De bestämmelser i lagförslag 1 som avviker från den gällande lagen får konsekvenser för olika myndigheter. Konsekvenserna bygger delvis indirekt på kraven i EU:s dataskyddsförordning och dataskyddsdirektivet och delvis på nationella regleringslösningar.
EU:s dataskyddslagstiftning kräver att varje personuppgiftsansvarig ska ha ett dataskyddsom-bud. Reformen av dataskyddslagstiftningen orsakar polisen direkta kostnader också genom de personalresurser som krävs för att sköta den personuppgiftsansvariges övriga förpliktelser.
Som en indirekt ekonomisk konsekvens kan också anses vara behovet av att utbilda polisens personal, förutom allmänt för efterlevnaden av dataskyddslagstiftningen också för iakttagande av polisens nya personuppgiftslag, som har en regleringsstruktur som avviker från den tidigare och nytt innehåll.
Propositionens lagförslag 1 utvidgar i synnerhet den riksomfattande behandlingen av person-uppgifter i anknytning till att förebygga brott. Innehållet i de personperson-uppgifter som behandlas blir i och med den förenklade regleringen öppnare än i dagsläget. Den nya regleringen i kom-bination med att den personuppgiftsansvariges ansvar accentueras i den nya EU-lagstiftningen om dataskydd ställer särskilda krav på att de personuppgiftsansvariga fäster särskild vikt vid tillsynen över registren. Den nya regleringen som grundar sig på ändamålet med behandlingen kommer att kräva ännu mer heltäckande anvisningar.
De största konsekvenserna av EU:s dataskyddslagstiftning och dess genomförandebestämmel-ser samt lagförslag 1 gäller Polisstyrelsen, som i egenskap av personuppgiftsansvarig ansvarar för den behandling av personuppgifter som omfattas av tillämpningsområdet för polisens per-sonuppgiftslag, med undantag av den behandling av personuppgifter vid skyddspolisen som avses i 7 kap. Konsekvenserna gäller i någon mån också skyddspolisen, som är registeransva-rig för de uppgifter som avses i 7 kap., polisenheterna under Polisstyrelsen, dataombudsman-nens byrå samt andra myndigheter som lämnar ut uppgifter till polisen eller tar emot person-uppgifter från polisen.
4.2.1 Polisstyrelsen och polisenheterna under den
Dataskyddsförordningen och dataskyddsdirektivet samt den allmänna genomförandelagstift-ningen för dessa medför nya förpliktelser för den personuppgiftsansvarige exempelvis när det gäller att tillgodose de registrerades rättigheter, och striktare villkor för utlämnande av uppgif-ter till tredjeländer medför en administrativ börda framför allt när regelverket börjar tillämpas.
Den administrativa bördan orsakas exempelvis av skyldigheten att på ett nytt sätt informera de registrerade om behandlingen av personuppgifter samt skyldigheten att informera dem om kränkningar av informationssäkerheten. Den administrativa bördan konkretiseras exempelvis i form av upprättande och uppdatering av register över behandling av personuppgifter samt i form av utarbetande av anvisningar.
I enlighet med EU:s nya dataskyddsbestämmelser ska de personuppgiftsansvariga uttryckligen visa att de följer regelverket om behandling av personuppgifter. Enligt den nya regleringen har de personuppgiftsansvariga också mer detaljerade registreringsskyldigheter än tidigare när det gäller behandlingen av personuppgifter, inbegripet skyldighet att dokumentera vilken typ av personuppgifter som har lämnats ut och till vem eller vilka. De personuppgiftsansvariga ska genomföra en konsekvensbedömning avseende dataskydd beträffande de nya åtgärderna för behandling av personuppgifter, vilket inte ingår som en explicit skyldighet i den gällande re-gleringen. I likhet med den gällande regleringen ålägger de nya bestämmelserna dessutom skyldighet att höra dataombudsmannen i vissa situationer, men också dessa bestämmelser är mer detaljerade än tidigare. Förutom att informera de registrerade om en personuppgiftsinci-dent är den personuppgiftsansvarige i sådana situationer också skyldig att anmäla incipersonuppgiftsinci-denten till dataombudsmannen.
En betydande administrativ börda bedöms också orsakas av att de registrerade utnyttjar sina rättigheter mer aktivt än tidigare i och med att medvetenheten om dataskyddsregleringen ökar och tillsynsmyndigheterna får större befogenheter. Utöver ökad efterfrågan på grund av ökad medvetenhet innebär de registrerades större rättigheter (t.ex. rätt att begränsa behandlingen av uppgifter) samt ökad motiveringsskyldighet (t.ex. rätt att ta ut avgift av den registrerade för utövande av insynsrätten endast om den registeransvarige kan visa att begäran är uppenbart ogrundad eller orimlig) en ökad administrativ börda, trots en så hög automatiseringsgrad som möjligt när det gäller insynsrätten.
