SFS 2018:1202 Brottsdataförordning

SFS2018-1202.pdf

Källa Regeringskansliets rättsdatabaser m.fl.

<div><style type="text/css">          </style> <div id="page1-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 1 Svensk f�rfattningssamling Brottsdataf�rordning Utf�rdad den 20 juni 2018 Regeringen f�reskriver1 f�ljande. 1 kap. Allm�nna best�mmelser 1 � I denna f�rordning finns kompletterande f�reskrifter om s�dan behandling av personuppgifter som omfattas av brottsdatalagen (2018:1177). 2 � Uttryck som anv�nds i denna f�rordning har samma inneb�rd och till�mpningsomr�de som i brottsdatalagen (2018:1177). 2 kap. Behandling av personuppgifter 1 � Om det visar sig att s�dana personuppgifter som anges i 2 kap. 15 � f�rsta stycket eller 16 � f�rsta stycket brottsdatalagen (2018:1177) har l�mnats ut, ska mottagaren omedelbart underr�ttas om det. Om s�dana personuppgifter har gjorts tillg�ngliga ska, s� l�ngt det �r m�jligt, �ven den som har tagit del av personuppgifterna omedelbart underr�ttas. 2 � Den personuppgiftsansvarige ska se till att det finns rutiner f�r 1. att s�kerst�lla att de som behandlar personuppgifter respekterar tids- fristerna f�r n�r personuppgifter inte l�ngre f�r behandlas, och 2. �rlig �versyn av behovet av att lagra personuppgifter. 3 � Den som l�mnar ut personuppgifter ska underr�tta mottagaren om s�dana s�rskilda villkor f�r behandlingen som har st�llts upp med st�d av en bindande EU-r�ttsakt, en lag eller en f�rordning. 3 kap. Personuppgiftsansvarigas skyldigheter Tekniska och organisatoriska �tg�rder 1 � De tekniska och organisatoriska �tg�rder som den personuppgifts- ansvarige ska vidta enligt 3 kap. 2 och 3 �� brottsdatalagen (2018:1177) ska vara rimliga med h�nsyn till behandlingens art, omfattning, sammanhang och �ndam�l och de s�rskilda riskerna med behandlingen. N�r den person- uppgiftsansvarige vidtar �tg�rder enligt 3 kap. 3 � samma lag ska �ven de tekniska m�jligheterna och kostnaderna f�r �tg�rderna beaktas. 1 Jfr Europaparlamentets och r�dets direktiv (EU) 2016/680 av den 27 april 2016 om skydd f�r fysiska personer med avseende p� beh�riga myndigheters behandling av personuppgifter f�r att f�rebygga, f�rhindra, utreda, avsl�ja eller lagf�ra brott eller verkst�lla straffr�ttsliga p�f�ljder, och det fria fl�det av s�dana uppgifter och om upph�vande av r�dets rambeslut 2008/977/RIF, i den ursprungliga lydelsen. SFS 2018:1202 Publicerad den 27 juni 2018 </div> <div id="page2-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 2 SFS Dokumentationsskyldighet Interna strategier 2 � De tekniska och organisatoriska �tg�rder som avses i 3 kap. 2 � brotts- datalagen (2018:1117) ska innefatta antagande och dokumentation av interna strategier f�r dataskydd, om det inte �r uppenbart obeh�vligt med h�nsyn till verksamhetens begr�nsade omfattning. F�rteckning �ver behandlingar 3 � Den personuppgiftsansvarige ska f�ra en f�rteckning �ver de kategorier av behandlingar av personuppgifter som denne ansvarar f�r. F�rteckningen ska inneh�lla namnet p� och kontaktuppgifter till den person- uppgiftsansvarige, gemensamt personuppgiftsansvariga och dataskydds- ombud. F�rteckningen ska dessutom, f�r varje kategori av behandling, inneh�lla f�ljande uppgifter: 1. den r�ttsliga grunden f�r behandlingen, 2. �ndam�len med behandlingen, 3. de kategorier av tj�nstem�n som har tillg�ng till de personuppgifter som behandlas, 4. de kategorier av mottagare som uppgifterna kan komma att l�mnas ut till, �ven i tredjeland eller internationella organisationer, 5. de kategorier av registrerade som ber�rs av behandlingen, 6. de kategorier av personuppgifter som kan komma att behandlas, 7. samlingar av �verf�ringar av personuppgifter till tredjeland eller internationella organisationer, 8. anv�ndning av profilering, 9. om det �r m�jligt, tidsfrister f�r hur l�nge kategorierna av person- uppgifter f�r behandlas, och 10. om det �r m�jligt, en allm�n beskrivning av vilka s�kerhets�tg�rder som har vidtagits. Loggning 4 � Skyldigheten att f�ra loggar i automatiserade behandlingssystem enligt 3 kap. 5 � brottsdatalagen (2018:1177) ska omfatta behandlingar som inneb�r insamling, �ndring, l�sning, utl�mning, �verf�ring till tredjeland eller internationella organisationer, sammanf�ring och radering av person- uppgifter. Loggarna �ver l�sning och utl�mning ska visa datum och tidpunkt f�r behandlingen och, s� l�ngt det �r m�jligt, vem som har l�st eller l�mnat ut personuppgifterna och vem som har f�tt ta del av personuppgifterna. Tillg�ngen til personuppgifter 5 � Vid tilldelning av beh�righet f�r �tkomst till personuppgifter ska, ut�ver behovet av uppgifterna, utbildning och erfarenhet s�rskilt beaktas. 6 � I en beh�rig myndighet ska det finnas rutiner f�r tilldelning, f�r�ndring, borttagning och regelbunden uppf�ljning av beh�righeter f�r �tkomst till personuppgifter. 