SFS 2019:1182 Lag om Säkerhetspolisens behandling av personuppgifter

Ordning och säkerhet

SFS2019-1182.pdf

Källa Regeringskansliets rättsdatabaser m.fl.

Svensk författningssamling

Lag

om Säkerhetspolisens behandling av personuppgifter

Utfärdad den 28 november 2019

Enligt riksdagens beslut1 föreskrivs följande.

1 kap. Allmänna bestämmelser
Syftet med lagen
1 § Syftet med lagen är att skydda fysiska personers grundläggande rättig-
heter och friheter i samband med behandling av personuppgifter och att
säkerställa att Säkerhetspolisen kan behandla och utbyta personuppgifter på
ett ändamålsenligt sätt.

Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter som rör nationell
säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet.

Lagen gäller vid Polismyndighetens behandling av personuppgifter när

myndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från
Säkerhetspolisen.

3 § Lagen gäller vid sådan behandling av personuppgifter som är helt eller
delvis automatiserad och för annan behandling av personuppgifter som ingår
i eller är avsedda att ingå i en strukturerad samling av personuppgifter som
är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Avvikande bestämmelser i annan författning
4 § Om en annan lag eller en förordning innehåller någon bestämmelse
som avviker från denna lag, tillämpas den bestämmelsen.

Definitioner
5 § I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck

Betydelse

Behandling av personuppgifter En åtgärd eller kombination av åtgärder som

vidtas i fråga om personuppgifter eller upp-
sättningar av personuppgifter, oavsett om det
görs automatiserat eller inte, t.ex. insamling,
registrering, organisering, strukturering,
lagring, bearbetning eller ändring, framtag-
ning, läsning, användning, utlämnande, sprid-
ning eller tillhandahållande på annat sätt,

1 Prop. 2018/19:163, bet. 2019/20:JuU9, rskr. 2019/20:44.

SFS

2019:1182

Publicerad
den

3 december 2019

SFS

justering, sammanföring, begränsning,
radering eller förstöring.

Biometriska uppgifter

Personuppgifter som rör en persons fysiska,
fysiologiska eller beteendemässiga känne-
tecken, som tagits fram genom särskild
teknisk behandling och som möjliggör eller
bekräftar unik identifiering av personen.

Dataskyddsombud

Den fysiska person som utses av den person-
uppgiftsansvarige för att självständigt kon-
trollera att personuppgifter behandlas författ-
ningsenligt och på ett korrekt sätt enligt vad
som närmare anges i lagen.

Genetiska uppgifter

Personuppgifter som rör en persons nedärvda
eller förvärvade genetiska kännetecken och
som härrör från analys av ett spår av eller ett
prov från personen.

Internationell organisation

En organisation och dess underställda organ
som lyder under folkrätten eller ett annat
organ som inrättats genom eller på grundval
av en överenskommelse mellan två eller flera
stater.

Mottagare

Den till vilken personuppgifter lämnas ut,
med undantag av en myndighet som med stöd
av författning utövar tillsyn, kontroll eller
revision.

Personuppgift

Varje upplysning om en identifierad eller
identifierbar fysisk person som är i livet.

Personuppgiftsansvarig

Den som ensam eller tillsammans med andra
bestämmer ändamålen med och medlen för
behandlingen av personuppgifter.

Personuppgiftsbiträde

Den som behandlar personuppgifter för den
personuppgiftsansvariges räkning.

Registrerad

Den fysiska person som personuppgiften
gäller.

Tredjeland

En stat som inte är medlem i Europeiska
unionen eller Europeiska ekonomiska sam-
arbetsområdet och som inte heller på grund av
avtal med Europeiska unionen har en mot-
svarande ställning.

Tredje man

Någon annan än den registrerade, den person-
uppgiftsansvarige, dataskyddsombudet,
personuppgiftsbiträdet och sådana personer
som under den personuppgiftsansvariges eller
personuppgiftsbiträdets direkta ansvar har rätt
att behandla personuppgifter.

Uppgift som rör hälsa

Personuppgift som rör en persons fysiska
eller psykiska hälsa, inklusive information om
tillhandahållande av hälso- och sjukvårds-
tjänster som ger upplysning om personens
hälsostatus.

Personuppgiftsansvar
6 § Säkerhetspolisen respektive Polismyndigheten är personuppgiftsansvarig
för den behandling av personuppgifter som myndigheten utför.

Den personuppgiftsansvarige är ansvarig för all behandling av person-

uppgifter som utförs under dennes ledning eller på dennes vägnar.

2019:1185

SFS

Behandling av uppgifter om juridiska personer
7 § Bestämmelserna om personuppgifter i följande paragrafer gäller också
vid behandling av uppgifter om juridiska personer:

1. 6 § om personuppgiftsansvar,
2. 2 kap. 1 och 2 §§ om rättsliga grunder för behandling av personuppgifter,
3. 3 kap. 2 och 3 §§ om gemensamt tillgängliga uppgifter,
4. 4 kap. 1–4 och 6–10 §§ om längsta tid som personuppgifter får behandlas,

och

5. 5 kap. 5 § om tillgången till personuppgifter.

