SFS 2019:1235 Förordning om Säkerhetspolisens behandling av personuppgifter

SFS2019-1235.pdf

Källa Regeringskansliets rättsdatabaser m.fl.

Svensk författningssamling

Förordning

om Säkerhetspolisens behandling av personuppgifter

Utfärdad den 5 december 2019

Regeringen föreskriver följande.

1 kap. Allmänna bestämmelser
1 § I denna förordning finns kompletterande föreskrifter om sådan be-
handling av personuppgifter som omfattas av lagen (2019:1182) om Säker-
hetspolisens behandling av personuppgifter.

2 § Uttryck som används i denna förordning har samma innebörd och
tillämpningsområde som i lagen (2019:1182) om Säkerhetspolisens be-
handling av personuppgifter.

2 kap. Behandling av personuppgifter
1 § Om det visar sig att sådana personuppgifter som anges i 2 kap. 13 §
eller 14 § första stycket lagen (2019:1182) om Säkerhetspolisens behandling
av personuppgifter har lämnats ut, ska mottagaren omedelbart underrättas
om det. Om sådana personuppgifter har gjorts tillgängliga ska, så långt det
är möjligt, även den som har tagit del av personuppgifterna omedelbart
underrättas.

2 § Av information enligt 3 kap. 7 § andra stycket lagen (2019:1182) om
Säkerhetspolisens behandling av personuppgifter ska omfattningen av
direktåtkomsten framgå.

3 § Säkerhetspolisen får ställa villkor i fråga om behörighet och säkerhet
för att myndigheten ska medge direktåtkomst enligt 3 kap. 5–7 §§ lagen
(2019:1182) om Säkerhetspolisens behandling av personuppgifter.

Direktåtkomst får inte medges innan Säkerhetspolisen har försäkrat sig

om att den mottagande myndigheten uppfyller kraven på behörighet och
säkerhet.

3 kap. Längsta tid som personuppgifter får behandlas

Rutiner för att säkerställa tidsfristerna
1 § Säkerhetspolisen ska se till att det finns rutiner för att säkerställa att de
som behandlar personuppgifter respekterar tidsfristerna för när personupp-
gifter inte längre får behandlas.

SFS

2019:1235

Publicerad
den

10 december 2019

SFS

Digital arkivering
2 § När uppgifter och handlingar arkiveras digitalt ska de avskiljas så att
de inte kan behandlas för att utföra en uppgift som anges i 2 kap. 1 § lagen
(2019:1182) om Säkerhetspolisens behandling av personuppgifter. Åt-
komsten till arkiverade uppgifter och handlingar ska begränsas till särskilt
angivna tjänstemän.

Fortsatt behandling av vissa personuppgifter
3 § I 4–6 §§ föreskrivs att vissa kategorier av personuppgifter i brotts-
anmälningar och avslutade förundersökningar får behandlas för ändamål
som omfattas av tillämpningsområdet för lagen (2019:1182) om Säkerhets-
polisens behandling av personuppgifter, trots att den tid som anges i 4 kap.
3 och 4 §§ samma lag har löpt ut. Detsamma gäller personuppgifter i andra
utredningar som handläggs enligt 23 kap. rättegångsbalken.

När personuppgifter får behandlas enligt 4–6 §§ får dessutom följande

uppgifter behandlas:

1. ärendenummer eller liknande referensuppgifter,
2. brottskoder, och
3. uppgifter om omständigheterna kring brottet.

4 § Uppgifter om den dömde i en förundersökning som har lett till fällande
dom får behandlas trots att den tid som anges i 4 kap. 4 § första stycket lagen
(2019:1182) om Säkerhetspolisens behandling av personuppgifter har löpt
ut, om behandlingen av särskilda skäl är nödvändig för att finna samband
mellan olika brott eller mellan tänkbara gärningsmän.

Behandlingen ska dock upphöra senast i samband med att uppgifterna om

den dömde tas bort ur belastningsregistret enligt lagen (1998:620) om
belastningsregister.