7 � Tillg�ngen till uppgifter om tidigare brottsmisstankar ska s�rskilt begr�nsas. 2018:1202 </div> <div id="page3-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 3 SFS Konsekvensbed�mning och f�rhandssamr�d 8 � Konsekvensbed�mningar som avses i 3 kap. 7 � f�rsta stycket brotts- datalagen (2018:1177) ska dokumenteras och inneh�lla f�ljande uppgifter: 1. en allm�n beskrivning av den planerade behandlingen, 2. en bed�mning av riskerna f�r intr�ng i registrerades personliga integritet, 3. vilka �tg�rder som planeras f�r att hantera riskerna, 4. �tg�rder och rutiner f�r att s�kerst�lla skyddet av personuppgifterna, och 5. rutiner f�r att visa att till�mpliga dataskyddsregler f�ljs. 9 � Vid f�rhandssamr�d enligt 3 kap. 7 � andra stycket brottsdatalagen (2018:1177) ska den personuppgiftsansvarige l�mna in konsekvens- bed�mningen till tillsynsmyndigheten och tillhandah�lla den �vriga information som beg�rs av myndigheten. Vid bed�mningen av om typen av behandling inneb�r en s�dan risk f�r intr�ng i registrerades personliga integritet att f�rhandssamr�d ska �ga rum ska ny teknik, nya rutiner eller nya f�rfaranden s�rskilt beaktas. Anm�lan av �vertr�delser 10 � Den personuppgiftsansvarige ska ha interna rutiner f�r anm�lan av �vertr�delser av best�mmelser om personuppgiftsbehandling som garanterar att anm�larens identitet skyddas. S�kerheten vid behandling av personuppgifter S�kerhets�tg�rder 11 � S�kerhets�tg�rder enligt 3 kap. 8 � brottsdatalagen (2018:1177) ska �stadkomma en skyddsniv� som �r l�mplig med h�nsyn till 1. de tekniska m�jligheterna, 2. kostnaderna f�r �tg�rderna, 3. behandlingens art, omfattning, sammanhang och �ndam�l, 4. de s�rskilda riskerna med behandlingen, 5. om k�nsliga personuppgifter behandlas, och 6. hur integritetsk�nsliga �vriga personuppgifter som behandlas �r. Personuppgiftsincidenter 12 � En anm�lan enligt 3 kap. 9 � f�rsta stycket brottsdatalagen (2018:1177) ska inneh�lla f�ljande information: 1. en beskrivning av personuppgiftsincidenten och n�r den intr�ffade, 2. om det �r m�jligt, kategorier av registrerade och det uppskattade antalet registrerade som ber�rs samt kategorier av personuppgiftsposter och det uppskattade antalet poster som ber�rs, 3. sannolika konsekvenser av incidenten, 4. vilka �tg�rder som vidtagits eller kommer att vidtas med anledning av incidenten, 5. genomf�rda eller planerade underr�ttelser till registrerade, och 6. namnet p� och kontaktuppgifter till dataskyddsombud eller annan l�mplig kontaktpunkt. All information enligt f�rsta stycket ska l�mnas samtidigt om det �r m�jligt. 2018:1202 </div> <div id="page4-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 4 SFS Om anm�lan g�rs senare �n 72 timmar efter det att personuppgifts- incidenten blev k�nd f�r den personuppgiftsansvarige, ska f�rseningen f�rklaras. 13 � En underr�ttelse enligt 3 kap. 10 � f�rsta stycket brottsdatalagen (2018:1177) ska inneh�lla f�ljande uppgifter: 1. en beskrivning av personuppgiftsincidenten och n�r den intr�ffade, 2. bed�mda konsekvenser f�r den registrerade, 3. vilka �tg�rder som vidtagits eller kommer att vidtas med anledning av personuppgiftsincidenten, 4. �tg�rder som den registrerade kan vidta f�r att begr�nsa skadan, och 5. kontaktuppgifter till dataskyddsombud eller annan l�mplig kontakt- punkt. 14 � Den personuppgiftsansvarige ska dokumentera alla personupp- giftsincidenter. Av dokumentationen ska omst�ndigheterna kring incidenten framg� tillsammans med dess effekter och de �tg�rder som vidtagits med anledning av den. 15 � Om en personuppgiftsincident som enligt 3 kap. 9 � brottsdatalagen (2018:1177) ska anm�las till tillsynsmyndigheten r�r personuppgifter som kommer fr�n eller har l�mnats till en beh�rig myndighet i en annan medlemsstat, ska s�dan information som anges i 12 � f�rsta stycket utan on�digt dr�jsm�l l�mnas till den myndigheten. Dataskyddsombud 16 � Den personuppgiftsansvarige ska s�kerst�lla att dataskyddsombud ges m�jlighet att delta i de fr�gor som r�r skyddet av personuppgifter. Den personuppgiftsansvarige ska se till att dataskyddsombud kan utf�ra de uppgifter som anges i 3 kap. 14 � brottsdatalagen (2018:1177) genom att tillhandah�lla n�dv�ndiga resurser, ge tillg�ng till dokumentation om behandling av personuppgifter och vid behov medge �tkomst till person- uppgifter som behandlas. Den personuppgiftsansvarige ska ocks� se till att dataskyddsombud har den sakkunskap som kr�vs och att de ges m�jlighet att uppr�tth�lla denna. Personuppgiftsbitr�den Avtalets eller �verenskommelsens inneh�ll 17 � Ett avtal eller en annan �verenskommelse enligt 3 kap. 16 � andra stycket brottsdatalagen (2018:1177) ska ange vad behandlingen av person- uppgifter ska avse, hur l�nge behandlingen ska p�g�, dess art och �ndam�l, typen av personuppgifter, kategorier av registrerade och den personuppgifts- ansvariges skyldigheter och r�ttigheter. I avtalet eller �verenskommelsen ska det s�rskilt f�reskrivas att personuppgiftsbitr�det ska 1. behandla personuppgifter bara enligt instruktioner fr�n den person- uppgiftsansvarige, 2. s�kerst�lla att personer som har tillst�nd att behandla personuppgifter antingen har f�rbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt, 3. hj�lpa den personuppgiftsansvarige att s�kerst�lla att best�mmelserna om registrerades r�ttigheter f�ljs, 2018:1202 </div> <div