Prop. 2016/17:89
Skattebrottsdatalag
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 2 februari 2017
Stefan Löfven
Magdalena Andersson
(Finansdepartementet)
Propositionens huvudsakliga innehåll
Regeringen föreslår att det införs en ny lag om behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet, skattebrottsdatalagen.
Syftet med den nya lagen är att ge Skatteverket möjlighet att behandla personuppgifter på ett effektivt och ändamålsenligt sätt i den brottsbekämpande verksamheten och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. En utgångspunkt är att skapa en modern, teknikneutral och flexibel reglering där de yttre ramarna för behandlingen av uppgifter som är särskilt skyddsvärda från integritetssynpunkt slås fast i lagen, däribland ändamålen för behandlingen och de begränsningar som ska gälla för behandling av vissa uppgifter. Den nya lagen syftar särskilt till att underlätta samverkan med andra brottsbekämpande myndigheter. Bland annat föreslås bestämmelser om att sådana myndigheter ska få medges direktåtkomst till uppgifter som behandlas inom Skatteverkets brottsbekämpande verksamhet.
Lagen har utformats i nära anslutning till polisdatalagen (2010:361), kustbevakningsdatalagen (2012:145) och åklagardatalagen (2015:433). Lagen ska ersätta lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.
I propositionen föreslås också att Skatteverkets brottsbekämpande verksamhet ska utökas till att omfatta bedrägerier i ROT- och RUTsystemet. Det föreslås även vissa andra lagändringar av enklare karaktär.
Den nya lagen och de övriga ändringarna föreslås träda i kraft den 1 juli 2017.
1. Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till
1. skattebrottsdatalag,
2. lag om ändring i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar,
3. lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet,
4. lag om ändring i revisorslagen (2001:883),
5. lag om ändring i offentlighets- och sekretesslagen (2009:400).
2. Lagtext
Regeringen har följande förslag till lagtext.
2.1. Förslag till skattebrottsdatalag
Härigenom föreskrivs följande.
1 kap. Lagens syfte och tillämpningsområde
Lagens syfte
1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid Skatteverkets behandling av personuppgifter i den brottsbekämpande verksamheten, om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
3 § I lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom
Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
Lagens tillämpning på juridiska personer
4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:
1. 2 kap. 3 § om personuppgiftsansvar,
2. 2 kap. 5–7 §§ om ändamålen för behandlingen,
3. 2 kap. 10 § om tillgången till personuppgifter,
4. 3 kap. 2 och 3 §§ om gemensamt tillgängliga uppgifter, och
5. 4 kap. om bevarande och gallring.
Lagens uppbyggnad
5 § I 2 kap. finns det allmänna bestämmelser om behandling av personuppgifter.
För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap.
I 4 kap. finns det bestämmelser om bevarande och gallring av personuppgifter.
2 kap. Allmänna bestämmelser
Förhållandet till personuppgiftslagen
1 § Om inte annat anges i 2 §, gäller denna lag i stället för personuppgiftslagen (1998:204).
2 §
När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204):
1. 3 § om definitioner,
2. 8 § om förhållandet till offentlighetsprincipen,
3. 9 § om grundläggande krav på behandling av personuppgifter, dock med undantag för första stycket i) och tredje stycket,
4. 22 § om behandling av personnummer och samordningsnummer,
5. 23 och 25–27 §§ om information till den registrerade,
6. 28 § om rättelse,
7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,
8. 33–35 §§ om överföring av personuppgifter till tredjeland,
9. 38–41 §§ om personuppgiftsombud m.m., 10. 42 § om upplysningar till allmänheten om vissa behandlingar, 11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,
12. 48 § om skadestånd, och 13. 51 § första stycket, 52 § första stycket och 53 § om överklagande. Om personuppgifter ska gallras enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.
Information enligt 23 § personuppgiftslagen behöver inte lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud.
Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.
Personuppgiftsansvar
3 § Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsombud
4 § Skatteverket ska utse ett eller flera personuppgiftsombud.
Myndigheten ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.
Ändamål
5 § Personuppgifter får behandlas i Skatteverkets brottsbekämpande verksamhet om det behövs för att
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda brott, eller
3. fullgöra de förpliktelser som följer av internationella åtaganden.
6 § Personuppgifter som behandlas enligt 5 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i
1. brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen,
2. brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation,
3. annan verksamhet som Skatteverket ansvarar för, om det kan antas att informationen behövs i ett ärende i den verksamheten,
4. en myndighets verksamhet
a) om Skatteverket enligt lag eller förordning är skyldigt att bistå myndigheten med viss uppgift, eller
b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.
Personuppgifter som behandlas enligt 5 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.
I ett enskilt fall får personuppgifter som behandlas enligt 5 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första och andra styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
7 § Personuppgifter får också behandlas om
1. behandlingen är nödvändig för diarieföring, eller
2. uppgifterna har lämnats till Skatteverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
Känsliga personuppgifter
8 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.
Om uppgifter om en person behandlas på annan grund, får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas med stöd av 7 §.
Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.
Sökning i beskattningsdatabasen
9 § I lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns bestämmelser om beskattningsdatabasen.
Vid sökning i beskattningsdatabasen som görs i Skatteverkets brottsbekämpande verksamhet får endast uppgift om namn, personnummer eller samordningsnummer användas som sökbegrepp.
Tillgången till personuppgifter
10 § Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.
Utlämnande av uppgifter och uppgiftsskyldighet
11 §
Personuppgifter får lämnas till en utländsk myndighet eller
mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.
12 § Polismyndigheten,
Säkerhetspolisen, Ekobrottsmyndigheten,
Åklagarmyndigheten, Kustbevakningen och Tullverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.
13 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter får lämnas ut även i andra fall än som anges i 11 och 12 §§.
Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen (2009:400).
14 § Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.
Elektroniskt utlämnande
15 § Enstaka personuppgifter får lämnas ut på medium för automatiserad behandling.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter får lämnas ut på sådant medium även i andra fall.
16 § Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av denna lag.
Bestämmelser om direktåtkomst finns i 3 kap. 8 §.
3 kap. Gemensamt tillgängliga personuppgifter
1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i
Skatteverkets brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.
Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 7 §.
Personuppgifter som får göras gemensamt tillgängliga
2 § Följande personuppgifter får göras gemensamt tillgängliga:
1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten
a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller
b) sker systematiskt.
2. Uppgifter som förekommer i ett ärende om utredning av brott.
3. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
Särskilda upplysningar
3 § För gemensamt tillgängliga uppgifter ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas.
4 § Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt.
Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter.
Sökning
5 § Vid sökning i personuppgifter som har gjorts gemensamt tillgängliga får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.
Första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.
6 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemen-
samt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen
1. är anmäld för brott,
2. är eller har varit misstänkt för brott,
3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,
4. har anmält ett brott,
5. är målsägande i ett ärende som rör ansvar för brott,
6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,
7. har gett in eller tillhandahållits en handling,
8. har bedömts kunna komma att möta ett ingripande med grovt våld, eller
9. är eller har varit registrerad som funktionär i en eller flera juridiska personer vilka kan antas ha samband med brottslig verksamhet.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket.
7 § Bestämmelserna i 6 § gäller inte vid
1. sökning i en viss handling eller i ett visst ärende, eller
2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.
Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs
1. för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i fyra år eller däröver, eller
2. för att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 6 §.
Direktåtkomst
8 § Polismyndigheten,
Säkerhetspolisen, Ekobrottsmyndigheten,
Åklagarmyndigheten, Tullverket och Kustbevakningen får medges direktåtkomst till personuppgifter i Skatteverkets brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.
En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
4 kap. Bevarande och gallring av personuppgifter
Generella bestämmelser
1 § Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i lagen.
I följande paragrafer anges hur länge uppgifter som behandlas automatiserat längst får bevaras:
1. 3 § om uppgifter som inte har gjorts gemensamt tillgängliga.
2. 4–6 §§ om uppgifter i ärenden om utredning av brott som har gjorts gemensamt tillgängliga, och
3. 8 § om andra uppgifter som har gjorts gemensamt tillgängliga än som anges i 2.
2 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. att vissa kategorier av personuppgifter får bevaras i den brottsbekämpande verksamheten under längre tid än vad som anges i 5, 6 och 8 §§,
2. att personuppgifter, med avvikelse från 3 § första stycket och 8 §, får bevaras för historiska, statistiska eller vetenskapliga ändamål, och
3. digital arkivering.
Personuppgifter som inte har gjorts gemensamt tillgängliga
3 § Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende, ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången.
Första stycket gäller inte personuppgifter i ärenden om utredning av brott.
Gemensamt tillgängliga uppgifter i ärenden om utredning av brott
4 § I 5 och 6 §§ anges hur länge personuppgifter i vissa ärenden om utredning av brott som har gjorts gemensamt tillgängliga får bevaras i
Skatteverkets brottsbekämpande verksamhet.
5 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i Skatteverkets brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i Skatteverkets brottsbekämpande verksamhet när åtal inte längre får väckas för brottet.
6 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas i
Skatteverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, fick laga kraft.
Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Skatteverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.
Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.
7 § Om en förundersökning mot en person har lagts ned, om ett åtal har lagts ned eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.
Övriga gemensamt tillgängliga uppgifter
8 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § 1 eller 3 ska gallras enligt andra och tredje styckena.
Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 ska gallras senast tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Uppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras.
Uppgifter som har behandlats med stöd av 3 kap. 2 § 3 ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
1. Denna lag träder i kraft den 1 juli 2017. 2. Genom lagen upphävs lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.
3. Bestämmelsen i 3 kap. 4 § andra stycket om särskilda upplysningar behöver inte tillämpas på uppgifter som har samlats in före ikraftträdandet av denna lag.
4. Följande bestämmelser i denna lag behöver inte tillämpas förrän den 1 januari 2019
a) 3 kap. 4 § första stycket om särskilda upplysningar, när det gäller annan verksamhet än sådan som bedrivs för ändamål som anges i 2 kap. 5 § 1,
b) 3 kap. 6 och 7 §§ om sökning,
c) 4 kap. 5 och 6 §§ om behandling av personuppgifter i brottsanmälningar, avslutade förundersökningar och andra utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångsbalken, och
d) 4 kap. 7 § om sökning.
2.2. Förslag till lag om ändring i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar
Härigenom föreskrivs att rubriken till lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar1 samt 1 och 6 §§ och rubriken närmast före 6 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Lag om Skatteverkets med-
verkan i brottsutredningar
Lag om Skatteverkets brotts-
bekämpande verksamhet
1 §2
Skatteverkets verksamhet enligt denna lag omfattar brott enligt
1. skattebrottslagen (1971:69),
2. 30 kap. 1 § första stycket 4 aktiebolagslagen (2005:551), 3. 11 § tredje stycket lagen (1967:531) om tryggande av pensionsutfästelse m.m.,
4. folkbokföringslagen (1991:481),
4. 9 kap.1–3 och 11 §§brottsbalken, om gärningen har samband med Skatteverkets verksamhet enligt lagen (2009:194) om förfarandet vid skattereduktion för hushållsarbete,
5. 11 kap. 5 § brottsbalken, samt
6. lagen (2014:836) om näringsförbud. Skatteverket får medverka vid undersökning också i fråga om annat brott än som anges i första stycket, om åklagaren finner att det finns särskilda skäl för detta.
Spaning m.m. Förebygga, förhindra och upptäcka brottslig verksamhet
6 §3
Skatteverket får i fråga om brott som avses i 1 § första stycket bedriva
1. spaning och
2. verksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning
Skatteverkets verksamhet enligt denna lag omfattar, utöver vad som föreskrivs i 2–5 §§, även att förebygga, förhindra och upptäcka brottslig verksamhet som avses i 1 § första stycket.
1 Senaste lydelse av lagens rubrik 2003:665. 2 Senaste lydelse 2014:846. 3 Paragrafen fick sin nuvarande beteckning genom 2006:580.
enligt 23 kap. rättegångsbalken .
Skatteverket skall verka för att förebygga brottslighet som avses i 1 § första stycket.
Denna lag träder i kraft den 1 juli 2017.
2.3. Förslag till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
Härigenom föreskrivs att 1 kap. 4 § och 2 kap. 7 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet1 ska ha följande lydelse.
Lydelse enligt proposition 2016/17:47
Föreslagen lydelse
1 kap.
4 §
Uppgifter får behandlas för tillhandahållande av information som behövs hos Skatteverket för
1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter,
2. bestämmande av pensionsgrundande inkomst,
3. fastighetstaxering,
4. revision och annan analys- eller kontrollverksamhet,
5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
6. handläggning
a) enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,
b) av andra frågor om ansvar för någon annans skatter och avgifter,
c) enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. skatteförfarandelagen (2011:1244), och
d) enligt lagen (2016:000) om automatiskt utbyte av land-för-landrapporter på skatteområdet och 33 a kap. skatteförfarandelagen.
7. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande,
8. hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige,
9. hantering av uppgifter om sjuklönekostnad, och 10. tillsyn, kontroll, uppföljning och planering av verksamheten. Uppgifter som får behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Skatteverkets brottsbekämpande verksamhet enligt lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar.
Uppgifter som får behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Skatteverkets verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet.
1 Senaste lydelse av lagens rubrik 2003:670.
Nuvarande lydelse Föreslagen lydelse
2 kap.
7 §2
Skatteverkets direktåtkomst till uppgifterna i beskattningsdatabasen får i verksamhet som avses i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar endast omfatta de uppgifter som avses i 3 § 1–5, 7, 10 och 11.
Skatteverkets direktåtkomst till uppgifterna i beskattningsdatabasen får i verksamhet som avses i lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet endast omfatta de uppgifter som avses i 3 § 1–5, 7, 10 och 11.
Regeringen meddelar närmare föreskrifter om vilka uppgifter direktåtkomst enligt första stycket får omfatta.
Denna lag träder i kraft den 1 juli 2017.
2 Senaste lydelse 2007:329.
2.4. Förslag till lag om ändring i revisorslagen (2001:883)
Härigenom föreskrivs att 31 § revisorslagen (2001:883) ska ha följande lydelse.
Lydelse enligt SFS 2016:1339 Föreslagen lydelse
31 §
Om Skatteverket i fråga om en revisor eller ett registrerat revisionsbolag uppmärksammar någon omständighet, som kan vara av betydelse för Revisorsinspektionens verksamhet, ska verket underrätta inspektionen. Detta gäller dock inte omständigheter som verket har fått kännedom om i verksamhet enligt lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar.
Om Skatteverket i fråga om en revisor eller ett registrerat revisionsbolag uppmärksammar någon omständighet, som kan vara av betydelse för Revisorsinspektionens verksamhet, ska verket underrätta inspektionen. Detta gäller dock inte omständigheter som verket har fått kännedom om i verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet.
Denna lag träder i kraft den 1 juli 2017.
2.5. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 18 kap. 2 § och 35 kap.1 och 10 §§offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
18 kap.
2 §1
Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 7 § 1 eller 6 kap. 1 § 1 polisdatalagen (2010:361), om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.
Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till
1. sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,
1. sådan verksamhet som avses i 2 kap. 5 § 1 skattebrottsdatalagen (2017:000),
2. sådan verksamhet som avses i 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, eller
3. sådan verksamhet som avses i 3 kap. 2 § 1 kustbevakningsdatalagen (2012:145).
Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän handling före år 1949.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
35 kap.
1 §2
Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i
1. utredning enligt bestämmelserna om förundersökning i brottmål,
2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,
3. angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),
4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,
1 Senaste lydelse 2015:438. 2 Senaste lydelse 2015:438. Anmärkning: Ändring i samma paragrafer har också föreslagits i propositionen Tullbrottsdatalag.
5. Statens medieråds verksamhet att biträda Justitiekanslern, allmän åklagare eller Polismyndigheten i brottmål,
6. register som förs av Polismyndigheten enligt 4 kap. polisdatalagen (2010:361) eller som annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 6 kap. samma lag,
7. register som förs enligt lagen (1998:621) om misstankeregister,
8. register som förs av Skatteverket enligt lagen (1999:90) om behandling av personuppgifter vid
Skatteverkets medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,
8. register som förs av Skatteverket enligt skattebrotts-datalagen (2017:000) eller som annars behandlas där med stöd av samma lag,
9. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §,
10. register som förs av Tullverket enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag, eller
11. register som förs enligt lagen (2010:362) om polisens allmänna spaningsregister.
Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Första stycket gäller inte om annat följer av 2, 6 eller 7 §. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
10 §3
Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut
1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,
2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har meddelats med stöd i den lagen,
3. enligt vad som föreskrivs i – lagen (1998:621) om misstankeregister, – polisdatalagen (2010:361), – lagen (1999:90) om behandling av personuppgifter vid
Skatteverkets medverkan i brottsutredningar,
– skattebrottsdatalagen (2017:000) ,
– lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,
3 Senaste lydelse 2015:434.
– kustbevakningsdatalagen (2012:145), – åklagardatalagen (2015:433), – förordningar som har stöd i dessa lagar, eller
4. till enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken.
1. Denna lag träder i kraft den 1 juli 2017.
2. Äldre bestämmelser gäller fortfarande för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet av denna lag.
3. Ärendet och dess beredning
Regeringen beslutade den 15 november 2012 (dnr Fi2012/04241/S3) att ge Skatteverket i uppdrag att utreda bl.a. behovet av författningsändringar i de lagar och förordningar som reglerar Skatteverkets behandling av personuppgifter i den brottsbekämpande verksamheten. Mot bakgrund av ikraftträdandet av den nya polisdatalagen (2010:361) skulle bl.a. utredas vilka författningsändringar som behövdes i syfte att underlätta ett modernt och effektivt brottsbekämpande arbete där hänsyn tas till den personliga integriteten för de registrerade, särskilt inom underrättelseverksamheten. Enligt uppdraget skulle Skatteverket också bl.a. analysera verkets behov av att kunna behandla personuppgifter inom den brottsbekämpande verksamheten på grund av internationella förpliktelser.
Skatteverket har i en promemoria som inkom den 23 september 2013 lämnat förslag till en ny lag om behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet som ska ersätta den nuvarande lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. I promemorian föreslås även vissa ändringar i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar samt ytterligare vissa författningsändringar.
Relevanta delar av promemorians lagförslag finns i bilaga 1. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 2. En sammanställning av remissyttrandena finns tillgänglig i Finansdepartementet (dnr Fi2012/04241/S3). Vissa förslag har även underhand beretts med Skatteverket.
Denna proposition behandlar de delar i promemorian som rör en ny lag om behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet, vissa förändringar i bestämmelserna om Skatteverkets uppgifter enligt lagen om Skatteverkets medverkan i brottsutredningar och följdändringar i offentlighets- och sekretesslagen (2009:400). Regeringen avser att återkomma till de övriga frågor som behandlas i promemorian.
Lagrådet
Regeringen beslutade den 8 december 2016 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 3. Lagrådets yttrande finns i bilaga 4. Lagrådet har lämnat förslagen utan erinran. I förhållande till lagrådsremissen har vissa smärre ändringar av språklig karaktär gjorts i lagtexten.
4. Skatteverkets brottsbekämpande verksamhet
4.1. Bakgrund
Sedan år 1998 har Skatteverket i uppdrag att medverka i vissa brottsutredningar samt att utföra underrättelseverksamhet avseende viss brottslighet. Den brottsbekämpande verksamheten bedrivs inom den s.k. skattebrottsenheten, som är organisatoriskt skild från andra verksamheter inom Skatteverket. Den brottsbekämpande verksamheten utgör en sådan självständig verksamhetsgren inom Skatteverket som avses i 8 kap. 2 § offentlighets- och sekretesslagen (2009:400). Andra verksamheter inom Skatteverket är t.ex. beskattningsverksamheten och folkbokföringsverksamheten. Medverkan i brottsutredningar sker på begäran av åklagare medan underrättelseverksamheten bedrivs självständigt av Skatteverket. Verksamheten är begränsad till vissa typer av brott som har koppling till Skatteverkets övriga verksamhet.
Bakgrunden till att Skatteverket gavs uppdraget att bedriva brottsbekämpande verksamhet inom skattebrottsområdet var bl.a. att fördelar i effektiviteten av hanteringen av skattebrottsutredningarna förväntades kunna uppnås genom den ökade möjligheten att anpassa resurserna i skatteutredningen och i skattebrottsutredningen till varandra. Inrättandet av skattebrottsutredande funktioner vid skattemyndigheterna förväntades också leda till positiva effekter när det gällde den skatterättsliga kompetensen, se propositionen Skatteverkets medverkan i brottsutredningar, m.m. (prop. 1997/98:10 s. 34 och 40 f.). Samtidigt framhölls bl.a. att vissa rättssäkerhetsfrågor aktualiseras när en förvaltningsmyndighet ges brottsutredande uppgifter. Som brottsmisstänkt har en enskild vissa rättigheter som han eller hon inte har i en skatteutredning. Vidare har brottsutredningar och skatteutredningar olika syften och regleras av olika regelverk. En myndighet måste iaktta de olika lagliga förutsättningarna för att vidta olika typer av utredningsåtgärder samt motivera en sådan åtgärd utifrån syftet med den utredning som åtgärden vidtas inom. För att den enskildes rättssäkerhet skulle kunna garanteras bedömdes att den nya organisationen inte borde medföra att de gränser som fanns mellan skatteutredning och skattebrottsutredning blev otydliga. Regeringen ansåg att de skattebrottsutredande funktionerna inom Skatteverket skulle bedrivas inom särskilda skattebrottsenheter som hålls organisatoriskt avskilda från skatteutredningar (s. 43 f.). I 8 § förordningen (2007:780) med instruktion för Skatteverket anges att det vid verket ska finnas en eller flera särskilda enheter för uppgiften att medverka i brottsutredningar enligt lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar. Sedan den 1 januari 2015 bedrivs den brottsbekämpande verksamheten samlat i en och samma skattebrottsenhet. Verksamheten är koncentrerad till åtta orter och styrs och leds från Stockholmsregionen.
Samarbetet mellan brottsbekämpande myndigheter har blivit allt viktigare i det brottsförebyggande och brottsutredande arbetet. Ett effektivt och framgångsrikt arbete mot brottslighet gynnas av att det går att dra nytta av den samlade kunskap om brott som finns hos myndig-
heterna. Det gäller särskilt när myndigheter har arbetsuppgifter som gränsar till eller överlappar varandra.
Det pågår ett fortlöpande arbete med att utveckla system för informationsutbyte inom och mellan brottsbekämpande myndigheter, bl.a. inom ramen för arbetet med att digitalt sammankoppla rättskedjan (RIF-arbetet) som bedrivs av myndigheter inom rättsväsendet (Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Skatteverket, Tullverket, Kustbevakningen, Kriminalvården, Domstolsverket, Brottsförebyggande rådet, Rättsmedicinalverket och Brottsoffermyndigheten). På senare år har för flera brottsbekämpande myndigheter också införts nya författningar om behandling av personuppgifter, som skapar förutsättningar för ett bättre samarbete mellan de brottsbekämpande myndigheterna genom utökade möjligheter till informationsutbyte.
I juli 2008 gav regeringen i uppdrag åt Rikspolisstyrelsen tillsammans med Åklagarmyndigheten, Ekobrottsmyndigheten, Skatteverket, Kriminalvården, Kronofogdemyndigheten, Kustbevakningen och Tullverket att vidta åtgärder för att säkerställa en effektiv och uthållig bekämpning av den grova organiserade brottsligheten. Samverkansarbetet bedrivs på underrättelsestadiet och sker bl.a. i s.k. regionala underrättelsecentrum och ett nationellt underrättelsecentrum. Skatteverket medverkar i samarbetet både genom den brottsbekämpande verksamheten och genom beskattningsverksamheten och deltar i styrnings- och ledningsfunktionerna. Den 15 augusti 2016 trädde lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet i kraft. Lagen syftar till att underlätta informationsutbytet mellan myndigheter som samverkar för att förebygga, förhindra eller upptäcka viss organiserad brottslighet.
4.2. Lagen om Skatteverkets medverkan i brottsutredningar
Bestämmelser om Skatteverkets brottsbekämpande verksamhet, som bedrivs inom skattebrottsenheten, finns i lagen om Skatteverkets medverkan i brottsutredningar. I 1 § regleras vilka typer av brott verksamheten omfattar. I första stycket ges en uppräkning över brott enligt följande bestämmelser.
– Skattebrottslagen (1971:69), – 30 kap. 1 § första stycket 4 aktiebolagslagen (2005:551), s.k. förbjudna lån m.m.,
– 11 § tredje stycket lagen (1967:531) om tryggande av pensionsutfästelse m.m., dvs. lån från stiftelse,
– folkbokföringslagen (1991:481), – 11 kap. 5 § brottsbalken, dvs. bokföringsbrott, – lagen (2014:836) om näringsförbud. Enligt andra stycket får Skatteverket dessutom medverka vid undersökning av annat brott om åklagaren finner särskilda skäl för detta.
Av 2 § framgår att Skatteverkets medverkan i brottsutredningar omfattar biträde vid förundersökning på begäran av åklagare. Åklagaren får enligt paragrafen begära biträde av Skatteverket också i fråga om utredning av brott innan förundersökning har inletts. Med detta avses en
sådan utredning som åklagaren kan behöva göra för att samla in underlag för beslut om huruvida förundersökning ska inledas eller inte, s.k. förutredning.
Enligt 3 och 4 §§ får Skatteverket på åklagarens uppdrag medverka vid husrannsakan som verkställs av en polisman samt verkställa beslut om beslag enligt 27 kap. 1 § rättegångsbalken i de fall våld mot person inte behöver användas. I övrigt får inte Skatteverket verkställa beslut om tvångsmedel.
Av 5 § framgår att Skatteverket får, utan att biträde begärs av åklagare, på egen hand utföra s.k. förenklade brottsutredningar avseende sådan brottslighet som anges i 1 § första stycket. Sådana utredningar får utföras i fall som avses i 23 kap. 22 § rättegångsbalken, om den misstänkte kan antas erkänna gärningen och har fyllt tjugoett år. Den nämnda bestämmelsen i rättegångsbalken avser situationer då det även utan förundersökning finns tillräckliga skäl för åtal och det gäller ett brott som inte kan antas föranleda någon annan påföljd än böter.
Enligt 6 § första stycket får Skatteverket också, i fråga om brott som avses i 1 § första stycket, bedriva spaning samt verksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken. Med sådan verksamhet avses det som kallas underrättelseverksamhet. Skatteverket ska enligt andra stycket samma bestämmelse också verka för att förebygga brottslighet som avses i 1 § första stycket.
Spaning utgör en utredningsmetod som kan ingå som ett led i både en förutredning och en förundersökning. Spaningsverksamheten kan också vara mer allmänt inriktad på att samla in, bearbeta och analysera information som kan ha betydelse i ett framtida spanings- eller utredningsarbete. Det förekommer såväl yttre som inre spaning. Yttre spaning kan bestå i att hämta in upplysningar genom att observera misstänkta och andra, kartlägga kontakter, resor och andra förehavanden etc. Inre spaning avser att ta fram ett informationsunderlag om exempelvis en person eller ett företag genom att hämta uppgifter från register, gå igenom arkiverat material eller på annat sätt bearbeta tillgänglig information (se prop. 1997/98:10 s. 54 f.).
De brottsförebyggande insatser som omfattas av 6 § andra stycket kan t.ex. innebära att Skatteverket ger ut information som syftar till att förebygga skattebrottslighet (s. 54).
Hänvisningar till S4-2
- Prop. 2016/17:89: Avsnitt 8.1
5. Övergripande reglering om behandling av personuppgifter
5.1. Regeringsformen
I regeringsformen finns grundläggande bestämmelser till skydd för den personliga integriteten. I 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda männi-
skans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Enligt 2 kap. 6 § andra stycket är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar i det grundlagsfästa skyddet kan endast göras genom lag och bara under de förutsättningar som anges i 2 kap.21 och 22 §§regeringsformen. En begränsning av rätten till skydd mot sådana integritetsintrång får ske endast för att tillgodose ett ändamål som är godtagbart i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den.
Hänvisningar till S5-1
- Prop. 2016/17:89: Avsnitt 9.1
5.2. Internationella överenskommelser om behandling av personuppgifter
Europakonventionen och FN-konventionen om medborgerliga och politiska rättigheter
År 1948 antog Förenta nationerna (FN) den allmänna förklaringen om de mänskliga rättigheterna. De rättigheter som räknas upp i förklaringen har därefter vidareutvecklats bl.a. i den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (kallad Europakonventionen) och FN:s konvention om medborgerliga och politiska rättigheter från år 1966.
Enligt artikel 8 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Såvitt gäller laglighetskriteriet krävs bl.a. att den nationella rättighetsinskränkande författningen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämpningen ska vara förutsebar och den ska vara allmänt tillgänglig. Kravet att ett ingripande ska vara nödvändigt i ett demokratiskt samhälle innebär att det ska föreligga ett ”angeläget samhälleligt behov” av åtgärden i fråga. I det ligger bl.a. en begränsning som innebär att åtgärden inte får gå längre än vad som är nödvändigt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser avgöra vilka åtgärder som kan anses nödvändiga för att tillgodose det eftersträvade ändamålet.
I artikel 13 i Europakonventionen föreskrivs att var och en, vars i konventionen angivna fri- och rättigheter kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet. Detta gäller även om kränkningen förövats av någon under utövning av offentlig myndighet. Innebörden av artikeln är att den enskilde ska ha tillgång till en nationell instans för att kunna få saken prövad och kunna få rättelse. Prövningen
kan utföras av domstol, men något krav på domstolsprövning uppställs inte. Prövning av en stats regering eller av en förvaltningsmyndighet kan vara tillräckligt för att uppfylla konventionens krav på tillgång till ett effektivt rättsmedel.
Även i FN:s konvention om medborgerliga och politiska rättigheter finns en bestämmelse till skydd mot godtyckligt eller olagligt ingripande i någons privat- och familjeliv (artikel 17).
Dataskyddskonventionen
I Europarådets konvention från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (kallad dataskyddskonventionen) finns också bestämmelser av betydelse för automatiserad behandling av personuppgifter. Dataskyddskonventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i Europeiska unionen (EU) har ratificerat konventionen. Dataskyddskonventionens innehåll kan ses som en precisering av skyddet enligt artikel 8 i Europakonventionen för enskilda vid automatiserad databehandling.
Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med behandling av personuppgifter och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna. Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna ska iaktta i sin nationella lagstiftning. Personuppgifter som är föremål för automatiserad behandling ska hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Vidare ska uppgifterna vara relevanta för ändamålen och får inte senare användas på ett sätt som är oförenligt med dessa. Uppgifterna måste också vara riktiga och aktuella och de får inte bevaras längre än vad som är nödvändigt för ändamålen. Vissa typer av personuppgifter får behandlas endast om den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, hälsa och sexualliv samt uppgifter om brott. För att skydda personuppgifter mot bl.a. oavsiktlig eller otillåten förstörelse föreskriver konventionen att lämpliga skyddsåtgärder ska vidtas. Vidare föreskrivs att den registrerade ska ha möjlighet till insyn i register och till att få uppgifter rättade. I vissa fall får undantag göras från bestämmelserna om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar förutsätter enligt konventionen stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa angivna ändamål, t.ex. statens ekonomiska intressen och brottsbekämpning, samt för att skydda enskildas fri- och rättigheter.
Dataskyddskonventionens roll som grundläggande dokument för automatiserad behandling av personuppgifter inom EU har i princip övertagits av dataskyddsdirektivet (se nedan). Direktivet omfattar dock inte behandling av personuppgifter inom områden som allmän säkerhet, försvar och statens säkerhet. På dessa områden är dataskyddskonventionen således fortfarande av betydelse. Såvitt gäller polissamarbete och straffrättsligt samarbete finns numera också det s.k. dataskyddsrambeslutet (se nedan). Europarådets ministerkommitté antog år 2001 ett tilläggsprotokoll till dataskyddskonventionen. Det innehåller bestämmel-
ser om tillsynsmyndigheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Tilläggsprotokollet trädde i kraft den 1 juli 2004.
Internationella riktlinjer i fråga om integritetsskydd och persondataflöde över gränserna har även utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som finns i dataskyddskonventionen.
Dataskyddskonventionen är för närvarande föremål för översyn.
Europeiska unionens stadga om de grundläggande rättigheterna
I Europeiska unionens stadga om de grundläggande rättigheterna bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheter som EU redan erkänner. I stadgans artikel 7 föreskrivs, efter förebild i artikel 8 i Europakonventionen, att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. I artikel 8 i stadgan föreskrivs bl.a. att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs. Av artikel 51 i stadgan framgår att den riktar sig till verksamhet som utförs av EU:s egna organ och institutioner och att den blir tillämplig för medlemsstaterna endast i de fall där de tillämpar EU-rätten. Stadgan är följaktligen inte tillämplig på nationell lagstiftning inom områden där EU inte har lagstiftningskompetens. När det gäller de garanterade rättigheternas räckvidd anförs i artikel 52 att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och vara förenlig med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. I den utsträckning som rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter.
Dataskyddsdirektivet
Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31, Celex 31995L0046), kallat dataskyddsdirektivet, syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av person-
uppgifter mellan medlemsstaterna i EU. Medlemsstaterna får inom den ram som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen.
Direktivet gäller inte för sådan behandling av personuppgifter som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Direktivet omfattar således inte statens behandling av personuppgifter i brottsbekämpande verksamhet.
Dataskyddsdirektivet är endast tillämpligt på behandling av uppgifter om fysiska personer och berör således inte skyddet för juridiska personer. Direktivet omfattar inte bara automatiserad behandling, utan också manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register. Dataskyddsdirektivet omfattar inte behandling av personuppgifter för privat bruk.
Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.
Dataskyddsrambeslutet
Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, kallat dataskyddsrambeslutet, reglerar dataskyddet inom angivna områden. Rambeslutet är föranlett av ett antal nya EU-instrument rörande utvidgat polisiärt och rättsligt samarbete avseende gränsöverskridande informationsutbyte.
Dataskyddsrambeslutet förpliktar medlemsstaterna att behandla uppgifter som utbyts mellan staterna inom ramen för det angivna samarbetet på ett sådant sätt att skyddet för enskildas integritet värnas. Det innehåller bestämmelser som avser att förstärka skyddet vid behandling av personuppgifter som överförs.
Rambeslutet utgör ett komplement till andra instrument om informationsutbyte inom ramen för polisiärt och straffrättsligt samarbete. Det innehåller bl.a. bestämmelser om allmänna utgångspunkter för behandlingen av personuppgifter och känsliga personuppgifter, rättelse, radering och gallring av personuppgifter, information till den registrerade samt skadestånd och sanktioner. Till stora delar motsvarar innehållet dataskyddsdirektivet, som i svensk rätt har genomförts i personuppgiftslagen (1998:204).
Vidare finns bl.a. särskilda bestämmelser som begränsar möjligheterna att behandla personuppgifter som mottagits från en annan stat. Rambeslutet har genomförts i svensk rätt dels genom lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, dels genom upplysningsbestämmelser i respektive registerförfattning som anger att nyss nämnda lag har företräde framför respektive registerförfattning. En sådan bestämmelse finns i 1 a § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.
Ny EU-rättslig reglering
Dataskyddsregleringen på unionsnivå har varit föremål för översyn och ny reglering har antagits, dels en ny förordning, dels ett nytt direktiv. Den nya regleringen ska börja tillämpas i maj 2018. Regleringen innebär bl.a. att dataskyddsdirektivet, som i Sverige har genomförts genom personuppgiftslagen och ett antal specifika registerförfattningar, ersätts av en ny generell dataskyddsförordning.
Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, kallad dataskyddsförordningen, antogs den 27 april 2016. Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och ersätter alltså det nuvarande dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.
Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll men innebär även en rad nyheter såsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrättandet av Europeiska dataskyddsstyrelsen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag. En utredning har tillsatts för att föreslå de anpassningar och kompletterande författningsändringar på generell nivå som denna förordning ger anledning till (Dataskyddsutredningen, Ju 2016:04). Uppdraget ska redovisas senast den 12 maj 2017. Det pågår bl.a. inom Regeringskansliet även arbete med att se övriga berörda författningar med anledning av den nya dataskyddsförordningen.
De författningsändringar som krävs med anledning av förordningen tas således om hand i särskild, senare ordning.
I reformen av EU:s regler om skydd för personuppgifter ingår, förutom den ovan nämnda dataskyddsförordningen, även ett direktiv med särregler för den brottsbekämpande sektorn som kommer att ersätta dataskyddsrambeslutet. Till skillnad från dataskyddsrambeslutet omfattar direktivet inte endast utbyte av information över gränserna utan även nationell personuppgiftsbehandling inom den brottsbekämpande sektorn. Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (kallat 2016 års dataskyddsdirektiv), antogs samtidigt som dataskyddsförordningen. Det ska vara implementerat i nationell rätt senast den 6 maj 2018.
Från dataskyddsförordningens tillämpningsområde undantas bl.a. personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inkluderande att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Den personuppgiftsbehand-
ling som görs för dessa syften faller i stället under det nya dataskyddsdirektivets tillämpningsområde. Direktivet ska dels skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt. 2016 års dataskyddsdirektiv ansluter i stor utsträckning till den reglering som gäller enligt dataskyddsrambeslutet.
Från både förordningens och direktivets tillämpningsområden undantas personuppgiftsbehandling i verksamhet som inte omfattas av unionsrätten, däribland området nationell säkerhet.
En utredning har tillsatts för att föreslå hur direktivet ska genomföras i svensk rätt. Utredaren ska bl.a. lämna förslag till en ny ramlagstiftning med bestämmelser om skydd av personuppgifter inom direktivets tillämpningsområde och lämna de förslag till författningsändringar som krävs för att anpassa vissa centrala författningar om rättsväsendets behandling av personuppgifter till de nya förutsättningarna (Utredningen om 2016 års dataskyddsdirektiv, Ju 2016:06). Utredaren ska senast den 1 april 2017 i ett delbetänkande redovisa uppdraget i den del det rör dels en ny ramlagstiftning, dels tillsyn inom direktivets tillämpningsområde. Uppdraget ska slutredovisas senast den 30 september 2017.
De författningsändringar som krävs med anledning av det nya direktivet tas således om hand i särskild, senare ordning.
5.3. Personuppgiftslagen
Dataskyddsdirektivet har som nämnts ovan genomförts i svensk rätt genom personuppgiftslagen, se propositionen Personuppgiftslag (prop. 1997/98:44). Till skillnad från dataskyddsdirektivet har dock personuppgiftslagen gjorts generellt tillämplig och omfattar således även verksamhet som faller utanför direktivets tillämpningsområde.
Lagen innehåller de generella regler som krävs för genomförande av direktivet. Särreglering i annan lag eller i förordning gäller emellertid framför bestämmelserna i personuppgiftslagen. Att det krävs en särskild författning för att avvika från det integritetsskydd som personuppgiftslagen ger, är en garanti för att behovet av särregler övervägs noga i den ordning som gäller för författningsgivning.
Personuppgifter i personuppgiftslagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om juridiska personer och avlidna omfattas således inte av lagen. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara och sprida uppgifter.
Lagen omfattar behandling av personuppgifter som är helt eller delvis automatiserad. Även manuell behandling kan dock omfattas, nämligen om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Enligt personuppgiftslagen ska en personuppgiftsansvarig bl.a. se till att personuppgifter behandlas bara om det är lagligt. Den personuppgifts-
ansvarige ska vidare se till att personuppgifter behandlas på ett korrekt sätt och i enlighet med god sed, att personuppgifter samlas in bara för särskilda uttryckligt angivna och berättigade ändamål, att de inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella, att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen och att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Enligt lagen är det vidare förbjudet att till tredjeland föra över personuppgifter om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller inte stater som har anslutit sig till dataskyddskonventionen. Förbudet gäller både uppgifter som är under behandling och uppgifter som ska undergå behandling. När det gäller att avgöra om skyddsnivån är adekvat ska alla omständigheter kring överföringen beaktas, varvid särskild vikt ska läggas vid bl.a. uppgifternas art, ändamålet med behandlingen och de regler som finns för behandlingen i det tredjelandet. I vissa fall får dock överföring av personuppgifter till tredjeland ske även om det aktuella landet inte har en sådan adekvat skyddsnivå som avses i personuppgiftslagen, t.ex. om den registrerade har lämnat sitt samtycke eller för att rättsliga anspråk ska kunna fastställas. I lagen har också regeringen getts möjlighet att under vissa förutsättningar meddela föreskrifter om undantag från förbudet.
Efter en lagändring som trädde i kraft den 1 januari 2007 är de flesta av personuppgiftslagens detaljerade handlingsregler inte tvingande tillämpliga vid behandling av personuppgifter i ostrukturerat material, t.ex. löpande text och enstaka ljud- och bildupptagningar, se propositionen Översyn av personuppgiftslagen (prop. 2005/06:173). Sådan behandling får dock inte innebära att den registrerades personliga integritet kränks.
Med anledning av att dataskyddsförordningen ska börja tillämpas i maj 2018 kommer personuppgiftslagen att upphävas, se avsnitt 5.2.
Hänvisningar till S5-3
- Prop. 2016/17:89: Avsnitt 9.6.1
5.4. Begreppsbildningen vid elektroniskt utlämnande
5.4.1. Olika former av elektroniskt utlämnande av uppgifter
I många författningar om behandling av personuppgifter regleras frågor om sättet för utlämnande av personuppgifter i elektronisk form genom särskilda bestämmelser. Enligt gängse begreppsbildning kan personuppgifter lämnas ut i elektronisk form antingen på s.k. medium för automatiserad behandling eller genom direktåtkomst.
Utlämnande på medium för automatiserad behandling innebär att den utlämnande myndigheten i varje enskilt fall tar ställning till om uppgifter kan lämnas ut och vilka uppgifter som ska lämnas. En eventuell sekretessprövning kan därmed ske i samband med utlämnandet i det enskilda fallet. Utlämnande av uppgifter kan även ske genom direkt-
åtkomst. Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av mottagaren. Sekretessprövningen hos den utlämnande myndigheten måste därför ske redan då uppgifterna görs tillgängliga för direktåtkomst, oavsett om någon mottagare vid den tidpunkten tar del av dem.
Av dessa olika varianter av elektroniskt utlämnande är direktåtkomst den mest känsliga. Denna fråga kommer därför att beröras mer ingående i det följande.
5.4.2. Begreppet direktåtkomst
Det finns ingen legaldefinition av begreppet direktåtkomst. Den grundläggande innebörden av begreppet är att någon har direkt tillgång till någon annans uppgiftssamling och på egen hand kan söka efter information, men utan att kunna påverka innehållet i uppgiftssamlingen.
Högsta förvaltningsdomstolen har i ett avgörande (HFD 2015 ref. 61) som gällde socialnämndernas åtkomst till uppgifter i socialförsäkringsdatabasen, ansett att gränsdragningen mellan vad som är direktåtkomst i socialförsäkringsbalkens mening och annat utlämnande på medium för automatiserad behandling beror på om den aktuella upptagningen kan anses förvarad hos den mottagande myndigheten enligt 2 kap. 3 § tryckfrihetsförordningen, dvs. om den är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. I det aktuella fallet förutsatte ett utlämnande att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut. Försäkringskassan fick därigenom anses förfoga över frågan om och i så fall vilka uppgifter som skulle lämnas ut. Högsta förvaltningsdomstolen ansåg därför att socialnämnderna inte kunde anses ha någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § tryckfrihetsförordningen. Detta innebar enligt Högsta förvaltningsdomstolen att förfarandet inte var att betrakta som direktåtkomst enligt socialförsäkringsbalken.
I begreppet direktåtkomst ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte beslut om utlämnande av de uppgifter som den som har direktåtkomst tar del av i varje enskilt fall. I stället måste som anges ovan en förhandsprövning göras av förutsättningarna för utlämnande. En sådan prövning innefattar alla de uppgifter som mottagaren har möjlighet att ta del av genom sin direktåtkomst. Den faktiska begränsningen av direktåtkomsten görs sedan med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet, exempelvis genom olika behörighetsnivåer. Det är den personuppgiftsansvariga myndigheten som ska se till att åtkomsten rent faktiskt begränsas på det sätt som föreskrivs.
Vid författningsreglering av direktåtkomst till uppgifter anges ofta att någon får ha direktåtkomst. Innebörden av detta är inte att den eller de angivna myndigheterna har en ovillkorlig rätt att få ut uppgifterna, utan
att den myndighet som innehar informationen får medge sådan åtkomst om den vill det och inte annan lagstiftning, t.ex. om sekretess, hindrar det. Den utlämnande myndigheten har ett principiellt ansvar att förvissa sig om att den myndighet som beviljas direktåtkomst vidtar de åtgärder som bedöms vara nödvändiga från säkerhetssynpunkt.
Hänvisningar till S5-4-2
- Prop. 2016/17:89: Avsnitt 9.12.1
6. Lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar
Bestämmelser om behandling av personuppgifter i skattebrottsenhetens verksamhet finns i lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. Lagen innehåller endast de särbestämmelser som har ansetts nödvändiga för Skatteverkets brottsbekämpande verksamhet. I övrigt gäller personuppgiftslagen (1998:204). Enligt 1 § gäller lagen vid behandling av personuppgifter i Skatteverkets verksamhet för att bedriva spaning och utredning i fråga om brott som avses i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar och för att förebygga sådana brott.
Lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar innehåller vissa allmänna bestämmelser om behandling av personuppgifter. Det finns också vissa särskilda bestämmelser om när personuppgifter får behandlas i underrättelseverksamhet. Personuppgifter får behandlas i underrättelseverksamhet endast om en särskild undersökning som avser brott som anges i lagen om Skatteverkets medverkan i brottsutredningar har inletts eller i ett sådant underrättelseregister som regleras särskilt i lagen. För att uppgifter ska få behandlas i underrättelseverksamheten krävs vidare att det finns anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas (11 §). Med allvarlig brottslighet avses verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver (2 §).
En särskild undersökning är en undersökning i underrättelseverksamhet som innebär insamling, bearbetning och analys av uppgifter i syfte att ge underlag för beslut om förundersökning eller om särskilda åtgärder för att förebygga, förhindra eller upptäcka brott (2 §). Ett underrättelseregister får föras för att ge underlag för beslut om särskilda undersökningar avseende allvarlig brottslig verksamhet, eller underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet (8 §). Ett underrättelseregister får innehålla uppgifter som kan hänföras till en enskild person endast om uppgifterna ger anledning att anta att allvarlig brottslig verksamhet har utövats eller kan komma att utövas och den som avses med uppgifterna skäligen kan misstänkas för att ha utövat eller komma att utöva den allvarliga brottsliga verksamheten. Uppgifter om transportmedel eller varor som kan antas ha samband med allvarlig brottslig verksamhet eller om hjälpmedel som kan antas ha använts i samband med sådan verksamhet får registreras, även
om uppgifterna kan hänföras till en enskild person som det inte finns någon misstanke mot. Uppgifterna ska då förses med en upplysning om att det inte finns någon misstanke mot denne person (9 §). Vidare ges en uttömmande uppräkning över det slag av uppgifter som får ingå i registret (10 §).
Lagen innehåller också bl.a. bestämmelser om personuppgiftsansvar, behandling av känsliga personuppgifter, utlämnande av uppgifter, behandling av uppgifter om kvarstående misstankar efter nedlagd förundersökning och gallring.
Förordningen (1999:105) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar innehåller bestämmelser som kompletterar lagen. Bland annat finns bestämmelser som begränsar vilka personer inom Skatteverket som får ha direkt åtkomst till vissa av de behandlade personuppgifterna och bestämmelser om att uppgifter får lämnas ut till vissa andra myndigheter. De myndigheter som omfattas av bestämmelserna om utlämnande är Polismyndigheten, Säkerhetspolisen, Tullverket och Ekobrottsmyndigheten. Skatteverket får, efter samråd med Datainspektionen, meddela de ytterligare verkställighetsföreskrifter som behövs.
7. Författningar om behandling av personuppgifter i annan brottsbekämpande verksamhet
7.1. Polisdatalagen
I propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85) föreslog regeringen en helt ny polisdatalag. Avsikten var att komma till rätta med vissa svagheter som uppmärksammats i systemet, bl.a. att den äldre polisdatalagen (1998:622) endast täckte delar av behandlingen av personuppgifter i polisens brottsbekämpande verksamhet. Vidare framhöll regeringen i propositionen behoven av en teknikneutral lagstiftning och av regler som ger förutsättningar för ett bättre samarbete mellan de brottsbekämpande myndigheterna genom utökade möjligheter till informationsutbyte (se prop. 2009/10:85 s. 59–64). Den nya polisdatalagen trädde i kraft den 1 mars 2012.
Polisdatalagen gäller i stället för personuppgiftslagen (1998:204). Lagen innehåller hänvisningar till de bestämmelser i personuppgiftslagen som gäller vid tillämpning av lagen.
Syftet med polisdatalagen är att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling (1 kap. 1 §).
Polisdatalagen gäller vid behandling av personuppgifter i brottsbekämpande verksamhet vid Polismyndigheten och Säkerhetspolisen samt i polisiär verksamhet vid Ekobrottsmyndigheten (1 kap. 2 §). För behand-
ling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet gäller endast vissa särskilt utpekade bestämmelser. Behandling av personuppgifter i sådan verksamhet som inte är brottsbekämpande, t.ex. hanteringen av förvaltningsärenden, regleras i huvudsak i personuppgiftslagen.
Behandling av personuppgifter som sker med stöd av vapenlagen (1996:67), lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister, lagen (2010:362) om polisens allmänna spaningsregister eller lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang har uttryckligen undantagits från polisdatalagens tillämpningsområde (1 kap. 3 §).
Personuppgifter får behandlas i brottsbekämpande verksamhet vid Polismyndigheten och i polisiär verksamhet vid Ekobrottsmyndigheten om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden (2 kap. 7 §). Personuppgifter som behandlas för dessa ändamål får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i bl.a. brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket eller brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation. Vidare får personuppgifter behandlas för att tillhandahålla information som behövs i en myndighets verksamhet om det enligt lag eller förordning åligger Polismyndigheten att bistå myndigheten med viss uppgift eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott (2 kap. 8 §). Personuppgifter får även behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Polismyndigheten eller Ekobrottsmyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen (2 kap. 9 §).
Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Om uppgifter om en person behandlas på annan grund, får de emellertid kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen (2 kap. 10 §).
Lagen innehåller även bestämmelser om vad som gäller för t.ex. tillgången till personuppgifter, utlämnande av personuppgifter och uppgiftsskyldighet samt elektroniskt utlämnande av personuppgifter (2 kap. 11–21 §§).
För behandling av personuppgifter som fler än ett fåtal personer har åtkomst till, s.k. gemensamt tillgängliga uppgifter, finns det särskilda bestämmelser i lagen (3 kap. 1–15 §§). Huruvida uppgifter har gjorts gemensamt tillgängliga eller inte är av betydelse när det gäller möjligheten att medge vissa andra i lagen utpekade myndigheter direktåtkomst till personuppgifter i den brottsbekämpande verksamheten. Vad gäller gemensamt tillgängliga uppgifter innehåller lagen även andra begränsande bestämmelser för att värna den personliga integriteten, bl.a. sökbegränsningar.
Slutligen ska nämnas att den nya polisdatalagen innehåller bestämmelser om ett fåtal register som regleras särskilt, bl.a. register över DNAprofiler, fingeravtrycks- eller signalementsregister, och penningtvättsregister (4 kap.), bestämmelser om behandling av personuppgifter vid Polismyndigheten för forensiska ändamål (5 kap.) samt bestämmelser om behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet (6 kap.).
I polisdataförordningen (2010:1155) finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av polisdatalagen.
Vid sidan av polisdatalagen finns det andra författningar som reglerar behandling av personuppgifter inom polisen. Några av dessa är s.k. registerförfattningar och innehåller uteslutande bestämmelser om behandling av personuppgifter, medan andra endast innehåller ett fåtal sådana bestämmelser, t.ex. om ett visst register. Bestämmelser om behandling av personuppgifter finns i vapenlagen, lagen om belastningsregister, lagen om misstankeregister, lagen om internationellt polisiärt samarbete, lagen om Schengens informationssystem, lagen om passagerarregister, efterlysningskungörelsen (1969:293), passförordningen (1979:664) och förordningen (1997:903) om register över förelägganden av ordningsbot.
