bara ramen för vilka uppgifter som får behandlas utan också när sambearbetning av uppgifterna får ske. Om kriminalvården uttryckligen angav att alla uppgifter samlades in för de ändamål som anges i lagen skulle sambearbetning av uppgifterna alltså vara tillåten.
Personuppgiftslagens bestämmelser innebär att den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de uppgifter som behandlas (31 §). Det innebär att kriminalvården även i fortsättningen bör begränsa ändamålen med behandlingen t.ex. genom att föra olika register för olika ändamål. För att kriminalvården skall kunna bedriva en rättssäker och effektiv verksamhet förutsätter dock detta att sambearbetning av uppgifterna får ske. I lagen bör därför anges att uppgifter som behandlas automatiserat för olika ändamål får
| Ds 2000:50 | 35 |
sambearbetas. Det innebär att den tillåtna sambearbetningen kommer att begränsas av lagens ändamålsbestämmelse.
5.7Direktåtkomst
Förslag: Direktåtkomsten till de uppgifter som behandlas skall vara förbehållen de personer som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.
Skälen för förslaget: Enligt personuppgiftslagen skall den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de uppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av uppgifterna och hur pass känsliga de behandlade personuppgifterna är. En skyddsåtgärd kan vara att begränsa tillgången till de uppgifter som behandlas. Personuppgiftslagen innehåller däremot inga särskilda bestämmelser om direktåtkomst.
Ur integritetssynpunkt är det angeläget att åtkomsten till de uppgifter som behandlas inte är vidare än nödvändigt. Endast de personer som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna bör därför ha direktåtkomst till dem. Detta bör särskilt framgå av den föreslagna lagen.
5.8Utlämnande av uppgifter
Förslag: Regeringen får meddela närmare föreskrifter om i vilken utsträckning uppgifter som behandlas enligt lagen skall lämnas ut till andra myndigheter.
Skälen för förslaget: Ett ändamål för att behandla uppgifter skall enligt den föreslagna lagen vara att underlätta tillgången till sådana uppgifter om verkställigheten av straff som behövs hos
| 36 | Ds 2000:50 |
rättsväsendets myndigheter. I gällande författningar finns det bestämmelser som ålägger myndigheterna inom kriminalvården att lämna uppgifter till andra myndigheter. Kriminalvården skall enligt förordningen (1999:1135) om belastningsregistret lämna vissa uppgifter till belastningsregistret. I förordningen (1970:517) om rättsväsendets informationssystem finns vidare bestämmelser om att vissa uppgifter ur de register som förs av Kriminalvårdsstyrelsen enligt RI-förordningen skall lämnas ut till Totalförsvarets pliktverk, Riksförsäkringsverket och polismyndighet (26 §). Det föreskrivs vidare att uppgifter skall lämnas ut till rättsstatistiken (28 §) samt på framställning av en domstol, Riksåklagaren, en åklagarmyndighet, Justitiekanslern, Justitieombudsmannen, Rikspolisstyrelsen, en polismyndighet, Datainspektionen, en myndighet inom Kriminalvårdsverket eller en myndighet som äger besluta om frihetsberövande åtgärd enligt lagarna om utlämning för brott eller utlänningslagen (1989:529). Det anges vidare att Regeringskansliet, Rikspolisstyrelsen, polismyndigheter och myndigheter inom Kriminalvårdsverket får ha direktåtkomst till ett sådant register (29 §). Sådana bestämmelser om utlämnande av uppgifter behövs även i fortsättningen.
Av avsnitt 5.3 har det vidare framgått att polisen bör ha tillgång till sådana uppgifter som behandlas för att upprätthålla säkerheten och förebygga brott. De uppgifterna kan få stor betydelse för polisens kriminalunderrättelseverksamhet och det bör därför vara möjligt att ge de personer som arbetar i kriminalunderrättelseverksamheten direktåtkomst till uppgifterna.
Bestämmelser om utlämnande av uppgifter är inte av den karaktären att de bör ha lagform. För fullständighetens skull bör det dock av den föreslagna lagen framgå att regeringen lämnar närmare föreskrifter om i vilken utsträckning uppgifter som behandlas skall lämnas ut till andra myndigheter.
| Ds 2000:50 | 37 |
5.9Gallring
Förslag: Uppgifter som behandlas i register skall gallras senast fem år efter det att den registrerade påföljden helt har verkställts eller upphört. Sådana uppgifter som behövs för uppföljning och kvalitetssäkring av verksamheten får dock behandlas under ytterligare fem år.
