SFS 2019:1235 Förordning om Säkerhetspolisens behandling av personuppgifter

SFS2019-1235.pdf

Källa Regeringskansliets rättsdatabaser m.fl.

<div><style type="text/css">        </style> <div id="page1-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 1 Svensk f�rfattningssamling F�rordning om S�kerhetspolisens behandling av personuppgifter Utf�rdad den 5 december 2019 Regeringen f�reskriver f�ljande. 1 kap. Allm�nna best�mmelser 1 � I denna f�rordning finns kompletterande f�reskrifter om s�dan be- handling av personuppgifter som omfattas av lagen (2019:1182) om S�ker- hetspolisens behandling av personuppgifter. 2 � Uttryck som anv�nds i denna f�rordning har samma inneb�rd och till�mpningsomr�de som i lagen (2019:1182) om S�kerhetspolisens be- handling av personuppgifter. 2 kap. Behandling av personuppgifter 1 � Om det visar sig att s�dana personuppgifter som anges i 2 kap. 13 � eller 14 � f�rsta stycket lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter har l�mnats ut, ska mottagaren omedelbart underr�ttas om det. Om s�dana personuppgifter har gjorts tillg�ngliga ska, s� l�ngt det �r m�jligt, �ven den som har tagit del av personuppgifterna omedelbart underr�ttas. 2 � Av information enligt 3 kap. 7 � andra stycket lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter ska omfattningen av direkt�tkomsten framg�. 3 � S�kerhetspolisen f�r st�lla villkor i fr�ga om beh�righet och s�kerhet f�r att myndigheten ska medge direkt�tkomst enligt 3 kap. 57 �� lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter. Direkt�tkomst f�r inte medges innan S�kerhetspolisen har f�rs�krat sig om att den mottagande myndigheten uppfyller kraven p� beh�righet och s�kerhet. 3 kap. L�ngsta tid som personuppgifter f�r behandlas Rutiner f�r att s�kerst�lla tidsfristerna 1 � S�kerhetspolisen ska se till att det finns rutiner f�r att s�kerst�lla att de som behandlar personuppgifter respekterar tidsfristerna f�r n�r personupp- gifter inte l�ngre f�r behandlas. SFS 2019:1235 Publicerad den 10 december 2019 </div> <div id="page2-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 2 SFS Digital arkivering 2 � N�r uppgifter och handlingar arkiveras digitalt ska de avskiljas s� att de inte kan behandlas f�r att utf�ra en uppgift som anges i 2 kap. 1 � lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter. �t- komsten till arkiverade uppgifter och handlingar ska begr�nsas till s�rskilt angivna tj�nstem�n. Fortsatt behandling av vissa personuppgifter 3 � I 46 �� f�reskrivs att vissa kategorier av personuppgifter i brotts- anm�lningar och avslutade f�runders�kningar f�r behandlas f�r �ndam�l som omfattas av till�mpningsomr�det f�r lagen (2019:1182) om S�kerhets- polisens behandling av personuppgifter, trots att den tid som anges i 4 kap. 3 och 4 �� samma lag har l�pt ut. Detsamma g�ller personuppgifter i andra utredningar som handl�ggs enligt 23 kap. r�tteg�ngsbalken. N�r personuppgifter f�r behandlas enligt 46 �� f�r dessutom f�ljande uppgifter behandlas: 1. �rendenummer eller liknande referensuppgifter, 2. brottskoder, och 3. uppgifter om omst�ndigheterna kring brottet. 4 � Uppgifter om den d�mde i en f�runders�kning som har lett till f�llande dom f�r behandlas trots att den tid som anges i 4 kap. 4 � f�rsta stycket lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter har l�pt ut, om behandlingen av s�rskilda sk�l �r n�dv�ndig f�r att finna samband mellan olika brott eller mellan t�nkbara g�rningsm�n. Behandlingen ska dock upph�ra senast i samband med att uppgifterna om den d�mde tas bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister. 5 � Uppgifter om en person som har varit misst�nkt i en f�runders�kning som har lagts ner eller avslutats p� annat s�tt �n genom �tal, f�r i ett enskilt fall behandlas om det �r n�dv�ndigt f�r att kunna lagf�ra personen trots att den tid som anges i 4 kap. 4 � andra stycket lagen (2019:1182) om S�ker- hetspolisens behandling av personuppgifter har l�pt ut. Behandlingen ska dock upph�ra senast d� �tal inte l�ngre f�r v�ckas f�r brottet eller, i fall som avses i 35 kap. 2 � f�rsta stycket brottsbalken, senast sjuttio �r fr�n den dag d� brottet begicks. 