EU:s förordning om terrorisminnehåll på internet - kompletteringar och ändringar i svensk rätt
Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.
IMY lämnar följande synpunkter.
Förhållandet till dataskyddslagstiftningen (9.4.4)
Frågan om tillämplig dataskyddslagstiftning i ett TCO-ärende bör analyseras och motiveras ytterligare
Vid bedömningen av om viss personuppgiftsbehandling faller under brottsdatalagens (2018:1177) eller dataskyddsförordningens (1) tillämpningsområde har det avgörande betydelse om den som behandlar personuppgiften är en behörig myndighet och i vilket syfte uppgiften behandlas. Polismyndigheten är en behörig myndighet enligt brottsdatalagen. Frågan är alltså i vilket syfte uppgifter i TCO-ärenden behandlas.
Utredningen utgår från att Polismyndighetens handläggning av ärenden enligt TCO-förordningen och kompletteringslagen inte är en del av Polismyndighetens brottsbekämpande verksamhet och att TCO-ärenden kommer att hanteras som administrativa ärenden inom myndigheten (s. 126). Utredningen bedömer att brottsdatalagen inte är tillämplig i ett TCO-ärende och anför att även om effekterna av TCO-förordningen kan bli positiva för det brottsförebyggande och brottsbeivrande arbetet sker personuppgiftsbehandling i ett TCO-ärende ”främst i andra syften”. Enligt utredningen är de generella bestämmelserna i dataskyddsförordningen och dataskyddslagen därför tillämpliga (s. 143–144).
Syftet med personuppgiftsbehandlingen i ett TCO-ärende har enligt IMY ett nära samband med brottsbekämpande verksamhet då syftet med TCO-förordningen och de åtgärder mot spridning av terrorisminnehåll online som regleras i den är att motverka spridning av illegalt innehåll på internet och därigenom öka säkerheten i unionen. Vidare kan uppgifter från Säkerhetspolisens brottsbekämpande verksamhet komma att föras över till och behandlas i TCO-ärendena. Utredningen har som ovan nämnts kommit fram till att dataskyddsförordningen ska vara tillämplig på behandlingen av personuppgifter i TCO-ärendena. Det kan vara en riktig slutsats men utan att presentera vilka konkreta argument som ligger till grund för ställningstagandet är det svårt att ta ställning till om utredningens slutsats är korrekt. IMY efterlyser därför en utförligare analys av gränsdragningen mellan dataskyddsförordningen och brottsdatalagen.
IMY har ställt frågan om tillämplig dataskyddsreglering till dataskyddsmyndigheter i andra EU-länder och av de svar som inkommit kan antas att man kan komma att göra olika ställningstaganden EU-länderna emellan. Även detta är skäl till att frågan behöver analyseras och motiveras noggrant i det fortsatta lagstiftningsarbetet.
Behov av kompletterande dataskyddsregler bör övervägas
Enligt förslaget ska Säkerhetspolisen lämna den behöriga myndigheten de uppgifter som den behöver för att fullgöra sitt uppdrag enligt TCO-förordningen (12 § kompletteringslagen). Säkerhetspolisen har uppgett till utredningen att de uppgifter som kan vara aktuella att utbyta inom ramen för samverkan främst bör vara hänförliga till Säkerhetspolisens underrättelseverksamhet (s. 140).
Personuppgiftsbehandling inom Säkerhetspolisens underrättelseverksamhet inom ramen för kontraterrorism kan innebära behandling av känsliga personuppgifter om etnicitet, politiska åsikter och religiös övertygelse samt andra integritetskänsliga uppgifter kopplade till en persons samband med misstänkt brottslig verksamhet. I Säkerhetspolisens verksamhet regleras personuppgiftbehandlingen av lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter. I lagen finns exempelvis särskilda bestämmelser om längsta tid för behandling, särskilda upplysningar samt tillgång till uppgifterna. IMY anser att det fortsatta arbetet behöver kompletteras med en analys av om det finns behov av särskilda bestämmelser till skydd för de personer vars personuppgifter kan komma att behandlas i TCO-ärenden, exempelvis bestämmelser om längsta tid för behandling och tillgången till uppgifter.
Fotnot
(1) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Detta yttrande har beslutats av enhetschefen Charlotte Waller Dahlberg efter föredragning av juristen Elisabeth Hedborg. Även juristen Jonas Agnvall har deltagit i handläggningen.
Charlotte Waller Dahlberg, 2022-08-22 (Det här är en elektronisk signatur)