5 § Uppgifter om en person som har varit misstänkt i en förundersökning
som har lagts ner eller avslutats på annat sätt än genom åtal, får i ett enskilt
fall behandlas om det är nödvändigt för att kunna lagföra personen trots att
den tid som anges i 4 kap. 4 § andra stycket lagen (2019:1182) om Säker-
hetspolisens behandling av personuppgifter har löpt ut.

Behandlingen ska dock upphöra senast då åtal inte längre får väckas för

brottet eller, i fall som avses i 35 kap. 2 § första stycket brottsbalken, senast
sjuttio år från den dag då brottet begicks.

6 § Uppgifter om personer som har dömts för, eller som har varit miss-
tänkta för, brott där det finns en betydande risk för återfall i samma eller
likartad brottslighet, får behandlas trots att den tid som anges i 4 kap. 3 och
4 §§ lagen (2019:1182) om Säkerhetspolisens behandling av personupp-
gifter har löpt ut, om behandlingen av särskilda skäl är nödvändig för att
förebygga, förhindra eller upptäcka brott för vilket det är föreskrivet
fängelse i fyra år eller mer.

I fråga om brott som har lett till fällande dom ska dock behandlingen

upphöra senast i samband med att uppgifterna tas bort ur belastningsregistret
enligt lagen (1998:620) om belastningsregister och i övriga fall senast
femton år efter det att förundersökningen lades ner eller avslutades på annat
sätt.

2019:1235

SFS

Rätt att meddela föreskrifter
7 § Riksarkivet får, efter att ha gett Säkerhetspolisen tillfälle att yttra sig,
meddela föreskrifter om att personuppgifter som avses i 4 kap. 2 och 7–
10 §§ lagen (2019:1182) om Säkerhetspolisens behandling av personupp-
gifter får behandlas under längre tid för arkivändamål av allmänt intresse
och vetenskapliga, statistiska eller historiska ändamål.

8 § Säkerhetspolisen får, efter att ha gett Riksarkivet tillfälle att yttra sig,
meddela närmare föreskrifter om digital arkivering.

4 kap. Skyldigheter som personuppgiftsansvarig
Tekniska och organisatoriska åtgärder
1 § De tekniska och organisatoriska åtgärder som Säkerhetspolisen ska
vidta enligt 5 kap. 1 och 2 §§ lagen (2019:1182) om Säkerhetspolisens be-
handling av personuppgifter ska vara rimliga med hänsyn till behandlingens
art, omfattning, sammanhang och ändamål och de särskilda riskerna med
behandlingen. När Säkerhetspolisen vidtar åtgärder enligt 5 kap. 2 § samma
lag ska även de tekniska möjligheterna och kostnaderna för åtgärderna
beaktas.

Dokumentationsskyldighet
Interna strategier
2 § De tekniska och organisatoriska åtgärder som avses i 5 kap. 1 § lagen
(2019:1182) om Säkerhetspolisens behandling av personuppgifter ska inne-
fatta antagande och dokumentation av interna strategier för dataskydd, om
det inte är uppenbart obehövligt med hänsyn till verksamhetens begränsade
omfattning.

Förteckning över behandlingar
3 § Säkerhetspolisen ska föra en förteckning över de kategorier av be-
handlingar av personuppgifter som myndigheten ansvarar för. Förteck-
ningen ska innehålla namnet på och kontaktuppgifter till myndigheten och
dataskyddsombud. Förteckningen ska dessutom, för varje kategori av be-
handling, innehålla följande uppgifter:

1. den rättsliga grunden för behandlingen,
2. ändamålen med behandlingen,
3. de kategorier av tjänstemän som har tillgång till de personuppgifter som

behandlas,

4. de kategorier av mottagare som uppgifterna kan komma att lämnas ut

till, även i tredjeland eller internationella organisationer,

5. de kategorier av registrerade som berörs av behandlingen,
6. de kategorier av personuppgifter som kan komma att behandlas,
7. samlingar av överföringar av personuppgifter till tredjeland eller

internationella organisationer,

8. användning av profilering,
9. om det är möjligt, tidsfrister för hur länge kategorierna av personupp-

gifter får behandlas, och

10. om det är möjligt, en allmän beskrivning av vilka säkerhetsåtgärder

som har vidtagits.

