Dir. 2021:104

En modern dataskyddsreglering för Skatteverket, Tullverket och Kronofogdemyndigheten och förbättrade förutsättningar för en effektiv kontrollverksamhet

Kommittédirektiv

En modern dataskyddsreglering för Skatteverket, Tullverket och Kronofogdemyndigheten och förbättrade förutsättningar för en effektiv kontrollverksamhet Beslut vid regeringssammanträde den 3 november 2021

Sammanfattning

En särskild utredare ska göra en översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov. Reglerna bör vara flexibla och anpassade efter såväl den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen. I uppdraget ligger även att överväga om det finns utrymme för minskad detaljreglering jämfört med i dag. En översyn av registerförfattningarnas struktur och terminologi ingår också i uppdraget.

Utredaren ska även se över förutsättningarna för Skatteverket, Tullverket och Kronofogdemyndigheten att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet. En utgångspunkt är att det ska finnas ett tydligt rättsligt stöd för myndigheternas arbete med dataanalyser och urval. Reglerna behöver dessutom vara teknikneutrala och flexibla samt ge myndigheterna möjlighet att utveckla och anpassa arbetet med analyser och urval efter utvecklingen i samhället i övrigt.

Utredaren ska noga väga myndigheternas behov av att behandla personuppgifter mot den enskildes rätt till skydd för sin personliga integritet. I uppdraget ingår att lämna nödvändiga författningsförslag.

Uppdraget ska redovisas senast den 31 maj 2023.

2 (13)

Den nuvarande regleringen för de berörda myndigheterna

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar i det grundlagsfästa skyddet kan endast göras genom lag och bara under de förutsättningar som anges i 2 kap.2022 §§regeringsformen.

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad EU:s dataskyddsförordning, utgör den generella regleringen av personuppgiftsbehandling inom EU. Förordningen är i alla delar bindande och direkt tillämplig i samtliga EU:s medlemsländer, men tillåter och förutsätter ibland att medlemsstaterna kompletterar förordningen med nationell lagstiftning. Dataskyddsförordningen kompletteras i Sverige av bl.a. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Dataskyddslagen är subsidiär till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i särskilda registerförfattningar.

För Skatteverket, Tullverket och Kronofogdemyndigheten finns särskilda registerförfattningar som kompletterar såväl EU:s dataskyddsförordning som dataskyddslagen. För Skatteverkets behandling av personuppgifter finns ett antal sådana registerförfattningar. Ett exempel är lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och den tillhörande förordningen (2001:588). Lagen tillämpas vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet och i verkets handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, lagen (2013:948) om stöd vid korttidsarbete, lagen (1991:1047) om sjuklön och lagen (2020:548) om omställningsstöd, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. I Skatteverkets folkbokföringsverksamhet gäller lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och den tillhörande förordningen (2001:589). Därutöver kan nämnas lagen (1998:527) och förordningen (1998:1234) om det statliga personadress-

3 (13)

registret som gäller i Skatteverkets verksamhet som avser det statliga personadressregistret, SPAR, och lagen (2015:898) och förordningen (2015:905) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.

För Tullverkets personuppgiftsbehandling gäller lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och den tillhörande förordningen (2001:646). Lagen och förordningen gäller i all verksamhet som Tullverket bedriver, med undantag för den brottsbekämpande verksamheten och viss annan administrativ verksamhet.

För Kronofogdemyndighetens personuppgiftsbehandling gäller lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och den tillhörande förordningen (2001:590). Lagen tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med utsökning och indrivning, skuldsanering, F-skuldsanering, betalningsföreläggande och handräckning, europeiskt betalningsföreläggande, tillsyn i konkurs samt i annan verksamhet som särskilt åligger Kronofogdemyndigheten.

De flesta av de nämnda författningarna är uppbyggda på samma sätt som lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet när det gäller automatiserad behandling. Alla dessa författningar är vidare uppbyggda så att dataskyddslagen gäller om inte annat följer av registerförfattningen eller föreskrifter som har meddelats i anslutning till denna. Några av författningarna gäller delvis även vid behandling av uppgifter om juridiska personer och avlidna. De flesta författningarna innehåller bestämmelser om behandling av uppgifter i särskilda databaser, bl.a. beskattningsdatabasen hos Skatteverket, tulldatabasen hos Tullverket och utsöknings- och indrivningsdatabasen hos Kronofogdemyndigheten.