6 � Uppgifter om personer som har d�mts f�r, eller som har varit miss- t�nkta f�r, brott d�r det finns en betydande risk f�r �terfall i samma eller likartad brottslighet, f�r behandlas trots att den tid som anges i 4 kap. 3 och 4 �� lagen (2019:1182) om S�kerhetspolisens behandling av personupp- gifter har l�pt ut, om behandlingen av s�rskilda sk�l �r n�dv�ndig f�r att f�rebygga, f�rhindra eller uppt�cka brott f�r vilket det �r f�reskrivet f�ngelse i fyra �r eller mer. I fr�ga om brott som har lett till f�llande dom ska dock behandlingen upph�ra senast i samband med att uppgifterna tas bort ur belastningsregistret enligt lagen (1998:620) om belastningsregister och i �vriga fall senast femton �r efter det att f�runders�kningen lades ner eller avslutades p� annat s�tt. 2019:1235 </div> <div id="page3-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 3 SFS R�tt att meddela f�reskrifter 7 � Riksarkivet f�r, efter att ha gett S�kerhetspolisen tillf�lle att yttra sig, meddela f�reskrifter om att personuppgifter som avses i 4 kap. 2 och 7 10 �� lagen (2019:1182) om S�kerhetspolisens behandling av personupp- gifter f�r behandlas under l�ngre tid f�r arkiv�ndam�l av allm�nt intresse och vetenskapliga, statistiska eller historiska �ndam�l. 8 � S�kerhetspolisen f�r, efter att ha gett Riksarkivet tillf�lle att yttra sig, meddela n�rmare f�reskrifter om digital arkivering. 4 kap. Skyldigheter som personuppgiftsansvarig Tekniska och organisatoriska �tg�rder 1 � De tekniska och organisatoriska �tg�rder som S�kerhetspolisen ska vidta enligt 5 kap. 1 och 2 �� lagen (2019:1182) om S�kerhetspolisens be- handling av personuppgifter ska vara rimliga med h�nsyn till behandlingens art, omfattning, sammanhang och �ndam�l och de s�rskilda riskerna med behandlingen. N�r S�kerhetspolisen vidtar �tg�rder enligt 5 kap. 2 � samma lag ska �ven de tekniska m�jligheterna och kostnaderna f�r �tg�rderna beaktas. Dokumentationsskyldighet Interna strategier 2 � De tekniska och organisatoriska �tg�rder som avses i 5 kap. 1 � lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter ska inne- fatta antagande och dokumentation av interna strategier f�r dataskydd, om det inte �r uppenbart obeh�vligt med h�nsyn till verksamhetens begr�nsade omfattning. F�rteckning �ver behandlingar 3 � S�kerhetspolisen ska f�ra en f�rteckning �ver de kategorier av be- handlingar av personuppgifter som myndigheten ansvarar f�r. F�rteck- ningen ska inneh�lla namnet p� och kontaktuppgifter till myndigheten och dataskyddsombud. F�rteckningen ska dessutom, f�r varje kategori av be- handling, inneh�lla f�ljande uppgifter: 1. den r�ttsliga grunden f�r behandlingen, 2. �ndam�len med behandlingen, 3. de kategorier av tj�nstem�n som har tillg�ng till de personuppgifter som behandlas, 4. de kategorier av mottagare som uppgifterna kan komma att l�mnas ut till, �ven i tredjeland eller internationella organisationer, 5. de kategorier av registrerade som ber�rs av behandlingen, 6. de kategorier av personuppgifter som kan komma att behandlas, 7. samlingar av �verf�ringar av personuppgifter till tredjeland eller internationella organisationer, 8. anv�ndning av profilering, 9. om det �r m�jligt, tidsfrister f�r hur l�nge kategorierna av personupp- gifter f�r behandlas, och 10. om det �r m�jligt, en allm�n beskrivning av vilka s�kerhets�tg�rder som har vidtagits. 2019:1235 </div> <div id="page4-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 4 SFS Loggning 4 � Skyldigheten att f�ra loggar i automatiserade behandlingssystem enligt 5 kap. 4 � lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter ska omfatta behandlingar som inneb�r insamling, �ndring, l�sning, utl�mning, �verf�ring till tredjeland eller internationella organisa- tioner, sammanf�ring och radering av personuppgifter. Loggarna �ver l�s- ning och utl�mning ska visa datum och tidpunkt f�r behandlingen och, s� l�ngt det �r m�jligt, vem som har l�st eller l�mnat ut personuppgifterna och vem som har f�tt ta del av personuppgifterna. Tillg�ngen till personuppgifter 5 � Vid tilldelning av beh�righet f�r �tkomst till personuppgifter ska, ut�ver behovet av uppgifterna, utbildning och erfarenhet s�rskilt beaktas. 6 � S�kerhetspolisen ansvarar f�r att det inom myndigheten finns rutiner f�r tilldelning, f�r�ndring, borttagning och regelbunden uppf�ljning av beh�righeter f�r �tkomst till personuppgifter. Konsekvensbed�mning och f�rhandssamr�d 7 � Konsekvensbed�mningar som avses i 5 kap. 6 � f�rsta stycket lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter ska dokumenteras och inneh�lla f�ljande uppgifter: 1. en allm�n beskrivning av den planerade behandlingen, 2. en bed�mning av riskerna f�r intr�ng i registrerades personliga integritet, 3. vilka �tg�rder som planeras f�r att hantera riskerna, 4. �tg�rder och rutiner f�r att s�kerst�lla skyddet av personuppgifterna, och 5. rutiner