En modern lagstiftning för Kriminalvårdens personuppgiftsbehandling
Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.
Övergripande bedömning
IMY anser att förslaget i stort innebär en förbättring ur ett integritetsskyddsperspektiv, och ser positivt på att Kriminalvårdens registerförfattningar anpassas ytterligare till brottsdatalagen (2018:1177) och till större del liknar den lagstiftning som gäller för övriga myndigheter inom rättskedjan.
Bland annat framstår Kriminalvårdens nya föreslagna förordning som mer ändamålsenlig, då den inte längre baseras på en detaljerad uppräkning av vilka uppgifter som är tillåtna att behandla. Syftet med personuppgiftsbehandlingen kommer nu att avgöra om Kriminalvårdens behandling är tillåten. IMY ser det också som fördelaktigt att flera delar som tidigare reglerats i förordning nu kommer att styras av lag, såsom regleringen om gemensamt tillgängliga uppgifter som ska ersätta regleringen om det centrala kriminalvårdsregistret. Bestämmelserna om gemensamt tillgängliga uppgifter gör också lagstiftningen mer teknikneutral, och lagtekniskt överensstämmande med ett flertal andra rättsvårdande myndigheter.
Vissa delar av utredningens förslag medför dock en utökad personuppgiftsbehandling, varför IMY vill lämna följande synpunkter.
Direktåtkomst för Tullverket (avsnitt 8.8, 10.2.2 och 10.3.2)
Utredningen föreslår att Tullverket ska få möjlighet till direktåtkomst till Kriminalvårdens centrala kriminalvårdsregister och säkerhetsregister. Utredningen motiverar detta med att Tullverkets brottsbekämpande verksamhet har fått allt större betydelse, och att Kriminalvården och Tullverket får ett nytt sätt att samarbeta över myndighetsgränserna som möjliggör ett enklare informationsutbyte.
IMY instämmer i utredningens bedömning att direktåtkomsten bör regleras i lag. IMY anser dock att Tullverkets behov, såsom de beskrivs i betänkandet, inte framstår som tillräckligt starka för att motivera direktåtkomst, när det finns mindre ingripande alternativ till informationsutbyte än direktåtkomst. I det fortsatta lagstiftningsarbetet behöver Tullverkets behov analyseras ytterligare.
Breddning av säkerhetsregistret (avsnitt 9.9.1 och 15.1)
Utredningen föreslår en breddning av de personkategorier som får behandlas i säkerhetsregistret. IMY har i ett tidigare remissyttrande uttalat sig om förslag om utvidgning av registrerade i säkerhetsregistret. (1) Nu föreslås bland annat att registret ska få innehålla uppgifter om personer som tillsammans med andra kan antas ägna sig åt organiserad brottslig verksamhet, om det bedöms vara absolut nödvändigt för att upprätthålla säkerheten på häkten eller kriminalvårdsanstalter.
IMY anser att det behövs ytterligare vägledning för tillämparen i det fortsatta lagstiftningsarbetet för att minimera riskerna för en alltför långtgående och oproportionerlig personuppgiftsbehandling. Exempelvis kan mer detaljerade bestämmelser, kring bedömningen om i vilka fall registrering bör ske, införas i förordning. Ett annat alternativt är att författningskommentaren kompletteras med exempel och förtydliganden.
Sökning i känsliga personuppgifter (avsnitt 8.6.3 och 15.1)
Utredningen föreslår ett undantag från det generella sökförbudet i 2 kap. 14 § brottsdatalagen för uppgifter som har gjorts gemensamt tillgängliga.
IMY konstaterar att förslaget innebär en stor utvidgning av det nuvarande undantaget för Kriminalvården, då det också innefattar det centrala kriminalvårdsregistret. Utredningens analys visar dock på ett reellt behov för Kriminalvården att genomföra sökningar på känsliga personuppgifter för att kunna bedriva sin verksamhet på ett ändamålsenligt sätt. För att säkerställa att den praktiska tillämpningen inte går utöver bestämmelsens syfte anser IMY att författningskommentaren bör kompletteras med exempel och förtydliganden.
Positionsuppgifter vid elektronisk övervakning (avsnitt 8.3.3 och 14.4.1)
Utredningen föreslår en generell bestämmelse i Kriminalvårdens brottsdatalag som klargör att positionsuppgifter som tas fram vid elektronisk övervakning som ett led i verkställighet av en påföljd får göras gemensamt tillgängliga. Eftersom uppgifterna medger en ingående kartläggning av var en dömd person befinner sig eller har befunnit sig ska de få behandlas i högst tre månader.
IMY vill betona att registrering av GPS-positionering innebär ett mycket stort intrång i den enskildes personliga integritet och möjliggör en detaljerad kartläggning av en klients privatliv. Det är en grundläggande princip att inte fler personer än vad som är nödvändigt ska ha tillgång till personuppgifter och IMY ifrågasätter om det finns ett behov av att alla som arbetar med en klient ska ha tillgång till informationen om GPS-positioner. Det bör analyseras vidare om det är möjligt att begränsa kretsen till ett fåtal personer, vilket också inkluderar om det överhuvudtaget finns ett behov av att göra uppgifterna gemensamt tillgängliga.
Biometrisk autentisering (avsnitt 8.7.2, 11.1.2, 14.4.1, 14.4.2 och 15.1)
Vidare föreslår utredningen en bestämmelse om användning av biometrisk autentisering för att bekräfta en persons identitet när denne verkställer ett fängelsestraff i eller utanför anstalt. Förslaget innebär t.ex. att ansiktsigenkänning kan användas för att avgöra om en påstådd identitet är riktig vid de regelbundna och slumpmässiga kontroller som ska genomföras vid intensivövervakning med elektronisk kontroll, eller för att möjliggöra säkrare identifiering vid förflyttning av intagna inom en kriminalvårdsanstalt eller mellan anstalter.
IMY har inga synpunkter på förslaget i sig, då utredningen redogör för lämpliga säkerhetsåtgärder som ska minska risken för integritetsintrång. Detta innefattar bland annat att den biometriska matchningen endast kommer köras mot den dömdes egna ansiktsbild, och att den biometriska data som skapas vid en automatisk autentisering ska raderas senast en vecka efter autentiseringstillfället. IMY vill dock betona vikten av en adekvat säkerhetsnivå för de tekniska lösningar som Kriminalvården avser att använda för biometrisk autentisering och välkomnar att det särskilt lyfts fram i avsnitt 14.4.2 att Kriminalvården ska genomföra en konsekvensbedömning och att myndigheten har en långtgående skyldighet att samråda med IMY.
Fotnot
(1) I remissyttrande över Brottsdatalag-kompletterande lagstiftning (SOU 2017:74), dnr 2216-2017, uttalade IMY (dåvarande Datainspektionen) att det sågs som särskilt anmärkningsvärt att utvidga registreringen i säkerhetsregistret till att omfatta även personer som har en personlig anknytning eller annan nära förbindelse till den som finns registrerad, samt att det krävs mycket noga överväganden för att registrera personer som har kontakt med eller besöker personer som finns registrerade i säkerhetsregistret.
Detta yttrande har beslutats av enhetschefen Jonas Agnvall efter föredragning av juristen Emma Andersson.
Jonas Agnvall, 2023-11-13 (Det här är en elektronisk signatur)