Lag (2018:1180) om flygpassageraruppgifter i brottsbekämpningen

SFS nr: 2018:1180
Departement/myndighet: Justitiedepartementet L4
Utfärdad: 2018-06-20
Ändringsregister: SFSR (Regeringskansliet)
Källa: Fulltext (Regeringskansliet)

/Träder i kraft I:2018-08-01/


1 kap. Inledande bestämmelser

Lagens innehåll

1 §   Denna lag genomför Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, här benämnt PNR-direktivet. Med PNR-uppgifter avses i lagen uppgifter om varje enskild passagerare som har lämnats vid bokning av en flygresa och vid incheckning.

Lagen innehåller bestämmelser om lufttrafikföretags överföring av PNR-uppgifter till enheten för passagerarinformation och om behandling av PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

Med terroristbrottslighet avses i lagen brott enligt artiklarna 3-12 och 14 i Europaparlamentets och rådets direktiv (EU) 2017/541 av den 15 mars 2017 om bekämpande av terrorism, om ersättande av rådets rambeslut 2002/475/RIF och om ändring av rådets beslut 2005/671/RIF.

Med annan allvarlig brottslighet avses i lagen de brott som anges i bilaga II till PNR-direktivet och för vilka det i Sverige eller andra medlemsstater är föreskrivet fängelse i tre år eller mer.

Lagens syfte

2 §   Syftet med lagen är att tillgodose behovet av tillgång till PNR-uppgifter i verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och att skydda människor mot att deras personliga integritet kränks vid behandlingen av uppgifterna om dem.

Andra uttryck i lagen

3 §   I lagen används följande uttryck med nedan angiven betydelse.

Uttryck                Betydelse
Behörighetsbegränsade
PNR-uppgifter            Personuppgifter som har gjorts 
                otillgängliga för en användare 
                som saknar särskild behörighet 
                för att få tillgång till 
                uppgifterna.
Behörig mottagare        En behörig myndighet i Sverige, 
                en enhet för passagerarinformation 
                i en annan medlemsstat, en 
                myndighet som har utsetts som 
                behörig i en annan medlemsstat 
                eller Europol.
Behörig myndighet        En myndighet utsedd av regeringen 
                som har behörighet att behandla 
                PNR-information i verksamhet för 
                att förebygga, förhindra, upptäcka, 
                utreda eller lagföra 
                terroristbrottslighet eller annan 
                allvarlig brottslighet.
Lufttrafikföretag        Ett företag som har giltig operativ 
                licens eller motsvarande som ger 
                rätt att mot ersättning utföra 
                lufttransporter av passagerare, 
                och som i sin normala verksamhet 
                samlar in och behandlar 
                PNR-uppgifter i ett elektroniskt 
                system för hantering av 
                reservationer.
Medlemsstat            En stat som är medlem i Europeiska 
                unionen och har antagit 
                PNR-direktivet.
Passagerare            Alla personer, förutom 
                besättningsmedlemmar, som 
                transporteras eller ska 
                transporteras med ett flygplan och 
                som finns upptagna i 
                passagerarförteckningen.
PNR-information            PNR-uppgifter och resultatet av en 
                enhet för passagerarinformations 
                behandling av sådana uppgifter.
Tredjeland            En stat som inte är en medlemsstat.
Enhet för passagerarinformation

4 §   Det ska vid Polismyndigheten finnas en enhet för passagerarinformation. Enheten ska ansvara för att
   1. samla in PNR-uppgifter från lufttrafikföretag, bevara och i övrigt behandla uppgifterna, och
   2. överföra PNR-information till behöriga mottagare och tredjeländer.

Tillåten behandling av PNR-information

5 §   PNR-information får endast behandlas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, om inte annat anges i 6 § eller 5 kap. 3 §.

Nationell säkerhet

6 §   Lagens bestämmelser om behandling av personuppgifter gäller inte för behöriga myndigheter i verksamhet som rör nationell säkerhet.

Enheten för passagerarinformation får behandla PNR-information när det är nödvändigt för att tillhandahålla uppgifter som behövs för sådan verksamhet.

Förbud mot behandling av känsliga personuppgifter

7 §   PNR-uppgifter som utgör sådana personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas enligt lagen.