7.2. Kustbevakningsdatalagen
För Kustbevakningens behandling av personuppgifter gäller kustbevakningsdatalagen (2012:145) som trädde i kraft den 1 maj 2012. Lagen reglerar, med några få undantag, all behandling av personuppgifter i Kustbevakningens operativa verksamhet, dvs. både brottsbekämpande och annan operativ verksamhet. I 2 kap. 10 § finns en grundläggande bestämmelse som kräver att personuppgifter ska behandlas på ett sådant sätt att det klart framgår om behandlingen rör brottsbekämpning eller annan operativ verksamhet.
Lagen gäller i stället för personuppgiftslagen, men innehåller hänvisningar till vissa bestämmelser i personuppgiftslagen som ska tillämpas vid behandling av personuppgifter enligt lagen (2 kap. 1 och 2 §§). Som exempel kan nämnas personuppgiftslagens bestämmelser om definitioner och om förhållandet till offentlighetsprincipen.
Kustbevakningsdatalagen är uppbyggd på i princip samma sätt som polisdatalagen. De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom Kustbevakningen. De primära ändamålen för den brottsbekämpande verksamheten anges uttömmande i 3 kap. 2 §. Enligt denna paragraf får personuppgifter behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller fullgöra de förpliktelser som följer av internationella åtaganden.
De sekundära ändamålen är aktuella när personuppgifter som får behandlas i Kustbevakningens brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för dessas behov. Enligt de sekundära ändamålen, som anges i 3 kap. 3 §, får behandling av person-
uppgifter ske när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket, eller hos utländsk myndighet eller mellanfolklig organisation. Sådan behandling får vidare ske om det är nödvändigt för att tillhandahålla information som behövs i annan verksamhet hos Kustbevakningen för utredning och beslut i ärenden som rör vattenföroreningsavgift eller tillsyn och kontroll enligt lag eller förordning. Sådan behandling av personuppgifter får även ske om det är nödvändigt för att tillhandahålla information som behövs i en annan myndighets verksamhet, om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift, eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.
Uppgifter som behandlas för ett primärt ändamål får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till annan. I ett enskilt fall får personuppgifter som behandlas för ett primärt ändamål även behandlas för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Kustbevakningsdatalagen innehåller också bestämmelser om behandling av känsliga personuppgifter (2 kap. 7 §).
Lagen innehåller vidare särskilda bestämmelser om i vilka fall utlämnande av personuppgifter får ske till Interpol och Europol, polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, utländsk kustbevakning eller tullmyndighet inom Europeiska samarbetsområdet (3 kap. 6 § första och andra styckena). Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande (3 kap. 6 § tredje stycket).
Det finns även särskilda bestämmelser om under vilka förutsättningar personuppgifter som omfattas av sekretess får lämnas ut till svenska myndigheter (3 kap. 7 §). Lagen innehåller också bestämmelser om elektroniskt utlämnande av (2 kap. 8 §), tillgång till samt bevarande och gallring av personuppgifter (2 kap. 3 § respektive 3 kap. 4 och 5 §§ samt 4 kap. 8–14 §§).
Personuppgiftslagens regler om skadestånd och rättelse gäller vid behandling med stöd av kustbevakningsdatalagen. I fråga om överklagande hänvisas till överklaganderegler i personuppgiftslagen.
8. Ändringar i lagen om Skatteverkets medverkan i brottsutredningar
8.1. En ny beskrivning av den brottsbekämpande verksamhet som inte avser utredning av ett konkret brott
Regeringens förslag: Den beskrivning av Skatteverkets underrättelseverksamhet och arbete med att förebygga brottslighet som finns i lagen om Skatteverkets medverkan i brottsutredningar ska ersättas av en bestämmelse om att verksamheten omfattar att förebygga, förhindra och upptäcka brottslig verksamhet som avses i 1 § första stycket samma lag.
Någon särskild bestämmelse om att Skatteverket får bedriva spaning ska inte längre finnas.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.
Skälen för regeringens förslag: I lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar finns vissa bestämmelser om den verksamhet som bedrivs inom Skatteverkets skattebrottsenhet (se avsnitt 4.2). Enligt lagen får Skatteverket under vissa förutsättningar delta i brottsutredningar. Skatteverket får, på begäran av åklagare, medverka i förundersökningar avseende vissa typer av brott som har koppling till
Skatteverkets verksamhet. Medverkan kan även omfatta åklagarens utredning av brott innan förundersökning har inletts, s.k. förutredning. Skatteverket får vidare på egen hand bedriva s.k. förenklade brottsutredningar. Några sådana förenklade utredningar förekommer dock inte i praktiken.
Utöver detta brottsutredande arbete bedrivs inom skattebrottsenheten också ett brottsbekämpande arbete som inte avser utredning av konkreta brott. Bestämmelser om den verksamheten finns i 6 § lagen om Skatteverkets medverkan i brottsutredningar. I 6 § första stycket 1 finns ett allmänt stadgande om att Skatteverket får bedriva spaning. I 6 § första stycket 2 anges att Skatteverket får bedriva verksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning. Enligt andra stycket ska Skatteverket också verka för att förebygga brottslighet. Den verksamhet som regleras i 6 § ska omfatta sådan brottslighet som avses i 1 § första stycket, dvs. skattebrott, bokföringsbrott och vissa andra särskilt angivna brott.
Bestämmelsen i 6 § första stycket 2 avser den del av skattebrottsenhetens verksamhet som benämns underrättelseverksamheten. Sådan verksamhet utförs med anledning av misstankar om pågående brottslig verksamhet som inte kan konkretiseras, eller allmänna misstankar om framtida brott. I underrättelseverksamheten samlas information in från olika håll. Bland annat erhålls information från öppna källor och andra
myndigheter eller genom tips som inkommer till skattebrottsenheten. Informationen kan bearbetas och ligga till grund för analyser när det gäller förväntad eller pågående brottslighet. Syftet med underrättelseverksamheten är i huvudsak att ta fram underlag för vilken inriktning en verksamhet ska ha eller för att initiera konkreta brottsutredningar. Kunskap som genereras inom underrättelseverksamheten lämnas vidare till andra brottsbekämpande myndigheter, andra verksamheter inom Skatteverket och andra myndigheter. Det kan nämnas att Skatteverket är en av de myndigheter som ingår i den myndighetsgemensamma satsningen mot organiserad brottslighet och deltar i styrnings- och ledningsfunktionerna för det myndighetsgemensamma arbetet. Skatteverket deltar i samarbetet både genom den brottsbekämpande verksamheten och genom beskattningsverksamheten. De uppgifter som Skatteverket kan bidra med kan tillsammans med de andra myndigheternas uppgifter bilda ett underlag för de samverkande myndigheterna som kan vara avgörande för vilka prioriteringar, inriktningar och insatser som görs mot organiserad brottslighet.
Av 23 kap. 1 § rättegångsbalken följer att det ska inledas förundersökning så snart det kan antas att ett visst brott har begåtts. Underrättelsearbetet skiljer sig från en brottsutredning bl.a. genom att de misstankar om begången brottslighet som finns i underrättelseverksamheten inte har konkretiserats så mycket att de avser ett visst brott. Det har därför inte varit aktuellt att inleda en förundersökning. Med hjälp av underrättelseverksamhet kan dock upptäckas att ett visst brott har begåtts och arbetet kan därför leda till att det görs en brottsanmälan och att förundersökning inleds.
Uttrycket ”samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas” har tidigare förekommit i flera lagar som rör behandling av personuppgifter i brottsbekämpande verksamheter för att definiera begreppet underrättelseverksamhet. I ett antal sådana lagar har dock begreppet underrättelseverksamhet utmönstrats. I lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145) har i stället införts bestämmelser om behandling av personuppgifter för att förebygga, förhindra eller upptäcka brottslig verksamhet. Med detta avses den brottsbekämpande verksamhet som inte direkt kan knytas till en brottsutredning. Arbetet är inte inriktat på en redan begången individualiserad brottslig gärning, se propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 102 och 318). Framför allt åsyftas arbete med insamling, bearbetning och analys av information för att förhindra eller upptäcka brottslig verksamhet när det ännu inte finns konkreta misstankar om att ett visst brott har begåtts, dvs. det arbete som vanligtvis kallas underrättelseverksamhet (s. 318). Uttrycket förebygga, förhindra och upptäcka brottslig verksamhet används numera även i polislagen (1984:387) för att beskriva polisens arbetsuppgifter.
För att få en samstämmig reglering kring beskrivningen av de arbetsuppgifter som de brottsbekämpande myndigheterna ägnar sig åt bör regleringen i lagen om Skatteverkets medverkan i brottsutredningar moderniseras och anpassas till den terminologi som används i författningar som rör andra brottsbekämpande myndigheter och som även
föreslås användas i den nya skattebrottsdatalagen (se avsnitt 9.10.2). Regeringen anser därför att uttrycket förebygga, förhindra och upptäcka brottslig verksamhet bör användas för att beskriva den brottsbekämpande verksamhet som skattebrottsenheten utför utöver att delta i förundersökningar och förutredningar. Verksamheten omfattar det som i dag regleras i 6 § första stycket 2 och andra stycket lagen om Skatteverkets medverkan i brottsutredningar, dvs. arbete som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken samt att förebygga brottslighet. Det nya sättet att beskriva skattebrottsenhetens verksamhet innebär inte någon förändring av Skatteverkets arbetsuppgifter.
I dag anges i 6 § första stycket 1 lagen om Skatteverkets medverkan i brottsutredningar att Skatteverket får bedriva spaning. Spaning kan ingå som en arbetsmetod både inom ramen för en förundersökning och i arbete för att förebygga, förhindra eller upptäcka brottslig verksamhet. Någon särskild bestämmelse om att Skatteverket får bedriva spaning är enligt regeringens mening inte nödvändig för att spaning ska få förekomma. Någon särskild bestämmelse om detta finns inte heller längre i t.ex. polislagen. Regeringen föreslår därför att det i fortsättningen inte längre ska anges i lagen att Skatteverket får bedriva spaning.
Till följd av den ändrade lydelsen i 6 § föreslår regeringen även att rubriken ovanför paragrafen ändras, så att den stämmer bättre överens med paragrafens lydelse.
I sammanhanget kan framhållas att även andra verksamheter inom Skatteverket, vid fullgörandet av sitt uppdrag, kan delta i arbete som syftar till att motverka brottslighet. Sådant arbete omfattas inte av regleringen i den nu aktuella lagen.
Förslaget genomförs genom en ändring i 6 § lagen om Skatteverkets medverkan i brottsutredningar.
Hänvisningar till S8-1
- Prop. 2016/17:89: Avsnitt 8.3, 9.10.2, 9.5, Författningskommentar till 6 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar
8.2. Förändring i brottskatalogen
Regeringens förslag: I uppräkningen över de brott som Skatteverkets brottsbekämpande verksamhet omfattar ska göras ett tillägg för bedrägeribrott, om gärningen har samband med Skatteverkets verksamhet enligt lagen om förfarandet vid skattereduktion för hushållsarbete.
Den hänvisning till brott enligt folkbokföringslagen som görs i uppräkningen ska tas bort.
Promemorians förslag: Överensstämmer inte med regeringens förslag. I promemorian föreslås att det införs en bestämmelse om att
Skatteverkets brottsbekämpande verksamhet omfattar brott enligt bestämmelser om annan verksamhet som ligger inom Skatteverkets ansvarsområde. I promemorian finns inget förslag om att hänvisningen till brott enligt folkbokföringslagen ska tas bort.
Remissinstanserna: Åklagarmyndigheten ser positivt på att möjligheten för åklagare att dra nytta av Skatteverkets specialistkompetens genom att anlita biträde av Skatteverket vid verkställande av förunder-
sökning vidgas. Åklagarmyndigheten påpekar att detta emellertid kan innebära att åklagare blir förundersökningsledare i fler utredningar och anser att förslagets genomslag i detta avseende bör undersökas under det fortsatta arbetet med lagstiftningen. Vidare anför Åklagarmyndigheten att Skatteverket vid vissa av de brott där det kan bli aktuellt att anlita myndigheten, intar ställning som målsägande, vilket påverkar i vilken mån Skatteverket bör anlitas.
Skälen för regeringens förslag: I 1 § första stycket lagen om Skatteverkets medverkan i brottsutredningar görs en uppräkning över de brott som Skatteverkets verksamhet enligt lagen omfattar. De uppräknade brotten avser brott enligt skattebrottslagen (1971:69) och vissa andra särskilt angivna typer av brott som har koppling till Skatteverkets verksamhetsområde. Vid införandet av lagen ansågs att även annan brottslighet än skattebrottslighet kan ha sådant samband med skattemyndigheternas verksamhet att det är mest naturligt att skattemyndigheten utför förundersökningen. Som exempel framhölls bokföringsbrott och vissa andra brott som föll inom skattemyndighetens verksamhetsområde, se propositionen Skatteverkets medverkan i brottsutredningar, m.m. (prop. 1997/98:10 s. 47 f.). Brott som i dag omfattas av uppräkningen i bestämmelsen är bl.a. bokföringsbrott, brott mot låneförbuden i aktiebolagslagen (2005:551) och överträdelse av näringsförbud.
I paragrafens andra stycke ges en möjlighet för åklagare att anlita biträde av Skatteverket vid brottsutredningar som avser även andra brott än de som anges i första stycket. Skatteverket får medverka vid undersökning av sådana andra brott om det föreligger särskilda skäl. Vid bestämmelsens tillkomst anfördes att skattebrottsenheterna bör kunna biträda åklagare även vid förundersökning av andra slags brott än de särskilt uppräknade, om det är lämpligt med hänsyn till brottets beskaffenhet och dess samband med t.ex. misstänkt skattebrottslighet (jfr. samma prop. s. 48). Den verksamhet inom skattebrottsenheten som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet, den s.k. underrättelseverksamheten, samt sådana förenklade brottsutredningar som Skatteverket får utföra på eget initiativ ska dock omfatta sådana särskilt uppräknade brott som framgår av första stycket.
Eftersom den lagstiftning som anger omfattningen av Skatteverkets brottsbekämpande verksamhet hänvisar till vissa specifika brott kan den behöva ändras i takt med förändringar i andra regelverk.
Ett av de brott som i nuläget inte omfattas av uppräkningen i lagen, och som nämns i promemorian, är bedrägeribrott med koppling till bestämmelserna om skattereduktion för hushållsarbete, de s.k. ROT- och RUTavdragen. Om någon uppsåtligen lämnar felaktiga uppgifter i en begäran om utbetalning enligt lagen (2009:194) om förfarandet vid skattereduktion för hushållsarbete kan brottsbalkens bestämmelser om bl.a. bedrägeri aktualiseras, se propositionen Ett enklare system för skattereduktion för hushållsarbete (prop. 2008/09:77 s. 58). Ett bedrägeribrott i samband med en felaktig begäran om utbetalning enligt dessa bestämmelser har ett sådant klart samband med Skatteverkets verksamhet att det enligt regeringens mening bör omfattas av lagens bestämmelser. Skatteverket medverkar med stöd av 1 § andra stycket lagen om Skatteverkets medverkan i brottsutredningar redan i dag vid förundersökning avseende sådana brott på begäran av åklagare. Regeringen anser att Skatteverket
även bör ha möjlighet att bedriva underrättelseverksamhet som avser bedrägeribrottslighet mot ROT- och RUT-systemet. Sådana brott bör därför enligt regeringens mening omfattas av den aktuella bestämmelsens första stycke. Med anledning av Åklagarmyndighetens remissvar kan framhållas att det är åklagaren som avgör i vilken mån Skatteverket bör medverka i en förundersökning.
I promemorian föreslås en generell reglering, som ska täcka in alla typer av brott enligt bestämmelser om verksamhet som ligger inom Skatteverkets ansvarsområde. Bestämmelsen är snäv till sin språkliga utformning och tar enligt ordalydelsen sikte på brott som regleras i lagstiftning som rör Skatteverkets verksamhetsområde. Bedrägeribrott mot ROT- och RUT-systemet är den enda typ av brott som nämns i promemorian som ett sådant brott som i dag skulle omfattas av bestämmelsen. Den föreslagna bestämmelsen kan dock medföra tolkningssvårigheter och oklara gränser för omfattningen av skattebrottsenhetens verksamhet. Regeringen anser att det föreligger oklarheter kring vilken ytterligare typ av brottslighet som är avsedd att träffas av promemorians förslag. Mot den bakgrunden bedömer regeringen att det i detta sammanhang inte finns skäl att frångå den lagstiftningsmodell med en uppräkning av brott som i dag används i lagen. Regeringen föreslår därför att det görs ett tillägg för brott enligt 9 kap.1–3 §§ och 11 §brottsbalken, om gärningen har samband med Skatteverkets verksamhet enligt lagen om förfarandet vid skattereduktion för hushållsarbete. Därmed kommer bedrägeribrott som är hänförliga till ROT- och RUTavdragen att omfattas. De paragrafer i brottsbalken som det hänvisas till omfattar olika grader av bedrägeribrott samt försök, förberedelse och stämpling till bedrägeribrott. Det kan framhållas att det finns möjlighet för åklagaren att begära Skatteverkets biträde vid förundersökningar som omfattar även andra typer av brott, om det föreligger särskilda skäl enligt 1 § andra stycket lagen om Skatteverkets medverkan i brottsutredningar. Regeringen avser vidare att återkomma till frågan om brottskatalogen för Skatteverkets brottsbekämpande verksamhet ska avse fler typer av brott.
Allt sedan tillkomsten av lagen om Skatteverkets medverkan i brottsutredningar anges i 1 § att verksamheten omfattar brott enligt folkbokföringslagen (1991:481). Eftersom den särskilda straffbestämmelsen i 43 § folkbokföringslagen numera har upphävts (se prop. 2012/13:120 s. 114 f.) och någon annan straffbestämmelse inte finns i den lagen bör hänvisningen till brott enligt folkbokföringslagen tas bort.
Förslaget genomförs genom en ändring i 1 § punkten 4 lagen om Skatteverkets medverkan i brottsutredningar.
Hänvisningar till S8-2
- Prop. 2016/17:89: Avsnitt Författningskommentar till 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar
8.3. Lagen får ett nytt namn
Regeringens förslag: Lagen om Skatteverkets medverkan i brottsutredningar ska benämnas lagen om Skatteverkets brottsbekämpande verksamhet. Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.
Skälen för regeringens förslag: Den verksamhet som regleras i lagen om Skatteverkets medverkan i brottsutredningar bedrivs inom skattebrottsenheten, som har inrättats för att fullgöra de brottsbekämpande uppgifter som lagen reglerar. Lagen omfattar inte endast medverkan i förundersökningar utan även bl.a. att bedriva underrättelseverksamhet.
För att lagens rubrik ska stämma bättre överens med den verksamhet som lagen omfattar anser regeringen att lagens namn bör ändras i enlighet med promemorians förslag. Regeringen föreslår därför att lagen ska benämnas lagen om Skatteverkets brottsbekämpande verksamhet. Som även anges i avsnitt 8.1 omfattar inte lagen sådant arbete som sker inom andra verksamheter inom Skatteverket när dessa deltar i arbete som syftar till att motverka brottslighet.
Hänvisningar till S8-3
- Prop. 2016/17:89: Avsnitt 10
9. En ny lag om behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet
9.1. Det behövs ny lagstiftning
Regeringens förslag: En ny lag ska införas som ersätter lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans har några invändningar mot att en ny lag införs. Flera remissinstanser, däribland Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen och Tullverket, påpekar behovet av att regleringen av behandling av personuppgifter för brottsbekämpande myndigheter harmoniseras och att det behöver skapas förutsättningar för ett effektivt samarbete mellan dessa myndigheter.
Skälen för regeringens förslag
Allmänt om reformbehovet
Den lagstiftning som reglerar möjligheten att behandla personuppgifter inom Skatteverkets brottsbekämpande verksamhet ser i dag ut på samma sätt som när verksamheten påbörjades. Lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar utformades med den tidigare polisdatalagen (1998:622) som förebild, se propositionen Behandling av personuppgifter i skattemyndighetens brottsutredande verksamhet, m.m. (prop. 1998/99:34 s. 31 f.). De senaste åren har författningarna om behandling av personuppgifter för flera andra brottsbekämpande myndigheter genomgått en modernisering. Bland annat har en ny polisdatalag (2010:361) och en kustbevakningsdatalag (2012:145) införts.
Informationshantering utgör en central del i Skatteverkets brottsbekämpande verksamhet. En väl utnyttjad informationsteknik är av stor
betydelse och en förutsättning för myndighetens möjligheter att bedriva sin brottsbekämpande verksamhet på ett effektivt sätt. Samtidigt måste informationshanteringen ske med respekt för enskildas personliga integritet.
Ett effektivt brottsbekämpande arbete förutsätter att de berörda myndigheterna har goda möjligheter att samla in, bearbeta och utbyta information av olika slag. Samarbetet mellan myndigheter har blivit allt viktigare i det brottsbekämpande och brottsutredande arbetet. För att arbetet ska bli framgångsrikt krävs att det går att dra nytta av den samlade kunskapen om brott som finns både inom den egna myndigheten och hos andra brottsbekämpande myndigheter. Riksdag och regering har vid upprepade tillfällen understrukit vikten av ett väl fungerande samarbete mellan de brottsbekämpande myndigheterna. Skatteverket behöver liksom andra myndigheter medverka i samverkan mellan brottsbekämpande myndigheter som grundar sig på uppdrag från regeringen.
Den ökade samverkan mellan framför allt brottsbekämpande myndigheter underlättas kraftigt av att dessa myndigheters registerförfattningar stämmer överens när det gäller hur personuppgifter får behandlas och lämnas ut. Den allmänna utgångspunkten bör vara att hanteringen av personuppgifter inom det brottsbekämpande området i Sverige är enhetlig oavsett på vilken myndighet detta arbete ankommer. På det sättet blir det också enklare för myndigheterna att samarbeta i fråga om informationsteknik och på ett kostnadseffektivt sätt tillgodogöra sig de fördelar som tekniken kan ge.
Lagen om behandling av personuppgifter i Skatteverkets medverkan i brottsutredningar skiljer sig väsentligt från regleringen i de mer moderna författningar som införts för andra brottsbekämpande myndigheter, framför allt när det gäller möjligheten att behandla personuppgifter i underrättelseverksamhet. En förändring av lagstiftningen krävs därför för att uppnå de positiva effekter som följer av en enhetlig reglering. Lagen är också i behov av en allmän modernisering för att underlätta ett flexibelt och effektivt arbetssätt inom skattebrottsenhetens verksamhet. Dagens reglering har vissa brister som kan leda till tillämpningsproblem och är i vissa delar dåligt anpassad för ett modernt brottsbekämpande arbete.
Regeringen anser mot den bakgrunden att det finns behov av ändrade regler på området för behandlingen av personuppgifter i Skatteverkets brottsbekämpande verksamhet.
Det behövs en lag
Personuppgiftslagen (1998:204) gäller generellt för all behandling av personuppgifter, såvida det inte finns avvikande regler i lag eller förordning. I lagstiftningsärendet som föregick personuppgiftslagen uttalade regeringen att lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar, se propositionen Personuppgiftslag (prop. 1997/98:44 s. 40 f.). Sådan författningsreglering, främst i form av s.k. registerförfattningar, har skett utifrån det principiella ställnings-
tagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör regleras i lag.
Som framgår av avsnitt 5.1 gäller enligt 2 kap. 6 § andra stycket regeringsformen att var och en gentemot det allmänna ska vara skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet mot intrång får begränsas i lag och bara i den ordning som föreskrivs i 2 kap. regeringsformen. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har, se propositionen En reformerad grundlag (prop. 2009/10:80 s. 250). Som exempel på åtgärder som kan anses innebära kartläggning anges i propositionen som ligger till grund för bestämmelsen bl.a. registrering i polisens register (s. 180). Vid bedömningen av vad som kan anses utgöra ett betydande intrång ska enligt förarbetsuttalandena vägas in uppgifternas karaktär och omfattning samt ändamålet med behandlingen och omfattningen av utlämnandet av uppgifter till andra (s. 184).
Regeringen bedömer att det i Skatteverkets brottsbekämpande verksamhet förekommer behandling av personuppgifter som kan vara av sådan karaktär att den faller under det förbud mot integritetsintrång som följer av 2 kap. 6 § andra stycket regeringsformen. Det krävs enligt 2 kap.20–22 §§regeringsformen lag för att begränsa skyddet mot integritetsintrång och tillåta all behandling av personuppgifter som måste ske i Skatteverkets brottsbekämpande verksamhet. Därför föreslår regeringen att den huvudsakliga behandlingen av personuppgifter i Skatteverkets brottsbekämpande verksamhet, liksom i dag, regleras i lag.
Enligt 2 kap. 21 § regeringsformen får sådana begränsningar i lag göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Det är därmed av stor vikt att de förslag som läggs fram i detta avseende uppfyller de nämnda kraven, vilket regeringen bedömer att de gör. I följande avsnitt och vid de enskilda förslagen redovisas närmare de bedömningar av bl.a. integritetsaspekter och proportionalitet som har gjorts.
Hänvisningar till S9-1
9.2. Allmänna utgångspunkter
Regeringens bedömning: Den nya lagen bör i möjligaste mån ha samma sakliga innehåll och systematik som polisdatalagen och kustbevakningsdatalagen, såvida inte särskilda skäl talar för annat.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Datainspektionen anser att promemorian i många fall tycks utgå från att Skatteverkets behov per automatik är samma som polisens behov och/eller Kustbevakningens behov av att behandla personuppgifter i den brottsbekämpande verksamheten. Datainspektionen anser att det fortsatta lagstiftningsärendet bör innehålla en djupare analys och redogörelse för de proportionalitetsavvägningar som gjorts.
Skälen för regeringens bedömning: En utgångspunkt vid utformningen av förslag till en ny lag för behandling av personuppgifter i
Skatteverkets brottsbekämpande verksamhet bör enligt regeringens mening vara att skapa en så flexibel och teknikneutral lagstiftning som möjligt.
För att åstadkomma detta bör lagen innehålla ramarna och de grundläggande principerna för den automatiserade behandlingen av personuppgifter som förekommer i Skatteverkets brottsbekämpande verksamhet. Med en sådan lagstiftning skapas möjligheter bl.a. för en utvecklad och fortsatt samverkan mellan Skatteverket och andra myndigheter samtidigt som den personliga integriteten värnas. Vidare måste det ställas höga krav på kontroll och tillsyn av verksamheten, både internt och externt.
En allmän utgångspunkt för en ny lag bör vara att den motsvarar vad som gäller för Polismyndighetens brottsbekämpande verksamhet, om det är motiverat från effektivitetssynpunkt och godtagbart från integritetsskyddssynpunkt. Med en enhetlig lagstiftning blir integritetsskyddet likartat i brottsbekämpande verksamhet oavsett vilken myndighet som bedriver den. Det gör bl.a. att metoder för att i enlighet med lagen skydda enskildas integritet som utarbetats vid en myndighet med brottsbekämpande verksamhet kan överföras till andra myndigheter med sådan verksamhet. Detta kan också leda till ett i praktiken bättre integritetsskydd än vad som hade varit möjligt med skilda integritetsskyddande regler för olika brottsbekämpande verksamheter.
Regleringen av de brottsbekämpande myndigheternas behandling av personuppgifter bör om möjligt vara enhetlig också för att skapa goda förutsättningar för samarbete och effektivitet i verksamheten. En hög grad av enhetlighet i den brottsbekämpande verksamheten leder också till bättre förutsebarhet för enskilda.
En ny lag bör således i möjligaste mån ha samma sakliga innehåll och systematik som polisdatalagen och även kustbevakningsdatalagen, som uppvisar stora likheter med polisdatalagen, detta såvida inte särskilda skäl talar för annat. I den mån en annan struktur än den som polisdatalagen och kustbevakningsdatalagen har framstår som mer pedagogisk och ändamålsenlig kan det finnas skäl att i en ny lag göra avvikelser från strukturen i dessa lagar. Det finns också skäl att göra vissa jämförelser med den relativt nyligen införda åklagardatalagen (2015:433).
Datainspektionen anser att promemorian i många fall tycks utgå från att Skatteverkets behov av att behandla personuppgifter per automatik är samma som för exempelvis polisen. Datainspektionen menar att det fortsatta lagstiftningsärendet bör innehålla en djupare analys och redogörelse för de proportionalitetsavvägningar som gjorts. Regeringen vill med anledning härav framföra följande. Utgångspunkten för utformningen är att regleringen ska likna den som gäller i polisdatalagen.
Ovan framgår skälen för detta. Den för Skatteverket föreslagna regleringen är dock utformad utifrån Skatteverkets behov. Behoven kan i vissa fall vara desamma som för t.ex. Polismyndigheten, varvid den föreslagna regleringen kommer att få samma utseende, och i vissa andra fall kan den avvika, varvid avvikande bestämmelser föreslås. I samband med varje förslag framgår skälen för förslaget.
Hänvisningar till S9-2
- Prop. 2016/17:89: Avsnitt 9.16.1
9.3. Lagens namn
Regeringens förslag: Lagen ska heta skattebrottsdatalagen.
Promemorians förslag: Överensstämmer inte med regeringens förslag. I promemorian föreslås att lagen ska benämnas lagen om behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.
Skälen för regeringens förslag: Regeringen anser att den nya lagen bör benämnas skattebrottsdatalagen. Detta namn knyter an till benämningen på motsvarande lagstiftning för polisen och Kustbevakningen. Namnet tillgodoser vidare de synpunkter som Lagrådet förde fram i lagstiftningsärendet om den nya polisdatalagen. I lagrådsremissen föreslogs det att den lagen skulle heta lagen om behandling av personuppgifter i polisens brottsbekämpande verksamhet.
Lagrådet ansåg dock att det namnet var för långt och intetsägande och inte klargjorde att lagen handlar om registerfrågor, se propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 519). Lagrådet föredrog i stället namnet polisdatalag (eller polisregisterlag). Regeringen hade inget emot detta utan ansåg att det är praktiskt med ett kort namn som ändå ger rimlig vägledning om vad lagen handlar om (prop. 2009/10:85 s. 66). Skattebrottsdatalagen är ett ganska kort och tillräckligt klargörande namn som framstår som den lämpligaste benämningen på lagen, varför regeringen föreslår detta namn.
9.4. Lagens syfte
Regeringens förslag: Syftet med den nya lagen ska vara att ge
Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid en sådan behandling.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.
Remissinstanserna: Svea hovrätt, Kammarrätten i Sundsvall,
Förvaltningsrätten i Göteborg, Justitiekanslern, Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen, Tullverket och Kronofogdemyndigheten anger uttryckligen att de är positiva till eller inte har några väsentliga invändningar mot förslagen i den nya lagen.
Kammarrätten i Sundsvall hänvisar dock till Kammarrätten i
Stockholms yttrande över förslaget till polisdatalag och de synpunkter som där framfördes, bl.a. om svårigheten att överblicka de sammantagna konsekvenserna av lagstiftningen och skyddet för den personliga integriteten. Datainspektionen anser att det fortsatta lagstiftningsärendet bör innehålla en djupare analys och redogörelse för de proportionalitetsavvägningar som gjorts mellan Skatteverkets behov av att behandla
personuppgifter och skyddet mot intrång i den personliga integriteten.
Sveriges advokatsamfund anser att promemorians förslag innehåller samma komplexitet och tillämpningssvårigheter som advokatsamfundet har påtalat beträffande förslagen till polisdatalag och kustbevakningsdatalag. Advokatsamfundet har där bl.a. påtalat att regleringen blir svåröverblickad, både sett till verkningar på enskildas personliga integritet samt till den faktiska tillämpningen av de föreslagna lagrummen och rekvisiten. Advokatsamfundet anför vidare att promemorian saknar analys av hur de olika författningsförslagen kan komma att påverka de enskildas personliga integritet och hur dessa effekter ska vägas gentemot Skatteverkets och övriga berörda myndigheters behov av informationsutbyte.
Skälen för regeringens förslag: För att Skatteverket ska kunna fullgöra sina uppgifter på ett effektivt sätt måste myndigheten ha lagliga förutsättningar att utnyttja ändamålsenlig informationsteknik som gör det möjligt att samla in och i övrigt behandla stora informationsmängder. Det kan gälla uppgifter om misstänkta och vittnen men även andra personer.
Förutsättningar måste även finnas att delta i det uppgiftsutbyte som sker inom ramen för de uppdrag om myndighetssamverkan som regeringen gett bl.a. Skatteverket, liksom att bedriva annan samverkan.
Uppgifterna måste vid behov kunna tillhandahållas ett större antal personer vid myndigheten på automatiserad väg. Dessutom måste i vissa fall andra myndigheter kunna få tillgång till uppgifter. Ett utökat uppgiftsutbyte kan dock innebära en risk för intrång i den personliga integriteten. Sådana intrång måste stå i rimlig proportion till det intresse som ska tillgodoses med behandlingen.
Som redovisats i föregående avsnitt är enskilda skyddade mot åtgärder från det allmänna som innebär betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § regeringsformen). Av förarbetena till bestämmelsen framgår att utgångspunkten för grundlagsregleringen har varit att kränkningen av den personliga integriteten kan sägas utgöra ett intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där intrång bör kunna avvisas (prop. 2009/10:80 s. 175). Regeringen ansåg dock att det inte var nödvändigt att formulera en allmängiltig definition av begreppet för att kunna bedöma vilka intressen det fanns att skydda från omotiverade intrång. Det torde stå klart att vissa faktorer är särskilt viktiga att ta hänsyn till när det gäller att bedöma intrånget i den personliga integriteten vid automatiserad behandling av personuppgifter. Det gäller arten av de personuppgifter som samlas in och registreras, för vilka ändamål detta görs, hur och av vem uppgifterna används, hur sökning får ske, hur länge uppgifterna sparas samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgänglig för bearbetningar och sammanställningar. Stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg och som används vid myndighetsverksamhet medför typiskt sett en risk för att enskilda personer utsätts för intrång i den personliga integriteten.
Rätten till skydd mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen är inte absolut. Rättigheten får begränsas i lag enligt de förutsättningar som framgår av 2 kap.
21 och 22 §§regeringsformen. En begränsning av rätten till skydd mot sådana integritetsintrång får ske endast för att tillgodose ett ändamål som är godtagbart i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Av Europadomstolens praxis följer för övrigt att en liknande proportionalitetsprincip också gäller enligt artikel 8 i europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (kallad Europakonventionen), som reglerar rätten till skydd för privat- och familjeliv.
Den närmare utformningen av de nya bestämmelserna måste alltså föregås av en avvägning mellan å ena sidan intresset av en effektiv verksamhet och å andra sidan intresset av skyddet för den personliga integriteten.
Uppgifter som pekar ut personer som misstänkta för brott är särskilt känsliga ur integritetssynpunkt. I de följande avsnitten diskuteras närmare hur Skatteverkets behov av att kunna behandla vissa uppgifter lämpligen bör vägas mot behovet av skydd för den personliga integriteten. Nedan redovisas några allmänna utgångspunkter för avvägningen mellan Skatteverkets behov av behandla personuppgifter i den brottsbekämpande verksamheten och skyddet för den personliga integriteten.
Det är viktigt att den nya lagen tydligt anger för vilka ändamål behandling av personuppgifter ska få ske. Särskilda bestämmelser som begränsar möjligheterna att behandla s.k. känsliga personuppgifter, dvs. uppgifter som avslöjar exempelvis etniskt ursprung eller politiska åsikter, bör även fortsättningsvis finnas för att upprätthålla skyddet för den personliga integriteten. I lagen bör det vidare införas mer inskränkande bestämmelser för behandling av personuppgifter som görs tillgängliga för en större krets av tjänstemän än när uppgifterna är åtkomliga för enbart ett fåtal personer. För att Skatteverket ska kunna bedriva ett effektivt brottsförebyggande arbete förutsätts att Skatteverket kan behandla uppgifter om personer som inte är misstänkta för något konkret brott men som ändå misstänks ägna sig åt brottslig verksamhet, s.k. underrättelseverksamhet. Ur ett integritetsskyddsperspektiv bör större restriktivitet gälla för behandling av uppgifter som inte har samband med ett konkret brott. Ur integritetsskyddssynpunkt är det vidare viktigt att det inte uppstår oklarheter om huruvida en person som en uppgift rör är misstänkt för brott eller inte. I den nya lagen bör det därför regleras att det av uppgifterna ska framgå huruvida behandlingen sker för att personen är misstänkt eller inte. Även tillförlitligheten av behandlade uppgifter bör kunna utläsas, exempelvis om informationen består av kontrollerade fakta eller bara obekräftade påståenden. Regler om sökning, sammanställning och gallring bör också utformas så att skyddet för den personliga integriteten upprätthålls.
Som redan nämnts måste de brottsbekämpande myndigheterna kunna utbyta information sinsemellan och, i viss utsträckning, lämna information till andra myndigheter. Av särskild betydelse är möjligheten att vid behov snabbt kunna få tillgång till uppgifter hos andra myndigheter på automatiserad väg, exempelvis genom direktåtkomst. En sådan möjlighet kan dock innebära ökade risker för integritetsintrång. Det beror framför allt på att system för direktåtkomst normalt medför att antalet personer som har tillgång till uppgifterna blir större. För att förhindra att uppgifter
blir tillgängliga i andra myndigheters verksamhet även i situationer där detta inte är nödvändigt av verksamhetsskäl i det enskilda fallet, bör tillgången till automatiserad information begränsas så att endast den som behöver en viss uppgift för att kunna fullgöra sina arbetsuppgifter kan få tillgång till den genom direktåtkomst.
Sammanfattningsvis förutsätter samhällets krav på ett rättssäkert och effektivt arbete bl.a. att Skatteverket ges möjlighet att behandla personuppgifter på ett ändamålsenligt sätt med hjälp av väl fungerande informationsteknik samtidigt som skyddet av den enskildes personliga integritet värnas. Båda dessa utgångspunkter är enligt regeringens mening centrala för lagen och bör komma till uttryck som lagens övergripande syfte.
Regeringen föreslår således att det införs en bestämmelse som anger att syftet med lagen är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Datainspektionen efterlyser en djupare analys och redogörelse för de proportionalitetsavvägningar som gjorts. Advokatsamfundet anser att promemorian saknar analys av hur de olika författningsförslagen kan komma att påverka de enskildas personliga integritet och hur dessa effekter ska vägas gentemot Skatteverkets och övriga berörda myndigheters behov av informationsutbyte. Kammarrätten i Sundsvall hänvisar till tidigare yttranden över förslaget till polisdatalag och de synpunkter som där framfördes om svårigheten att överblicka de sammantagna konsekvenserna av lagstiftningen och skyddet för den personliga integriteten. Regeringen gör, förutom ovan beskrivna överväganden om myndigheters behov och integritetsaspekter, närmare överväganden vid varje enskilt förslag, som presenteras i det följande.
Förslaget genomförs genom 1 kap. 1 § i den nya lagen.
Hänvisningar till S9-4
- Prop. 2016/17:89: Avsnitt Författningskommentar till 1 § skattebrottsdatalag
9.5. Lagens tillämpningsområde
Regeringens förslag: Den nya lagen ska gälla vid Skatteverkets behandling av personuppgifter i den brottsbekämpande verksamheten, om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
I likhet med vad som gäller i dag ska avvikande bestämmelser om behandling av personuppgifter i lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar gälla i stället för den nya lagen.
Vissa bestämmelser i den nya lagen ska gälla även vid behandling av uppgifter om juridiska personer.
Det ska finnas en bestämmelse som upplyser om lagens innehåll.
Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorian föreslås att det ska ges en definition av brottsbekämpande verksamhet i de inledande bestämmelserna i lagen. I promemorian föreslås inte någon bestämmelse om att annan viss lagstiftning har företräde framför den nya lagen. Promemorians förslag är också något annorlunda utformat.
Remissinstanserna: Ekobrottsmyndigheten påpekar att personuppgiftsansvar enligt personuppgiftslagen inte omfattar juridiska personer och anser att innebörden av personuppgiftsansvaret vid behandling av uppgifter om juridiska personer måste förklaras i det fortsatta lagstiftningsarbetet.
Skälen för regeringens förslag
Verksamhet som omfattas av lagen
Som framgår bl.a. av avsnitt 4.1 finns inom Skatteverket flera olika verksamheter. Skatteverkets brottsbekämpande verksamhet syftar till att utreda brott samt förebygga, förhindra och upptäcka brottslig verksamhet. Den nya lagen bör vara tillämplig i sådan verksamhet, inklusive vid fullgörande av internationella åtaganden som avser sådana frågor. Den brottsbekämpande verksamheten inom Skatteverket är organisatoriskt skild från övriga verksamheter inom myndigheten och utgör en självständig verksamhetsgren enligt 8 kap. 2 § offentlighets- och sekretesslagen (2009:400). Verksamheten bedrivs inom den s.k. skattebrottsenheten. I promemorian föreslås att det i lagen tas in en definition av vad som avses med brottsbekämpande verksamhet. Regeringen anser att någon sådan definition i lagtexten inte är nödvändig. I likhet med hur regleringen i polisdatalagen och kustbevakningsdatalagen är uppbyggd bör innebörden av brottsbekämpande verksamhet i stället komma till uttryck i lagens ändamålsbestämmelser. För Skatteverkets del finns bestämmelser om den brottsbekämpande verksamheten också i lagen om Skatteverkets medverkan i brottsutredningar. Som framgår av avsnitt 8.1 föreslår regeringen att Skatteverkets verksamhet i den lagen beskrivs på ett sätt som stämmer överens med hur ändamålen för den brottsbekämpande verksamheten regleras i den nya skattebrottsdatalagen. Lagen om Skatteverkets medverkan i brottsutredningar föreslås även byta namn till lagen om Skatteverkets brottsbekämpande verksamhet. Regeringen anser inte att det är nödvändigt med någon hänvisning till lagen om Skatteverkets brottsbekämpande verksamhet i den nya lagen. Det framgår på annat sätt att lagen ska tillämpas i sådan verksamhet som regleras där.
Den föreslagna lagen kommer således att tillämpas vid behandling av personuppgifter i den verksamhet som bedrivs inom skattebrottsenheten samt i den verksamhet inom verket som gäller styrning och ledning av denna enhet. Verksamhet som bedrivs inom andra delar av Skatteverket omfattas inte av lagen, även om det skulle förekomma fall då den uppvisar vissa likheter med den brottsbekämpande verksamheten. Utanför lagens tillämpningsområde faller vidare sådan behandling av personuppgifter som förekommer i samband med interna och administrativa åtgärder i Skatteverkets verksamhet, t.ex. vid hantering av
personal- och lokalfrågor. För sådan behandling gäller i stället personuppgiftslagen.
Behandling som omfattas av lagen – Automatiserad och viss manuell behandling av personuppgifter
Den nya lagen bör, liksom polisdatalagen och kustbevakningsdatalagen, gälla för sådan behandling av personuppgifter som omfattas av personuppgiftslagen. Härmed avses behandling av personuppgifter som är helt eller delvis automatiserad samt annan behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Med behandling avses enligt 3 § personuppgiftslagen varje åtgärd eller serie av åtgärder som vidtas med en personuppgift, t.ex. insamling, registrering, bearbetning, ändring, utlämnande m.m.
– Uppgifter om juridiska personer
Med personuppgifter avses enligt 3 § personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det innebär att behandling av uppgifter om juridiska personer och avlidna inte omfattas av personuppgiftslagen.
Skatteverket behandlar i sin brottsbekämpande verksamhet stora mängder uppgifter som rör juridiska personer, t.ex. uppgifter om företag, myndigheter och andra organisationer. Även om juridiska personer inte har samma behov av integritetsskydd som fysiska personer, bör enligt regeringens mening vissa grundläggande bestämmelser tillämpas även på uppgifter om juridiska personer. En av orsakerna till detta är att det kan vara svårt att i den elektroniska hanteringen skilja uppgifter om juridiska personer från uppgifter om fysiska personer som är ägare av eller ställföreträdare för dessa. Gränsdragningsproblem kan uppstå. Det blir enklare att låta vissa grundläggande bestämmelser gälla generellt för uppgifter om levande fysiska personer och juridiska personer. Enligt polisdatalagen och kustbevakningsdatalagen gäller vissa bestämmelser om tillgången till personuppgifter, ändamålen för behandlingen, gemensamt tillgängliga personuppgifter och bevarande och gallring även vid behandling av uppgifter om juridiska personer. Även i den nu föreslagna lagen bör motsvarande bestämmelser tillämpas på uppgifter om juridiska personer.
I likhet med vad som gäller enligt kustbevakningsdatalagen anser regeringen vidare att bestämmelserna om personuppgiftsansvar ska omfatta även uppgifter om juridiska personer. Ekobrottsmyndigheten anser att innebörden av personuppgiftsansvaret vid behandling av uppgifter om juridiska personer måste förklaras i det fortsatta lagstiftningsarbetet. Ansvaret innebär motsvarande skyldigheter som personuppgiftsansvaret i fråga om de krav som lagen ställer på behandling av uppgifter om juridiska personer. Dit hör att uppgifterna endast får behandlas för tillåtna ändamål och ska gallras i rätt tid. Däremot bör bestämmelserna om enskildas rättigheter inte vara tillämpliga, vilket innebär att Skatteverkets ansvar gentemot juridiska personer inte omfattar exempelvis skyldighet att lämna information enligt personupp-
giftslagen. Reglerna om skadestånd och rättelse bör inte heller tillämpas på juridiska personer, eftersom dessa regler syftar till att ge ersättning för respektive minimera den personliga kränkning som en felaktig personuppgiftsbehandling kan innebära.
Bestämmelserna om sökbegränsningar i polisdatalagen och kustbevakningsdatalagen gäller inte vid sökning på uppgifter om juridiska personer. Vid utredning och kartläggning av brott är sökning på firma eller organisationsnummer för att hitta samband och kopplingar mellan olika personer en viktig del i det brottsbekämpande arbetet. Det finns därför ett tydligt behov av att kunna söka på uppgifter om juridiska personer. Behovet av integritetsskydd är inte lika stort för juridiska personer som för fysiska personer. Till detta kommer att uppgifter om juridiska personer i stor utsträckning redan förekommer i offentliga register, bl.a. hos Bolagsverket. I dag är det även möjligt att få tillgång till sådana uppgifter via internet. Bestämmelserna i den nya lagen om sökning (se avsnitt 9.14.4) bör därför inte tillämpas i fråga om juridiska personer.
Undantag från lagens tillämpningsområde
I lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen med tillhörande föreskrifter finns bestämmelser som begränsar möjligheterna att behandla uppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av en EU-medlemsstat, Island, Norge, Schweiz, Liechtenstein, ett EU-organ eller ett EU-informationssystem. Lagen gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder. Den är således tillämplig när Skatteverket behandlar de aktuella uppgifterna i sin brottsbekämpande verksamhet. I lagen regleras bl.a. för vilka ändamål uppgifterna får behandlas och vad som gäller för den fortsatta behandlingen. I lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar finns en bestämmelse om att avvikande bestämmelser i de aktuella författningarna gäller i stället för bestämmelserna i lagen. Regeringen anser att en motsvarande bestämmelse bör införas även i den föreslagna lagen.
En bestämmelse om lagens innehåll
I kapitlet om lagens tillämpningsområde anser regeringen att det ska finnas en bestämmelse som upplyser om lagens innehåll.
Lagförslag
Förslagen genomförs genom 1 kap. 2–5 §§ i den nya lagen.
Hänvisningar till S9-5
9.6. Den nya lagen och personuppgiftslagen
9.6.1. Den nya lagen ska gälla i stället för personuppgiftslagen
Regeringens förslag: Den nya lagen ska gälla i stället för personuppgiftslagen. I lagen ska det hänvisas till de bestämmelser i personuppgiftslagen som ska gälla vid behandling av personuppgifter i
Skatteverkets brottsbekämpande verksamhet.
Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.
Skälen för regeringens förslag:Personuppgiftslagen är, som nämnts i avsnitt 5.3, generellt tillämplig och bygger på EU:s dataskyddsdirektiv,
Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31, Celex 31995L0046), kallat dataskyddsdirektivet. Eftersom direktivet bl.a. inte omfattar behandling av personuppgifter som utförs på området för statens brottsbekämpande verksamhet, finns det ur EU-rättslig synvinkel i och för sig inte något som hindrar att den nya lagen utformas på annat sätt än vad som anges i dataskyddsdirektivet. I sammanhanget kan dock påpekas att direktivet i huvudsak bygger på och vidareutvecklar de bestämmelser som finns i dataskyddskonventionen. Konventionen gäller även i statens brottsbekämpande verksamhet. Sverige är folkrättsligt bundet av konventionen med dess tilläggsprotokoll.
Vidare bör beaktas att dataskyddsrambeslutet, Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, som genomförts i svensk rätt, se avsnitt 5.2, i stora delar liknar dataskyddsdirektivet. Rambeslutet har ersatts av ett direktiv och dataskyddsdirektivet av en förordning, som båda ska börja tillämpas i maj 2018, se avsnitt 5.2.
Systematiska skäl talar för att den nya regleringen bör ansluta till personuppgiftslagen. Motsvarande lösning har valts i polisdatalagen och kustbevakningsdatalagen (prop. 2009/10:85 s. 79 f. och prop. 2011/12:45 s. 75 f.). Regeringen anser därför att personuppgiftslagens bestämmelser i väsentliga delar ska gälla även i Skatteverkets brottsbekämpande verksamhet. I denna verksamhet finns emellertid särskilda behov av att kunna behandla personuppgifter automatiserat och verksamhetens särdrag gör dessutom att personuppgiftslagens bestämmelser inte alltid är ändamålsenliga. I vissa delar bör det därför införas bestämmelser som avviker från den lagen.
I polisdatalagen, kustbevakningsdatalagen, åklagardatalagen och domstolsdatalagen (2015:728) har valts en lösning som innebär att dessa lagar gäller i stället för personuppgiftslagen. Dessa författningar är konstruerade på så sätt att lagen innehåller en hänvisning till de lagrum i personuppgiftslagen som är tillämpliga. Utvecklingen går mot ökat samarbete mellan de brottsbekämpande myndigheterna. Det ligger därför ett värde i att så långt möjligt använda samma lagstiftningsteknik för all behandling av personuppgifter inom den brottsbekämpande verksamheten, oavsett myndighet. Den nya skattebrottsdatalagen bör, mot bakgrund av det sagda, gälla i stället för personuppgiftslagen och innehålla tydliga hänvisningar till tillämpliga lagrum i den lagen.
Förslaget genomförs genom 2 kap. 1 § i den nya lagen.
Hänvisningar till S9-6-1
- Prop. 2016/17:89: Avsnitt Författningskommentar till 1 § skattebrottsdatalag
9.6.2. De bestämmelser i personuppgiftslagen som ska gälla
Regeringens förslag: Följande bestämmelser i personuppgiftslagen ska gälla när personuppgifter behandlas enligt den nya lagen eller enligt föreskrifter som har meddelats i anslutning till lagen:
1. 3 § om definitioner,
2. 8 § om förhållandet till offentlighetsprincipen,
3. 9 § om grundläggande krav på behandling av personuppgifter, dock med undantag för första stycket i och tredje stycket,
4. 22 § om behandling av personnummer och samordningsnummer,
5. 23 och 25–27 §§ om information till den registrerade,
6. 28 § om rättelse,
7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,
8. 33–35 §§ om överföring av personuppgifter till tredjeland,
9. 38–41 §§ om personuppgiftsombud m.m., 10. 42 § om upplysningar till allmänheten om vissa behandlingar, 11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,
12. 48 § om skadestånd, och 13. 51 § första stycket, 52 § första stycket och 53 § om överklagande.
Om personuppgifter ska gallras enligt den nya lagen eller enligt föreskrifter som har meddelats i anslutning till lagen, ska inte 8 § andra stycket personuppgiftslagen gälla.
Information enligt 23 § personuppgiftslagen ska inte behöva lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud.
Tillsynsmyndigheten ska inte kunna förena ett förbud att utföra viss behandling med vite.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.
Skälen för regeringens förslag
Allmänna utgångspunkter
Nedan redovisas de bestämmelser i personuppgiftslagen som föreslås vara tillämpliga vid behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Det är fråga om samma bestämmelser som gäller vid behandling enligt polisdatalagen och kustbevakningsdatalagen. Regeringen ser inga skäl för att i den nya lagen avvika från vad som gäller enligt polisdatalagen och kustbevakningsdatalagen.