Regeringen, eller den myndighet regeringen föreskriver, får föreskriva att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Skälen för förslaget: Av personuppgiftslagen följer att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (9 § i). Lagen innehåller däremot inte några bestämmelser om att uppgifterna måste gallras efter viss tid. Personuppgiftslagen hindrar inte heller att en myndighet bevarar uppgifter för historiska, statistiska eller vetenskapliga ändamål.
Personuppgiftslagens bestämmelse att uppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen bör gälla också för kriminalvården. Det bör dessutom införas en särskild gallringsbestämmelse för uppgifter som behandlas i register.
För närvarande gallras uppgifterna i det centrala kriminalårdsregistret (KUM) som huvudregel fem år efter den senaste påföljdens upphörande (30 § RI-förordningen). Denna tid har varit densamma sedan i början av 1970-talet och har fungerat tillfredställande. Huvudregeln bör därför även i fortsättningen vara att registrerade uppgifter om en person skall gallras senast fem år efter det att den senaste påföljden om honom eller henne helt har verkställts eller upphört.
Under senare år har intresset för att utvärdera kriminalvårdens verksamhet ökat. Statsmakterna ställer allt högre krav på att
| 38 | Ds 2000:50 |
verksamheten skall kunna utvärderas i syfte att höja kvaliteten. Med hänsyn härtill är det av värde att sådana uppgifter som behövs för uppföljning och kvalitetssäkring av verksamheten får bevaras under längre tid än vad de hittills fått göra. De uppgifter som behövs för uppföljning och kvalitetssäkring av verksamheten bör därför få behandlas under ytterligare fem år. Det innebär att gallringstiden för dessa uppgifter blir tio år efter det att den senaste registrerade påföljden helt har verkställts eller upphört. Detta motsvarar också vad som enligt lagen (1998:620) om belastningsregister gäller för uppgifter om fängelsedömda i belastningsregistret.
I den föreslagna lagen anges den tid då uppgifter senast skall gallras. Vissa uppgifter bör kunna gallras betydligt tidigare. Regeringen, eller den myndighet regeringen föreskriver, bör därför kunna meddela föreskrifter om kortare gallringstider för särskilt känsliga uppgifter eller specifika register. Regeringen, eller den myndighet regeringen bestämmer, bör dessutom kunna föreskriva att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
| Ds 2000:50 | 39 |
5.10Information
Bedömning: Personuppgiftslagens bestämmelser om information bör gälla även för kriminalvården. Några särskilda bestämmelser behövs inte i den föreslagna lagen.
Skälen för bedömningen: Peronuppgiftslagen innehåller särskilda bestämmelser om den personuppgiftsansvariges skyldighet att lämna information till den registrerade (23–27 §§). Om uppgifter samlas in från personen själv skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna. Om uppgifterna samlats in från någon annan än den registrerade själv skall den personuppgiftsansvarige i regel också självmant lämna den registrerade information om uppgifterna när de registreras. Informationen skall omfatta uppgifter om den personuppgiftsansvariges identitet, uppgifter om ändamålet med behandlingen och övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldigheten att lämna uppgifter och rätten att ansöka om information och få rättelse.
Informationsskyldigheten är förenad med flera undantag t.ex. om det gäller sekretess eller tystnadsplikt för en uppgift. Information behöver inte heller lämnas om det visar sig omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Det finns ingen anledning att reglera informationsskyldigheten inom kriminalvården på annat sätt. I departementspromemorian Lag om kriminalvårdsregister (Ds 1996:19) föreslogs visserligen att information inte skulle behöva lämnas om en registrering sker enbart på grund av en persons tjänsteutövning. Något sådant undantag har inte gjorts vare sig i den lagstiftning som reglerar polisens rätt att behandla personuppgifter (prop. 1997/98:97) eller i
| 40 | Ds 2000:50 |
lagstiftningen om hälsodata och vårdregister (prop. 1997/98:108). Med hänsyn härtill bör det inte göras något sådant undantag som förelogs i departementspromemorian. I sammanhanget bör också framhållas att det inte är reglerat hur informationen skall lämnas. Informationsskyldigheten bör därför kunna ske genom anslag i besökslokalen, genom en broschyr, muntligen eller på annat lämpligt sätt. Det innebär att det inte bör bli särskilt betungande för kriminalvården att informera de personer som kommer att registreras på grund av sin tjänsteutövning.
5.11Säkerhet och tillsyn
Bedömning: Några särskilda bestämmelser om säkerheten vid behandling behövs inte.
Skälen för bedömningen: De uppgifter som behandlas inom kriminalvården är känsliga ur integritetssynpunkt. Det är därför viktigt att säkerhetsfrågorna får en tillfredställande lösning innan en behandling inleds.