id="page5-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 5 SFS 4. radera eller �terl�mna alla personuppgifter till den personuppgifts- ansvarige n�r uppdraget har slutf�rts och, om inte annat f�ljer av lag eller f�rordning, radera befintliga kopior, 5. ge den personuppgiftsansvarige tillg�ng till den information som kr�vs f�r att visa att det som s�gs i denna paragraf, 18 � och 3 kap. 1618 �� brottsdatalagen f�ljs, och 6. respektera de villkor som framg�r av denna paragraf, 18 � och 3 kap. 17 � brottsdatalagen n�r ett annat personuppgiftsbitr�de anlitas. Underbitr�den 18 � Om den personuppgiftsansvarige har l�mnat ett generellt tillst�nd enligt 3 kap. 17 � brottsdatalagen (2018:1177), ska personuppgiftsbitr�det informera den personuppgiftsansvarige innan nya personuppgiftsbitr�den anlitas. F�rteckning �ver behandlingar 19 � Varje personuppgiftsbitr�de ska f�ra en f�rteckning �ver kategorier av behandlingar av personuppgifter som utf�rs f�r en personuppgifts- ansvarigs r�kning. F�rteckningen ska inneh�lla namnet p� och kontakt- uppgifter till personuppgiftsbitr�det och dessutom, f�r varje kategori av behandling, f�ljande uppgifter: 1. namnet p� och kontaktuppgifter till eventuella underbitr�den, 2. namnet p� och kontaktuppgifter till den personuppgiftsansvarige som personuppgiftsbitr�det agerar f�r, 3. vilka uppgifter som har �verf�rts och till vem, om �verf�ringar av personuppgifter har gjorts till ett tredjeland eller en internationell organisation, och 4. om det �r m�jligt, en allm�n beskrivning av de s�kerhets�tg�rder som har vidtagits. Underr�ttelseskyldighet 20 � Ett personuppgiftsbitr�de ska utan on�digt dr�jsm�l underr�tta den personuppgiftsansvarige om en personuppgiftsincident. �vriga skyldigheter 21 � Det som s�gs om den personuppgiftsansvariges skyldigheter i 4 och 11 �� g�ller �ven f�r personuppgiftsbitr�den. Gemensamt personuppgiftsansvariga 22 � Gemensamt personuppgiftsansvariga ska i en skriftlig �verens- kommelse reglera sina respektive f�rpliktelser i egenskap av person- uppgiftsansvarig. I �verenskommelsen ska det s�rskilt regleras 1. hur ansvaret f�r enskildas r�ttigheter ska ut�vas och vars och ens skyldighet att tillhandah�lla information enligt 4 kap. 1 och 2 �� brotts- datalagen (2018:1177), och 2. vem som ska vara kontaktpunkt f�r registrerade. En s�dan �verenskommelse som anges i f�rsta stycket f�r inte inneb�ra att de personuppgiftsansvarigas f�rfattningsenliga skyldigheter inte fullg�rs. Bemyndiganden 23 � Tillsynsmyndigheten f�r meddela ytterligare f�reskrifter om 2018:1202 </div> <div id="page6-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 6 SFS 1. s�dana �tg�rder som avses i 3 kap. 24 och 8 �� brottsdatalagen (2018:1177), 2. krav och rutiner f�r loggning enligt 3 kap. 5 � brottsdatalagen, 3. vilka typer av behandlingar som ska omfattas av f�rhandssamr�d enligt 3 kap. 7 � andra stycket brottsdatalagen, och 4. anm�lan och underr�ttelse om personuppgiftsincidenter. 4 kap. Enskildas r�ttigheter Krav p� utformningen av information 1 � Information enligt 3 kap. 10 � f�rsta stycket och 4 kap. 14 �� brottsdatalagen (2018:1177) ska vara l�ttillg�nglig och l�ttbegriplig och l�mnas i l�mplig form. Detsamma g�ller information enligt 37 ��, 3 kap. 13 � och 5 kap. 2 � denna f�rordning. Enskilds beg�ran 2 � En beg�ran enligt 4 kap. 3, 4, 9 eller 10 � brottsdatalagen (2018:1177) ska g�ras skriftligen hos den personuppgiftsansvarige. Den personuppgiftsansvarige ska s�kerst�lla att beg�ran g�rs av en beh�rig person. Beslut 3 � Beslut enligt 4 kap. 5, 7, 9 och 10 �� och 12 � andra stycket brotts- datalagen (2018:1177) ska vara skriftliga. Beslut som g�r den registrerade emot ska motiveras. Av 4 kap. 5 � andra och tredje styckena brottsdatalagen framg�r att sk�len f�r vissa beslut inte beh�ver l�mnas ut. Underr�ttelser Underr�ttelser till enskilda 4 � S�kanden ska utan on�digt dr�jsm�l underr�ttas om beslut enligt 4 kap. 5 � f�rsta eller tredje stycket brottsdatalagen (2018:1177) i fr�ga om information enligt 4 kap. 3 � samma lag. S�kanden ska i s�dana fall ocks� underr�ttas om m�jligheterna att l�mna in klagom�l till tillsynsmyndigheten och beg�ra kontroll enligt 5 kap. 3 � brottsdatalagen. N�gon underr�ttelse beh�ver inte l�mnas om det skulle skada det intresse som f�ranleder att information inte l�mnas. 5 � S�kanden ska underr�ttas om beslut enligt 4 kap. 7 � f�rsta stycket eller 12 � andra stycket brottsdatalagen (2018:1177). 6 � Den registrerade ska underr�ttas om beslut enligt 4 kap. 9 eller 10 � brottsdatalagen (2018:1177) och om m�jligheten att l�mna in klagom�l till tillsynsmyndigheten. Om den personuppgiftsansvarige med st�d av 4 kap. 5 � andra eller tredje stycket brottsdatalagen inte har l�mnat ut sk�len f�r beslutet, ska den registrerade ocks� underr�ttas om m�jligheten att beg�ra kontroll enligt 5 kap. 3 � brottsdatalagen. 7 � Den registrerade ska underr�ttas innan en begr�nsning enligt 4 kap. 9 � andra stycket brottsdatalagen (2018:1177) upph�r. 2018:1202 </div> <div id="page7-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 7 SFS Underr�ttelser till andra 8 � Den myndighet fr�n vilken personuppgifter kommer ska underr�ttas om beslut enligt 4 kap. 9 � f�rsta stycket brottsdatalagen (2018:1177). Den som har tagit emot personuppgifter ska underr�ttas om beslut enligt 4 kap. 9 eller 10 � brottsdatalagen. 