Lagens syfte

1 § Genom denna lag genomförs rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet).

Lagens tillämpningsområde

2 § Denna lag gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om uppgifterna inom ramen för polissamarbete eller straffrättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem.
   När svenska myndigheter överför personuppgifter till eller gör sådana uppgifter tillgängliga för dem som anges i första stycket 1–4 gäller bara bestämmelserna i 3 och 9 §§, med de begränsningar som följer av 4 §.

3 § Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

4 § Lagen gäller inte för sådan behandling av personuppgifter som rör nationell säkerhet.
   Lagen gäller inte heller för behandling av personuppgifter som görs eller har gjorts tillgängliga eller överförs eller har överförts genom
1. informationsutbyte som hänför sig till Schengens informationssystem (SIS),
2. informationsutbyte genom Tullinformationssystemet (TIS),
3. uppgiftsutbyte med stöd av rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet),
4. åtkomst enligt rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förebygga, upptäcka och utreda terroristbrott och andra grova brott, eller
5. uppgiftsutbyte med stöd av Europaparlamentets och rådets direktiv (EU) 2015/413 av den 11 mars 2015 om underlättande av gränsöverskridande informationsutbyte om trafiksäkerhetsrelaterade brott (CBE-direktivet), i den ursprungliga lydelsen. Lag (2015:784).

Tillåtna ändamål för behandling av personuppgifter

5 § Personuppgifter som har erhållits enligt 2 § första stycket får endast behandlas för andra ändamål än det som uppgifterna först överfördes eller gjordes tillgängliga för, om syftet med behandlingen är att

1. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
2. vidta åtgärder i rättsliga eller administrativa förfaranden med direkt anknytning till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, eller
3. avvärja en omedelbar och allvarlig fara för allmän säkerhet.   Personuppgifter får även behandlas för andra ändamål än dem som anges i första stycket, om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.
   Personuppgifter får också behandlas för historiska, vetenskapliga och statistiska ändamål.

Överföring av personuppgifter till enskilda

6 § Personuppgifter som har erhållits enligt 2 § första stycket får överföras till enskilda om
1. den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,
2. överföringen är nödvändig för att
a) myndigheten ska kunna fullgöra en författningsreglerad uppgift,
b) förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
c) avvärja en omedelbar och allvarlig fara för allmän säkerhet, eller
d) förhindra att enskildas rättigheter allvarligt kränks, och
3. inga berättigade intressen hos den som uppgifterna avser hindrar att de överförs.
   Första stycket gäller inte i fråga om uppgifter som lämnas till enskilda vid handläggning av brottmål.

Överföring av personuppgifter till tredjeland eller internationella organ

7 § Personuppgifter som har erhållits enligt 2 § första stycket får, förutom till dem som anges i 2 § första stycket 14, överföras till tredjeland eller internationella organ. Uppgifterna får dock endast överföras om
1. den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs,
2. det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder,
3. mottagaren har ansvar för sådan verksamhet som anges i 2, och
4. den stat där den mottagande myndigheten eller det mottagande internationella organet finns har en adekvat skyddsnivå för den avsedda personuppgiftsbehandlingen.
   Om kravet på adekvat skyddsnivå enligt första stycket 4 inte är uppfyllt, får personuppgifter ändå överföras i ett enskilt fall om överföringen är motiverad av ett berättigat intresse hos den som uppgifterna avser eller av ett särskilt viktigt allmänt intresse eller om mottagaren i det enskilda fallet tillhandahåller tillräckliga skyddsåtgärder för personuppgifterna.
   Om medgivande enligt första stycket 1 på grund av tidsbrist inte kan utverkas i förväg, får personuppgifter ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller annan medlemsstat i Europeiska unionen.

Villkor om användningsbegränsningar

Villkor som ställs upp av andra stater eller EU-organ

8 § Om en svensk myndighet har erhållit uppgifter enligt 2 § första stycket och det finns villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

Det som sägs i första stycket hindrar inte att uppgifter behandlas efter utgången av en sådan tidsfrist för gallring som angetts som villkor vid överföringen, om behandlingen behövs för en pågående utredning, beivrande av brott eller verkställighet av straffrättsliga påföljder. Uppgifterna ska då gallras när de inte längre behövs för ett sådant ändamål. Villkor när svenska myndigheter överför uppgifter eller gör uppgifter tillgängliga

9 § Om en svensk myndighet överför personuppgifter till eller gör personuppgifter tillgängliga för någon av dem som anges i 2 § första stycket 14, ska myndigheten underrätta mottagaren om de särskilda villkor som gäller för användningen av uppgifterna. Villkoren får inte innebära andra begränsningar än sådana som gäller vid överföring inom Sverige och får inte heller strida mot en internationell överenskommelse som är bindande för Sverige.

Övriga bestämmelser

10 § Bestämmelsen om jämkning av skadestånd i 48 § andra stycket personuppgiftslagen (1998:204) gäller inte vid behandling av personuppgifter enligt denna lag.

11 § Regeringen eller den myndighet regeringen bestämmer meddelar ytterligare föreskrifter om skyddet av personuppgifter enligt denna lag.

Övergångsregler

Övergångsbestämmelser

2013:329
Denna lag träder i kraft den 1 juli 2013, men tillämpas inte på uppgifter som överförts eller gjorts tillgängliga tidigare.
SFS 2013:329

Källa
Regeringskansliets rättsdatabaser

Utfärdad:
2013-05-23

Först inlagd:
2013-05-31

Senast ändrad:
2016-08-01

Uppdaterad:
t.o.m. SFS 2015:784