f�r att visa att till�mpliga dataskyddsregler f�ljs. 8 � Vid f�rhandssamr�d enligt 5 kap. 6 � andra stycket lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter ska S�kerhetspolisen l�mna in konsekvensbed�mningen till tillsynsmyndigheten och tillhanda- h�lla den �vriga information som beg�rs av myndigheten. Vid bed�mningen av om typen av behandling inneb�r en s�dan risk f�r intr�ng i registrerades personliga integritet att f�rhandssamr�d ska �ga rum ska ny teknik, nya rutiner eller nya f�rfaranden s�rskilt beaktas. Anm�lan av �vertr�delser 9 � S�kerhetspolisen ska ha interna rutiner f�r anm�lan av �vertr�delser av best�mmelser om personuppgiftsbehandling som garanterar att anm�- larens identitet skyddas. S�kerhets�tg�rder 10 � S�kerhets�tg�rder enligt 5 kap. 7 � lagen (2019:1182) om S�kerhets- polisens behandling av personuppgifter ska �stadkomma en skyddsniv� som �r l�mplig med h�nsyn till 1. de tekniska m�jligheterna, 2. kostnaderna f�r �tg�rderna, 3. behandlingens art, omfattning, sammanhang och �ndam�l, 4. de s�rskilda riskerna med behandlingen, 5. om k�nsliga personuppgifter behandlas, och 2019:1235 </div> <div id="page5-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 5 SFS 6. hur integritetsk�nsliga �vriga personuppgifter som behandlas �r. Dataskyddsombud 11 � S�kerhetspolisen ska s�kerst�lla att dataskyddsombud ges m�jlighet att delta i de fr�gor som r�r skyddet av personuppgifter. S�kerhetspolisen ska se till att dataskyddsombud kan utf�ra de uppgifter som anges i 5 kap. 10 � lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter genom att tillhandah�lla n�dv�ndiga resurser, ge tillg�ng till dokumentation om behandling av personuppgifter och vid behov medge �tkomst till personuppgifter som behandlas. S�kerhetspolisen ska ocks� se till att dataskyddsombud har den sakkunskap som kr�vs och att de ges m�jlighet att uppr�tth�lla denna. Personuppgiftsbitr�den Avtalets eller �verenskommelsens inneh�ll 12 � Ett avtal eller en annan �verenskommelse enligt 5 kap. 11 � andra stycket lagen (2019:1182) om S�kerhetspolisens behandling av personupp- gifter ska ange vad behandlingen av personuppgifter ska avse, hur l�nge behandlingen ska p�g�, dess art och �ndam�l, typen av personuppgifter, kategorier av registrerade och S�kerhetspolisens skyldigheter och r�ttig- heter. I avtalet eller �verenskommelsen ska det s�rskilt f�reskrivas att personuppgiftsbitr�det ska 1. behandla personuppgifter bara enligt instruktioner fr�n S�kerhets- polisen, 2. s�kerst�lla att personer som har tillst�nd att behandla personuppgifter antingen har f�rbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt, 3. hj�lpa S�kerhetspolisen att s�kerst�lla att best�mmelserna om registre- rades r�ttigheter f�ljs, 4. radera eller �terl�mna alla personuppgifter till S�kerhetspolisen n�r uppdraget har slutf�rts och, om inte annat f�ljer av lag eller f�rordning, radera befintliga kopior, 5. ge S�kerhetspolisen tillg�ng till den information som kr�vs f�r att visa att det som s�gs i denna paragraf, 13 � och 5 kap. 1113 �� lagen om S�ker- hetspolisens behandling av personuppgifter f�ljs, och 6. respektera de villkor som framg�r av denna paragraf, 13 � och 5 kap. 12 � lagen om S�kerhetspolisens behandling av personuppgifter n�r ett annat personuppgiftsbitr�de anlitas. Underbitr�den 13 � Om S�kerhetspolisen har l�mnat ett generellt tillst�nd enligt 5 kap. 12 � lagen (2019:1182) om S�kerhetspolisens behandling av person- uppgifter, ska personuppgiftsbitr�det informera S�kerhetspolisen innan nya personuppgiftsbitr�den anlitas. F�rteckning �ver behandlingar 14 � Varje personuppgiftsbitr�de ska f�ra en f�rteckning �ver kategorier av behandlingar av personuppgifter som utf�rs f�r S�kerhetspolisens r�kning. F�rteckningen ska inneh�lla namnet p� och kontaktuppgifter till personuppgiftsbitr�det och S�kerhetspolisen och dessutom, f�r varje kate- gori av behandling, f�ljande uppgifter: 1. namnet p� och kontaktuppgifter till eventuella underbitr�den, 2019:1235 </div> <div id="page6-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 6 SFS 2. vilka uppgifter som har �verf�rts och till vem, om �verf�ringar av personuppgifter har gjorts till ett tredjeland eller en internationell orga- nisation, och 3. om det �r m�jligt, en allm�n beskrivning av de s�kerhets�tg�rder som har vidtagits. �vriga skyldigheter 15 � Det som s�gs om S�kerhetspolisens skyldigheter i 4 och 10 �� g�ller �ven f�r personuppgiftsbitr�den. �vriga best�mmelser 16 � Innan S�kerhetspolisen meddelar f�reskrifter med st�d av denna f�rordning, ska tillsynsmyndigheten ges tillf�lle att yttra sig i fr�gor som ber�r s�rskilda risker f�r intr�ng i den personliga integriteten. R�tt att meddela f�reskrifter 17 � Tillsynsmyndigheten f�r meddela ytterligare f�reskrifter om 1. s�dana �tg�rder som avses i 5 kap. 13 och 7 �� lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter, 2. krav och rutiner f�r loggning enligt 5 kap. 4 � lagen om S�kerhets- polisens behandling av personuppgifter, och 3. vilka typer av behandlingar som ska omfattas av f�rhandssamr�d enligt 5 kap. 6 � lagen om S�kerhetspolisens behandling av personuppgifter. 