Den personuppgiftsansvarige orsakas en administrativ börda också i det avseendet att person-uppgiftsbiträdena ska förbinda sig till de nya kraven genom nya avtal. I EU-lagstiftningen om dataskydd beaktas förhållandet och de inbördes skyldigheterna mellan den personuppgiftsan-svarige och personuppgiftsbiträdena i större detalj än tidigare. Utöver detta ska den person-uppgiftsansvarige använda resurser till att utveckla personalens kompetens. Det uppstår ound-vikligen ett behov av nya typer av anvisningar och utbildning i och med de mer detaljerade och striktare allmänna kraven på personuppgiftsbehandling, skillnaderna mellan tillämpnings-områdena för dataskyddsförordningen och dataskyddsdirektivet samt ändringarna i den nat-ionella regleringen av personuppgiftsbehandling inom polisen, såsom övergången till en regle-ring som utgår från behandlingsändamålen. De nationella regleregle-ringslösningarna och totalre-formen av dataskyddsregleringen innebär i praktiken att hela personalen ska introduceras i den nya regleringen. Den personuppgiftsansvarige och de som utövar polisens interna laglighets-kontroll ska också följa upp att kraven iakttas, vilket orsakar en administrativ börda. Dessutom gäller det att förnya alla de beslut genom vilka en annan myndighet har beviljats tillgång till polisens personuppgifter genom teknisk anslutning.
Konsekvenserna av lagförslag 1 gäller också polisenheterna under Polisstyrelsen och deras personal. Konsekvenserna av EU-lagstiftningen om dataskydd blir mindre för polisinrättning-arna än för de personuppgiftsansvariga. EU-lagstiftningen om dataskydd medför också mer detaljerade bestämmelser och ett större ansvar för behandlingen av personuppgifter i polisens vardagliga arbete, vilket framhäver betydelsen av utbildning och övervakning i fråga om an-vändningen av registren, inklusive de närmaste chefernas övervakningsansvar. De poliser som behandlar personuppgifter orsakas också vissa utmaningar i och med att i stället för den all-mänt tillämpade personuppgiftslagen kompletteras polisens personuppgiftslag av tre allall-mänt tillämpliga författningar, dataskyddsförordningen och dataskyddslagen som tillämpas på till-ståndsärenden och relaterade tillsynsärenden samt en separat dataskyddslag avseende brott-mål. På grund av tillämpningen av ett annat regelverk är dessutom tillämpningsområdena för dessa författningar förknippade med gränsdragningssituationer. Å andra sidan bedöms det att bestämmelserna i lagförslag 1 som är skrivna i en mer flexibel form innebär att tillämpningen av lagstiftningen blir smidigare och förbättrar möjligheterna att behandla de uppgifter som be-hövs för polisens verksamhet. De olika situationerna när det gäller att tillämpa dessa författ-ningar konkretiseras tydligast i den personuppgiftsbehandling som utförs vid polisenheterna.
Myndigheterna har redan proaktivt förberett sig på en del av kraven enligt den nya data-skyddsregleringen. Inom polisen har man redan före ikraftträdandet av EU:s nya dataskydds-lagstiftning utvecklat en ny tillsyn över användningen av register. Registertillsynen och de re-surser som används för den har effektiviserats och centraliserats vid polisens högsta ledning.
Den administrativa börda som orsakas av de nya kraven blir lättare i och med att genomföran-det fördelas över en längre tidsperiod. Polisstyrelsen har dessutom redan sedan tidigare ett ut-nämnt dataskyddsombud. Innehållet i dataskyddsombudets uppgifter har redan på förhand preciserats så att de i praktiken uppfyller kraven enligt dataskyddslagstiftningen.
Polisstyrelsen ansvarar som enda personuppgiftsansvarig vid polisen för registerföringen i an-slutning till det informationssystem som förs för skötseln av de uppgifter som anges i 1 kap. 1
§ i polislagen och som hör till dataskyddsförordningens tillämpningsområde, vilket innebär att högre krav ställs på dataskyddsombudet. Samma personer ska vara dataskyddsombud även i fråga om sådan personuppgiftsbehandling som hör till dataskyddsdirektivets tillämpningsom-råde.
I och med de förnyade bestämmelserna innebär också de ökade kraven på utveckling, doku-mentering, uppföljning och rapportering en större administrativ börda vid alla enheter under Polisstyrelsen. Konsekvenserna av EU:s reformerade dataskyddslagstiftning kan dock inte an-ses följa av lagförslag 1, utan direkt av EU:s dataskyddslagstiftning och dess allmänna genom-förandelagstiftning.
4.2.2 Skyddspolisen
Skyddspolisen ansvarar i framtiden på samma sätt som i nuläget för registerföringen i anslut-ning till skyddspolisens funktionella informationssystem. Dessutom är skyddspolisen person-uppgiftsansvarig för det register över säkerhetsutredningar som avses i säkerhetsutredningsla-gen. Behandlingen av personuppgifter inom skyddspolisen omfattas inte av tillämpningsom-rådet för EU:s dataskyddslagstiftning, på men på behandlingen av personuppgifterna tillämpas med vissa begränsningar dataskyddslagen avseende brottmål. Reformen av polisens person-uppgiftslag medför inte några betydande ändringar i behandlingen av personuppgifter inom skyddspolisen.