2 kap. Lufttrafikföretagens skyldigheter

Överföring av PNR-uppgifter till enheten för passagerarinformation

1 §   Lufttrafikföretag ska till enheten för passagerarinformation inför varje flygning som ankommer till eller avgår från Sverige överföra sådana PNR-uppgifter som anges i bilagan till lagen. PNR-uppgifterna ska endast överföras i de fall lufttrafikföretagen samlar in uppgifterna som en del av sin normala verksamhet.

Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska det lufttrafikföretag som utför flygningen överföra PNR-uppgifter om samtliga passagerare.

2 §   PNR-uppgifterna ska överföras
   1. 24-48 timmar före flygningens avgång, och
   2. omedelbart efter det att gatens dörrar har stängts.

Den andra överföringen får begränsas till uppdateringar och kompletteringar av de uppgifter som överfördes vid det första tillfället.

3 §   Lufttrafikföretag ska på begäran av enheten för passagerarinformation överföra PNR-uppgifter även vid andra tidpunkter än de som anges i 2 §, om enheten bedömer att det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet.

4 §   Lufttrafikföretag ska överföra PNR-uppgifterna elektroniskt. Enheten för passagerarinformation får inte medges direktåtkomst till PNR-uppgifter som behandlas vid lufttrafikföretagen.

5 §   Lufttrafikföretag som är skyldiga att överföra PNR-uppgifter får anlita ett personuppgiftsbiträde för att utföra överföringen.

Information till passagerare

6 §   Lufttrafikföretag ska informera passagerare om överföringen av PNR-uppgifter till enheten för passagerarinformation och om skälen till överföringen.

Rätt att meddela föreskrifter

7 §   Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om lufttrafikföretagens överföring av PNR-uppgifter till enheten för passagerarinformation.


3 kap. Behandling av PNR-information vid enheten för passagerarinformation

PNR-databas

1 §   PNR-uppgifter som har överförts från ett lufttrafikföretag ska bevaras i en databas vid enheten för passagerarinformation.

2 §   Enheten för passagerarinformation ska behandla PNR-informationen i Sverige.

Personuppgiftsansvar

3 §   Polismyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs vid enheten för passagerarinformation.

Tillåtna ändamål för behandling av PNR-uppgifter

4 §   Enheten för passagerarinformation får, om inte 1 kap. 6 § är tillämplig, endast behandla PNR-uppgifter som har överförts från ett lufttrafikföretag för att
   1. göra en förhandsbedömning av passagerare före deras beräknade ankomst till eller avresa från Sverige i syfte att välja ut personer som behöver utredas ytterligare av behöriga myndigheter eller Europol, på grund av att dessa personer kan vara inblandade i terroristbrottslighet eller annan allvarlig brottslighet,
   2. fullgöra sina uppgifter att överföra PNR-information till behöriga mottagare eller tredjeländer, eller
   3. göra analyser för att uppdatera eller skapa nya kriterier som ska användas vid förhandsbedömningar.

5 §   Vid en förhandsbedömning får PNR-uppgifter
   1. jämföras med register eller andra uppgiftssamlingar som är relevanta för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, och
   2. behandlas enligt på förhand utformade och fastställda kriterier som är riktade, proportionella och avgränsade och som inte grundas på sådana känsliga personuppgifter som avses i 1 kap. 7 §.

6 §   Om enheten för passagerarinformation har mottagit PNR-information från motsvarande enheter i andra medlemsstater får enheten bara behandla informationen för att vidarebefordra den till behöriga myndigheter.

Tillgång till PNR-information

7 §   Endast den som tjänstgör vid enheten för passagerarinformation och den som fullgör uppgifter enligt lagen får ha tillgång till PNR-information som behandlas vid enheten. Tillgången ska begränsas till vad han eller hon behöver för att kunna fullgöra sina arbetsuppgifter.

Förbud mot direktåtkomst

8 §   Direktåtkomst till PNR-information som behandlas vid enheten för passagerarinformation får inte medges.