Definitioner, 3 §
I 3 § personuppgiftslagen definieras vissa begrepp som är centrala vid behandling av personuppgifter. Där definieras t.ex. vad personuppgifter är (”all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet”) och vad som utgör behandling av personuppgifter (”varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring”). För att undvika missförstånd är det viktigt att terminologin i den nya lagen överensstämmer med personuppgiftslagens och att de begrepp som används i de båda författningarna har samma innebörd. En hänvisning till 3 § personuppgiftslagen bör därför tas in i den nya lagen.
Förhållandet till offentlighetsprincipen, 8 §
I 8 § första stycket personuppgiftslagen upplyses om att personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen. I paragrafens andra stycke anges att bestämmelserna inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
I klargörande syfte och i överensstämmelse med bl.a. polisdatalagen bör en hänvisning till bestämmelserna i 8 § personuppgiftslagen tas in i den nya lagen. För att uppnå överensstämmelse med regleringen i polisdatalagen och kustbevakningsdatalagen bör det anges att bestämmelserna i 8 § andra stycket inte gäller när uppgifter ska gallras enligt särskilda bestämmelser i den nya lagen.
Grundläggande krav på behandling av personuppgifter, 9 §
Några av personuppgiftslagens viktigaste bestämmelser om behandling av personuppgifter finns i 9 §. Där uppställs vissa grundläggande krav på den personuppgiftsansvarige. I första stycket a och b anges att den personuppgiftsansvarige ska se till att personuppgifter endast behandlas om det är lagligt och att personuppgifter alltid ska behandlas på ett korrekt sätt och i enlighet med god sed. Enligt första stycket e–h ska den personuppgiftsansvarige se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än vad som är nödvändigt, att de
personuppgifter som behandlas är riktiga och, om nödvändigt, aktuella samt att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.
Det är naturligt att dessa grundläggande krav gäller även vid behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Så är också fallet när uppgifter behandlas i verksamheten i dag. Den nya lagen bör därför, i likhet med polisdatalagen och kustbevakningsdatalagen, hänvisa till 9 § första stycket a, b och e–h personuppgiftslagen.
I 9 § första stycket c personuppgiftslagen anges att personuppgifter får samlas in bara för särskilda, uttryckligt angivna ändamål. Regeringen anser att en hänvisning bör göras till den punkten, för att tydliggöra att personuppgifter får samlas in endast för preciserade ändamål. I första stycket d anges att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). Den personuppgiftsansvarige bör, på samma sätt som i dag, ha till uppgift att se till att uppgifter inte behandlas för ändamål som är oförenliga med insamlingsändamålet. En hänvisning bör därför göras även till den punkten. Som en följd av det bör också en hänvisning göras till paragrafens andra och fjärde stycken.
I 9 § första stycket i och tredje stycket personuppgiftslagen finns det bestämmelser om hur länge personuppgifter får bevaras. Frågan om gallring och bevarande av personuppgifter bör regleras särskilt i den nya lagen, och någon hänvisning till personuppgiftslagens bestämmelser om hur länge personuppgifter får bevaras behövs därför inte. Frågor om bevarande och gallring berörs i avsnitt 9.16.
Behandling av personnummer och samordningsnummer, 22 §
Personnummer ska inte användas slentrianmässigt. Av 22 § personuppgiftslagen framgår att uppgifter om personnummer och samordningsnummer får behandlas bara när det är motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Det innebär att den personuppgiftsansvarige ska göra en intresseavvägning mellan behov som finns för att hantera ärendet och den enskildes integritet. Den nya lagen bör hänvisa till paragrafen.
Information till den registrerade, 23 och 25–27 §§
Personuppgiftslagens bestämmelser om sådan information som ska lämnas självmant till den registrerade och om information som ska lämnas efter ansökan av den registrerade (23 och 25–27 §§) tillämpas enligt gällande reglering vid behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet.
Av 23 § personuppgiftslagen framgår att den personuppgiftsansvarige självmant ska informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som ska lämnas är enligt 25 § uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen och övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information ska också, enligt 26 § personuppgiftslagen, lämnas på begäran av
den registrerade. Om uppgifter behandlas ska information lämnas till den registrerade om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Under förutsättning att uppgifterna inte har lämnats ut till tredje man behöver dock information inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när frågan väcktes eller som utgör minnesanteckning eller liknande. I 26 § finns även bestämmelser om inom vilken tid en förfrågan ska besvaras. Enligt 27 § personuppgiftslagen gäller inte rätten till information om det i lag eller annan författning eller i beslut som har meddelats med stöd av författning särskilt har föreskrivits att uppgifter inte får lämnas ut till den registrerade. Information behöver alltså inte lämnas om sådana förhållanden för vilka det gäller sekretess.
Bestämmelserna utgör enligt regeringens mening en lämplig avvägning mellan den enskildes intresse av att få information om behandling av uppgifter om honom eller henne och Skatteverkets intresse av effektiva medel för sin verksamhet. En hänvisning till bestämmelserna bör därför införas i den nya lagen.
I 24 § första stycket personuppgiftslagen anges att den personuppgiftsansvarige självmant ska lämna information till den registrerade om uppgifterna har samlats in från någon annan källa än den registrerade. Av paragrafens andra stycke följer att sådan information inte behöver lämnas om det finns bestämmelser om registrerande eller utlämnande av personuppgifterna i en lag eller annan författning. När behandling av personuppgifter hos en myndighet regleras i särskild lagstiftning på det sätt som föreslås i lagen, med särskilda bestämmelser om vad som får registreras och hur uppgifter i övrigt får hanteras, krävs det enligt personuppgiftslagen inte att sådan information ges. Det finns inte några skäl för att Skatteverket trots detta ska lämna sådan information. Regeringen anser därför att 24 § personuppgiftslagen inte bör gälla vid personuppgiftsbehandling enligt den nya lagen.
Vid insamling av uppgifter genom ljud och bild är ofta något av undantagen i 25 eller 27 § tillämpliga. För det fall det förekommer insamling av uppgifter genom ljud och bild som inte omfattas av dessa undantag kan i vissa fall framstå som både orimligt och praktiskt ogörligt att informera t.ex. alla personer som fångas på bild (se t.ex. prop. 2009/10:85 s. 86). I den nya lagen bör det därför, i likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen, föras in ett undantag från informationsskyldigheten enligt 23 § vid behandling som består av insamling av personuppgifter genom bilder eller ljud.
Rättelse, 28 §
I 28 § personuppgiftslagen anges att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med personuppgiftslagens bestämmelser. När en personuppgiftsansvarig rättar en personuppgift, ska underrättelse lämnas till tredje man som har fått del av uppgiften, om den registrerade begär det eller om mer betydande skada eller olägenhet därigenom kan undvikas. Sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller om det skulle inne-
bära en oproportionerligt stor arbetsinsats. Dessa bestämmelser gäller i dag vid personuppgiftsbehandling i Skatteverkets brottsbekämpande verksamhet.
Det är viktigt att personuppgifter som behandlas felaktigt hos en myndighet rättas. Bedömningen av om en uppgift har behandlats på ett felaktigt sätt måste göras mot bakgrund av de bestämmelser som gäller för behandlingen, oavsett om det är grundläggande regler i personuppgiftslagen eller specialbestämmelser som gäller för Skatteverkets brottsbekämpande verksamhet. Mot bakgrund av det angivna bör bestämmelserna i 28 § personuppgiftslagen, liksom hittills, gälla vid behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. I den nya lagen bör det därför tas in en hänvisning till 28 § personuppgiftslagen.
Säkerheten vid behandlingen, 30–32 §§
I 30–32 §§personuppgiftslagen finns regler om hur den personuppgiftsansvarige ska organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Det rör sig om instruktioner till personalen samt tekniska och organisatoriska åtgärder. Dessa bestämmelser ska vara tillämpliga i Skatteverkets brottsbekämpande verksamhet, vilket innebär att det måste finnas bestämda rutiner för hanteringen av personuppgifter. Det kan t.ex. behövas såväl tekniska lösningar för datorsystemen som olika behörighetsnivåer för skilda personalkategorier, för att garantera att regleringen i den föreslagna lagen kan efterlevas.
Med hänsyn till att tillsynsmyndigheten inte bör ha möjlighet att förena förbud med vite (se nedan under rubriken Tillsynsmyndighetens befogenheter) bör någon hänvisning till 32 § andra stycket personuppgiftslagen inte göras i den nya lagen.
Överföring av personuppgifter till tredjeland, 33–35 §§
Personuppgifter som är under behandling får enligt 33 § personuppgiftslagen inte föras över till tredjeland, dvs. en stat som inte ingår i EU eller är ansluten till Europeiska ekonomiska samarbetsområdet (definitionen anges i 3 § personuppgiftslagen), om inte det mottagande landet har en adekvat nivå för skyddet av personuppgifter. Från förbudet finns vissa undantag i 34 §, bl.a. för överföring till länder som har anslutit sig till dataskyddskonventionen. Enligt 35 § har regeringen också möjlighet att föreskriva ytterligare undantag från förbudet, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse.
Förbudet mot överföring till tredjeland som inte har tillfredsställande skyddsnivåer, och de undantag från förbudet som föreskrivs, bör vara tillämpliga även vid behandling enligt den här föreslagna lagen. Regeringen bör även ha möjlighet att föreskriva om undantag från förbudet. Regeringen anser således att en hänvisning bör göras till 33–35 §§personuppgiftslagen.
Upplysningar till allmänheten, personuppgiftsombudets uppgifter m.m., 38–42 §§
Automatiserade behandlingar av personuppgifter ska enligt 36 § första stycket personuppgiftslagen anmälas till tillsynsmyndigheten, Data-
inspektionen. Anmälan behöver emellertid inte göras om behandlingen regleras genom särskilda föreskrifter i lag eller förordning, 3 § personuppgiftsförordningen (1998:1191). Skyldighet att i detta sammanhang anmäla de behandlingar som utförs med stöd av den nya lagen finns således inte. Hänvisning till 36 § första stycket personuppgiftslagen behövs därför inte.
Den personuppgiftsansvarige, Skatteverket, kan utse ett personuppgiftsombud, 36 § andra stycket personuppgiftslagen. Ombudets skyldigheter framgår av 38–40 §§. I personuppgiftsombudets skyldigheter ingår bl.a. att se till att behandlingen av personuppgifter sker på ett lagligt sätt och att hjälpa registrerade att få rättelse. I den nya lagen föreslås en skyldighet för Skatteverket att utse personuppgiftsombud och anmäla detta till tillsynsmyndigheten. En hänvisning till 36 § andra stycket behövs därför inte. Den nya lagen bör dock hänvisa till ombudets skyldigheter i 38–40 §§.
Enligt 41 § personuppgiftslagen har regeringen möjlighet att föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll. Denna möjlighet bör regeringen även ha i fråga om sådana behandlingar som utförs i Skatteverkets brottsbekämpande verksamhet. Den nya lagen bör därför innehålla en hänvisning till denna paragraf.
Enligt 42 § personuppgiftslagen ska den personuppgiftsansvarige till den som begär det lämna upplysningar om de behandlingar av personuppgifter som inte har anmälts till Datainspektionen. Denna bestämmelse bör vara tillämplig. Bestämmelsen innebär ingen skyldighet att lämna ut sekretesskyddad information (se t.ex. prop. 2009/10:85 s. 89).
Tillsynsmyndighetens befogenheter, 43–45 och 47 §§
För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen vissa befogenheter gentemot personuppgiftsansvariga. Enligt 43 § personuppgiftslagen har Datainspektionen möjlighet att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler. I likhet med vad som gäller i dag för Skatteverkets brottsbekämpande verksamhet bör denna bestämmelse vara tillämplig.
I 44 § personuppgiftslagen finns en bestämmelse om rätt för Datainspektionen att förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem, för det fall att myndigheten vid en begäran enligt 43 § inte kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig. Om Datainspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, ska myndigheten enligt 45 § första stycket personuppgiftslagen genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem. I flera andra författningar om behandling av personuppgifter i brottsbekämpande verksamhet har Datainspektionen getts möjlighet att förbjuda behandling av personuppgifter. Bestämmelserna om detta i 44 och 45 §§ gäller redan
i Skatteverkets brottsbekämpande verksamhet och bör gälla även fortsättningsvis. Någon möjlighet för Datainspektionen att förena ett beslut om att förbjuda behandling eller ett beslut om säkerhetsåtgärder enligt 32 § med vite har dock, i likhet med vad som i allmänhet gäller mellan statliga myndigheter, inte föreskrivits i t.ex. polisdatalagen eller kustbevakningsdatalagen (se prop. 2009/10:85 s. 90 och prop. 2011/12:45 s. 85). En sådan möjlighet bör inte finnas heller vid behandling av personuppgifter enligt skattebrottsdatalagen. Det bör anges särskilt i den nya lagen att ett förbud enligt 44 eller 45 § inte får förenas med vite.
Enligt 47 § personuppgiftslagen har Datainspektionen rätt att hos allmän förvaltningsdomstol ansöka om att sådana uppgifter som har behandlats på ett olagligt sätt ska utplånas. Bestämmelsen bör vara tillämplig vid behandling enligt den nya lagen.
Skadestånd, 48 §, m.m.
Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Rätten till skadestånd vid skada och kränkning bör gälla när personuppgifter har behandlats i strid med personuppgiftslagen eller de bestämmelser som finns i den föreslagna lagen. Detta framgår genom att det tas in en hänvisning till 48 § personuppgiftslagen.
Enligt 49 § personuppgiftslagen gäller straffansvar vid överträdelser av vissa bestämmelser i personuppgiftslagen. Behandlingen av personuppgifter enligt den nya lagen kommer att utföras av personer som är anställda vid en statlig myndighet och som redan omfattas av bestämmelserna om tjänstefel m.m. i brottsbalken. Något behov av en hänvisning till 49 § personuppgiftslagen ansågs inte finnas vid tillkomsten av vare sig polisdatalagen (prop. 2009/10:85 s. 91) eller kustbevakningsdatalagen (prop. 2011/12:45 s. 87). Det finns inte skäl att nu göra någon annan bedömning än den som gjorts i dessa lagstiftningsärenden. Någon hänvisning till bestämmelsen om straffansvar bör därför inte göras.
Överklagande, 51–53 §§
I 51 § första stycket personuppgiftslagen anges att Datainspektionens beslut enligt lagen om annat än föreskrifter får överklagas till allmän förvaltningsdomstol. Förslaget om att Datainspektionen ska kunna meddela förbud enligt 44 § och 45 § första stycket personuppgiftslagen innebär att en hänvisning också bör göras till 51 § första stycket.
Enligt 51 § andra stycket får Datainspektionen bestämma att dess beslut ska gälla även om det överklagas. Vid polisdatalagens tillkomst gjordes bedömningen att Datainspektionen inte skulle medges någon möjlighet att meddela interimistiska beslut i de aktuella fallen. Verksamhetsskäl talade emot en sådan möjlighet (prop. 2009/10:85 s. 91). Samma skäl gör sig gällande för Skatteverkets brottsbekämpande verksamhet. Någon hänvisning till 51 § andra stycket personuppgiftslagen bör därför inte göras.
En myndighets beslut om information, rättelse och underrättelse till tredje man om rättelseåtgärder, information om automatiserade beslut och allmänna upplysningar om pågående behandlingar får, enligt 52 § första stycket personuppgiftslagen, överklagas till allmän förvaltningsdomstol. Andra beslut enligt personuppgiftslagen får enligt 53 § inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. I förarbetena till dessa bestämmelser, se propositionen Översyn av personuppgiftslagen (prop. 2005/06:173 s. 53), uttalas att det efter införandet av en bestämmelse om överklagande i personuppgiftslagen inte är nödvändigt att ta in några överklagandebestämmelser i särskilda registerförfattningar, som hänvisar till personuppgiftslagen. I konsekvens med detta bör den nya lagen inte innehålla någon särskild bestämmelse om överklagande utan i stället enbart hänvisa till personuppgiftslagens bestämmelser om överklagande.
Lagförslag
Förslaget genomförs genom 2 kap. 2 § i den nya lagen.
Hänvisningar till S9-6-2
- Prop. 2016/17:89: Avsnitt Författningskommentar till 2 § skattebrottsdatalag
9.7. Skatteverket ska vara personuppgiftsansvarigt
Regeringens förslag: Skatteverket ska vara personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför.
Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.
Skälen för regeringens förslag: Enligt 3 § personuppgiftslagen är det den personuppgiftsansvarige som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Det är vanligt att i en registerförfattning tydligt peka ut vem som är ansvarig för den behandling av uppgifter som regleras i författningen. I den nya lagen bör det anges att det är Skatteverket som är personuppgiftsansvarigt för den behandling som myndigheten utför enligt lagen. Som framgår av avsnitt 9.5 föreslår regeringen att personuppgiftsansvaret ska omfatta även behandling av uppgifter om juridiska personer.
Förslaget genomförs genom 2 kap. 3 § i den nya lagen.
Hänvisningar till S9-7
- Prop. 2016/17:89: Avsnitt Författningskommentar till 3 § skattebrottsdatalag
9.8. Personuppgiftsombud ska finnas
Regeringens förslag: Skatteverket ska utse ett eller flera personuppgiftsombud. Myndigheten ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen när ett personuppgiftsombud utses eller entledigas.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.
Skälen för regeringens förslag: Enligt 36 § andra stycket personuppgiftslagen kan myndigheterna välja om de vill utse ett personuppgiftsombud eller inte. Behandlingen av personuppgifter i Skatteverkets brottsbekämpande verksamhet rör i många fall uppgifter som är integritetskänsliga, vilket gör det särskilt angeläget med den kontroll som kan utövas av ett personuppgiftsombud. Det är också viktigt att enskilda registrerade enkelt kan vända sig till rätt person hos myndigheten, bl.a. i frågor om information om behandlingen och om rättelse av felaktiga uppgifter. Mot den bakgrunden bör det ställas krav på att Skatteverket ska utse ett eller flera personuppgiftsombud och anmäla dessa till
Datainspektionen. Det bör framgå direkt av lagen.
Förslaget genomförs genom 2 kap. 4 § i den nya lagen.
Hänvisningar till S9-8
- Prop. 2016/17:89: Avsnitt Författningskommentar till 4 § skattebrottsdatalag
9.9. Den interna tillgången till personuppgifter ska begränsas
Regeringens förslag: Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter.
Det ska föras in en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.
Skälen för regeringens förslag: Stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg medför allmänt sett en risk för intrång i den personliga integriteten. Risken för sådant intrång är särskilt stor om det – som ofta är fallet i brottsbekämpande verksamhet – rör sig om integritetskänsliga uppgifter. Vem som har rätt att använda uppgifterna och hur de sprids är omständigheter som påverkar risken för intrång i den personliga integriteten. Det är därför viktigt att det säkerställs att integritetskänsliga uppgifter görs tillgängliga bara för dem som behöver uppgifterna för sitt arbete. Av den anledningen bör det i lagen införas en bestämmelse om att tillgången till personuppgifter måste begränsas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter. Bestämmelsen omfattar både direkt tillgång till automatiserade uppgiftssamlingar och tillgång i allmänhet. En tjänsteman som inte arbetar med just den utredning i vilken en viss personuppgift förekommer kan i vissa fall ha behov av tillgång till personuppgiften. Den person som uppgiften rör kan t.ex. förekomma även i en annan utredning. Om det finns ett klart behov av uppgifter kan det alltså vara motiverat att ge tillgång till dem i ett sådant fall. Det ankommer på Skatteverket att organisera sin verksamhet så att obefogad spridning av personuppgifter motverkas. Det behöver fortlöpande göras bedömningar av behovet av att ha tillgång till personuppgifter och behörigheten att ha åtkomst till dem. Det kan även finnas behov av att ange detaljerade riktlinjer för hur tillgången till personuppgifter bör
avgränsas för de enskilda tjänstemännen. Det bör därför införas en bestämmelse i den nya lagen, som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om tillgången till personuppgifter. Det görs därvid en uttrycklig hänvisning till 8 kap. 7 § regeringsformen.
Förslaget genomförs genom 2 kap. 10 § i den nya lagen.
Hänvisningar till S9-9
- Prop. 2016/17:89: Avsnitt 9.14.2, 9.15.2, Författningskommentar till 10 § skattebrottsdatalag
9.10. Tillåtna ändamål för behandlingen
9.10.1. Allmänt om ändamålen
Regeringens bedömning: I lagen bör det anges ändamål för vilka behandling av personuppgifter får förekomma i Skatteverkets brottsbekämpande verksamhet. Ändamålen bör delas in i primära och sekundära.
De primära ändamålen bör avse behandling av personuppgifter för att tillgodose de behov som finns inom Skatteverkets brottsbekämpande verksamhet. Dessa ändamål bör vara uttömmande angivna i lagen.
De sekundära ändamålen bör avse behandling för olika typer av utlämnande av personuppgifter från Skatteverkets brottsbekämpande verksamhet. I fråga om behandling av personuppgifter för andra sekundära ändamål än de som anges i lagen bör den s.k. finalitetsprincipen tillämpas.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Datainspektionen ifrågasätter, liksom vid remissbehandlingen av förslagen till polisdatalag och kustbevakningsdatalag, om bestämmelserna om ändamål uppfyller kraven på att personuppgifter endast får samlas in för specifika ändamål och att personuppgifterna därefter inte får användas på ett sätt som är oförenligt med ändamålet.
Detta gör sig enligt Datainspektionen särskilt starkt gällande mot bakgrund av att uppgifter kan komma att flöda mellan Skatteverkets brottsbekämpande verksamhet och den fiskala verksamheten. Datainspektionen anser även att den systematik som valts för regleringen av ändamålsbestämmelserna i polisdatalagen och kustbevakningsdatalagen är att föredra framför den lösning som valts i promemorian. Även
Tullverket anser att det så långt som möjligt bör eftersträvas att lagens utformning överensstämmer med polisdatalagen, för att inte skapa onödig osäkerhet vid samverkan och att den struktur som har valts i promemorian förefaller mer svårtillämpad och otydlig. Sveriges advokatsamfund anser att promemorian inte i tillräcklig utsträckning behandlar vad som faktiskt utgör ett behov. Advokatsamfundet anser att behovet av flexibilitet inte får öppna upp för en reglering som bygger på alltför skönsmässiga bedömningar av Skatteverket. Advokatsamfundet anför även att vissa andra rekvisit inte behandlas och saknar klargöranden. Advokatsamfundet anser att förslagen måste kompletteras med en tydligare analys och fler exemplifieringar.
Skälen för regeringens bedömning
Primära och sekundära ändamål
Personuppgiftslagens regler om för vilka ändamål personuppgifter får behandlas har en central roll i registerförfattningar. Syftet med ändamålsbestämmelser är i princip att ange ramen inom vilken personuppgifter får behandlas. Det följer av allmänna principer för dataskydd att uppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt den s.k. finalitetsprincipen får insamlade uppgifter sedan inte behandlas för något ändamål som är oförenligt med det ursprungliga ändamålet. Dessa principer kommer till uttryck i 9 § första stycket c och d personuppgiftslagen. I fråga om efterföljande behandling sägs i 9 § andra stycket personuppgiftslagen att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Det är vanligt att man i registerförfattningar som reglerar myndigheters personuppgiftsbehandling delar upp ändamålen med behandlingen av personuppgifter i primära och sekundära. De primära ändamålen avser att tillgodose de behov som finns att behandla personuppgifter i den berörda myndighetens egen verksamhet. De sekundära ändamålen reglerar i vilken utsträckning personuppgifter, som myndigheten samlat in för ett primärt ändamål, får behandlas för att lämnas ut till annan verksamhet inom den egna myndigheten eller till enskilda eller till andra myndigheter i syfte att tillgodose deras behov.
I promemorian föreslås att det i lagens inledande bestämmelse införs en definition av vad som avses med brottsbekämpande verksamhet (se avsnitt 9.5). Regleringen av de primära ändamålen sker i promemorians förslag genom att det anges att personuppgifter får behandlas om det behövs i Skatteverkets brottsbekämpande verksamhet. I polisdatalagen och kustbevakningsdatalagen finns ingen definition av brottsbekämpande verksamhet. I stället räknas det upp vissa primära ändamål, som avser sådan verksamhet som är brottsbekämpande. Datainspektionen och
Tullverket är tveksamma till den i promemorian föreslagna lösningen.
Som framgår ovan anser regeringen att den nya skattebrottsdatalagen bör vara uppbyggd enligt samma systematik som polisdatalagen och kustbevakningsdatalagen. De primära ändamålen bör därför räknas upp på det sätt som görs i de lagarna (se också avsnitt 9.5).
En utgångspunkt för den nya lagen bör vara att de tillåtna ändamålen för behandling av personuppgifter anges så tydligt och fullständigt som är möjligt att göra på lagnivå. De primära ändamålen, dvs. de ändamål för vilka Skatteverket får samla in personuppgifter i den brottsbekämpande verksamheten, bör därför i likhet med de primära ändamålen i polisdatalagen och kustbevakningsdatalagen anges utömmande. När det gäller de sekundära ändamålen finns det skäl för en annan typ av reglering. Behovet av samverkan med andra myndigheter och med andra verksamheter inom myndigheten kan variera över tid och förändras. Det är inte möjligt att åstadkomma en reglering som på ett preciserat sätt anger alla de situationer där ett utlämnande av uppgifter kan komma att aktualiseras. Enligt regeringens mening bör även de sekundära ändamålen uttryckas så preciserat och uttömmande som möjligt. Dessa ändamål bör dock inte vara uttömmande. Vidare är det i sammanhanget
viktigt att komma ihåg att ett utlämnande av personuppgifter även kan ske inom ramen för något av de primära ändamålen. Utlämnande av uppgifter till andra kan i många fall vara ett led i den egna brottsbekämpande verksamheten och således omfattas av de primära ändamålen.
Hänvisningen till 9 § första stycket c personuppgiftslagen innebär att personuppgifter endast får samlas in för särskilda uttryckligt angivna ändamål. Detta innebär ett krav på ett preciserat ändamål med insamling av personuppgifter. Av hänvisningen till 9 § första stycket d följer att personuppgifterna sedan inte får behandlas för ändamål som är oförenliga med det ursprungliga ändamålet, den s.k. finalitetsprincipen. Har personuppgifter samlats in av Skatteverket för att utreda ett visst brott kan det enligt regeringens mening generellt sett inte anses vara oförenligt med det ursprungliga ändamålet att behandla samma uppgifter för att utreda annat brott eller bekämpa brottslig verksamhet. En grundtanke med förslaget är således att det inom Skatteverket bör vara tillåtet att använda sig av uppgifter som samlats in för ett visst brottsbekämpande ändamål för ett annat sådant ändamål. Under sistnämnda förutsättning bör vidarebehandling också få ske om det behövs för brottsbekämpande ändamål hos andra myndigheter eller för vissa andra sekundära ändamål som kan förutses och som anses förenliga med finalitetsprincipen. Genom att ange de primära och sekundära ändamålen i lagförslaget görs ställningstagandet att vidarebehandling för dessa ändamål är förenligt med finalitetsprincipen. Behandling för ett sekundärt ändamål som i ett enskilt fall inte kan anses vara oförenligt med insamlingsändamålet bör få ske även i andra fall än de som räknas upp i lagen.
Det bör dock framhållas att lagstiftaren i vissa fall kan ha bedömt att vidarebehandling för ett nytt ändamål inte är tillåten. Reglering om detta har då införts. Vidare kan det – när svenska myndigheter mottar uppgifter från andra stater – finnas villkor som på grund av en internationell överenskommelse är bindande för de svenska myndigheterna och som begränsar möjligheten att använda uppgifterna. Ett utlämnande av personuppgifter måste givetvis också vara förenligt med offentlighets- och sekretesslagen för att det ska kunna ske.
Sveriges advokatsamfund anser att promemorian inte i tillräcklig utsträckning behandlar vad som faktiskt utgör ett behov av att behandla personuppgifter och menar att även vissa andra begrepp behöver klargöras. Det är inte möjligt att ge en uttömmande beskrivning av de behov av att behandla personuppgifter som finns i den brottsbekämpande verksamheten. Regleringen måste därför ge Skatteverket möjlighet att, inom ramen för sitt uppdrag och de ramar för personuppgiftsbehandling som ställs upp i den nya lagen, bedöma vilka behov som föreligger.
Behandling av en personuppgift får endast ske när det i enskilda fallet föreligger ett konkret behov av att behandla uppgiften för ett visst ändamål. I följande avsnitt och i författningskommentaren ges vissa exempel på uppgifter som behöver behandlas i Skatteverkets brottsbekämpande verksamhet samt när det är nödvändigt att tillhandahålla information till andra verksamheter.
Regleringen ska vara förenlig med dataskyddsprinciper Datainspektionen anser att det kan ifrågasättas om bestämmelserna om ändamål i promemorians förslag uppfyller kraven enligt grundläggande dataskyddsprinciper på att personuppgifter endast får samlas in för specifika och legitima ändamål och att de inte får användas på ett sätt som är oförenligt med dessa ändamål. I det följande presenteras förslagen på reglering avseende de primära och sekundära ändamålsbestämmelserna, samt förslaget avseende finalitetsprincipen. Regeringen bedömer att förslagen uppfyller kraven på förenlighet med relevanta dataskyddsprinciper.
Hänvisningar till S9-10-1
- Prop. 2016/17:89: Avsnitt 9.10.2, 9.10.3, 9.10.4, 9.10.5, Författningskommentar till 5 § skattebrottsdatalag
9.10.2. Förebygga, förhindra eller upptäcka brottslig verksamhet
Regeringens förslag: Personuppgifter ska få behandlas i Skatteverkets brottsbekämpande verksamhet om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. I promemorian föreslås en annan lagteknisk lösning.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget, utöver vad som framgår av avsnitt 9.10.1.
Skälen för regeringens förslag: Vid avgränsningen av de primära ändamålen i brottsbekämpande verksamhet brukar i moderna författningar dras en skiljelinje mellan verksamhet med att förebygga, förhindra eller upptäcka brottslig verksamhet och verksamhet som innefattar att utreda eller beivra konkreta brott. Verksamheten med att utreda brott eller beivra brott utförs med anledning av att ett konkret brott misstänks ha begåtts, medan verksamhet som avser att förebygga, förhindra eller upptäcka brottslig verksamhet utförs med anledning av misstankar om pågående brottslig verksamhet som inte kan konkretiseras, eller allmänna misstankar om framtida brott. Den sistnämnda verksamheten avser framför allt s.k. underrättelseverksamhet. I sådan verksamhet samlas uppgifter in om t.ex. förhållanden eller omständigheter som tyder på brottslig verksamhet eller om personer eller företag som eventuellt kan vara inblandade i brott. Informationen kan bearbetas och ligga till grund för analyser när det gäller förväntad eller pågående brottslighet. Syftet med underrättelseverksamhet är i huvudsak att ta fram underlag för vilken inriktning en verksamhet ska ha eller för att initiera konkreta brottsutredningar. För Skatteverkets del lämnas underrättelseinformation till andra brottsbekämpande myndigheter, andra verksamheter inom
Skatteverket eller till andra myndigheter.
Som framgår av avsnitt 8.1 föreslås att den del av Skatteverkets brottsbekämpande verksamhet som inte är hänförlig till en brottsutredning, och som omfattar underrättelseverksamheten, ska beskrivas som verksamhet för att förebygga, förhindra och upptäcka brottslig verksamhet.
I lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar finns bestämmelser om när personuppgifter får behandlas i underrättelseverksamhet (se avsnitt 6). Med underrättelseverksamhet avses enligt 2 § verksamhet som består i att samla, bearbeta
och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken. Behandling av personuppgifter i underrättelseverksamhet är enligt lagen tillåten i två fall, dels inom ramen för en särskild undersökning, dels i ett särskilt underrättelseregister. Särskilda undersökningar kan sägas utgöra projekt inom vilka olika slag av brottslig verksamhet och brottsliga fenomen utreds. Har en särskild undersökning inletts får personuppgifter behandlas, om det finns anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas. Med allvarlig brottslig verksamhet avses verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver. Ett underrättelseregister får föras för beslut om särskilda undersökningar avseende allvarlig brottslig verksamhet, eller för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet. Ett underrättelseregister får, med vissa undantag, innehålla uppgifter som kan hänföras till en enskild person endast om uppgifterna ger anledning att anta att allvarlig brottslig verksamhet har utövats eller kan komma att utövas och den som avses med uppgifterna skäligen kan misstänkas för att ha utövat eller komma att utöva den allvarliga brottsliga verksamheten.
Den tidigare polisdatalagen (1998:622) var uppbyggd på ett sätt som liknar lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. Även i den lagen användes begreppet kriminalunderrättelseverksamhet enligt samma definition som gäller för underrättelseverksamhet i lagen som reglerar Skatteverkets personuppgiftsbehandling. I kriminalunderrättelseverksamhet fick personuppgifter behandlas endast inom ramen för särskilda undersökningar eller i kriminalunderrättelseregister. Samma krav på allvarlig brottslighet gällde även enligt den tidigare polisdatalagen.
Vid införandet av den nya polisdatalagen gjordes bedömningen att den dittills gällande regleringen hade gett upphov till tillämpningssvårigheter. Bland annat täckte definitionen av underrättelseverksamhet in även sådan behandling av personuppgifter som rimligen inte var så känslig att den behövde regleras särskilt. Den omfattade, utöver det arbete som skedde inom ramen för särskilda undersökningar, även polisens dagliga löpande arbete med att hantera information som på olika sätt kan bidra till att förebygga, förhindra eller upptäcka brottslig verksamhet. Eftersom den gällande lagstiftningen utgick ifrån att all behandling av uppgifter för de aktuella ändamålen skulle ske inom ramen för särskilda undersökningar eller kriminalunderrättelseregister, hade lagen kommit att försvåra polisens arbete med att arbeta brottsförebyggande (prop. 2009/10:85 s. 102 f.). Begreppet underrättelseverksamhet kom inte att användas i den nya polisdatalagen. Den lagen innehåller, i likhet med kustbevakningsdatalagen och lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, i stället bestämmelser om behandling av personuppgifter för ändamålen förebygga, förhindra eller upptäcka brottslig verksamhet. Polisdatalagen bygger inte heller på någon skiljelinje mellan uppgifter som behandlas i projektform, motsvarande bestämmelserna om särskilda undersökningar, och annan behandling. Däremot gäller olika regler för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan
behandling. För behandling av uppgifter som har gjorts gemensamt tillgängliga gäller ett flertal begränsande bestämmelser som syftar till att åstadkomma en väl avvägd balans mellan verksamhetsintressen och integritetsskyddsintressen. För övrig behandling som behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet har det bedömts vara tillräckligt från integritetssynpunkt att grundläggande dataskyddsbestämmelser gäller (s. 103).
Den typ av problem som den tidigare polisdatalagen gav upphov till i polisens verksamhet gör sig gällande även med den nuvarande lagstiftningen för Skatteverket. Regleringen, som bygger på olika verksamhetsformer och register, är inte anpassad till ett modernt och effektivt brottsbekämpande arbete. Det bör också finnas stöd för att behandla uppgifter i arbetet med att ta emot och bedöma information i ett tidigt skede. För att samarbetet mellan de brottsbekämpande myndigheterna ska fungera på ett effektivt sätt krävs vidare att myndigheterna får arbeta och behandla uppgifter på ett likartat sätt. Mot den bakgrunden anser regeringen att det även i Skatteverkets brottsbekämpande verksamhet ska vara tillåtet att behandla personuppgifter om det behövs för att Skatteverket ska kunna förebygga, förhindra eller upptäcka brottslig verksamhet. I likhet med vad som gäller för övriga brottsbekämpande myndigheter utgör behandling av personuppgifter ett väsentligt inslag i underrättelseverksamheten inom Skatteverket. Uppgifter samlas in, bearbetas och analyseras för att avslöja om brott har begåtts eller kan komma att begås. Såväl rutinmässig ordbehandling som behandling av kvalificerat slag omfattas av bestämmelsen. Exempel på uppgifter som kan behöva sammanställas är uppgifter om samband mellan olika personer och vissa bolag och uppgifter om vem som äger eller disponerar ett fordon som Skatteverket misstänker används i den brottsliga verksamheten.
Utanför ändamålet förebygga, förhindra eller upptäcka brottslig verksamhet faller behandling av personuppgifter som utförs vid misstanke om en konkret begången gärning, dvs. framför allt sådan behandling som sker när Skatteverket medverkar i förundersökningar.
När det gäller frågan om vilka begränsningar som bör gälla för behandling av personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet anser regeringen att de bedömningar som gjorts vid tillkomsten av polisdatalagen gör sig gällande även vid behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. I avsnitt 9.14 föreslås att särskilda bestämmelser ska gälla för behandling av personuppgifter som har gjorts gemensamt tillgängliga. För övrig behandling som behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet är det däremot tillräckligt från integritetssynpunkt att grundläggande dataskyddsbestämmelser och vissa allmänna bestämmelser i den nya lagen gäller. Det kan påpekas att den allra största delen av den personuppgiftsbehandling som sker i Skatteverkets brottsbekämpande verksamhet kommer att omfattas av reglerna för behandling av gemensamt tillgängliga uppgifter.
Förslaget genomförs genom 2 kap. 5 § 1 i den nya lagen.
9.10.3. Utreda brott
Regeringens förslag: Personuppgifter ska få behandlas i Skatteverkets brottsbekämpande verksamhet om det behövs för att utreda brott.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. I promemorian föreslås en annan lagteknisk lösning.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget, utöver vad som framgår av avsnitt 9.10.1.
Skälen för regeringens förslag: En av Skatteverkets uppgifter inom den brottsbekämpande verksamheten är att utreda brott. Skatteverket får medverka i förundersökningar på uppdrag av åklagare. Medverkan får även avse s.k. förutredningar. Därutöver får Skatteverket i vissa fall, utan att biträde begärs av åklagare, utföra s.k. förenklade brottsutredningar.
Den brottsutredande verksamheten inom Skatteverket sker till den största delen efter uppdrag från åklagare vid Ekobrottsmyndigheten. Utredningarna avser främst skatte- och bokföringsbrott och sker under ledning av åklagare. Samarbete sker ofta med utredare från Ekobrottsmyndigheten. I en brottsutredning vidtas utredningsåtgärder i form av insamling och analys av information om det misstänkta brottet, samt genomförande av förhör med misstänkta och vittnen. Vidare gör skattebrottsenheten t.ex. brottsanmälningar till åklagare, när det uppstår brottsmisstankar i någon del av skattebrottsenhetens verksamhet. I samband med detta arbete är det självklart nödvändigt att behandla personuppgifter. Att utreda brott bör därför anges som ett primärt ändamål för behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet.
Förslaget genomförs genom 2 kap. 5 § 2 i den nya lagen.
Hänvisningar till S9-10-3
9.10.4. Internationellt samarbete
Regeringens förslag: Personuppgifter ska få behandlas i Skatteverkets brottsbekämpande verksamhet om det krävs för att fullgöra de förpliktelser som följer av internationella åtaganden.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. I promemorian föreslås en annan lagteknisk lösning.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget, utöver vad som framgår av avsnitt 9.10.1.
Skälen för regeringens förslag: Det internationella brottsbekämpande samarbetet regleras i stor utsträckning genom olika internationella överenskommelser, såväl multilaterala som bilaterala, som innebär åtaganden för Sverige. Om det finns ett förpliktande åtagande för en myndighet att samla in, bearbeta eller lämna ut uppgifter till en utländsk myndighet eller en mellanfolklig organisation måste detta åtagande kunna fullgöras med hjälp av modern teknik.
I polisdatalagen och kustbevakningsdatalagen har införts primära ändamålsbestämmelser som tar sikte på behandling med anledning av ett internationellt åtagande som innebär att svensk polis respektive Kustbevakningen är skyldig att fullgöra vissa förpliktelser.
Någon internationell överenskommelse som innebär att Skatteverket i sin brottsbekämpande verksamhet är skyldigt att fullgöra förpliktelser förekommer inte i dag. Skatteverket ingår t.ex. inte bland de behöriga myndigheterna enligt Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater. Utbyte av uppgifter i förundersökningar sker genom förundersökningsledaren, dvs. åklagaren. Utbyte på underrättelsestadiet sker i dag via polisen. Regeringen anser dock inte att ändamålsregleringen i den nu föreslagna lagen ska lägga hinder för sådana internationella överenskommelser som innebär skyldigheter för Skatteverkets brottsbekämpande verksamhet. Det är inte otänkbart att Sverige kan komma att ingå sådana överenskommelser.
I bl.a. lagen (2000:562) om internationell rättslig hjälp i brottmål finns bestämmelser om skyldighet att ge en utländsk myndighet rättslig hjälp i brottmål. På en utländsk myndighets begäran ska vidtas åtgärder som t.ex. förhör under förundersökning, bevisupptagning, kvarstad, husrannsakan och användning av hemliga tvångsmedel (1 kap. 2 §). Enligt den svenska regleringen är det åklagare som ger rättslig hjälp. Åklagaren kan dock anlita biträde av exempelvis Skatteverket. Det innebär att Skatteverket i princip måste kunna behandla personuppgifter i ett ärende om rättslig hjälp i samma utsträckning som i en förundersökning.
Mot denna bakgrund anser regeringen att det bör införas en bestämmelse som medger behandling av personuppgifter för att fullgöra internationella åtaganden.
Förslaget genomförs genom 2 kap. 5 § 3 i den nya lagen.
Hänvisningar till S9-10-4
- Prop. 2016/17:89: Avsnitt 9.10.5
9.10.5. Behandling av uppgifter för att tillhandahålla information till andra myndigheter m.m.
Regeringens förslag: Personuppgifter som behandlas i Skatteverkets brottsbekämpande verksamhet enligt de primära ändamålsbestämmelserna ska också få behandlas om det är nödvändigt för att tillhandahålla information som behövs i
1. brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen,
2. brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation,
3. annan verksamhet som Skatteverket ansvarar för, om det kan antas att den behövs i ett ärende i den verksamheten,
4. en myndighets verksamhet – om Skatteverket enligt lag eller förordning är skyldigt att bistå myndigheten med viss uppgift, eller
– om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.
Personuppgifter ska även få behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt till andra, om skyldighet att lämna uppgifter följer av lag eller förordning.
I ett enskilt fall ska personuppgifter som behandlas i Skatteverkets brottsbekämpande verksamhet även få behandlas för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. Promemorians förslag är något annorlunda utformat.
Remissinstanserna: Sveriges advokatsamfund ställer sig kritiskt till huruvida oskyldighetspresumtionen får genomslag i författningsförslaget, särskilt mot bakgrund av förslaget att låta information från den brottsbekämpande verksamheten lämnas över till beskattningsverksamheten, utan föregående kommunikation med den som uppgifterna angår. Enligt advokatsamfundet ska uppgifter inte kunna spridas till myndigheter för annat ändamål än brottsbekämpande verksamhet, innan den enskilde har fått möjlighet att yttra sig. Som framgår av avsnitt 9.10.1 ifrågasätter
Datainspektionen om bestämmelserna uppfyller kraven på att personuppgifter inte får användas på ett sätt som är oförenligt med insamlingsändamålet, särskilt mot bakgrund av att uppgifter kan komma att flöda mellan Skatteverkets brottsbekämpande verksamhet och den fiskala verksamheten.
Skälen för regeringens förslag
Allmänna utgångspunkter
I de föregående avsnitten har regeringen lämnat förslag till hur lagens ändamålsbestämmelser bör utformas och vilka de primära ändamålen bör vara i Skatteverkets brottsbekämpande verksamhet. I detta avsnitt behandlas hur de sekundära ändamålen bör anges och därmed i vilken utsträckning personuppgifter som har samlats in enligt de primära ändamålen ska få lämnas ut för att användas även av andra myndigheter eller i annan verksamhet som Skatteverket bedriver, för dessas behov.
Det bör inledningsvis påpekas att utlämnande av personuppgifter till andra också kan ske inom ramen för något av de primära ändamålen, som behandlas i avsnitt 9.10.2–9.10.4. Utlämnande av uppgifter till andra kan i många fall nämligen vara ett led i den egna brottsbekämpande verksamheten och således omfattas av de primära ändamålen.
Det kan i detta sammanhang nämnas att eftersom regleringen av de sekundära ändamålen inte föreslås vara uttömmande finns det ett visst utrymme att tillhandahålla personuppgifter även för andra ändamål än de i lagen angivna, under förutsättning att det nya ändamålet inte kan anses oförenligt med insamlingsändamålet (finalitetsprincipen), se avsnitt 9.10.1. Som tidigare betonats är dock målsättningen att de sekundära ändamålen ska vara så fullständiga som möjligt och omfatta det uppgiftsutlämnande från den brottsbekämpande verksamheten som kan förutses.
Det förhållandet att uppgifter får behandlas påverkar inte de bestämmelser som gäller om sekretess. Bestämmelserna i offentlighets- och sekretesslagen om sekretess mellan och inom myndigheter liksom bestämmelser i andra författningar som bryter sekretess ska således beaktas på vanligt sätt.
Tillhandahållande av information till andra myndigheter med brottsbekämpande verksamhet
I polisdatalagen och kustbevakningsdatalagen har införts bestämmelser om att de personuppgifter som behandlas för de primära ändamålen får behandlas när det är nödvändigt för att tillhandahålla information som behövs i författningsreglerad brottsbekämpande verksamhet hos ett antal andra uppräknade myndigheter. Sådana bestämmelser finns även i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.
Det är från brottsbekämpande synpunkt angeläget att samhällets samlade resurser används på ett så rationellt och effektivt sätt som möjligt. Brottsligheten känner inga geografiska gränser eller myndighetsgränser. Att brottsbekämpande myndigheter ska samverka framstår därför som självklart, vilket också har bekräftats genom bl.a. regeringsbeslut om samverkan mot organiserad brottslighet, se ovan. Lika självklart är att en sådan samverkan förutsätter möjligheter till effektivt utbyte av information. Som framgår ovan (se avsnitt 4.1) har införts lagstiftning om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. Ett väl fungerande informationsutbyte skapar förutsättningar att se kopplingar mellan brottslighet inom skilda myndigheters ansvarsområden. Det är därför viktigt att den moderna teknikens möjligheter kan tas till vara för sådant informationsutbyte.
Mot denna bakgrund bör det i den nya lagen uttryckligen regleras att de personuppgifter som behandlas i Skatteverkets brottsbekämpande verksamhet även får behandlas när det är nödvändigt för att tillhandahålla information som andra brottsbekämpande myndigheter behöver i sin brottsbekämpande verksamhet. Berörda myndigheter bör namnges i den nya lagen. De myndigheter som namnges i bestämmelsen bör motsvara de myndigheter som namnges i författningar om behandling av personuppgifter hos andra brottsbekämpande myndigheter. Regeringen föreslår därför att personuppgifter som behandlas för de primära ändamål som anges i den nya lagen även ska få behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Tullverket.
Förslaget genomförs genom 2 kap. 6 § första stycket 1 i den nya lagen.
Tillhandahållande av information till utländska myndigheter och mellanfolkliga organisationer
I 6 § lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar finns en bestämmelse som anger att Skatteverket får lämna ut uppgifter till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en av riksdagen godkänd internationell överenskommelse. Som framgår av avsnitt 9.10.4 finns i dag inte något internationellt åtagande som ger Skatteverkets brottsbekämpande verksamhet skyldighet att fullgöra förpliktelser. Skatteverket ingår t.ex. inte bland de behöriga myndigheterna enligt Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater. Skatteverket deltar dock i informationsutbyte med utlandet via åklagare eller Polismyndig-
heten. Uppgifter måste få behandlas i samband med sådant informationsutbyte.
I lagen bör det därför tas in en bestämmelse om att uppgifter får behandlas om det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos en utländsk myndighet eller en mellanfolklig organisation. Motsvarande bestämmelser finns i 2 kap. 8 § första stycket 2 polisdatalagen och i 3 kap. 3 § första stycket 2 kustbevakningsdatalagen.
Förslaget genomförs genom 2 kap. 6 § första stycket 2 i den nya lagen.
Tillhandahållande av information vid myndighetssamverkan mot brott
En effektiv brottsbekämpning förutsätter samverkan inte bara mellan myndigheter som har till uppgift att bekämpa brott utan även mellan brottsbekämpande myndigheter och andra myndigheter. Sådan samverkan sker redan i dag, t.ex. i regionala underrättelsecentrum. Vilka myndigheter som är representerade i ett underrättelsecentrum varierar. Kronofogdemyndigheten, Skatteverket, Tullverket, Kriminalvården, Migrationsverket och Försäkringskassan är exempel på myndigheter som deltar i sådan samverkan. Skatteverket har, i likhet med t.ex. Tullverket, fått i uppdrag av regeringen att ingå i samverkan. Myndighetssamverkan förutsätter ofta utbyte av information. Ibland kan det vara nödvändigt att utbyta information som innehåller personuppgifter.
Som nämnts i avsnitt 4.1 har nyligen lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet trätt i kraft. Lagen gäller vid särskilt beslutad samverkan mellan myndigheter för att förebygga, förhindra eller upptäcka brottslig verksamhet som är av allvarlig eller omfattande karaktär, och bedrivs i organiserad form eller systematiskt av en grupp individer. Inom ramen för samverkan enligt den lagen ska en myndighet trots sekretess lämna uppgift till en annan myndighet om det behövs för den mottagande myndighetens deltagande i samverkan.
Det kan dock finnas annan samverkan mot brott som inte omfattas av den införda uppgiftsskyldigheten. Det finns därför behov av en ändamålsbestämmelse som tar sikte på uppgiftsutbyte i samverkan mot brott, som inte omfattas av den nya regleringen, t.ex. då sådan samverkan inte har beslutats särskilt eller omfattar annan typ av brottslighet. Utgångspunkten är vidare att de sekundära ändamålen ska anges så uttömmande som möjligt. Det finns även fördelar med en samstämmig lagstiftning för involverade myndigheter. Motsvarande bestämmelser som tar sikte på uppgiftsutbyte till andra än brottsbekämpande myndigheter vid bl.a. sådan samverkan finns i 2 kap. 8 § polisdatalagen och 3 kap. 3 § kustbevakningsdatalagen.
Begreppet samverkan kan omfatta flera olika former av samarbete. Samverkan kan avse såväl diskussioner i strategiska frågor som mer operativt samarbete. Från integritetsskyddssynpunkt är det mer betänkligt att utbyta personuppgifter från brottsbekämpande verksamhet till andra myndigheter som inte har till uppgift att bekämpa brott än till myndigheter som har ett sådant uppdrag. Ett sådant uppgiftsutlämnande sker dock redan i dag efter en intresseavvägning enligt 10 kap. 27 § offentlighets- och sekretesslagen eller med stöd av andra sekretessbrytande
bestämmelser. De ovan nämnda nyss genomförda lagändringarna på området för samverkan mot organiserad brottsliget omfattar också sådant uppgiftsutbyte.
Regeringen anser att Skatteverket i sin brottsbekämpande verksamhet bör ha samma möjligheter som Polismyndigheten och Kustbevakningen att behandla personuppgifter för att tillhandahålla information till myndigheter som inte har brottsbekämpande verksamhet, när syftet är att samverka mot brott. I detta sammanhang kan vidtagandet av administrativa åtgärder mot kriminella inom t.ex. beskattningsverksamheten vara ett led i att försvåra den brottsliga verksamheten. Det är därför rimligt att detta uppgiftsutbyte även inkluderar en intern uppgiftsöverföring inom Skatteverket.
Mot denna bakgrund bör det i den nya lagen finnas en sådan bestämmelse om tillhandahållande av information som innefattar myndigheter utan brottsbekämpande verksamhet, lik de som finns i polisdatalagen och kustbevakningsdatalagen. Regeringen föreslår således att bestämmelsen i den nya lagen formuleras så att personuppgifter som behandlas enligt den föreslagna 2 kap. 5 § även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i en myndighets verksamhet om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott. Ett uppgiftslämnande med stöd av nu aktuell bestämmelse kan komma att ske inte bara till andra myndigheters verksamhet, utan även till andra verksamheter inom Skatteverket.
Förslaget genomförs genom 2 kap. 6 § första stycket 4 b i den nya lagen.