2 kap. Behandling av personuppgifter
Grundläggande krav på behandlingen
Rättsliga grunder
1 § Personuppgifter får behandlas om det är nödvändigt för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar
a) brott mot Sveriges säkerhet,
b) terrorbrott, eller
c) tryckfrihetsbrott och yttrandefrihetsbrott med rasistiska eller främlings-

fientliga motiv,

2. utreda eller lagföra sådana brott som avses i 1, eller, efter särskilt beslut,

annat brott,

3. fullgöra uppgifter
a) i samband med personskydd av den centrala statsledningen och andra

som regeringen eller Säkerhetspolisen bestämmer,

b) enligt säkerhetsskyddslagen (2018:585), eller
c) enligt utlännings- och medborgarskapslagstiftningen,
4. fullgöra någon annan uppgift som rör nationell säkerhet och som anges

i lag eller förordning eller särskilt beslut av regeringen, eller

5. fullgöra förpliktelser som följer av internationella åtaganden.

2 § Utöver vad som sägs i 1 § får personuppgifter behandlas om

1. det är nödvändigt för diarieföring, eller
2. uppgifterna har lämnats till Säkerhetspolisen i en anmälan, ansökan

eller liknande och behandlingen är nödvändig för handläggningen.

Ändamål
3 § Personuppgifter får behandlas bara för särskilda, uttryckligt angivna
och berättigade ändamål. De får inte behandlas för något ändamål som är
oförenligt med det ändamål de ursprungligen behandlades för.

4 § Personuppgifter som behandlas med stöd av 1 § får även behandlas om
det är nödvändigt för att tillhandahålla information som behövs

1. för något av de syften som anges i 1 kap. 2 § brottsdatalagen (2018:1177)

hos Polismyndigheten, Ekobrottsmyndigheten, Åklagarmyndigheten, Tull-
verket, Kustbevakningen eller Skatteverket,

2. i en myndighets verksamhet, om informationen tillhandahålls inom

ramen för myndighetsöverskridande samverkan mot brott,

3. i Försvarsmaktens försvarsunderrättelseverksamhet och militära säker-

hetstjänst och i Försvarets radioanstalts försvarsunderrättelseverksamhet,
om det finns särskilda skäl att tillhandahålla informationen,

4. i en myndighets verksamhet om Säkerhetspolisen enligt lag eller för-

ordning ska bistå myndigheten med en viss uppgift,

2019:1185

SFS

5. i brottsbekämpande verksamhet hos en utländsk myndighet eller mellan-

folklig organisation, eller

6. i verksamhet hos utländsk underrättelse- eller säkerhetstjänst.
Personuppgifter som behandlas med stöd av 1 § får även behandlas om

det är nödvändigt för att tillhandahålla information till riksdagen eller reger-
ingen och, i den utsträckning skyldighet att lämna uppgifter följer av lag
eller förordning, till andra.

I ett enskilt fall får personuppgifter som behandlas med stöd av 1 § även

behandlas för att tillhandahålla information för något annat ändamål än de
som anges i första och andra styckena, under förutsättning att ändamålet inte
är oförenligt med det ändamål som uppgifterna samlades in för.

5 § Säkerhetspolisen får behandla personuppgifter för vetenskapliga, statis-
tiska eller historiska ändamål inom denna lags tillämpningsområde.

Författningsenlig och korrekt behandling
6 § Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Personuppgifternas kvalitet
7 § Personuppgifter som behandlas ska vara korrekta och, om det är nöd-
vändigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt

sätt med respekt för människovärdet.

8 § Personuppgifter som behandlas ska vara adekvata och relevanta i för-
hållande till ändamålen med behandlingen. Fler personuppgifter får inte be-
handlas än vad som är nödvändigt med hänsyn till ändamålen med behand-
lingen.

Känsliga personuppgifter
9 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter,
religiös eller filosofisk övertygelse eller medlemskap i fackförening eller
som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.

Om uppgifter om en person behandlas får de dock kompletteras med så-

dana uppgifter som anges i första stycket om det är absolut nödvändigt för
ändamålet med behandlingen.

10 § Säkerhetspolisen får behandla biometriska uppgifter om det är absolut
nödvändigt för ändamålet med behandlingen. Genetiska uppgifter får inte
behandlas.

11 § Personuppgifter som avses i 9 och 10 §§ (känsliga personuppgifter)
får alltid behandlas med stöd av 2 §.

12 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av
personer grundat på känsliga personuppgifter.

Första stycket hindrar inte att brottsrubriceringar, uppgifter om tillväga-

gångssätt vid brott eller uppgifter som beskriver en persons utseende används
som sökbegrepp.

Första stycket hindrar inte heller sökningar i syfte att få fram ett urval av

personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk
övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning,
om sökningen är absolut nödvändig för något av de syften som anges i 1 §.

2019:1185

SFS

Rättelse, uppdatering och radering
13 § Alla rimliga åtgärder ska vidtas för att personuppgifter som med hän-
syn till ändamålet med behandlingen är felaktiga eller ofullständiga utan
onödigt dröjsmål rättas och för att förhindra att sådana uppgifter lämnas ut
eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om
det är nödvändigt.

14 § Alla rimliga åtgärder ska vidtas för att personuppgifter som behand-
las i strid med någon av 1–6, 8–10 eller 12 §§, 4 kap. 1 § första stycket eller
någon av 2–4 eller 7–10 §§ utan onödigt dröjsmål raderas och för att för-
hindra att sådana uppgifter lämnas ut eller görs tillgängliga. Detsamma
gäller om radering krävs för att utföra en rättslig förpliktelse.