2019:1235

SFS

Loggning
4 § Skyldigheten att föra loggar i automatiserade behandlingssystem
enligt 5 kap. 4 § lagen (2019:1182) om Säkerhetspolisens behandling av
personuppgifter ska omfatta behandlingar som innebär insamling, ändring,
läsning, utlämning, överföring till tredjeland eller internationella organisa-
tioner, sammanföring och radering av personuppgifter. Loggarna över läs-
ning och utlämning ska visa datum och tidpunkt för behandlingen och, så
långt det är möjligt, vem som har läst eller lämnat ut personuppgifterna och
vem som har fått ta del av personuppgifterna.

Tillgången till personuppgifter
5 § Vid tilldelning av behörighet för åtkomst till personuppgifter ska,
utöver behovet av uppgifterna, utbildning och erfarenhet särskilt beaktas.

6 § Säkerhetspolisen ansvarar för att det inom myndigheten finns rutiner
för tilldelning, förändring, borttagning och regelbunden uppföljning av
behörigheter för åtkomst till personuppgifter.

Konsekvensbedömning och förhandssamråd
7 § Konsekvensbedömningar som avses i 5 kap. 6 § första stycket lagen
(2019:1182) om Säkerhetspolisens behandling av personuppgifter ska
dokumenteras och innehålla följande uppgifter:

1. en allmän beskrivning av den planerade behandlingen,
2. en bedömning av riskerna för intrång i registrerades personliga

integritet,

3. vilka åtgärder som planeras för att hantera riskerna,
4. åtgärder och rutiner för att säkerställa skyddet av personuppgifterna,

och

5. rutiner för att visa att tillämpliga dataskyddsregler följs.

8 § Vid förhandssamråd enligt 5 kap. 6 § andra stycket lagen (2019:1182)
om Säkerhetspolisens behandling av personuppgifter ska Säkerhetspolisen
lämna in konsekvensbedömningen till tillsynsmyndigheten och tillhanda-
hålla den övriga information som begärs av myndigheten.

Vid bedömningen av om typen av behandling innebär en sådan risk för

intrång i registrerades personliga integritet att förhandssamråd ska äga rum
ska ny teknik, nya rutiner eller nya förfaranden särskilt beaktas.

Anmälan av överträdelser
9 § Säkerhetspolisen ska ha interna rutiner för anmälan av överträdelser
av bestämmelser om personuppgiftsbehandling som garanterar att anmä-
larens identitet skyddas.

Säkerhetsåtgärder
10 § Säkerhetsåtgärder enligt 5 kap. 7 § lagen (2019:1182) om Säkerhets-
polisens behandling av personuppgifter ska åstadkomma en skyddsnivå som
är lämplig med hänsyn till

1. de tekniska möjligheterna,
2. kostnaderna för åtgärderna,
3. behandlingens art, omfattning, sammanhang och ändamål,
4. de särskilda riskerna med behandlingen,
5. om känsliga personuppgifter behandlas, och

2019:1235

SFS

6. hur integritetskänsliga övriga personuppgifter som behandlas är.

Dataskyddsombud
11 § Säkerhetspolisen ska säkerställa att dataskyddsombud ges möjlighet
att delta i de frågor som rör skyddet av personuppgifter.