Tillhandahållande av information till annan verksamhet som Skatteverket ansvarar för
I den brottsbekämpande verksamheten hos Skatteverket kan det framkomma information som är till nytta i ärenden hos annan verksamhet inom Skatteverket. I skattebrottenhetens arbete kan t.ex. framkomma uppgifter som talar för att en verksamhet inte har beskattats trots att detta borde ha skett eller att registrerade folkbokföringsuppgifter för en person är felaktiga. Det kan därför finnas skäl att lämna uppgifter till en annan verksamhet inom Skatteverket. I lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar finns inga särskilda bestämmelser om när uppgifter får behandlas för att lämnas ut till en annan del av Skatteverket.
I vissa fall finns bestämmelser i annan författning som ålägger den brottsbekämpande verksamheten att lämna uppgifter till en annan verksamhet inom Skatteverket. Nedan framgår att regeringen föreslår att det ska införas en bestämmelse om att uppgifter ska få behandlas när det är nödvändigt för att tillhandahålla information som behövs i en annan myndighets verksamhet, om det enligt lag eller förordning åligger Skatteverket att bistå myndigheten med viss uppgift. Den bestämmelsen, som blir tillämplig på uppgiftslämnande mellan olika verksamheter inom Skatteverket, kommer att omfatta behandling av personuppgifter i samband med utlämnande som sker med stöd av någon särskild bestämmelse om skyldighet att lämna ut uppgifter. I 42 a kap. 1 § skatteförfarandelagen (2011:1244) finns t.ex. en sekretessbrytande bestäm-
melse om uppgiftsskyldighet. Av den bestämmelsen följer, med vissa undantag, att uppgifter som den brottsbekämpande verksamheten förfogar över och som behövs för Skatteverkets kontroll eller beslut enligt skatteförfarandelagen, på begäran ska lämnas till beskattningsverksamheten. Eftersom bestämmelsen endast avser utlämnande på begäran förutsätter den att den andra verksamheten har vetskap om att skattebrottsenheten har information som kan ha betydelse i dess verksamhet. Enligt lagen om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet följer att en uppgiftsskyldighet gäller mellan olika självständiga verksamhetsgrenar inom Skatteverket när verket deltar i viss myndighetsöverskridande samverkan mot organiserad brottslighet.
Enligt regeringens mening bör uppgifter få behandlas för att tillhandahållas en annan verksamhet inom Skatteverket även i fall då skattebrottsenheten inte har ålagts en skyldighet att lämna ut uppgifterna. En särskild bestämmelse bör finnas som omfattar sådan behandling. Bestämmelsen blir aktuell att tillämpa i fall då skattebrottsenheten lämnar ut uppgifter på eget initiativ, utan att ha skyldighet till det.
Tillhandahållande av information till en annan verksamhet kan ibland sägas ske som ett led i fullgörandet av skattebrottsenhetens brottsbekämpande uppdrag, dvs. med stöd av de primära ändamålsbestämmelserna. I arbetet med att förebygga, förhindra eller upptäcka brottslig verksamhet kan det t.ex. finnas skäl att uppmärksamma både andra myndigheter och verksamheter inom den egna myndigheten på omständigheter som talar för att vissa åtgärder bör vidtas inom ramen för den verksamhetens uppdrag och regelverk. Som framgår ovan föreslås också bestämmelser som innebär att Skatteverket i den brottsbekämpande verksamheten får behandla uppgifter för att tillhandahålla en annan myndighet eller verksamhet inom Skatteverket uppgifter inom ramen för myndighetsöverskridande samverkan mot brott. Det är enligt regeringens mening rimligt att skattebrottsenheten har möjlighet att behandla uppgifter för att tillhandahålla annan verksamhet inom Skatteverket information i syfte att försvåra brottslighet oavsett om arbetet sker inom ramen för myndighetsöverskridande arbete eller inte.
Regeringen anser vidare att det bör vara möjligt att behandla uppgifter för att tillhandahålla information som behövs i ett ärende hos en annan verksamhet inom Skatteverket, även i fall då tillhandahållandet inte kan anses ske för ett brottsbekämpande syfte. Det är rimligt att uppgifter får behandlas för att åstadkomma korrekta beslut även i andra fall.
Datainspektionen anser att det kan ifrågasättas om bestämmelserna uppfyller kravet på att personuppgifter inte får användas på ett sätt som är oförenligt med insamlingsändamålet. Regeringen anser dock inte att det kan anses vara oförenligt med de primära ändamålen för den brottsbekämpande verksamheten att tillhandahålla information till övrig verksamhet inom Skatteverket i situationer där det kan antas att informationen behövs för att korrekta beslut ska kunna fattas. Advokatsamfundet anser att uppgifter inte ska kunna spridas till myndigheter för annat ändamål än brottsbekämpande, innan den enskilde har fått möjlighet att yttra sig och ifrågasätter starkt om inte detta innebär ett brott mot oskyldighetspresumtionen. Regeringen anser inte att ett utlämnande av uppgifterna innebär ett avsteg från den principen. Det kan
framhållas att den verksamhet som tar emot uppgifterna självklart måste uppfylla de krav som gäller på att kommunicera uppgifter med den enskilde inför ett beslut.
Sammanfattningsvis anser regeringen att det bör införas en bestämmelse om att uppgifter får behandlas för att tillhandahålla information som behövs i annan verksamhet som Skatteverket ansvarar för, om det kan antas att informationen behövs i ett ärende i den verksamheten. I promemorians förslag anges också att det måste finnas skäl att tillhandahålla information. Att det måste finnas skäl för tillhandahålla informationen följer dock av kravet på att uppgiften ska behövas i ett ärende och behöver enligt regeringens mening inte anges särskilt. En prövning av om den mottagande verksamheten har behov av uppgiften i ett ärende måste göras i varje enskilt fall.
I avsnitt 9.15.3 redogörs för de sekretessbestämmelser som gäller i Skatteverkets brottsbekämpande verksamhet. Sekretessen gäller mellan den brottsbekämpande verksamheten och övriga verksamheter inom Skatteverket, eftersom den brottsbekämpande verksamheten är självständig i förhållande till dessa (jfr 8 kap. 2 § offentlighets- och sekretesslagen). En sekretessbrytande bestämmelse måste därför vara tillämplig för att sekretessbelagda uppgifter ska få lämnas ut. T.ex. kan generalklausulen 10 kap. 27 § offentlighets- och sekretesslagen bli tillämplig.
Förslaget genomförs genom 2 kap. 6 § första stycket 3 i den nya lagen.
Tillhandahållande av information i vissa andra fall
I polisdatalagen och kustbevakningsdatalagen finns reglering om att Polismyndigheten respektive Kustbevakningen får behandla personuppgifter när det är nödvändigt för att tillhandahålla information som behövs i en myndighets verksamhet under förutsättning att Polismyndigheten respektive Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift (2 kap. 8 § första stycket 7 a polisdatalagen och 3 kap. 3 § första stycket 4 a kustbevakningsdatalagen). En bestämmelse som täcker in dessa behov för Skatteverket bör enligt regeringens mening tas in i den nya lagen. Regeringen föreslår därför att en bestämmelse om att personuppgifter som behandlas enligt den föreslagna 2 kap. 5 § även ska få behandlas när det är nödvändigt för att tillhandahålla information som behövs i en myndighets verksamhet, om Skatteverket enligt lag eller förordning är skyldigt att bistå myndigheten med viss uppgift.
Det bör i den nya lagen anges att personuppgifter får behandlas, om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen. Det bör även anges att uppgifter får behandlas för att lämnas ut till annan, om Skatteverket enligt lag eller förordning är skyldig att tillhandahålla sådan information.
Förslaget genomförs genom 2 kap. 6 § första stycket 4 a och andra stycket i den nya lagen.
Finalitetsprincipen
Som framgår av avsnitt 9.10.1 anser regeringen att i fråga om behandling av personuppgifter för andra sekundära ändamål än de i lagen angivna ska den s.k. finalitetsprincipen tillämpas. Skälen för detta redovisas i det
avsnittet. Regeringen föreslår därför en bestämmelse som motsvarar t.ex. vad som finns i 3 kap. 3 § tredje stycket kustbevakningsdatalagen och 2 kap. 8 § fjärde stycket polisdatalagen, nämligen att i ett enskilt fall ska personuppgifter som behandlas i Skatteverkets brottsbekämpande verksamhet även få behandlas för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
Förslaget genomförs genom 2 kap. 6 § tredje stycket i den nya lagen.
Hänvisningar till S9-10-5
- Prop. 2016/17:89: Avsnitt Författningskommentar till 6 § skattebrottsdatalag
9.10.6. Behandling som är nödvändig för diarieföring och handläggning
Regeringens förslag: Personuppgifter ska alltid få behandlas i
Skatteverkets brottsbekämpande verksamhet om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Skatteverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.
Skälen för regeringens förslag: Inkomna uppgifter kan utgöra allmän handling i tryckfrihetsförordningens mening. Skyldigheten att registrera allmänna handlingar enligt 5 kap. 1 § offentlighets- och sekretesslagen måste alltid kunna fullgöras. Vidare gäller enligt 5 § andra stycket förvaltningslagen (1986:223) att en myndighet ska se till att det är möjligt för enskilda att kontakta myndigheten med hjälp av bl.a. e-post och att svar kan lämnas på samma sätt. I likhet med hur bl.a. polisdatalagen är utformad anser regeringen att det bör införas en bestämmelse som säkerställer att Skatteverket alltid kan diarieföra allmänna handlingar och ta emot och behandla personuppgifter i en handling i enlighet med förvaltningslagens bestämmelser. Bestämmelsen tar sikte på behandling som inte ryms inom de primära ändamålen.
Förslaget genomförs genom 2 kap. 7 § i den nya lagen.
Hänvisningar till S9-10-6
- Prop. 2016/17:89: Avsnitt 9.14.1, Författningskommentar till 7 § skattebrottsdatalag
9.11. Behandling av känsliga personuppgifter
Regeringens förslag: Uppgifter om en person ska inte få behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Uppgifter om en person som behandlas på annan grund ska dock få kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen. Känsliga personuppgifter ska också få behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Skatteverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.
Remissinstanserna: Datainspektionen anför att det inte framgår av promemorian vilka skäl som motiverar en utvidgning av Skatteverkets möjligheter att behandla känsliga personuppgifter inom ramen för underrättelseverksamheten. Säkerhetspolisen anser att det är oklart vad som utgör ”annat liknande förhållande” i promemorians lagförslag.
Skälen för regeringens förslag: I lagstiftning om behandling av personuppgifter intar känsliga personuppgifter en särställning. Enligt 13 § personuppgiftslagen är det i princip förbjudet att behandla känsliga personuppgifter utan enskildas samtycke. Med känsliga personuppgifter avses i den bestämmelsen uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Enligt dagens reglering i 4 § lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar får uppgifter om en person inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.
Om uppgifter om en person behandlas på annan grund får uppgifterna kompletteras med sådana uppgifter om det är oundgängligen nödvändigt för syftet med behandlingen. Känsliga personuppgifter får dock inte behandlas i underrättelseverksamheten. Skälet till att sådan behandling inte tillåts är att det har bedömts finnas större möjligheter i Skatteverkets underrättelseverksamhet att undvara känsliga personuppgifter utan att det påverkar den pågående undersökningen, se propositionen Behandling av personuppgifter i skattemyndigheternas brottsutredande verksamhet, m.m. (prop. 1998/99:34 s. 35).
Datainspektionen anser att det inte framgår vilka skäl som motiverar möjligheten att behandla känsliga personuppgifter i underrättelseverksamhet. Det bör framhållas att det är mycket ovanligt att det finns ett behov att behandla känsliga personuppgifter i Skatteverkets underrättelseverksamhet. Regeringen anser dock att dagens reglering är alltför begränsande. I de fall det bedöms vara absolut nödvändigt för att syftet med en behandling av personuppgifter ska kunna uppnås bör det vara tillåtet att komplettera uppgifterna med känsliga personuppgifter, även vid behandling som sker i underrättelseverksamhet. Ett sådant behov kan t.ex. uppstå vid myndighetsöverskridande samverkan. Som framhållits tidigare bör regleringen för de olika brottsbekämpande myndigheterna utformas på ett sätt som inte försvårar samarbete mellan myndigheterna.
Det finns ett stort värde i en enhetlig lagstiftning kring vilka typer av uppgifter som får behandlas. Regeringen anser mot den bakgrunden att behandling av känsliga personuppgifter ska vara tillåten även i underrättelseverksamheten. Vidare måste känsliga personuppgifter få behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Skatteverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I promemorians förslag används uttrycket ”personens etniska ursprung eller annat liknande förhållande”. Begreppet ras förekommer inte i promemorians förslag. Säkerhetspolisen anser att det är oklart vad som utgör ett sådant annat förhållande. Såvitt avser begreppet ras har riksdagen i andra lagstiftningsärenden uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och ur biologisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor. Ordet ras förekommer dock förutom i personuppgiftslagen även t.ex. i polisdatalagen och kustbevakningsdatalagen. I samband med lagstiftningsärendet om kustbevakningsdatalagen kom regeringen efter omfattande överväganden fram till att det inte var lämpligt att i ett enstaka specifikt lagstiftningsärende utmönstra ordet ras och därmed ändra den vedertagna beskrivningen av känsliga personuppgifter. Även ordet ras skulle därför föras över till den nya lagen. Regeringen avser inte att i detta lagstiftningsärende behandla frågan om en översyn av begreppet. Det kan dock nämnas att frågan behandlas i betänkandet SOU 2015:103 Ett utvidgat straffrättsligt skydd för transpersoner m.m. och även kan komma att aktualiseras i samband med genomförandet av det nya dataskyddsdirektivet.
Uppgifter om en persons utseende omfattas normalt inte av definitionen av känslig personuppgift. I 2 kap. 10 § polisdatalagen och 2 kap. 7 § kustbevakningsdatalagen anges att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Regeringen bedömer att det är lämpligt att införa en sådan bestämmelse även i den föreslagna lagen.
Förslaget genomförs genom 2 kap. 8 § i den nya lagen.
Hänvisningar till S9-11
- Prop. 2016/17:89: Avsnitt 9.14.4, Författningskommentar till 8 § skattebrottsdatalag
9.12. Elektroniskt utlämnande
9.12.1. Utlämnande på medium för automatiserad behandling
Regeringens förslag: Enstaka personuppgifter ska få lämnas ut på medium för automatiserad behandling. I lagen ska det också upplysas om att regeringen kan meddela föreskrifter om att uppgifter får lämnas ut på ett sådant medium även i andra fall.
Promemorians förslag: Överensstämmer delvis med regeringens förslag. I promemorians förslag anges i lagen att begränsningen till enstaka personuppgifter inte gäller myndigheter som har rätt att ta del av personuppgifter som gjorts gemensamt tillgängliga. Promemorians förslag är också något annorlunda utformat.
Remissinstanserna: Ekobrottsmyndigheten anser att en reglering som ger parter och deras ombud, biträde eller försvarare rätt att få ut uppgifter elektroniskt är att föredra, eftersom den ger försvararen samma möjlighet som åklagaren att få tillgång till omfattande förundersökningar elektroniskt. Säkerhetspolisen anser, mot bakgrund av uttalanden i promemorian, att det är oklart vad som anses vara enstaka personuppgifter och ser gärna en tolkning som överensstämmer med den i polisdatalagen.
Skälen för regeringens förslag: Av effektivitetsskäl kan uppgifter behöva lämnas ut i elektronisk form på medium för automatiserad behandling. Inte bara direktåtkomst utan även utlämnande av personuppgifter på medium för automatiserad behandling anses dock medföra särskilda risker från integritetssynpunkt. Ett sådant utlämnande innebär nämligen som regel att mottagaren kan bearbeta informationen, t.ex. genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Det ökar riskerna för att uppgifterna ska behandlas i strid med de grundläggande kraven på dataskydd. Utlämnande i elektronisk form skapar också möjlighet för myndigheter att inrätta rutiner som innefattar dagliga överföringar av större mängder av uppgifter. I lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar finns inga bestämmelser som reglerar när uppgifter får lämnas ut på medium för automatiserad behandling. I polisdatalagen och kustbevakningsdatalagen finns dock särskilda bestämmelser om möjligheten att lämna ut uppgifter på sådant sätt. Mot den bakgrunden anser regeringen att förutsättningarna för utlämnande på medium för automatiserad behandling bör författningsregleras även när det gäller Skatteverkets brottsbekämpande verksamhet.
Enligt de ovan nämnda lagarna om behandling av personuppgifter i andra brottsbekämpande verksamheter gäller som huvudregel att endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling, t.ex. genom e-post, när förutsättningarna för ett utlämnande i övrigt är uppfyllda. En bestämmelse med samma innehåll finns även i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.
Regeringen anser inte att det finns skäl när det gäller just Skatteverkets brottsbekämpande verksamhet att ha en annan utgångspunkt. Huvudregeln bör därför vara att endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling, t.ex. genom e-post. Regeringen föreslår därmed i likhet med promemorian att enstaka personuppgifter ska få lämnas ut på medium för automatiserad behandling.
Säkerhetspolisen anser att det är oklart vad som anses vara enstaka personuppgifter och ser gärna en tolkning som överensstämmer med den i polisdatalagen. I samband med lagstiftningsärendena om polisdatalagen och kustbevakningsdatalagen har regeringen angett att det är svårt att i lagtext närmare ange innebörden av begreppet enstaka. Det har i sammanhanget även påpekats att begreppet enstaka har en annan innebörd än i vanligt språkbruk (prop. 2009/10:85 s. 333 och prop. 2011/12:45 s. 98). Regeringen har inte någon annan syn i frågan när det gäller nu aktuellt lagstiftningsärende. Uttrycket enstaka i nu föreslagen bestämmelse i den nya lagen ska ha samma innebörd som i polisdatalagen och kustbevakningsdatalagens motsvarande bestämmelser om elektroniskt utlämnande.
I lagen bör upplysas om att regeringen kan meddela föreskrifter om att personuppgifter får lämnas ut på medium för automatiserad behandling även i andra fall. Det görs därvid en uttrycklig hänvisning till 8 kap. 7 § regeringsformen. Med hänsyn till att lagen ska vara teknikneutral bör det t.ex. inte gälla några begränsningar i fråga om utlämnande på medium för automatiserad behandling för de myndigheter som medges direktåtkomst. Regeringen avser att i förordning meddela föreskrifter om detta. Det
ankommer på Skatteverket att avgöra vilken form av elektroniskt utlämnande som bäst tillgodoser det behov som finns och som är mest lämplig. Vid den bedömningen behöver utvecklingen beträffande begreppet direktåtkomst beaktas (se t.ex. avsnitt 5.4.2). Ekobrottsmyndigheten anser att en reglering som ger parter och deras ombud, biträde eller försvarare rätt att få ut uppgifter elektroniskt är att föredra, eftersom den ger försvararen samma möjlighet som åklagaren att få tillgång till omfattande förundersökningar elektroniskt. Regeringen vill med anledning av detta framhålla följande. Det kan uppkomma behov för Skatteverket att kunna lämna ut större mängder med uppgifter i vissa fall. Det finns därför skäl att överväga att i förordning medge utlämnande på medium för automatiserad behandling även i andra fall. Som exempel kan nämnas just utlämnande av en förundersökning eller annan utredning enligt bestämmelserna i 23 kap. rättegångsbalken till t.ex. försvarare eller annat juridiskt biträde. Bestämmelser som möjliggör sådant utlämnande har införts i t.ex. 18 § polisdataförordningen (2010:1155) och 8 § åklagardataförordningen (2015:575). Även utlämnande av statistik till Brottsförebyggande rådet kan komma att regleras.
Förslaget genomförs genom 2 kap. 15 § i den nya lagen.
Hänvisningar till S9-12-1
- Prop. 2016/17:89: Avsnitt Författningskommentar till 15 § skattebrottsdatalag
9.12.2. Utlämnande genom direktåtkomst
Regeringens förslag: Utlämnande av personuppgifter genom direktåtkomst ska vara tillåtet bara i den utsträckning som följer av lagen.
Det ska införas en bestämmelse som hänvisar till var i lagen det finns bestämmelser om direktåtkomst.
Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.
Skälen för regeringens förslag: I lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar finns inga bestämmelser om direktåtkomst. Bestämmelserna om direktåtkomst i polisdatalagen och kustbevakningsdatalagen innefattar en uttömmande reglering av möjligheten till direktåtkomst, genom att det anges när det är tillåtet med direktåtkomst. För att uppnå tydlighet bör det enligt regeringens mening i den nya lagen finnas en sådan uttrycklig bestämmelse som finns i 2 kap. 21 § polisdatalagen och 2 kap. 9 § kustbevakningsdatalagen. Det ska alltså anges att utlämnande genom direktåtkomst bara är tillåtet i den utsträckning som följer av lagen.
Vidare bör det upplysas om var i lagen det finns bestämmelser om direktåtkomst.
Förslaget genomförs genom 2 kap. 16 § i den nya lagen.
Hänvisningar till S9-12-2
- Prop. 2016/17:89: Avsnitt Författningskommentar till 16 § skattebrottsdatalag
9.13. Sökning i beskattningsdatabasen
Regeringens förslag: Bestämmelsen i lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar om sökbegränsningar vid skattebrottsenhetens sökning i beskattnings-
databasen, ska oförändrad i sak föras över till den nya lagen. Vid sökning i beskattningsdatabasen som görs i Skatteverkets brottsbekämpande verksamhet ska således endast uppgift om namn, personnummer eller samordningsnummer få användas som sökbegrepp.
Promemorians förslag: Överensstämmer inte med regeringens förslag. Promemorian innehåller ingen motsvarande bestämmelse.
Remissinstanserna: Ingen remissinstans har uttalat sig i frågan. Skälen för regeringens förslag: Av 2 kap. 7 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet framgår att skattebrottsenheten får ha direktåtkomst till vissa kategorier av uppgifter i beskattningsdatabasen. Sekretessbrytande regler finns i förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Vissa särskilda sökbegränsningar gäller för skattebrottsenheten vid direktåtkomsten. Av 14 a § lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar följer att endast uppgifter om namn, person- eller samordningsnummer får användas som sökbegrepp rörande fysiska personer. Av bestämmelsen följer att det inte är möjligt för skattebrottsenheterna att använda sig av urvalsprogram eller liknande vid sökningarna, se propositionen Effektivare skattekontroll m.m. (prop. 2005/06:169 s. 133).
Några skäl att ändra den aktuella bestämmelsen om sökbegränsningar har inte framkommit. Eftersom lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar föreslås upphävas, förs bestämmelsen oförändrad i sak över till den nya lagen.
Förslaget genomförs genom 2 kap. 9 § i den nya lagen.
Hänvisningar till S9-13
- Prop. 2016/17:89: Avsnitt Författningskommentar till 9 § skattebrottsdatalag
9.14. Särskilda bestämmelser för gemensamt tillgängliga uppgifter
9.14.1. Gemensamt tillgängliga uppgifter
Regeringens förslag: Den nya lagen ska innehålla särskilda bestämmelser om behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Uppgifter som endast ett fåtal personer har rätt att ta del av ska inte anses som gemensamt tillgängliga. De särskilda bestämmelserna om gemensamt tillgängliga uppgifter ska inte gälla när personuppgifter behandlas med stöd av bestämmelserna om diarieföring m.m.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Bestämmelsen om gemensamt tillgängliga uppgifter är dock något annorlunda utformad.
Remissinstanserna: Kammarrätten i Sundsvall anser att det behov av noggranna riktlinjer för tillämpningen av uttrycket ”gemensamt tillgängliga uppgifter” som Kammarrätten i Stockholm underströk i sitt remissyttrande beträffande polisdatalagen alltjämt är av vikt vid det fortsatta arbetet med att reformera lagstiftningen avseende de brottsbekämpande myndigheternas behandling av personuppgifter. Data-
inspektionen anser att det är tveksamt om dataskyddsnivån i den känsliga brottsbekämpande verksamheten ska vara beroende av hur många som faktiskt har tillgång till uppgifterna. Det är enligt Datainspektionens mening rimligt att uppgifternas art, struktur och antal på något sätt beaktas i fråga om regleringen av hur de ska hanteras. Det valda systemet kan också innebära svårigheter för de befattningshavare som behandlar uppgifter att avgöra om uppgifterna är att anse som gemensamt tillgängliga eller inte och vilket regelverk som ska tillämpas. Tullverket anser att regleringen av vad som utgör gemensamt tillgängliga uppgifter bör följa den struktur som finns i polisdatalagen.
Skälen för regeringens förslag
Det bör finnas särskilda bestämmelser för uppgifter som flera personer har tillgång till
Den nya lagen kommer att gälla för all automatiserad behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Det innebär att inte bara uppgifter som behandlas i för verksamheten gemensamma uppgiftssamlingar, t.ex. register eller ärendehanteringssystem, kommer att omfattas utan även sådan behandling som utförs av en enskild tjänsteman eller en begränsad grupp personer, t.ex. vanlig ordbehandling och e-postkommunikation. Som regeringen framhållit i bl.a. lagstiftningsärendet om polisdatalagen är risken för otillbörliga intrång i den personliga integriteten större när personuppgifter används av flera gemensamt i verksamheten än när personuppgifter behandlas av en enskild tjänsteman vid den egna datorn, utan att någon annan har åtkomst till uppgifterna (prop. 2009/10:85 s. 68). Det har därför ansetts nödvändigt att införa särskilda och mer begränsande regler för behandling av uppgifter som används av eller i vart fall är tillgängliga för fler än ett fåtal personer. I polisdatalagen och kustbevakningsdatalagen används uttrycket gemensamt tillgängliga uppgifter för att ringa in och beskriva sådan behandling.
Datainspektionen anser att det är tveksamt om dataskyddsnivån i den känsliga brottsbekämpande verksamheten ska vara beroende av hur många som faktiskt har tillgång till uppgifterna. Regeringen finner dock inte skäl att i detta sammanhang göra någon annan bedömning än den som gjorts i tidigare lagstiftningsärenden. För behandling av uppgifter som inte har gjorts gemensamt tillgängliga gäller grundläggande dataskyddsbestämmelser och vissa allmänna bestämmelser i den nya lagen. Som framhålls i avsnitt 9.10.2 kommer den allra största delen av den personuppgiftsbehandling som sker i Skatteverkets brottsbekämpande verksamhet att omfattas av bestämmelserna om gemensamt tillgängliga uppgifter. Regeringen anser mot den bakgrunden att även den nya lagen bör innehålla särskilda bestämmelser om behandling av gemensamt tillgängliga uppgifter. Med sådana uppgifter avses uppgifter som fler än endast ett fåtal personer inom myndigheten har rätt att ta del av. Det bör införas en inledande bestämmelse i kapitlet om gemensamt tillgängliga uppgifter som upplyser om innehållet i kapitlet och av vilken det framgår vad som avses med gemensamt tillgängliga uppgifter.
Tullverket anser att regleringen av vad som utgör gemensamt tillgängliga uppgifter bör följa den struktur som finns i polisdatalagen. Kammar-
rätten i Stockholm framhåller behovet av noggranna riktlinjer för tillämpningen av uttrycket gemensamt tillgängliga uppgifter. Uttrycket gemensamt tillgängliga uppgifter i den nya lagen är avsett att ha samma betydelse i den nya lagen som i de övriga författningarna om behandling av personuppgifter i brottsbekämpande verksamheter. Nedan behandlas frågan om gränsdragningen mellan sådana uppgifter och andra uppgifter som behandlas.
Gränsdragningen mellan gemensamt tillgängliga uppgifter och andra personuppgifter
I förarbetena till polisdatalagen (prop. 2009/10:85 s. 127 f.) och kustbevakningsdatalagen (prop. 2011/12:45 s. 73 f.) har gjorts uttalanden om den närmare gränsdragningen mellan behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga och annan behandling. Att en uppgift ”är tillgänglig” för en viss person bör förstås så att personen har såväl faktisk möjlighet att ta del av uppgiften som rättslig behörighet till det. Det bör däremot inte spela någon roll hur många personer som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller ha någon betydelse om den som har tillgång till uppgiften kan påverka den eller bara läsa den.
Detta innebär till att börja med att personuppgifter blir att anse som gemensamt tillgängliga om de behandlas för att en obestämd krets ska kunna ta del av uppgifterna. Om den införda uppgiften genom tekniska begränsningar har åtkomstskyddats i sådan utsträckning så att den rent faktiskt inte är tillgänglig för fler än en eller ett fåtal tjänstemän är uppgiften inte att anse som gemensamt tillgänglig. Även i vissa fall där den personkrets som har tillgång till uppgifterna är bestämd och avgränsad bör personuppgifterna anses vara gemensamt tillgängliga. Det gäller t.ex. då uppgifterna är tillgängliga för ett större antal bestämda personer. De personuppgifter som behandlas i brottsbekämpande verksamhet som involverar ett flertal tjänstemän som gemensamt behandlar viss information bör alltså regelmässigt anses som gemensamt tillgängliga. Uppgifter bör dock inte anses som gemensamt tillgängliga enbart därför att två eller flera personer har tillgång till dem. Kan man redan från början konstatera att personuppgifterna endast kommer att vara tillgängliga för en avgränsad krets bestående av en handfull personer, bör uppgifterna alltså inte anses som gemensamt tillgängliga. Om en förundersökning eller ett annat ärende enbart engagerar en avgränsad krets, bestående av ett fåtal på förhand utpekade personer eller funktioner, bör de uppgifter som behandlas inom ramen för projektet normalt inte betraktas som gemensamt tillgängliga. Så kan vara fallet t.ex. vid en starkt åtkomstbegränsad förundersökning. Så snart det är fråga om fler än ett fåtal personer som har tillgång till uppgifterna bör utgångspunkten vara att uppgifterna anses vara gemensamt tillgängliga.
I förarbetena till polisdatalagen uttalade regeringen att det i lag inte bör anges någon exakt gräns för när personkretsen är så stor att personuppgifterna som behandlas anses vara gemensamt tillgängliga. Även andra omständigheter bör i det enskilda fallet kunna vägas in i bedömningen av om personuppgifter ska betraktas som gemensamt tillgängliga eller inte. Regeringen ansåg dock att det var lämpligt att ange en tumregel för hur
många personer ett fåtal kunde anses utgöra i den polisiära verksamheten och uttalade att ett tiotal personer var väl avvägt (prop. 2009/10:85 s. 129). Samma bedömning gjordes i förarbetena till kustbevakningsdatalagen (prop. 2011/12:45 s. 74). Regeringen anser inte att det finns skäl att avvika från denna bedömning för Skatteverkets brottsbekämpande verksamhet. Samma tumregel bör alltså kunna tillämpas för denna verksamhet.
När det talas om en bestämd krets bör detta inte uppfattas som att det alltid från början måste kunna anges exakt vilka tjänstemän eller vilken krets av tjänstemän som avses få tillgång till uppgifterna. Bedömningen blir naturligtvis enklare om man på förhand vet att endast ett fåtal eller en större krets kommer att behandla uppgifterna. Även i de fall där detta inte står klart från början kan man oftast av arbetsuppgiftens art och storlek sluta sig till om uppgifterna sannolikt kommer att behandlas av ett fåtal tjänstemän eller av en större krets.
I viss utsträckning kan tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte. En del verksamheter, främst underrättelseverksamhet inom ramen för brottsbekämpningen, leder inte alltid till ett bestämt avslut av ett visst konkret ärende. Ett underrättelseprojekt har inte sällan en obestämd varaktighet och kan därför komma att löpa över en längre tid. Det ligger i sakens natur att i sådana långvariga projekt kan den personal som sysslar med projektet komma att bytas ut under arbetets gång. Även om tanken från början har varit att endast en liten avgränsad krets ska syssla med projektet, är det därför inte alltid möjligt att upprätthålla det kravet. Underrättelsematerial som tas fram i ett sådant projekt bör därför också anses som gemensamt tillgängliga uppgifter. Motsvarande bör i princip gälla andra typer av uppgifter som behandlas för att användas under en längre tid. Givetvis bör detta inte gälla undantagslöst. Om en enskild tjänsteman gör sammanställningar av olika slag för eget bruk, bör detta inte göra att uppgifterna anses vara gemensamt tillgängliga.
Undantag från reglerna om gemensamt tillgängliga uppgifter
Personuppgifter som behandlas med stöd av den föreslagna bestämmelsen i 2 kap. 7 § om diarieföring m.m. (se avsnitt 9.10.6) kommer i vissa fall att bli tillgängliga för en större krets personer, t.ex. i diarier. De skulle därmed i och för sig kunna sägas utgöra gemensamt tillgängliga uppgifter. De föreslagna bestämmelserna för gemensamt tillgängliga uppgifter har till syfte att reglera sådan behandling som sker i för verksamheten gemensamma uppgiftssamlingar. Syftet med ändamålsbestämmelsen om diarieföring är inte att möjliggöra behandling av personuppgifter i den operativa verksamheten. Det är i stället fråga om en särreglering som tar sikte på sådan behandling av personuppgifter som inte ryms i de primära ändamålen men som ändå måste kunna utföras i Skatteverkets brottsbekämpande verksamhet för att hantera inkommande handlingar och tillgodose tryckfrihetsförordningens krav på att allmänheten ska ha tillgång till allmänna handlingar. Flera av de bestämmelser som föreslås gälla vid behandling av gemensamt tillgängliga uppgifter, t.ex. bestämmelserna om särskilda upplysningar och sökbegränsningar, är inte lämpade att reglera behandling av personuppgifter i diarier. I
likhet med de överväganden som gjorts för Polismyndighetens del bör inte reglerna om gemensamt tillgängliga uppgifter vara tillämpliga i de fall som personuppgifter enbart behandlas med stöd av nu aktuell bestämmelse om diarieföring (jfr prop. 2009/10:85 s. 113). I polisdatalagen men inte i kustbevakningsdatalagen finns det en uttrycklig bestämmelse om detta. För att uppnå tydlighet bedömer regeringen det vara lämpligt att i den nya lagen ta in en uttrycklig bestämmelse. Därför föreslås en bestämmelse om att bestämmelserna om gemensamt tillgängliga uppgifter inte ska gälla när personuppgifter behandlas med stöd av bestämmelsen om diarieföring m.m.
Lagförslag
Förslaget genomförs genom 3 kap. 1 § i den nya lagen.
Hänvisningar till S9-14-1
- Prop. 2016/17:89: Avsnitt Författningskommentar till 1 § skattebrottsdatalag
9.14.2. De uppgifter som får göras gemensamt tillgängliga
Regeringens förslag: Följande uppgifter ska få göras gemensamt tillgängliga:
1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten
a) innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver, eller
b) sker systematiskt.
2. Uppgifter som förekommer i ett ärende om utredning av brott.
3. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.
Remissinstanserna: Datainspektionenanser att det, med hänsyn till den känsliga personuppgiftsbehandling som sker inom underrättelseverksamheten, bör belysas närmare vilka konkreta behov Skatteverket har av att kunna behandla sådana uppgifter som förslaget omfattar.
Vilken typ av brottslighet är det som avses? Vilka skäl motiverar en sänkning från dagens gräns på två års fängelse till ett års fängelse i straffskalan? Vilka av de brott som Skatteverket får mandat att behandla har minst ett års fängelse i straffskalan och vilka brott kan det bli fråga om att behandla med stöd av hänvisningen till systematisk brottslighet? Vilka konkreta problem kan uppkomma om en sådan behandling inte får ske? Vilka effektiviseringsvinster är det som förutses?
Skälen för regeringens förslag
Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet
Det finns behov av att få göra uppgifter gemensamt tillgängliga i arbete som avser att förebygga, förhindra eller upptäcka brottslig verksamhet. Detta arbete, främst den s.k. underrättelseverksamheten, kännetecknas av att det inte ännu föreligger konkreta misstankar om att ett specifikt brott har begåtts.
Som redogörs för i avsnitt 6, är ett av kraven enligt lagen om behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet för att behandla personuppgifter i underrättelseverksamhet att det finns anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas. Med allvarlig brottslig verksamhet avses enligt 2 § samma lag verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver. Uppgifter får vidare endast behandlas inom ramen för en särskild undersökning eller i ett särskilt reglerat underrättelseregister. Enligt regeringens förslag ska uppgifter få behandlas enligt den nya lagen om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet. I den verksamheten måste uppgifter få kunna göras gemensamt tillgängliga. Enligt 7 § förordningen (1999:105) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar får endast de personer som arbetar med en särskild undersökning ha direkt åtkomst till de uppgifter som behandlas automatiserat i undersökningen. Andra personer vid Skatteverket får dock ta del av sådana uppgifter om uppgifterna kan antas ha särskild betydelse för en pågående undersökning eller andra brottsbekämpande åtgärder. Det är inte ovanligt att samma personer är inblandade i flera olika brottsliga aktiviteter som pågår i skilda delar av landet vid en och samma tidpunkt. Uppgifter som har framkommit i ett ärende kan behövas för att upptäcka samband med brottsliga aktiviteter som bedrivs på annat håll. Mot den bakgrunden anser regeringen att det inte bör införas några särskilda regler i den nya lagen som begränsar tillgången till uppgifter som behandlas i verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet, t.ex. till personer som arbetar med ett visst ärende. Detta överensstämmer med regleringen i polisdatalagen och kustbevakningsdatalagen. Av stor betydelse i detta sammanhang är dock den allmänna bestämmelse som regeringen har föreslagit i avsnitt 9.9 om att endast de personer som behöver uppgifterna för sitt arbete får ges tillgång till dem.
Eftersom behandling av gemensamt tillgängliga uppgifter medför särskilda risker för intrång i enskildas personliga integritet är det viktigt att begränsa möjligheterna till sådan behandling till de fall där behovet av att göra informationen gemensamt tillgäng är mera påtaglig.
Enligt 3 kap. 2 § första stycket 1 polisdatalagen och 4 kap. 1 § 1 kustbevakningsdatalagen gäller att uppgifter som kan antas ha samband med misstänkt brottslig verksamhet får göras gemensamt tillgängliga, om den misstänkta verksamheten innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller som sker systematiskt.
Även i Skatteverkets brottsbekämpande verksamhet bör krävas att det föreligger misstanke om att brottslig verksamhet har utövats eller kommer att utövas för att personuppgifter ska få göras gemensamt tillgängliga. Det bör krävas att uppgifterna kan antas ha samband med den misstänkta brottsliga verksamheten. Det är en självklarhet att uppgifter om brottsmisstankar och om de personer som är misstänkta för delaktighet i brottslig verksamhet ska få behandlas. Även uppgifter om personer som inte misstänkts måste emellertid få behandlas. Som exempel kan nämnas den som har informerat Skatteverket om den misstänkta brottsliga verksamheten, personer som är eller har varit registrerade som funktionärer i bolag som misstänks användas i brottslig verksamhet och personer som äger ett fordon som Skatteverket miss-
tänker används i den brottsliga verksamheten. Det kan i detta sammanhang framhållas att regeringen, som en integritetsskyddande åtgärd, föreslår att det för gemensamt tillgängliga uppgifter ska krävas att det genom en särskild upplysning eller på annat sätt framgår bl.a. om en uppgift kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva brottslig verksamhet (se avsnitt 9.14.3).
En fråga som måste tas ställning till är hur allvarlig den misstänkta brottsliga verksamheten ska vara för att uppgifter som antas ha samband med den ska få göras gemensamt tillgängliga. Enligt lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar får uppgifter behandlas i underrättelseverksamhet endast om det finns anledning att anta att det har utövats brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver, dvs. brott för vilka två års fängelse ingår i straffskalan. Definitionen av allvarlig brottslighet är densamma som gällde enligt den tidigare gällande polisdatalagen (se prop. 1998/99:34 s. 46).
I samband med införandet av polisdatalagen kom regeringen fram till ett annat resultat än det som gällde enligt den tidigare lagstiftningen. Enligt polisdatalagen får uppgifter göras gemensamt tillgängliga om de kan antas ha samband med misstänkt brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver, eller som sker systematiskt. Det påpekades bl.a. att om gränsen drogs vid ett års fängelse skulle fler brott inom specialstraffrätten omfattas. Vidare framhölls det faktum att ju mindre allvarlig brottslig verksamhet det är fråga om, desto mindre är som regel behovet av att sprida uppgifter. Det anfördes också att den då gällande avgränsningen måste ses mot bakgrund av att underrättelseverksamhet var ett ganska nytt arbetssätt när den tidigare polisdatalagen tillkom och att det då var naturligt att sätta upp förhållandevis snäva gränser för den behandling av personuppgifter som tilläts. Arbetet hade sedan dess utvecklats (prop. 2009/10:85 s. 132 f.). Även vid införandet av kustbevakningsdatalagen bedömdes att gränsen skulle dras vid brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver eller som sker systematiskt (prop. 2011/12:45 s. 115).
Datainspektionen anser bl.a. att det bör belysas närmare vilka konkreta behov Skatteverket har av att behandla sådana uppgifter som avses.
Några av de brott som Skatteverket får bedriva underrättelseverksamhet kring enligt lagen om Skatteverkets medverkan i brottsutredningar har en straffskala där fängelse i ett år är det högsta straffet. Det rör sig bl.a. om skatteavdragsbrott (6 § skattebrottslagen [1971:69]) samt brott mot förbudet mot lån till aktieägare m.m. (30 kap. 1 § första stycket 4 aktiebolagslagen [2005:551] och 11 § tredje stycket lagen [1967:531] om tryggande av pensionsutfästelse m.m.). Regeringen bedömer att brotten är av så allvarligt slag att det bör vara möjligt att göra uppgifter som avser sådan brottslighet gemensamt tillgängliga, i de fall det bedöms finnas ett behov av det i verksamheten.
Gränsdragningen mellan olika grader av skattebrott görs till stor del utifrån vissa beloppsgränser. Brott inom Skatteverkets verksamhetsområde där fängelse på minst ett år inte ingår i straffskalan är bl.a. skatteförseelse (ringa skattebrott). Normalt anses den övre gränsen för
skatteförseelse gå vid undandragen skatt på ett prisbasbelopp (44 300 kronor för år 2016). Det är angeläget att uppgifter får göras gemensamt tillgängliga vid misstanke om systematisk skattebrottslighet. Regeringen anser att det bör anges i lagen att detta är tillåtet. Upprepad skattebrottslighet kan ibland anses ske systematiskt.
Det kan framhållas att Polismyndigheten har befogenhet att bedriva underrättelseverksamhet kring alla de brott som Skatteverkets underrättelseverksamhet omfattar. Som regeringen tidigare framhållit är en enhetlig reglering för de olika brottsbekämpande myndigheterna önskvärd.
Sammanfattningsvis föreslår regeringen att uppgifter som kan antas ha samband med misstänkt brottslig verksamhet ska få göras gemensamt tillgängliga i Skatteverkets brottsbekämpande verksamhet, om den misstänkta verksamheten innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver eller som sker systematiskt.
Uppgifter som förekommer i ett ärende om utredning av brott
I lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar med tillhörande förordning finns inga särskilda bestämmelser som begränsar tillgången till personuppgifter i ärenden om utredning av brott. Det finns ett behov för Skatteverket att kunna göra uppgifter som behandlas för att utreda brott tillgängliga för de tjänstemän som arbetar med utredningen. I en brottsutredning kan det vara av avgörande betydelse att uppgifter snabbt kan inhämtas från andra brottsutredningar, så att det blir möjligt att bedöma om det finns några samband mellan utredningarna. Uppgifter i en förundersökning eller brottsanmälan behöver således kunna göras gemensamt tillgängliga för andra än de som arbetar med förundersökningen. Av lagen bör det mot den bakgrunden framgå att samtliga uppgifter som förekommer i ett ärende som avser utredning av brott får göras gemensamt tillgängliga.
Uppgifter som behövs för att fullgöra internationella åtaganden
I 3 kap. 2 § andra stycket 4 polisdatalagen och 4 kap. 1 § 3 kustbevakningsdatalagen finns bestämmelser om att uppgifter som behövs för att fullgöra vad som följer av internationella åtaganden får göras gemensamt tillgängliga i den brottsbekämpande verksamheten, om det krävs för att fullgöra den aktuella förpliktelsen. Vid tillkomsten av de lagarna gjordes bedömningen att man i princip bör kunna utgå ifrån samma kriterier vid gemensamt tillgängliggörande när det gäller internationellt samarbete som vid personuppgiftsbehandling för nationella behov (prop. 2009/10:85 s. 141 f. och prop. 2011/12:45 s. 118 f.).
Som tidigare framgått förekommer i dag inte internationella överenskommelser som innebär att Skatteverket i sin brottsbekämpande verksamhet är skyldigt att fullgöra förpliktelser. Regeringen anser dock inte att bestämmelserna om behandling av personuppgifter i den nya skattebrottsdatalagen ska lägga hinder i vägen för internationella överenskommelser som innebär skyldigheter för Skatteverkets brottsbekämpande verksamhet. För det fall Skatteverket åläggs förpliktelser enligt sådana överenskommelser bör uppgifter få göras gemensamt tillgängliga i samma utsträckning som är tillåtet enligt polisdatalagen och
kustbevakningsdatalagen. Det förekommer vidare att åklagare anlitar biträde av Skatteverket i ett ärende om rättslig hjälp. Bestämmelserna i polisdatalagen och kustbevakningsdatalagen innebär bl.a. att personuppgifter får göras gemensamt tillgängliga i förundersökningar som bedrivs parallellt i Sverige och i en annan stat och som gäller brott och brottsmisstankar som har samband med varandra.
Sammanfattningsvis anser regeringen att det även i den nya skattebrottsdatalagen bör införas en bestämmelse om att uppgifter som behövs för att fullgöra internationella åtaganden får göras gemensamt tillgängliga. Sådant tillgängliggörande ska få ske endast om det krävs för att förpliktelsen ska kunna fullgöras.
Lagförslag
Förslaget genomförs genom 3 kap. 2 § i den nya lagen.
Hänvisningar till S9-14-2
- Prop. 2016/17:89: Avsnitt 9.14.4, Författningskommentar till 2 § skattebrottsdatalag
9.14.3. Särskilda upplysningar för gemensamt tillgängliga personuppgifter
Regeringens förslag: För gemensamt tillgängliga uppgifter ska det genom särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas. Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva allvarlig eller systematiskt brottslig verksamhet, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt.
Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.
Remissinstanserna: Sveriges advokatsamfund välkomnar kravet på särskilda upplysningar, men bedömer att det finns risker med promemorians förslag vad gäller den praktiska tillämpningen. Advokatsamfundet anför att Åklagarmyndigheten, Rikspolisstyrelsen och andra remissinstanser vid tillkomsten av polisdatalagen har uttalat sig om svårigheterna att praktiskt tillämpa särskilda upplysningar.
Skälen för regeringens förslag
Upplysning om det närmare ändamålet med behandlingen
Både integritetsskyddsskäl och verksamhetsskäl talar för att det bör framgå för vilket ändamål en uppgift som har gjorts gemensamt tillgänglig behandlas.
Från integritetssynpunkt har en precisering av för vilket ändamål en personuppgift behandlas betydelse bl.a. för möjligheterna att genom tekniska förfaranden eller administrativa bestämmelser kunna styra åtkomsten till vissa uppgifter. En upplysning om ändamålet med behand-
lingen kan vidare vara en förutsättning för att tillsynsmyndigheterna ska kunna kontrollera att viss behandling är berättigad och sker i enlighet med lagens bestämmelser. Vad avser verksamhetsskälen är information om ändamålet med behandlingen viktig för att de tjänstemän som får tillgång till personuppgifter ska kunna värdera uppgifterna korrekt och använda sig av dem på ett effektivt och lagenligt sätt. Informationen behövs bl.a. för att en tjänsteman ska kunna ta ställning till om uppgiften får och bör behandlas för ett nytt ändamål. I den nya lagen bör därför tas in en särskild bestämmelse som innebär att det alltid ska framgå för vilket närmare ändamål en personuppgift behandlas. Detta kan framgå genom en särskild upplysning eller på annat sätt. En särskild upplysning behövs endast om ändamålet med behandlingen inte framgår av omständigheterna eller på något annat sätt. Normalt framgår t.ex. ändamålet av omständigheterna när en uppgift ingår i ett särskilt underrättelseprojekt eller i en särskild databas med ett visst ändamål.
Upplysning om att en person inte är misstänkt
Det är av stor betydelse för skyddet av den personliga integriteten att myndigheten behandlar personuppgifter på ett sådant sätt att det klart framgår om en person är misstänkt för brott eller brottslig verksamhet eller om behandlingen sker av någon annan anledning. Därför föreslås att det i lagen ställs krav på att det ska framgå om behandlingen avser uppgifter om en person som inte är misstänkt vare sig för ett konkret brott eller för att ha utövat eller komma att utöva brottslig verksamhet. Detta förhållande ska framgå genom en särskild upplysning eller på annat sätt. Redan i dag finns krav på särskilda upplysningar vid behandlingen av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Av 11 § andra stycket lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar framgår att uppgifter som behandlas i underrättelseverksamheten om en enskild person som det inte finns någon misstanke mot ska förses med upplysning om detta förhållande.
Ofta framgår det av omständigheterna att en uppgift avser en person som inte är misstänkt. Någon särskild upplysning behövs då inte. I vissa fall kan det pga. det sammanhang i vilket uppgifterna behandlas inte föreligga någon risk för att någon av misstag kan uppfattas som misstänkt för brott eller för brottslig verksamhet. Ibland kan klart framgå att personen inte är registrerad som misstänkt för brott eller brottslig verksamhet. I en förundersökning kan det t.ex. anges att någon är försvarare för en misstänkt person. Det kan också av en uppgiftssamlings natur klart framgå att de personer som ingår i samlingen inte är registrerade som misstänka för brottslig verksamhet. Vidare behöver inte enskilda uppgifter i förhör, inlagor eller i bild- och ljudupptagningar förses med särskilda upplysningar, eftersom det i dessa fall normalt framgår av sammanhanget om en omnämnd – eller på bild synlig – person inte är misstänkt. Det är framför allt när uppgifter presenteras utanför sitt sammanhang som särskilda upplysningar kan behövas.
Upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak
I Europarådets rekommendation No. R (87) 15 om användningen av personuppgifter inom polissektorn anges att skilda kategorier av lagrade uppgifter så långt som möjligt ska kunna skiljas från varandra efter graden av riktighet och tillförlitlighet (princip 3.2). I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas från uppgifter som har sin grund i omdömen eller personliga värderingar. Det ska således gå att utläsa om den som har lämnat uppgifter som sedan registreras kan anses vara tillförlitlig samt graden av riktighet i sak, t.ex. om informationen består av kontrollerade fakta eller endast icke styrkta påståenden. I 3 kap. 4 § polisdatalagen föreskrivs att gemensamt tillgängliga uppgifter om en person som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Motsvarande bestämmelse återfinns i 4 kap. 3 § kustbevakningsdatalagen.
Mot den bakgrunden bör det även i den nya lagen tas in en bestämmelse om att gemensamt tillgängliga uppgifter om personer som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.
Bestämmelsen om att särskilda omständigheter kan göra upplysningar onödiga innebär att personuppgifter som behandlas inom ramen för en brottsutredning inte behöver förses med upplysningar. Vid sådan personuppgiftsbehandling framgår det som regel direkt av sammanhanget varför det har ansetts finnas fog för att behandla uppgifter, t.ex. av förhörsprotokoll eller vittneslistor. Risken för missuppfattningar inom ramen för handläggningen av en sådan utredning är därför liten. Det bör också finnas utrymme för att inte lämna någon tilläggsupplysning i situationer där upplysningen framstår som överflödig. Så kan vara fallet beträffande personuppgifter av helt ”neutral” karaktär, exempelvis uppgifter som har inhämtats från folkbokföringen, vägtrafikregistret och liknande källor.
Lagförslag
Förslagen genomförs genom 3 kap. 3 och 4 §§ i den nya lagen.
Hänvisningar till S9-14-3
- Prop. 2016/17:89: Avsnitt 9.14.2, Författningskommentar till 3 § skattebrottsdatalag, Författningskommentar till 4 § skattebrottsdatalag
9.14.4. Sökbegränsningar
Förbud mot att använda känsliga personuppgifter som sökbegrepp
Regeringens förslag: Känsliga personuppgifter ska inte få användas som sökbegrepp vid sökning i gemensamt tillgängliga personuppgifter. Uppgifter som beskriver en persons utseende ska dock få användas som sökbegrepp.
Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorians förslag anges att sökbegränsningarna ska gälla även vid sökning i personuppgifter som har gjorts gemensamt tillgängliga enligt annan motsvarande författning. I promemorians förslag anges
också att förbudet att använda känsliga personuppgifter som sökbegrepp inte hindrar att brottsrubriceringar används som sökbegrepp.