Om förutsättningarna i första stycket för att radera personuppgifter är upp-

fyllda men uppgifterna behöver finnas kvar av bevisskäl, ska behandlingen
av uppgifterna i stället utan onödigt dröjsmål begränsas.

Utlämnande av personuppgifter
15 § Personuppgifter som är nödvändiga för att framställa rättsstatistik ska
lämnas till den myndighet som ansvarar för att framställa sådan statistik.

16 § Om det är förenligt med svenska intressen får personuppgifter lämnas
ut till

1. Interpol eller Europol, eller till en polismyndighet eller åklagarmyndig-

het i en stat som är ansluten till Interpol, om det behövs för att mottagaren
ska kunna förebygga, förhindra eller upptäcka brottslig verksamhet eller ut-
reda eller lagföra brott, eller

2. en utländsk underrättelse- eller säkerhetstjänst.
Personuppgifter får vidare lämnas ut till en utländsk myndighet eller mellan-

folklig organisation, om utlämnandet följer av en internationell överens-
kommelse som Sverige har tillträtt efter riksdagens godkännande.

17 § Polismyndigheten har, trots sekretess enligt 21 kap. 3 § första stycket,
35 kap. 1 § och 37 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt
att ta del av personuppgifter som har gjorts gemensamt tillgängliga och som
behandlas med stöd av 1 § 1–3 a och c, om myndigheten behöver uppgifterna
för ett syfte som anges i 2 kap. 1 § 1 eller 2 lagen (2018:1693) om polisens
behandling av personuppgifter inom brottsdatalagens område eller för att full-
göra uppgifter enligt utlänningslagen (2005:716) eller lagen (1991:572) om
särskild utlänningskontroll.

18 § Försvarsmakten har, trots sekretess enligt 21 kap. 3 § första stycket,
35 kap. 1 § och 37 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt
att ta del av personuppgifter som har gjorts gemensamt tillgängliga och som
behandlas med stöd av 1 § 1 eller 2, om myndigheten behöver uppgifterna i
sin försvarsunderrättelseverksamhet eller militära säkerhetstjänst. Detsamma
gäller Försvarets radioanstalt, om myndigheten behöver uppgifterna i sin
försvarsunderrättelseverksamhet.

19 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom
direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträck-

ning som anges i 3 kap. 5–7 §§.

2019:1185

SFS

Personuppgifter från transportföretag
20 § Personuppgifter som tillhandahålls av transportföretag enligt 25 §
polislagen (1984:387) får behandlas för att utföra en uppgift som anges i 1 §.

Personuppgifter som avses i första stycket får endast i ett enskilt fall be-

handlas för nya ändamål.

21 § Vid terminalåtkomst enligt 26 § polislagen (1984:387) får person-
uppgifterna inte ändras eller bearbetas på annat sätt.

Rätt att meddela föreskrifter
22 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
föreskrifter om

1. att personuppgifter får lämnas ut i andra fall än som anges i 15–18 §§,

och

2. begränsning av möjligheten att lämna ut personuppgifter elektroniskt

enligt 19 § första stycket.

3 kap. Gemensamt tillgängliga uppgifter
Allmän bestämmelse
1 § Detta kapitel innehåller särskilda bestämmelser för behandling av person-
uppgifter som görs eller har gjorts gemensamt tillgängliga med stöd av 2 §.
Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som
gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 2 §.

Personuppgifter som får göras gemensamt tillgängliga
2 § Personuppgifter får göras gemensamt tillgängliga om det behövs för
att utföra någon av de uppgifter som anges i 2 kap. 1 §.

Särskilda upplysningar
3 § Om det ändamål som de gemensamt tillgängliga personuppgifterna be-
handlas för inte framgår av sammanhanget eller på något annat sätt, ska det
tydliggöras genom en särskild upplysning.

4 § Om uppgifter som har gjorts gemensamt tillgängliga direkt kan hän-
föras till en person som inte är misstänkt för brott eller för att ha utövat eller
komma att utöva brottslig verksamhet som avses i 2 kap. 1 § 1 eller 2, ska det
genom en särskild upplysning eller på något annat sätt framgå att personen
inte är misstänkt.

Uppgifter om en person som kan antas ha direkt samband med sådan

brottslig verksamhet som avses i 2 kap. 1 § 1 ska förses med en upplysning
om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det
inte på grund av omständigheterna är onödigt.

Någon upplysning enligt andra stycket behöver inte heller lämnas om
1. uppgifterna ingår i en uppgiftssamling som har skapats för att bearbeta

och analysera information och som enbart särskilt angivna tjänstemän har
åtkomst till, och

2. bearbetningen av uppgifterna inte har genomförts.

2019:1185

SFS

Direktåtkomst
5 § Polismyndigheten får för något av de syften som anges i 2 kap. 1 §
1 eller 2 lagen (2018:1693) om polisens behandling av personuppgifter inom
brottsdatalagens område eller för att fullgöra uppgifter enligt utlännings-
lagen (2005:716) eller lagen (1991:572) om särskild utlänningskontroll med-
ges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 §
1–3 a och c. Direktåtkomsten får endast avse personuppgifter som har gjorts
gemensamt tillgängliga.