5 kap. Tillsyn Kontroll genom tillsynsmyndigheten 1 � En beg�ran enligt 5 kap. 3 � brottsdatalagen (2018:1177) ska g�ras skriftligen och ange beh�rig myndighet och m�l, �rende, f�rteckning eller verksamhetsomr�de som beg�ran om kontroll g�ller. Tillsynsmyndigheten ska s�kerst�lla att beg�ran g�rs av en beh�rig person. 2 � Tillsynsmyndigheten ska skriftligen underr�tta den s�kande om att kontroll enligt 5 kap. 3 � brottsdatalagen (2018:1177) har utf�rts. Beslut att v�gra utf�ra kontroll ska vara skriftliga och motiveras. F�rhandssamr�d 3 � Om tillsynsmyndigheten anser att en s�dan planerad behandling som avses i 3 kap. 7 � brottsdatalagen (2018:1177) kan komma att st� i strid med lag eller annan f�rfattning, ska myndigheten senast sex veckor efter det att beg�ran om samr�d togs emot skriftligen l�mna r�d enligt 5 kap. 6 � f�rsta stycket samma lag. Om det finns s�rskilda sk�l, f�r tiden f�rl�ngas med en m�nad. Tillsynsmyndigheten ska inom en m�nad fr�n det att beg�ran om samr�d togs emot informera om f�rl�ngningen och om orsakerna till den. Samarbete med utl�ndska tillsynsmyndigheter Utl�ndsk beg�ran om bist�nd 4 � En beg�ran om bist�nd fr�n en tillsynsmyndighet i en annan medlems- stat ska besvaras s� snabbt som m�jligt och senast en m�nad efter det att beg�ran togs emot. Den som beg�rt bist�nd ska underr�ttas om hand- l�ggningen och om resultatet av beg�ran. 5 � Om bist�nd till en tillsynsmyndighet i en annan stat v�gras, ska den som beg�rt bist�ndet underr�ttas. I underr�ttelsen ska sk�len f�r v�gran anges. Svensk beg�ran om bist�nd av en annan medlemsstat 6 � Tillsynsmyndigheten f�r beg�ra bist�nd av en tillsynsmyndighet i en annan medlemsstat med s�dana �tg�rder som myndigheten f�r vidta n�r den ut�var tillsyn. 7 � En beg�ran om bist�nd ska inneh�lla all information som beh�vs f�r att tillsynsmyndigheten i den andra medlemsstaten ska kunna besvara beg�ran. Syftet med och sk�len f�r �tg�rden ska anges. Internationella �verenskommelser 8 � Tillsynsmyndigheten f�r, trots det som s�gs i 9 �, ing� �verens- kommelser med tillsynsmyndigheter i andra medlemsstater om avgifter f�r internationellt bist�nd. 2018:1202 </div> <div id="page8-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 8 SFS Avgiftsfrihet 9 � Tillsynsmyndigheten ska utf�ra sina tillsynsuppgifter avgiftsfritt, om inte n�got annat best�ms. 6 kap. Administrativa sanktionsavgifter 1 � Sanktionsavgifter ska betalas till Kammarkollegiet. 2 � En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkst�llts inom fem �r fr�n det att beslutet fick laga kraft. 3 � Om betalningsansvaret har upph�vts genom ett beslut som f�tt laga kraft, ska sanktionsavgiften betalas tillbaka. F�r en sanktionsavgift som betalas tillbaka betalas �ven r�nta enligt 5 � r�ntelagen (1975:635) f�r tiden fr�n den dag d� avgiften betalades till och med den dag den betalas tillbaka. 7 kap. �verf�ring av personuppgifter till tredjeland och internationella organisationer 1 � Den som har �verf�rt personuppgifter till ett tredjeland eller en internationell organisation utan ett f�rhandsmedgivande enligt 8 kap. 2 � andra stycket brottsdatalagen (2018:1177) ska utan dr�jsm�l informera den medlemsstat som l�mnat uppgifterna till en svensk myndighet om �ver- f�ringen. 2 � Om en svensk myndighet har �verf�rt personuppgifter enligt 8 kap. 8 � brottsdatalagen (2018:1177), ska myndigheten utan on�digt dr�jsm�l informera beh�rig myndighet i det tredjelandet om �verf�ringen. Det som nu har sagts g�ller inte om det skulle vara ineffektivt eller ol�mpligt att informera om �verf�ringen. 3 � �verf�ringar av personuppgifter enligt 8 kap. 4 � 2 och 5 � brotts- datalagen (2018:1177) ska dokumenteras. Av dokumentationen ska det framg� vilka personuppgifter som �verf�rts, datum och tidpunkt f�r �verf�ringen, �ndam�let med och grunden f�r �verf�ringen och till vilken myndighet som personuppgifterna �verf�rdes. P� beg�ran ska dokumentationen g�ras tillg�nglig f�r tillsyns- myndigheten. 4 � Den personuppgiftsansvarige ska informera tillsynsmyndigheten om samlingar av �verf�ringar som g�rs enligt 8 kap. 4 � 2 brottsdatalagen (2018:1177). 5 � �verf�ringar av personuppgifter enligt 8 kap. 8 � brottsdatalagen (2018:1177) ska dokumenteras. Den personuppgiftsansvarige ska informera tillsynsmyndigheten om s�dana �verf�ringar. 1. Denna f�rordning tr�der i kraft den 1 augusti 2018. 2. Genom f�rordningen upph�vs f�rordningen (2013:343) med vissa best�mmelser om skydd f�r personuppgifter vid polissamarbete och straff- r�ttsligt samarbete inom Europeiska unionen. 3. Best�mmelsen i 3 kap. 4 � om loggning till�mpas fr�n och med den 6 maj 2023 i fr�ga om automatiserade behandlingssystem som inr�ttats f�re den 6 maj 2016. 2018:1202 </div> <div id="page9-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 9 SFS P� regeringens v�gnar MORGAN JOHANSSON Ida Wettervik (Justitiedepartementet) 2018:1202 </div> </div>