Remissinstanserna: Datainspektionen anser att konsekvenserna för den personliga integriteten vid en avsaknad av begränsningar att söka på känsliga personuppgifter i icke gemensamt material måste utredas vidare.
Skälen för regeringens förslag: En av de från integritetssynpunkt viktigaste aspekterna vid behandling av personuppgifter är i vilken utsträckning uppgifter kan sökas och sammanställas. Ju större möjligheter det finns att sammanställa uppgifter om enskilda, desto större blir riskerna för intrång i enskildas integritet.
I avsnitt 9.11 framgår att regeringen föreslår att känsliga personuppgifter under vissa förutsättningar ska få behandlas enligt den nya lagen. Sökning på känsliga personuppgifter inger särskilda betänkligheter. Sådana sökningar kan möjliggöra exempelvis kartläggning av personer med viss politisk åsikt eller religiös inriktning. Mot den bakgrunden har det i 3 kap. 5 § polisdatalagen och 4 kap. 4 § kustbevakningsdatalagen föreskrivits förbud mot att använda känsliga personuppgifter som sökbegrepp vid sökning i personuppgifter som har gjorts gemensamt tillgängliga. Regeringen anser att en sådan bestämmelse bör införas även i den nya skattebrottsdatalagen.
I brottsbekämpande verksamhet finns behov av att söka på signalementsuppgifter. Enligt polisdatalagen och kustbevakningsdatalagen gäller att förbudet mot att använda känsliga personuppgifter som sökbegrepp inte hindrar att uppgifter som beskriver en persons utseende används som sökbegrepp. Regeringen anser att en bestämmelse med detta innehåll bör införas i den lag som nu föreslås.
Regeringen anser att det är tillräckligt att, såsom gäller enligt polisdatalagen och kustbevakningsdatalagen, bara begränsa sökbegreppen vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Datainspektionen anser att förslagets konsekvenser i denna del för den personliga integriteten bör utredas vidare. Det kan konstateras att personuppgifter som inte har gjorts gemensamt tillgängliga behandlas av en avgränsad krets av tjänstemän. I den nya lagen föreslås vidare att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Risken för spridning och intrång i den personliga integriteten får i dessa fall bedömas vara så ringa att bestämmelser om sökbegränsningar inte behöver föreslås för uppgifter som inte görs gemensamt tillgängliga. Integritetsskyddet för uppgifter som inte görs gemensamt tillgängliga upprätthålls genom den allmänna bestämmelsen om behandling av känsliga uppgifter i den nya lagen. Mot den bakgrunden anser regeringen att, i likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen, sökbegränsningarna för känsliga personuppgifter bör gälla endast vid sökning i uppgifter som har gjorts gemensamt tillgängliga.
I promemorian föreslås att bestämmelserna om sökbegränsningar ska gälla även vid sökning i uppgifter som har gjorts gemensamt tillgängliga enligt annan motsvarande författning. Som framgår av avsnitt 9.15.2 får brottsbekämpande myndigheter ges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga enligt polisdatalagen och kustbevakningsdatalagen. Regeringen anser inte att det i den nu föreslagna lagen finns skäl för en sådan reglering avseende sökbegränsningarna som föreslås i
promemorian. I stället bör regleringen utformas på samma sätt som i de nyss nämnda författningarna.
Den brottslighet som Skatteverkets arbete är inriktat mot är inte av det slaget att det finns behov av att använda brottsrubriceringar som kan innefatta känsliga personuppgifter som sökbegrepp. Någon bestämmelse om att detta ska vara tillåtet bör enligt regeringens mening därför inte införas.
Förslaget genomförs genom 3 kap. 5 § i den nya lagen.
Sökning på namn, personnummer, samordningsnummer och liknande identitetsbeteckningar
Regeringens förslag: Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga, ska endast sådana uppgifter få tas fram som anger att den sökta personen
1. är anmäld för brott,
2. är eller har varit misstänkt för brott,
3. är misstänkt för att ha utövat eller komma att utöva viss brottslig verksamhet,
4. har anmält ett brott,
5. är målsägande i ett ärende som rör ansvar för brott,
6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,
7. har gett in eller tillhandahållits en handling,
8. har bedömts kunna komma att möta ett ingripande med grovt våld, eller
9. är eller har varit registrerad som funktionär i en eller flera juridiska personer som kan antas ha samband med brottslig verksamhet.
I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om begränsning av tillgången till uppgifterna.
Sökbegränsningarna ska inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar med undersökningen har åtkomst till.
Begränsningarna ska inte heller gälla vid sökning som utförs av särskilt angivna tjänstemän och som görs
1. för att förebygga, förhindra eller upptäcka särskilt allvarlig brottslig verksamhet, eller
2. för att utreda särskilt allvarliga brott. I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av dessa undantagsbestämmelser och om ytterligare undantag från sökbegränsningarna.
Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorians förslag anges att sökbegränsningarna ska gälla
även vid sökning i personuppgifter som har gjorts gemensamt tillgängliga enligt annan motsvarande författning. I promemorians förslag till lagtext anges vidare inte att det vid en sökning på identitetsbeteckningar får tas fram uppgifter om att personen har gett in eller tillhandahållits en handling.
Remissinstanserna: Inga remissinstanser har berört frågan särskilt.
Skälen för regeringens förslag
Sökning på namn, personnummer eller liknande uppgifter
Det är självklart att Skatteverket behöver göra sökningar bl.a. med hjälp av personnummer. Namn och personnummer är viktiga för identifieringen av en person och kontrolleras regelmässigt i samband med brottsutredningar och annat brottsbekämpande arbete. Detsamma gäller samordningsnummer, dvs. sådana identitetsbeteckningar som enligt 18 a § folkbokföringslagen (1991:481) kan tilldelas personer som inte är eller har varit folkbokförda i Sverige. Personuppgifter av detta slag måste i stor utsträckning användas i brottsutredningar för att undanröja risken för personförväxling. Det är uppenbart att möjligheten att göra sökningar på sådana uppgifter även kan vara av betydelse vid underrättelseverksamhet. Det bör t.ex. vara möjligt att inom ramen för det arbete som bedrivs i en undersökning som avser viss misstänkt brottslig verksamhet söka fram uppgifter om huruvida de personer som figurerar i det ärendet är eller har varit misstänkta i andra ärenden. Det ökar väsentligt möjligheterna att förhindra, upptäcka och beivra brott. Den nya lagen bör därför ge utrymme för sökningar på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar.
Samtidigt är det tydligt att användandet av detta slag av uppgifter som sökbegrepp ger upphov till särskilda risker från integritetssynpunkt. En sökning på exempelvis ett personnummer ger, i vart fall om den sker i en större informationsmängd av den karaktär som kan finnas i den brottsbekämpande verksamheten, möjlighet till kartläggningar av en persons privata förhållanden. Mot den bakgrunden bör en obegränsad möjlighet att göra sökningar med hjälp av detta slag av uppgifter inte förekomma. En bestämmelse som innebär att namn, personnummer och samordningsnummer får användas som sökbegrepp bara om uppgifterna avser en person som är misstänkt för något visst brott eller viss brottslig verksamhet, medför att sökningar som kan vara nödvändiga inom ramen för ett underrättelseprojekt eller en brottsutredning inte tillåts. I dessa fall kan det vara av vikt att kunna klarlägga om personer som har anknytning till den undersökta verksamheten – men som vid den tidpunkten inte är misstänkta – förekommer som misstänkta i andra underrättelseprojekt eller i brottsutredningar som gäller liknande brott. Det kan också vara viktigt att få fram uppgifter om att en viss person frekvent anmäler brott, eftersom det kan ha betydelse för dennes trovärdighet. För det fall Skatteverket inte skulle få denna möjlighet finns det risk för att det brottsbekämpande arbete som myndigheten ansvarar för och samarbetet med andra myndigheter inte skulle kunna bedrivas tillfredsställande. Konsekvenserna av detta kan bli att viss brottslighet inte uppmärksammas och åtgärdas. Även med beaktande av skyddet för den personliga integriteten får Skatteverkets behov av dessa sökmöjligheter
anses väga tyngre. Mot denna bakgrund bör möjligheten att söka på namn, personnummer och liknande identitetsuppgifter också omfatta andra än misstänkta personer i vissa fall.
Utgångspunkten bör vara att endast vissa uppgifter får tas fram genom sökningar på namn, personnummer och liknande identitetsuppgifter i uppgifter som har gjorts gemensamt tillgängliga. En regel om sökbegränsningar måste dock utformas så att uppgifter som det generellt finns ett stort behov av får tas fram.
I promemorian föreslås att det anges att sökbegränsningarna ska gälla även vid sökning i uppgifter som har gjorts gemensamt tillgängliga enligt annan motsvarande författning. Som framgår ovan gör regeringen bedömningen att regleringen i stället bör utformas på samma sätt som i polisdatalagen och kustbevakningsdatalagen.
Uppgifter som bör få tas fram vid en sökning
När det gäller vilka uppgifter som ska få tas fram vid sökning på namn, personnummer och liknande uppgifter kan polisdatalagens bestämmelser tjäna som utgångspunkt. Skatteverkets brottsbekämpande verksamhet har visserligen mera avgränsade uppgifter än vad Polismyndigheten har. Verksamheten omfattar dock ett område där grov brottslighet, i första hand skattebrottslighet, förekommer.
Först och främst finns det ett stort behov av att ta fram uppgifter om en viss person har anmälts för brott, är eller har varit misstänkt för brott eller för allvarlig brottslig verksamhet eller brottslighet som sker systematiskt. Med allvarlig brottslighet avses här detsamma som i avsnitt 9.14.2, dvs. verksamhet som innefattar brott för vilket kan följa fängelse i ett år eller däröver. Det intrång som möjligheten att söka i de gemensamt tillgängliga uppgifterna leder till, får anses vägas väl upp av den ökade effektivitet i brottsbekämpningen som regleringen avser att tillgodose.
Vidare har Skatteverket i den brottsbekämpande verksamheten behov av att få fram uppgift om huruvida en person har anmält ett brott eller om han eller hon är målsägande eller vittne i en brottsutredning, liksom av uppgift om en handling har lämnats in av eller expedierats till personen i fråga. Uppgifterna är typiskt sett mindre integritetskänsliga än uppgifter om dem som misstänks för brott. Sökmöjligheterna är samtidigt nödvändiga för att verksamheten ska kunna bedrivas på ett rationellt och ändamålsenligt sätt. Sådana sökningar bör därför vara tillåtna. En uppgift om att en person har bedömts kunna möta ett ingripande med grovt våld är viktig information för Skatteverket och bör få tas fram vid sökning.
I Skatteverkets brottsbekämpande verksamhet finns vidare behov av att söka fram uppgifter om att en viss person är eller har varit registrerad som funktionär i en eller flera juridiska personer vilka kan antas ha samband med brottslig verksamhet. Inom den brottslighet som omfattas av Skatteverkets verksamhet utgör juridiska personer så gott som alltid ett brottsverktyg. Ofta involveras ett stort antal företag för att dölja brottsligheten och försvåra myndigheternas utredningsarbete. Det är av avgörande betydelse att gemensamma nämnare i dessa företag kan kartläggas. Sökningar som sker i syfte att ta fram dessa uppgifter behöver därför få göras.
Det bör framhållas att de sökbegränsningar som nu föreslås endast omfattar den initiala sökningen. En allmän sökning som görs med hjälp av personnummer eller motsvarande identitetsbeteckning ska alltså endast ge uppgifter om vederbörande tillhör någon eller några av de kategorier som nyss har angetts. Sedan man väl har fått träff på en viss person, exempelvis som misstänkt för brott i en viss förundersökning, ska ytterligare uppgifter kunna tas fram genom en fortsatt behandling i den uppgiftsmängden. Möjligheten att få tillgång till ytterligare uppgifter, kanske hela förundersökningen, avgörs av vilken behörighet den berörda tjänstemannen har och om behandlingen behövs för något av ändamålen i den föreslagna lagen. Som framgår nedan föreslås att sökbegränsningarna inte ska gälla för den som har tillgång till ett enskilt ärende.
Möjligheten att vid en sökning få fram vissa typer av personuppgifter kan behöva begränsas ytterligare. Det kan t.ex. handla om personuppgifter av vilka det framgår att någon är eller har varit misstänkt för brott som förekommer i en nedlagd förundersökning. Sådana föreskrifter kan regeringen meddela med stöd av sin restkompetens enligt 8 kap. 7 § regeringsformen, om lagen inte utesluter det. I lagen bör därför införas en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om ytterligare begränsningar av tillgången till sådana uppgifter.
Sökningar som inte bör omfattas av sökbegränsningarna
De integritetsrisker som motiverar inskränkningar i fråga om vilka uppgifter som får tas fram vid sökning på namn och andra direkta personuppgifter gör sig inte gällande i samma utsträckning när det är fråga om sökningar i ett begränsat material, t.ex. en viss handling eller ett visst ärende. Det är från effektivitetssynpunkt dessutom rimligt att en tjänsteman som arbetar i ett elektroniskt dokument får söka fritt i det dokumentet genom att t.ex. använda sedvanliga sökfunktioner i ett ordbehandlingsprogram. Begränsningarna i fråga om vilka uppgifter som får tas fram bör därför inte gälla vid sökning i en viss handling eller i ett visst ärende. En reglering med sådan innebörd bör därför införas, i likhet med vad som gäller för Polismyndigheten och Kustbevakningen.
I vissa fall bedrivs arbete inom ramen för en begränsad undersökning som avser vissa preciserade slag av brottslighet. I sådant arbete upprättas ofta särskilda uppgiftssamlingar som syftar till att kartlägga brottsligheten. Även i dessa fall är det fråga om begränsat material. Endast de tjänstemän som deltar i undersökningen har tillgång till uppgiftssamlingarna i fråga. Enligt regeringens mening bör det vara möjligt för dessa tjänstemän att göra obegränsade sökningar. Regeringen föreslår därför att sökbegränsningarna inte ska gälla vid sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.
För vissa delar av den brottsbekämpande verksamheten kan begränsningar i sökmöjligheterna leda till problem som motiverar att den personliga integriteten i viss mån får stå tillbaka för kravet på en effektiv brottsbekämpning. Det gäller bl.a. underrättelseverksamhet som avser
särskilt allvarlig brottslighet som t.ex. grova skattebrott och grova bokföringsbrott. Här finns det ett påtagligt behov av att kunna göra mer omfattande sökningar. Det bör därför, i likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen, inte införas några begränsningar i möjligheten att söka på namn, personnummer eller samordningsnummer vid sökning som görs för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i fyra år eller däröver. En förutsättning för detta bör dock vara att sökningen utförs av tjänstemän som har tilldelats särskild behörighet att utföra sådana sökningar. Dessa tjänstemän bör få utföra mer omfattande sökningar, exempelvis i flera olika uppgiftssamlingar om viss brottslighet eller vissa kriminella grupperingar. Vilka kategorier av tjänstemän som bör tilldelas denna särskilda behörighet och hur många tjänstemän det kan bli fråga om beror på hur Skatteverket organiserar sin verksamhet. Det bör kunna vara fråga om allt ifrån ett fåtal utpekade personer vid en myndighet till samtliga personer på en enhet som har till uppgift att hantera t.ex. underrättelseverksamhet som avser särskilt allvarlig brottslighet. Det bör meddelas föreskrifter om vilka närmare kvalifikationskrav m.m. som bör ställas på dessa tjänstemän och på att myndigheten dokumenterar vilka tjänstemän som har beviljats denna utökade möjlighet att söka efter uppgifter.
Ibland kan det också finnas behov av att göra mera omfattande sökningar inom ramen för en förundersökning om ett allvarligt brott. I likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen bör begränsningarna i möjligheten att söka på namn, personnummer eller samordningsnummer inte gälla vid sökning som utförs av särskilt angivna tjänstemän och som görs för att utreda brott för vilket är föreskrivet fängelse i fyra år eller däröver.
Det kan inte uteslutas att det finns andra situationer än de nu nämnda där Skatteverket har särskilda behov av att kunna söka och sammanställa information, t.ex. för att upprätthålla vissa specifika funktioner inom klart avgränsade områden. Mot denna bakgrund bör regeringen eller den myndighet som regeringen bestämmer, i likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen, ha möjlighet att meddela föreskrifter om ytterligare undantag från de föreslagna sökbegränsningarna. Regeringen bör också, i överensstämmelse med de nämnda lagarna, ha möjlighet att meddela föreskrifter om under vilka förutsättningar sökning får äga rum. Regeringen föreslår att det införs upplysningsbestämmelser genom vilka det framgår att sådana föreskrifter får meddelas. Det görs därvid en uttrycklig hänvisning till 8 kap. 7 § regeringsformen.
Lagförslag
Förslagen genomförs genom 3 kap. 6 och 7 §§ i den nya lagen.
Hänvisningar till S9-14-4
9.15. Informationsutbyte och sekretess
9.15.1. Behovet av ett effektivt informationsutbyte mellan svenska brottsbekämpande myndigheter
Regeringens bedömning: En effektiv brottsbekämpning förutsätter att de brottsbekämpande myndigheterna kan utbyta information på ett rationellt sätt.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Flera remissinstanser, däribland Rikspolisstyrelsen, Åklagarmyndigheten, Ekobrottsmyndigheten och Tullverket framhåller behovet av att de brottsbekämpande myndigheterna kan utbyta information på ett effektivt sätt.
Skälen för regeringens bedömning: Samarbetet mellan brottsbekämpande myndigheter har blivit allt viktigare i det brottsförebyggande och brottsutredande arbetet. Ett effektivt och framgångsrikt arbete mot allvarlig och organiserad brottslighet förutsätter att man kan dra nytta av den samlade kunskap om brott och brottslingar som finns inte bara inom Skatteverkets brottsbekämpande verksamhet utan också hos andra myndigheters brottsbekämpande verksamheter. Informationsutbyte har även betydelse för bekämpning av mängdbrottslighet.
Uppdelningen av den brottsbekämpande verksamheten på olika myndigheter har i stor utsträckning kommit att påverka möjligheterna till informationsutbyte, bl.a. eftersom det kan råda sekretess mellan myndigheterna. Detta har visat sig begränsa effektiviteten i brottsbekämpningen. Av samma skäl som det är viktigt att man inom Skatteverkets brottsbekämpande verksamhet på ett effektivare sätt kan tillgodogöra sig den information som finns inom den egna organisationen, är det viktigt att nyttiggöra informationen i samarbete med andra brottsbekämpande verksamheter. Ett förbättrat informationsutbyte gör det möjligt att utnyttja de samlade resurserna effektivare och ökar förutsättningarna för att brott i större utsträckning kan klaras upp snabbt och att felaktiga brottsmisstankar kan avföras från utredning. Behovet av informationsutbyte mellan de brottsbekämpande verksamheterna är särskilt stort när det gäller att kartlägga och begränsa organiserad brottslighet, men det finns även behov av samarbete och informationsutbyte i kampen mot annan allvarlig eller systematisk brottslighet.
Det pågår ett fortlöpande arbete med att utveckla system för informationsutbyte inom och mellan brottsbekämpande verksamheter, bl.a. inom ramen för det samverkansarbete som rättsväsendets myndigheter bedriver och som syftar till att utveckla det elektroniska informationsflödet genom hela rättskedjan (Ju2012/6639). Flera utredningar har också under senare år betonat att det måste skapas förutsättningar för ett förbättrat utbyte av information mellan de brottsbekämpande myndigheterna (se t.ex. betänkandena SOU 2002:113, SOU 2005:117, SOU 2006:18 och SOU 2011:80). Den gemensamma uppfattningen hos dessa utredningar har varit att den brottsbekämpande verksamheten hos en myndighet ska kunna lämna information till sådan verksamhet hos en annan myndighet,
om den senare myndigheten behöver informationen i sin brottsbekämpande verksamhet.
I tidigare avsnitt har det myndighetsöverskridande arbetet mot organiserad brottslighet berörts. Genom nyligen genomförda lagändringar har det också blivit enklare att utbyta information vid samverkan mot organiserad brottslighet. Lagen om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet innehåller sekretessbrytande bestämmelser som gäller vid särskilt beslutad samverkan mellan myndigheter för att förebygga, förhindra eller upptäcka brottslig verksamhet av i lagen närmare angivet slag, se propositionen Informationsutbyte vid samverkan mot organiserad brottslighet (prop. 2015/16:167).
I det nyligen antagna dataskyddsdirektivet, Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, lyfts också fram att det är viktigt att medlemsstaterna säkerställer att behöriga myndigheters utbyte av personuppgifter inom unionen, när sådant utbyte krävs enligt unionsrätten eller medlemsstaternas nationella rätt, varken begränsas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter (artikel 1).
Å ena sidan innebär ett förbättrat informationsutbyte ett ökat flöde av uppgifter mellan myndigheter vilket kan skapa större risker för intrång i den personliga integriteten, särskilt om de uppgifter som behandlas är av känsligt slag eller används utan hänsyn till det sammanhang i vilket de samlades in. Även insamling och utbyte av förhållandevis harmlösa uppgifter kan, om de skapar en totalbild av en enskild persons förhållanden, riskera att leda till intrång i den personliga integriteten.
Vid informationsutbyte mellan brottsbekämpande verksamheter hos myndigheter bör å andra sidan beaktas att de myndigheter som bedriver underrättelseverksamhet har likartade regler om sådan verksamhet och att alla myndigheter tillämpar samma grundläggande regler för brottsutredning. Vidare har uppgifter som rör brott och brottsbekämpning i princip samma sekretesskydd hos alla berörda myndigheter. Skyddet vid behandlingen av personuppgifter är också likartat. Även om det kan finnas nackdelar med ett ökat informationsflöde mellan de brottsbekämpande myndigheterna väger fördelarna över. De integritetsrisker som kan finnas vägs in när bestämmelserna utformas och när myndigheter beviljas direktåtkomst, se avsnitt 9.15.2.
Det ligger i sakens natur att informationsutbytet till stor del avser uppgifter som omfattas av sekretess, eftersom åtskilliga av de uppgifter som behandlas inom den brottsbekämpande verksamheten skyddas av någon typ av sekretess. En grundläggande förutsättning för att uppgifter ska få lämnas till en annan myndighet är att sekretess inte hindrar att uppgifterna lämnas ut. Detta gäller oberoende av om det rör sig om elektroniskt lagrade uppgifter eller uppgifter på papper. I offentlighets- och sekretesslagen finns det ett antal bestämmelser som innebär att sekretess inte hindrar utbyte av uppgifter mellan nationella brottsbekämpande myndigheter. Enligt 10 kap. 28 § offentlighets- och sekretesslagen hindrar sekretess inte att en uppgift lämnas till en annan
myndighet, om uppgiftsskyldighet följer av lag eller förordning. Frågan om nya sådana bestämmelser bör införas berörs bl.a. i avsnitt 9.15.4.
Informationsutbytet mellan brottsbekämpande myndigheter sker i dag till stor del manuellt. Uppgifter kan lämnas både i pappersform och elektroniskt, t.ex. via e-post. I viss utsträckning förekommer elektroniskt utlämnande genom att mottagaren ges rätt att själv söka efter information som den utlämnande myndigheten har tillgång till (direktåtkomst).
En ordning som innebär att informationsutbytet i huvudsak sker genom manuell behandling skapar praktiska problem, särskilt som brottsbekämpningen bedrivs dygnet runt. Uppgifter som en tjänsteman behöver omedelbart för att kunna genomföra en tjänsteåtgärd måste vara lätt tillgängliga även utanför vanlig kontorstid.
Det finns alltså ett stort och växande behov av ett effektivt informationsutbyte mellan de brottsbekämpande myndigheterna. Detta behov måste kunna tillgodoses genom ökad användning av elektronisk kommunikation. Den nya lagen bör därför underlätta sådant informationsutbyte och bidra till att utveckla samarbetet med andra brottsbekämpande myndigheter, samtidigt som den värnar om enskildas integritet.
I följande avsnitt presenteras överväganden och förslag avseende bl.a. metoder för utlämnande, frågor om sekretess och uppgiftsskyldighet.
Hänvisningar till S9-15-1
9.15.2. Direktåtkomst för svenska brottsbekämpande myndigheter
Regeringens förslag: Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Tullverket ska få medges direktåtkomst till personuppgifter i Skatteverkets brottsbekämpande verksamhet. Direktåtkomsten ska endast få avse personuppgifter som är gemensamt tillgängliga.
En myndighet som har medgetts direktåtkomst ska ansvara för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.
Remissinstanserna: Kriminalvården föreslår att Kriminalvårdens roll regleras på samma sätt som för övriga brottsbekämpande myndigheter.
Kriminalvården har ett tydligt brottsbekämpande uppdrag då myndigheten ska vidta åtgärder som syftar till att brottslighet under verkställigheten förhindras och verka för att återfall i brott förebyggs.
Datainspektionen konstaterar att skälen till att Polismyndigheten,
Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen har ett behov av direktåtkomst till uppgifterna inte har utvecklats närmare i promemorian. Datainspektionen ställer frågan om det finns skäl att medge endast vissa brottsbekämpande myndigheter direktåtkomst med hänsyn tagen till respektive myndighets arbets-
uppgifter och mandat och anför att det utan en närmare analys inte går att bedöma lämpligheten och konsekvenserna av att medge andra myndigheter direktåtkomst till Skatteverkets information.
Skälen för regeringens förslag: Enligt 3 kap. 8 § polisdatalagen och 4 kap. 7 § kustbevakningsdatalagen får ett antal namngivna brottsbekämpande myndigheter, däribland Skatteverket, medges direktåtkomst till personuppgifter i brottsbekämpande verksamhet. Motsvarande bestämmelse finns även i åklagardatalagen. Även i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och den tillhörande förordningen finns bestämmelser om att andra brottsbekämpande myndigheter får ha direktåtkomst till uppgifter som behandlas i
Tullverkets brottsbekämpande verksamhet.
Direktåtkomsten får enligt polisdatalagen och kustbevakningsdatalagen endast avse personuppgifter som är gemensamt tillgängliga. Den myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Frågan om i vilken utsträckning andra myndigheter får medges direktåtkomst regleras i dag inte i lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. Det behov av informationsutbyte som föranlett bestämmelserna om direktåtkomst till uppgifter hos andra brottsbekämpande myndigheter gör sig enligt regeringens mening gällande även beträffande de uppgifter som behandlas inom Skatteverkets brottsbekämpande verksamhet.
Att olika arbetsuppgifter inom brottsbekämpningen av organisatoriska, historiska eller andra skäl är uppdelade och ligger på skilda myndigheter, innebär inte nödvändigtvis att det uppstår större risker från integritetssynpunkt med direktkopplingar mellan information hos de olika myndigheterna än vad som skulle ha varit fallet om all brottsbekämpande verksamhet låg hos en och samma myndighet, jfr propositionen Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (2004/05:164 s. 87).
Alltför vittgående möjligheter till direktåtkomst kan dock öka riskerna för intrång i den personliga integriteten. Typiskt sett innebär direktåtkomst nämligen att uppgifter blir tillgängliga för fler personer och att den ursprungliga myndighetens möjligheter att kontrollera användningen av uppgifterna minskar. Mot den bakgrunden föreslår regeringen att särskilda regler ska gälla vid direktåtkomst till personuppgifter som behandlas i Skatteverkets brottsbekämpande verksamhet.
Datainspektionen anför att skälen till att de brottsbekämpande myndigheterna har ett behov av direktåtkomst till uppgifter hos Skatteverket inte har utvecklats närmare i promemorian. Som framgår ovan förekommer redan direktåtkomst mellan brottsbekämpande myndigheter. Modern teknik ökar möjligheterna att skapa överblick och samordning i det brottsbekämpande arbetet och att utnyttja tillgänglig information på ett effektivt sätt. Det är angeläget att dessa möjligheter kan användas. De brottsbekämpande myndigheterna har ofta behov av att på ett snabbt och enkelt sätt få omedelbar tillgång till information genom direktåtkomst.
Verksamhetsskäl talar således för att ge de brottsbekämpande myndigheterna möjlighet till direktåtkomst.
Mot de brottsbekämpande myndigheternas verksamhetsbehov måste hänsynen till enskildas integritet vägas. Integritetsaspekterna måste tillmätas central betydelse vid bedömningen av i vilken omfattning sådana myndigheter bör kunna medges direktåtkomst till uppgifter i varandras verksamhet. I de databaser och register som förs av brottsbekämpande myndigheter finns det ofta stora mängder personuppgifter. Många av dessa kan vara av känslig karaktär. Enbart det förhållandet att uppgifter om en enskild persons förhållanden samlas in och bevaras kan uppfattas som ett intrång i den personliga integriteten. Ju fler personer som har omedelbar tillgång till sådana uppgiftssamlingar, desto mera påtaglig är risken för intrång. Direktåtkomst kan också minska möjligheterna att kontrollera den vidare användningen av uppgifterna. Dessa förhållanden utgör skäl för en restriktiv hållning i fråga om direktåtkomst till personuppgifter som Skatteverket behandlar i den brottsbekämpande verksamheten.
En viktig aspekt som bör beaktas vid den avvägning som måste göras är om det, när det är fråga om direktåtkomst till sekretessreglerade uppgifter, gäller sekretess för uppgifterna hos den mottagande myndigheten. En annan viktig aspekt är hur uppgifterna sprids och används inom den mottagande myndigheten. Om användandet av uppgifterna inom den myndigheten kan begränsas till en liten krets, är integritetsriskerna mindre än om uppgifterna ges en vid spridning. En tredje aspekt är vilka bestämmelser om informationssäkerhet (t.ex. system för behörighet, loggning och tillsyn) som gäller hos den mottagande myndigheten. Om informationssäkerheten hos den mottagande myndigheten är hög, så att det kan garanteras att informationen endast når dem som har behov av den, inger möjlighet till direktåtkomst mindre betänkligheter från integritetssynpunkt än vad som annars hade varit fallet. En fjärde aspekt är att möjligheterna att göra integritetskänsliga sökningar bland personuppgifterna inte ska öka bara för att dessa är föremål för direktåtkomst.
Det kan anmärkas att de brottsbekämpande myndigheterna har författningar som reglerar behandlingen av personuppgifter på ett likartat sätt. Sekretessregleringen ger också i princip samma skydd för uppgifter i brottsbekämpningen hos samtliga brottsbekämpande myndigheter. Myndigheterna omfattas således av bl.a. bestämmelserna om sekretess till skydd för brottsbekämpningen i 18 kap.1 och 2 §§offentlighets- och sekretesslagen och bestämmelserna om sekretess till skydd för enskildas personliga och ekonomiska förhållanden i sådan verksamhet, som regleras i 35 kap. samma lag. Det finns också en särskild bestämmelse, 11 kap. 4 §, om överföring av sekretess vid direktåtkomst. Om en myndighet har elektronisk tillgång till en annan myndighets upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad hos den andra myndigheten, blir sekretessbestämmelsen tillämplig också hos den mottagande myndigheten. Detta gäller dock inte om uppgiften ingår i ett beslut hos den mottagande myndigheten. Det finns även en särskild bestämmelse i 11 kap. 8 § offentlighets- och sekretesslagen om vad som gäller vid konkurrens mellan den överförda sekretessen och sådan sekretess som är direkt tillämplig hos den mottagande myndigheten, se avsnitt 9.15.3.
Vad sedan gäller tillgången till uppgifterna hos de mottagande myndigheterna har i avsnitt 9.9 föreslagits att en enskild tjänsteman inom
Skatteverket ska ges tillgång endast till sådana uppgifter som han eller hon behöver för att kunna fullgöra sina arbetsuppgifter på ett ändamålsenligt sätt. Motsvarande begränsning bör gälla hos de myndigheter som genom direktåtkomst får tillgång till personuppgifter som Skatteverket behandlar. Särskilda regler om detta föreslås därför i den nya lagen. En möjlighet till direktåtkomst behöver alltså inte innebära annat än att en begränsad krets av tjänstemän – eller enbart en viss tjänsteman – hos den mottagande myndigheten får tillgång till uppgifterna.
Vad gäller informationssäkerhet i samband med direktåtkomst har regeringen eller den myndighet som regeringen bestämmer möjlighet att meddela särskilda föreskrifter om detta. En bestämmelse som upplyser om den möjligheten föreslås, se nedan. Om de brottsbekämpande myndigheterna ska ges möjlighet till direktåtkomst till varandras personuppgifter, bör den myndighet som beslutar om sådan åtkomst vara skyldig att försäkra sig om att den mottagande myndigheten har en acceptabel säkerhetsnivå, t.ex. vad gäller system för utlämnande av behörighet och loggning av transaktioner samt tillsyn. Det kan i sammanhanget noteras att den tekniska utvecklingen fortlöpande ger bättre möjligheter att begränsa tillgången till olika uppgifter och att i efterhand genom bl.a. loggningsuppgifter kontrollera hur tillgången har utnyttjats.
De ökade integritetsrisker som en möjlighet till direktåtkomst kan medföra kan alltså motverkas genom bestämmelser av annat slag, såsom befintliga bestämmelser om sekretess och bestämmelser om tillgång till och sökning bland uppgifter och om informationssäkerhet. Den nya lagen bör därför tillåta att övriga brottsbekämpande myndigheter ges direktåtkomst till personuppgifter som behandlas i Skatteverket brottsbekämpande verksamhet.
Datainspektionen ställer frågan om det finns skäl att medge endast vissa brottsbekämpande myndigheter direktåtkomst med hänsyn tagen till respektive myndighets arbetsuppgifter och mandat och anför att det utan en närmare analys inte går att bedöma lämpligheten och konsekvenserna av att medge andra myndigheter direktåtkomst till Skatteverkets information. Regeringen vill med anledning av detta anföra följande. Skatteverket deltar i myndighetsöverskridande samarbete där samtliga brottsbekämpande myndigheter medverkar. Bland annat deltar samtliga de myndigheter som föreslås kunna medges direktåtkomst i den nationella satsningen mot organiserad brottslighet. Det kan finnas koppling mellan sådan brottslighet som skattebrottsenhetens arbete är inriktat mot och olika typer av annan brottslighet. Regeringen anser att samma bestämmelser om direkåtkomst för de brottsbekämpande myndigheterna som finns i polisdatalagen och kustbevakningsdatalagen bör finnas även i den nya skattebrottsdatalagen. Det är således de olika myndigheternas behov av uppgifter som avgör i vilken utsträckning direktåtkomst får medges, se närmare avsnitt 9.15.4.
Kriminalvården föreslår att Kriminalvårdens roll regleras på samma sätt som för övriga brottsbekämpande myndigheter. Någon möjlighet att ge Kriminalvården direktåtkomst till uppgifter finns inte i vare sig polisdatalagen eller Kustbevakningsdatalagen. Regeringen anser inte att det finns skäl att i den nu aktuella lagen införa en sådan möjlighet.
Vad gäller övriga förutsättningar för direktåtkomsten för de uppräknade myndigheterna gör regeringen följande överväganden. Direkt-
åtkomsten bör endast få avse personuppgifter som är gemensamt tillgängliga. Även om myndighetsöverskridande samarbete äger rum i mindre grupper innebär informationsutbytet att uppgifter som behandlas av Skatteverket blir tillgängliga utanför det sammanhang där de ursprungligen har behandlats. Det är då ur ett integritetsperspektiv rimligt att de särskilda, mer begränsande reglerna om gemensamt tillgängliga uppgifter, exempelvis särskilda upplysningar och sökbegränsningar, alltid tillämpas. Motsvarande överväganden har skett i bl.a. förarbetena till ny kustbevakningsdatalag (prop. 2011/12:45 s. 138).
I likhet med vad som gäller enligt polisdatalagen, kustbevakningsdatalagen och åklagardatalagen bör det föreskrivas att den myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Det bör i lagen upplysas om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om direktåtkomsten samt om behörighet och säkerhet.
Förslaget genomförs genom 3 kap. 8 § i den nya lagen.
Hänvisningar till S9-15-2
- Prop. 2016/17:89: Avsnitt 9.14.4, 9.15.1, 9.15.4, Författningskommentar till 8 § skattebrottsdatalag
9.15.3. Sekretess i Skatteverkets brottsbekämpande verksamhet
Regler om sekretess i den brottsbekämpande verksamheten
Sekretess till skydd för intresset av att förebygga eller beivra brott regleras i 18 kap. offentlighets- och sekretesslagen. Sekretess gäller, i större eller mindre utsträckning, för förundersökningar och motsvarande utredningar enligt 23 kap. rättegångsbalken (18 kap. 1 §) och som regel för underrättelseuppgifter (18 kap. 2 §). Sekretessbestämmelser till skydd för enskild i motsvarande fall finns huvudsakligen i 35 kap. offentlighets- och sekretesslagen, som reglerar sekretess till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott.
Sekretessen enligt 35 kap. 1 § offentlighets- och sekretesslagen skyddar enskilds personliga och ekonomiska förhållanden. Sekretessen omfattar bl.a. uppgifter i utredning enligt bestämmelserna om förundersökning i brottmål (1), användning av tvångsmedel (2), annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen (4), register som förs av Polismyndigheten enligt 4 kap. polisdatalagen (register över DNA-profiler) eller som annars behandlas där med stöd av 6 kap. (Säkerhetspolisens brottsbekämpande verksamhet) den lagen (6), misstankeregistret (7), register som förs av Skatteverket enligt lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag (8) och register som förs av Tullverket enligt lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag (10). Brottsanmälningar omfattas också av sekretessen. Sekretessen gäller om det inte står klart att
uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men. För beslut att väcka åtal eller att inte inleda eller lägga ned en förundersökning gäller inte sekretessen (35 kap. 6 §). Sekretessen upphör också normalt om uppgiften lämnas till domstol med anledning av åtal (35 kap. 7 §), men i en förundersökning förekommer det ofta uppgifter t.ex. om andra brott som den misstänkte har begått eller om personer som inte berörs av åtalet. För sådana uppgifter upphör sekretessen inte, om uppgiften uppenbart saknar betydelse i målet (35 kap. 7 § 2). Om åtal inte väcks kvarstår också sekretessen. Därför är det mycket vanligt att det förekommer kvarstående sekretess till skydd för enskild i förundersökningar och andra brottsutredningar.
När en förundersökning eller annan motsvarande utredning inleds gäller som regel sekretess enligt både 18 kap. 1 eller 2 § och 35 kap. 1 §offentlighets- och sekretesslagen. Sekretessen enligt 18 kap. minskar efter hand och brukar normalt upphöra senast i samband med att åtal väcks.
Enligt 35 kap. 2 § gäller sekretess i verksamhet som avses i 1 § första stycket, för uppgift i en anmälan eller utsaga av enskild i förhållande till den som anmälan eller utsagan avser, endast om det kan antas att fara uppkommer för att någon utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
I 35 kap. 3 § regleras sekretessen för belastningsregistret och i 35 kap. 4 § 1 sekretessen för bl.a. register över strafföreläggande och föreläggande av ordningsbot (punkten 1). I 35 kap. 10 § finns en sekretessbrytande bestämmelse för uppgifter som får lämnas ut bl.a. enligt lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.
Sekretessbrytande regler mellan brottsbekämpande myndigheter
Ansvaret för brottsbekämpningen i Sverige är uppdelat mellan flera myndigheter. Gemensamt för dessa är att sekretess i större eller mindre utsträckning gäller för åtskilliga av de personuppgifter som behandlas inom ramen för den brottsbekämpande verksamheten. Enligt 8 kap. 1 § offentlighets- och sekretesslagen får uppgifter för vilka sekretess gäller inte röjas för andra myndigheter, om inte annat framgår av lagen eller lag eller förordning till vilken lagen hänvisar. När uppgifter ska lämnas mellan myndigheter måste hänsyn tas till både sekretesslagstiftningen och lagstiftningen om behandling av personuppgifter.
I offentlighets- och sekretesslagen finns ett flertal bestämmelser som möjliggör utbyte av uppgifter mellan myndigheter trots sekretessen. Av 10 kap. 2 § offentlighets- och sekretesslagen framgår att sekretessbelagda uppgifter får lämnas från en myndighet till en annan om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen, som är avsedd att tillämpas restriktivt, medger inte sekretessgenombrott på den grunden att den mottagande myndigheten behöver uppgifterna i sin verksamhet. Enligt 10 kap. 28 § första stycket hindrar sekretess inte att uppgifter lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Uppgifter kan vidare, med vissa undantag, lämnas ut med stöd av 10 kap. 19–26 §§, när uppgifterna behövs för olika i paragraferna angivna
ändamål inom brottsbekämpningen, bl.a. förundersökning. Enligt 10 kap. 27 §, den s.k. generalklausulen, gäller som huvudregel att en uppgift får lämnas ut till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Undantag görs dock för vissa sekretessregler som är av begränsat intresse här. Bedömningen av om uppgiften kan lämnas ut görs av den myndighet som innehar uppgiften, utom i de fall där utlämnandebestämmelsen har konstruerats så att uppgiften alltid ska lämnas ut om det begärs.
Även bestämmelsen i 6 kap. 5 § offentlighets- och sekretesslagen är viktig i sammanhanget. Den innebär att en myndighet på begäran av en annan myndighet ska lämna ut uppgifter i den mån hinder inte möter på grund av sekretess eller arbetets behöriga gång. Det innebär att om en myndighet begär att få del av uppgifter från en annan myndighet och någon av de ovan nämnda sekretessbrytande bestämmelserna är tillämplig, så ska uppgifterna lämnas ut. Detsamma gäller om de begärda uppgifterna är offentliga, dvs. inte omfattas av sekretess. Bestämmelsen kan sägas motsvara allmänhetens rätt att få tillgång till handlingar genom offentlighetsprincipen, men utlämnandeskyldigheten är mer vidsträckt och omfattar alla typer av uppgifter som myndigheten förfogar över, bl.a. uppgifter i handlingar som inte är allmänna.
Förhållandet mellan direktåtkomst och sekretess
En bestämmelse om direktåtkomst innebär ingen uppgiftsskyldighet enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen. Bestämmelsen är alltså inte i sig sekretessbrytande, utan reglerar endast den tillåtna formen för att lämna ut uppgifter. Möjligheterna för t.ex. en myndighet att vid informationsutbyte med en annan myndighet överföra uppgifter genom att medge den senare direktåtkomst till uppgifter som behandlas automatiserat begränsas därför ofta av sekretess. Eftersom direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter – inom ramen för den beviljade direktåtkomsten – den vill ta del av, blir uppgifterna att anse som utlämnade i och med att direktåtkomst medges. Prövningen av om ett utlämnande är förenligt med offentlighets- och sekretesslagen måste därför ske redan då uppgifterna görs tillgängliga genom direktåtkomst, oavsett om någon mottagare vid den tidpunkten tar del av dem. En myndighet kan därför inte tillåta en annan myndighet direktåtkomst till uppgifter som, vid en sekretessprövning, den senare myndigheten inte med säkerhet skulle ha rätt att ta del av. Direktåtkomst förutsätter därför att det är fråga om offentliga uppgifter, uppgifter som omfattas av en författningsbestämmelse om uppgiftsskyldighet eller – i undantagsfall – uppgifter som kan lämnas ut rutinmässigt med stöd av generalklausulen.
Det finns en särskild bestämmelse om överföring av sekretess vid direktåtkomst (11 kap. 4 § offentlighets- och sekretesslagen). Om en myndighet har elektronisk tillgång till en upptagning för automatiserad behandling hos en annan myndighet och uppgifter i upptagningen är sekretessreglerade, blir de sekretessbestämmelser som är tillämpliga hos den utlämnande myndigheten, tillämpliga även hos den mottagande myndigheten. Sekretessen överförs dock inte om uppgiften ingår i ett
beslut hos den mottagande myndigheten eller om det hos den mottagande myndigheten finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 5, och 7 §§ som skyddar samma intresse (11 kap. 8 § offentlighets- och sekretesslagen). Eftersom samtliga brottsbekämpande myndigheter i princip tillämpar samma primära sekretessbestämmelser innebär den sistnämnda bestämmelsen att bestämmelsen om överföring av sekretess enligt 11 kap. 4 § offentlighets- och sekretesslagen får begränsad betydelse vid utlämnande av uppgifter mellan brottsbekämpande myndigheter.
9.15.4. Uppgiftslämnande till svenska brottsbekämpande myndigheter
Regeringens förslag: Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Tullverket ska, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen, ha rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga i Skatteverkets brottsbekämpande verksamhet, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.
I lagen ska det upplysas om att regeringen har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut även i andra fall. Vidare ska det upplysas om att bestämmelser om att uppgifter får lämnas ut även finns i offentlighets- och sekretesslagen.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.
Remissinstanserna: Kriminalvården anger att myndigheten inte finns med bland de myndigheter som ges möjlighet att ta del av uppgifter som har gjorts gemensamt tillgängliga i Skatteverkets brottsbekämpande verksamhet och att de inte heller finns med bland de myndigheter som får medges direktåtkomst till uppgifterna. Dessa synpunkter behandlas i avsnitt 9.15.2.
Skälen för regeringens förslag
Det behövs sekretessbrytande bestämmelser
I förordningen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar finns vissa bestämmelser om utlämnande av uppgifter till andra brottsbekämpande myndigheter. Enligt 8 § får uppgifter som behandlas automatiserat i en särskild undersökning lämnas ut till Polismyndigheten, Säkerhetspolisen eller Tullverket endast om uppgifterna kan antas ha särskild betydelse för en pågående undersökning eller andra brottsbekämpande åtgärder. I 10 § anges att uppgifter ur ett underrättelseregister får lämnas ut till Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen eller Tullverket endast om uppgifterna kan antas ha särskild betydelse för en pågående undersökning eller andra brottsbekämpande åtgärder. Av 35 kap. 10 § offentlighets- och sekretesslagen följer att bestämmelserna har sekretessbrytande verkan.
I 2 kap. 16 § polisdatalagen och 3 kap. 7 § kustbevakningsdatalagen finns sekretessbrytande bestämmelser om utlämnande till andra brottsbekämpande myndigheter. Dessa innebär att de brottsbekämpande myndigheterna har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen, rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga i Polismyndighetens respektive Kustbevakningens brottsbekämpande verksamhet, om de mottagande myndigheterna behöver dem i sin brottsbekämpande verksamhet.
I samband med lagstiftningsärendena rörande polisdatalagen och kustbevakningsdatalagen har konstaterats att det finns behov av tydliga sekretessbrytande regler för att kunna medge andra brottsbekämpande myndigheter direktåtkomst till sekretessbelagda uppgifter. Även för Skatteverkets del finns ett behov av en sekretessbrytande regel som omfattar informationsutbyte mellan de brottsbekämpande myndigheterna.
Hur ska bestämmelserna utformas?
Det ligger i sakens natur att en sekretessbrytande bestämmelse som ska möjliggöra direktåtkomst mellan brottsbekämpande myndigheter måste vara tämligen generellt utformad, eftersom det vid direktåtkomst saknas möjlighet att göra en sekretessprövning i varje enskilt fall. Prövningen måste i stället, som nämnts ovan, göras i förväg. Med hänsyn till intresset av ett gott skydd för den personliga integriteten kan ett fullständigt sekretessgenombrott mellan de brottsbekämpande myndigheterna dock inte anses acceptabelt. Även om sekretessen består gentemot allmänheten och effektivitetsaspekterna väger tungt, bör någon form av begränsning i den sekretessbrytande bestämmelsen göras. Uppgifter som omfattas av sekretess till skydd för enskild kan vara mycket integritetskänsliga. Därför är det viktigt att tjänstemän vid andra brottsbekämpande myndigheter får tillgång till sådana uppgifter bara när de behöver det för att kunna bedriva den brottsbekämpande verksamhet som de är ålagda. Detta behov bör därför utgöra det rekvisit som begränsar den sekretessbrytande bestämmelsen, på motsvarande sätt som gäller enligt polisdatalagen och kustbevakningsdatalagen.
Då regeln ska ha det uttryckliga syftet att tillåta frekvent utlämnande bör behovsbedömningen kunna göras inom tämligen vida ramar. Bedömningen av vad mottagaren behöver får göras främst utifrån myndighetens brottsbekämpande uppgifter och med utgångspunkt i de behov som typiskt sett föreligger. Personuppgifter som en myndighet typiskt sett inte behöver bör alltså inte vara åtkomliga för den myndigheten (se bl.a. prop. 2009/10:85 s. 192 f.). Det kan dock finnas situationer där en brottsbekämpande myndighet i ett enskilt fall har behov av uppgifter som ligger utanför det normala i den brottsbekämpande verksamheten. En prövning får i så fall göras i det enskilda fallet med stöd av andra sekretessbrytande bestämmelser på samma sätt som sker i dag.
Mot bakgrund av dessa överväganden bör den sekretessbrytande bestämmelsen, på motsvarande sätt som bestämmelserna i polisdatalagen och kustbevakningsdatalagen, utformas så att uppgifter i Skatteverkets
brottsbekämpande verksamhet, trots viss närmare angiven sekretess, ska kunna lämnas till Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket respektive Kustbevakningen under två förutsättningar. Den ena är att personuppgifterna är gemensamt tillgängliga. Samma begränsning gäller för den föreslagna direktåtkomsten. Personuppgifter som inte är gemensamt tillgängliga omfattas således inte av bestämmelsen. Sådana uppgifter kan dock komma att lämnas ut efter en sekretessprövning i det enskilda fallet med stöd av andra bestämmelser. Den andra förutsättningen är att den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Bestämmelsen bryter endast viss sekretess, se under nästa rubrik.
Sekretessbrytande regler i form av uppgiftsskyldighet kan föreskrivas såväl i lag som i förordning. I likhet med motsvarande reglering i polisdatalagen och kustbevakningsdatalagen anser regeringen att den sekretessbrytande bestämmelsen bör tas in den nya lagen.
Vilka sekretessbestämmelser bör den nya regleringen omfatta?
Frågan är då vilka slag av sekretess som ska kunna brytas vid informationsutbyte med andra brottsbekämpande myndigheter. Eftersom bestämmelserna i 18 kap.1 och 2 §§offentlighets- och sekretesslagen till skydd för intresset att förebygga och förhindra brott är tillämpliga hos alla brottsbekämpande myndigheter, bör det i de flesta fall inte innebära någon skada för Skatteverkets brottsbekämpande verksamhet att lämna ut uppgifterna. Utgångspunkten är således redan enligt gällande rätt att uppgifter som omfattas av sekretess enligt nämnda paragrafer normalt kan lämnas ut till en annan brottsbekämpande myndighet. Detta förutsätter emellertid att det är möjligt att på förhand bedöma om en viss förundersökning eller motsvarande kan lämnas ut. En sådan bedömning bör kunna göras för olika brottstyper eller olika slags underrättelseprojekt.
På motsvarande sätt bör det redan enligt gällande bestämmelser vara möjligt att bedöma den risk som kan vara förknippad med att lämna ut uppgifter som är sekretessbelagda med stöd av någon annan bestämmelse i 18 kap. offentlighets- och sekretesslagen.
Något generellt behov av att bryta den sekretess som kan gälla enligt 18 kap. 1 och 2 §§ finns alltså inte. I de fall där utlämnandet av en uppgift till en annan brottsbekämpande myndighet skulle innebära att Skatteverkets egen brottsbekämpande verksamhet riskerar att skadas, bör direktåtkomst givetvis inte komma ifråga. Det sagda gäller även övriga bestämmelser i 18 kap. I sådana fall får, som nyss nämnts, i stället bedömas om uppgiften kan lämnas ut med stöd av någon annan sekretessbrytande bestämmelse, t.ex. 10 kap. 2 eller 27 § offentlighets- och sekretesslagen.
Eftersom de flesta pågående eller avslutade förundersökningar som inte har lett till åtal och flertalet uppgifter i underrättelseverksamhet kringgärdas av sekretess enligt bestämmelser i 35 kap. offentlighets- och sekretesslagen till skydd för enskild, krävs det sekretessprövning i varje enskilt fall där en sådan uppgift ska lämnas till en annan brottsbekämpande myndighet. Även om uppgifterna kan lämnas ut efter en sådan prövning innebär det att tid och kraft måste läggas på en prövning som
normalt alltid ger samma resultat. En sekretessbrytande regel skulle därför underlätta informationsutbytet.