Inom Skatteverket, Tullverket och Kronofogdemyndigheten förekommer också viss personuppgiftsbehandling som inte omfattas av registerförfattningarna. Sådan behandling sker då enbart med stöd av den generella dataskyddsregleringen i EU:s dataskyddsförordning och dataskyddslagen.

De registerförfattningar som gäller i Skatteverkets beskattnings- och folkbokföringsverksamheter, i Tullverkets verksamhet utanför det brottsbekämpande området och i Kronofogdemyndighetens verksamhet är uppbyggda på samma sätt. De tillkom för 20 år sedan (prop. 2000/01:33,

4 (13)

bet. 2000/01:SkU20, rskr. 2000/01:176). Dessförinnan hade en översyn gjorts av de dåvarande registerförfattningarna inom dessa områden, se betänkandet Skatt Tull Exekution Normer för behandling av personuppgifter (SOU 1999:105).

I samband med EU:s dataskyddsreform gjordes anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning (prop. 2017/18:95, bet. 2017/18:SkU15, rskr. 2017/18:234). Det var dock inte fråga om en generell översyn av registerförfattningarna, även om vissa justeringar gjordes i de berörda lagarna där behov uppmärksammats vid översynen som inte direkt hade samband med dataskyddsförordningen (se samma prop. s. 39 f.).

Vid sidan av denna dataskyddsreglering finns den reglering som gäller i Skatteverkets respektive Tullverkets brottsbekämpande verksamheter. I dessa verksamheter består dataskyddsregleringen främst av brottsdatalagen (2018:1177), lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.

Varför behövs det en utredning?

Någon allmän översyn av de registerförfattningar som gäller i Skatteverkets beskattnings- och folkbokföringsverksamheter samt i Tullverkets och Kronofogdemyndighetens verksamheter har inte gjorts sedan registerförfattningarnas tillkomst. Den översyn som gjordes i samband med EU:s dataskyddsform var som anges ovan i stort sett begränsad till anpassningar till dataskyddsförordningen. Sedan millennieskiftet har förutsättningarna för myndigheternas digitalisering och personuppgiftsbehandling förändrats avsevärt med hänsyn till såväl den snabba tekniska utvecklingen som nya dataskyddsregler inom främst EU. Redan av dessa skäl framgår att det är nödvändigt med en systematisk genomgång av de aktuella registerförfattningarna. Myndigheterna har själva framställt detta önskemål vid ett flertal tillfällen.

I förarbetena till registerförfattningarna framgår att avsikten var att regleringen skulle vara teknikoberoende och flexibel, för att inte hindra den effektivisering av verksamheterna som kontinuerligt pågår (prop. 2000/01:33 s. 81). Trots detta kan det konstateras att registerförfattningarna inte längre framstår som ändamålsenliga och anpassade till dagens behov hos aktuella

5 (13)

myndigheter. Till exempel togs registerförfattningarna fram under en tid då manuell handläggning av enskilda ärenden var det vanligaste arbetssättet. De är inte anpassade till den mer avancerade och omfattande automatiserade behandling av personuppgifter som är aktuell i dag när nya it-system byggs. Digitaliseringen innebär även att allt fler informationsflöden övergår till att enbart hanteras i elektronisk form. För att anpassa författningarnas regler om t.ex. elektroniskt utlämnande till denna utveckling krävs nya överväganden och en mer flexibel reglering, något som redan finns i flera andra registerförfattningar. Den tekniska utvecklingen har därutöver skapat nya möjligheter för myndigheterna att använda maskinella riskbaserade analyser och urval för att kunna koncentrera sin kontroll mot områden med hög risk för fel och fusk och där bästa möjliga effekt kan uppnås. För att myndigheterna ska kunna utnyttja dessa möjligheter bättre än i dag och därmed skapa förbättrade förutsättningar för en effektiv kontrollverksamhet krävs dock en ny reglering. Dessa frågor kräver överväganden där myndigheternas behov av att behandla personuppgifter noggrant vägs mot den enskildes rätt till skydd för sin personliga integritet.

