SFS 2018:1202 Brottsdataförordning
Källa Regeringskansliets rättsdatabaser m.fl.
1
Svensk författningssamling
Brottsdataförordning
Utfärdad den 20 juni 2018
Regeringen föreskriver1 följande.
1 kap. Allmänna bestämmelser
1 § I denna förordning finns kompletterande föreskrifter om sådan
behandling av personuppgifter som omfattas av brottsdatalagen (2018:1177).
2 § Uttryck som används i denna förordning har samma innebörd och
tillämpningsområde som i brottsdatalagen (2018:1177).
2 kap. Behandling av personuppgifter
1 § Om det visar sig att sådana personuppgifter som anges i 2 kap. 15 §
första stycket eller 16 § första stycket brottsdatalagen (2018:1177) har
lämnats ut, ska mottagaren omedelbart underrättas om det. Om sådana
personuppgifter har gjorts tillgängliga ska, så långt det är möjligt, även den
som har tagit del av personuppgifterna omedelbart underrättas.
2 § Den personuppgiftsansvarige ska se till att det finns rutiner för
1. att säkerställa att de som behandlar personuppgifter respekterar tids-
fristerna för när personuppgifter inte längre får behandlas, och
2. årlig översyn av behovet av att lagra personuppgifter.
3 § Den som lämnar ut personuppgifter ska underrätta mottagaren om
sådana särskilda villkor för behandlingen som har ställts upp med stöd av en
bindande EU-rättsakt, en lag eller en förordning.
3 kap. Personuppgiftsansvarigas skyldigheter
Tekniska och organisatoriska åtgärder
1 § De tekniska och organisatoriska åtgärder som den personuppgifts-
ansvarige ska vidta enligt 3 kap. 2 och 3 §§ brottsdatalagen (2018:1177) ska
vara rimliga med hänsyn till behandlingens art, omfattning, sammanhang
och ändamål och de särskilda riskerna med behandlingen. När den person-
uppgiftsansvarige vidtar åtgärder enligt 3 kap. 3 § samma lag ska även de
tekniska möjligheterna och kostnaderna för åtgärderna beaktas.
1
Jfr Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för
fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att
förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder,
och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, i
den ursprungliga lydelsen.
SFS 2018:1202
Publicerad
den 27 juni 2018
2
SFS
Dokumentationsskyldighet
Interna strategier
2 § De tekniska och organisatoriska åtgärder som avses i 3 kap. 2 § brotts-
datalagen (2018:1117) ska innefatta antagande och dokumentation av interna
strategier för dataskydd, om det inte är uppenbart obehövligt med hänsyn till
verksamhetens begränsade omfattning.
Förteckning över behandlingar
3 § Den personuppgiftsansvarige ska föra en förteckning över de
kategorier av behandlingar av personuppgifter som denne ansvarar för.
Förteckningen ska innehålla namnet på och kontaktuppgifter till den person-
uppgiftsansvarige, gemensamt personuppgiftsansvariga och dataskydds-
ombud. Förteckningen ska dessutom, för varje kategori av behandling,
innehålla följande uppgifter:
1. den rättsliga grunden för behandlingen,
2. ändamålen med behandlingen,
3. de kategorier av tjänstemän som har tillgång till de personuppgifter som
behandlas,
4. de kategorier av mottagare som uppgifterna kan komma att lämnas ut
till, även i tredjeland eller internationella organisationer,
5. de kategorier av registrerade som berörs av behandlingen,
6. de kategorier av personuppgifter som kan komma att behandlas,
7. samlingar av överföringar av personuppgifter till tredjeland eller
internationella organisationer,
8. användning av profilering,
9. om det är möjligt, tidsfrister för hur länge kategorierna av person-
uppgifter får behandlas, och
10. om det är möjligt, en allmän beskrivning av vilka säkerhetsåtgärder
som har vidtagits.
Loggning
4 § Skyldigheten att föra loggar i automatiserade behandlingssystem
enligt 3 kap. 5 § brottsdatalagen (2018:1177) ska omfatta behandlingar som
innebär insamling, ändring, läsning, utlämning, överföring till tredjeland
eller internationella organisationer, sammanföring och radering av person-
uppgifter. Loggarna över läsning och utlämning ska visa datum och tidpunkt
för behandlingen och, så långt det är möjligt, vem som har läst eller lämnat
ut personuppgifterna och vem som har fått ta del av personuppgifterna.