I tidigare utredningar har man pekat på verksamhetsbehovet av att kunna bryta sekretessen enligt 35 kap. 1 § offentlighets- och sekretesslagen, bl.a. i förundersökningar och andra liknande utredningar, eftersom det påtagligt skulle underlätta informationsutbytet mellan de brottsbekämpande myndigheterna. Sekretessen enligt 35 kap. 1 § är tillämplig hos alla brottsbekämpande myndigheter, vilket innebär att uppgifterna har samma skydd gentemot utomstående hos den mottagande myndigheten som hos den utlämnande myndigheten. En regel som bryter denna sekretess skulle förenkla informationslämnandet till andra brottsbekämpande myndigheter och bör därför införas. I övrigt bör det inte finnas anledning att låta sekretessgenombrottet omfatta fler bestämmelser i 35 kap. än 35 kap. 1 § offentlighets- och sekretesslagen. Motsvarande överväganden gjordes i lagstiftningsärendena om polisdatalagen och kustbevakningsdatalagen (prop. 2009/10:85 s. 194 f. och prop. 2011/12:45 s. 146). I den mån andra sekretessbestämmelser i kapitlet är tillämpliga får det, på samma sätt som nu, göras en bedömning i det enskilda fallet av huruvida sekretessen hindrar att uppgifterna lämnas ut till en annan brottsbekämpande myndighet.
Sekretessen enligt 21 kap. 3 § första stycket offentlighets- och sekretesslagen gäller för uppgift om enskilds bostadsadress, telefonnummer och andra jämförbara uppgifter som kan användas för att komma i kontakt med den enskilde, om det finns särskild anledning att anta att han eller hon, eller någon närstående, kan komma att utsättas för våld eller annat allvarligt men om uppgiften röjs. Sekretess enligt 21 kap. 3 § första stycket offentlighets- och sekretesslagen gäller hos alla myndigheter för att skydda s.k. skyddade adresser. Det innebär att en uppgift som lämnas till en annan brottsbekämpande myndighet har samma skydd gentemot allmänheten hos den mottagande myndigheten. Dessutom är de brottsbekämpande myndigheterna vana vid att hantera denna sekretess. Mot den nu angivna bakgrunden bör uppgifter som omfattas av sekretess enligt 21 kap. 3 § första stycket offentlighets- och sekretesslagen kunna lämnas vidare till andra brottsbekämpande myndigheter utan hinder av sekretessen. När det gäller övriga sekretessbestämmelser till skydd för enskilda som kan aktualiseras i Skatteverkets brottsbekämpande verksamhet, t.ex. 21 kap. 1 § offentlighets- och sekretesslagen (känsliga uppgifter om hälsa och sexualliv) och 21 kap. 5 § (uppgifter som rör utlänningars säkerhet i vissa fall), anser regeringen att den enskildes behov av skydd för sin integritet får anses väga tyngre än det behov som kan finnas av ett generellt sekretessgenombrott. I dessa fall får det, på samma sätt som nu, göras en bedömning i det enskilda fallet av om sekretessen hindrar att uppgifterna lämnas ut till en annan brottsbekämpande myndighet.
Integritetsskyddet
Den nu föreslagna regleringen motsvarar de sekretessbrytande bestämmelserna i polisdatalagen och kustbevakningsdatalagen och innebär alltså att ett sekretessgenombrott tillåts endast i vissa fall. Ytterligare en begränsning är, som nämnts ovan, att bestämmelsen endast avser upp-
gifter som har gjorts gemensamt tillgängliga. Bestämmelsen om utlämnande måste även ses tillsammans med hur regelsystemet i övrigt har byggts upp. För behandlingen av gemensamt tillgängliga uppgifter ska gälla särskilda begränsningar, se avsnitt 9.14, vilket bl.a. innebär att enligt huvudregeln bara vissa typer av uppgifter ska vara åtkomliga vid sökning. Vidare ska det framgå för vilket ändamål uppgiften behandlas. Upplysningar som rör misstänkt brottslig verksamhet ska förses med upplysning om källans tillförlitlighet och uppgifternas riktighet i sak. Om direktåtkomst beviljas och den mottagande myndigheten använder den för att hämta uppgifter till sina system, kommer även den mottagande myndighetens registerförfattning att bli tillämplig och tillgången till olika typer av uppgifter att begränsas genom behörighetsregler. Det bör som nämnts i avsnitt 9.15.2 föreskrivas i den nya lagen att den myndighet som har medgetts direktåtkomst ansvarar för att tillgången till uppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Upplysningsbestämmelse
I likhet med 2 kap. 19 § polisdatalagen och 3 kap. 8 § kustbevakningsdatalagen bör även tas in en upplysning som anger att regeringen har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut även i andra fall. Det görs därvid en uttrycklig hänvisning till 8 kap. 7 § regeringsformen. Vidare bör det föras in en upplysning om att bestämmelser om att personuppgifter får lämnas ut även finns i offentlighets- och sekretesslagen.
Lagförslag
Sammanfattningsvis föreslår regeringen alltså att Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Tullverket, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen, ska ha rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga i Skatteverkets brottsbekämpande verksamhet, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Det ska upplysas om att regeringen har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut även i andra fall och att bestämmelser om att uppgifter får lämnas ut även finns i offentlighets- och sekretesslagen.
Förslagen genomförs genom 2 kap. 12 och 13 §§ i den nya lagen.
Hänvisningar till S9-15-4
- Prop. 2016/17:89: Avsnitt 9.15.1, 9.15.2, 9.15.6, Författningskommentar till 12 § skattebrottsdatalag, Författningskommentar till 13 § skattebrottsdatalag
9.15.5. Uppgiftsskyldighet gällande rättsstatistik
Regeringens förslag: Bestämmelsen i lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar om att personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik ska oförändrad föras över till den nya lagen.
Promemorians förslag: Överensstämmer inte med regeringens förslag. Promemorian innehåller ingen motsvarande bestämmelse.
Remissinstanserna: Ingen remissinstans har yttrat sig i frågan.
Skälen för regeringens förslag: I 5 § lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar anges att uppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.
Motsvarande bestämmelse finns bl.a. i 2 kap. 14 § polisdatalagen. Enligt förordningen (2001:100) om den officiella statistiken är det Brottsförebyggande rådet som är den statistikansvariga myndighet som avses. Regeringen anser att bestämmelsen bör föras över till den nya lagen. Det kan anmärkas att enligt 24 kap. 8 § första stycket offentlighets- och sekretesslagen gäller absolut sekretess för uppgifter om en enskilds personliga eller ekonomiska förhållanden i sådan särskild verksamhet hos en myndighet som avser framställning av statistik.
Förslaget genomförs genom 2 kap. 14 § i den nya lagen.
Hänvisningar till S9-15-5
- Prop. 2016/17:89: Avsnitt Författningskommentar till 14 § skattebrottsdatalag
9.15.6. Uppgiftslämnande till utlandet
Regeringens förslag: Uppgifter ska få lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.
Promemorians förslag: Överensstämmer delvis med regeringens förslag. I promemorian föreslås även att personuppgifter ska få lämnas till en utländsk myndighet inom Europeiska ekonomiska samarbetsområdet (EES) om det är förenligt med svenska intressen och behövs för att myndigheten ska kunna förebygga, förhindra, upptäcka eller utreda brott.
Remissinstanserna: Datainspektionen anför att det i promemorian inte har redovisats någon närmare analys av behovet för Skatteverket att kunna lämna ut uppgifter till en utländsk myndighet inom EES, utöver vad som följer av internationella överenskommelser som riksdagen godtagit, och att konsekvenserna för den personliga integriteten vid den föreslagna lösningen måste utredas vidare.
Skälen för regeringens förslag: En uppgift som omfattas av sekretess får som utgångspunkt inte röjas för en utländsk myndighet. Enligt 8 kap. 3 § offentlighets- och sekretesslagen får dock en sekretesskyddad uppgift röjas för en utländsk myndighet eller en mellanfolklig organisation i två situationer. Den ena är när utlämnandet sker enligt särskild föreskrift i lag eller förordning. Den andra är när uppgiften i motsvarande fall skulle få lämnas till en svensk myndighet och det enligt den utlämnande myndigheten står klart att det är förenligt med svenska intressen att uppgiften lämnas.
I 6 § lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar anges att uppgifter får lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Någon faktisk skyldighet för Skatteverkets brottsbekämpande verksamhet att lämna ut uppgifter enligt sådana överenskommelser finns inte i dag. Regeringen anser dock att det även fortsättningsvis bör finnas en bestämmelse som klargör att uppgifter får
lämnas ut för att fullgöra förpliktelser enligt internationella överenskommelser och föreslår därför att en sådan införs även i den nya lagen. Motsvarande bestämmelser finns i 2 kap. 15 § polisdatalagen och 3 kap. 6 § kustbevakningsdatalagen.
I promemorian föreslås också en bestämmelse om att uppgifter även i andra fall ska få lämnas till en utländsk myndighet inom EES, om det är förenligt med svenska intressen och behövs för att myndigheten ska kunna förebygga, förhindra, upptäcka eller utreda brott. I 2 kap. 15 § polisdatalagen och 3 kap. 6 § kustbevakningsdatalagen finns bestämmelser om att uppgifter, utöver när utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande, under vissa förutsättningar får lämnas ut till vissa utländska myndigheter och organisationer om det behövs för att dessa ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Bestämmelserna träffar bl.a. sådant spontant uppgiftslämnande som omfattas av internationella konventioner och andra överenskommelser som rör brottsbekämpning och som inte är att anse som fullgörande av en förpliktelse.
Informationsutbyte under sådana förundersökningar som Skatteverket medverkar i sker genom förundersökningsledaren, dvs. åklagaren. Skatteverkets deltagande i informationsutbyte på underrättelsestadiet sker i dag via polisen. Bestämmelser om informationsutbyte på underrättelsestadiet finns bl.a. i rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater. I förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen finns tillämpningsbestämmelser till rådsbeslutet. Skatteverket ingår inte bland de behöriga myndigheterna enligt rambeslutet. Regeringen anser mot denna bakgrund inte att det finns skäl att i detta lagstiftningsärende föreslå några nya sekretessbrytande bestämmelser i förhållande till utländska myndigheter.
Som nämnts i avsnitt 9.15.4 föreslår regeringen en upplysningsbestämmelse om att regeringen har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut även i andra fall och att bestämmelser om att uppgifter får lämnas ut även finns i offentlighets- och sekretesslagen. Bestämmelsen omfattar även nu föreslagen bestämmelse.
Förslaget genomförs genom 2 kap. 11 § i den nya lagen.
Hänvisningar till S9-15-6
- Prop. 2016/17:89: Avsnitt Författningskommentar till 11 § skattebrottsdatalag, Författningskommentar till 13 § skattebrottsdatalag
9.16.1. Allmänt om bevarande och gallring
Regeringens förslag: Personuppgifter ska inte få bevaras under längre tid än vad som behövs för något eller några av de i lagen angivna ändamålen. Denna generella bestämmelse om längsta tid för bevarande ska kompletteras med bestämmelser som anger tidpunkter för när uppgifter senast måste gallras eller inte längre får behandlas i
Skatteverkets brottsbekämpande verksamhet. I paragrafen ska upplysas om att sådana bestämmelser finns i andra paragrafer.
I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela föreskrifter om att uppgifter får bevaras under längre tid än vad som anges i lagen och om att uppgifter – trots bestämmelserna om gallring – får bevaras för historiska, statistiska eller vetenskapliga ändamål. I lagen ska det vidare upplysas om att regeringen kan meddela föreskrifter om digital arkivering.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat och annorlunda placerat.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i frågan.
Skälen för regeringens förslag
Generell bestämmelse om längsta bevarande
Lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar innehåller bestämmelser om gallring. Enligt 15 § ska uppgifter som inte längre behövs för sitt ändamål gallras. Skyldigheten att gallra gäller inte uppgifter i en förundersökning. I bestämmelsen anges vidare tidpunkter för när vissa uppgifter som behandlas i underrättelseverksamheten senast måste gallras.
Om inga gallringsbestämmelser tas in i den nya lagen, kommer arkivlagens (1990:782) huvudregler om bevarande att gälla för uppgifter som finns i allmänna handlingar. De bestämmelser om gallring som finns i eller följer av arkivlagen innebär att gallring får ske, men föreskriver inte att gallring måste ske. När bestämmelser om gallring meddelas i enlighet med vad som följer av arkivlagen är det rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen, och forskningens behov som är styrande. Den reglering som följer av arkivlagen är inte avsedd att tillgodose integritetsskyddsintressen och den gäller bara för allmänna handlingar.
I Skatteverkets brottsbekämpande verksamhet behandlas en stor mängd personuppgifter automatiserat. Detta ökar typiskt sett risken för integritetsintrång. Sekretessbestämmelser och bestämmelser om begränsningar i tillgången till uppgifter kan inte fullt ut tillgodose integritetsskyddet och ersätta bestämmelser om gallring i Skatteverkets brottsbekämpande verksamhet. I den nya lagen bör därför finnas regler om gallring och om längsta tid för bevarande i den brottsbekämpande verksamheten. Vid utformningen av sådana bestämmelser bör vägas in vilka övriga integritetsskyddande bestämmelser som är tillämpliga, t.ex. begränsningar i fråga om behandling och tillgång till uppgifter.
Det är viktigt att uppgifter inte bevaras i den brottsbekämpande verksamheten längre än det finns berättigade ändamål för behandlingen. Denna princip kommer till uttryck bl.a. i artikel 5 e i dataskyddskonventionen. Det finns normalt berättigade ändamål för att bevara uppgifter i ett ärende i den brottsbekämpande verksamheten under en tid efter det att ärendet avslutades. Uppgifterna kan t.ex. komma att få betydelse i något annat ärende hos myndigheten. Alla myndigheter har vidare behov av ett närarkiv. Bevarande av uppgifter kan således sägas ske för mer övergripande brottsbekämpande ändamål. Sådant bevarande
bör vara tillåtet även om det inte sker för något särskilt utpekat konkret ändamål, t.ex. en viss brottsutredning. Detta kan sägas innebära en viss skillnad i kravet på ändamålsbestämning mellan behandling av uppgifter i form av bevarande (lagring) av uppgifterna och annan behandling. Annan behandling av uppgifterna än lagring, t.ex. sökning, bör alltid ske för ett visst konkret ändamål. I sammanhanget bör framhållas att tillgången till lagrade personuppgifter alltid ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Tillgången till lagrade personuppgifter som inte längre behövs för ett visst konkret ändamål bör alltså vara begränsad till bara ett fåtal tjänstemän som har till särskild arbetsuppgift att hantera sådana mer eller mindre avförda personuppgifter.
Mot bakgrund av det anförda föreslås det att den nya lagen ska innehålla en generell bestämmelse om en absolut längsta tid för bevarande i den brottsbekämpande verksamheten som motsvarar de bestämmelser som finns i bl.a. 2 kap. 12 § polisdatalagen och 3 kap. 4 § kustbevakningsdatalagen. I lagen bör det alltså föreskrivas att personuppgifter inte får bevaras längre än vad som behövs för något eller några av de i lagen angivna ändamålen.
Bestämmelsen om längsta tid för bevarande i Skatteverkets brottsbekämpande verksamhet hindrar inte att handlingar arkiveras och gallras enligt arkivlagens bestämmelser. När personuppgifter inte längre får bevaras i den brottsbekämpande verksamheten kan bevarande således ske för arkivändamål. Personuppgifterna kan då avskiljas och arkiveras. Arkivering utesluter inte i sig fortsatt digital tillgång till uppgifterna i verksamheten.
Den nu föreslagna generella bestämmelsen om längsta tid för bevarande ger Skatteverket tämligen vida ramar för bedömningen av vilka uppgifter som får bevaras. Det är framför allt verksamhetsskäl och myndighetssamverkan som bör vara styrande för bedömningen av om uppgifterna fortfarande behövs.
Behov av ytterligare begränsningar
För att tillgodose intresset av skydd för den personliga integriteten bör den generella bestämmelsen kompletteras med mer preciserade bestämmelser som föreskriver en yttersta gräns för att bevara vissa kategorier av uppgifter. Sådana bestämmelser bör utformas utifrån de skilda verksamhetsbehoven av att bevara olika kategorier av uppgifter, samtidigt som dessa behov måste vägas mot intresset av att värna den personliga integriteten. Den nya lagens tidsfrister för gallring bör utgöra maximifrister. Om det redan vid en tidigare tidpunkt står klart att uppgifterna saknar betydelse från brottsbekämpningssynpunkt ska de gallras eller, i vissa fall, avskiljas från den brottsbekämpande verksamheten. Detta följer såväl av den nyss föreslagna generella bestämmelsen om en absolut längsta tid för bevarande som av föreslagna ändamålsbestämmelser.
De särskilda gallringsbestämmelserna med precisa tidsfrister bör i likhet med vad som gäller enligt lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, polisdatalagen och kustbevakningsdatalagen, till skillnad från den generella bestämmelsen,
endast gälla automatiserad behandling av personuppgifter. För behandling t.ex. i manuella register behövs inga särskilda gallringsbestämmelser.
Olika gallringsbestämmelser bör dock gälla beroende på om uppgifterna har gjorts gemensamt tillgängliga eller inte. Ärenden om utredning av brott bör inte omfattas av lagens särskilda gallringsbestämmelser. Det bör däremot dock finnas bestämmelser som begränsar möjligheten att efter en viss tid behandla uppgifter i brottsanmälningar, förundersökningar och andra brottsutredningar i den brottsbekämpande verksamheten. Om uppgifterna fortsätter att behandlas automatiserat för arkivändamål, ska de avskiljas från den brottsbekämpande verksamheten, se avsnittet nedan om digital arkivering.
Gallringsbestämmelserna i den nya lagen syftar till att skydda den personliga integriteten. När information överförs från elektronisk form till pappersform, och därefter inte finns kvar i elektronisk form, måste detta skydd anses ha uppnåtts och uppgifterna anses gallrade. Varje mindre förändring av den elektroniskt lagrade informationen, t.ex. ändrade sökmöjligheter, kan emellertid inte anses utgöra gallring enligt den nu föreslagna lagen. Uppgifter kan inte heller anses gallrade enbart genom att de överförts till ett annat datamedium, eftersom uppgifterna då fortfarande kan bli föremål för olika slag av sammanställningar. Innebörden av de gallringsbestämmelser som föreslås bör således vara att uppgifter inte längre ska vara digitalt åtkomliga (se t.ex. prop. 2009/10:85 s. 206 och prop. 2011/12:45 s. 175).
Som nämnts i avsnitt 9.2 är en utgångspunkt för detta lagstiftningsärende att den nya lagen i möjligaste mån bör ha samma sakliga innehåll och systematik som polisdatalagen och kustbevakningsdatalagen. De förslag som behandlas i avsnitt 9.16 motsvarar i stort vad gäller sakligt innehåll dessa lagar, men vad gäller systematiken har regeringen i detta lagstiftningsärende valt att till skillnad från polisdatalagen och kustbevakningsdatalagen samla alla bestämmelser om bevarande och gallring i ett kapitel, kapitel 4. Regeringen bedömer att reglerna om bevarande och gallring blir mer överblickbara med denna lösning.
Ytterligare föreskrifter om bevarande
För att tillgodose intresset av offentlighet och insyn bör regeringen eller den myndighet som regeringen bestämmer, trots de särskilda bestämmelserna om gallring, kunna meddela föreskrifter om bevarande för historiska, statistiska eller vetenskapliga ändamål. Detta gäller redan med tillämpning av 8 kap. 7 § regeringsformen. Bestämmelser som upplyser om denna möjlighet bör föras in i den nya lagen.
Regeringen eller den myndighet som regeringen bestämmer har även möjlighet att meddela föreskrifter om att vissa kategorier av uppgifter ska få behandlas och bevaras under längre tid än de i lagen angivna fristerna, vilket det också bör upplysas om i den nya lagen. För vissa speciella slag av uppgifter kan nämligen fortsatt bevarande vara befogat. Nedan behandlas ytterligare en fråga om möjligheten till ytterligare föreskrifter, nämligen om digital arkivering.
Digital arkivering
Som nämnts ovan kan uppgifter som har arkiverats digitalt fortfarande vara sökbara och tillgängliga för vissa tjänstemän. Det finns därför behov av närmare föreskrifter som anger ramen för sådan fortsatt behandling. Syftet med sådana föreskrifter kan vara att förhindra att digitalt arkiverade uppgifter forsätter att behandlas på samma sätt som tidigare i den brottsbekämpande verksamheten, trots att bevarandet inte längre sker för verksamhetsändamål utan för arkivändamål. I lagen bör därför tas in en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om digital arkivering.
Lagförslag
Förslaget genomförs genom 4 kap. 1 och 2 §§ i den nya lagen.
Hänvisningar till S9-16-1
- Prop. 2016/17:89: Avsnitt 9.16.4, Författningskommentar till 1 § skattebrottsdatalag, Författningskommentar till 2 § skattebrottsdatalag
9.16.2. Gallringsbestämmelser för personuppgifter som inte har gjorts gemensamt tillgängliga
Regeringens förslag: Personuppgifter som behandlas automatiserat men som inte har gjorts gemensamt tillgängliga ska, om de inte kan hänföras till ett ärende, gallras senast ett år efter det att de behandlades automatiserat första gången eller, om de har behandlats i ett ärende, senast ett år efter det att ärendet avslutades. Detta ska inte gälla personuppgifter i ärenden om utredning av brott.
Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. Promemorians förslag är något annorlunda utformat och annorlunda placerat. I promemorians lagförslag nämns också ärenden om beivrande av brott.
Remissinstanserna: Svea hovrätt anför att det inte synes helt konsekvent att införa en regel för gallring av personuppgifter i ärenden om beivrande av brott om sådana ärenden inte är en del av den brottsbekämpande verksamhet som lagen avser.
Skälen för regeringens förslag: När gallringsfristernas längd bestäms finns anledning att göra skillnad mellan uppgifter som har gjorts gemensamt tillgängliga och andra uppgifter. När det gäller uppgifter som inte har gjorts gemensamt tillgängliga, torde behovet att av verksamhetsskäl behandla dem under längre tid typiskt sett vara begränsat. Dessutom är det från integritetssynpunkt särskilt angeläget att sådana uppgifter inte behandlas under längre tid, eftersom det enligt den nya lagen endast kommer att gälla ett fåtal begränsningar för behandlingen av dem.
Regeringen föreslår därför, i likhet med vad som gäller enligt bl.a. 2 kap. 13 § polisdatalagen, att personuppgifter som behandlas inom ramen för ett ärende ska gallras senast ett år efter det att ärendet avslutades. Uppgifter som inte kan hänföras till ett ärende bör i stället gallras inom ett år efter det att uppgifterna behandlades automatiserat första gången.
När uppgifter behandlas i ärenden om utredning av brott, gör sig särskilda hänsyn gällande. Lagens bestämmelser om gallring ska inte gälla i fråga om uppgifter i sådana ärenden. I stället tillämpas bestäm-
melserna om gallring i arkivlagen. Frågan om gallring av uppgifter i ärenden om utredning av brott behandlas närmare i avsnitt 9.16.4. Som
Svea hovrätt noterat görs i promemorian ett undantag även för personuppgifter i ärenden om beivrande av brott. Eftersom Skatteverkets brottsbekämpande verksamhet inte omfattar sådana ärenden behöver något sådant undantag inte göras.
Förslaget genomförs genom 4 kap. 3 § i den nya lagen.
Hänvisningar till S9-16-2
- Prop. 2016/17:89: Avsnitt Författningskommentar till 3 § skattebrottsdatalag
9.16.3. Gallringsbestämmelser för gemensamt tillgängliga uppgifter
Regeringens förslag: Personuppgifter som har gjorts gemensamt tillgängliga och som kan antas ha samband med brottslig verksamhet ska gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Vid allvarlig brottslig verksamhet ska tidsfristen i stället vara fem år. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, ska de uppgifter som finns om personen inte behöva gallras så länge någon av uppgifterna om honom eller henne får bevaras.
Uppgifter som har behandlats inom ramen för det internationella samarbetet ska gallras senast ett år efter utgången av det kalenderår då ärendet, som uppgifterna behandlades i, avslutades.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat och annorlunda placerat.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i frågan. Skälen för regeringens förslag: Från integritetssynpunkt är det viktigt att personuppgifter inte behandlas automatiserat i verksamheten längre än nödvändigt. Som redan har nämnts bör det därför i lagen anges särskilda gallringsfrister. Det kan dock vara svårt att generellt avgöra hur länge en uppgift fortfarande kan vara av betydelse för brottsbekämpningen. Uppgifter som har framkommit i ett avslutat underrättelseprojekt kan senare få betydelse för ett annat projekt eller för en förundersökning. Alltför snäva gallringsfrister kan därför få negativa konsekvenser för den brottsbekämpande verksamheten.
Enligt 3 kap. 14 § polisdatalagen och 4 kap. 13 § kustbevakningsdatalagen ska personuppgifter som kan antas ha samband med brottslig verksamhet som huvudregel gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Vid allvarlig brottslig verksamhet, dvs. brott för vilket är föreskrivet fängelse i två år eller däröver, är tidsfristen i polisdatalagen och kustbevakningsdatalagen i stället fem år. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras. Som redan nämnts är det en fördel om de brottsbekämpande myndigheternas registerförfattningar utformas på likartat sätt för att underlätta samverkan och enhetlighet. Regeringen anser att gallringsbestämmelserna i den nya lagen bör utformas på samma sätt som motsvarande bestämmelser i författningarna för andra brottsbekäm-
pande myndigheter. Regeringen föreslår därför att personuppgifter som har gjorts gemensamt tillgängliga och som kan antas ha samband med brottslig verksamhet ska gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Vid allvarlig brottslig verksamhet ska tidsfristen i stället vara fem år. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, ska de uppgifter som finns om personen inte behöva gallras så länge någon av uppgifterna om honom eller henne får bevaras. I likhet med den bedömning som regeringen gjorde gällande Kustbevakningen (prop. 2011/12:45 s. 181) anser inte regeringen att det i Skatteverkets verksamhet behövs någon bestämmelse om att den tid under vilken en person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska räknas bort vid beräkningen av gallringsfristen.
Enligt polisdatalagen och kustbevakningsdatalagen ska personuppgifter som behandlas för att fullgöra internationella åtaganden gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades (3 kap. 14 § fjärde stycket polisdatalagen och 4 kap. 13 § tredje stycket kustbevakningsdatalagen). Allt arbete som sker för att fullgöra internationella åtaganden är i princip ärendebaserat. När en förfrågan kommer från ett annat land hanteras denna inom ramen för någon form av ärende. Det finns behov av att bevara ärenden en tid efter det att de avslutats, bl.a. för att i efterhand kunna svara på frågor om vidtagna åtgärder. När ett år har gått efter det att ett ärende har avslutats kan dock i allmänhet behovet inte anses vara så stort att det motiverar en fortsatt behandling. Regeringen bedömer att det i den nya lagen bör införas en reglering som motsvarar den som finns i polisdatalagen och kustbevakningsdatalagen. Det bör således införas en bestämmelse om att uppgifter som behandlas för att fullgöra internationella åtaganden ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades. Om en uppgift från ett internationellt ärende behöver bevaras för något annat av den föreslagna lagens ändamål, kan uppgiften behandlas för det nya ändamålet i den utsträckning lagen tillåter en sådan behandling.
Förslaget genomförs genom 4 kap. 8 § i den nya lagen.
Hänvisningar till S9-16-3
- Prop. 2016/17:89: Avsnitt Författningskommentar till 8 § skattebrottsdatalag
9.16.4. Längsta tid för behandling av gemensamt tillgängliga uppgifter i ärenden om utredning av brott
Regeringens bedömning: Det bör inte införas några särskilda gallringsbestämmelser för uppgifter i ärenden om utredning av brott.
Däremot bör det föreskrivas vissa begränsningar i möjligheten att behandla uppgifter i brottsanmälningar, förundersökningar eller andra utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångsbalken.
Regeringens förslag: För personuppgifter i brottsanmälningar, avslutade förundersökningar och andra liknande utredningar som gjorts gemensamt tillgängliga ska följande begränsningar gälla för behandlingen.
Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i Skatteverkets brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i Skatteverkets brottsbekämpande verksamhet när åtal inte längre får väckas för brottet.
Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Skatteverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna inte behandlas i Skatteverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, fick laga kraft. Det som föreslås om förundersökning ska gälla även andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.
Om en förundersökning mot en person har lagts ned, om ett åtal har lagts ned eller om en frikännande dom som har fått laga kraft har meddelats, får personen inte längre vara sökbar som misstänkt.
Det ska inledningsvis upplysas om var det finns bestämmelser om hur länge denna kategori av uppgifter får bevaras.
Promemorians förslag och bedömning: Överensstämmer i sak med regeringens förslag och bedömning. Promemorians förslag är något annorlunda utformat och annorlunda placerat.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i frågan.
Skälen för regeringens förslag och bedömning
Det bör inte införas någon särskild gallringsfrist för personuppgifter i ärenden om utredning eller beivrande av brott
Lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar innehåller inte några bestämmelser om gallring av uppgifter i förundersökningar. I polisdatalagen och kustbevakningsdatalagen har man valt att inte heller införa särskilda gallringsfrister för sådana uppgifter. I stället är det arkivlagens bestämmelser som gäller. Det innebär att för uppgifter och handlingar i förundersökningar gäller samma regler oavsett om behandlingen sker på papper eller om den sker automatiserat. En anledning till att uppgifter i förundersökningar kan behöva behandlas även efter att ärendena har avslutats är att uppgifterna i ett senare skede, ofta tillsammans med ny information, kan läggas till grund för att på nytt ta upp en nedlagd förundersökning eller för att inleda en ny förundersökning (se t.ex. prop. 2011/12:45 s. 183).
Skälen bakom den nuvarande ordningen gör sig fortfarande gällande. Regeringen anser därför att det inte bör införas några särskilda gallringsbestämmelser i fråga om förundersökningar. Detsamma bör gälla i fråga om andra ärenden om utredning av brott. Det föreslås därför inte någon gallringsbestämmelse i fråga om personuppgifter i ärenden om utredning av brott. Det kan nämnas att om en uppgift från en brottsutredning
behandlas för ett annat ändamål, t.ex. i ett underrättelseprojekt, bör dock uppgifterna i det sammanhanget gallras enligt de gallringsbestämmelser som gäller för sådan behandling.
I avsaknad av gallringsbestämmelser bör dock enligt regeringens mening införas vissa begränsningar i hur uppgifterna får behandlas i Skatteverkets brottsbekämpande verksamhet, t.ex. i fråga om hur länge uppgifter i en förundersökning får vara tillgängliga i verksamheten. Dessa begränsningar – som kompletterar den generella bestämmelsen om längsta tid för bevarande – bör endast gälla gemensamt tillgängliga uppgifter och bör inte hindra att uppgifterna arkiveras eller gallras enligt bestämmelserna i arkivlagen. För att uppnå det integritetsskydd som eftersträvas med bestämmelser om tidsbegränsning av behandling av uppgifter i den brottsbekämpande verksamheten bör regeringen också meddela kompletterande föreskrifter om att uppgifter som arkiveras digitalt ska avskiljas. I syfte att ge de brottsbekämpande myndigheternas registerförfattningar en likartad utformning, finns skäl att föreslå samma bestämmelser som finns i polisdatalagen och kustbevakningsdatalagen även för Skatteverkets del.
Restriktioner för behandlingen av personuppgifter i ärenden om utredning av brott bör finnas
Enligt lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar gäller följande. Om en förundersökning mot en person har lagts ned på grund av bristande bevisning, får uppgifter om brottsmisstanken behandlas för andra ändamål än arkivering endast om den misstänkte enligt förundersökningsledarens bedömning fortfarande är skäligen misstänkt för brottet och uppgifterna behövs för att förundersökningen ska kunna tas upp på nytt (13 §). Om åtal mot en person har lagts ned eller om denne genom lagakraftvunnen dom har frikänts, får uppgifter om brottsmisstanken behandlas för andra ändamål än arkivering endast om förundersökningen tas upp på nytt eller för prövning av särskilt rättsmedel enligt 58 kap. rättegångsbalken (14 §).
Enligt polisdatalagen och kustbevakningsdatalagen gäller följande. Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i den brottsbekämpande verksamheten. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i den brottsbekämpande verksamheten när åtal inte längre får väckas för brottet (3 kap. 10 § polisdatalagen och 4 kap. 9 § kustbevakningsdatalagen). Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i den brottsbekämpande verksamheten när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas i den brottsbekämpande verksamheten när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, fick laga kraft. Det som sagts om förundersökning gäller även andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken
(3 kap. 11 § polisdatalagen och 4 kap. 10 § kustbevakningsdatalagen). Regeringen kan meddela föreskrifter om att vissa kategorier av personuppgifter får bevaras i den brottsbekämpande verksamheten under längre tid än vad som nu sagts (3 kap. 12 § polisdatalagen och 4 kap. 11 § kustbevakningsdatalagen). Om en förundersökning mot en person har lagts ned, om åtal har lagts ned eller om frikännande dom, som har fått laga kraft, har meddelats, får personen inte vara sökbar som misstänkt (3 kap. 13 § polisdatalagen och 4 kap. 12 § kustbevakningsdatalagen).
I såväl polisdataförordningen som kustbevakningsdataförordningen (2012:146) har regeringen infört flera bestämmelser om att personuppgifter i olika situationer får behandlas under längre tid än som anges i polisdatalagen och kustbevakningsdatalagen.
Regeringen anser att det i samband med införandet av en ny skattebrottsdatalag finns skäl att se över bevarandereglerna. Från integritetsskyddssynpunkt är det viktigt att personuppgifter i brottsanmälningar och brottsutredningar inte behandlas i den brottsbekämpande verksamheten sedan det konstaterats att det inte går att komma vidare med brottsmisstankarna och att det inte i den brottsbekämpande verksamheten framstår som att någon är brottsmisstänkt trots att han eller hon inte längre med fog kan sägas vara det. Å andra sidan kan information i anmälningar och utredningar som inte lett till att de dåvarande brottsmisstankarna bekräftats utgöra viktiga pusselbitar i underrättelseverksamheten och vid utredning av nya brottsmisstankar.
Som har nämnts tidigare är det en fördel om de brottsbekämpande myndigheternas registerförfattningar utformas på likartat sätt för att underlätta samverkan och enhetlighet. I förarbetena till polisdatalagen och kustbevakningsdatalagen har det gjorts detaljerade bedömningar av vilka restriktioner i fråga om behandlingen av personuppgifter i den brottsbekämpande verksamheten som ska gälla enligt respektive lag i olika situationer. De nu nämnda lagarna kompletteras också av sinsemellan likartade detaljbestämmelser om i vilka situationer personuppgifter får bevaras under längre tid än som anges i respektive lag. Regeringen anser att det finns skäl att föreslå detaljerade bevarandebestämmelser även för Skatteverkets del.
Det kan finnas skäl att komplettera regleringen i den nya lagen med bestämmelser i förordning i likhet med vad som har skett i polisdataförordningen och kustbevakningsdataförordningen. Som anges i avsnitt 9.16.1 föreslår regeringen en upplysningsbestämmelse om att regeringen kan meddela föreskrifter om att vissa kategorier av personuppgifter får bevaras under längre tid.
Uppgifter i brottsanmälningar
Flera brottsanmälningar leder inte till beslut om förundersökning. En brottsanmälan kan emellertid aktualiseras senare, om det kommer fram nya omständigheter som kan leda till att brottet klaras upp. Fram till den tidpunkt när brottet preskriberas finns det därför alltid ett latent behov av att bevara en brottsanmälan som inte har lett till förundersökning eller annan utredning. Av dessa skäl bör en brottsanmälan få vara tillgänglig i Skatteverkets brottsbekämpande verksamhet även efter det att det fattats beslut om att inte inleda förundersökning eller annan utredning med
anledning av brottsanmälan. Efter det att det brott som anmälan avser har preskriberats bör emellertid uppgifterna inte få behandlas automatiserat i den brottsbekämpande verksamheten.
Anmälningar som skrivs av på grund av att det inte har förekommit något brott bör dock inte få behandlas längre än vad som behövs för handläggningen.
Uppgifter i förundersökningar
Om någon återfaller i brott är ofta tidigare brottsutredningar av intresse. Har det nya brottet begåtts tillsammans med andra, okända gärningsmän, kan uppgifter om medgärningsmän i tidigare brottsutredningar vara av intresse. Även andra uppgifter i tidigare utredningar kan vara av intresse.
Det är därför viktigt att uppgifter ur tidigare förundersökningar får vara tillgängliga även en viss tid efter det att saken har avslutats. Denna tid bör dock inte vara alltför lång. Fem år har i lagstiftningsärendena om polisdatalagen och kustbevakningsdatalagen ansetts utgöra en rimlig avvägning mellan integritetsskyddsintresset och verksamhetsbehoven (prop. 2009/10:85 s. 226 och prop. 2011/12:45 s. 185). När det gäller förundersökningar som avslutats på annat sätt än genom åtal räknas femårstiden från utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. I annat fall räknas femårstiden från utgången av det kalenderår då domstolsbeslutet fick laga kraft. Regeringen anser att bestämmelser med samma innehåll bör införas även i skattebrottsdatalagen. Efter femårstiden får personuppgifterna inte längre behandlas automatiserat i Skatteverkets brottsbekämpande verksamhet. Om Skatteverket redan innan femårsgränsen har löpt ut bedömer att uppgifterna i ärendet inte längre behöver vara tillgängliga i den brottsbekämpande verksamheten får uppgifterna i ärendet inte längre bevaras där. Detta följer av den generella bestämmelsen om längsta tid för bevarande.
Det är viktigt att påminna om att den föreslagna lagens övriga bestämmelser innebär att tillgången till uppgifter i förundersökningar kommer att begränsas på olika sätt. Åtkomsten till uppgifter ska t.ex. anpassas till vilket behov olika tjänstemän har av att få tillgång till uppgifterna och alla uppgifter får inte vara sökbara.
Uppgift om brottsmisstankar när förundersökning eller åtal lagts ned eller det finns en frikännande dom som fått laga kraft
Av hänsyn till enskildas integritet bör givetvis en domstols dom eller beslut, som innebär att den åtalade frias från ansvar för brott, få genomslag även i Skatteverkets brottsbekämpande verksamhet på det sättet att en sådan person inte längre anges såsom misstänkt. Detsamma bör gälla när en förundersökning lett till att ett åtal har lagts ned. Med detta avses dock inte att alla handlingar som rör brottsmisstanken måste rensas ut, utan enbart att den åtalade personen inte får utpekas såsom misstänkt och att man vid olika typer av sökningar inte ska få träff på honom eller henne i egenskap av misstänkt. Under den period som uppgifterna i ärendet får behandlas i den brottsbekämpande verksamheten bör det däremot vid en sökning vara möjligt att få fram en uppgift om att personen tidigare har varit misstänkt, se avsnitt 9.14.4. Genom
kravet på att det för gemensamt tillgängliga uppgifter ska framgå att personen i fråga inte längre är misstänkt minskar risken för integritetsintrång. Skatteverket kommer troligtvis att bevara flertalet av sina ärenden under viss tid efter att de har avslutats. Den fortsatta behandlingen har då inte sin grund i att det finns kvarstående misstankar mot personen i fråga utan i allmänna verksamhetsbehov av att bevara avslutade ärenden.
Regeringen föreslår således att om en förundersökning mot en person har lagts ned, om ett åtal har lagts ned eller om en frikännande dom som har fått laga kraft har meddelats, ska personen inte längre få vara sökbar som misstänkt.
Lagförslag
Förslagen genomförs genom 4 kap. 4–7 §§ i den nya lagen.
Hänvisningar till S9-16-4
10. Följdändringar
Regeringens förslag: I offentlighets- och sekretesslagen ska nuvarande hänvisningar ändras till att avse den nya lagen eller vissa bestämmelser i den.
I lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet och revisorslagen ska nuvarande hänvisningar till lagen om Skatteverkets medverkan i brottsutredningar justeras med anledning av att den lagen får ett nytt namn.
Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorian föreslås inga följdändringar i 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), 1 kap. 4 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet eller revisorslagen (2001:883).
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i frågan. Skälen för regeringens förslag: Enligt 18 kap. 2 § offentlighets- och sekretesslagen, som behandlar sekretess för uppgifter i underrättelseverksamhet till skydd för intresset av att förebygga och beivra brott, gäller sekretess för bl.a. uppgift som hänför sig till sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.
Med anledning av den nya lagen behöver bestämmelsen i offentlighets- och sekretesslagen justeras.
I avsnitt 9.10.2 föreslås att det i skattebrottsdatalagen ska anges att personuppgifter ska få behandlas i Skatteverkets brottsbekämpande verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet. Med detta avses den verksamhet som inte avser en brottsutredning, framför allt underrättelseverksamheten. I likhet med hur regleringen i 18 kap. 2 § offentlighets- och sekretesslagen ser ut för andra brottsbekämpande myndigheter bör det i den bestämmelsen tas in en hänvisning
till den primära ändamålsbestämmelsen i den nya skattebrottsdatalagen som avser verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet. Bestämmelsen i 18 kap. 2 § offentlighets- och sekretesslagen bör således justeras så att den hänvisar till 2 kap. 5 § 1 i den nya lagen. Tillämpningsområdet för bestämmelsen är i allt väsentligt detsamma som nu. Motsvarande ändring gjordes bl.a. när polisdatalagen infördes (se prop. 2009/10:85 s. 301).
Även i 35 kap. offentlighets- och sekretesslagen, som behandlar sekretess till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott m.m., görs hänvisningar till lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. Sådana hänvisningar görs i 35 kap. 1 §, som reglerar när sekretessen gäller, och i 35 kap. 10 §, som avser sekretessbrytande bestämmelser. I dessa bestämmelser bör i stället hänvisas till den nu föreslagna lagen.
I lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet och i revisorslagen finns hänvisningar till lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar. Eftersom regeringen föreslår att den lagen ska byta namn (se avsnitt 8.3) måste hänvisningarna justeras.
Hänvisningar till S10
- Prop. 2016/17:89: Avsnitt Författningskommentar till 4 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, Författningskommentar till 7 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, Författningskommentar till 31 § revisorslagen (2001:883), Författningskommentar till 2 § offentlighets- och sekretesslagen (2009:400), Författningskommentar till 1 § offentlighets- och sekretesslagen (2009:400), Författningskommentar till 10 § offentlighets- och sekretesslagen (2009:400)
11. Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Den nya skattebrottsdatalagen och de ändringar som föreslås i andra författningar ska träda i kraft den 1 juli 2017.
Samtidigt ska lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar upphävas.
Bestämmelsen i skattebrottsdatalagen om särskilda upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak ska inte behöva tillämpas på uppgifter som har samlats in före ikraftträdandet av lagen. Vissa bestämmelser i lagen om särskilda upplysningar, sökning och behandling av uppgifter i brottsanmälningar och avslutade förundersökningar ska inte behöva tillämpas förrän den 1 januari 2019.
Äldre bestämmelser i offentlighets- och sekretesslagen ska gälla för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet.
Promemorians förslag: Överensstämmer inte med regeringens förslag. I promemorian föreslås ett tidigare ikraftträdandedatum. Några övergångsbestämmelser föreslås inte i promemorian.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i frågan. Skälen för regeringens förslag: Den nya lagen bör träda i kraft den 1 juli 2017. Det kan dock vara svårt för Skatteverket att i alla avseenden leva upp till de nya kraven redan den 1 juli 2017, eftersom de nya bestämmelserna t.ex. kräver att det görs vissa anpassningar av
Skatteverkets it-stöd. Svårigheterna med att uppfylla kraven vid ikraft-
trädandet gäller bestämmelser om vilka uppgifter som får tas fram vid sökning och om bevarandetider för uppgifter i brottsanmälningar, avslutade förundersökningar och andra utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångsbalken. Samma svårighet gäller för bestämmelserna om särskilda upplysningar för uppgifter om en person som inte är misstänkt för brott, när uppgifterna behandlas i annan verksamhet än underrättelseverksamhet, och för bestämmelsen om att den som inte längre är misstänkt inte får vara sökbar som sådan. Regeringen föreslår att dessa bestämmelser inte behöver tillämpas förrän den 1 januari 2019. Utgångspunkten bör dock vara att Skatteverket ska skapa förutsättningar för att tillämpa bestämmelserna så snart som möjligt och att bestämmelserna tillämpas i den utsträckning det går. Det digitaliseringsarbete som rättskedjans myndigheter bedriver för att utveckla rättsväsendets informationshantering (se avsnitt 4.1), kan underlätta möjligheter till återkoppling. Regeringen vill därför framhålla att regleringen innebär att Skatteverket bör tillämpa bestämmelserna tidigare i den utsträckning det är möjligt. Det kan nämnas att den nya dataskyddsregleringen (se avsnitt 5.2) kan komma att medföra behov av anpassningar i rättsväsendets behandling av personuppgifter även i detta avseende. De författningsändringar som krävs med anledning av direktivet kommer att tas om hand i särskild, senare ordning.
Regeringen anser vidare att kravet på särskilda upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak inte ska behöva tillämpas på uppgifter som har samlats in före ikraftträdandet av skattebrottsdatalagen.
Eftersom en ny lag införs ska samtidigt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar upphävas.
Även de ändringar som föreslås i övriga författningar bör träda i kraft den 1 juli 2017. För ändringen i offentlighets- och sekretesslagen (2009:400) bör tas in en övergångsbestämmelse som innebär att äldre bestämmelser fortfarande ska gälla för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet av lagen.
Hänvisningar till S11
12. Konsekvenser
Regeringens bedömning: Den nya skattebrottsdatalagen kommer att ge förutsättningar för Skatteverket att bedriva sin brottsbekämpande verksamhet effektivt och med användning av modern teknik, samtidigt som den enskildes integritet värnas. Lagen innehåller en flexibel reglering som ger Skatteverket möjlighet att fortlöpande utveckla och anpassa sina system för automatiserad behandling utan att det krävs ändringar i regelverket. Förslagen bedöms medföra begränsade kostnader för Skatteverket som ryms inom myndighetens befintliga ekonomiska ramar.
Förslagen medför inte några offentligfinansiella effekter.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över bedömningen.
Skälen för regeringens bedömning
Förslaget om en skattebrottsdatalag
Förslaget innebär att en modern, teknikneutral och allmänt ändamålsenlig reglering införs för behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Förslagen motsvarar i stora delar det regelverk som gäller för Polismyndigheten och Kustbevakningen enligt för dessa myndigheter på senare tid antagna registerförfattningar.
Förslagen i den nya lagen ger förutsättningar för Skatteverket att driva sin verksamhet effektivt och med ett rationellt it-stöd. Den nya lagen är teknikneutral och möjliggör härigenom att Skatteverket fortlöpande kan utveckla och anpassa sina it-system för behandling av personuppgifter utan att det behövs ändringar i regelverket.
Förslagen syftar vidare till att underlätta för samverkan mellan de brottsbekämpande myndigheterna. Den nya lagen ger en flexibilitet i fråga om möjligheterna till utbyte av information mellan dessa myndigheter. Förslagen innebär bl.a. att Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får medges direktåtkomst till uppgifter som behandlas i Skatteverkets brottsbekämpande verksamhet.
Särskild hänsyn har tagits till de integritetsaspekter som följer av omfattande it-baserade uppgiftssamlingar i den brottsbekämpande verksamheten.
Förslagen bedöms medföra begränsade kostnader för Skatteverket för utveckling av it-system för informationshantering. Det kan också komma att krävas vissa utbildningsinsatser. Skatteverket uppskattar den initiala kostnaden för att bygga upp det föreslagna systemet för informationsbehandling till 1 000 000 kronor och de årliga driftskostnaderna till 300 000 kronor. De kostnader som förslagen medför ska hanteras inom befintliga ekonomiska ramar.
Förslagen medför inte några offentligfinansiella effekter.
Övriga förslag
Förslaget om en utvidgad brottskatalog i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar innebär att Skatteverkets kompetens kommer att kunna tillvaratas i större utsträckning i det brottsbekämpande arbetet. Övriga förslag innebär endast följdändringar av enklare karaktär.
13. Författningskommentar
13.1. Förslaget till skattebrottsdatalag
1 kap. Lagens syfte och tillämpningsområde
Lagens syfte
1 §
I paragrafen anges det övergripande syftet med lagen. Bestämmelser med motsvarande innehåll finns i 1 kap. 1 § polisdatalagen (2010:361) och 1 kap. 1 § kustbevakningsdatalagen (2012:145).
Övervägandena finns i avsnitt 9.4.
Lagens tillämpningsområde
2 §
I paragrafen anges lagens tillämpningsområde. Övervägandena finns i avsnitt 9.5.
I paragrafen anges inledningsvis att lagen gäller vid behandling av personuppgifter. Med personuppgifter avses detsamma som i 3 § personuppgiftslagen (1998:204), nämligen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Också ordet behandling har samma innebörd som i den paragrafen. Därmed avses således varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, registrering, organisering, lagring, bearbetning, användning, spridning eller annat tillhandahållande, sammanställning eller samkörning samt utplåning eller förstöring.
För att denna lag ska vara tillämplig krävs att behandlingen är helt eller delvis automatiserad eller att personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier (jfr 5 § personuppgiftslagen som innehåller samma rekvisit). Utanför lagens tillämpningsområde faller således helt manuell behandling av personuppgifter som inte ingår i någon sådan samling.
Lagen är endast tillämplig i Skatteverkets brottsbekämpande verksamhet. Med brottsbekämpande verksamhet avses i detta sammanhang den verksamhet för vilken personuppgifter får behandlas enligt 2 kap. 5 §. Bestämmelser om den verksamheten finns i lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet. I praktiken är det den verksamhet som bedrivs inom Skatteverkets skattebrottsenhet som omfattas av lagen. Lagen gäller inte för rent administrativ verksamhet som t.ex. avser personalfrågor, där i stället personuppgiftslagen är tillämplig.
Bestämmelser med motsvarande innehåll finns i 1 kap. 2 § polisdatalagen och 1 kap. 2 § första och andra styckena kustbevakningsdatalagen.
3 §
Paragrafen anger lagens förhållande till lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen. Övervägandena finns i avsnitt 9.5.
Första stycket innehåller en upplysning om att det i lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen och tillhörande föreskrifter finns särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av bl.a. en annan medlemsstat.
I andra stycket klargörs förhållandet mellan författningarna. Avvikande bestämmelser i de angivna föreskrifterna ska tillämpas i stället för bestämmelserna i denna lag.
Paragrafen överensstämmer med 1 kap. 5 § polisdatalagen och 1 kap. 2 a § kustbevakningsdatalagen.
Lagens tillämpning på juridiska personer
4 §
Paragrafen innehåller bestämmelser om behandling av uppgifter om juridiska personer. Övervägandena finns i avsnitt 9.5.
I förhållande till 2 § utvidgar paragrafen lagens tillämpningsområde genom att den föreskriver att vissa av lagens bestämmelser ska tillämpas vid behandling av uppgifter om juridiska personer. Detta ger ett skydd för uppgifter om juridiska personer som inte har någon motsvarighet i personuppgiftslagen. Med uppgifter om juridiska personer avses all slags information som direkt eller indirekt kan hänföras till en svensk eller utländsk juridisk person. Det gäller även uppgifter om juridiska personer som har upphört.
Bestämmelser med liknande innehåll finns i 1 kap. 6 § polisdatalagen och 1 kap. 3 § kustbevakningsdatalagen. Till skillnad från polisdatalagen men i likhet med kustbevakningsdatalagen är bestämmelsen om personuppgiftsansvar tillämplig även på juridiska personer.
Lagens uppbyggnad
5 §
Paragrafen anger hur lagen är uppbyggd. Övervägandena finns i avsnitt 9.5.
I 2 kap. finns allmänna bestämmelser och bestämmelser om behandling av personuppgifter, som gäller all behandling av personuppgifter som omfattas av lagen. För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap. Vad som avses med ”gemensamt tillgängliga uppgifter” berörs i kommentaren till 3 kap. 1 §. I 4 kap. har bestämmelser om bevarande och gallring av uppgifter, oavsett hur personuppgifterna har behandlats, samlats.
I 1 kap. 7 § polisdatalagen och 1 kap. 5 § kustbevakningsdatalagen finns liknande bestämmelser som anger dessa lagars uppbyggnad.
2 kap. Allmänna bestämmelser
Förhållandet till personuppgiftslagen
1 §
Paragrafen reglerar lagens förhållande till personuppgiftslagen. Övervägandena finns i avsnitt 9.6.1.