Uppdraget att se över myndigheternas registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov

En utgångspunkt för en allmän översyn bör vara att skapa ändamålsenliga regler som är anpassade efter dagens behov hos Skatteverket, Tullverket och Kronofogdemyndigheten. Reglerna bör vara flexibla och anpassade efter såväl den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen samtidigt som enskildas personliga integritet värnas. Skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen ska särskilt beaktas. I uppdraget bör även ligga att överväga om det finns utrymme för minskad detaljreglering jämfört med i dag, t.ex. när det gäller vilka uppgifter som får behandlas i de olika databaserna. En översyn av de nuvarande registerförfattningarnas struktur och terminologi bör också ingå i uppdraget, bl.a. i syfte att modernisera språket och att använda enhetliga begrepp i förhållande till främst annan dataskyddsreglering.

De registerförfattningar som omfattas av denna översyn är de som har angetts ovan under rubriken Den nuvarande regleringen för de berörda myndigheterna. Det ligger dock inte inom ramen för utredarens uppdrag att analysera behovet av ändringar i de registerförfattningar som gäller i Skatteverkets respektive Tullverkets brottsbekämpande verksamheter. Dessa

6 (13)

registerförfattningar tillkom så pass nyligen att det för närvarande inte finns något behov av en allmän översyn.

Utredaren ska därför

Kronofogdemyndighetens registerförfattningar och då bl.a. bedöma om det finns utrymme för minskad detaljreglering och se över registerförfattningarnas struktur och terminologi, och

Tillämpningsområden och ändamålsbestämmelser

I flera av registerförfattningarna gäller bestämmelserna om bl.a. tillåtna ändamål även vid behandling av uppgifter om juridiska personer. Enligt förarbetena var ett skäl till denna ordning att det genom den ökade användningen av elektroniska akter och elektroniska dokument i många fall skulle bli svårt att skilja uppgifter om juridiska personer från uppgifter om deras delägare eller ställföreträdare (prop. 2000/01:33 s. 86). Det är dock allmänt sett inte lika angeläget att skydda uppgifter om juridiska personer som uppgifter om fysiska personer (prop. 2017/18:269 s. 113). Det finns därför skäl att på nytt ta ställning till frågan om juridiska personer bör omfattas. Det bör i det sammanhanget bl.a. beaktas om en sådan ordning skapar omotiverade hinder för digitalisering och för det internationella uppgiftsutbytet med andra EU-medlemsstater vars dataskyddsreglering inte omfattar juridiska personer. Tillämpningsområdet för registerförfattningarna bör även ses över i övrigt.

Registerförfattningarna innehåller bestämmelser om för vilka ändamål personuppgifter får behandlas. Sådana ändamålsbestämmelser anger den yttersta ram inom vilken personuppgifterna får behandlas. För att säkerställa att ändamålsbestämmelserna är anpassade till den tekniska utvecklingen kan det finnas ett behov av en utvidgad ändamålsreglering jämfört med i dag.

Det finns även skäl att överväga en mindre detaljerad ändamålsreglering. Det gäller t.ex. de sekundära ändamålsbestämmelserna som reglerar i vilken utsträckning personuppgifter får behandlas för att lämnas ut till annan

7 (13)

verksamhet inom den egna myndigheten, till enskilda eller till andra myndigheter för att tillgodose deras behov.

Utredaren ska därför

  • ta ställning till om juridiska personer ska omfattas av

registerförfattningarna och se över tillämpningsområdet i övrigt, och

  • ta ställning till om det finns ett behov av en utvidgad ändamålsreglering

för att den ska vara anpassad till den tekniska utvecklingen och om ändamålsregleringen kan vara mindre detaljerad, t.ex. när det gäller de sekundära ändamålsbestämmelserna.

Informationsutbyte och elektroniskt utlämnande av uppgifter

Många av de registerförfattningar som omfattas av översynen innehåller en reglering av utlämnande av uppgifter från de berörda verksamheterna. Det finns skäl att ta ställning till om denna reglering är väl avvägd eller om det finns behov av förändringar. Det ingår dock i huvudsak inte i utredarens uppdrag att föreslå ändringar kring omfattningen av det nuvarande informationsutbytet. I förordningen om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns det ett stort antal bestämmelser om utlämnande till andra myndigheter och andra organ med delvis olika utformning. Det finns därför anledning att se över bl.a. dessa bestämmelser även med utgångspunkten att skapa en mer enhetlig reglering. Eventuella förslag om sekretessbrytande uppgiftsskyldigheter eller utökning av sådana förutsätter att integritetsaspekten har beaktats och att en bedömning gjorts av om behovet av utökad tillgång till information väger tyngre än behovet av skydd för den personliga integriteten.