Säkerhetspolisen ska se till att dataskyddsombud kan utföra de uppgifter

som anges i 5 kap. 10 § lagen (2019:1182) om Säkerhetspolisens behandling
av personuppgifter genom att tillhandahålla nödvändiga resurser, ge tillgång
till dokumentation om behandling av personuppgifter och vid behov medge
åtkomst till personuppgifter som behandlas. Säkerhetspolisen ska också se
till att dataskyddsombud har den sakkunskap som krävs och att de ges
möjlighet att upprätthålla denna.

Personuppgiftsbiträden
Avtalets eller överenskommelsens innehåll
12 § Ett avtal eller en annan överenskommelse enligt 5 kap. 11 § andra
stycket lagen (2019:1182) om Säkerhetspolisens behandling av personupp-
gifter ska ange vad behandlingen av personuppgifter ska avse, hur länge
behandlingen ska pågå, dess art och ändamål, typen av personuppgifter,
kategorier av registrerade och Säkerhetspolisens skyldigheter och rättig-
heter. I avtalet eller överenskommelsen ska det särskilt föreskrivas att
personuppgiftsbiträdet ska

1. behandla personuppgifter bara enligt instruktioner från Säkerhets-

polisen,

2. säkerställa att personer som har tillstånd att behandla personuppgifter

antingen har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av
lagstadgad tystnadsplikt,

3. hjälpa Säkerhetspolisen att säkerställa att bestämmelserna om registre-

rades rättigheter följs,

4. radera eller återlämna alla personuppgifter till Säkerhetspolisen när

uppdraget har slutförts och, om inte annat följer av lag eller förordning,
radera befintliga kopior,

5. ge Säkerhetspolisen tillgång till den information som krävs för att visa

att det som sägs i denna paragraf, 13 § och 5 kap. 11–13 §§ lagen om Säker-
hetspolisens behandling av personuppgifter följs, och

6. respektera de villkor som framgår av denna paragraf, 13 § och 5 kap.

12 § lagen om Säkerhetspolisens behandling av personuppgifter när ett
annat personuppgiftsbiträde anlitas.

Underbiträden
13 § Om Säkerhetspolisen har lämnat ett generellt tillstånd enligt 5 kap.
12 § lagen (2019:1182) om Säkerhetspolisens behandling av person-
uppgifter, ska personuppgiftsbiträdet informera Säkerhetspolisen innan nya
personuppgiftsbiträden anlitas.

Förteckning över behandlingar
14 § Varje personuppgiftsbiträde ska föra en förteckning över kategorier
av behandlingar av personuppgifter som utförs för Säkerhetspolisens
räkning. Förteckningen ska innehålla namnet på och kontaktuppgifter till
personuppgiftsbiträdet och Säkerhetspolisen och dessutom, för varje kate-
gori av behandling, följande uppgifter:

1. namnet på och kontaktuppgifter till eventuella underbiträden,

2019:1235

SFS

2. vilka uppgifter som har överförts och till vem, om överföringar av

personuppgifter har gjorts till ett tredjeland eller en internationell orga-
nisation, och

3. om det är möjligt, en allmän beskrivning av de säkerhetsåtgärder som

har vidtagits.

Övriga skyldigheter
15 § Det som sägs om Säkerhetspolisens skyldigheter i 4 och 10 §§ gäller
även för personuppgiftsbiträden.

Övriga bestämmelser
16 § Innan Säkerhetspolisen meddelar föreskrifter med stöd av denna
förordning, ska tillsynsmyndigheten ges tillfälle att yttra sig i frågor som
berör särskilda risker för intrång i den personliga integriteten.

Rätt att meddela föreskrifter
17 § Tillsynsmyndigheten får meddela ytterligare föreskrifter om

1. sådana åtgärder som avses i 5 kap. 1–3 och 7 §§ lagen (2019:1182) om

Säkerhetspolisens behandling av personuppgifter,

2. krav och rutiner för loggning enligt 5 kap. 4 § lagen om Säkerhets-

polisens behandling av personuppgifter, och

3. vilka typer av behandlingar som ska omfattas av förhandssamråd enligt

5 kap. 6 § lagen om Säkerhetspolisens behandling av personuppgifter.