6 § Försvarsmakten får i försvarsunderrättelseverksamheten och den mili-
tära säkerhetstjänsten medges direktåtkomst till personuppgifter som be-
handlas med stöd av 2 kap. 1 § 1 eller 2. Detsamma gäller Försvarets radio-
anstalt i försvarsunderrättelseverksamheten. Direktåtkomsten får endast avse
personuppgifter som har gjorts gemensamt tillgängliga.

7 § En underrättelse- eller säkerhetstjänst i en medlemsstat i Europeiska
unionen eller Europeiska ekonomiska samarbetsområdet får medges direkt-
åtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § 1 b om
det behövs för samarbetet mot terrorism. Direktåtkomsten får endast avse
personuppgifter som har gjorts gemensamt tillgängliga.

Innan direktåtkomst medges en utländsk underrättelse- eller säkerhets-

tjänst ska Säkerhetspolisen informera regeringen.

Rätt att meddela föreskrifter
8 § Regeringen eller den myndighet som regeringen bestämmer kan med
stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av
direktåtkomst enligt 5–7 §§ och om behörighet och säkerhet vid sådan åt-
komst.

4 kap. Längsta tid som personuppgifter får behandlas
Allmän bestämmelse
1 § Personuppgifter får inte behandlas under längre tid än vad som är nöd-
vändigt med hänsyn till ändamålet med behandlingen.

Bestämmelsen i första stycket hindrar inte att Säkerhetspolisen arkiverar

och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkiv-
myndighet.

Vid automatiserad behandling gäller också de begränsningar som följer

av 2–10 §§.

Personuppgifter som inte har gjorts gemensamt tillgängliga
2 § Personuppgifter som inte har gjorts gemensamt tillgängliga får inte be-
handlas längre än

1. ett år efter det att ärendet avslutades, om de behandlas i ett ärende, eller
2. ett år efter det att de behandlades automatiserat första gången, om de

inte kan hänföras till ett ärende.

Bestämmelsen i 1 § andra stycket gäller inte vid tillämpningen av denna

paragraf.

Första stycket gäller inte personuppgifter i ärenden om utredning av eller

lagföring för brott.

2019:1185

SFS

Gemensamt tillgängliga uppgifter i ärenden om utredning av eller

lagföring för brott
3 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen
inte utgör brott, får personuppgifter som finns i anmälan och som har gjorts
gemensamt tillgängliga inte längre behandlas för ändamål inom denna lags
tillämpningsområde. Om en brottsanmälan i annat fall inte har lett till för-
undersökning eller annan motsvarande utredning, får personuppgifter som
har gjorts gemensamt tillgängliga inte behandlas för ändamål inom denna
lags tillämpningsområde när åtal inte längre får väckas för brottet.

4 § Om en förundersökning har lett till åtal eller annan domstolsprövning,
får personuppgifter som finns i förundersökningen och som har gjorts gemen-
samt tillgängliga inte behandlas för ändamål inom denna lags tillämpnings-
område längre än fem år efter utgången av det kalenderår då domstolens
avgörande fick laga kraft.

Om en förundersökning har lagts ner eller avslutats på annat sätt än genom

åtal, får personuppgifter i förundersökningen inte behandlas för ändamål
inom denna lags tillämpningsområde längre än fem år efter utgången av det
kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.

Första och andra styckena gäller även personuppgifter i andra utredningar

som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

5 § Om en förundersökning mot en person har lagts ner, om ett åtal har
lagts ner eller om en frikännande dom har fått laga kraft, får personen inte
längre vara sökbar som misstänkt.

Övriga gemensamt tillgängliga uppgifter
6 § Andra personuppgifter än de som anges i 3 eller 4 § och som har gjorts
gemensamt tillgängliga får som längst behandlas under den tid som anges i
7–10 §§.

Bestämmelsen i 1 § andra stycket gäller inte vid tillämpningen av 7–10 §§.

7 § Personuppgifter får inte behandlas längre än tio år efter utgången av
det kalenderår då den senaste registreringen gjordes avseende personen.

Uppgifter om en person som vid tiden för registreringen inte fyllt 18 år

får dock inte behandlas längre än fem år efter utgången av det kalenderår då
den senaste registreringen gjordes avseende den unge. Om en ny registrering
avseende personen görs efter det att han eller hon fyllt 18 år, gäller i stället
den tidsfrist som anges i första stycket för samtliga personuppgifter.

Första och andra styckena gäller inte sådana personuppgifter som avses i

8 och 9 §§.

8 § Personuppgifter som behandlas i en sådan uppgiftssamling som anges
i 3 kap. 4 § tredje stycket får inte behandlas längre än tre år efter utgången
av det kalenderår då den senaste registreringen gjordes avseende personen.

9 § Personuppgifter som hänför sig till sådan säkerhetshotande verksam-
het som avses i 18 och 19 kap. brottsbalken och som utövas av främmande
makt, får inte behandlas längre än 40 år efter utgången av det kalenderår då
den senaste registreringen gjordes avseende personens anknytning till brott
eller brottslig verksamhet. För personuppgifter som behandlas i en sådan
uppgiftssamling som anges i 3 kap. 4 § tredje stycket gäller 8 §.