Tillgången til personuppgifter
5 § Vid tilldelning av behörighet för åtkomst till personuppgifter ska,
utöver behovet av uppgifterna, utbildning och erfarenhet särskilt beaktas.
6 § I en behörig myndighet ska det finnas rutiner för tilldelning,
förändring, borttagning och regelbunden uppföljning av behörigheter för
åtkomst till personuppgifter.
7 § Tillgången till uppgifter om tidigare brottsmisstankar ska särskilt
begränsas.
2018:1202
3
SFS
Konsekvensbedömning och förhandssamråd
8 § Konsekvensbedömningar som avses i 3 kap. 7 § första stycket brotts-
datalagen (2018:1177) ska dokumenteras och innehålla följande uppgifter:
1. en allmän beskrivning av den planerade behandlingen,
2. en bedömning av riskerna för intrång i registrerades personliga
integritet,
3. vilka åtgärder som planeras för att hantera riskerna,
4. åtgärder och rutiner för att säkerställa skyddet av personuppgifterna,
och
5. rutiner för att visa att tillämpliga dataskyddsregler följs.
9 § Vid förhandssamråd enligt 3 kap. 7 § andra stycket brottsdatalagen
(2018:1177) ska den personuppgiftsansvarige lämna in konsekvens-
bedömningen till tillsynsmyndigheten och tillhandahålla den övriga
information som begärs av myndigheten.
Vid bedömningen av om typen av behandling innebär en sådan risk för
intrång i registrerades personliga integritet att förhandssamråd ska äga rum
ska ny teknik, nya rutiner eller nya förfaranden särskilt beaktas.
Anmälan av överträdelser
10 § Den personuppgiftsansvarige ska ha interna rutiner för anmälan av
överträdelser av bestämmelser om personuppgiftsbehandling som garanterar
att anmälarens identitet skyddas.
Säkerheten vid behandling av personuppgifter
Säkerhetsåtgärder
11 § Säkerhetsåtgärder enligt 3 kap. 8 § brottsdatalagen (2018:1177) ska
åstadkomma en skyddsnivå som är lämplig med hänsyn till
1. de tekniska möjligheterna,
2. kostnaderna för åtgärderna,
3. behandlingens art, omfattning, sammanhang och ändamål,
4. de särskilda riskerna med behandlingen,
5. om känsliga personuppgifter behandlas, och
6. hur integritetskänsliga övriga personuppgifter som behandlas är.
Personuppgiftsincidenter
12 § En anmälan enligt 3 kap. 9 § första stycket brottsdatalagen
(2018:1177) ska innehålla följande information:
1. en beskrivning av personuppgiftsincidenten och när den inträffade,
2. om det är möjligt, kategorier av registrerade och det uppskattade antalet
registrerade som berörs samt kategorier av personuppgiftsposter och det
uppskattade antalet poster som berörs,
3. sannolika konsekvenser av incidenten,
4. vilka åtgärder som vidtagits eller kommer att vidtas med anledning av
incidenten,
5. genomförda eller planerade underrättelser till registrerade, och
6. namnet på och kontaktuppgifter till dataskyddsombud eller annan
lämplig kontaktpunkt.
All information enligt första stycket ska lämnas samtidigt om det är
möjligt.
2018:1202
4
SFS
Om anmälan görs senare än 72 timmar efter det att personuppgifts-
incidenten blev känd för den personuppgiftsansvarige, ska förseningen
förklaras.
13 § En underrättelse enligt 3 kap. 10 § första stycket brottsdatalagen
(2018:1177) ska innehålla följande uppgifter:
1. en beskrivning av personuppgiftsincidenten och när den inträffade,
2. bedömda konsekvenser för den registrerade,
3. vilka åtgärder som vidtagits eller kommer att vidtas med anledning av
personuppgiftsincidenten,
4. åtgärder som den registrerade kan vidta för att begränsa skadan, och
5. kontaktuppgifter till dataskyddsombud eller annan lämplig kontakt-
punkt.
14 § Den personuppgiftsansvarige ska dokumentera alla personupp-
giftsincidenter. Av dokumentationen ska omständigheterna kring incidenten
framgå tillsammans med dess effekter och de åtgärder som vidtagits med
anledning av den.
15 § Om en personuppgiftsincident som enligt 3 kap. 9 § brottsdatalagen
(2018:1177) ska anmälas till tillsynsmyndigheten rör personuppgifter som
kommer från eller har lämnats till en behörig myndighet i en annan
medlemsstat, ska sådan information som anges i 12 § första stycket utan
onödigt dröjsmål lämnas till den myndigheten.