I registerförfattningarna regleras även frågor om sättet för utlämnande av personuppgifter i elektronisk form. Ett vanligt sätt att skilja på olika former av elektroniskt utlämnande är att skilja mellan utlämnande på medium för automatiserad behandling, t.ex. genom e-post, och utlämnande genom direktåtkomst. Uttrycket ”på medium för automatiserad behandling” har dock på vissa ställen fasats ut till förmån för uttrycket ”elektroniskt på annat sätt än genom direktåtkomst”, se t.ex. 16 § domstolsdatalagen (2015:728) och 2 kap. 9 § lagen om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. Den grundläggande innebörden av direktåtkomst är att någon har direkt tillgång till någon annans uppgiftssamling och på egen hand kan söka efter information, men utan att kunna påverka innehållet i

8 (13)

uppgiftssamlingen. Elektroniskt utlämnande genom direktåtkomst bedöms som mest integritetskänsligt, jfr t.ex. propositionen Tullbrottsdatalag (prop. 2016/17:91 s. 58).

Digitaliseringen medför att det ställs ökade krav på att myndigheter ska ha möjlighet att lämna uppgifter elektroniskt till framför allt enskilda. Det kan därför finnas ett behov av en mer flexibel reglering av möjligheten till elektroniskt utlämnande på annat sätt än genom direktåtkomst. Det är något som redan finns i annan dataskyddsreglering, bl.a. domstolsdatalagen.

En annan fråga som behöver utredas är om nuvarande regler om direktåtkomst är ändamålsenliga. Elektroniskt utlämnande på annat sätt än genom direktåtkomst bör i vissa fall, genom tillämpning av adekvat teknik, kunna tillgodose samma behov som direktåtkomst. Denna fråga behandlas i eSamverkansprogrammets (eSam) publikation Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form (maj 2016).

Ytterligare en fråga i detta sammanhang som bör utredas är om dagens regler om elektroniskt utlämnande till utländska myndigheter, som gäller vid elektroniskt informationsutbyte inom ramen för det internationella samarbetet, är utformade på ett ändamålsenligt sätt. Det är viktigt att regleringen inte skapar omotiverade hinder för detta samarbete.

Utredaren ska därför

  • ta ställning till om regleringen av utlämnande av uppgifter är väl avvägd

eller om det finns behov av förändringar, varvid behovet av skydd för den personliga integriteten ska beaktas, och

  • ta ställning till om nuvarande regler om elektroniskt utlämnande är

utformade på ett ändamålsenligt sätt.

Sökbegränsningar och bestämmelser om bevarande och gallring

I de flesta registerförfattningar som omfattas av översynen finns särskilda bestämmelser om sökbegränsningar, som ofta tar sikte på den eller de databaser som regleras i respektive författning. Sökbegränsningarna tar sikte på känsliga personuppgifter och uppgifter om lagöverträdelser, men också på möjligheten att söka efter handlingar i databaserna. Bestämmelserna har införts av integritetsskäl (se t.ex. prop. 2000/01:33 s. 100104). De nu aktuella registerförfattningarna innehåller mer långtgående och detaljerade

9 (13)

sökbegränsningar än de som gäller enligt dataskyddslagen och brottsdatalagen och har en annorlunda utformning. Det finns mot denna bakgrund skäl att utreda om dagens bestämmelser om sökbegränsningar alltjämt kan anses vara ändamålsenligt utformade.

Det finns vidare skäl att utreda om myndigheternas nuvarande bestämmelser om bevarande och gallring är ändamålsenliga i förhållande till gällande materiella regler och dagens behov. Det bör i samband därmed bedömas om nuvarande bestämmelser om gallring kan ersättas med regler om längsta tid som personuppgifter får behandlas automatiserat för att tydliggöra att det rör sig om dataskyddsbestämmelser och inte bestämmelser om gallring i arkivrättslig mening. En sådan ändring har gjorts i registerförfattningarna inom brottsdatalagens område (se prop. 2017/18:269 s. 122 f.). Oavsett vilken lösning som förordas är det viktigt att bestämmelserna utformas med hänsyn till att domstolsprocesser kan pågå under lång tid. Vidare kan det konstateras att bestämmelserna om gallring i dåvarande tullregisterlagen (1990:137) i stort sett oförändrade fördes över till lagen om behandling av uppgifter i Tullverkets verksamhet. Regeringen motiverade detta med att det pågick en översyn av EU:s tullagstiftning som kunde komma att påverka gallringsbestämmelserna (se prop. 2000/01:33 s. 180). Det finns därför skäl att nu göra en allmän översyn av Tullverkets gallringsbestämmelser. Slutligen finns det anledning att analysera och tydliggöra vilka gallringsbestämmelser som ska gälla när någon av de berörda myndigheterna tillgängliggör uppgifter i tekniska plattformar som hanteras gemensamt av EU och medlemsstaterna.