2019:1185

SFS

10 § Om det finns särskilda skäl får Säkerhetspolisen besluta att person-
uppgifter får behandlas under längre tid än vad som anges i 7–9 §§, om upp-
gifterna fortfarande behövs för det ändamål som de behandlas för. Om
personuppgifter behandlas med stöd av ett sådant beslut ska frågan om fort-
satt behandling prövas på nytt senast vid utgången av det tionde kalenderåret
efter beslutet eller, om det är fråga om uppgifter som avses i 8 §, senast vid
utgången av det tredje kalenderåret efter beslutet. Tiden som personuppgifterna
får behandlas får vid varje tillfälle förlängas med längst tio år eller, om det
är fråga om uppgifter som avses i 8 §, med längst tre år.

Rätt att meddela föreskrifter
11 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela före-
skrifter om att vissa kategorier av personuppgifter får fortsätta att behandlas
för ändamål inom denna lags tillämpningsområde under längre tid än vad
som anges i 3 och 4 §§.

12 § Regeringen eller den myndighet som regeringen bestämmer kan med
stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att personuppgifter får behandlas för arkivändamål av allmänt intresse

eller vetenskapliga, statistiska eller historiska ändamål under längre tid än
vad som anges i 2 § första stycket eller någon av 7–10 §§, och

2. begränsning av behandlingen av personuppgifter för ändamål inom denna

lags tillämpningsområde vid digital arkivering.

5 kap. Skyldigheter som personuppgiftsansvarig
Åtgärder för att säkerställa författningsenlig behandling
Tekniska och organisatoriska åtgärder
1 § Säkerhetspolisen ska, genom lämpliga tekniska och organisatoriska åt-
gärder, säkerställa och kunna visa att behandlingen av personuppgifter är
författningsenlig och att registrerades rättigheter skyddas.

2 § Säkerhetspolisen ska när medlen för behandlingen bestäms och vid be-
handlingen, genom lämpliga tekniska och organisatoriska åtgärder, se till att
nödvändiga skyddsåtgärder integreras i behandlingen (inbyggt dataskydd).

3 § Säkerhetspolisen ska se till att det i automatiserade behandlingssystem
som regel inte är möjligt att behandla andra personuppgifter än de som är
nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd
som standard).

4 § Säkerhetspolisen ska säkerställa att det i automatiserade behandlings-
system förs loggar över personuppgiftsbehandling i den utsträckning det är
särskilt föreskrivet.

Tillgången till personuppgifter
5 § Säkerhetspolisen ska se till att tillgången till personuppgifter begränsas
till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Konsekvensbedömning och förhandssamråd
6 § Om en ny typ av behandling, eller betydande förändringar av redan
pågående behandling, kan antas medföra särskild risk för intrång i den regi-

2019:1185

SFS

strerades personliga integritet, ska Säkerhetspolisen innan behandlingen på-
börjas eller förändringen genomförs bedöma konsekvenserna för skyddet av
personuppgifter.

Om konsekvensbedömningen visar att det finns särskild risk för intrång i

registrerades personliga integritet eller om typen av behandling innebär sär-
skild risk för intrång, ska Säkerhetspolisen samråda med tillsynsmyndig-
heten i god tid innan behandlingen påbörjas eller betydande förändringar
genomförs (förhandssamråd).

Säkerhetsåtgärder
7 § Säkerhetspolisen ska vidta lämpliga tekniska och organisatoriska åtgärder
för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller
otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada.

Samarbete med tillsynsmyndigheten
8 § Säkerhetspolisen ska samarbeta med tillsynsmyndigheten när den ut-
för uppgifter enligt denna lag och föreskrifter som har meddelats i anslutning
till lagen.

Dataskyddsombud
9 § Säkerhetspolisen ska inom myndigheten utse ett eller flera dataskydds-
ombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och
entledigas.

10 § Dataskyddsombud ska

1. självständigt kontrollera att Säkerhetspolisen behandlar personuppgifter

författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldig-
heter,

2. informera och ge råd till Säkerhetspolisen och de som behandlar person-

uppgifter under myndighetens ledning om deras skyldigheter vid behandling
av personuppgifter,

3. på begäran ge Säkerhetspolisen råd vid en konsekvensbedömning och

kontrollera att den genomförs på korrekt sätt,

4. vara kontaktpunkt för enskilda i frågor som rör behandling av person-

uppgifter, och

5. samarbeta med tillsynsmyndigheten och vara kontaktpunkt för den vid

förhandssamråd och andra frågor som rör behandling av personuppgifter.

Personuppgiftsbiträden
11 § Säkerhetspolisen får, om det är lämpligt, anlita personuppgiftsbiträden
för behandling av personuppgifter på myndighetens vägnar. Innan ett person-
uppgiftsbiträde anlitas ska Säkerhetspolisen försäkra sig om att biträdet
kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs
för att behandlingen av personuppgifter ska vara författningsenlig och för
att skydda registrerades rättigheter.

Personuppgiftsbiträdets behandling av personuppgifter ska regleras i ett

skriftligt avtal eller annan skriftlig överenskommelse.

12 § Ett personuppgiftsbiträde får inte anlita ett annat personuppgiftsbiträde
utan skriftligt tillstånd från Säkerhetspolisen.

2019:1185

SFS

13 § Ett personuppgiftsbiträde och de som arbetar under biträdets ledning
ska behandla personuppgifter i enlighet med instruktioner från Säkerhets-
polisen.

Om ett personuppgiftsbiträde bestämmer ändamålen med och medlen för

behandlingen, ska biträdet anses vara personuppgiftsansvarig för den behand-
lingen.

