Diarienr: 4710-17-8.1 / Beslutsdatum: 26 sep 2017

Remissyttrande - Lag om flygpassageraruppgifter i brottsbekämpningen (SOU 2017:57)

Genomgången av de förslag som läggs fram i det nu aktuella betänkandet och de överväganden som görs där har skett med de utgångspunkter som Justitiekanslern främst har att beakta, här i första hand integritetssynpunkter.

Utredningen har föreslagit att EU:s direktiv 2016/681 om användning av passageraruppgiftssamlingar för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (PNR-direktivet) ska genomföras i Sverige genom en ny lag – lagen om flygpassageraruppgifter i brottsbekämpningen.

Underlaget för genomförandet av direktivet innehåller noggranna analyser både av behovet av verktyget i brottsbekämpande syfte och av det integritetsintrång som användningen av de insamlade uppgifterna kan väntas medföra. Vidare innehåller lagförslaget ett regelverk i syfte att skydda den enskildas personliga integritet vid behandling av uppgifterna.

Justitiekanslern har i huvudsak inte någon erinran mot förslagen i betänkandet. Följande ska dock framhållas.

Radering av PNR-uppgifter som utgör känsliga personuppgifter (avsnitt 18.5)

PNR-uppgifter definieras som en sammanställning av uppgifter om varje enskild passagerare som gör det möjligt för det lufttrafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera reservationen. De PNR-uppgifter ska behandlas framgår av bilaga I till PNR-direktivet.

Av de uppgifter som hänvisas till i bilagan anges under punkten 12 ”Allmänna anmärkningar”, med vilket åsyftas ett fritextsfält för kommunikation mellan t.ex. resebokare och flygbolagspersonal. Såsom anges i avsnitt 18.5.3 kan känsliga personuppgifter ingå bland dessa anmärkningar såsom specialkost eller hälsouppgifter. Dessa uppgifter kan avslöja en persons religion eller hälsotillstånd och får i sådant fall inte behandlas enligt direktivet. Lufttrafikföretagen ska inte överföra sådana känsliga uppgifter och om de ändå överförs till enheten för passagerar­information ska de omedelbart gallras genom radering. Det ska i sammanhanget dock konstateras att det rör sig om en stor mängd data som kontinuerligt ska skickas över från lufttrafikföretagen till enheten för passagerarinformation som i sin tur ska granska materialet. Insamlingen av de uppgifter som ingår under ”Allmänna anmärkningar” innebär integritetsrisker och den befogade informationen som kan vara av intresse i denna del framstår som begränsad. Eftersom en generell gallring av ”Allmänna anmärkningar” inte anses förenlig med direktivet (s. 348) vill Justitiekanslern betona vikten av en noggrann granskning av uppgifterna som förs vidare i denna del så att inte känsliga personuppgifter behandlas av misstag.

Något om Justitiekanslerns skadeståndsreglering

Enligt utredningens förslag ska det i lagen föras in en bestämmelse som innebär att 7 kap. 1 § i den kommande brottsdatalagen om skadestånd ska gälla också i fråga om behandling av personuppgifter i strid med bestämmelser enligt denna lag eller föreskrifter som meddelats med stöd av lagen (avsnitt 20.4.3).

Justitiekanslern är den myndighet som handlägger skadestånds­anspråk mot staten med hänvisning till felaktig personuppgifts­behandling, se 3 § förordningen (1995:1301) om hand­läggning av skadeståndsanspråk mot staten. Skadestånd för felaktig behandling av personuppgifter kan, på det statliga området, lämnas efter beslut av Justitiekanslern eller efter rättegång i allmän domstol. Det är vanligare att anspråk fram­ställs hos Justitiekanslern än i domstol. Såsom Justitiekanslern påpekat i sitt remissyttrande över betänkandet om en ny brottsdatalag (SOU 2017:29) krävs dock en ändring den nämnda förordningen om Justitiekanslern ska vara den myndighet som prövar anspråk enligt brottsdatalagen.