Om något annat inte anges i 2 § gäller skattebrottsdatalagen i stället för personuppgiftslagen. Vid sådan behandling av personuppgifter som omfattas av lagen ska alltså bestämmelser i personuppgiftslagen tillämpas endast om det finns en hänvisning till dem i 2 §.
Paragrafen överensstämmer med 2 kap. 1 § polisdatalagen och 2 kap. 1 § kustbevakningsdatalagen.
2 §
Paragrafen anger vilka bestämmelser i personuppgiftslagen som gäller vid behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Övervägandena finns i avsnitt 9.6.2.
I första stycket anges vilka bestämmelser i personuppgiftslagen som gäller när personuppgifter behandlas enligt skattebrottsdatalagen eller föreskrifter som har meddelats i anslutning till den. Utgångspunkten är att skattebrottsdatalagen gäller i stället för personuppgiftslagen, varför bestämmelserna i personuppgiftslagen inte ska tillämpas vid sådan behandling av personuppgifter som omfattas av skattebrottsdatalagen eller föreskrifter som meddelats i anslutning till den. Vissa utpekade paragrafer i personuppgiftslagen gäller dock. Uppräkningen är uttömmande.
Enligt första stycket punkten 1 gäller de definitioner som anges i 3 § personuppgiftslagen även vid behandling av personuppgifter som omfattas av skattebrottsdatalagen.
Genom hänvisningen i första stycket punkten 2 till 8 § personuppgiftslagen klargörs att bestämmelserna i skattebrottsdatalagen – eller de bestämmelser till vilka lagen hänvisar – inte gäller om det skulle inskränka Skatteverkets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter (8 § första stycket personuppgiftslagen). Det innebär t.ex. att Skatteverket inte kan vägra att ta fram och lämna ut uppgifter i enlighet med tryckfrihetsförordningens bestämmelser enbart med hänvisning till att utlämnandet inte ryms inom de i 5–7 §§ angivna ändamålen för behandling. I sammanhanget bör dock understrykas att offentlighetsprincipen inte innebär någon skyldighet att lämna ut uppgifter i elektronisk form. Vid bedömningen av om en uppgift kan lämnas ut i elektronisk form måste alltså skattebrottsdatalagens regler beaktas.
Av hänvisningen till 8 § personuppgiftslagen följer också att skattebrottsdatalagen inte hindrar att Skatteverket arkiverar eller bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (8 § andra stycket personuppgiftslagen). Bestämmelserna om gallring i skattebrottsdatalagen gäller dock, vilket tydliggörs genom regleringen i andra stycket, framför bestämmelsen i 8 § andra stycket personuppgiftslagen. Utgallrade uppgifter bör som utgångspunkt inte få bevaras i ett digitalt arkiv och vara elektroniskt åtkomliga för arkiv-
ändamål, om inte särskilda föreskrifter meddelas med undantag från den nya lagens gallringsbestämmelser som tillåter ett bevarande.
I första stycket punkten 3 hänvisas till 9 § personuppgiftslagen, med undantag för första stycket i och tredje stycket. Hänvisningen innebär t.ex. att den personuppgiftsansvarige (se 3 §) ska se till att uppgifterna behandlas enbart om det är lagligt och att de behandlas på ett korrekt sätt. Den personuppgiftsansvarige ska också se till att de behandlade personuppgifterna är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter behandlas än de som är nödvändiga med hänsyn till ändamålen för behandlingen. Den personuppgiftsansvarige ska härutöver se till att de behandlade personuppgifterna dels är riktiga och, om det är nödvändigt, aktuella, dels att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Kravet på att uppgifterna ska vara riktiga innebär inte något krav på att en uppgift ska rättas enbart för att det senare – när fler fakta kommit fram – visar sig att uppgiften inte är korrekt eller att t.ex. en förhörsperson ändrat sina uppgifter. Hänvisningen innebär vidare att den personuppgiftsansvarige ska se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål.
Hänvisningen till 9 § första stycket d personuppgiftslagen innebär att den personuppgiftsansvarige ska se till att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). De primära ändamålen är uttömmande angivna i 5 § medan det framgår av 6 § att det, utöver vad som framgår av första och andra styckena i den paragrafen, är möjligt att lämna ut uppgifter för ett ändamål som inte kan anses oförenligt med det ändamål för vilket uppgifterna samlades in. Den personuppgiftsansvarige ska alltså dels se till att personuppgifter inte behandlas för andra primära ändamål än de som anges i lagen, dels att vidarebehandling för andra sekundära ändamål än de i lagen angivna endast förekommer om det är förenligt med finalitetsprincipen.
Hänvisningen till 9 § andra stycket personuppgiftslagen innebär att vidarebehandling för historiska, statistiska eller vetenskapliga ändamål inte ska anses oförenlig med finalitetsprincipen. Hänvisningen till 9 § fjärde stycket personuppgiftslagen inne-bär att personuppgifter som behandlas för sådana ändamål får behandlas för andra ändamål endast i vissa fall.
I första stycket punkten 4 hänvisas till 22 § personuppgiftslagen. Bestämmelsen innebär att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Första stycket punkten 5 hänvisar till 23 och 25–27 §§personuppgiftslagen. Av hänvisningen till 23 § följer att den myndighet som samlar in uppgifter om en enskild person från personen själv självmant ska informera honom eller henne om behandlingen. I 25 § personuppgiftslagen anges att informationen ska omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behand-
lingen och övrig information som personen behöver för att ta till vara sina rättigheter i samband med behandlingen av uppgifterna.
Bestämmelserna om informationsplikt i 23 och 25 §§personuppgiftslagen modifieras emellertid av andra bestämmelser. Som framgår av hänvisningen till 27 § personuppgiftslagen gäller informationsplikten inte i den utsträckning det gäller sekretess eller tystnadsplikt för informationen.
Som framgår av hänvisningen till 26 § personuppgiftslagen är den personuppgiftsansvarige skyldig att på begäran lämna information till en registrerad om huruvida personuppgifter som rör honom eller henne behandlas eller inte. Om uppgifter behandlas, ska upplysning också lämnas om bl.a. ändamålet med behandlingen. Också denna informationsskyldighet modifieras genom bestämmelserna i 27 § personuppgiftslagen. Om det gäller sekretess för uppgiften behöver någon information inte lämnas.
Enligt hänvisningen i första stycket punkten 6 till 28 § personuppgiftslagen gäller också den lagens bestämmelser om rättelse. Den personuppgiftsansvarige är alltså skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med skattebrottsdatalagen – inklusive de bestämmelser i personuppgiftslagen till vilka lagen hänvisar – eller föreskrifter som har utfärdats i anslutning till lagen. Rättelse ska dock inte göras enbart därför att uppgifter som framstod som riktiga eller rimliga när de samlades in, t.ex. brottsmisstankar, senare har visat sig vara oriktiga.
I första stycket punkten 7 görs en hänvisning till 30 och 31 §§ samt 32 § första stycket personuppgiftslagen. Enligt 30 § första stycket får ett personuppgiftsbiträde (dvs. den som behandlar personuppgifter för den personuppgiftsansvariges räkning) och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning behandla personuppgifter enbart i enlighet med instruktioner från den personuppgiftsansvarige. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet gäller dock – enligt 30 § tredje stycket – dessa i stället. Den sistnämnda bestämmelsen syftar särskilt på bestämmelser om tystnadsplikt och sekretess, se propositionen Personuppgiftslag (se prop. 1997/98:44 s. 136). Av 31 § framgår bl.a. att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de behandlade personuppgifterna. Enligt 32 § första stycket får tillsynsmyndigheten i enskilda fall besluta om vilka åtgärder som den personuppgiftsansvarige ska vidta enligt 31 §. Med tillsynsmyndigheten avses här tillsynsmyndigheten enligt personuppgiftslagen, dvs. Datainspektionen, se 2 § personuppgiftsförordningen (1998:1191).
En hänvisning görs i första stycket punkten 8 till 33–35 §§personuppgiftslagen. Enligt 33 § är det förbjudet att överföra personuppgifter till tredjeland om landet inte har en adekvat nivå för skyddet av personuppgifter. Frågan om en skyddsnivå är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt ska fästas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och reglerna för behandlingen i tredjeland. I 34 och 35 §§ föreskrivs undantag från förbudet. Enligt 34 § får uppgifter trots förbudet överföras dels om den registrerade har lämnat sitt samtycke till
överföringen, dels om överföringen är nödvändig med hänsyn till vissa uppräknade omständigheter. Det är också enligt den paragrafen tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). I 35 § föreskrivs att regeringen, och för vissa fall även den myndighet som regeringen bestämmer, får meddela föreskrifter om undantag från förbudet i 33 §.
I första stycket punkten 9 görs en hänvisning till 38–40 §§personuppgiftslagen, där det framgår vilka närmare uppgifter ett personuppgiftsombud har. Se 4 § angående skyldigheten att utse personuppgiftsombud. En hänvisning görs också till 41 § personuppgiftslagen. Enligt den paragrafen kan regeringen föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll.
Hänvisningen i första stycket punkten 10 till 42 § personuppgiftslagen innebär att den personuppgiftsansvarige ska till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten, dvs. Datainspektionen. Sekretessbelagda uppgifter behöver dock inte lämnas ut.
Första stycket punkten 11 hänvisar till 43 och 44 §§, 45 § första stycket och 47 § personuppgiftslagen. Av hänvisningen till 43 § följer att Datainspektionen har rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna och att få tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Om inspektionen inte har tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får den med stöd av hänvisningen till 44 § personuppgiftslagen förbjuda behandlingen. Om
Datainspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, ska inspektionen genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Om det inte går att få till stånd rättelse, eller om saken är brådskande, får Datainspektionen förbjuda behandlingen, vilket följer av hänvisningen till 45 § första stycket personuppgiftslagen. Vidare hänvisas till 47 § personuppgiftslagen där Datainspektionen ges rätt att hos förvaltningsrätten ansöka om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas.
Av hänvisningen i första stycket punkten 12 till 48 § personuppgiftslagen följer att den personuppgiftsansvarige ska ersätta den registrerade för sådan skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med skattebrottsdatalagen och de bestämmelser i personuppgiftslagen till vilka lagen hänvisar har orsakat.
Första stycket punkten 13 hänvisar till 51 § första stycket, 52 § första stycket och 53 § personuppgiftslagen. Av hänvisningen till 51 § första stycket följer att Datainspektionens beslut får överklagas till allmän förvaltningsdomstol. Som framgår av hänvisningen till 52 § första stycket personuppgiftslagen kan den personuppgiftsansvariga myndighetens beslut om information enligt 26 §, om rättelse och om underrättelse till tredje man enligt 28 § och om upplysningar enligt 42 § personuppgiftslagen också överklagas till allmän förvaltningsdomstol.
Av hänvisningen till 53 § personuppgiftslagen följer att andra beslut inte får överklagas.
I andra stycket regleras hur gallringsregler i lagen, och i föreskrifter som har meddelats i anslutning till lagen, förhåller sig till hänvisningen i första stycket 2. Bestämmelsen innebär att skattebrottsdatalagen ges företräde framför bestämmelserna i 8 § andra stycket personuppgiftslagen.
Det tredje stycket innehåller ett undantag från informationsskyldigheten i 23 § personuppgiftslagen. Information behöver inte lämnas om uppgifterna samlas in genom bild- eller ljudupptagning.
Förbud enligt 44 eller 45 § personuppgiftslagen får normalt förenas med vite. I fjärde stycket föreskrivs dock att förbud som meddelas i samband med tillsyn av personuppgiftsbehandling enligt denna lag får inte förenas med vite.
Paragrafen överensstämmer till stor del med 2 kap. 2 § polisdatalagen och 2 kap. 2 § kustbevakningsdatalagen.
Personuppgiftsansvar
3 §
Paragrafen innehåller bestämmelser om personuppgiftsansvar. Övervägandena finns i avsnitt 9.7.
I paragrafen anges att Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (3 § personuppgiftslagen). Flera bestämmelser i personuppgiftslagen, till vilka det hänvisas i 2 §, ålägger den personuppgiftsansvarige särskilda skyldigheter. Så är det t.ex. enligt 9 § första stycket personuppgiftslagen den personuppgiftsansvariges skyldighet att se till att de behandlade personuppgifterna är adekvata och relevanta i förhållande till ändamålen för behandlingen och att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen för behandlingen. Det ankommer också på den personuppgiftsansvarige att se till att information lämnas till den registrerade och att uppgifter gallras i rätt tid.
Av 1 kap. 4 § 1 följer att personuppgiftsansvaret även omfattar behandling av uppgifter om juridiska personer.
Huvudregeln är att den myndighet som samlar in och lagrar personuppgifter är personuppgiftsansvarig för den behandlingen. Om en uppgift lämnas ut till en annan myndighet, genom direktåtkomst eller på annat sätt, blir den mottagande myndigheten personuppgiftsansvarig för den fortsatta behandlingen av uppgiften hos den myndigheten. När uppgifter lämnas ut till olika myndigheter kan alltså personuppgiftsansvaret för en och samma uppgift komma att ligga hos flera myndigheter. Var och en av dessa ansvarar för den egna behandlingen.
Motsvarande bestämmelser finns i 2 kap. 4 § polisdatalagen och 2 kap. 4 § kustbevakningsdatalagen.
Personuppgiftsombud
4 §
Paragrafen innehåller bestämmelser om personuppgiftsombud. Övervägandena finns i avsnitt 9.8.
I första stycket föreskrivs att Skatteverket ska utse ett eller flera personuppgiftsombud. Hänvisningen i 2 § första stycket 9 till 38–40 §§personuppgiftslagen innebär att personuppgiftslagens bestämmelser om personuppgiftsombudets uppgifter blir tillämpliga i Skatteverkets brottsbekämpande verksamhet.
Enligt andra stycket ska myndigheten anmäla till tillsynsmyndigheten enligt personuppgiftslagen, dvs. Datainspektionen, när ett personuppgiftsombud utses eller entledigas.
Paragrafen överensstämmer med 2 kap. 5 § polisdatalagen och i sak även med 2 kap. 5 § kustbevakningsdatalagen.
Ändamål
5 §
Paragrafen anger de primära ändamål för vilka personuppgifter får behandlas i Skatteverkets brottsbekämpande verksamhet. Övervägandena finns i avsnitt 9.10.1–9.10.4.
Personuppgifter som behandlas med stöd av paragrafen får också behandlas för ett antal ytterligare ändamål. Behandlingen av dessa sekundära ändamål regleras i 6 §. Av 7 § framgår att personuppgiftsbehandling dessutom får ske för diarieföring och inom ramen för viss ärendehantering. Vidare får enligt 6 § tredje stycket personuppgifter behandlas för ett annat sekundärt ändamål än de i lagen angivna, om det nya ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in. Ramarna för sådan vidarebehandling sätts således av den s.k. finalitetsprincipen. Som framgår av hänvisningen i 2 § första stycket 2 till 8 § personuppgiftslagen får behandling också ske i den mån den är nödvändig för att verket ska kunna fullgöra sina skyldigheter enligt 2 kap. tryckfrihetsförordningen. Tillsammans avgränsar de nu nämnda bestämmelserna för vilka ändamål behandling av personuppgifter är tillåten i Skatteverkets brottsbekämpande verksamhet.
En grundläggande förutsättning för att en personuppgift ska vara tillåten att behandla är att den behövs för viss verksamhet hos Skatteverket. Med detta avses att det ska finnas ett konkret behov av att genomföra behandlingen och att detta behov svarar mot ändamålet med denna. Som exempel kan nämnas att det i en förundersökning kan vara nödvändigt att sammanställa uppgifter om vilka personer som har haft en ledande ställning eller arbetat i en näringsverksamhet, för att klarlägga ansvarsfrågor och säkerställa att alla presumtiva vittnen har hörts i saken. Likaså måste självfallet många personuppgifter om misstänkta behandlas för att tillgodose åklagarens behov av underlag för sitt ställningstagande i åtalsfrågan. Om ändamålet är att förebygga eller förhindra brott, kan det t.ex. vara nödvändigt att sammanställa uppgifter om samband mellan olika personer och bolag eller vem som äger eller disponerar ett fordon som Skatteverket misstänker används i den brottsliga verksamheten.
Personuppgifter får behandlas för planering, uppföljning och utvärdering av den brottsbekämpande verksamheten. Sådan behandling anses
utgöra en del av själva verksamheten och behöver inte regleras särskilt, se propositionen Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 179).
Av punkten 1 framgår att personuppgifter får behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet. Den verksamhet som åsyftas är framför allt det som normalt kallas underrättelseverksamhet, dvs. arbete med insamling, bearbetning och analys av information för att förebygga, förhindra eller upptäcka brottslig verksamhet när det ännu inte finns konkreta misstankar om att ett visst brott redan har begåtts. Arbete som är inriktat på en redan begången individualiserad brottslig gärning faller in under punkten 2, se nedan.
Av punkten 2 framgår att personuppgifter får behandlas för att utreda brott. Med brott avses ett konkret brott. Det kan vara fråga om såväl brott som bevisligen har begåtts som brott som det enbart finns misstankar om. Misstankarna behöver inte vara riktade mot någon bestämd person. Om misstankarna enbart gäller icke preciserad brottslig verksamhet, är det dock i stället fråga om sådan ”brottslig verksamhet” som avses i punkten
1. Rör misstanken ett visst brott som kan komma att begås i framtiden kan personuppgiftsbehandling vara tillåten med stöd av punkten 1. Har den förväntade gärningen nått den punkt där den är straffbar såsom försök, förberedelse, stämpling eller anstiftan – dvs. om det finns grund för att inleda förundersökning – är det däremot fråga om personuppgiftsbehandling som faller under punkten 2. I praktiken omfattar punkten 2 den behandling hos Skatteverket som sker inom ramen för en förundersökning eller en s.k. förutredning. Hantering av en brottsanmälan hör också hit, även om denna inte leder till något beslut om att inleda förundersökning. Av punkten 3 följer att behandling av personuppgifter i vissa fall får ske i syfte att gagna utländsk brottsbekämpande verksamhet. I den utsträckning ett internationellt åtagande innebär en skyldighet för Skatteverket att fullgöra vissa förpliktelser och den konkreta arbetsuppgiften kräver att Skatteverket behandlar personuppgifter, är behandlingen tillåten enligt denna punkt. Detta gäller oavsett om den brottslighet som den utländska brottsbekämpande verksamheten avser faller in under svensk jurisdiktion eller inte. Sådana förpliktelser kan följa dels av vissa lagar som genomför internationella överenskommelser, dels direkt av vissa internationella överenskommelser. Någon internationell överenskommelse som innebär att Skatteverket är skyldigt att fullgöra sådana förpliktelser som avses i denna punkt finns inte i dag. Det förekommer dock att Skatteverket biträder åklagare i ett ärende om rättslig hjälp åt utländsk myndighet. Sådan behandling omfattas av denna punkt. Paragrafen överensstämmer till stor del med 2 kap. 7 § polisdatalagen och 3 kap. 2 § kustbevakningsdatalagen.
6 §
I paragrafen anges de sekundära ändamål för vilka personuppgifter får behandlas i den brottsbekämpande verksamheten. Övervägandena finns i avsnitt 9.10.5.
Behandling enligt denna paragraf förutsätter att uppgifterna redan är föremål för behandling enligt 5 §. Det är alltså inte tillåtet att samla in personuppgifter enbart i syfte att behandla dem enligt denna paragraf.
Det förhållandet att uppgifter får behandlas för utlämnande av information påverkar inte de bestämmelser som gäller om sekretess. Bestämmelserna i offentlighets- och sekretesslagen (2009:400) om sekretess mellan och inom myndigheter liksom bestämmelser i andra författningar som bryter sekretess ska således beaktas på vanligt sätt.
Av första stycket punkten 1 framgår att personuppgifter som behandlas med stöd av 5 § även får behandlas för att tillhandhålla information som behövs i brottsbekämpande verksamhet hos vissa andra myndigheter, nämligen Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen.
I första stycket punkten 2 regleras möjligheten att behandla personuppgifter som behandlas enligt 5 § för att tillhandahålla en utländsk myndighet eller en mellanfolklig organisation den information som behövs i dess brottsbekämpande verksamhet. Denna bestämmelse ger stöd för själva behandlingen av personuppgifterna. Hur stort utrymmet är för utlämnande av uppgifter bestäms som nyss nämnts av reglerna om sekretess, se också kommentaren till 11 §. Möjligheten att behandla uppgifterna genom att lämna ut dem kan också begränsas av t.ex. reglerna i 33–35 §§personuppgiftslagen som inskränker möjligheten att överföra uppgifter till tredjeland.
Första stycket punkten 3 tar sikte på behandling av personuppgifter för att tillhandahålla uppgifter till annan verksamhet hos Skatteverket än den brottsbekämpande. Sådan verksamhet bedrivs inom andra självständiga verksamhetsgrenar. Personuppgifter som behandlas enligt 5 § får enligt denna punkt behandlas för att tillhandahålla information som behövs i annan verksamhet som Skatteverket ansvarar för, om det kan antas att informationen behövs i ett ärende i den verksamheten. Det kan t.ex. röra sig om information som talar för att en verksamhet inte alls har beskattats eller beskattats på ett felaktigt sätt, eller att en registrerad uppgift i folkbokföringen är felaktig. Sekretessen i den brottsbekämpande verksamheten gäller i förhållande till andra självständiga verksamhetsgrenar inom myndigheten. Innan uppgifter lämnas ut måste således en sekretessprövning göras.
Första stycket punkten 4 a är avsedd att tillgodose Skatteverkets behov av att fullgöra författningsenliga skyldigheter att direkt biträda en annan svensk myndighet i dess verksamhet, exempelvis att bistå åklagaren i en förundersökning. Denna punkt ger verket rätt att behandla personuppgifter inom ramen för sådant biträde i en annan myndighets verksamhet.
Av första stycket punkten 4 b framgår att Skatteverket har möjlighet att behandla personuppgifter för att tillhandahålla information till svenska myndigheter, inklusive annan verksamhet inom Skatteverket, i syfte att samverka mot brott. Det rör sig om tillhandahållande av uppgifter till andra myndigheter eller verksamheter inom Skatteverket som inte har till uppgift att bekämpa brott, men där tillhandahållandet är till nytta för brottsbekämpningen. Punkten omfattar utlämnande inom ramen för myndighetsöverskridande samverkan mot brott. Sådan samverkan kan t.ex. ske vid arbetet i ett regionalt underrättelsecentrum (RUC). Utlämnande vid arbetet i ett sådant underrättelsecentrum kan ibland ske med stöd av lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. Den gäller vid viss särskilt beslutad samverkan mellan myndigheterna och innehåller bestämmelser om uppgiftsskyl-
dighet. Annat samarbete inom RUC kan dock komma att ske med stöd av första stycket punkten 4 b. En sedvanlig sekretessprövning krävs emellertid också innan uppgifter kan lämnas ut.
Av andra stycket framgår att personuppgifter får behandlas, om det är nödvändigt för att tillhandahålla information till riksdagen eller regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra. Med andra avses såväl myndigheter som enskilda. Även annan verksamhetsgren inom Skatteverket omfattas.
Exempel på uppgiftsskyldighet gentemot annan myndighet finns i 13 kap. 6 § regeringsformen och 6 § lagen (2002:1022) om revision av statlig verksamhet m.m., där det föreskrivs skyldighet att tillhandahålla Riksdagens ombudsmän respektive Riksrevisionen begärda upplysningar. Vidare omfattas t.ex. en myndighets skyldighet enligt 6 kap. 5 § offentlighets- och sekretesslagen att på begäran av en annan myndighet lämna ut uppgift som den förfogar över, i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång.
I tredje stycket tydliggörs att de sekundära ändamålen inte är uttömmande. För att en uppgift ska få vidarebehandlas för något annat ändamål än de som anges i första och andra styckena måste det emellertid i det enskilda fallet göras en bedömning att det nya ändamålet inte är oförenligt med det ursprungliga ändamål för vilket uppgifterna samlades in.
Liknande bestämmelser om sekundära ändamål finns i 2 kap. 8 § polisdatalagen och 3 kap. 3 § kustbevakningsdatalagen.
7 §
Paragrafen reglerar behandling av personuppgifter i två särskilt angivna fall och gäller oavsett om förutsättningarna för behandling enligt 5 eller 6 § är för handen. Övervägandena finns i avsnitt 9.10.6.
Enligt punkten 1 får personuppgifter alltid behandlas om behandlingen är nödvändig för diarieföring. Vilka uppgifter som måste noteras i samband med diarieföring av en handling framgår av 5 kap. 2 § offentlighets- och sekretesslagen. Vid diarieföring av inkomna handlingar får således alltid anges vem handlingen har kommit från och i korthet vad handlingen rör. Någon annan behandling än sådan som är nödvändig för diarieföringen får emellertid inte utföras med stöd av första punkten. Den fortsatta behandlingen ska således – utom i fall där andra punkten i denna paragraf blir tillämplig – alltid ha stöd i någon av lagens övriga ändamålsbestämmelser.
Vidare får, enligt punkten 2, personuppgifter alltid behandlas om de har lämnats till Skatteverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Uttrycket ”anmälan eller liknande” innefattar alla slag av framställningar till Skatteverket. Oftast ryms framställningar av detta slag inom de i 5 § angivna ändamålen och ska då behandlas med stöd av den paragrafen, men i vissa fall kan innehållet i framställan vara sådant att behovsrekvisitet i 5 § inte är uppfyllt. Eftersom en framställan vanligtvis kräver något slag av handläggning hos myndigheten, har det införts en särskild bestämmelse för personuppgiftsbehandling i dessa fall. Behandlingen måste vara ”nödvändig för handläggningen”. Det kan i ett enskilt fall innebära att personuppgifter i ett e-
postmeddelande inte får behandlas på annat sätt än att uppgifterna tas emot och därefter omedelbart arkiveras eller gallras. I ett annat fall kan bestämmelsen innebära att personuppgifterna också får behandlas i samband med att framställan besvaras.
Paragrafen överensstämmer till stor del med 2 kap. 9 § polisdatalagen och 2 kap. 6 § kustbevakningsdatalagen.
Känsliga personuppgifter
8 §
Paragrafen anger i vilken utsträckning känsliga personuppgifter får behandlas i Skatteverkets brottsbekämpande verksamhet. Övervägandena finns i avsnitt 9.11.
Enligt första stycket får personuppgifter inte behandlas enbart på grund av vad som är känt om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Det är således inte tillåtet att föra register över eller på annat sätt göra anteckningar om enskilda enbart på den grunden att de utifrån etniskt ursprung, politiska åsikter eller något annat i paragrafen angivet kriterium kan hänföras till en viss kategori av människor.
En uppgift om utseende utgör normalt inte en sådan personuppgift som avses i första stycket och den får alltså behandlas, med den begränsning som följer av tredje stycket. Om en sådan uppgift samtidigt innefattar uppgift om t.ex. etniskt ursprung, omfattas den dock av bestämmelsen.
Bestämmelsen i första stycket hindrar inte heller att uppgifter om en persons nationalitet behandlas, eftersom en sådan uppgift normalt inte ger upplysning om etniskt ursprung. Likaså faller som regel uppgifter om att en viss person närmast kommer från en viss världsdel eller ett visst land utanför förbudet mot behandling av känsliga personuppgifter. Skulle emellertid en sådan uppgift i det enskilda fallet t.ex. avslöja etniskt ursprung faller den in under förbudet.
Andra stycket innehåller två undantag från huvudregeln. För det första får uppgifter om en person som behandlas på annan grund kompletteras med sådana uppgifter som avses i första stycket, om det är absolut nödvändigt för syftet med behandlingen. Bestämmelsen innebär att om andra uppgifter om en person samlas in i samband med t.ex. en förundersökning får dessa kompletteras med uppgifter om religiös övertygelse eller etniskt ursprung om det är av avgörande betydelse för utredningen. Med hänsyn till den restriktivitet som ligger i begreppet “absolut nödvändigt” måste dock behovet av att göra sådana kompletteringar prövas noga i det enskilda ärendet. Det kan bl.a. handla om känsliga personuppgifter som är av avgörande betydelse för utredningen.
Känsliga personuppgifter kan också förekomma i förundersökningar på grund av att någon under ett förhör har lämnat en sådan uppgift eller i en inlaga nämnt uppgiften. Det kan vara fråga om helt grundlösa påståenden. Eftersom myndigheten inte kan hindra någon från att yttra sig vare sig muntligen eller skriftligen kan känsliga personuppgifter på detta sätt komma att ingå i undersökningen. Om det nedtecknade förhöret eller den inkomna handlingen ingår i en förundersökning omfattas behand-
lingen av den känsliga personuppgiften även i dessa fall av undantaget i andra stycket.
För det andra får känsliga personuppgifter alltid behandlas i de fall som avses i 7 §, dvs. om det är nödvändigt för diarieföring eller, i fråga om uppgifter i anmälan eller liknande, om det är nödvändigt för handläggningen. Det innebär bl.a. att det är möjligt att ta emot och besvara anmälningar och liknande skrifter i elektronisk form även om dessa innehåller känsliga personuppgifter.
I tredje stycket föreskrivs att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Syftet med bestämmelsen är att förhindra att personer beskrivs i ordalag som kan vara kränkande för individen.
Paragrafen överensstämmer med 2 kap. 10 § polisdatalagen och 2 kap. 7 § kustbevakningsdatalagen.
Sökning i beskattningsdatabasen
9 §
Paragrafen reglerar vilka sökbegränsningar som ska gälla vid sökning rörande fysiska personer i beskattningsdatabasen som görs i Skatteverkets brottsbekämpande verksamhet. Övervägandena finns i avsnitt 9.13.
I paragrafen ges en upplysning om att bestämmelser om beskattningsdatabasen finns i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Vid sökning får endast uppgifter om namn, personnummer eller samordningsnummer användas som sökbegrepp. Bestämmelsen överensstämmer i sak med 14 a § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.
Tillgången till personuppgifter
10 §
Bestämmelsen reglerar den interna tillgången till personuppgifter i Skatteverkets brottsbekämpande verksamhet. Övervägandena finns i avsnitt 9.9.
I Skatteverkets brottsbekämpande verksamhet förekommer en betydande mängd uppgifter. Till stor del är dessa av integritetskänsligt slag och ska inte spridas till någon som inte behöver ta del av uppgifterna. I första stycket slås därför fast att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Bestämmelsen riktar sig inte bara till de tjänstemän som engagerade i den dagliga verksamheten. Den måste också beaktas av dem som ansvarar för utformningen av nya datasystem liksom av dem som avgör vilken tillgång till personuppgifter respektive tjänsteman behöver för att kunna fullgöra sina uppgifter.
I andra stycket finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om förutsättningarna för tillgången till personuppgifter. Detaljbestämmelser kan således utformas så att tillgången till personuppgifter begränsas till vad som är nödvändigt för verksamhetens bedrivande.
Paragrafen överensstämmer i sak med 2 kap. 11 § polisdatalagen och 2 kap. 3 § kustbevakningsdatalagen.
Utlämnande av uppgifter och uppgiftsskyldighet
11 §
Paragrafen innehåller en sekretessbrytande bestämmelse om utlämnande till utländska myndigheter och mellanfolkliga organisationer. Övervägandena finns i avsnitt 9.15.6.
En förutsättning för att personuppgifter ska få lämnas ut är att den behandling av uppgifter som utlämnandet innebär är tillåten. Av 5 § 3 framgår att personuppgifter får behandlas för att fullgöra de förpliktelser som följer av internationella åtaganden. Vidare innehåller 6 § första stycket 2 en bestämmelse om att personuppgifter som behandlas enligt 5 § också får behandlas för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation. De nu angivna bestämmelserna avser behandling som har till ändamål att överföra information till en utländsk myndighet eller organisation.
För att sådant utlämnande ska få ske krävs emellertid därutöver att det inte på grund av sekretess finns hinder mot att lämna över uppgifterna till en utländsk myndighet eller mellanfolklig organisation, vilket nu aktuell paragraf tar sikte på. För många av de personuppgifter som förekommer i Skatteverkets brottsbekämpande verksamhet gäller sekretess, såväl sekretess till skydd för intresset av att förebygga och beivra brott som sekretess till skydd för enskilds ekonomiska förhållanden. Enligt 8 kap. 3 § offentlighets- och sekretesslagen får en sekretessbelagd uppgift inte röjas för en utländsk myndighet eller en mellanfolklig organisation annat än om utlämnandet sker i enlighet med en särskild föreskrift om detta i lag eller förordning eller om uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt utlämnande myndighet står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen.
I paragrafen föreskrivs att uppgifter får lämnas ut till en utländsk myndighet eller en mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Bestämmelsen är tillämplig när den internationella överenskommelsen ålägger Sverige att lämna ut vissa slag av uppgifter. Däremot gäller den inte för överenskommelser där det enbart sägs att utlämnande får ske. I sådana fall kan en prövning göras enligt 8 kap. 3 § 2 offentlighets- och sekretesslagen.
Den utlämnande myndigheten måste alltid försäkra sig om att villkoren i 33–35 §§personuppgiftslagen är uppfyllda (se 2 § första stycket 8).
Bestämmelsen överensstämmer med 6 § första stycket lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och med 2 kap. 15 § andra stycket polisdatalagen och 3 kap. 6 § tredje stycket kustbevakningsdatalagen.
12 §
Paragrafen innehåller en bestämmelse som bryter viss sekretess som annars skulle ha gällt gentemot andra brottsbekämpande myndigheter. Övervägandena finns i avsnitt 9.15.4.
I paragrafen regleras andra brottsbekämpande myndigheters rätt att, utan hinder av viss i paragrafen angiven sekretess till skydd för enskild, i den brottsbekämpande verksamheten få del av personuppgifter som har gjorts gemensamt tillgängliga i Skatteverkets brottsbekämpande verksamhet. Paragrafen har utformats som en uppgiftsskyldighet, jfr propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 331). För att uppgifterna ska lämnas ut krävs det att det finns ett behov av uppgifterna hos den mottagande myndigheten. Eftersom bestämmelsen ska kunna tillämpas vid direktåtkomst får bedömningen göras utifrån respektive myndighets brottsbekämpande uppgifter och med utgångspunkt i det behov av uppgifterna som myndigheten typiskt sett har (se prop. 2009/10:85 s. 192 f.) Det är den utlämnande myndigheten som ytterst avgör om den andra myndigheten behöver uppgifterna.
Bestämmelser med motsvarande innehåll finns i 2 kap. 16 § första stycket polisdatalagen och 3 kap. 7 § kustbevakningsdatalagen.
13 §
Paragrafen innehåller upplysningsbestämmelser. Övervägandena finns i avsnitt 9.15.4 och 9.15.6.
I första stycket finns en upplysning om att regeringen har möjlighet att meddela föreskrifter om att personuppgifter får lämnas ut även i andra fall än som anges i 11 och 12 §§.
I andra stycket erinras om att det i offentlighets- och sekretesslagen finns bestämmelser om utlämnande som gäller utöver vad som anges i förevarande lag. Utlämnande kan exempelvis ske med stöd av generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen. En annan sådan bestämmelse, som rör utlämnande till utländska myndigheter eller mellanfolkliga organisationer, finns i 8 kap. 3 § 2 offentlighets- och sekretesslagen.
Paragrafen överensstämmer i sak med 2 kap. 19 § polisdatalagen och 3 kap. 8 § kustbevakningsdatalagen.
14 §
Enligt paragrafen ska personuppgifter som är nödvändiga för att framställa rättsstatistik lämnas till den myndighet som ansvarar för framställandet av sådan statistik. Övervägandena finns i avsnitt 9.15.5.
Bestämmelsen bryter den sekretess som kan gälla för personuppgifterna. Av förordningen (2001:100) om den officiella statistiken framgår att Brottsförebyggande rådet är statistikansvarig myndighet på rättsväsendets område, med undantag för domstolarnas verksamhet.
Paragrafen överensstämmer med 5 § lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar och med 2 kap. 14 § polisdatalagen.
Elektroniskt utlämnande
15 §
Paragrafen reglerar under vilka förutsättningar uppgifter får lämnas ut på medium för automatiserad behandling, t.ex. i ett e-postmeddelande eller på ett USB-minne. Bestämmelsen har inte någon sekretessbrytande verkan. Övervägandena finns i avsnitt 9.12.1.
Bestämmelsen innebär att en större mängd personuppgifter, t.ex. ett helt register eller delar av ett register, inte får lämnas ut på medium för automatiserad behandling såvida inte regeringen har meddelat föreskrifter om detta. Däremot kan, enligt första stycket, enstaka uppgifter lämnas ut. Ordet enstaka används här med en annan innebörd än i vanligt språkbruk. När personuppgifter förekommer i en eller ett fåtal handlingar är bestämmelsen således inte avsedd att utgöra ett hinder mot att handlingarna lämnas ut genom t.ex. ett e-postmeddelande. Det förhållandet att en handling, t.ex. en lista över telefonnummer, innehåller ett större antal personuppgifter hindrar inte att handlingen lämnas ut med stöd av paragrafen. Bestämmelsen är också avsedd att ge stöd för utlämnande av t.ex. ett ärende eller delar av ett ärende där personuppgifter förekommer (jfr prop. 2009/10:85 s. 333).
Av andra stycket följer att regeringen har möjlighet att meddela föreskrifter om utlämnande på medium för automatiserad behandling av större uppgiftsmängder, t.ex. mellan myndigheter.
Paragrafen överensstämmer i sak med 2 kap. 20 § polisdatalagen och 2 kap. 8 § kustbevakningsdatalagen.
16 §
Paragrafen anger i vilken utsträckning utlämnande genom direktåtkomst är tillåten. Övervägandena finns i avsnitt 9.12.2.
Den grundläggande innebörden av begreppet direktåtkomst är att någon har direkt tillgång till register, databaser eller andra samlingar av uppgifter som behandlas automatiserat och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i uppgiftssamlingen. I begreppet direktåtkomst ligger också att den som är ansvarig för uppgiftssamlingen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Om någon har direktåtkomst till samtliga uppgifter i en myndighets register, kan denne alltså själv välja vilka uppgifter han eller hon vill ta del av vid ett visst tillfälle, utan att myndigheten först fattar ett beslut om att just dessa uppgifter ska lämnas ut. Bestämmelserna om direktåtkomst har inte någon sekretessbrytande verkan.
I första stycket görs klart att direktåtkomst bara får förekomma i den utsträckning som följer av lagen. Det innebär bl.a. att det ska framgå av lagen om och i vilken utsträckning bestämmelser om direktåtkomst får meddelas på lägre normgivningsnivå.
I andra stycket upplyses om den bestämmelse i lagen som reglerar direktåtkomst.
Paragrafen överensstämmer med 2 kap. 9 § kustbevakningsdatalagen och till stor del med 2 kap. 21 § första stycket polisdatalagen.
3 kap. Gemensamt tillgängliga uppgifter
1 §
Lagen bygger på en uppdelning mellan å ena sidan behandling av ”gemensamt tillgängliga uppgifter” eller behandling som innebär att uppgifter blir gemensamt tillgängliga och å andra sidan annan behandling av personuppgifter. Övervägandena finns i avsnitt 9.14.1.
Paragrafens första stycke innehåller en beskrivning av vad som i lagen avses med uttrycket gemensamt tillgängliga uppgifter och anger att 3 kap. gäller vid behandling av personuppgifter av detta slag.
Avgörande för bedömningen av om personuppgifter är att anse som gemensamt tillgängliga eller inte är om uppgifterna bara är åtkomliga för en bestämd och begränsad personkrets. Om avsikten är att uppgifterna ska vara åtkomliga för en i förväg obestämd krets av anställda inom Skatteverkets brottsbekämpande verksamhet får uppgifterna alltid anses vara gemensamt tillgängliga. Att olika personalkategorier kan ha olika behörighet, och att en uppgift därför i praktiken vid en viss tidpunkt är åtkomlig enbart för ett begränsat antal personer, innebär alltså inte att uppgiften inte kan anses vara gemensamt tillgänglig. Uppgifter som en annan brottsbekämpande myndighet har tillgång till genom direktåtkomst är alltid gemensamt tillgängliga, se kommentaren till 8 §.
Om uppgifterna lagras på ett sådant sätt att endast en viss person har tillgång till dem, kan uppgifterna normalt inte anses gemensamt tillgängliga. Personuppgifter som lagras elektroniskt på hårddisken i en dator eller en server i samband med att en enskild tjänsteman arbetar med ordbehandling och som är åtkomliga endast för tjänstemannen själv (och för systemadministratören) kan alltså inte anses vara gemensamt tillgängliga. I sådana fall är bestämmelserna i 3 kap. inte tillämpliga. Det gäller även om syftet är att uppgifterna senare ska lagras så att andra får tillgång till dem. Det är alltså först när insamlade uppgifter görs tillgängliga för fler än ett fåtal personer som bestämmelserna i 3 kap. blir tillämpliga. En annan sak är att den som samlar in uppgifter, som kan antas bli gemensamt tillgängliga vid en senare tidpunkt, redan vid insamlingstillfället har goda skäl att beakta de särskilda regler som gäller för behandling av gemensamt tillgängliga personuppgifter för att inte försvåra den fortsatta behandlingen.
I vilken utsträckning uppgifter som är tillgängliga enbart för en bestämd krets av personer är att anse som gemensamt tillgängliga får bedömas med hänsyn till främst hur många personer som har tillgång till uppgifterna. Enbart det förhållandet att fler än en person har tillgång till uppgifterna innebär inte att uppgifterna ska anses gemensamt tillgängliga. Behandlingar som sker exempelvis inom ramen för särskilda underrättelseprojekt i vilka endast vissa utpekade tjänstemän deltar kan alltså falla utanför regleringen i 3 kap. Om antalet tjänstemän i en sådan grupp uppgår till fler än ett fåtal, måste dock de personuppgifter som behandlas inom gruppen, trots att den är avgränsad, anses vara gemensamt tillgängliga. Var gränsen går får bedömas med hänsyn till samtliga omständigheter i ett enskilt fall, men en tumregel kan vara att uppgifterna är att anse som gemensamt tillgängliga om antalet deltagare i gruppen överstiger ett tiotal.
Även den tid under vilken uppgifter avses bli behandlade kan ha betydelse för frågan om uppgifterna ska anses vara gemensamt tillgängliga eller inte. I ett projekt med längre varaktighet måste man räkna med att de personer som sysslar med projektet med tiden kommer att bytas ut. Som en följd av detta kommer de uppgifter som behandlas att bli tillgängliga för ett större antal personer än vad som motsvarar det normala antalet deltagare i projektet. Mot den bakgrunden kan uppgifter som behandlas i långsiktiga projekt ibland anses vara gemensamt tillgängliga, trots att antalet deltagare vid varje givet tillfälle är begränsat till en mindre grupp av personer.
När det gäller frågan om huruvida en uppgift är gemensamt tillgänglig eller inte är det viktigt att framhålla att karaktären av en uppgift kan förändras under den tid som den behandlas. Uppgifter som från början har betraktats som icke gemensamt tillgängliga kan göras gemensamt tillgängliga. När så har skett ska de strängare bestämmelserna om behandling av gemensamt tillgängliga uppgifter tillämpas.
Av andra stycket framgår att bestämmelserna i 3 kap. inte gäller när personuppgifter behandlas med stöd av bestämmelserna i 2 kap. 7 § om diarieföring m.m. I kommentaren till den paragrafen utvecklas närmare vilken personuppgiftsbehandling som får utföras med stöd av den.
En bestämmelse med motsvarande innehåll finns i 3 kap. 1 § polisdatalagen. En definition av gemensamt tillgängliga uppgifter med motsvarande innebörd finns i 1 kap. 4 § kustbevakningsdatalagen.
Personuppgifter som får göras gemensamt tillgängliga
2 §
Paragrafen innehåller en uppräkning av de slag av personuppgifter som får göras gemensamt tillgängliga. Övervägandena finns i avsnitt 9.14.2.
När personuppgifter görs gemensamt tillgängliga innebär det, typiskt sett, ökade risker för intrång i den personliga integriteten. Uppräkningen är därför uttömmande och det är alltså inte tillåtet att göra personuppgifter gemensamt tillgängliga i andra fall.
I punkten 1 nämns personuppgifter “som kan antas ha samband med misstänkt brottslig verksamhet”. Bestämmelsen ger möjlighet göra personuppgifter i arbetet med att förebygga, förhindra eller upptäcka brottslig verksamhet gemensamt tillgängliga. Rekvisiten i bestämmelsen innebär att det måste finnas en misstanke om att sådan brottslig verksamhet som avses i 2 kap. 5 § 1 har utövats eller kommer att utövas. Den brottsliga verksamheten måste vara på visst sätt kvalificerad. Huvudregeln är att den ska innefatta brott för vilket är föreskrivet fängelse i ett år eller däröver. Skattebrott, bokföringsbrott och bedrägeribrott, både av normalgraden och grova brott, omfattas t.ex. av bestämmelsen. Även om den brottsliga verksamheten inte innefattar brott med en sådan straffskala får personuppgifter som kan antas ha samband med den brottsliga verksamheten göras gemensamt tillgängliga, om det kan antas att verksamheten sker systematiskt. Upprepad skattebrottslighet kan ibland anses ske systematiskt. Det kan också röra sig om annan brottslig verksamhet som inte i det enskilda fallet kan kategoriseras som allvarlig, men som är organiserad och kan utgöra led i en verksamhet av större omfattning.
Att personuppgifterna “kan antas ha samband” med den brottsliga verksamheten innebär att de ska kunna antas ha någon direkt eller indirekt koppling till den brottsliga verksamheten. Det kan vara fråga om uppgifter om en misstänkt, ett vittne eller någon annan person som har en direkt anknytning till brottsligheten. Det kan även vara fråga om uppgifter om affärskontakter eller anhöriga och uppgifter om samband mellan olika personer och bolag. Det kan också vara fråga om indirekta personuppgifter, som uppgifter om transportmedel eller föremål som har eller kan antas ha anknytning till fysiska personer. Det följer av 2 kap. 5 § 1 att uppgifterna alltid ska behövas i arbetet med att förebygga, förhindra eller upptäcka den aktuella brottsliga verksamheten.
Av punkten 2 framgår att personuppgifter som förekommer i ett ärende om utredning av brott alltid får göras gemensamt tillgängliga. Det handlar här om uppgifter som behandlas med stöd av 2 kap. 5 § 2, t.ex. uppgifter som behandlas inom ramen för en förundersökning eller uppgifter i en upprättad brottsanmälan.
Punkten 3 innebär att det är tillåtet att göra uppgifter gemensamt tillgängliga för att fullgöra internationella åtaganden, under förutsättning att det krävs att uppgifterna görs gemensamt tillgängliga för att fullgöra dessa. Om en brottsbekämpande myndighet i Sverige bedriver brottsutredningar tillsammans med sina motsvarigheter i andra länder eller när man i flera länder bedriver parallella brottsutredningar eller samlar underrättelseinformation om samma brottslighet, kan det också finnas ett behov av att göra uppgifter gemensamt tillgängliga. Om utländska uppgifter föranleder en svensk brottsutredning eller ett svenskt underrättelseprojekt, behandlas uppgifterna med stöd av de primära ändamålen i 2 kap. 5 § 1 eller 2 och kan då göras gemensamt tillgängliga på samma sätt som andra uppgifter som förekommer i sådant ärende.
Liknande bestämmelser finns i 3 kap. 2 § polisdatalagen och 4 kap. 1 § kustbevakningsdatalagen.
Särskilda upplysningar
3 §
I paragrafen uppställs krav på att de närmare ändamålen med behandlingen ska framgå. Övervägandena finns i avsnitt 9.14.3.
Enligt bestämmelsen ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas. Till att börja med måste ges information om huruvida uppgiften behandlas enligt 2 kap. 5 § 1, 2 eller 3. Härutöver måste upplysning lämnas om för vilket närmare slag av brott eller brottslig verksamhet som behandlingen sker.
Har uppgiften samlats in för visst ändamål och kommer den senare att användas för något nytt ändamål, måste vid den senare behandlingen upplysning om det nya ändamålet lämnas. Om uppgifter från en förundersökning avseende visst brott senare används i underrättelseverksamhet avseende annan brottslig verksamhet, måste det således till uppgiften fogas en ny upplysning om ändamålet med denna behandling.
De aktuella förhållandena ska framgå genom en särskild upplysning eller på något annat sätt. Det innebär att en särskild upplysning endast behövs i de fall där förhållandet inte redan framgår av omständigheterna.
En personuppgift som t.ex. behandlas enbart i en förundersökning behöver därför inte kompletteras med någon särskild upplysning enligt denna paragraf. På motsvarande sätt behövs det normalt inte någon särskild upplysning beträffande uppgifter som behandlas i ett avgränsat underrättelseprojekt, t.ex. en särskild undersökning, om detta har ett tydligt definierat ändamål.
Vid behandling av uppgifter i bild- eller ljudupptagningar eller i löpande text framgår det också i regel klart av sammanhanget varför uppgifterna behandlas. Varje enskild uppgift kan i sådana fall av praktiska skäl inte förses med en särskild upplysning om för vilket ändamål personuppgiftsbehandlingen sker. Detta framgår i stället ofta av sammanhanget. Upptagningen, textfilen eller textavsnittet ska dock förses med en särskild upplysning om ändamålet, om detta inte framgår på något annat sätt.
Paragrafen överensstämmer till stor del med 3 kap. 3 § polisdatalagen och 4 kap. 2 § kustbevakningsdatalagen.
4 §
I paragrafen ställs krav på att det vid behandling av uppgifter som görs eller har gjorts gemensamt tillgängliga ska framgå om en uppgift avser en person som inte är misstänkt. Vidare ställs krav på att viss information ska värderas och förses med en särskild upplysning om resultatet av värderingen. Övervägandena finns i avsnitt 9.14.3.
Bestämmelserna avser endast direkta personuppgifter. Om den person som en sådan uppgift gäller inte är misstänkt vare sig för något brott eller för sådan brottslig verksamhet som avses i 2 § 1, framgår av första stycket att detta förhållande ska framgå genom en särskild upplysning eller på något annat sätt. Förekommer det misstankar – oavsett om det handlar om “skälig misstanke” eller om någon annan misstankegrad – behöver någon tilläggsupplysning inte lämnas. Upplysning behöver inte heller lämnas om det av sammanhanget framgår att det inte är fråga om någon misstänkt person. Om en person har hörts under en förundersökning, men det av sammanhanget framgår att han eller hon har hörts endast som målsägande eller vittne, behöver således uppgifterna inte förses med någon tilläggsupplysning.
Kravet på att det ska framgå om en person inte är misstänkt innebär att det krävs rutiner för att följa upp om en tidigare brottsmisstanke avskrivs i sin helhet, exempelvis i samband med att en förundersökning läggs ned, eller om rätten meddelar frikännande dom.
Av andra stycket framgår att uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Kravet på en sådan upplysning avser uppgifter som behandlas utan att det finns misstanke om något konkret brott, dvs. uppgifter som behandlas för ändamålet förebygga, förhindra eller upptäcka brottslig verksamhet. Bestämmelsen är därför inte tillämplig på uppgifter som behandlas i brottsutredande verksamhet.
Upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak behöver inte lämnas om det på grund av särskilda omständigheter är onödigt. Så kan exempelvis vara fallet om uppgifter om en viss person hämtas från offentliga register, t.ex. adress- och
telefonuppgifter. Framgår det att en uppgift har lämnats av en skattetjänsteman, krävs det normalt inte någon värdering av trovärdigheten, eftersom det följer av en skattetjänstemans skyldigheter i tjänsten att lämna korrekta uppgifter. Däremot ska en bedömning av riktigheten i sak alltid göras, eftersom en iakttagelse eller bedömning kan vara osäker oberoende av från vem den kommer.
Paragrafen överensstämmer till stor del med 3 kap. 4 § polisdatalagen och 4 kap. 3 § kustbevakningsdatalagen.
Sökning
5 §
Paragrafen reglerar användningen av känsliga uppgifter som sökbegrepp. Övervägandena finns i avsnitt 9.14.4.
I första stycket föreskrivs ett förbud mot att använda uppgifter som avslöjar känsliga personuppgifter, såsom uppgifter som avslöjar bl.a. etniskt ursprung, politiska åsikter och religiös eller filosofisk övertygelse, som sökbegrepp vid sökning i gemensamt tillgängliga uppgifter.