14 § Det som sägs om Säkerhetspolisens skyldigheter i 4, 5, 7 och 8 §§
gäller även för personuppgiftsbiträden.

6 kap. Enskildas rättigheter
Rätten till information
Allmän information
1 § Säkerhetspolisen ska göra följande allmänna information tillgänglig för
den registrerade:

1. myndighetens identitet och kontaktuppgifter,
2. dataskyddsombudets kontaktuppgifter,
3. kategorier av ändamål för behandlingen,
4. rätten enligt 2 § att begära att få information om behandling av person-

uppgifter och att få del av uppgifterna, och

5. rätten att begära rättelse, radering eller begränsning av behandlingen

enligt 6 och 7 §§.

Personrelaterad information
2 § Säkerhetspolisen ska till den som begär det utan onödigt dröjsmål lämna
skriftligt besked om huruvida personuppgifter som rör honom eller henne
behandlas. Om sådana uppgifter behandlas, ska sökanden få del av dem och
få följande skriftliga information:

1. vilka personuppgifter om sökanden som behandlas,
2. varifrån personuppgifterna kommer,
3. den rättsliga grunden för behandlingen,
4. ändamålen med behandlingen,
5. mottagare eller kategorier av mottagare av personuppgifterna, även i

tredjeland eller internationella organisationer,

6. hur länge personuppgifterna får behandlas eller, om det inte är möjligt

att ange, kriterierna för att fastställa det, och

7. rätten att begära rättelse, radering eller begränsning av behandlingen

enligt 6 och 7 §§.

Utlämnande av personuppgifter enligt första stycket behöver inte omfatta

sådana personuppgifter som sökanden har tagit del av, om inte han eller hon
begär det. Det ska dock framgå av informationen att personuppgifterna i
fråga behandlas.

Begränsning av rätten till information
3 § Informationsskyldigheten i 2 § gäller inte i den utsträckning det är sär-
skilt föreskrivet i lag eller annan författning eller annars framgår av beslut
som har meddelats med stöd av författning att uppgifter inte får lämnas ut
till den registrerade.

Om förutsättningarna i första stycket är uppfyllda, är Säkerhetspolisen inte

skyldig att lämna ut skälen för beslut enligt första stycket eller beslut i fråga
om rättelse, radering eller begränsning av behandlingen enligt 6 eller 7 §.

2019:1185

SFS

4 § Informationsskyldigheten i 2 § gäller inte personuppgifter i löpande
text som inte fått sin slutliga utformning när begäran gjordes eller som utgör
minnesanteckning eller liknande.

Informationsskyldigheten gäller dock om uppgifterna
1. har lämnats ut till tredje man, med undantag för en myndighet som med

stöd av författning utövar tillsyn, kontroll eller revision,

2. behandlas enbart för vetenskapliga, statistiska eller historiska ändamål,

eller

3. har behandlats under längre tid än ett år i löpande text som inte har fått

sin slutliga utformning.

5 § Om en begäran enligt 2 § är orimlig eller uppenbart ogrundad får Säker-
hetspolisen avslå den.

Av 9 § andra stycket framgår att Säkerhetspolisen i vissa fall får ta ut av-

gift i stället för att avslå begäran.

Rätten till rättelse, radering och begränsning av behandlingen
6 § Säkerhetspolisen ska på begäran av den registrerade utan onödigt dröjs-
mål rätta eller komplettera personuppgifter som rör honom eller henne, om de
är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.

Om Säkerhetspolisen inte kan fastställa att personuppgifterna är korrekta,

ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.

7 § Säkerhetspolisen ska på begäran av den registrerade utan onödigt dröjs-
mål radera personuppgifter som rör honom eller henne, om de behandlas i
strid med någon av 2 kap. 1–6, 8–10 eller 12 §§, 4 kap. 1 § första stycket
eller någon av 2–4 eller 7–10 §§. Detsamma gäller om det krävs radering för
att Säkerhetspolisen ska utföra en rättslig förpliktelse.

Om förutsättningarna i första stycket för att radera personuppgifter är upp-

fyllda men uppgifterna behöver finnas kvar av bevisskäl, ska Säkerhets-
polisen på begäran av den registrerade i stället utan onödigt dröjsmål be-
gränsa behandlingen av uppgifterna.

8 § Säkerhetspolisen avgör vilken åtgärd som ska vidtas med anledning av
en begäran om rättelse, radering eller begränsning av behandlingen.

Avgiftsfri information
9 § Information enligt 1 § ska lämnas utan avgift. Information och upp-
gifter enligt 2 § ska lämnas utan avgift en gång per år.

Om någon begär information och uppgifter enligt 2 § oftare än en gång

per år, får Säkerhetspolisen ta ut en rimlig avgift eller avslå begäran enligt
5 § första stycket.

7 kap. Tillsyn
Tillsynsmyndighetens uppgifter
1 § Tillsynsmyndigheten ska

1. utöva allmän tillsyn över personuppgiftsbehandling, och
2. vid förhandssamråd enligt 5 kap. 6 § och när det i övrigt är påkallat ge

råd och stöd till Säkerhetspolisen och personuppgiftsbiträden om deras
skyldigheter enligt lag eller annan författning.

2019:1185

SFS

2 § Bestämmelser om tillsyn över Säkerhetspolisens behandling av person-
uppgifter finns även i lagen (2007:980) om tillsyn över viss brottsbekämpande
verksamhet.