Utredaren ska därför

  • ta ställning till om dagens bestämmelser om sökbegränsningar är ända-

målsenligt utformade,

  • ta ställning till om myndigheternas nuvarande bestämmelser om

bevarande och gallring är ändamålsenliga, varvid det bl.a. ska bedömas om gallringsbestämmelserna bör ersättas med regler om längsta tid som personuppgifter får behandlas, och

  • analysera hur frågan om gallring av uppgifter lämpligen kan regleras i de

fall någon av de berörda myndigheterna tillgängliggör uppgifter i tekniska plattformar som hanteras gemensamt av EU och medlemsstaterna.

10 (13)

Uppdraget att se över förutsättningarna för att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet

Dagens regelverk behöver ses över och vässas

Skatteverket använder sig i sin beskattningsverksamhet i dag av ett maskinellt urval i syfte att välja ut de deklarationer som behöver granskas manuellt. Detta urval bygger på en riskanalys med utgångspunkt från olika data som Skatteverket har tillgång till i beskattningsdatabasen. Verksamheten syftar till att utförda manuella kontroller ska bli så träffsäkra och effektiva som möjligt. Det finns enligt nuvarande regelverk dock tydliga begränsningar av möjligheterna att använda dataanalyser och urval i fler situationer.

Dagens registerlagstiftning för Skatteverket, Tullverket och Kronofogdemyndigheten är till stora delar kopplad till ärendehantering. Även bestämmelserna i den materiella lagstiftningen har sin huvudsakliga utgångspunkt i handläggning av ärenden. Behovet av att kunna göra urval kan dock finnas även när det inte finns något ärende. Skatteverket har framfört att myndigheten, med en möjlighet att även göra urvalsanalyser på ett antal iakttagna företeelser utan någon koppling till specifika ärenden, skulle kunna koncentrera sin verksamhet på att åtgärda sådana fel som orsakar störst problem för samhället.

Det är mycket som talar för att det går att åstadkomma en effektivare kontrollverksamhet om det blir möjligt för de berörda myndigheterna att i större utsträckning använda maskinella riskbaserade analyser och urval. Det framgår exempelvis av den effektivisering av arbetet med att granska deklarationer som möjligheten att använda dataanalyser och urval i den ärendeanknutna beskattningsverksamheten innebär. Detta kräver dock ett tydligt rättsligt stöd. En sådan reglering kräver också att skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen särskilt beaktas.

Det anförda har stora likheter med de utgångspunkter som ligger bakom förslagen som rör analyser och urval i folkbokföringsverksamheten i betänkandet Om folkbokföring, samordningsnummer och identitetsnummer (SOU 2021:57).

11 (13)

Tidigare utredningar av relevans för uppdraget

I betänkandet Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar (SOU 2020:35) föreslås att en ny myndighet för utbetalningskontroll inrättas som bl.a. ska ha till uppgift att göra dataanalyser och urval för att upptäcka felaktiga utbetalningar från välfärdssystemen. Som bakgrund till förslaget anges bl.a. att erfarenheter från myndigheter i Danmark, Norge och Storbritannien visar att dataanalyser och urval är effektiva för att upptäcka felaktiga utbetalningar och i många fall är den mest effektiva metoden (s. 213). I budgetpropositionen för 2022 (prop. 2021/22:1 utg.omr. 2 avsnitt 6.5.1) föreslås att en sådan ny myndighet bildas och inleder sin verksamhet under 2023.