5 kap. Enskildas r�ttigheter Krav p� utformningen av information 1 � Information enligt 6 kap. 1 och 2 �� lagen (2019:1182) om S�kerhets- polisens behandling av personuppgifter ska vara l�ttillg�nglig och l�tt- begriplig och l�mnas i l�mplig form. Detsamma g�ller information enligt 3 6 �� denna f�rordning. Enskilds beg�ran 2 � En beg�ran enligt 6 kap. 2, 6 eller 7 � lagen (2019:1182) om S�kerhets- polisens behandling av personuppgifter ska g�ras skriftligen hos S�kerhets- polisen. S�kerhetspolisen ska s�kerst�lla att beg�ran g�rs av en beh�rig person. Beslut 3 � Beslut enligt 6 kap. 3 � f�rsta stycket, 5 � f�rsta stycket, 6 och 7 �� och 9 � andra stycket lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter ska vara skriftliga. Beslut som g�r den registrerade emot ska motiveras. Av 6 kap. 3 � andra stycket lagen om S�kerhetspolisens behandling av personuppgifter framg�r att sk�len f�r vissa beslut inte beh�ver l�mnas ut. Underr�ttelser Underr�ttelser till enskilda 4 � S�kanden ska utan on�digt dr�jsm�l underr�ttas om beslut enligt 6 kap. 3 � f�rsta stycket lagen (2019:1182) om S�kerhetspolisens be- handling av personuppgifter. N�gon underr�ttelse beh�ver inte l�mnas om det skulle skada det intresse som f�ranleder att information inte l�mnas. 2019:1235 </div> <div id="page7-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 7 SFS 5 � S�kanden ska underr�ttas om beslut enligt 6 kap. 5 � f�rsta stycket eller 9 � andra stycket lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter. 6 � Den registrerade ska underr�ttas om f�ljande beslut enligt lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter: 1. beslut enligt 6 kap. 6 eller 7 �, 2. beslut om att en begr�nsning enligt 6 kap. 6 � andra stycket upph�r. Underr�ttelser till andra 7 � Den myndighet fr�n vilken personuppgifter kommer ska underr�ttas om beslut enligt 6 kap. 6 � f�rsta stycket lagen (2019:1182) om S�kerhets- polisens behandling av personuppgifter. Den som har tagit emot personuppgifter ska underr�ttas om beslut enligt 6 kap. 6 eller 7 � lagen om S�kerhetspolisens behandling av personuppgifter. 6 kap. Tillsyn 1 � Om tillsynsmyndigheten anser att en s�dan planerad behandling som avses i 5 kap. 6 � andra stycket lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter kan komma att st� i strid med lag eller annan f�rfattning, ska myndigheten senast sex veckor efter det att beg�ran om f�rhandssamr�d togs emot skriftligen l�mna r�d enligt 7 kap. 4 � f�rsta stycket samma lag. Om det finns sk�l f�r det f�r tiden f�rl�ngas. 2 � Tillsynsmyndigheten ska informera S�kerhets- och integritetsskydds- n�mnden om att f�rhandssamr�d enligt 5 kap. 6 � andra stycket lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter har beg�rts. Om det �r l�mpligt ska n�mnden ges tillf�lle att yttra sig till till- synsmyndigheten inom ramen f�r f�rhandssamr�det. S�kerhets- och integri- tetsskyddsn�mnden har r�tt att f� tillg�ng till underlaget f�r f�rhands- samr�det och tillsynsmyndighetens yttrande. 7 kap. �verf�ring av personuppgifter till tredjeland och internationella organisationer 1 � �verf�ringar av personuppgifter enligt 9 kap. 3 � 2 och 4 � lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter ska dokumenteras. Av dokumentationen ska framg� vilka personuppgifter som �verf�rts, datum och tidpunkt f�r �verf�ringen, �ndam�let med och grunden f�r �verf�ringen och till vem personuppgifterna �verf�rdes. 2 � �verf�ringar av personuppgifter enligt 9 kap. 5 � lagen (2019:1182) om S�kerhetspolisens behandling av personuppgifter ska dokumenteras. 1. Denna f�rordning tr�der i kraft den 1 januari 2020. 2. Best�mmelsen i 4 kap. 4 � om loggning till�mpas fr�n och med den 1 oktober 2024 i fr�ga om automatiserade behandlingssystem som inr�ttats f�re ikrafttr�dandet. P� regeringens v�gnar MIKAEL DAMBERG Peter Lindstr�m (Justitiedepartementet) 2019:1235 </div> </div>