Tillsynsmyndighetens befogenheter
Undersökningsbefogenheter
3 § Tillsynsmyndigheten har rätt att av Säkerhetspolisen och personuppgifts-
biträdet på begäran få

1. tillgång till alla personuppgifter som behandlas,
2. upplysningar om och dokumentation av behandlingen av personuppgifter

och säkerhets- och skyddsåtgärder,

3. tillträde till lokaler som Säkerhetspolisen eller personuppgiftsbiträdet

disponerar samt tillgång till utrustning och andra medel för behandling av
personuppgifter, och

4. den hjälp och den information som behövs för tillsynen.

Förebyggande befogenheter
4 § Om tillsynsmyndigheten bedömer att det finns risk för att personuppgifter
kan komma att behandlas i strid med lag eller annan författning, ska myndig-
heten genom råd, rekommendationer eller påpekanden försöka förmå Säker-
hetspolisen eller personuppgiftsbiträdet att vidta åtgärder för att motverka
den risken.

Tillsynsmyndigheten får utfärda en skriftlig varning för att planerad be-

handling av personuppgifter riskerar att stå i strid med lag eller annan för-
fattning. Detsamma gäller om pågående behandling riskerar att stå i strid
med lag eller annan författning.

Korrigerande befogenheter
5 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i
strid med lag eller annan författning eller att Säkerhetspolisen eller person-
uppgiftsbiträdet på något annat sätt inte fullgör sina skyldigheter, får till-
synsmyndigheten

1. genom sådana åtgärder som anges i 4 § första stycket försöka förmå

Säkerhetspolisen eller personuppgiftsbiträdet att vidta åtgärder för att be-
handlingen ska bli författningsenlig, eller att uppfylla andra skyldigheter,

2. förelägga Säkerhetspolisen eller personuppgiftsbiträdet att vidta åt-

gärder för att behandlingen ska bli författningsenlig eller att uppfylla andra
skyldigheter, eller

3. förbjuda fortsatt behandling om bristen är allvarlig.
Om ett föreläggande utfärdas ska det av föreläggandet framgå när åt-

gärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder
som ska vidtas.

Verkställighet av beslut
6 § Tillsynsmyndighetens beslut får inte verkställas omedelbart.

2019:1185

SFS

8 kap. Skadestånd och överklagande
Skadestånd
1 § Den personuppgiftsansvarige ska ersätta den registrerade för den skada
och kränkning av den personliga integriteten som orsakats av behandling av
personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i
anslutning till den.

Överklagande
Överklagande av den personuppgiftsansvariges beslut
2 § Beslut i fråga om rättelse eller komplettering enligt 6 kap. 6 § första
stycket, radering enligt 6 kap. 7 § första stycket, eller begränsning av be-
handlingen enligt 6 kap. 6 § andra stycket eller 6 kap. 7 § andra stycket, som
har meddelats av den personuppgiftsansvarige, får överklagas till allmän
förvaltningsdomstol. Detsamma gäller beslut att inte lämna information
enligt 6 kap. 2 § eller att ta ut avgift enligt 6 kap. 9 § andra stycket.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagande av tillsynsmyndighetens beslut
3 § Tillsynsmyndighetens beslut enligt denna lag får överklagas till allmän
förvaltningsdomstol. När ett beslut överklagas är tillsynsmyndigheten mot-
part i domstolen.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagandeförbud
4 § Andra beslut enligt denna lag än de som anges i 2 och 3 §§ får inte
överklagas.

9 kap. Överföring av personuppgifter till tredjeland och

internationella organisationer
Förutsättningar för överföring
1 § Säkerhetspolisen får överföra personuppgifter till ett tredjeland eller
en internationell organisation, om personuppgifterna behandlas i Sverige
eller är avsedda att behandlas i ett tredjeland eller av en internationell organi-
sation. Personuppgifterna får dock endast överföras om överföringen

1. riktas till en brottsbekämpande myndighet eller en underrättelse- eller

säkerhetstjänst i ett tredjeland eller en internationell organisation med brotts-
bekämpande uppdrag och

2. omfattas av
a) ett beslut om adekvat skyddsnivå enligt 2 §,
b) tillräckliga skyddsåtgärder enligt 3 §, eller
c) ett undantag för särskilda situationer enligt 4 §.

Beslut om adekvat skyddsnivå
2 § Om Europeiska kommissionen har beslutat att det finns en adekvat
nivå för skyddet av personuppgifter i ett tredjeland, eller en viss geografisk
eller på annat sätt angiven del av det, får personuppgifter överföras dit under
de förutsättningar som anges i 1 §. Detsamma gäller om det finns ett sådant
beslut avseende en internationell organisation.

2019:1185

SFS

Tillräckliga skyddsåtgärder
3 § Om det inte finns något beslut om adekvat skyddsnivå enligt 2 §, får
personuppgifter, under de förutsättningar som anges i 1 §, ändå överföras till
ett tredjeland eller en internationell organisation om

1. skyddsåtgärder för personuppgifter har fastställts i ett avtal som ger

tillräckliga garantier till skydd för den registrerade, eller

2. mottagaren på annat sätt garanterar tillräckligt skydd för personuppgifterna.