Dataskyddsombud
16 § Den personuppgiftsansvarige ska säkerställa att dataskyddsombud
ges möjlighet att delta i de frågor som rör skyddet av personuppgifter.
Den personuppgiftsansvarige ska se till att dataskyddsombud kan utföra
de uppgifter som anges i 3 kap. 14 § brottsdatalagen (2018:1177) genom att
tillhandahålla nödvändiga resurser, ge tillgång till dokumentation om
behandling av personuppgifter och vid behov medge åtkomst till person-
uppgifter som behandlas. Den personuppgiftsansvarige ska också se till att
dataskyddsombud har den sakkunskap som krävs och att de ges möjlighet
att upprätthålla denna.
Personuppgiftsbiträden
Avtalets eller överenskommelsens innehåll
17 § Ett avtal eller en annan överenskommelse enligt 3 kap. 16 § andra
stycket brottsdatalagen (2018:1177) ska ange vad behandlingen av person-
uppgifter ska avse, hur länge behandlingen ska pågå, dess art och ändamål,
typen av personuppgifter, kategorier av registrerade och den personuppgifts-
ansvariges skyldigheter och rättigheter. I avtalet eller överenskommelsen
ska det särskilt föreskrivas att personuppgiftsbiträdet ska
1. behandla personuppgifter bara enligt instruktioner från den person-
uppgiftsansvarige,
2. säkerställa att personer som har tillstånd att behandla personuppgifter
antingen har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av
lagstadgad tystnadsplikt,
3. hjälpa den personuppgiftsansvarige att säkerställa att bestämmelserna
om registrerades rättigheter följs,
2018:1202
5
SFS
4. radera eller återlämna alla personuppgifter till den personuppgifts-
ansvarige när uppdraget har slutförts och, om inte annat följer av lag eller
förordning, radera befintliga kopior,
5. ge den personuppgiftsansvarige tillgång till den information som krävs
för att visa att det som sägs i denna paragraf, 18 § och 3 kap. 16–18 §§
brottsdatalagen följs, och
6. respektera de villkor som framgår av denna paragraf, 18 § och 3 kap.
17 § brottsdatalagen när ett annat personuppgiftsbiträde anlitas.
Underbiträden
18 § Om den personuppgiftsansvarige har lämnat ett generellt tillstånd
enligt 3 kap. 17 § brottsdatalagen (2018:1177), ska personuppgiftsbiträdet
informera den personuppgiftsansvarige innan nya personuppgiftsbiträden
anlitas.
Förteckning över behandlingar
19 § Varje personuppgiftsbiträde ska föra en förteckning över kategorier
av behandlingar av personuppgifter som utförs för en personuppgifts-
ansvarigs räkning. Förteckningen ska innehålla namnet på och kontakt-
uppgifter till personuppgiftsbiträdet och dessutom, för varje kategori av
behandling, följande uppgifter:
1. namnet på och kontaktuppgifter till eventuella underbiträden,
2. namnet på och kontaktuppgifter till den personuppgiftsansvarige som
personuppgiftsbiträdet agerar för,
3. vilka uppgifter som har överförts och till vem, om överföringar av
personuppgifter har gjorts till ett tredjeland eller en internationell
organisation, och
4. om det är möjligt, en allmän beskrivning av de säkerhetsåtgärder som
har vidtagits.
Underrättelseskyldighet
20 § Ett personuppgiftsbiträde ska utan onödigt dröjsmål underrätta den
personuppgiftsansvarige om en personuppgiftsincident.
Övriga skyldigheter
21 § Det som sägs om den personuppgiftsansvariges skyldigheter i 4 och
11 §§ gäller även för personuppgiftsbiträden.
Gemensamt personuppgiftsansvariga
22 § Gemensamt personuppgiftsansvariga ska i en skriftlig överens-
kommelse reglera sina respektive förpliktelser i egenskap av person-
uppgiftsansvarig. I överenskommelsen ska det särskilt regleras
1. hur ansvaret för enskildas rättigheter ska utövas och vars och ens
skyldighet att tillhandahålla information enligt 4 kap. 1 och 2 §§ brotts-
datalagen (2018:1177), och
2. vem som ska vara kontaktpunkt för registrerade.
En sådan överenskommelse som anges i första stycket får inte innebära
att de personuppgiftsansvarigas författningsenliga skyldigheter inte fullgörs.