Svensk f�rfattningssamling

F�rordning

om S�kerhetspolisens behandling av personuppgifter

Utf�rdad den 5 december 2019

Regeringen f�reskriver f�ljande.

1 kap. Allm�nna best�mmelser
1 � I denna f�rordning finns kompletterande f�reskrifter om s�dan be-
handling av personuppgifter som omfattas av lagen (2019:1182) om S�ker-
hetspolisens behandling av personuppgifter.

2 � Uttryck som anv�nds i denna f�rordning har samma inneb�rd och
till�mpningsomr�de som i lagen (2019:1182) om S�kerhetspolisens be-
handling av personuppgifter.

2 kap. Behandling av personuppgifter
1 � Om det visar sig att s�dana personuppgifter som anges i 2 kap. 13 �
eller 14 � f�rsta stycket lagen (2019:1182) om S�kerhetspolisens behandling
av personuppgifter har l�mnats ut, ska mottagaren omedelbart underr�ttas
om det. Om s�dana personuppgifter har gjorts tillg�ngliga ska, s� l�ngt det
�r m�jligt, �ven den som har tagit del av personuppgifterna omedelbart
underr�ttas.

2 � Av information enligt 3 kap. 7 � andra stycket lagen (2019:1182) om
S�kerhetspolisens behandling av personuppgifter ska omfattningen av
direkt�tkomsten framg�.

3 � S�kerhetspolisen f�r st�lla villkor i fr�ga om beh�righet och s�kerhet
f�r att myndigheten ska medge direkt�tkomst enligt 3 kap. 57 �� lagen
(2019:1182) om S�kerhetspolisens behandling av personuppgifter.

Direkt�tkomst f�r inte medges innan S�kerhetspolisen har f�rs�krat sig

om att den mottagande myndigheten uppfyller kraven p� beh�righet och
s�kerhet.

3 kap. L�ngsta tid som personuppgifter f�r behandlas

Rutiner f�r att s�kerst�lla tidsfristerna
1 � S�kerhetspolisen ska se till att det finns rutiner f�r att s�kerst�lla att de
som behandlar personuppgifter respekterar tidsfristerna f�r n�r personupp-
gifter inte l�ngre f�r behandlas.

SFS

2019:1235

Publicerad
den

10 december 2019

SFS

Digital arkivering
2 � N�r uppgifter och handlingar arkiveras digitalt ska de avskiljas s� att
de inte kan behandlas f�r att utf�ra en uppgift som anges i 2 kap. 1 � lagen
(2019:1182) om S�kerhetspolisens behandling av personuppgifter. �t-
komsten till arkiverade uppgifter och handlingar ska begr�nsas till s�rskilt
angivna tj�nstem�n.

Fortsatt behandling av vissa personuppgifter
3 � I 46 �� f�reskrivs att vissa kategorier av personuppgifter i brotts-
anm�lningar och avslutade f�runders�kningar f�r behandlas f�r �ndam�l
som omfattas av till�mpningsomr�det f�r lagen (2019:1182) om S�kerhets-
polisens behandling av personuppgifter, trots att den tid som anges i 4 kap.
3 och 4 �� samma lag har l�pt ut. Detsamma g�ller personuppgifter i andra
utredningar som handl�ggs enligt 23 kap. r�tteg�ngsbalken.

N�r personuppgifter f�r behandlas enligt 46 �� f�r dessutom f�ljande

uppgifter behandlas:

1. �rendenummer eller liknande referensuppgifter,
2. brottskoder, och
3. uppgifter om omst�ndigheterna kring brottet.

4 � Uppgifter om den d�mde i en f�runders�kning som har lett till f�llande
dom f�r behandlas trots att den tid som anges i 4 kap. 4 � f�rsta stycket lagen
(2019:1182) om S�kerhetspolisens behandling av personuppgifter har l�pt
ut, om behandlingen av s�rskilda sk�l �r n�dv�ndig f�r att finna samband
mellan olika brott eller mellan t�nkbara g�rningsm�n.

Behandlingen ska dock upph�ra senast i samband med att uppgifterna om

den d�mde tas bort ur belastningsregistret enligt lagen (1998:620) om
belastningsregister.

5 � Uppgifter om en person som har varit misst�nkt i en f�runders�kning
som har lagts ner eller avslutats p� annat s�tt �n genom �tal, f�r i ett enskilt
fall behandlas om det �r n�dv�ndigt f�r att kunna lagf�ra personen trots att
den tid som anges i 4 kap. 4 � andra stycket lagen (2019:1182) om S�ker-
hetspolisens behandling av personuppgifter har l�pt ut.

Behandlingen ska dock upph�ra senast d� �tal inte l�ngre f�r v�ckas f�r

brottet eller, i fall som avses i 35 kap. 2 � f�rsta stycket brottsbalken, senast
sjuttio �r fr�n den dag d� brottet begicks.

6 � Uppgifter om personer som har d�mts f�r, eller som har varit miss-
t�nkta f�r, brott d�r det finns en betydande risk f�r �terfall i samma eller
likartad brottslighet, f�r behandlas trots att den tid som anges i 4 kap. 3 och
4 �� lagen (2019:1182) om S�kerhetspolisens behandling av personupp-
gifter har l�pt ut, om behandlingen av s�rskilda sk�l �r n�dv�ndig f�r att
f�rebygga, f�rhindra eller uppt�cka brott f�r vilket det �r f�reskrivet
f�ngelse i fyra �r eller mer.

I fr�ga om brott som har lett till f�llande dom ska dock behandlingen

upph�ra senast i samband med att uppgifterna tas bort ur belastningsregistret
enligt lagen (1998:620) om belastningsregister och i �vriga fall senast
femton �r efter det att f�runders�kningen lades ner eller avslutades p� annat
s�tt.

2019:1235

SFS

R�tt att meddela f�reskrifter
7 � Riksarkivet f�r, efter att ha gett S�kerhetspolisen tillf�lle att yttra sig,
meddela f�reskrifter om att personuppgifter som avses i 4 kap. 2 och 7
10 �� lagen (2019:1182) om S�kerhetspolisens behandling av personupp-
gifter f�r behandlas under l�ngre tid f�r arkiv�ndam�l av allm�nt intresse
och vetenskapliga, statistiska eller historiska �ndam�l.