Personuppgiftslagen innehåller särskilda bestämmelser om säkerhet vid behandling av personuppgifter (31 §). Av dessa följer att den personuppgiftsansvarige är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av uppgifterna och hur pass känsliga de behandlade personuppgifterna är.
För att garantera att personuppgiftslagens bestämmelser efterlevs finns det en tillsynsmyndighet som getts vissa befogenheter (43–47 §§). Tillsynsmyndigheten får utfärda närmare föreskrifter om vilka krav som skall ställas på den personuppgiftsansvarige. Tillsynsmyndigheten får vidare meddela beslut om skyddsåtgärder i enskilda fall. Till tillsynsmyndighet har regeringen utsett Datainspektionen.
| Ds 2000:50 | 41 |
Personuppgiftslagens bestämmelser om säkerheten vid behandlingen av personuppgifter och om tillsynsmyndighetens befogenheter bör gälla även för kriminalvården. Några särskilda bestämmelser behövs inte i den föreslagna lagen.
I departementspromemorian Lag om kriminalvårdsregister (Ds 1996:19) föreslogs en bestämmelse om att uppgifter endast skulle få användas som sökbegrepp om de var nödvändiga för kriminalvårdens verksamhet eller om det behövdes för att vidta rättelse i ett register. Begränsningar i sökmöjligheterna är ett sätt att vidta tekniska åtgärder för att skydda uppgifterna. Det bör därför i första hand vara den personuppgiftsansvarige som avgör vilka begränsningar i sökmöjligheterna som bör införas. Datainspektionen har, som nämnts, också möjlighet att meddela föreskrifter eller beslut i enskilda fall om vilka säkerhetsåtgärder som skall vidtas. Någon särskild bestämmelse som begränsar vilka sökbegrepp som får användas behövs därför inte.
5.12Rättelse och skadestånd
Förslag: Personuppgiftslagens bestämmelser om rättelse av felaktiga uppgifter och om skadestånd skall gälla för behandling av uppgifter inom kriminalvården. En hänvisning till personuppgiftslagens regler om rättelse och skadestånd görs.
Skälen för förslaget: Den personuppgiftsansvarige är enligt personuppgiftslagen (1998:204) skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen (28 §). Sker rättelse skall de tredje män till vilka uppgifter lämnats ut underrättas om rättelsen.
Av personuppgiftslagen följer vidare att den personuppgiftsansvarige skall ersätta den registrerade för den skada och den kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen orsakat (48 §).
| 42 | Ds 2000:50 |
Personuppgiftslagens bestämmelser om rättelse och skadestånd bör även gälla vid behandling av personuppgifter inom kriminalvården. Såsom bestämmelserna i personuppgiftslagen är utformade måste en hänvisning till personuppgiftslagen dock göras.
5.13Sekretessfrågor
Bedömning: Någon ändring i sekretesslagen behöver inte göras.
Skälen för bedömningen: De personuppgifter som behandlas inom kriminalvården omfattas i regel av någon bestämmelse om sekretess enligt sekretesslagen (1980:100). Sekretessen inom kriminalvårdens område innebär att en uppgift om enskilds personliga förhållanden inte får lämnas ut eller på annat sätt röjas om det kan antas att den enskilde eller någon närstående till honom eller henne lider men om uppgiften röjs (7 kap. 21 § sekretesslagen). Sekretessen gäller också om det kan befaras att någon annan än den uppgiften rör eller dennes närstående utsätts för våld eller annat allvarligt men om uppgiften röjs. Risken för skada är alltså inte enbart knuten till den enskilde eller hans eller hennes närstående utan gäller också andra personer, t.ex. andra intagna, vårdare eller andra personer vilkas personliga säkerhet skulle kunna sättas i fara om uppgiften lämnades ut. Vissa beslut inom kriminalvården är undantagna från sekretess.
Sekretessen hindrar inte att uppgift lämnas ut till en myndighet om uppgiftsskyldighet är bestämd i lag eller förordning (14 kap. 1 § sekretesslagen). Exempel på en sådan uppgiftsskyldighet finns i förordningen (1999:1134) om belastningsregister och förordningen (1970:517) om rättsväsendets informationssystem. Vidare får enligt den s.k. generalklausulen i 14 kap. 3 § sekretesslagen en uppgift lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse sekretessen skall skydda.
Det finns vidare en särskild bestämmelse som reglerar uppgifter som behandlas enligt personuppgiftslagen. Enligt den bestämmelsen
| Ds 2000:50 | 43 |
(7 kap. 16 § sekretesslagen) gäller sekretess för personuppgift om det kan antas att ett utlämnande skulle medföra att uppgifterna behandlas i strid med personuppgiftslagen.