Bemyndiganden
23 § Tillsynsmyndigheten får meddela ytterligare föreskrifter om
2018:1202
6
SFS
1. sådana åtgärder som avses i 3 kap. 2–4 och 8 §§ brottsdatalagen
(2018:1177),
2. krav och rutiner för loggning enligt 3 kap. 5 § brottsdatalagen,
3. vilka typer av behandlingar som ska omfattas av förhandssamråd enligt
3 kap. 7 § andra stycket brottsdatalagen, och
4. anmälan och underrättelse om personuppgiftsincidenter.
4 kap. Enskildas rättigheter
Krav på utformningen av information
1 § Information enligt 3 kap. 10 § första stycket och 4 kap. 1–4 §§
brottsdatalagen (2018:1177) ska vara lättillgänglig och lättbegriplig och
lämnas i lämplig form. Detsamma gäller information enligt 3–7 §§, 3 kap.
13 § och 5 kap. 2 § denna förordning.
Enskilds begäran
2 § En begäran enligt 4 kap. 3, 4, 9 eller 10 § brottsdatalagen (2018:1177)
ska göras skriftligen hos den personuppgiftsansvarige.
Den personuppgiftsansvarige ska säkerställa att begäran görs av en
behörig person.
Beslut
3 § Beslut enligt 4 kap. 5, 7, 9 och 10 §§ och 12 § andra stycket brotts-
datalagen (2018:1177) ska vara skriftliga. Beslut som går den registrerade
emot ska motiveras.
Av 4 kap. 5 § andra och tredje styckena brottsdatalagen framgår att skälen
för vissa beslut inte behöver lämnas ut.
Underrättelser
Underrättelser till enskilda
4 § Sökanden ska utan onödigt dröjsmål underrättas om beslut enligt
4 kap. 5 § första eller tredje stycket brottsdatalagen (2018:1177) i fråga om
information enligt 4 kap. 3 § samma lag. Sökanden ska i sådana fall också
underrättas om möjligheterna att lämna in klagomål till tillsynsmyndigheten
och begära kontroll enligt 5 kap. 3 § brottsdatalagen. Någon underrättelse
behöver inte lämnas om det skulle skada det intresse som föranleder att
information inte lämnas.
5 § Sökanden ska underrättas om beslut enligt 4 kap. 7 § första stycket
eller 12 § andra stycket brottsdatalagen (2018:1177).
6 § Den registrerade ska underrättas om beslut enligt 4 kap. 9 eller 10 §
brottsdatalagen (2018:1177) och om möjligheten att lämna in klagomål till
tillsynsmyndigheten. Om den personuppgiftsansvarige med stöd av 4 kap.
5 § andra eller tredje stycket brottsdatalagen inte har lämnat ut skälen för
beslutet, ska den registrerade också underrättas om möjligheten att begära
kontroll enligt 5 kap. 3 § brottsdatalagen.
7 § Den registrerade ska underrättas innan en begränsning enligt 4 kap. 9 §
andra stycket brottsdatalagen (2018:1177) upphör.
2018:1202
7
SFS
Underrättelser till andra
8 § Den myndighet från vilken personuppgifter kommer ska underrättas
om beslut enligt 4 kap. 9 § första stycket brottsdatalagen (2018:1177).
Den som har tagit emot personuppgifter ska underrättas om beslut enligt
4 kap. 9 eller 10 § brottsdatalagen.
5 kap. Tillsyn
Kontroll genom tillsynsmyndigheten
1 § En begäran enligt 5 kap. 3 § brottsdatalagen (2018:1177) ska göras
skriftligen och ange behörig myndighet och mål, ärende, förteckning eller
verksamhetsområde som begäran om kontroll gäller.
Tillsynsmyndigheten ska säkerställa att begäran görs av en behörig
person.
2 § Tillsynsmyndigheten ska skriftligen underrätta den sökande om att
kontroll enligt 5 kap. 3 § brottsdatalagen (2018:1177) har utförts.
Beslut att vägra utföra kontroll ska vara skriftliga och motiveras.
Förhandssamråd
3 § Om tillsynsmyndigheten anser att en sådan planerad behandling som
avses i 3 kap. 7 § brottsdatalagen (2018:1177) kan komma att stå i strid med
lag eller annan författning, ska myndigheten senast sex veckor efter det att
begäran om samråd togs emot skriftligen lämna råd enligt 5 kap. 6 § första
stycket samma lag. Om det finns särskilda skäl, får tiden förlängas med en
månad. Tillsynsmyndigheten ska inom en månad från det att begäran om
samråd togs emot informera om förlängningen och om orsakerna till den.