Svensk f�rfattningssamling

Brottsdataf�rordning
Utf�rdad den 20 juni 2018

Regeringen f�reskriver1 f�ljande.

1 kap. Allm�nna best�mmelser
1 � I denna f�rordning finns kompletterande f�reskrifter om s�dan

behandling av personuppgifter som omfattas av brottsdatalagen (2018:1177).

2 � Uttryck som anv�nds i denna f�rordning har samma inneb�rd och

till�mpningsomr�de som i brottsdatalagen (2018:1177).

2 kap. Behandling av personuppgifter
1 � Om det visar sig att s�dana personuppgifter som anges i 2 kap. 15 �

f�rsta stycket eller 16 � f�rsta stycket brottsdatalagen (2018:1177) har

l�mnats ut, ska mottagaren omedelbart underr�ttas om det. Om s�dana

personuppgifter har gjorts tillg�ngliga ska, s� l�ngt det �r m�jligt, �ven den

som har tagit del av personuppgifterna omedelbart underr�ttas.

2 � Den personuppgiftsansvarige ska se till att det finns rutiner f�r

1. att s�kerst�lla att de som behandlar personuppgifter respekterar tids-

fristerna f�r n�r personuppgifter inte l�ngre f�r behandlas, och

2. �rlig �versyn av behovet av att lagra personuppgifter.

3 � Den som l�mnar ut personuppgifter ska underr�tta mottagaren om

s�dana s�rskilda villkor f�r behandlingen som har st�llts upp med st�d av en

bindande EU-r�ttsakt, en lag eller en f�rordning.

3 kap. Personuppgiftsansvarigas skyldigheter
Tekniska och organisatoriska �tg�rder
1 � De tekniska och organisatoriska �tg�rder som den personuppgifts-

ansvarige ska vidta enligt 3 kap. 2 och 3 �� brottsdatalagen (2018:1177) ska

vara rimliga med h�nsyn till behandlingens art, omfattning, sammanhang

och �ndam�l och de s�rskilda riskerna med behandlingen. N�r den person-

uppgiftsansvarige vidtar �tg�rder enligt 3 kap. 3 � samma lag ska �ven de

tekniska m�jligheterna och kostnaderna f�r �tg�rderna beaktas.

Jfr Europaparlamentets och r�dets direktiv (EU) 2016/680 av den 27 april 2016 om skydd f�r

fysiska personer med avseende p� beh�riga myndigheters behandling av personuppgifter f�r att

f�rebygga, f�rhindra, utreda, avsl�ja eller lagf�ra brott eller verkst�lla straffr�ttsliga p�f�ljder,

och det fria fl�det av s�dana uppgifter och om upph�vande av r�dets rambeslut 2008/977/RIF, i

den ursprungliga lydelsen.

SFS 2018:1202

Publicerad

den 27 juni 2018

SFS

Dokumentationsskyldighet
Interna strategier
2 � De tekniska och organisatoriska �tg�rder som avses i 3 kap. 2 � brotts-

datalagen (2018:1117) ska innefatta antagande och dokumentation av interna

strategier f�r dataskydd, om det inte �r uppenbart obeh�vligt med h�nsyn till

verksamhetens begr�nsade omfattning.

F�rteckning �ver behandlingar
3 � Den personuppgiftsansvarige ska f�ra en f�rteckning �ver de

kategorier av behandlingar av personuppgifter som denne ansvarar f�r.

F�rteckningen ska inneh�lla namnet p� och kontaktuppgifter till den person-

uppgiftsansvarige, gemensamt personuppgiftsansvariga och dataskydds-

ombud. F�rteckningen ska dessutom, f�r varje kategori av behandling,

inneh�lla f�ljande uppgifter:

1. den r�ttsliga grunden f�r behandlingen,

2. �ndam�len med behandlingen,

3. de kategorier av tj�nstem�n som har tillg�ng till de personuppgifter som

behandlas,

4. de kategorier av mottagare som uppgifterna kan komma att l�mnas ut

till, �ven i tredjeland eller internationella organisationer,

5. de kategorier av registrerade som ber�rs av behandlingen,

6. de kategorier av personuppgifter som kan komma att behandlas,

7. samlingar av �verf�ringar av personuppgifter till tredjeland eller

internationella organisationer,

8. anv�ndning av profilering,

9. om det �r m�jligt, tidsfrister f�r hur l�nge kategorierna av person-

uppgifter f�r behandlas, och

10. om det �r m�jligt, en allm�n beskrivning av vilka s�kerhets�tg�rder

som har vidtagits.

Loggning
4 � Skyldigheten att f�ra loggar i automatiserade behandlingssystem

enligt 3 kap. 5 � brottsdatalagen (2018:1177) ska omfatta behandlingar som

inneb�r insamling, �ndring, l�sning, utl�mning, �verf�ring till tredjeland

eller internationella organisationer, sammanf�ring och radering av person-

uppgifter. Loggarna �ver l�sning och utl�mning ska visa datum och tidpunkt

f�r behandlingen och, s� l�ngt det �r m�jligt, vem som har l�st eller l�mnat

ut personuppgifterna och vem som har f�tt ta del av personuppgifterna.

Tillg�ngen til personuppgifter
5 � Vid tilldelning av beh�righet f�r �tkomst till personuppgifter ska,

ut�ver behovet av uppgifterna, utbildning och erfarenhet s�rskilt beaktas.

6 � I en beh�rig myndighet ska det finnas rutiner f�r tilldelning,

f�r�ndring, borttagning och regelbunden uppf�ljning av beh�righeter f�r

�tkomst till personuppgifter.

7 � Tillg�ngen till uppgifter om tidigare brottsmisstankar ska s�rskilt

begr�nsas.

2018:1202

SFS

Konsekvensbed�mning och f�rhandssamr�d
8 � Konsekvensbed�mningar som avses i 3 kap. 7 � f�rsta stycket brotts-

datalagen (2018:1177) ska dokumenteras och inneh�lla f�ljande uppgifter:

1. en allm�n beskrivning av den planerade behandlingen,

2. en bed�mning av riskerna f�r intr�ng i registrerades personliga

integritet,

3. vilka �tg�rder som planeras f�r att hantera riskerna,

4. �tg�rder och rutiner f�r att s�kerst�lla skyddet av personuppgifterna,

och

5. rutiner f�r att visa att till�mpliga dataskyddsregler f�ljs.