8 � S�kerhetspolisen f�r, efter att ha gett Riksarkivet tillf�lle att yttra sig,
meddela n�rmare f�reskrifter om digital arkivering.

4 kap. Skyldigheter som personuppgiftsansvarig
Tekniska och organisatoriska �tg�rder
1 � De tekniska och organisatoriska �tg�rder som S�kerhetspolisen ska
vidta enligt 5 kap. 1 och 2 �� lagen (2019:1182) om S�kerhetspolisens be-
handling av personuppgifter ska vara rimliga med h�nsyn till behandlingens
art, omfattning, sammanhang och �ndam�l och de s�rskilda riskerna med
behandlingen. N�r S�kerhetspolisen vidtar �tg�rder enligt 5 kap. 2 � samma
lag ska �ven de tekniska m�jligheterna och kostnaderna f�r �tg�rderna
beaktas.

Dokumentationsskyldighet
Interna strategier
2 � De tekniska och organisatoriska �tg�rder som avses i 5 kap. 1 � lagen
(2019:1182) om S�kerhetspolisens behandling av personuppgifter ska inne-
fatta antagande och dokumentation av interna strategier f�r dataskydd, om
det inte �r uppenbart obeh�vligt med h�nsyn till verksamhetens begr�nsade
omfattning.

F�rteckning �ver behandlingar
3 � S�kerhetspolisen ska f�ra en f�rteckning �ver de kategorier av be-
handlingar av personuppgifter som myndigheten ansvarar f�r. F�rteck-
ningen ska inneh�lla namnet p� och kontaktuppgifter till myndigheten och
dataskyddsombud. F�rteckningen ska dessutom, f�r varje kategori av be-
handling, inneh�lla f�ljande uppgifter:

1. den r�ttsliga grunden f�r behandlingen,
2. �ndam�len med behandlingen,
3. de kategorier av tj�nstem�n som har tillg�ng till de personuppgifter som

behandlas,

4. de kategorier av mottagare som uppgifterna kan komma att l�mnas ut

till, �ven i tredjeland eller internationella organisationer,

5. de kategorier av registrerade som ber�rs av behandlingen,
6. de kategorier av personuppgifter som kan komma att behandlas,
7. samlingar av �verf�ringar av personuppgifter till tredjeland eller

internationella organisationer,

8. anv�ndning av profilering,
9. om det �r m�jligt, tidsfrister f�r hur l�nge kategorierna av personupp-

gifter f�r behandlas, och

10. om det �r m�jligt, en allm�n beskrivning av vilka s�kerhets�tg�rder

som har vidtagits.

2019:1235

SFS

Loggning
4 � Skyldigheten att f�ra loggar i automatiserade behandlingssystem
enligt 5 kap. 4 � lagen (2019:1182) om S�kerhetspolisens behandling av
personuppgifter ska omfatta behandlingar som inneb�r insamling, �ndring,
l�sning, utl�mning, �verf�ring till tredjeland eller internationella organisa-
tioner, sammanf�ring och radering av personuppgifter. Loggarna �ver l�s-
ning och utl�mning ska visa datum och tidpunkt f�r behandlingen och, s�
l�ngt det �r m�jligt, vem som har l�st eller l�mnat ut personuppgifterna och
vem som har f�tt ta del av personuppgifterna.

Tillg�ngen till personuppgifter
5 � Vid tilldelning av beh�righet f�r �tkomst till personuppgifter ska,
ut�ver behovet av uppgifterna, utbildning och erfarenhet s�rskilt beaktas.

6 � S�kerhetspolisen ansvarar f�r att det inom myndigheten finns rutiner
f�r tilldelning, f�r�ndring, borttagning och regelbunden uppf�ljning av
beh�righeter f�r �tkomst till personuppgifter.

Konsekvensbed�mning och f�rhandssamr�d
7 � Konsekvensbed�mningar som avses i 5 kap. 6 � f�rsta stycket lagen
(2019:1182) om S�kerhetspolisens behandling av personuppgifter ska
dokumenteras och inneh�lla f�ljande uppgifter:

1. en allm�n beskrivning av den planerade behandlingen,
2. en bed�mning av riskerna f�r intr�ng i registrerades personliga

integritet,

3. vilka �tg�rder som planeras f�r att hantera riskerna,
4. �tg�rder och rutiner f�r att s�kerst�lla skyddet av personuppgifterna,

och

5. rutiner f�r att visa att till�mpliga dataskyddsregler f�ljs.

8 � Vid f�rhandssamr�d enligt 5 kap. 6 � andra stycket lagen (2019:1182)
om S�kerhetspolisens behandling av personuppgifter ska S�kerhetspolisen
l�mna in konsekvensbed�mningen till tillsynsmyndigheten och tillhanda-
h�lla den �vriga information som beg�rs av myndigheten.

Vid bed�mningen av om typen av behandling inneb�r en s�dan risk f�r

intr�ng i registrerades personliga integritet att f�rhandssamr�d ska �ga rum
ska ny teknik, nya rutiner eller nya f�rfaranden s�rskilt beaktas.

Anm�lan av �vertr�delser
9 � S�kerhetspolisen ska ha interna rutiner f�r anm�lan av �vertr�delser
av best�mmelser om personuppgiftsbehandling som garanterar att anm�-
larens identitet skyddas.