Samarbete med utländska tillsynsmyndigheter
Utländsk begäran om bistånd
4 § En begäran om bistånd från en tillsynsmyndighet i en annan medlems-
stat ska besvaras så snabbt som möjligt och senast en månad efter det att
begäran togs emot. Den som begärt bistånd ska underrättas om hand-
läggningen och om resultatet av begäran.
5 § Om bistånd till en tillsynsmyndighet i en annan stat vägras, ska den
som begärt biståndet underrättas. I underrättelsen ska skälen för vägran
anges.
Svensk begäran om bistånd av en annan medlemsstat
6 § Tillsynsmyndigheten får begära bistånd av en tillsynsmyndighet i en
annan medlemsstat med sådana åtgärder som myndigheten får vidta när den
utövar tillsyn.
7 § En begäran om bistånd ska innehålla all information som behövs för
att tillsynsmyndigheten i den andra medlemsstaten ska kunna besvara
begäran. Syftet med och skälen för åtgärden ska anges.
Internationella överenskommelser
8 § Tillsynsmyndigheten får, trots det som sägs i 9 §, ingå överens-
kommelser med tillsynsmyndigheter i andra medlemsstater om avgifter för
internationellt bistånd.
2018:1202
8
SFS
Avgiftsfrihet
9 § Tillsynsmyndigheten ska utföra sina tillsynsuppgifter avgiftsfritt, om
inte något annat bestäms.
6 kap. Administrativa sanktionsavgifter
1 § Sanktionsavgifter ska betalas till Kammarkollegiet.
2 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften
inte har verkställts inom fem år från det att beslutet fick laga kraft.
3 § Om betalningsansvaret har upphävts genom ett beslut som fått laga
kraft, ska sanktionsavgiften betalas tillbaka. För en sanktionsavgift som
betalas tillbaka betalas även ränta enligt 5 § räntelagen (1975:635) för tiden
från den dag då avgiften betalades till och med den dag den betalas tillbaka.
7 kap. Överföring av personuppgifter till tredjeland och
internationella organisationer
1 § Den som har överfört personuppgifter till ett tredjeland eller en
internationell organisation utan ett förhandsmedgivande enligt 8 kap. 2 §
andra stycket brottsdatalagen (2018:1177) ska utan dröjsmål informera den
medlemsstat som lämnat uppgifterna till en svensk myndighet om över-
föringen.
2 § Om en svensk myndighet har överfört personuppgifter enligt 8 kap.
8 § brottsdatalagen (2018:1177), ska myndigheten utan onödigt dröjsmål
informera behörig myndighet i det tredjelandet om överföringen. Det som
nu har sagts gäller inte om det skulle vara ineffektivt eller olämpligt att
informera om överföringen.
3 § Överföringar av personuppgifter enligt 8 kap. 4 § 2 och 5 § brotts-
datalagen (2018:1177) ska dokumenteras. Av dokumentationen ska det
framgå vilka personuppgifter som överförts, datum och tidpunkt för
överföringen, ändamålet med och grunden för överföringen och till vilken
myndighet som personuppgifterna överfördes.
På begäran ska dokumentationen göras tillgänglig för tillsyns-
myndigheten.
4 § Den personuppgiftsansvarige ska informera tillsynsmyndigheten om
samlingar av överföringar som görs enligt 8 kap. 4 § 2 brottsdatalagen
(2018:1177).
5 § Överföringar av personuppgifter enligt 8 kap. 8 § brottsdatalagen
(2018:1177) ska dokumenteras. Den personuppgiftsansvarige ska informera
tillsynsmyndigheten om sådana överföringar.
1. Denna förordning träder i kraft den 1 augusti 2018.
2. Genom förordningen upphävs förordningen (2013:343) med vissa
bestämmelser om skydd för personuppgifter vid polissamarbete och straff-
rättsligt samarbete inom Europeiska unionen.
3. Bestämmelsen i 3 kap. 4 § om loggning tillämpas från och med den
6 maj 2023 i fråga om automatiserade behandlingssystem som inrättats före
den 6 maj 2016.
2018:1202
9
SFS
På regeringens vägnar
MORGAN JOHANSSON
Ida Wettervik
(Justitiedepartementet)
2018:1202