Personuppgifter som rör lagöverträdelser
Personuppgifter om lagöverträdelser är uppgifter om att någon har
- begått ett brott
- blivit fälld eller friad i domstol i ett brottmål
- blivit föremål för så kallade straffprocessuella tvångsmedel, till exempel häktning, reseförbud eller beslag, eller
- misstänkts för ett konkret brott.
Rättsligt ställningstagande IMYRS 2021:1 (pdf, 895 kB)
Som huvudregel får bara myndigheter behandla personuppgifter om lagöverträdelser
Om ni är en myndighet får ni behandla personuppgifter om lagöverträdelser om det är nödvändigt för ert uppdrag som myndighet och det finns en rättslig grund för att behandla uppgifterna. Det förutsätter förstås också att behandlingen följer övriga dataskyddsregler som är tillämpliga i er verksamhet. Nedan följer en redogörelse för när andra än myndigheter enligt nationell rätt kan få behandla uppgifter om lagöverträdelser.
Undantag för rättsliga anspråk och rättsliga förpliktelser
Uppgifter om lagöverträdelser får behandlas av andra än myndigheter om behandlingen är nödvändig för att
- rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, eller
- en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
Försäkringsbedrägeri
ExempelEtt försäkringsbolag som utreder en konkret misstanke om försäkringsbedrägeri för att kunna göra rättsliga anspråk i domstol.
Penningtvätt
ExempelEn bank som misstänker att en kund ägnar sig åt penningtvätt har skyldigheter enligt penningtvättslagen att utreda och anmäla penningtvätt.
Exempel på undantag i andra situationer
Uppgifter om lagöverträdelser får också behandlas om det finns en reglering som tillvaratar de registrerades rättigheter och friheter genom att lämpliga skyddsåtgärder har fastställts. Ett exempel är att behandling av personuppgifter om lagöverträdelser kan godkännas i samband med etikprövning enligt etikprövningslagen.
IMY får besluta om generella undantag från huvudregeln
Vi får meddela ytterligare föreskrifter om att andra än myndigheter får behandla personuppgifter om lagöverträdelser.
IMY har i en föreskrift om behandling av personuppgifter som rör lagöverträdelser (IMYFS 2024:1) medgett undantag i sex givna situationer. Undantagen omfattar vissa specifika behandlingar inom socialtjänsten, utbildningsorgans vårdande verksamhet, advokatverksamhet samt för visselblåsarfunktioner för personer i nyckelpositioner eller ledande ställning. Undantagen omfattar även vissa specifika behandlingar inom finansiell sektor samt av vissa företag som exporterar krigsmateriel eller produkter med så kallade dubbla användningsområden.
Föreskrifter om behandling av personuppgifter som rör lagöverträdelser (IMYFS 2024:1) (pdf, 3 MB)
IMY har tagit fram en kompletterande vägledning för att underlätta tillämpningen för de företag som omfattas av föreskrifterna.
IMY får besluta om undantag från huvudregeln i enskilda fall
Vi får också i enskilda fall besluta om att andra än myndigheter får behandla uppgifter om lagöverträdelser. Ett sådant beslut kan fattas efter ansökan från en personuppgiftsansvarig som fastställt ett behov av att behandla uppgifter om lagöverträdelser i sin verksamhet.
Hur ansöker vi om att få behandla uppgifter om lagöverträdelser?
Om ni i er organisation bedömer att ni behöver behandla uppgifter om lagöverträdelser ska ni ansöka om ett enskilt undantag, förutsatt att något av de andra undantagen ovan inte är tillämpliga.
Nedan följer förslag på vilken information som kan bifogas i er ansökan till oss:
- En beskrivning av den planerade behandlingen och hur den följer dataskyddsförordningens principer för behandling av personuppgifter.
- Vem/vilka som ska behandla uppgifterna samt om det finns ett delat personuppgiftsansvar.
- Ändamålen med behandlingen.
- De rättsliga grunderna för de behandlingar som ni planerar för de olika ändamålen (varje ändamål måste vara kopplat till en rättslig grund).
- Resonemanget till varför varje rättslig grund är tillämplig.
Behöver vi alltid göra en konsekvensbedömning innan vi inkommer med en ansökan?
Nej, för att inkomma med en ansökan är det inte obligatoriskt att ha genomfört en konsekvensbedömning. Däremot kan ni behöva genomföra en konsekvensbedömning efter att ni fått ett tillstånd från Integritetsskyddsmyndigheten och innan ni påbörjar behandlingen om en sådan skyldighet följer av artikel 35.
IMY:s beslut i enskilda fall kan också förenas med andra villkor såsom tidsbegränsningar, återkallelseförbehåll samt krav på återrapportering.
Samtycke är inte tillåtet
Det är inte tillåtet att behandla uppgifter om lagöverträdelser med stöd av ett samtycke från den registrerade.