S�kerhets�tg�rder
10 � S�kerhets�tg�rder enligt 5 kap. 7 � lagen (2019:1182) om S�kerhets-
polisens behandling av personuppgifter ska �stadkomma en skyddsniv� som
�r l�mplig med h�nsyn till

1. de tekniska m�jligheterna,
2. kostnaderna f�r �tg�rderna,
3. behandlingens art, omfattning, sammanhang och �ndam�l,
4. de s�rskilda riskerna med behandlingen,
5. om k�nsliga personuppgifter behandlas, och

2019:1235

SFS

6. hur integritetsk�nsliga �vriga personuppgifter som behandlas �r.

Dataskyddsombud
11 � S�kerhetspolisen ska s�kerst�lla att dataskyddsombud ges m�jlighet
att delta i de fr�gor som r�r skyddet av personuppgifter.

S�kerhetspolisen ska se till att dataskyddsombud kan utf�ra de uppgifter

som anges i 5 kap. 10 � lagen (2019:1182) om S�kerhetspolisens behandling
av personuppgifter genom att tillhandah�lla n�dv�ndiga resurser, ge tillg�ng
till dokumentation om behandling av personuppgifter och vid behov medge
�tkomst till personuppgifter som behandlas. S�kerhetspolisen ska ocks� se
till att dataskyddsombud har den sakkunskap som kr�vs och att de ges
m�jlighet att uppr�tth�lla denna.

Personuppgiftsbitr�den
Avtalets eller �verenskommelsens inneh�ll
12 � Ett avtal eller en annan �verenskommelse enligt 5 kap. 11 � andra
stycket lagen (2019:1182) om S�kerhetspolisens behandling av personupp-
gifter ska ange vad behandlingen av personuppgifter ska avse, hur l�nge
behandlingen ska p�g�, dess art och �ndam�l, typen av personuppgifter,
kategorier av registrerade och S�kerhetspolisens skyldigheter och r�ttig-
heter. I avtalet eller �verenskommelsen ska det s�rskilt f�reskrivas att
personuppgiftsbitr�det ska

1. behandla personuppgifter bara enligt instruktioner fr�n S�kerhets-

polisen,

2. s�kerst�lla att personer som har tillst�nd att behandla personuppgifter

antingen har f�rbundit sig att iaktta regler om tystnadsplikt eller omfattas av
lagstadgad tystnadsplikt,

3. hj�lpa S�kerhetspolisen att s�kerst�lla att best�mmelserna om registre-

rades r�ttigheter f�ljs,

4. radera eller �terl�mna alla personuppgifter till S�kerhetspolisen n�r

uppdraget har slutf�rts och, om inte annat f�ljer av lag eller f�rordning,
radera befintliga kopior,

5. ge S�kerhetspolisen tillg�ng till den information som kr�vs f�r att visa

att det som s�gs i denna paragraf, 13 � och 5 kap. 1113 �� lagen om S�ker-
hetspolisens behandling av personuppgifter f�ljs, och

6. respektera de villkor som framg�r av denna paragraf, 13 � och 5 kap.

12 � lagen om S�kerhetspolisens behandling av personuppgifter n�r ett
annat personuppgiftsbitr�de anlitas.

Underbitr�den
13 � Om S�kerhetspolisen har l�mnat ett generellt tillst�nd enligt 5 kap.
12 � lagen (2019:1182) om S�kerhetspolisens behandling av person-
uppgifter, ska personuppgiftsbitr�det informera S�kerhetspolisen innan nya
personuppgiftsbitr�den anlitas.

F�rteckning �ver behandlingar
14 � Varje personuppgiftsbitr�de ska f�ra en f�rteckning �ver kategorier
av behandlingar av personuppgifter som utf�rs f�r S�kerhetspolisens
r�kning. F�rteckningen ska inneh�lla namnet p� och kontaktuppgifter till
personuppgiftsbitr�det och S�kerhetspolisen och dessutom, f�r varje kate-
gori av behandling, f�ljande uppgifter:

1. namnet p� och kontaktuppgifter till eventuella underbitr�den,

2019:1235

SFS

2. vilka uppgifter som har �verf�rts och till vem, om �verf�ringar av

personuppgifter har gjorts till ett tredjeland eller en internationell orga-
nisation, och

3. om det �r m�jligt, en allm�n beskrivning av de s�kerhets�tg�rder som

har vidtagits.

�vriga skyldigheter
15 � Det som s�gs om S�kerhetspolisens skyldigheter i 4 och 10 �� g�ller
�ven f�r personuppgiftsbitr�den.

�vriga best�mmelser
16 � Innan S�kerhetspolisen meddelar f�reskrifter med st�d av denna
f�rordning, ska tillsynsmyndigheten ges tillf�lle att yttra sig i fr�gor som
ber�r s�rskilda risker f�r intr�ng i den personliga integriteten.

R�tt att meddela f�reskrifter
17 � Tillsynsmyndigheten f�r meddela ytterligare f�reskrifter om

1. s�dana �tg�rder som avses i 5 kap. 13 och 7 �� lagen (2019:1182) om

S�kerhetspolisens behandling av personuppgifter,

2. krav och rutiner f�r loggning enligt 5 kap. 4 � lagen om S�kerhets-

polisens behandling av personuppgifter, och

3. vilka typer av behandlingar som ska omfattas av f�rhandssamr�d enligt

5 kap. 6 � lagen om S�kerhetspolisens behandling av personuppgifter.

