Säkerhets- och integritetsskyddsnämnden har granskat de rutiner som gäller hos Säkerhetspolisen när man lämnar ut personuppgifter till underrättelse- och säkerhetstjänster i länder utanför EU.
Nämnden ville se om Säpo följer de bestämmelser som gäller om ”adekvat skyddsnivå” för personuppgifter i det landet som tar emot uppgifterna.
Nämnden skriver i sitt beslut:
”Utbyte av personuppgifter är av central betydelse för Säkerhetspolisens verksamhet, inte minst för att bekämpa terroristbrott. Den spridning av personuppgifter som ett sådant utbyte innebär är dock ytterst känslig från integritetssynpunkt.”
Följer inte lagen
Granskningen har visat att det inte ingår i Säkerhetspolisens rutiner att utreda vilka bestämmelser som gäller för personuppgiftsbehandlingen i respektive land – trots att detta är ett krav. Nämnden konstaterar att Säpos prövningar av skyddsnivån i så kallade tredjeländer därmed inte uppfyller lagens krav och att Säkerhetspolisen behöver ändra sina rutiner.
Nämnden pekar på hur viktigt det är att skydda den personliga integriteten eftersom man inte vet hur uppgifterna kommer att värderas, var uppgifterna slutligt hamnar och hur de kan komma att användas.
Behövs undantag
Samtidigt finns det ett behov av att i undantagsfall kunna lämna ut personuppgifter till ett tredjeland trots att det inte har konstaterats att landet har en adekvat skyddsnivå. Nämnden konstaterar att detta inte går att göra med den nuvarande lagstiftningen.
Nämnden noterar i detta sammanhang att det pågår en utredning om hur Säkerhetspolisens personuppgiftsbehandling bör regleras.
Nämnden pekar också på att promemorior ska upprättas ”om tjänsterna i alla länder där Säkerhetspolisen ska göra en bedömning av skyddsnivån”. Detta för att det i efterhand ska kunna kontrolleras vilka omständigheter som har legat till grund för ett beslut om att lämna ut personuppgifter.
Nämnden konstaterar i sin granskning att Säpo inte alltid följer detta.