Sekretess för en uppgift som behandlas inom kriminalvården kan också gälla enligt andra bestämmelse i sekretesslagen. Om kriminalvården t.ex. får en uppgift som hänför sig till polisens verksamhet för att förebygga, uppdaga, utreda eller beivra brott gäller den s.k. förundersökningssekretessen enligt 5 kap. 1 § sekretesslagen.
De personuppgifter som kommer att behandlas inom kriminalvården med stöd av den nya lagen omfattas alltså, med hänsyn till såväl integritetssom säkerhetsaspekter, redan av ett tillräckligt sekretesskydd. Någon ändring i sekretesslagen behöver därför inte göras.
5.14Kostnader och ikraftträdande
Den föreslagna regleringen kommer att ersätta de tillstånd från Datainspektion på vilka delar av den nuvarande registerföringen vilar. Författningsförslaget kommer vidare att ersätta den reglering som för närvarande görs i förordningen (1970:517) om rättsväsendets informationssystem. I första hand är det alltså frågan om att reglera sådana register som redan nu förs inom kriminalvården. Det medför inga kostnader.
Avgränsningen av de ändamål för vilka uppgifter får behandlas innebär dock att det blir möjligt att effektivisera verksamheten genom att utöka den automatiserade behandlingen och ersätta vissa rutiner som för närvarande utförs manuellt. På sikt bör kriminalvården med den nya lagstiftningen kunna bygga upp ett datasystem som effektiviserar verksamheten avsevärt, t.ex. genom att vissa uppgifter om en person endast behöver registreras en gång och inte, som för närvarande, i varje register. Genom att det blir lättare att samla in, bearbeta och analysera den information som behövs för att upprätthålla säkerheten eller utvärdera verksamheten
| 44 | Ds 2000:50 |
kan också vissa effektivitetsvinster göras. Regleringen ligger dessutom helt i linje med den pågående och planerade IT- utvecklingen inom kriminalvården. Lagförslaget kan därför inte anses medföra några nya kostnader.
Den lag som förslås bör lämpligen träda i kraft den 1 oktober 2001 när övergångsbestämmelserna till personuppgiftslagen upphör att gälla.
| Ds 2000:50 | 45 |
6 Författningskommentar
1 §
Paragrafen reglerar lagens tillämpningsområde. Lagen skall tillämpas i den egentliga kriminalvårdsverksamheten, dvs. i den verksamhet som rör klienterna. Kriminalvårdens interna administration faller således utanför tillämpningsområdet. Den föreslagna lagen omfattar, precis som personuppgiftslagen (1998:204), dels all automatiserad behandling av personuppgifter, dels behandling av personuppgifter i manuella register.
Åttonde punkten tar sikte på personer som är intagna i häkte eller anstalt på annan grund än att de är häktade, dömda till fängelse eller ålagda förvandlingsstraff för böter. Det kan t.ex. gälla personer som förvaras i häkte för att de är anhållna, omhändertagna enligt utlänningslagen (1989:529), lagen (1990:52) om vård av unga, lagen (1988:870) om vård av missbrukare, lagen (1976:511) om berusade personer m.m. eller personer som är intagna i anstalt för att de tagits i förvar enligt utlänningslagen, personer som är dömda till sluten psykiatrisk vård men ännu inte överlämnats etc.
2 §
Paragrafen innehåller en erinran om att personuppgiftslagen (1998:204), gäller om inte annat är föreskrivet. Detta följer i och för sig redan av personuppgiftslagen. Bestämmelsen är således inte nödvändig för att reglera förhållandet mellan den föreslagna lagen och personuppgiftslagen. Bestämmelsen har ändå ett värde ur pedagogisk synpunkt.
| 46 | Ds 2000:50 |
3 §
Paragrafen, som motiveras i avsnitt 5.3, beskriver de ändamål för vilka en myndighet inom kriminalvården får behandla personuppgifter.
För det första skall uppgifter få behandlas om det behövs för att en myndighet skall kunna fullgöra sina uppgifter i enlighet vad som föreskrivs i lag eller förordning. Bestämmelsen innebär att de författningar som reglerar kriminalvården blir avgörande för när uppgifter får behandlas. En kortfattad redogörelse för kriminalvårdens uppgifter finns i avsnitt 3. Uppgifter skall vidare få behandlas för att tillgodose rättsväsendets myndigheter behov av information om verkställighet av straff samt för att upprätthålla säkerheten och förebygga brott under den tid som verkställigheten pågår.