9 � Vid f�rhandssamr�d enligt 3 kap. 7 � andra stycket brottsdatalagen

(2018:1177) ska den personuppgiftsansvarige l�mna in konsekvens-

bed�mningen till tillsynsmyndigheten och tillhandah�lla den �vriga

information som beg�rs av myndigheten.

Vid bed�mningen av om typen av behandling inneb�r en s�dan risk f�r

intr�ng i registrerades personliga integritet att f�rhandssamr�d ska �ga rum

ska ny teknik, nya rutiner eller nya f�rfaranden s�rskilt beaktas.

Anm�lan av �vertr�delser
10 � Den personuppgiftsansvarige ska ha interna rutiner f�r anm�lan av

�vertr�delser av best�mmelser om personuppgiftsbehandling som garanterar

att anm�larens identitet skyddas.

S�kerheten vid behandling av personuppgifter
S�kerhets�tg�rder
11 � S�kerhets�tg�rder enligt 3 kap. 8 � brottsdatalagen (2018:1177) ska

�stadkomma en skyddsniv� som �r l�mplig med h�nsyn till

1. de tekniska m�jligheterna,

2. kostnaderna f�r �tg�rderna,

3. behandlingens art, omfattning, sammanhang och �ndam�l,

4. de s�rskilda riskerna med behandlingen,

5. om k�nsliga personuppgifter behandlas, och

6. hur integritetsk�nsliga �vriga personuppgifter som behandlas �r.

Personuppgiftsincidenter
12 � En anm�lan enligt 3 kap. 9 � f�rsta stycket brottsdatalagen

(2018:1177) ska inneh�lla f�ljande information:

1. en beskrivning av personuppgiftsincidenten och n�r den intr�ffade,

2. om det �r m�jligt, kategorier av registrerade och det uppskattade antalet

registrerade som ber�rs samt kategorier av personuppgiftsposter och det

uppskattade antalet poster som ber�rs,

3. sannolika konsekvenser av incidenten,

4. vilka �tg�rder som vidtagits eller kommer att vidtas med anledning av

incidenten,

5. genomf�rda eller planerade underr�ttelser till registrerade, och

6. namnet p� och kontaktuppgifter till dataskyddsombud eller annan

l�mplig kontaktpunkt.

All information enligt f�rsta stycket ska l�mnas samtidigt om det �r

m�jligt.

2018:1202

SFS

Om anm�lan g�rs senare �n 72 timmar efter det att personuppgifts-

incidenten blev k�nd f�r den personuppgiftsansvarige, ska f�rseningen

f�rklaras.

13 � En underr�ttelse enligt 3 kap. 10 � f�rsta stycket brottsdatalagen

(2018:1177) ska inneh�lla f�ljande uppgifter:

1. en beskrivning av personuppgiftsincidenten och n�r den intr�ffade,

2. bed�mda konsekvenser f�r den registrerade,

3. vilka �tg�rder som vidtagits eller kommer att vidtas med anledning av

personuppgiftsincidenten,

4. �tg�rder som den registrerade kan vidta f�r att begr�nsa skadan, och

5. kontaktuppgifter till dataskyddsombud eller annan l�mplig kontakt-

punkt.

14 � Den personuppgiftsansvarige ska dokumentera alla personupp-

giftsincidenter. Av dokumentationen ska omst�ndigheterna kring incidenten

framg� tillsammans med dess effekter och de �tg�rder som vidtagits med

anledning av den.

15 � Om en personuppgiftsincident som enligt 3 kap. 9 � brottsdatalagen

(2018:1177) ska anm�las till tillsynsmyndigheten r�r personuppgifter som

kommer fr�n eller har l�mnats till en beh�rig myndighet i en annan

medlemsstat, ska s�dan information som anges i 12 � f�rsta stycket utan

on�digt dr�jsm�l l�mnas till den myndigheten.

Dataskyddsombud
16 � Den personuppgiftsansvarige ska s�kerst�lla att dataskyddsombud

ges m�jlighet att delta i de fr�gor som r�r skyddet av personuppgifter.

Den personuppgiftsansvarige ska se till att dataskyddsombud kan utf�ra

de uppgifter som anges i 3 kap. 14 � brottsdatalagen (2018:1177) genom att

tillhandah�lla n�dv�ndiga resurser, ge tillg�ng till dokumentation om

behandling av personuppgifter och vid behov medge �tkomst till person-

uppgifter som behandlas. Den personuppgiftsansvarige ska ocks� se till att

dataskyddsombud har den sakkunskap som kr�vs och att de ges m�jlighet

att uppr�tth�lla denna.

Personuppgiftsbitr�den
Avtalets eller �verenskommelsens inneh�ll
17 � Ett avtal eller en annan �verenskommelse enligt 3 kap. 16 � andra

stycket brottsdatalagen (2018:1177) ska ange vad behandlingen av person-

uppgifter ska avse, hur l�nge behandlingen ska p�g�, dess art och �ndam�l,

typen av personuppgifter, kategorier av registrerade och den personuppgifts-

ansvariges skyldigheter och r�ttigheter. I avtalet eller �verenskommelsen

ska det s�rskilt f�reskrivas att personuppgiftsbitr�det ska

1. behandla personuppgifter bara enligt instruktioner fr�n den person-

uppgiftsansvarige,

2. s�kerst�lla att personer som har tillst�nd att behandla personuppgifter

antingen har f�rbundit sig att iaktta regler om tystnadsplikt eller omfattas av

lagstadgad tystnadsplikt,

3. hj�lpa den personuppgiftsansvarige att s�kerst�lla att best�mmelserna

om registrerades r�ttigheter f�ljs,

2018:1202

SFS

4. radera eller �terl�mna alla personuppgifter till den personuppgifts-

ansvarige n�r uppdraget har slutf�rts och, om inte annat f�ljer av lag eller

f�rordning, radera befintliga kopior,

5. ge den personuppgiftsansvarige tillg�ng till den information som kr�vs

f�r att visa att det som s�gs i denna paragraf, 18 � och 3 kap. 1618 ��

brottsdatalagen f�ljs, och

6. respektera de villkor som framg�r av denna paragraf, 18 � och 3 kap.

