meny

Brottsdatalagen

Personuppgifter inom brottsbekämpning styrs av särskilda lagar

Dataskyddsförordningen gäller inte för alla sektorer i samhället. Vissa myndigheter har som uppgift att bekämpa brott, och för sådan personuppgiftsbehandling kommer det att finnas en särskild lag, brottsdatalagen. Dessutom kommer det att finnas speciallagar för olika brottsbekämpande myndigheter, precis som i dag.

Brottsdatalagen kommer troligen att börja gälla tidigast i augusti 2018, och de nya speciallagarna för de olika myndigheterna troligen först efter årsskiftet. Den här texten utgår från lagförslagen, som alltså ännu inte är formellt beslutade.

Vilka myndigheter berörs av brottsdatalagen?

Brottsdatalagen gäller för personuppgiftsbehandling i brottsbekämpande verksamhet hos myndigheter som Polismyndigheten, Tullverket, Skatteverket, Kustbevakningen och Åklagarmyndigheten. Med brottsbekämpande verksamhet menas allt arbete som sker för att förebygga, förhindra, utreda, avslöja eller lagföra brott.

Brottsdatalagen gäller även i verksamhet som sker för att verkställa straffrättsliga påföljder. Sådan verksamhet bedrivs till exempel av

  • Kriminalvården, om någon döms till fängelse
  • Kronofogdemyndigheten, om någon döms till böter
  • Kommunernas socialnämnder, om ungdomar döms till vård inom socialtjänsten
  • Sjukhus, om någon döms till psykiatrisk tvångsvård

Brottsdatalagen gäller till sist också för Polismyndigheten och Kustbevakningen i deras arbete med att upprätthålla allmän ordning och säkerhet.

Säkerhetspolisen är en brottsbekämpande myndighet men den kommer inte att omfattas av brottsdatalagen utan kommer att följa en egen speciallag.

Brottsdatalagen gäller bara för brottsbekämpning

Många brottsbekämpande myndigheter har även andra uppgifter, till exempel gränskontroll eller tullkontroll, som inte direkt innebär brottsbekämpning. För personuppgiftsbehandling i sådan verksamhet kommer brottsdatalagen inte att gälla. Då gäller i stället dataskyddsförordningen.

Brottsdatalagen och dataskyddsförordningen utgår från gemensamma principer

Både dataskyddsförordningen och brottsdatalagen utgår från samma principer, till exempel att man bara får behandla uppgifter som behövs för särskilda, uttryckligt angivna och berättigade ändamål. Man får inte heller lagra fler personuppgifter än man behöver för sin verksamhet.

Precis som alla andra som vill behandla personuppgifter måste också brottsbekämpande myndigheter ha stöd i lagen. Det ska alltså finnas en lag eller förordning eller ett särskilt beslut från regeringen som slår fast att myndigheten ska arbeta med brottsbekämpning.

Myndigheterna ska också utse dataskyddsombud, samråda med Datainspektionen om hur de samlar in och använder personuppgifter och rapportera vissa personuppgiftsincidenter till Datainspektionen. Och precis som alla andra verksamheter kan brottsbekämpande myndigheter tvingas att betala sanktionsavgifter om inte reglerna följs.

Läs mer om personuppgiftsincidenter

Vilka uppgifter får brottsbekämpande myndigheter behandla?

Enligt brottsdatalagen får myndigheterna bara behandla de personuppgifter som behövs för att de ska kunna utföra sina arbetsuppgifter inom brottsbekämpningen, för att verkställa en straffrättslig påföljd eller för att upprätthålla allmän ordning och säkerhet. Myndigheterna ska också särskilt tydligt skilja på vilka registrerade som är misstänkta eller dömda för brott, och vilka som är registrerade av andra skäl, till exempel för att de är vittnen eller anhöriga.

Dessutom ska myndigheterna

  • kontrollera att personuppgifterna är korrekta och uppdaterade
  • rätta till eventuella felaktigheter
  • radera uppgifterna när de inte längre behövs
  • säkerställa att bara behöriga har tillgång till personuppgifterna
  • säkerställa att personuppgifterna hanteras på ett säkert sätt ur ett it-säkerhetsperspektiv.

Datainspektionen granskar även brottsbekämpande myndigheter

Datainspektionen kommer att granska personuppgiftsbehandling hos brottsbekämpande myndigheter på samma sätt som vi gör hos andra organisationer. Vi kommer också att verka för att informationsutbytet mellan brottsbekämpande myndigheter fungerar, handlägga klagomål från de registrerade, göra kontroller av om behandlingen är laglig och besluta om sanktioner om myndigheterna bryter mot lagen.

Mina rättigheter som registrerad – registerutdrag och laglighetskontroll

Du har rätt att få veta om det finns uppgifter om dig hos en brottsbekämpande myndighet. Du ska då vända dig till den brottsbekämpande myndighet, till exempel. polismyndigheten. Men tänk på att vissa uppgifter är skyddade av sekretess, till exempel uppgifter som rör säkerhet och underrättelsearbete, och dessa får myndigheten inte lämna ut.

Om du begär ett så kallat registerutdrag ska du själv kontakta myndigheten och begära att de lämnar ut de personuppgifter som de behandlar om dig. Om uppgifterna om dig inte stämmer, ska myndigheten rätta dem. Det kan till exempel gälla att myndigheten har fel adress till dig, fel namn eller liknande. Om du inte är nöjd med vad myndigheten gör kan du vända dig till Datainspektionen med ett klagomål.

Du kan också begära en så kallad laglighetskontroll. Då måste du först ha fått besked om att du inte kan få någon information av exempelvis polisen. Därefter kan du vända dig till Datainspektionen med en begäran om kontroll. Du måste ange vad det är du vill att vi ska kontrollera, exempelvis ett visst register. Vid kontrollen granskar Datainspektionen om den brottsbekämpande myndigheten behandlar dina personuppgifter enligt lag. När det är klart meddelar vi dig att kontrollen är utförd men normalt får du på grund av sekretess inte veta om det finns information om dig i registren.

Du kommer att kunna begära en laglighetskontroll genom att fylla i en blankett som kommer att finnas här på Datainspektionens webbplats.