Är id-kontrollerna i Öresundsregionen OK enligt personuppgiftslagen?

Fråga

I samband med de nyligen införda id-kontrollerna i Öresundsregionen har inhyrda vaktbolag tagit bilder med mobilkamera på de id-handlingar som de kontrollerar. Anledningen är att transportören ska kunna bevisa att de utfört kontrollerna. Får de göra det enligt den svenska personuppgiftslagen?

Svar

Det är i första hand dansk lagstiftning som gäller i det aktuella fallet, eftersom kontrollerna och den aktuella personuppgiftsbehandlingen genomförs i Danmark och det företag som genomför behandlingen inte är etablerat i Sverige.

Den svenska och danska personuppgiftslagen bygger på samma EU-direktiv, även om bestämmelserna i länderna skiljer sig åt i vissa delar. Det är alltid den personuppgiftsansvarige som ansvarar för att personuppgifter behandlas på ett lagligt och säkert sätt. Om transportören i detta fall anlitar ett bevakningsföretag för att genomföra själva kontrollerna är det fortfarande transportören som ansvarar för behandlingen av personuppgifterna.

Man kan även fråga det företag som kontrollerar id-handlingen hur det har resonerat kring sitt rättsliga stöd för kontrollen och hur säkerheten för kopian på den inskannande/fotograferade/registrerade id-handlingen kommer att säkerställas.

Bakgrund

ID-kontrollerna i Öresundsregionen utförs med anledning av lag 2015:1073 om särskilda åtgärder vid allvarlig fara för den allmänna ordningen eller den inre säkerheten i landet och förordningen 2015:1074 om vissa identitetskontroller vid allvarlig fara för den allmänna ordningen eller den inre säkerheten i landet. I författningarna krävs inte att någon registrering/fotografering görs i samband med kontroller som tranportörer är skyldiga att göra i samband med buss- eller tågtransport. Av 4 § i förordningen framgår dock att Polismyndigheten ska kontrollera att transportören har fullgjort sin skyldighet när det gäller id-kontrollerna. Transportören riskerar enligt 5-6 §§ samma förordning en sanktionsavgift om 50 000 kr om denne vid kontroll inte kan visa att den har fullgjort sina skyldigheter.

Vad gäller de kontroller som görs i Danmark är det i första hand dansk lagstiftning som gäller, eftersom kontrollerna och den aktuella personuppgiftsbehandlingen genomförs i Danmark och då det företag (DSB) som genomför behandlingen inte tycks vara etablerat i Sverige. Utgångspunkten är därför att personuppgiftsbehandlingen som utförs i den aktuella situationen inte berörs av svenska bestämmelser och Datainspektionen utövar således inte tillsyn över behandlingen.

Tillbaka till Frågor och svar