I SOU 2021:57 föreslås att Skatteverkets folkbokföringsverksamhet genom dataanalyser och urval ska ges bättre förutsättningar att kunna koncentrera sin kontroll mot områden med hög risk för fel och fusk och områden där man kan uppnå bästa möjliga effekt med givna insatser. Förslagen har vissa likheter med förslagen i SOU 2020:35. I SOU 2021:57 föreslås att uppgifter ska få samlas in och behandlas i syfte att upptäcka och förhindra felaktiga uppgifter i folkbokföringsdatabasen. För de uppgifter som samlas in i detta syfte föreslås en särskild uppgiftssamling, analys- och urvalsdatabasen. Det föreslås även en rad bestämmelser som syftar till att minska det intrång i den personliga integriteten som uppgiftsbehandlingen bedöms innebära. I verksamheten som avser förande av och uttag ur analys- och urvalsdatabasen föreslås det gälla absolut sekretess. Som bakgrund till förslagen anges bl.a. den kritik som Riksrevisionen framfört mot Skatteverkets arbete med riskanalys och urval i folkbokföringsverksamheten i sin rapport Folkbokföring – ett kvalitetsarbete i uppförsbacke (RiR 2017:23).

Utredaren ska se över om det bör införas ny reglering

Av det anförda framgår att det finns skäl att se över om det bör införas en reglering som innebär en utökad möjlighet att göra dataanalyser och urval i Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter jämfört med vad som är tillåtet enligt dagens regler. Oavsett vad utredaren gör för bedömning i lämplighetsfrågan ska utredaren lämna de författningsförslag som krävs för en utökad möjlighet till dataanalyser och urval utan koppling till specifika ärenden. Utgångspunkten är att det ska finnas ett tydligt rättsligt stöd för myndigheternas arbete med dataanalyser och urval. Reglerna ska dessutom vara teknikneutrala och flexibla och ge myndig-

12 (13)

heterna möjlighet att utveckla och anpassa arbetet med analyser och urval efter utvecklingen i samhället i övrigt.

Uppdraget omfattar samma verksamheter som uppdraget att göra en översyn av de berörda myndigheternas registerlagstiftningar tar sikte på. Det ligger dock inte inom ramen för utredarens uppdrag att se över lämpligheten av en ny reglering och lämna författningsförslag som rör Skatteverkets folkbokföringsverksamhet till den del det omfattas av förslagen i SOU 2021:57. Om utredarens överväganden i övrigt får följder även på de förslag som lämnats i det betänkandet ska dock förslag lämnas även på folkbokföringsområdet.

Utredaren ska därför

  • analysera och bedöma lämpligheten och utformningen av en reglering

som innebär en utökad möjlighet att göra dataanalyser och urval för respektive myndighet,

  • kartlägga vilken information som behövs för att möjliggöra adekvata

analyser och urval och föreslå hur tillgång till sådan information bör ges,

  • bedöma om det finns behov av ändringar i sekretessbestämmelserna

eller nya sekretessbestämmelser och då även beakta insynsintresset,

  • säkerställa behovet av skydd för den personliga integriteten och att EU:s

dataskyddslagstiftning följs,

  • bedöma vilka regler kring bevarande och gallring som ska gälla för de

uppgifter som behandlas, och hur gjorda analyser och urval ska dokumenteras för att tillgodose såväl myndigheternas verksamhetsbehov som behovet av att möjliggöra kontroller av arbetet med analyser och urval i efterhand, och

  • lämna nödvändiga författningsförslag.

Konsekvensbeskrivningar

Utredaren ska utöver vad som följer av kommittéförordningen (1998:1474) analysera vilka konsekvenser de förslag som lämnas har för den personliga integriteten. Vidare ska utredaren redovisa hur moderna registerförfattningar som innebär en mer ändamålsenlig reglering och förbättrade förutsättningar för en effektiv kontrollverksamhet kan påverka myndigheternas verksamheter. Om förslagen kan förväntas leda till kostnadsökningar för det offentliga ska utredaren föreslå hur dessa ska finansieras.

13 (13)

Kontakter och redovisning av uppdraget

Utredaren ska, i den utsträckning som bedöms lämplig, samråda med och inhämta upplysningar från berörda myndigheter och andra organisationer som berörs av frågorna.

Utredaren ska hålla sig informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, särskilt beredningen av förslagen i betänkandet Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen (SOU 2020:35) och betänkandet Om folkbokföring, samordningsnummer och identitetsnummer (SOU 2021:57).

Utredaren ska även hålla sig informerad om och beakta relevant arbete som bedrivs inom utredningsväsendet och inom EU. Förslagen som utredaren lämnar ska vara förenliga med EU-rätten och Sveriges övriga internationella åtaganden.

Om det bedöms nödvändigt får utredaren ta upp andra närliggande frågor i samband med de frågeställningar som ska utredas.

Uppdraget ska redovisas senast den 31 maj 2023.

(Finansdepartementet)