5 kap. Enskildas rättigheter
Krav på utformningen av information
1 § Information enligt 6 kap. 1 och 2 §§ lagen (2019:1182) om Säkerhets-
polisens behandling av personuppgifter ska vara lättillgänglig och lätt-
begriplig och lämnas i lämplig form. Detsamma gäller information enligt 3–
6 §§ denna förordning.

Enskilds begäran
2 § En begäran enligt 6 kap. 2, 6 eller 7 § lagen (2019:1182) om Säkerhets-
polisens behandling av personuppgifter ska göras skriftligen hos Säkerhets-
polisen.

Säkerhetspolisen ska säkerställa att begäran görs av en behörig person.

Beslut
3 § Beslut enligt 6 kap. 3 § första stycket, 5 § första stycket, 6 och 7 §§
och 9 § andra stycket lagen (2019:1182) om Säkerhetspolisens behandling
av personuppgifter ska vara skriftliga. Beslut som går den registrerade emot
ska motiveras.

Av 6 kap. 3 § andra stycket lagen om Säkerhetspolisens behandling av

personuppgifter framgår att skälen för vissa beslut inte behöver lämnas ut.

Underrättelser
Underrättelser till enskilda
4 § Sökanden ska utan onödigt dröjsmål underrättas om beslut enligt
6 kap. 3 § första stycket lagen (2019:1182) om Säkerhetspolisens be-
handling av personuppgifter. Någon underrättelse behöver inte lämnas om
det skulle skada det intresse som föranleder att information inte lämnas.

2019:1235

SFS

5 § Sökanden ska underrättas om beslut enligt 6 kap. 5 § första stycket
eller 9 § andra stycket lagen (2019:1182) om Säkerhetspolisens behandling
av personuppgifter.

6 § Den registrerade ska underrättas om följande beslut enligt lagen
(2019:1182) om Säkerhetspolisens behandling av personuppgifter:

1. beslut enligt 6 kap. 6 eller 7 §,
2. beslut om att en begränsning enligt 6 kap. 6 § andra stycket upphör.

Underrättelser till andra
7 § Den myndighet från vilken personuppgifter kommer ska underrättas
om beslut enligt 6 kap. 6 § första stycket lagen (2019:1182) om Säkerhets-
polisens behandling av personuppgifter.

Den som har tagit emot personuppgifter ska underrättas om beslut enligt

6 kap. 6 eller 7 § lagen om Säkerhetspolisens behandling av personuppgifter.

6 kap. Tillsyn
1 § Om tillsynsmyndigheten anser att en sådan planerad behandling som
avses i 5 kap. 6 § andra stycket lagen (2019:1182) om Säkerhetspolisens
behandling av personuppgifter kan komma att stå i strid med lag eller annan
författning, ska myndigheten senast sex veckor efter det att begäran om
förhandssamråd togs emot skriftligen lämna råd enligt 7 kap. 4 § första
stycket samma lag. Om det finns skäl för det får tiden förlängas.

2 § Tillsynsmyndigheten ska informera Säkerhets- och integritetsskydds-
nämnden om att förhandssamråd enligt 5 kap. 6 § andra stycket lagen
(2019:1182) om Säkerhetspolisens behandling av personuppgifter har
begärts. Om det är lämpligt ska nämnden ges tillfälle att yttra sig till till-
synsmyndigheten inom ramen för förhandssamrådet. Säkerhets- och integri-
tetsskyddsnämnden har rätt att få tillgång till underlaget för förhands-
samrådet och tillsynsmyndighetens yttrande.

7 kap. Överföring av personuppgifter till tredjeland och

internationella organisationer
1 § Överföringar av personuppgifter enligt 9 kap. 3 § 2 och 4 § lagen
(2019:1182) om Säkerhetspolisens behandling av personuppgifter ska
dokumenteras. Av dokumentationen ska framgå vilka personuppgifter som
överförts, datum och tidpunkt för överföringen, ändamålet med och grunden
för överföringen och till vem personuppgifterna överfördes.