Av andra stycket framgår att de uppgifter som behandlas för något av de ändamål lagen anger också får användas för tillsyn, planering, uppföljning och kvalitetssäkring av verksamheten.
Lagen innehåller inga särskilda bestämmelser om vilka uppgifter som får behandlas för ett visst ändamål. De angivna ändamålen utgör ramen för vilka uppgifter som får behandlas. Av 11 § framgår att regeringen, eller den myndighet regeringen bestämmer, får meddela föreskrifter som begränsar såväl ändamålen som de uppgifter som får behandlas för ett visst ändamål.
Med en myndighet inom kriminalvården avses Kriminalvårdsstyrelsen, de lokala kriminalvårdsmyndigheterna, Kriminalvårdens Transporttjänst, Kriminalvårdsnämnden och övervakningsnämnderna (jfr 1 § förordningen [1990:1018] med instruktion för Kriminalvårdsverket).
4 §
I paragrafen regleras vem som skall vara personuppgiftsansvarig. Detta utvecklas närmare i avsnitt 5.5. Innebörden av ansvaret framgår av personuppgiftslagen. (1998:204). Den personuppgiftsansvarige ansvarar bl.a. för att de grundläggande kraven för när uppgifter får behandlas är uppfyllda, att information lämnas till den registrerade, att rättelse av felaktiga uppgifter sker och att lämpliga säkerhetsåtgärder vidtas.
| Ds 2000:50 | 47 |
5 §
Paragrafen, som behandlas i avsnitt 5.4.2, innebär ett undantag från det i personuppgiftslagen intagna förbudet mot att behandla vissa känsliga personuppgifter. Med känsliga uppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Sådana uppgifter skall få behandlas men bara om det är oundgängligen nödvändigt för syftet med behandlingen.
6 §
Paragrafen innehåller en bestämmelse om att sambearbetning av uppgifter som behandlas för olika ändamål är tillåten. Skälen härför utvecklas i avsnitt 5.6.
7 §
Genom paragrafen begränsas direktåtkomsten till de uppgifter som behandlas. Endast den som på grund av sitt arbete behöver tillgång till uppgifterna får ha direktåtkomst till uppgifter som behandlas automatiserat. Det innebär att den personuppgiftsansvarige måste göra en bedömning av vilka personuppgifter respektive befattningshavare behöver ha tillgång till för att kunna utföra sitt arbete.
8 §
Personuppgiftslagen (1998:204) innehåller inga uttryckliga bestämmelser om gallring. I paragrafen, som motiveras i avsnitt 5.9, har tagits in en bestämmelse om att uppgifter om en person som behandlas i ett register skall gallras senast fem år efter det att den senaste registrerade påföljden helt har verkställts eller upphört. Sådana uppgifter som behövs för uppföljning och kvalitetssäkring av verksamheten får dock behandlas under ytterligare fem år.
Att registerbegreppet annars inte används i den föreslagna lagen utesluter inte att det som faktiskt är ett traditionellt register också kallas för det. Lagen anger den längsta tid under vilken uppgifter om en person får behandlas i ett register. Det innebär inte att alla
| 48 | Ds 2000:50 |
uppgifter i traditionella register får bevaras under så lång tid. Med hänsyn till vikten av att integritetskänsliga uppgifter inte bevaras längre än nödvändigt innehåller 11 § ett bemyndigande till regeringen, eller den myndighet regeringen föreskriver, att meddela närmare föreskrifter om gallring.
9 §
Paragrafen behandlar rättelse och skadestånd och hänvisar till personuppgiftslagens bestämmelser. Bestämmelser om rättelse finns i 28 § personuppgiftslagen (1998:204) och bestämmelser om skadestånd i 48 §. Bestämmelsen motiveras i avsnitt 5.12.
10 §
Paragrafen, som behandlats i avsnitt 5.8, innehåller en erinran om att föreskrifter om i vilken utsträckning uppgifter som behandlas enligt den föreslagna lagen skall lämnas ut till andra myndigheter meddelas av regeringen.
11 §
Paragrafen innehåller ett bemyndigande till regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter. Med stöd av bemyndigandet kan regeringen, eller den myndighet regeringen föreskriver, begränsa såväl de ändamål för vilka behandling är tillåten som de uppgifter som får behandlas för ett visst ändamål. Detta har närmare motiverats i avsnitt 5.4.
Regeringen, eller den myndighet regeringen föreskriver, får också meddela närmare föreskrifter om gallring och om att uppgifter som behandlas får bevaras för historiska, statistiska eller vetenskapliga ändamål.