5 kap. Enskildas r�ttigheter
Krav p� utformningen av information
1 � Information enligt 6 kap. 1 och 2 �� lagen (2019:1182) om S�kerhets-
polisens behandling av personuppgifter ska vara l�ttillg�nglig och l�tt-
begriplig och l�mnas i l�mplig form. Detsamma g�ller information enligt 3
6 �� denna f�rordning.

Enskilds beg�ran
2 � En beg�ran enligt 6 kap. 2, 6 eller 7 � lagen (2019:1182) om S�kerhets-
polisens behandling av personuppgifter ska g�ras skriftligen hos S�kerhets-
polisen.

S�kerhetspolisen ska s�kerst�lla att beg�ran g�rs av en beh�rig person.

Beslut
3 � Beslut enligt 6 kap. 3 � f�rsta stycket, 5 � f�rsta stycket, 6 och 7 ��
och 9 � andra stycket lagen (2019:1182) om S�kerhetspolisens behandling
av personuppgifter ska vara skriftliga. Beslut som g�r den registrerade emot
ska motiveras.

Av 6 kap. 3 � andra stycket lagen om S�kerhetspolisens behandling av

personuppgifter framg�r att sk�len f�r vissa beslut inte beh�ver l�mnas ut.

Underr�ttelser
Underr�ttelser till enskilda
4 � S�kanden ska utan on�digt dr�jsm�l underr�ttas om beslut enligt
6 kap. 3 � f�rsta stycket lagen (2019:1182) om S�kerhetspolisens be-
handling av personuppgifter. N�gon underr�ttelse beh�ver inte l�mnas om
det skulle skada det intresse som f�ranleder att information inte l�mnas.

2019:1235

SFS

5 � S�kanden ska underr�ttas om beslut enligt 6 kap. 5 � f�rsta stycket
eller 9 � andra stycket lagen (2019:1182) om S�kerhetspolisens behandling
av personuppgifter.

6 � Den registrerade ska underr�ttas om f�ljande beslut enligt lagen
(2019:1182) om S�kerhetspolisens behandling av personuppgifter:

1. beslut enligt 6 kap. 6 eller 7 �,
2. beslut om att en begr�nsning enligt 6 kap. 6 � andra stycket upph�r.

Underr�ttelser till andra
7 � Den myndighet fr�n vilken personuppgifter kommer ska underr�ttas
om beslut enligt 6 kap. 6 � f�rsta stycket lagen (2019:1182) om S�kerhets-
polisens behandling av personuppgifter.

Den som har tagit emot personuppgifter ska underr�ttas om beslut enligt

6 kap. 6 eller 7 � lagen om S�kerhetspolisens behandling av personuppgifter.

6 kap. Tillsyn
1 � Om tillsynsmyndigheten anser att en s�dan planerad behandling som
avses i 5 kap. 6 � andra stycket lagen (2019:1182) om S�kerhetspolisens
behandling av personuppgifter kan komma att st� i strid med lag eller annan
f�rfattning, ska myndigheten senast sex veckor efter det att beg�ran om
f�rhandssamr�d togs emot skriftligen l�mna r�d enligt 7 kap. 4 � f�rsta
stycket samma lag. Om det finns sk�l f�r det f�r tiden f�rl�ngas.

2 � Tillsynsmyndigheten ska informera S�kerhets- och integritetsskydds-
n�mnden om att f�rhandssamr�d enligt 5 kap. 6 � andra stycket lagen
(2019:1182) om S�kerhetspolisens behandling av personuppgifter har
beg�rts. Om det �r l�mpligt ska n�mnden ges tillf�lle att yttra sig till till-
synsmyndigheten inom ramen f�r f�rhandssamr�det. S�kerhets- och integri-
tetsskyddsn�mnden har r�tt att f� tillg�ng till underlaget f�r f�rhands-
samr�det och tillsynsmyndighetens yttrande.

7 kap. �verf�ring av personuppgifter till tredjeland och

internationella organisationer
1 � �verf�ringar av personuppgifter enligt 9 kap. 3 � 2 och 4 � lagen
(2019:1182) om S�kerhetspolisens behandling av personuppgifter ska
dokumenteras. Av dokumentationen ska framg� vilka personuppgifter som
�verf�rts, datum och tidpunkt f�r �verf�ringen, �ndam�let med och grunden
f�r �verf�ringen och till vem personuppgifterna �verf�rdes.

2 � �verf�ringar av personuppgifter enligt 9 kap. 5 � lagen (2019:1182)
om S�kerhetspolisens behandling av personuppgifter ska dokumenteras.

1. Denna f�rordning tr�der i kraft den 1 januari 2020.
2. Best�mmelsen i 4 kap. 4 � om loggning till�mpas fr�n och med den

1 oktober 2024 i fr�ga om automatiserade behandlingssystem som inr�ttats
f�re ikrafttr�dandet.

P� regeringens v�gnar

MIKAEL DAMBERG

Peter Lindstr�m

(Justitiedepartementet)

2019:1235

;

Tjänster

Utbildningar

Juridisk rådgivning

SFS 2019:1235 Förordning om Säkerhetspolisens behandling av personuppgifter

Om Lagboken.se