2 § Överföringar av personuppgifter enligt 9 kap. 5 § lagen (2019:1182)
om Säkerhetspolisens behandling av personuppgifter ska dokumenteras.

1. Denna förordning träder i kraft den 1 januari 2020.
2. Bestämmelsen i 4 kap. 4 § om loggning tillämpas från och med den

1 oktober 2024 i fråga om automatiserade behandlingssystem som inrättats
före ikraftträdandet.

På regeringens vägnar

MIKAEL DAMBERG

Peter Lindström

(Justitiedepartementet)

2019:1235

Namn	Ändamål	Typ
.JpLogin	Kakor som används för att avgöra vilka sidvisningar som hör till samma användarbesök. Behövs för inloggning samt optimering.	Inloggning och sessionshantering
.AspNetCore.Session	Kakor som används för att avgöra vilka sidvisningar som hör till samma användarbesök. Behövs för inloggning samt optimering.	Inloggning och sessionshantering
EPiStateMarker	Kakor som används för att avgöra vilka sidvisningar som hör till samma användarbesök. Behövs för inloggning samt optimering.	Inloggning och sessionshantering
.AspNetCore.Antiforgery.#	Förebygger Cross-Site Request Forgery (CSRF) attacker.	Skydd mot förfalskade förfrågningar
__cf_bm	Kaka som används för att hämta teckensnitt.	Teckensnitt
jp-cookies	Denna kaka används för att hålla reda på vilka kakor som användaren accepterat att vi lagrar.	Godkännande av kakor
FedAuth	Denna kaka sätts för användare som använder federerad inloggning.	Federerad inloggning
CourseEvaluations	Denna kaka sätts för användare som skickat in kursutvärderingar.	Kursutvärderingar

Namn	Ändamål	Typ
JP_Download	Denna kaka håller reda på om användaren har lämnat sin e-postadress när den ska ladda ner en fil från den publika sajten.	Filnedladdning
ExamStudentId	Kakan möjliggör för webbkursexamintioner för användare utan personligt konto.	Webbkursexaminationer
JSESSIONID	Kaka som används för uppspelning av video. Används för att hålla en anonym användarsession.	Solidtango
_fanplay_session	Kaka som används för uppspelning av video. Används för att hålla en anonym användarsession.	Solidtango
lang	Sparar språkval för Twitter-flödet.	Twitter
_gali	Denna kaka används för att särskilja användare.	Google Analytics
form.apsis.one	Denna kaka används för inbäddade formulär.	Form Apsis One
mediaflow	Kaka som kan användas. Mediaflow används för uppspelning av video	Mediaflow

Namn	Ändamål	Typ
_ga	Kakor som används för besöksmätning.	Google Analytics
_gid	Kakor som används för besöksmätning.	Google Analytics
_gat	Kakor som används för besöksmätning.	Google Analytics
_hjIncludedInSample	Dessa kakor används för webbanalys funktionalitet och tjänster från hotjar.	Hot Jar
_hjid	Dessa kakor används för webbanalys funktionalitet och tjänster från hotjar.	Hot Jar
www.uc.se	Används för risksigillet i sidfoten på publik sajt.	Upplysningscentralen (UC)
Apsis One	Används för att analysera användarbeteende och skräddarsy marknadsföring.	Apsis One

Namn	Ändamål	Typ
test_cookie	Kakor för Google Advertising	Google Advertising
IDE	Kakor för Google Advertising	Google Advertising
3135848f46	Kaka för att spara IP-adresser för att identifiera företag eller organisationer som besöker webbsidan.	ProspectEye (Apsis Lead)

Tjänster

Utbildningar

Juridisk rådgivning

SFS 2019:1235 Förordning om Säkerhetspolisens behandling av personuppgifter

Om Lagboken.se