17 � brottsdatalagen n�r ett annat personuppgiftsbitr�de anlitas.

Underbitr�den
18 � Om den personuppgiftsansvarige har l�mnat ett generellt tillst�nd

enligt 3 kap. 17 � brottsdatalagen (2018:1177), ska personuppgiftsbitr�det

informera den personuppgiftsansvarige innan nya personuppgiftsbitr�den

anlitas.

F�rteckning �ver behandlingar
19 � Varje personuppgiftsbitr�de ska f�ra en f�rteckning �ver kategorier

av behandlingar av personuppgifter som utf�rs f�r en personuppgifts-

ansvarigs r�kning. F�rteckningen ska inneh�lla namnet p� och kontakt-

uppgifter till personuppgiftsbitr�det och dessutom, f�r varje kategori av

behandling, f�ljande uppgifter:

1. namnet p� och kontaktuppgifter till eventuella underbitr�den,

2. namnet p� och kontaktuppgifter till den personuppgiftsansvarige som

personuppgiftsbitr�det agerar f�r,

3. vilka uppgifter som har �verf�rts och till vem, om �verf�ringar av

personuppgifter har gjorts till ett tredjeland eller en internationell

organisation, och

4. om det �r m�jligt, en allm�n beskrivning av de s�kerhets�tg�rder som

har vidtagits.

Underr�ttelseskyldighet
20 � Ett personuppgiftsbitr�de ska utan on�digt dr�jsm�l underr�tta den

personuppgiftsansvarige om en personuppgiftsincident.

�vriga skyldigheter
21 � Det som s�gs om den personuppgiftsansvariges skyldigheter i 4 och

11 �� g�ller �ven f�r personuppgiftsbitr�den.

Gemensamt personuppgiftsansvariga
22 � Gemensamt personuppgiftsansvariga ska i en skriftlig �verens-

kommelse reglera sina respektive f�rpliktelser i egenskap av person-

uppgiftsansvarig. I �verenskommelsen ska det s�rskilt regleras

1. hur ansvaret f�r enskildas r�ttigheter ska ut�vas och vars och ens

skyldighet att tillhandah�lla information enligt 4 kap. 1 och 2 �� brotts-

datalagen (2018:1177), och

2. vem som ska vara kontaktpunkt f�r registrerade.

En s�dan �verenskommelse som anges i f�rsta stycket f�r inte inneb�ra

att de personuppgiftsansvarigas f�rfattningsenliga skyldigheter inte fullg�rs.

Bemyndiganden
23 � Tillsynsmyndigheten f�r meddela ytterligare f�reskrifter om

2018:1202

SFS

1. s�dana �tg�rder som avses i 3 kap. 24 och 8 �� brottsdatalagen

(2018:1177),

2. krav och rutiner f�r loggning enligt 3 kap. 5 � brottsdatalagen,

3. vilka typer av behandlingar som ska omfattas av f�rhandssamr�d enligt

3 kap. 7 � andra stycket brottsdatalagen, och

4. anm�lan och underr�ttelse om personuppgiftsincidenter.

4 kap. Enskildas r�ttigheter
Krav p� utformningen av information
1 � Information enligt 3 kap. 10 � f�rsta stycket och 4 kap. 14 ��

brottsdatalagen (2018:1177) ska vara l�ttillg�nglig och l�ttbegriplig och

l�mnas i l�mplig form. Detsamma g�ller information enligt 37 ��, 3 kap.

13 � och 5 kap. 2 � denna f�rordning.

Enskilds beg�ran
2 � En beg�ran enligt 4 kap. 3, 4, 9 eller 10 � brottsdatalagen (2018:1177)

ska g�ras skriftligen hos den personuppgiftsansvarige.

Den personuppgiftsansvarige ska s�kerst�lla att beg�ran g�rs av en

beh�rig person.

Beslut
3 � Beslut enligt 4 kap. 5, 7, 9 och 10 �� och 12 � andra stycket brotts-

datalagen (2018:1177) ska vara skriftliga. Beslut som g�r den registrerade

emot ska motiveras.

Av 4 kap. 5 � andra och tredje styckena brottsdatalagen framg�r att sk�len

f�r vissa beslut inte beh�ver l�mnas ut.

Underr�ttelser
Underr�ttelser till enskilda
4 � S�kanden ska utan on�digt dr�jsm�l underr�ttas om beslut enligt

4 kap. 5 � f�rsta eller tredje stycket brottsdatalagen (2018:1177) i fr�ga om

information enligt 4 kap. 3 � samma lag. S�kanden ska i s�dana fall ocks�

underr�ttas om m�jligheterna att l�mna in klagom�l till tillsynsmyndigheten

och beg�ra kontroll enligt 5 kap. 3 � brottsdatalagen. N�gon underr�ttelse

beh�ver inte l�mnas om det skulle skada det intresse som f�ranleder att

information inte l�mnas.

5 � S�kanden ska underr�ttas om beslut enligt 4 kap. 7 � f�rsta stycket

eller 12 � andra stycket brottsdatalagen (2018:1177).

6 � Den registrerade ska underr�ttas om beslut enligt 4 kap. 9 eller 10 �

brottsdatalagen (2018:1177) och om m�jligheten att l�mna in klagom�l till

tillsynsmyndigheten. Om den personuppgiftsansvarige med st�d av 4 kap.

5 � andra eller tredje stycket brottsdatalagen inte har l�mnat ut sk�len f�r

beslutet, ska den registrerade ocks� underr�ttas om m�jligheten att beg�ra

kontroll enligt 5 kap. 3 � brottsdatalagen.

7 � Den registrerade ska underr�ttas innan en begr�nsning enligt 4 kap. 9 �

andra stycket brottsdatalagen (2018:1177) upph�r.

2018:1202

SFS

Underr�ttelser till andra
8 � Den myndighet fr�n vilken personuppgifter kommer ska underr�ttas

om beslut enligt 4 kap. 9 � f�rsta stycket brottsdatalagen (2018:1177).

Den som har tagit emot personuppgifter ska underr�ttas om beslut enligt

4 kap. 9 eller 10 � brottsdatalagen.