Skyddspolisen orsakas motsvarande konsekvenser som Polisstyrelsen till den del det är fråga om den administrativa börda som följer av den personuppgiftsansvariges ansvar. Skyddspoli-sen har ett utnämnt dataskyddsombud för skyddspoliSkyddspoli-sens funktionella informationssystem, så till denna del förorsakar den nya dataskyddslagstiftningen inga behov av tilläggsresurser.
Dataskyddsombudets uppgifter är dock precis som de uppgifter som sköts av motsvarande personer vid de övriga polisenheterna mer detaljerade än tidigare, och oavhängigheten i för-hållande till den operativa verksamheten framhävs tydligare än tidigare. För registret över sä-kerhetsutredningar ska separat utnämnas ett dataskyddsombud, som medför en administrativ börda. De krav som ställs på dataskyddsombudet motsvarar de krav som fastställs i data-skyddsdirektivet. Skyddspolisen orsakas också motsvarande konsekvenser som de övriga poli-senheterna när det gäller att utbilda personalen om de nya bestämmelserna och kraven och att övervaka att de iakttas.
4.2.3 Dataombudsmannens byrå
För dataombudsmannens verksamhet medför propositionens ekonomiska konsekvenser främst ett personalresursbehov. Med stöd av dataskyddsförordningen och dataskyddslagen samt data-skyddslagen avseende brottmål ska den nationella tillsynsmyndigheten dataombudsmannen bland annat kontrollera att uppgiftsbehandlingen är lagenlig, om den registrerades rätt till in-syn har inskränkts, samt utföra undersökningar, verifieringar och granskningar. Dessa skyl-digheter konkretiseras i och med tillämpningen av lagförslag 1 i propositionen. I synnerhet de föreslagna ändringarna i regleringstekniken, såsom behandling av personuppgifter baserad på ändamålen med behandlingen, och ändringar i behandlingen av personuppgifter för förebyg-gande och avslöjande av brott kommer efter lagens ikraftträdande att förutsätta de tillsynsåt-gärder som nämns ovan. Också den föreslagna behandlingen av personuppgifter för bedöm-ning av uppgifternas betydelse innebär mer omfattande behandling av personuppgifter än tidi-gare och ökar därmed behovet av övervakning och styrning. Reformen av polisens personupp-giftslag bedöms medföra en administrativ börda för dataombudsmannens byrå på ca 1,5 års-verken.
4.2.4 Övriga myndigheter
Bestämmelserna i det föreslagna 4 kap., där regleringstekniken ändras i förhållande till den gällande lagen, orsakar i viss mån en större administrativ börda förutom för polisen även för de övriga myndigheterna. Till den del det är fråga om utlämnande av personuppgifter till brottsbekämpande myndigheter och andra myndigheter som avses i dataskyddsdirektivet får uppgifter huvudsakligen utlämnas i samma situationer som tidigare trots att regleringstekniken ändras. Uppgifter kan även på samma sätt som nu utlämnas som en datamängd eller via en teknisk anslutning. Tillämpningen av de föreslagna nya bestämmelserna orsakar därmed inte några avsevärda ändringar i den administrativa bördan. Inte heller EU:s dataskyddslagstiftning för med sig några betydande ändringar i utlämnandet av personuppgifter i fråga om brottmål.
Bestämmelserna i det föreslagna 4 kapitlet avviker inte heller till sitt innehåll i betydande grad från den gällande lagen till den del det är fråga om utlämnande av personuppgifter till andra myndigheter än de myndigheter som avses i dataskyddsdirektivet. Bestämmelserna möjliggör på samma sätt som i nuläget även i dessa situationer att personuppgifter under vissa förutsätt-ningar kan utlämnas som en datamängd eller via en teknisk anslutning. Det föreslås i förhål-lande till den gälförhål-lande lagen emellertid vissa ändringar i fråga om situationer där uppgifter lämnas ut. De medför eventuella kostnadseffekter närmast för den myndighet som tar emot personuppgifter speciellt i det fall att utlämnandet förutsätter att nya anslutningar öppnas eller att gränssnitt för förfrågningar byggs upp. Dessutom uppkommer kostnadsverkningar och en
administrativ börda också när kraven i dataskyddslagstiftningen iakttas, i synnerhet när det gäller skyddet av personuppgifter. En del av dessa konsekvenser rör även polisen på det sätt som beskrivs ovan.
Genom 54 § i propositionens lagförslag 1 ges skyddspolisen rätt att uppdatera sitt informat-ionssystem genom att jämföra uppgifterna i systemet med andra myndigheters personregister.
Den föreslagna bestämmelsen har konsekvenser för de myndigheter som har register ur vilka skyddspolisen uppdaterar personuppgifterna i sina informationssystem. Skyddspolisen ska för det första ha rätt att få uppgifterna avgiftsfritt. Det kan medföra kostnader och extra arbete för den personuppgiftsansvarige att hämta uppgifter ur informationssystem för granskning och eventuellt kombinera dem. Detta ska emellertid om det är möjligt beaktas när uppgifter ur ett material begärs och när sådana begäranden avgränsas. I praktiken orsakar en begäran om upp-gifter i viss mån en administrativ börda för mottagaren av begäran.