Tid som PNR-uppgifter ska bevaras

9 §   PNR-uppgifter som behandlas vid enheten för passagerarinformation ska bevaras i fem år från det att de kommit in från ett lufttrafikföretag. Därefter ska de förstöras.

10 §   PNR-uppgifter som inte anges i bilagan till lagen eller som utgör sådana känsliga personuppgifter som avses i 1 kap. 7 § ska omedelbart förstöras om de kommer in till enheten för passagerarinformation.

Behörighetsbegränsning av PNR-uppgifter

11 §   Följande PNR-uppgifter ska behörighetsbegränsas sex månader efter att de har kommit in från ett lufttrafikföretag om de kan användas för att identifiera en person:
   1. namn på passagerare,
   2. antal passagerare som reser tillsammans,
   3. adress och kontaktuppgifter,
   4. alla former av betalningsinformation, inklusive faktureringsadress,
   5. uppgifter om bonusprogram,
   6. allmänna anmärkningar, och
   7. uppgifter enligt punkt 18 i bilagan till lagen.

Dataskyddsombud

12 §   Polismyndigheten ska utse ett dataskyddsombud för enheten för passagerarinformation.

Dataskyddsombudet ska ha tillgång till alla uppgifter som behandlas vid enheten.

13 §   Dataskyddsombudet vid enheten för passagerarinformation ansvarar för att fullgöra de uppgifter som anges i 3 kap. 14 § brottsdatalagen (2018:177).

En enskild ska ha rätt att kontakta dataskyddsombudet i alla frågor som rör behandling av hans eller hennes PNR-uppgifter enligt denna lag.

14 §   Om dataskyddsombudet vid enheten för passagerarinformation anser att den personuppgiftsansvarige bryter mot bestämmelser för behandling av PNR-uppgifter, ska han eller hon anmäla det till tillsynsmyndigheten.

Rätt att meddela föreskrifter

15 §   Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om enheten för passagerarinformations behandling av PNR-information och dataskyddsombudets uppgifter.


4 kap. Överföring av PNR-information från enheten

för passagerarinformation

Överföring till behöriga myndigheter

1 §   Enheten för passagerarinformation ska så snart som möjligt överföra PNR-information till en eller flera behöriga myndigheter för att
   1. en vidare granskning ska göras av PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning,
   2. besvara en begäran från en behörig myndighet om att ta del av PNR-information, eller
   3. vidarebefordra PNR-information som har mottagits från en motsvarande enhet i en annan medlemsstat.

En befattningshavare vid enheten ska före överföring enligt första stycket 1 bedöma om PNR-informationen är relevant för vidare granskning av den behöriga myndigheten.

Överföring till andra medlemsstater

2 §   Enheten för passagerarinformation ska så snart som möjligt överföra PNR-information till en motsvarande enhet i en annan medlemsstat för att
   1. en vidare granskning ska göras av PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning, eller
   2. besvara en begäran från enheten i den andra medlemsstaten om att ta del av PNR-information.

En befattningshavare vid enheten ska före överföring enligt första stycket 1 bedöma om PNR-informationen är relevant för vidare granskning i den andra medlemsstaten.

3 §   När det i ett enskilt brådskande fall är absolut nödvändigt ska enheten för passagerarinformation besvara en begäran från en myndighet som har utsetts som behörig i en annan medlemsstat och överföra PNR-information direkt till den myndigheten.

4 §   När det i ett enskilt fall är nödvändigt med tillgång till PNR-uppgifter för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet, ska enheten för passagerarinformation på begäran av en motsvarande enhet i en annan medlemsstat inhämta PNR-uppgifter vid andra tidpunkter än de som anges i 2 kap. 2 § och överföra dessa till den enhet som har begärt dem.

Överföring till Europol

5 §   Enheten för passagerarinformation ska så snart som möjligt överföra PNR-information till Europol för att
   1. en vidare granskning ska göras av PNR-information beträffande passagerare som har valts ut vid en förhandsbedömning, eller
   2. besvara en begäran från Europol om att ta del av PNR-information.

En befattningshavare vid enheten ska före överföring enligt första stycket 1 bedöma om PNR-informationen är relevant för vidare granskning av Europol.