5 kap. Tillsyn
Kontroll genom tillsynsmyndigheten
1 � En beg�ran enligt 5 kap. 3 � brottsdatalagen (2018:1177) ska g�ras

skriftligen och ange beh�rig myndighet och m�l, �rende, f�rteckning eller

verksamhetsomr�de som beg�ran om kontroll g�ller.

Tillsynsmyndigheten ska s�kerst�lla att beg�ran g�rs av en beh�rig

person.

2 � Tillsynsmyndigheten ska skriftligen underr�tta den s�kande om att

kontroll enligt 5 kap. 3 � brottsdatalagen (2018:1177) har utf�rts.

Beslut att v�gra utf�ra kontroll ska vara skriftliga och motiveras.

F�rhandssamr�d
3 � Om tillsynsmyndigheten anser att en s�dan planerad behandling som

avses i 3 kap. 7 � brottsdatalagen (2018:1177) kan komma att st� i strid med

lag eller annan f�rfattning, ska myndigheten senast sex veckor efter det att

beg�ran om samr�d togs emot skriftligen l�mna r�d enligt 5 kap. 6 � f�rsta

stycket samma lag. Om det finns s�rskilda sk�l, f�r tiden f�rl�ngas med en

m�nad. Tillsynsmyndigheten ska inom en m�nad fr�n det att beg�ran om

samr�d togs emot informera om f�rl�ngningen och om orsakerna till den.

Samarbete med utl�ndska tillsynsmyndigheter
Utl�ndsk beg�ran om bist�nd
4 � En beg�ran om bist�nd fr�n en tillsynsmyndighet i en annan medlems-

stat ska besvaras s� snabbt som m�jligt och senast en m�nad efter det att

beg�ran togs emot. Den som beg�rt bist�nd ska underr�ttas om hand-

l�ggningen och om resultatet av beg�ran.

5 � Om bist�nd till en tillsynsmyndighet i en annan stat v�gras, ska den

som beg�rt bist�ndet underr�ttas. I underr�ttelsen ska sk�len f�r v�gran

anges.

Svensk beg�ran om bist�nd av en annan medlemsstat
6 � Tillsynsmyndigheten f�r beg�ra bist�nd av en tillsynsmyndighet i en

annan medlemsstat med s�dana �tg�rder som myndigheten f�r vidta n�r den

ut�var tillsyn.

7 � En beg�ran om bist�nd ska inneh�lla all information som beh�vs f�r

att tillsynsmyndigheten i den andra medlemsstaten ska kunna besvara

beg�ran. Syftet med och sk�len f�r �tg�rden ska anges.

Internationella �verenskommelser
8 � Tillsynsmyndigheten f�r, trots det som s�gs i 9 �, ing� �verens-

kommelser med tillsynsmyndigheter i andra medlemsstater om avgifter f�r

internationellt bist�nd.

2018:1202

SFS

Avgiftsfrihet
9 � Tillsynsmyndigheten ska utf�ra sina tillsynsuppgifter avgiftsfritt, om

inte n�got annat best�ms.

6 kap. Administrativa sanktionsavgifter
1 � Sanktionsavgifter ska betalas till Kammarkollegiet.

2 � En beslutad sanktionsavgift faller bort till den del beslutet om avgiften

inte har verkst�llts inom fem �r fr�n det att beslutet fick laga kraft.

3 � Om betalningsansvaret har upph�vts genom ett beslut som f�tt laga

kraft, ska sanktionsavgiften betalas tillbaka. F�r en sanktionsavgift som

betalas tillbaka betalas �ven r�nta enligt 5 � r�ntelagen (1975:635) f�r tiden

fr�n den dag d� avgiften betalades till och med den dag den betalas tillbaka.

7 kap. �verf�ring av personuppgifter till tredjeland och

internationella organisationer
1 � Den som har �verf�rt personuppgifter till ett tredjeland eller en

internationell organisation utan ett f�rhandsmedgivande enligt 8 kap. 2 �

andra stycket brottsdatalagen (2018:1177) ska utan dr�jsm�l informera den

medlemsstat som l�mnat uppgifterna till en svensk myndighet om �ver-

f�ringen.

2 � Om en svensk myndighet har �verf�rt personuppgifter enligt 8 kap.

8 � brottsdatalagen (2018:1177), ska myndigheten utan on�digt dr�jsm�l

informera beh�rig myndighet i det tredjelandet om �verf�ringen. Det som

nu har sagts g�ller inte om det skulle vara ineffektivt eller ol�mpligt att

informera om �verf�ringen.

3 � �verf�ringar av personuppgifter enligt 8 kap. 4 � 2 och 5 � brotts-

datalagen (2018:1177) ska dokumenteras. Av dokumentationen ska det

framg� vilka personuppgifter som �verf�rts, datum och tidpunkt f�r

�verf�ringen, �ndam�let med och grunden f�r �verf�ringen och till vilken

myndighet som personuppgifterna �verf�rdes.

P� beg�ran ska dokumentationen g�ras tillg�nglig f�r tillsyns-

myndigheten.

4 � Den personuppgiftsansvarige ska informera tillsynsmyndigheten om

samlingar av �verf�ringar som g�rs enligt 8 kap. 4 � 2 brottsdatalagen

(2018:1177).

5 � �verf�ringar av personuppgifter enligt 8 kap. 8 � brottsdatalagen

(2018:1177) ska dokumenteras. Den personuppgiftsansvarige ska informera

tillsynsmyndigheten om s�dana �verf�ringar.

1. Denna f�rordning tr�der i kraft den 1 augusti 2018.

2. Genom f�rordningen upph�vs f�rordningen (2013:343) med vissa

best�mmelser om skydd f�r personuppgifter vid polissamarbete och straff-

r�ttsligt samarbete inom Europeiska unionen.

3. Best�mmelsen i 3 kap. 4 � om loggning till�mpas fr�n och med den

6 maj 2023 i fr�ga om automatiserade behandlingssystem som inr�ttats f�re

den 6 maj 2016.

2018:1202

SFS

P� regeringens v�gnar

MORGAN JOHANSSON

Ida Wettervik

(Justitiedepartementet)

2018:1202

;

Tjänster

Utbildningar

Juridisk rådgivning

SFS 2018:1202 Brottsdataförordning

Om Lagboken.se