Överföring i särskilda situationer
4 § Om det inte finns något beslut om adekvat skyddsnivå enligt 2 § eller
tillräckliga skyddsåtgärder enligt 3 §, får en överföring eller en samling av
överföringar av personuppgifter, under de förutsättningar som anges i 1 §,
göras till ett tredjeland eller en internationell organisation endast om över-
föringen är nödvändig för att

1. värna den registrerades eller någon annan fysisk persons vitala intressen

eller andra berättigade intressen som den registrerade har,

2. i ett enskilt fall förebygga, förhindra eller upptäcka brottslig verksam-

het eller utreda eller lagföra brott,

3. i ett enskilt fall kunna fastställa, göra gällande eller försvara ett rättsligt

anspråk som hänför sig till ett sådant syfte som anges i 2, eller

4. avvärja en omedelbar och allvarlig fara för allmän säkerhet.
Personuppgifter får inte överföras till ett tredjeland eller en internationell

organisation om den registrerades intresse av skydd mot kränkning av rättig-
heter och friheter väger tyngre än det allmännas intresse av en sådan över-
föring som avses i första stycket 2 eller 3.

Överföring till andra mottagare
5 § Säkerhetspolisen får i ett enskilt fall överföra personuppgifter till en
annan mottagare i ett tredjeland än som anges i 1 § 1. Personuppgifterna får
överföras endast om de övriga förutsättningarna i 1 § är uppfyllda och om

1. det är absolut nödvändigt för att Säkerhetspolisen ska kunna utföra en

uppgift enligt 2 kap. 1 §, och

2. det skulle vara ineffektivt eller olämpligt att överföra dem till en mot-

tagare som anges i 1 § 1 i det tredjelandet.

Personuppgifter får inte överföras enligt första stycket om den registre-

rades intresse av skydd mot kränkning av rättigheter och friheter väger
tyngre än det allmännas intresse av att överföringen görs.

1. Denna lag träder i kraft den 1 januari 2020.
2. Bestämmelsen i 5 kap. 4 § om loggning tillämpas från och med den

1 oktober 2024 i fråga om automatiserade behandlingssystem som inrättats
före ikraftträdandet.

3. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har

meddelats före ikraftträdandet.

På regeringens vägnar

STEFAN LÖFVEN

MIKAEL DAMBERG
(Justitiedepartementet)

2019:1185

Namn	Ändamål	Typ
.JpLogin	Kakor som används för att avgöra vilka sidvisningar som hör till samma användarbesök. Behövs för inloggning samt optimering.	Inloggning och sessionshantering
.AspNetCore.Session	Kakor som används för att avgöra vilka sidvisningar som hör till samma användarbesök. Behövs för inloggning samt optimering.	Inloggning och sessionshantering
EPiStateMarker	Kakor som används för att avgöra vilka sidvisningar som hör till samma användarbesök. Behövs för inloggning samt optimering.	Inloggning och sessionshantering
.AspNetCore.Antiforgery.#	Förebygger Cross-Site Request Forgery (CSRF) attacker.	Skydd mot förfalskade förfrågningar
__cf_bm	Kaka som används för att hämta teckensnitt.	Teckensnitt
jp-cookies	Denna kaka används för att hålla reda på vilka kakor som användaren accepterat att vi lagrar.	Godkännande av kakor
FedAuth	Denna kaka sätts för användare som använder federerad inloggning.	Federerad inloggning
CourseEvaluations	Denna kaka sätts för användare som skickat in kursutvärderingar.	Kursutvärderingar

Namn	Ändamål	Typ
JP_Download	Denna kaka håller reda på om användaren har lämnat sin e-postadress när den ska ladda ner en fil från den publika sajten.	Filnedladdning
ExamStudentId	Kakan möjliggör för webbkursexamintioner för användare utan personligt konto.	Webbkursexaminationer
JSESSIONID	Kaka som används för uppspelning av video. Används för att hålla en anonym användarsession.	Solidtango
_fanplay_session	Kaka som används för uppspelning av video. Används för att hålla en anonym användarsession.	Solidtango
lang	Sparar språkval för Twitter-flödet.	Twitter
_gali	Denna kaka används för att särskilja användare.	Google Analytics
form.apsis.one	Denna kaka används för inbäddade formulär.	Form Apsis One
mediaflow	Kaka som kan användas. Mediaflow används för uppspelning av video	Mediaflow

Namn	Ändamål	Typ
_ga	Kakor som används för besöksmätning.	Google Analytics
_gid	Kakor som används för besöksmätning.	Google Analytics
_gat	Kakor som används för besöksmätning.	Google Analytics
_hjIncludedInSample	Dessa kakor används för webbanalys funktionalitet och tjänster från hotjar.	Hot Jar
_hjid	Dessa kakor används för webbanalys funktionalitet och tjänster från hotjar.	Hot Jar
www.uc.se	Används för risksigillet i sidfoten på publik sajt.	Upplysningscentralen (UC)
Apsis One	Används för att analysera användarbeteende och skräddarsy marknadsföring.	Apsis One

Namn	Ändamål	Typ
test_cookie	Kakor för Google Advertising	Google Advertising
IDE	Kakor för Google Advertising	Google Advertising
3135848f46	Kaka för att spara IP-adresser för att identifiera företag eller organisationer som besöker webbsidan.	ProspectEye (Apsis Lead)

Tjänster

Utbildningar

Juridisk rådgivning

SFS 2019:1182 Lag om Säkerhetspolisens behandling av personuppgifter

Om Lagboken.se