Villkor för överföring

6 §   Överföring enligt 1 § första stycket 2, 2 § första stycket 2, 3 § och 5 § första stycket 2 får endast ske om det av begäran framgår att PNR-informationen ska användas i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

Överföring till tredjeland

7 §   Enheten för passagerarinformation får besvara en begäran och överföra PNR-information till en myndighet i ett tredjeland som är behörig att bedriva verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet. PNR-information får överföras under förutsättning att
   1. överföringen omfattas av ett beslut om adekvat skyddsnivå, tillräckliga skyddsåtgärder eller ett undantag för särskilda situationer enligt 8 kap. 1 § första stycket 3 brottsdatalagen (2018:177),
   2. överföringen är nödvändig för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet, och
   3. tredjelandet har godtagit att uppgifterna får vidareöverföras till ett annat tredjeland endast om det är absolut nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet och efter det att ett uttryckligt medgivande till vidareöverföringen har inhämtats från enheten för passagerarinformation.

8 §   Enheten för passagerarinformation ska vid överföring av PNR-information till ett tredjeland ställa upp villkor som begränsar möjligheten att använda informationen i strid med lagens syften.

9 §   Om enheten för passagerarinformation har fått PNR-information från en annan medlemsstat krävs ett medgivande från den medlemsstaten till överföringen enligt 8 kap. 2 § första stycket brottsdatalagen (2018:177).

Om medgivande till överföringen på grund av tidsbrist inte kan hämtas in i förväg, får informationen ändå överföras om det är absolut nödvändigt för att avvärja en specifik och faktisk fara med anknytning till terroristbrottslighet eller annan allvarlig brottslighet.

Rätt att meddela föreskrifter

10 §   Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om uppställande av villkor vid överföring till tredjeland och om information till en annan medlemsstat när PNR-information har överförts utan förhandsmedgivande.

Överföring av behörighetsbegränsade PNR-uppgifter i sin fullständiga form

11 §   PNR-uppgifter som är behörighetsbegränsade enligt 3 kap. 11 § får endast överföras i sin fullständiga form till behöriga mottagare eller ett tredjeland om det rimligen kan antas vara nödvändigt för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

Om en förundersökning pågår ska en begäran från en behörig myndighet om att få tillgång till fullständiga PNR-uppgifter beslutas av en åklagare.

I de fall som inte omfattas av andra stycket krävs att tillstånd till överföringen har lämnats av Polismyndigheten.


5 kap. Behöriga myndigheters behandling av PNR-information

Förstöring av PNR-information

1 §   En behörig myndighet som har mottagit PNR-information från enheten för passagerarinformation efter enhetens förhandsbedömning ska omedelbart förstöra informationen om den visar sig sakna betydelse för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrottslighet eller annan allvarlig brottslighet.

2 §   Om en behörig myndighet mottar PNR-uppgifter som utgör sådana känsliga personuppgifter som avses i 1 kap. 7 § ska uppgifterna omedelbart förstöras.

Behandling av PNR-information för annan brottslighet

3 §   Om det har kommit fram uppgifter om ett annat brott än terroristbrottslighet eller annan allvarlig brottslighet i samband med en brottsbekämpande åtgärd som en behörig myndighet vidtar till följd av behandling av PNR-information, får informationen, utöver vad som anges i 1 kap. 5 §, användas för att förhindra, utreda eller lagföra brottet.

Automatiserade beslut

4 §   Ett beslut som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne får inte enbart grundas på en automatiserad behandling av PNR-uppgifter.

Rätt att meddela föreskrifter

5 §   Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om behöriga myndigheters inhämtande av PNR-information.


6 kap. Sanktionsavgifter

Överträdelser av lufttrafikföretag

1 §   En sanktionsavgift ska tas ut av ett lufttrafikföretag som inte har överfört PNR-uppgifter enligt bestämmelserna i denna lag eller föreskrifter som har meddelats i anslutning till lagen.

2 §   Sanktionsavgiften ska för varje flygning som har utförts utan att lufttrafikföretaget har fullgjort sin överföringsskyldighet bestämmas till lägst 20 000 kronor och högst 100 000 kronor. När sanktionsavgiftens storlek fastställs ska särskild hänsyn tas till antal passagerare på flygningen och om lufttrafikföretaget tidigare har begått en överträdelse.

Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

3 §   Polismyndigheten beslutar om sanktionsavgift för lufttrafikföretag.

Sanktionsavgiften tillfaller staten.

4 §   En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från den dag då överträdelsen ägde rum.

5 §   En sanktionsavgift ska betalas till Polismyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften fick laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska Polismyndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

Avgiften faller bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet fick laga kraft.

6 §   Polismyndighetens beslut om sanktionsavgift får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överträdelser av personuppgiftsansvarig myndighet

7 §   En sanktionsavgift får tas ut av en personuppgiftsansvarig myndighet vid överträdelse av bestämmelserna i
   1. 1 kap. 5 eller 7 §,
   2. någon av 3 kap. 2 eller 4-11 §§,
   3. 4 kap. 7, 9 eller 11 §, eller
   4. 5 kap. 1, 2 eller 4 §.

8 §   Vad som anges i 6 kap. 3 § tredje stycket och 4-8 §§ brottsdatalagen (2018:177) ska tillämpas när en sanktionsavgift tas ut enligt 7 §.

Sanktionsavgiften ska vara högst 10 000 000 kronor.

Det framgår av 7 kap. 3 § brottsdatalagen att tillsynsmyndighetens beslut om sanktionsavgift kan överklagas.

Rätt att meddela föreskrifter

9 §   Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om sanktionsavgifter enligt denna lag.


7 kap. Övriga bestämmelser

Enskildas rättigheter

1 §   Vid behandling i strid med 1 kap. 5 eller 7 § eller 3 kap. 9 § ska 4 kap. 10 § brottsdatalagen (2018:177) om en registrerads rätt till radering eller begränsning av behandling av personuppgifter tillämpas.

2 §   Vid behandling i strid med bestämmelser till skydd för personuppgifter i denna lag eller föreskrifter som har meddelats i anslutning till lagen ska bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:177) tillämpas.

Tillsyn

3 §   Tillsyn över personuppgiftsbehandling enligt denna lag ska utföras av den nationella tillsynsmyndigheten enligt brottsdatalagen (2018:177) och i enlighet med bestämmelserna om tillsyn i den lagen.

Bilaga

PNR-uppgifter som enligt 2 kap. 1 § ska överföras från lufttrafikföretag till enheten för passagerarinformation:
   1. PNR-uppgifternas lokaliseringskod,
   2. datum för bokning och utfärdande av biljett,
   3. planerat eller planerade resedatum,
   4. namn,
   5. adress och kontaktuppgifter (telefonnummer och e-postadress),
   6. all betalningsinformation, inklusive faktureringsadress,
   7. fullständig resplan,
   8. uppgifter om bonusprogram,
   9. resebyrå eller reseagent,
   10. passagerarens resestatus, inklusive resebekräftelser, incheckningsstatus, upplysningar om passagerare som inte infinner sig och passagerare utan bokning,
   11. delade PNR-uppgifter,
   12. allmänna anmärkningar, inklusive alla tillgängliga uppgifter om ensamresande barn under 18 år, såsom namn, kön, ålder, språkkunskaper, namn och kontaktuppgifter för den person som följer barnet till incheckning för avresan och denna persons förhållande till barnet, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet samt flygplatspersonal som ledsagar barnet vid avresan respektive ankomsten,
   13. biljettinformation, inklusive biljettnummer, datum för utfärdande av biljetten, enkelbiljetter och automatisk biljettprisuppgift,
   14. platsnummer och annan platsinformation,
   15. information om gemensam linjebeteckning,
   16. all bagageinformation,
   17. antal medresenärer och deras namn,
   18. all eventuell förhandsinformation (API-uppgifter) som har samlats in, inklusive typ av identitetshandling, identitetshandlingens nummer, utfärdandeland, sista giltighetsdag, nationalitet, efternamn, förnamn, kön, födelsedatum, lufttrafikföretag, flygnummer, utresedatum, ankomstdatum, avreseflygplats, ankomstflygplats, avresetid och ankomsttid, och
   19. alla ändringar som har gjorts av de PNR-uppgifter som anges i punkt 1-18.