I andra stycket klargörs att förbudet inte hindrar att uppgifter som beskriver en persons utseende, t.ex. uppgifter om längd, hudfärg eller tatueringar, används som sökbegrepp, även om sådana uppgifter kan ge indikationer om personens etniska ursprung.
Paragrafen överensstämmer till stor del med 3 kap. 5 § polisdatalagen och 4 kap. 4 § kustbevakningsdatalagen.
6 §
Paragrafen innehåller allmänna sökbegränsningar vid sökning i gemensamt tillgängliga uppgifter på namn, personnummer, samordningsnummer och liknande identitetsbeteckningar. Övervägandena finns i avsnitt 9.14.4.
Mot bakgrund av att de informationsmängder som kan göras gemensamt tillgängliga i Skatteverkets brottsbekämpande verksamhet sammantaget kan bli betydande, är det av integritetsskäl inte lämpligt att tillåta alla slag av sökningar i informationen. Visserligen innebär bestämmelserna i lagen att namn alltid kan användas som sökbegrepp. En sökning på namn eller personnummer får emellertid inte innebära att all information om personen som behandlas i myndighetens brottsbekämpande verksamhet blir tillgänglig. Endast sådan information som det finns ett generellt behov av i verksamheten får tas fram.
I paragrafens första stycke finns en uttömmande uppräkning av de kategorier av personuppgifter som får tas fram vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar.
Av punkten 1 framgår att sådana uppgifter som anger att den sökte är anmäld för brott får tas fram. Att personen är anmäld innebär att avförda brottsanmälningar faller utanför. Som framgår av 4 kap. 5 § finns det begränsningar i fråga om behandling av vissa anmälningar. Uppgifter om personen kan trots det vara tillgängliga om någon annan av punkterna är tillämplig, t.ex. punkten 2 eller 3.
Av punkten 2 framgår att uppgifter om att den sökte är eller tidigare har varit misstänkt för brott får tas fram. Det ska således framgå om
brottsmisstanken fortfarande är aktuell eller om personen har avförts som misstänkt.
Enligt punkten 3 får även sådana uppgifter tas fram som anger att den sökta personen är misstänkt för att utöva eller komma att utöva viss brottslig verksamhet.
Enligt punkterna 4–8 får uppgifter tas fram som anger att den sökta personen har gjort en brottsanmälan, är målsägande eller förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande. Detsamma gäller en person som har gett in eller tillhandahållits en handling. Även uppgifter som anger att den sökta personen har bedömts kunna komma att möta ett ingripande med grovt våld får ingå i träffbilden.
Enligt punkten 9 får uppgifter om att den sökta personen är registrerad som funktionär i en eller flera juridiska personer vilka kan antas ha samband med brottslig verksamhet tas fram. Det kan t.ex. vara fråga om att den styrelse, verkställande direktör eller revisor som finns registrerad sammanfaller för flera olika bolag, dock utan att dessa personer misstänks vara de som faktiskt utövat den brottsliga verksamheten.
Vid sökning i gemensamt tillgängliga uppgifter får det alltså inte tas fram uppgifter av annat slag, t.ex. uppgifter från underrättelsearbete som visar att den sökte är släkt med målsäganden eller den misstänkte. Vid sökning på personnummer eller samordningsnummer gäller detsamma som för sökning av namn. Med namn avses även delar av namn och med personnummer och samordningsnummer även de sifferkombinationer som ingår i numren. Också sökning med hjälp av födelsedatum eller de sista fyra kontrollsiffrorna i ett personnummer omfattas av bestämmelsen. Bestämmelsen är avsedd att omfatta motsvarande nummer som används i andra länder även om de är uppbyggda på ett annat sätt.
Bestämmelsen ställer krav på viss anpassning av de tekniska system som används vid sökning. Vid sökning på ett visst namn, N.N., ska det inte komma upp andra uppgifter om N.N. än sådana som anges i paragrafen. Bestämmelsen är dock inte avsedd att förhindra att det vid en sådan sökning, som visar att N.N. är misstänkt för ett visst brott, också går att ta del av annan, i anslutning till brottsmisstanken angiven information. Vid en sökning på en person som visserligen förekommer i de gemensamt tillgängliga personuppgifterna men inte på något av de sätt som anges i 1–9 ska det däremot inte framkomma någon information vid en initial sökning.
Möjligheten att vid en sökning få fram vissa typer av personuppgifter kan behöva begränsas ytterligare. Sådana personuppgifter som avses i punkterna 2–3, t.ex. uppgifter i nedlagda förundersökningar eller underrättelseinformation, är typiskt sett av mera integritetskänslig karaktär. I andra stycket erinras därför om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela föreskrifter om begränsningar av tillgången till sådana uppgifter. Att tillgången till personuppgifter i verkets brottsbekämpande verksamhet generellt ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter framgår av 2 kap. 9 §.
Paragrafen överensstämmer till stor del med 3 kap. 6 § polisdatalagen och 4 kap. 5 § kustbevakningsdatalagen.
7 §
Paragrafen innehåller fyra undantag från begränsningarna i 6 §. Övervägandena finns i avsnitt 9.14.4.
Enligt första stycket 1 gäller inte 6 § vid sökning som sker i en viss handling eller i ett visst ärende. Det handlar här om sökning endast i begränsade informationsmängder.
Av första stycket 2 framgår att 6 § inte heller gäller vid sökning i uppgiftssamlingar som skapats för att utreda viss preciserad brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar med undersökningen har åtkomst till. Även här är det fråga om sökning i en avgränsad uppgiftsmängd, där tillgången till uppgifterna har begränsats. Bestämmelsen medger inte att en person med tillgång till flera uppgiftssamlingar kan söka samtidigt i dessa med hjälp av någon form av sökverktyg eller dylikt. Sådan sökning kan dock vara tillåten enligt andra stycket. Uppgifter som ingår i sådana uppgiftssamlingar som avses kan inte alltid anses vara gemensamt tillgängliga (jfr kommentaren till 1 §). Om så inte är fallet, är bestämmelserna i 3 kap. överhuvudtaget inte tillämpliga på dem.
Paragrafens andra stycke innehåller ytterligare två undantag från bestämmelserna i 6 §. En första förutsättning för att något av dessa undantag ska vara tillämpligt är att sökningen utförs av särskilt angivna tjänstemän. Det är här fråga om på förhand utpekade tjänstemän som med hänsyn till tjänstebefattning, arbetsuppgifter eller dylikt har ett särskilt behov av att kunna utföra mera omfattande sökningar. Enligt punkten 1 krävs därutöver att sökningen görs för att förebygga, förhindra eller upptäcka viss allvarlig brottslig verksamhet. Det är här fråga om sökning i underrättelseverksamhet som rör huvudsakligen grovt skattebrott, grovt försvårande av skattekontroll eller grovt bokföringsbrott. I punkten 2 regleras en möjlighet att, utan hinder av 5 §, göra mera omfattande sökningar även inom ramen för en förundersökning. Även i dessa fall krävs att det är fråga om sökning i samband med utredning av mycket allvarliga brott.
De särskilt angivna tjänstemän som har möjlighet att göra sökningar enligt andra stycket har givetvis möjlighet att, på samma villkor som övriga tjänstemän, tillämpa undantagen i första stycket.
I tredje stycket finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter, t.ex. om att det ska framgå av en förteckning eller liknande vilka personer som har anförtrotts den utökade möjligheten att söka enligt andra stycket. Av stycket framgår också att regeringen har möjlighet att meddela föreskrifter om ytterligare undantag från sökbegränsningarna i 6 §.
Bestämmelsen överensstämmer till stor del med 3 kap. 7 § polisdatalagen och 4 kap. 6 § kustbevakningsdatalagen.
Direktåtkomst
8 §
Paragrafen innehåller bestämmelser om direktåtkomst. Övervägandena finns i avsnitt 7.10.3. Innebörden av begreppet direktåtkomst redovisas i kommentaren till 2 kap. 16 § och avsnitt 9.15.2.
I första stycket anges att Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får medges direktåtkomst till personuppgifter i Skatteverkets brottsbekämpande verksamhet. Bestämmelsen innebär inte att de i paragrafen angivna myndigheterna har en absolut rätt till direktåtkomst. Det är upp till Skatteverket att bevilja sådan åtkomst. En bestämmelse om direktåtkomst reglerar vidare endast formen för utlämnande av uppgifter. Möjligheten att lämna ut vissa uppgifter genom direktåtkomst kan vara begränsad genom att uppgifterna är skyddade av sekretess. Något utlämnande genom direktåtkomst kan normalt inte ske om utlämnandet förutsätter sekretessprövning. I och med att Skatteverket åläggs en sekretessbrytande uppgiftsskyldighet i förhållande till andra brottsbekämpande myndigheter kan dock uppgifter som omfattas av den bestämmelsen utlämnas genom direktåtkomst.
Av andra stycket framgår att om en myndighet har beviljats direktåtkomst till personuppgifter, ansvarar den för att tillgången till uppgifterna inom den egna myndigheten begränsas. I Skatteverkets brottsbekämpande verksamhet gäller samma krav på begränsning enligt 2 kap. 10 §, oavsett på vilket sätt man fått tillgång till uppgifterna. Andra myndigheter som har beviljats direktåtkomst ska dock iaktta kravet i denna paragraf. Myndigheten är alltså skyldig att se till att endast den som behöver en uppgift för att fullgöra sina arbetsuppgifter har möjlighet att få del av uppgiften.
I tredje stycket informeras om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela närmare föreskrifter om bl.a. begränsningar i direktåtkomsten och om behörighet och säkerhet.
Bestämmelser med motsvarande innehåll finns i 3 kap. 8 § polisdatalagen och 4 kap. 7 § kustbevakningsdatalagen.
4 kap. Bevarande och gallring av personuppgifter
Generella bestämmelser
1 §
Paragrafen innehåller en generell bestämmelse om längsta tid för bevarande av personuppgifter i den brottsbekämpande verksamheten och hänvisar till de övriga bestämmelser om bevarande och gallring som finns i lagen. Övervägandena finns i avsnitt 9.16.1.
Av första stycket framgår att personuppgifter aldrig får bevaras under längre tid än vad som behövs för något eller några av lagens ändamål. Bevarande tillåts således med hänsyn till ett eller flera ändamål. De ändamål som avses är de som anges i 2 kap. 5–7 §§. Därigenom ges stöd för att bevara uppgifter, inte bara för ett viss utpekat konkret ärende som en viss förundersökning, utan även för mer övergripande brottsbekämpande ändamål. Bestämmelsen ger exempelvis stöd för att bevara uppgifter i ett avslutat ärende, även om det vid tidpunkten då ärendet avslutas inte finns något konkret nytt ändamål för bevarandet men uppgifterna bedöms ha ett allmänt värde för Skatteverkets verksamhet att förebygga, förhindra och upptäcka brottslig verksamhet eller utreda brott. En grundläggande förutsättning för bevarandet är att verket bedömer att uppgifterna behöver finnas tillgängliga ytterligare viss tid i den brotts-
bekämpande verksamheten. Första stycket avser såväl automatiserad som annan behandling av personuppgifter, t.ex. behandling i manuella register. Bestämmelser om längsta tid för bevarande i Skatteverkets brottsbekämpande verksamhet hindrar inte, till skillnad från bestämmelserna om gallring, att handlingar arkiveras enligt arkivlagens (1990:782) bestämmelser. När behandling inte längre är tillåten för brottsbekämpande ändamål kan bevarande således ske för arkivändamål. Personuppgifterna kan då avskiljas från den brottsbekämpande verksamheten och arkiveras i exempelvis ett digitalt arkiv.
I andra stycket hänvisas till de övriga paragrafer i 4 kap. som innehåller bestämmelser om bevarande och gallring.
Paragrafen överensstämmer till stor del med 2 kap. 12 § första stycket polisdatalagen och i 3 kap. 4 § första stycket kustbevakningsdatalagen.
2 §
Paragrafen är en upplysningsbestämmelse och har utformats efter modell från 2 kap. 11 § åklagardatalagen (2015:433). Övervägandena finns i avsnitt 9.16.1.
Genom punkten 1 upplyses om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela föreskrifter om att vissa kategorier av personuppgifter får bevaras i den brottsbekämpande verksamheten under längre tid än vad som anges i 5, 6 och 8 §§. Det kan t.ex. handla om föreskrifter om vissa kategorier av uppgifter från förundersökningar, exempelvis uppgifter om ägare av tillgångar. Det kan vidare vara fråga om fortsatt behandling av uppgifter om dömda personer i syfte att förenkla för Skatteverket att hitta ärenden som har arkiverats.
Punkten överensstämmer till stor del med 3 kap. 12 § och 15 § första stycket polisdatalagen samt med 4 kap. 11 § och 14 § första stycket kustbevakningsdatalagen.
Genom punkten 2 informeras om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter, med avvikelse från 3 § första stycket och 8 §, får bevaras för historiska, statistiska eller vetenskapliga ändamål. Punkten överensstämmer i sak med 2 kap. 13 § tredje stycket och 3 kap. 15 § andra stycketpolisdatalagen samt med 3 kap. 5 § tredje stycket och 4 kap. 14 § andra stycketkustbevakningsdatalagen.
Genom punkten 3 informeras om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om digital arkivering. Arkivering utesluter i sig inte fortsatt digital tillgång till uppgifter i den brottsbekämpande verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan därför, i syfte att begränsa tillgången till uppgifter, meddela föreskrifter om digital arkivering. Syftet med sådana föreskrifter kan vara att förhindra att digitalt arkiverade uppgifter fortsätter att behandlas på samma sätt som tidigare i den brottsbekämpande verksamheten, trots att bevarandet inte längre sker för verksamhetsändamål utan för arkivändamål.
Punkten överensstämmer i sak med 2 kap. 12 § andra stycket polisdatalagen och 3 kap. 4 § tredje stycket kustbevakningsdatalagen.
Personuppgifter som inte har gjorts gemensamt tillgängliga
3 §
Paragrafen reglerar gallring av personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga. Vad som avses med gallring behandlas i avsnitt 9.16.2.
Som framgår av första stycket ska personuppgifter som behandlas i ett ärende gallras senast ett år efter det att ärendet avslutades, medan personuppgifter som inte kan hänföras till något ärende ska gallras senast ett år efter det att de behandlades automatiserat första gången. Gallringsfristens längd beror alltså på om personuppgifterna behandlas inom ramen för ett ärende eller inte. Begreppet ärende har här en särskild innebörd som kan avvika från den gängse innebörden av begreppet i förvaltningslagen (1986:223). Med ärende avses i detta sammanhang en serie åtgärder som är avsedda att leda fram till ett bestämt slut. Särskilda underrättelseprojekt kan t.ex. omfattas. Underrättelseprojekt med en obestämd varaktighet kan dock inte ses som ett ärende i den mening som avses i paragrafen. Vidare är åtgärder som vidtas med anledning av att någon enskild har påkallat att Skatteverket agerar att anse som ett ärende. Det är däremot inte frågan om något ärende när en tjänsteman vidtar en tillfällig åtgärd inom ramen för verksamheten, t.ex. tar emot allmän information från allmänheten som inte har samband med någon pågående brottsutredning.
I andra stycket föreskrivs ett undantag från gallringsbestämmelsen för personuppgifter i ärenden om utredning eller beivrande av brott. Det rör sig framför allt om förundersökningar och om andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. I fråga om uppgifter i sådana ärenden tillämpas när det gäller gallring i stället bestämmelserna om gallring i arkivlagen. I övrigt, se 4–6 §§.
Paragrafen överensstämmer till stor del med 2 kap. 13 § första och andra styckena polisdatalagen och 3 kap. 5 § första och andra styckena kustbevakningsdatalagen.
Gemensamt tillgängliga uppgifter i ärenden om utredning av brott
4 §
I paragrafen ges en upplysning om att det i 5 och 6 §§ finns bestämmelser om hur länge personuppgifter i vissa ärenden om utredning av brott får bevaras i Skatteverkets brottsbekämpande verksamhet. Övervägandena finns i avsnitt 9.16.4.
I 5 och 6 §§ anges ramarna för behandlingen av personuppgifter i vissa avslutade ärenden om utredning av brott. En utgångspunkt är att ärenden om utredning av brott inte ska gallras enligt lagens bestämmelser (3 § andra stycket). För gemensamt tillgängliga uppgifter i vissa sådana ärenden föreskrivs dock i 5 och 6 §§, i stället för gallringsregler, en längsta tid för bevarande. Bestämmelserna kompletterar den generella bestämmelsen om bevarande i 1 § första stycket. Bestämmelserna i 5 och 6 §§ reglerar bevarandet av uppgifter i brottsanmälningar, avslutade förundersökningar och andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.
Bestämmelserna om längsta tid för bevarande hindrar inte att handlingar arkiveras och gallras enligt arkivlagens bestämmelser. När behand-
ling inte längre är tillåten för brottsbekämpande ändamål kan bevarande således ske för arkivändamål. Med hänsyn till att arkivering kan ske digitalt och att arkivering i sig inte utesluter fortsatt digital tillgång till uppgifter i verksamheten, kan regeringen eller den myndighet som regeringen bestämmer, i syfte att begränsa tillgången till uppgifter, meddela föreskrifter om digital arkivering.
Paragrafen överensstämmer till stor del med 3 kap. 9 § polisdatalagen och 4 kap. 8 § kustbevakningsdatalagen.
5 §
Paragrafen reglerar hur länge personuppgifter i en brottsanmälan får behandlas, i de fall där anmälan i fråga inte har lett till en förundersökning eller annan motsvarande utredning. Övervägandena finns i avsnitt 9.16.4.
Huvudregeln är att uppgifter i en avskriven brottsanmälan ska kunna behandlas fram till den tidpunkt när brottet preskriberas, eftersom förundersökning kan inledas om det kommer fram omständigheter som gör att brottet kan klaras upp. När brottet inte längre kan bli föremål för åtal, får uppgifterna däremot inte längre behandlas i den brottsbekämpande verksamheten.
Från huvudregeln om att behandling får ske fram till dess att brottet har preskriberats görs dock undantag för uppgifter i sådana anmälningar som har avskrivits på den grunden att det inte fanns något brott, t.ex. anmälningar som gäller icke straffbara gärningar. Uppgifter i sådana anmälningar får, när beslut om avskrivning har meddelats, inte behandlas i den brottsbekämpande verksamheten.
Motsvarande bestämmelser finns i 3 kap. 10 § polisdatalagen och 4 kap. 9 § kustbevakningsdatalagen.
6 §
Paragrafen reglerar hur lång tid personuppgifter i avslutade förundersökningar och andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken längst får behandlas i den brottsbekämpande verksamheten. Övervägandena finns i avsnitt 9.16.4.
Utgångspunkten är att brottsutredningar ska kunna behandlas viss tid efter det att ärendet avslutades. En förutsättning för behandlingen är dock att uppgifterna behöver bevaras för något eller några av lagens ändamål (se kommentaren till 1 §). Eftersom det kan vara fråga om betydande mängder information, har det av integritetsskäl bestämts en yttersta tidsgräns om fem år för sådan fortsatt behandling.
Personuppgifter i en förundersökning som har lett till åtal eller annan domstolsprövning får enligt första stycket bli föremål för fortsatt behandling även under viss tid efter det att saken har avslutats. I fråga om sådana förundersökningar räknas tiden om fem år från utgången av det kalenderår då domstolens dom eller beslut fick laga kraft.
I andra stycket regleras förundersökningar som inte har lett till domstolsprövning. Hit hör bl.a. nedlagda förundersökningar och förundersökningar om brott som har lagförts genom strafföreläggande. I dessa fall räknas femårsfristen från utgången av det kalenderår då förundersökningen avslutades.
Bestämmelsen i paragrafen hindrar inte att uppgifter från en brottsanmälan eller förundersökning fram till femårsfristens utgång inhämtas till annan brottsbekämpande verksamhet, t.ex. ett särskilt underrättelseprojekt, under förutsättning att de behövs där (2 kap. 5 §). I dessa fall får uppgifterna fortsätta att behandlas för sitt nya ändamål även sedan den ursprungliga fristen har gått ut. En sådan behandling får dock bara ske i den utsträckning behandlingen behövs för det nya ändamålet. Vidare förutsätts att uppgifterna gallras enligt de bestämmelser som gäller för behandlingen för det nya ändamålet. Om det t.ex. är ett underrättelseprojekt ska uppgiften gallras enligt bestämmelserna i 8 §. Denna grundläggande princip, att ändamålet för behandlingen är avgörande för hur länge en viss uppgift får bevaras, berörs även i kommentaren till 8 §.
Regleringen i paragrafen gäller, såsom framgår av tredje stycket, också uppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken. Med detta kan t.ex. avses en s.k. förenklad utredning enligt 23 kap. 22 § rättegångsbalken.
Motsvarande bestämmelser finns i 3 kap. 11 § polisdatalagen och 4 kap. 10 § kustbevakningsdatalagen.
7 §
Paragrafen innehåller bestämmelser om behandling av personuppgifter som rör brottsmisstankar efter det att en förundersökning har lagts ned, ett åtal har lagts ned eller en åtalad person har frikänts genom en lagakraftvunnen dom. Övervägandena finns i avsnitt 9.16.4.
Enligt paragrafen får en person inte vara sökbar som misstänkt efter det att förundersökningen mot personen har lagts ned. Detta gäller oavsett skälet för nedläggningsbeslutet. Om förundersökningen har lett till åtal, men detta har lagts ned eller lett till en frikännande dom, får den åtalade personen inte längre vara sökbar som misstänkt för brottet. Detta hindrar inte, om förundersökningen omfattar flera brott, att personen får vara sökbar som misstänkt för andra brott i förundersökningen och där motsvarande nedläggningsbeslut eller frikännande dom avseende dessa brott inte har meddelats.
Bestämmelsen ska inte tolkas så att alla handlingar där det förekommer uppgifter om att en viss person har pekats ut eller hörts som misstänkt måste förstöras. Däremot ska det inte längre vara möjligt att vid sökning i elektroniskt lagrat material återfinna den utpekade personen om man söker efter misstänkta personer. Bestämmelsen utesluter således inte att det vid en sökning kommer fram uppgifter om en person som tidigare har varit misstänkt, förutsatt att det framgår att han eller hon inte längre är misstänkt för brottet i fråga.
Bestämmelsen hindrar alltså inte fortsatt behandling av andra personuppgifter avseende den tidigare misstänkta personen än själva brottsmisstanken. Om förundersökningen om brottet fortsätter, är det givetvis också tillåtet att behandla misstankar mot andra personer.
Bestämmelsen överensstämmer i sak med 3 kap. 13 § polisdatalagen och 4 kap. 12 § kustbevakningsdatalagen.
Övriga gemensamt tillgängliga uppgifter
8 §
Paragrafen innehåller bestämmelser som reglerar gallring av andra gemensamt tillgängliga uppgifter än uppgifter i ärenden om utredning av brott. Övervägandena finns i avsnitt 9.16.3.
Enligt första stycket ska vid gallring av här aktuella uppgifter andra och tredje styckena tillämpas. Det gäller olika gallringsfrister beroende på vilket slag av uppgifter det är fråga om.
Enligt andra stycket ska personuppgifter som kan antas ha samband med misstänkt brottslig verksamhet gallras senast efter tre år om den misstänkta verksamheten innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver eller som sker systematiskt. Om den misstänkta verksamheten i stället innefattar brott för vilket är föreskrivet fängelse i två år eller däröver gäller i stället en femårig gallringsfrist.
Fristerna räknas från utgången av det kalenderår då registreringen avseende en person gjordes. Om ytterligare uppgifter om personen samlas in – oavsett om de har samband med den brottsliga verksamhet som först föranledde registrering eller annan brottslig verksamhet – förlängs gallringsfristen med tre eller fem år beroende på hur allvarlig den nya brottsliga verksamheten är. Med personuppgifter avses såväl direkta som indirekta personuppgifter, dvs. inte bara uppgifter som direkt tar sikte på en person, t.ex. namn och utseende, utan också uppgifter om fordon, adresser m.m. som kan knytas till en person.
I tredje stycket anges att uppgifter som har behandlats med stöd av 2 kap. 5 § 3, dvs. uppgifter som behövs för att fullgöra internationella åtaganden, ska gallras senast ett år efter utgången av det kalenderår då det ärende i vilket uppgifterna behandlades avslutades. Bestämmelsen kan bli aktuell t.ex. när en svensk brottsbekämpande myndighet har lämnat rättslig hjälp till en utländsk myndighet.
Gallringsfristerna i andra och tredje styckena utgör maximitider. I den mån det redan vid en tidigare tidpunkt står klart att uppgifterna saknar betydelse från brottsbekämpningssynpunkt ska de gallras redan då. Detta följer av ändamålsbestämmelserna i 2 kap. 5 § och den generella bestämmelsen om längsta tid för bevarande i 4 kap. 1 § första stycket.
En uppgift som samlats in för ett visst ändamål kan senare komma att behandlas för ett nytt ändamål. I så fall gäller en ny gallringsfrist för det nya ändamålet.
Bestämmelsen överensstämmer med 3 kap. 14 § första, andra och fjärde styckena polisdatalagen och 4 kap. 13 § andra och tredje styckena kustbevakningsdatalagen.
Ikraftträdande- och övergångsbestämmelserna
Bestämmelserna behandlas i avsnitt 11.
13.2. Förslaget till lag om ändring i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar
1 §
I paragrafen regleras vilka typer av brott som omfattas av lagen. I första stycket fjärde punkten har gjorts ett tillägg för brott enligt 9 kap.1–3 och 11 §§brottsbalken, om gärningen har samband med Skatteverkets verksamhet enligt lagen (2009:194) om förfarandet vid skattereduktion för hushållsarbete. Ändringen medför att verksamheten kommer att omfatta bedrägerier som begås i samband med felaktiga utbetalningar från Skatteverket med avseende på ROT- och RUT-tjänster. Hänvisningen till brott enligt folkbokföringslagen (1991:481) har tagits bort, eftersom någon straffbestämmelse inte längre finns i folkbokföringslagen.
Övervägandena finns i avsnitt 8.2.
6 §
Paragrafen innehåller bestämmelser om skattebrottsenhetens verksamhet utanför en förundersökning eller förutredning. Bestämmelsen har omformulerats för att motsvara hur brottsbekämpande verksamhet som inte avser en utredning av ett konkret brott numera brukar beskrivas. Det som avses med att förebygga, förhindra och upptäcka brottslig verksamhet är framför allt den s.k. underrättelseverksamheten. Sådan verksamhet utförs med anledning av misstankar om pågående brottslig verksamhet som inte kan konkretiseras, eller allmänna misstankar om framtida brott. Verksamheten avser insamling, bearbetning och analys av information och syftar bl.a. till att ta fram underlag för analyser som kan läggas till grund för vilken inriktning en verksamhet i stort ska ha eller för att initiera konkreta brottsutredningar. Bestämmelsen omfattar också skattebrottsenhetens uppgift att verka för att förebygga brott genom bl.a. informationsinsatser. Uttrycket förebygga, förhindra eller upptäcka brottslig verksamhet förekommer bl.a. i 2 kap. 7 § 1 polisdatalagen och i den nya skattebrottsdatalagen. Paragrafen innehåller inte längre någon särskild bestämmelse om att Skatteverket får bedriva spaning. Spaning får dock utföras som ett led både i en brottsutredning och i underrättelseverksamhet. Den nya lydelsen innebär inte någon ändring i sak av Skatteverkets uppgifter.
Övervägandena finns i avsnitt 8.1.
13.3. Förslaget till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
1 kap.
4 §
I andra stycket har hänvisningen till lagen om Skatteverkets medverkan i brottsutredningar justerats med anledning av att den lagen får ett nytt namn.
Övervägandena finns i avsnitt 10.
2 kap.
7 §
I första stycket har hänvisningen till lagen om Skatteverkets medverkan i brottsutredningar justerats med anledning av att den lagen får ett nytt namn.
Övervägandena finns i avsnitt 10.
13.4. Förslaget till lag om ändring i revisorslagen (2001:883)
31 §
Hänvisningen till lagen om Skatteverkets medverkan i brottsutredningar har justerats med anledning av att den lagen får ett nytt namn.
Övervägandena finns i avsnitt 10.
13.5. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
18 kap.
2 §
Paragrafen reglerar sekretess till skydd för verksamheten i underrättelseverksamhet. Eftersom sådan verksamhet inte regleras på samma sätt i den nya skattebrottsdatalagen som i lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar har omfattningen av sekretessen enligt andra stycket punkten 1 formulerats om. Tillämpningsområdet är i allt väsentligt detsamma som tidigare.
Övervägandena finns i avsnitt 10.
35 kap.
1 §
Paragrafen reglerar sekretess till skydd för enskild i förundersökningar och viss annan brottsbekämpande verksamhet.
I första stycket punkten 8 har hänvisningen till lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar ersatts med en hänvisning till den nya skattebrottsdatalagen.
Övervägandena finns i avsnitt 10.
10 §
I paragrafen finns bestämmelser om att sekretessen i 35 kap. 1 § i vissa fall inte hindrar att en uppgift lämnas ut. I första stycket punkten 3 har hänvisningen till lagen om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar ersatts med en hänvisning till den nya skattebrottsdatalagen.
Övervägandena finns i avsnitt 10.
Ikraftträdande- och övergångsbestämmelser
Bestämmelserna behandlas i avsnitt 11.
Promemorians lagförslag
Förslag till lag om behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet
Härigenom föreskrivs följande.
1 kap. Lagens syfte och tillämpningsområde
Lagens syfte
1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i verkets verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid en sådan behandling.
Med brottsbekämpande verksamhet avses
1. att förebygga, förhindra eller upptäcka brottslig verksamhet,
2. att utreda brott eller,
3. fullgöra förpliktelser som följer av internationella åtaganden avseende frågor som anges i 1 och 2.
Lagens tillämpningsområde
2 § Denna lag gäller vid Skatteverkets behandling av personuppgifter i den brottsbekämpande verksamheten.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
3 § Följande bestämmelser om personuppgifter gäller även vid behandling av uppgifter om juridiska personer
1. 2 kap. 3 § om personuppgiftsansvar,
2. 2 kap. 5 och 6 §§ om ändamålen för behandlingen,
3. 2 kap. 9 § om tillgången till personuppgifter,
4. 2 kap. 10 och 11 §§ om bevarande och gallring och
5. 3 kap. 1, 2, 8-11, 13 och 14 §§ om gemensamt tillgängliga uppgifter.
4 § Personuppgifter som behandlas enligt denna lag kan göras gemensamt tillgängliga i Skatteverkets brottsbekämpande verksamhet. I 3 kap. finns bestämmelser om bl.a. vilka uppgifter som får göras gemensamt tillgängliga och under vilka förutsättningar uppgifterna får göras gemensamt tillgängliga.
Rätten att ta del av personuppgifter som behandlas enligt denna lag och som inte gjorts gemensamt tillgängliga ska vara begränsad till endast ett fåtal personer. Dessa ska arbeta inom Skatteverkets brottsbekämpande verksamhet.
2 kap. Allmänna bestämmelser
Förhållandet till personuppgiftslagen
1 § Om inte annat anges i 2 § gäller denna lag i stället för personuppgiftslagen (1998:204).
2 § När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter som meddelats med stöd av lagen gäller personuppgiftslagens (1998:204) bestämmelser i:
1. 3 § om definitioner,
2. 8 § om förhållandet till offentlighetsprincipen,
3. 9 § om grundläggande krav på behandling av personuppgifter, dock med undantag för första stycket i) och tredje stycket,
4. 22 § om behandling av personnummer,
5. 23 § och 25–27 §§ om information till den registrerade,
6. 28 § om rättelse,
7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,
8. 33–35 §§ om säkerheten vid överföring av personuppgifter till tredje land,
9. 38–41 §§ om personuppgiftsombud m.m., 10. 42 § om upplysningar till allmänheten om vissa behandlingar, 11. 43, 44 §§, 45 § första stycket första meningen och 47 § om tillsynsmyndighetens befogenheter,
12. 48 § om skadestånd och 13. 51 § första stycket, 52 § första stycket och 53 § om överklagande. Om personuppgifter ska gallras enligt denna lag, eller enligt föreskrifter som meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.
Information enligt 23 § personuppgiftslagen behöver inte lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud.
Tillsynsmyndigheten ska inte kunna förena ett förbud att utföra viss behandling med vite.
Personuppgiftsansvar
3 § Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsombud
4 § Skatteverket ska utse ett eller flera personuppgiftsombud.
Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.
Ändamål
5 § Personuppgifter får behandlas om det behövs i Skatteverkets brottsbekämpande verksamhet.
6 § Uppgifter som behandlas enligt 5 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i
1. brottsbekämpande verksamhet hos Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen,
2. brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation,
3. annan verksamhet som Skatteverket ansvarar för, om det finns skäl att tillhandahålla informationen och det kan antas att den behövs i ett ärende i den verksamheten,
4. en annan myndighets verksamhet a. om det enligt lag eller förordning åligger Skatteverket att bistå myndigheten med viss uppgift, eller
b. om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.
Personuppgifter som behandlas enligt 5 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra.
I ett enskilt fall får personuppgifter som behandlas enligt 5 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första och andra styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
Behandling av personuppgifter för handläggning
7 § Personuppgifter får behandlas om
1. det är nödvändigt för diarieföring, eller
2. uppgifterna lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
Behandling av känsliga personuppgifter
8 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens etniska ursprung eller annat liknande förhållande, politiska åsikter, religiösa eller filosofiska övertygelser, medlemskap i fackförening, hälsa eller sexualliv.
Om uppgifter om en person behandlas på annan grund, får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas med stöd av 7 §.
Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.
Tillgången till personuppgifter
9 § Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om tillgången till personuppgifter.
Bevarande och gallring
10 § Personuppgifter får inte bevaras under längre tid än vad som behövs för något av de i denna lag angivna ändamålen.
I följande bestämmelser anges hur länge uppgifter som behandlas automatiserat får bevaras:
1. 11 § om uppgifter som inte gjorts gemensamt tillgängliga.
2. 3 kap. 13 § om uppgifter i ärenden om utredning av brott som har gjorts gemensamt tillgängliga.
Regeringen meddelar föreskrifter om digital arkivering. För uppgifter som gjorts gemensamt tillgängliga finns bestämmelser om bevarande 3 kap. 8–10 §§.
11 § Om personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga behandlas i ett ärende, ska de gallras senast ett år efter det att ärendet avslutades.
Om uppgifterna inte kan hänföras till ett ärende, ska de gallras senast ett år efter det att de behandlades automatiserat första gången.
Första stycket gäller inte personuppgifter i ärenden om utredning och beivrande av brott.
Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med avvikelse från första stycket, får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Utlämnande av uppgifter och uppgiftsskyldighet
12 § Om det är förenligt med svenska intressen, får personuppgifter lämnas till en utländsk myndighet inom Europeiska ekonomiska samarbetsområdet (EES) om det behövs för att myndigheten ska kunna förebygga, förhindra, upptäcka eller utreda brott.
Uppgifter får vidare lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.
13 § Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.
14 § Regeringen meddelar föreskrifter om att personuppgift får lämnas ut i andra fall än som anges i 12 och 13 §§.
Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen (2009:400).
Utlämnande på medium för automatiserad behandling
15 § Enstaka personuppgift får lämnas ut på medium för automatiserad behandling. Denna begränsning gäller dock inte myndigheter som har rätt att ta del av personuppgifter som gjorts gemensamt tillgängliga. Regeringen meddelar föreskrifter om att uppgifter får lämnas ut på sådant medium även i andra fall.
16 § Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av denna lag.
Bestämmelser om direktåtkomst finns i 3 kap. 7 §.
3 kap. Gemensamt tillgängliga personuppgifter
Personuppgifter som får göras gemensamt tillgängliga
1 § Följande personuppgifter får göras gemensamt tillgängliga i Skatteverkets brottsbekämpande verksamhet
1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten a. innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver, eller b. sker systematiskt.
2. Uppgifter som förekommer i ett ärende om utredning om brott.
3. Uppgifter som behövs för att fullgöra vad som följer av internationella åtaganden, om det krävs för att det aktuella åtagandet ska kunna fullgöras.
Särskilda upplysningar
2 § Vid behandling av gemensamt tillgängliga uppgifter ska det genom en särskild upplysning eller på annat sätt framgå för vilket ändamål personuppgifterna behandlas.
3 § Om uppgifter som behandlas enligt 1 § direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller för att ha kunnat komma att utöva sådan brottslig verksamhet som avses i 1 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt.
Uppgifter om en person som kan antas ha samband med brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter.
Sökning
4 § Vid sökning i personuppgifter som gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten enligt denna eller annan motsvarande författning får Skatteverket inte använda uppgift som avses i 2 kap. 8 § första stycket som sökbegrepp.
Första stycket hindrar inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.
5 § Vid sökning på namn, person- eller samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som gjorts gemensamt tillgängliga i den brottsbekämpande verksamheten enligt denna eller annan motsvarande författning, får sådana uppgifter tas fram som anger att den sökta personen
1. är anmäld för brott
2. är eller har varit misstänkt för brott
3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 1 § första stycket 1,
4. har anmält ett brott,
5. är målsägande i ett ärende som rör ansvar för brott,
6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,
7. har bedömts kunna komma att möta ett ingripande med grovt våld, eller
8. är eller har varit registrerad som funktionär i en eller flera juridiska personer vilka kan antas ha samband med brottslig verksamhet.
Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket.
6 § Begränsningen i 5 § gäller inte vid
1. sökning i en viss handling eller i ett visst ärende, eller
2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.
Bestämmelserna i 5 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs
1. för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i minst fyra år, eller
2. för att utreda brott för vilket är föreskrivet fängelse i minst fyra år. Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena.
Regeringen meddelar föreskrifter om ytterligare undantag från 5 §.
Direktåtkomst
7 § Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får medges direktåtkomst till personuppgifter som behandlas enligt denna lag endast om personuppgifter har gjorts gemensamt tillgängliga.
En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Bevarande av personuppgifter i ärenden om utredning av brott
8 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna inte längre behandlas i Skatteverkets brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna för brottet inte behandlas i Skatteverkets brottsbekämpande verksamhet när åtal inte längre får väckas.
9 § Om en förundersökning har lett till åtal eller annan domstolsprövning får personuppgifterna i förundersökningen inte behandlas i Skatteverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, vann laga kraft.
Om en förundersökning har lagts ner eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Skatteverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.
Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångsbalken.
10 § Regeringen meddelar föreskrifter om att vissa kategorier av personuppgifter får bevaras i Skatteverkets brottsbekämpande verksamhet under längre tid än vad som anges i 8 och 9 §§.
11 § Om en förundersökning mot en person har lagts ned, om åtal lagts ned eller om frikännande dom, som har vunnit laga kraft, har meddelats, får personen inte vara sökbar som misstänkt för denna eller dessa gärningar.
Bevarande och gallring av övriga personuppgifter
12 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 1 § första stycket 1 eller 3 ska gallras enligt andra–tredje styckena.
Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 1 § första stycket 1 ska gallras senast tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Uppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering angående personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras.
Uppgifter som har behandlats med stöd av 1 § första stycket 3 ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
13 § Regeringen meddelar föreskrifter om att vissa kategorier av personuppgifter får bevaras under längre tid än vad som anges i 12 §.
Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att personuppgifter, med undantag från 12 §, får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Denna lag träder i kraft den 1 juli 2014.
Förslag till lag om ändring i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar
Härigenom föreskrivs i fråga om lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar
dels att författningsrubriken och 1 och 6 §§ ska ha följande lydelse,
dels att det ska införas en ny paragraf, 7 §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Lagen om Skatteverkets brottsbekämpande verksamhet
1 §1
Skatteverkets verksamhet enligt denna lag omfattar brott enligt
1. skattebrottslagen (1971:69),
2. 30 kap. 1 § första stycket 4 aktiebolagslagen (2005:551), 3. 11 § tredje stycket lagen (1967:531) om tryggande av pensionsutfästelse m.m.,
4. folkbokföringslagen (1991:481),
5. 11 kap. 5 § brottsbalken, eller 6. lagen (1986: 436) om näringsförbud.
6. lagen (1986:436) om näringsförbud, eller
7. bestämmelser om annan verksamhet som ligger inom Skatteverkets ansvarsområde.
Skatteverket får medverka vid undersökning också i fråga om annat brott än som anges i första stycket, om åklagaren finner att det finns särskilda skäl för detta.
6 §2
Skatteverket får i fråga om brott som avses i 1 § första stycket bedriva
1. spaning och
2. verksamhet som består i att samla bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken .
Skatteverket skall verka för att förebygga brottslighet som avses i 1 § första stycket.
Skatteverkets verksamhet enligt denna lag omfattar, utöver vad som sägs i 2–5 §§, även att förebygga, förhindra eller upptäcka brottslighet som avses i 1 § första stycket.
1 Senaste lydelse 2006:580. 2 Senaste lydelse 2006:580.
Denna lag träder i kraft den 1 juli 2014.
Förslag till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
Härigenom föreskrivs att 2 kap.7 §§ lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap.
7 §1
Skatteverkets direktåtkomst till uppgifterna i beskattningsdatabasen får i verksamhet som avses i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar endast omfatta de uppgifter som avses i 2 kap. 3 § 1–5, 7, 10 och 11.
Skatteverkets direktåtkomst till uppgifterna i beskattningsdatabasen får, i verksamhet som avses i lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet, omfatta uppgifter som avses i 2 kap. 3 § 1–5, 7, 10 och 11.
Regeringen meddelar närmare föreskrifter om vilka uppgifter direktåtkomst enligt första stycket får omfatta.
Denna lag träder i kraft den 1 juli 2014.
1 Senaste lydelse 2007:329.
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 18 kap. 2 § och 35 kap. 10 §offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
18 kap.
2 §1
Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 7 § 1 eller 5 kap. 1 § 1 polisdatalagen (2010:361), om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.
Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till
1. sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om behandling av personuppgifter vid
Skatteverkets medverkan i brottsutredningar,
1. sådan verksamhet som avses i 2 kap. 5 § lagen (20XX:YYY) om behandling av personuppgifter i
Skatteverkets brottsbekämpande verksamhet,
2. sådan verksamhet som avses i 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, eller
3. sådan verksamhet som avses i 3 kap 2 § 1 kustbevakningsdatalagen (2012:145)
Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos säkerhetspolisen och som har förts in i en allmän handling före år 1949.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
35 kap.
10 §2
Sekretess enligt 1 § hindrar inte att en uppgift lämnas ut
1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,
2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som meddelats med stöd i den lagen,
3. enligt vad som föreskrivs i – lagen (1998:621) om misstankeregister, – polisdatalagen (2010:361), – lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,
– lagen (20XX:YYY) om behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet,
– lagen (2005:787) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet,
1 Senaste lydelse 2012:147. 2 Senaste lydelse 2012:147.
– kustbevakningsdatalagen (2012:145), – förordningar som har stöd i dessa lagar, eller
4. till enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken
Denna lag träder i kraft den 1 juli 2014.
Förteckning över remissinstanserna
Följande remissinstanser har getts tillfälle att yttra sig: Riksdagens ombudsmän, Svea hovrätt, Kammarrätten i Sundsvall, Förvaltningsrätten i Göteborg, Justitiekanslern, Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen, Säkerhetspolisen, Kriminalvården, Brottsförebyggande rådet, Migrationsverket, Datainspektionen, Kustbevakningen, Försäkringskassan, Tullverket, Kronofogdemyndigheten, Juridiska fakulteten vid Lunds Universitet, Riksarkivet, Landsorganisationen i Sverige, Sveriges advokatsamfund, Sveriges Akademikers Centralorganisation, Sveriges Kommuner och Landsting och Tjänstemännens Centralorganisation.
Följande remissinstanser har avstått från att lämna synpunkter på promemorian: Riksdagens ombudsmän, Landsorganisationen i Sverige, Sveriges Akademikers Centralorganisation och Sveriges Kommuner och Landsting.
Något yttrande har inte kommit in från Juridiska fakulteten vid Lunds universitet.
Lagrådsremissens lagförslag
Förslag till skattebrottsdatalag
Härigenom föreskrivs följande.
1 kap. Lagens syfte och tillämpningsområde
Lagens syfte
1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid Skatteverkets behandling av personuppgifter i den brottsbekämpande verksamheten, om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
3 § I lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom
Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av
1. en stat som är medlem i Europeiska unionen (EU),
2. Island, Norge, Schweiz eller Liechtenstein,
3. ett EU-organ, eller
4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.
Lagens tillämpning på juridiska personer
4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:
1. 2 kap. 3 § om personuppgiftsansvar,
2. 2 kap. 5–7 §§ om ändamålen för behandlingen,
3. 2 kap. 10 § om tillgången till personuppgifter,
4. 3 kap. 2 och 3 §§ om gemensamt tillgängliga uppgifter, och
5. 4 kap. om bevarande och gallring.
Lagens uppbyggnad
5 § I 2 kap. finns det allmänna bestämmelser om behandling av personuppgifter.
För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap.
I 4 kap. finns det bestämmelser om bevarande och gallring av personuppgifter.
2 kap. Allmänna bestämmelser
Förhållandet till personuppgiftslagen
1 § Om inte annat anges i 2 §, gäller denna lag i stället för personuppgiftslagen (1998:204).
2 §
När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204):
1. 3 § om definitioner,
2. 8 § om förhållandet till offentlighetsprincipen,
3. 9 § om grundläggande krav på behandling av personuppgifter, dock med undantag för första stycket i) och tredje stycket,
4. 22 § om behandling av personnummer och samordningsnummer,
5. 23 och 25–27 §§ om information till den registrerade,
6. 28 § om rättelse,
7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,
8. 33–35 §§ om överföring av personuppgifter till tredjeland,
9. 38–41 §§ om personuppgiftsombud m.m., 10. 42 § om upplysningar till allmänheten om vissa behandlingar, 11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,
12. 48 § om skadestånd, och 13. 51 § första stycket, 52 § första stycket och 53 § om överklagande. Om personuppgifter ska gallras enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.
Information enligt 23 § personuppgiftslagen behöver inte lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud.
Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.
Personuppgiftsansvar
3 § Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsombud
4 § Skatteverket ska utse ett eller flera personuppgiftsombud.
Myndigheten ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.
Ändamål
5 § Personuppgifter får behandlas i Skatteverkets brottsbekämpande verksamhet om det behövs för att
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda brott, eller
3. fullgöra de förpliktelser som följer av internationella åtaganden.
6 § Personuppgifter som behandlas enligt 5 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i
1. brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen,
2. brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation,
3. annan verksamhet som Skatteverket ansvarar för, om det kan antas att informationen behövs i ett ärende i den verksamheten,
4. en myndighets verksamhet
a) om Skatteverket enligt lag eller förordning är skyldigt att bistå myndigheten med viss uppgift, eller
b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.
Personuppgifter som behandlas enligt 5 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.
I ett enskilt fall får personuppgifter som behandlas enligt 5 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första och andra styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
7 § Personuppgifter får också behandlas om
1. behandlingen är nödvändig för diarieföring, eller
2. uppgifterna har lämnats till Skatteverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
Känsliga personuppgifter
8 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.
Om uppgifter om en person behandlas på annan grund, får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas med stöd av 7 §.
Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.
Sökning i beskattningsdatabasen
9 § Vid sökning i beskattningsdatabasen får endast uppgift om namn, personnummer eller samordningsnummer användas som sökbegrepp.
Tillgången till personuppgifter
10 § Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.
Utlämnande av uppgifter och uppgiftsskyldighet
11 §
Personuppgifter får lämnas till en utländsk myndighet eller
mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.
12 § Polismyndigheten,
Säkerhetspolisen, Ekobrottsmyndigheten,
Åklagarmyndigheten, Kustbevakningen och Tullverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.
13 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter får lämnas ut även i andra fall än som anges i 11 och 12 §§.
Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen (2009:400).
14 § Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.
Elektroniskt utlämnande
15 § Enstaka personuppgifter får lämnas ut på medium för automatiserad behandling.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter får lämnas ut på sådant medium även i andra fall.
16 § Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av denna lag.
Bestämmelser om direktåtkomst finns i 3 kap. 8 §.
3 kap. Gemensamt tillgängliga personuppgifter
1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i
Skatteverkets brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.
Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 7 §.
Personuppgifter som får göras gemensamt tillgängliga
2 § Följande personuppgifter får göras gemensamt tillgängliga:
1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten
a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller
b) sker systematiskt.
2. Uppgifter som förekommer i ett ärende om utredning av brott.
3. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.
Särskilda upplysningar
3 § För gemensamt tillgängliga uppgifter ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas.
4 § Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt.
Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter.
Sökning
5 § Vid sökning i personuppgifter som har gjorts gemensamt tillgängliga får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.
Första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.
6 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen
1. är anmäld för brott,
2. är eller har varit misstänkt för brott,
3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,
4. har anmält ett brott,
5. är målsägande i ett ärende som rör ansvar för brott,
6. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,
7. har gett in eller tillhandahållits en handling,
8. har bedömts kunna komma att möta ett ingripande med grovt våld, eller
9. är eller har varit registrerad som funktionär i en eller flera juridiska personer vilka kan antas ha samband med brottslig verksamhet.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket.
7 § Bestämmelserna i 6 § gäller inte vid
1. sökning i en viss handling eller i ett visst ärende, eller
2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.
Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs
1. för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i fyra år eller däröver, eller
2. för att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 6 §.
Direktåtkomst
8 § Polismyndigheten,
Säkerhetspolisen, Ekobrottsmyndigheten,
Åklagarmyndigheten, Tullverket och Kustbevakningen får medges direktåtkomst till personuppgifter i Skatteverkets brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.
En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
4 kap. Bevarande och gallring av personuppgifter
Generella bestämmelser
1 § Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i lagen.
I följande paragrafer anges hur länge uppgifter som behandlas automatiserat längst får bevaras:
1. 3 § om uppgifter som inte har gjorts gemensamt tillgängliga.
2. 4–6 §§ om uppgifter i ärenden om utredning av brott som har gjorts gemensamt tillgängliga, och
3. 8 § om andra uppgifter som har gjorts gemensamt tillgängliga än som anges i 2.
2 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. att vissa kategorier av personuppgifter får bevaras i den brottsbekämpande verksamheten under längre tid än vad som anges i 5, 6 och 8 §§,
2. att personuppgifter, med avvikelse från 3 § första stycket och 8 §, får bevaras för historiska, statistiska eller vetenskapliga ändamål, och
3. digital arkivering.
Personuppgifter som inte har gjorts gemensamt tillgängliga
3 § Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende, ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången.
Första stycket gäller inte personuppgifter i ärenden om utredning av brott.
Gemensamt tillgängliga uppgifter i ärenden om utredning av brott
4 § I 5 och 6 §§ anges hur länge personuppgifter i vissa ärenden om utredning av brott som har gjorts gemensamt tillgängliga får bevaras i
Skatteverkets brottsbekämpande verksamhet.
5 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i Skatteverkets brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i Skatteverkets brottsbekämpande verksamhet när åtal inte längre får väckas för brottet.
6 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas i
Skatteverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, fick laga kraft.
Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Skatteverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.
Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.
7 § Om en förundersökning mot en person har lagts ned, om ett åtal har lagts ned eller om en frikännande dom har fått laga kraft, får personen inte vara sökbar som misstänkt.
Övriga gemensamt tillgängliga uppgifter
8 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § 1 eller 3 ska gallras enligt andra och tredje styckena.
Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § 1 ska gallras senast tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Uppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras.
Uppgifter som har behandlats med stöd av 3 kap. 2 § 3 ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.
1. Denna lag träder i kraft den 1 juli 2017. 2. Genom lagen upphävs lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.
3. Bestämmelsen i 3 kap. 4 § andra stycket om särskilda upplysningar behöver inte tillämpas på uppgifter som har samlats in före ikraftträdandet av denna lag.
4. Följande bestämmelser i denna lag behöver inte tillämpas förrän den 1 januari 2019
a) 3 kap. 4 § första stycket om särskilda upplysningar, när det gäller annan verksamhet än sådan som bedrivs för ändamål som anges i 2 kap. 5 § 1,
b) 3 kap. 6 och 7 §§ om sökning,
c) 4 kap. 5 och 6 §§ om behandling av personuppgifter i brottsanmälningar, avslutade förundersökningar och andra utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångsbalken, och
d) 4 kap. 7 § om sökning.
Förslag till lag om ändring i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar
Härigenom föreskrivs att rubriken till lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar1 samt 1 och 6 §§ och rubriken närmast före 6 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Lag om Skatteverkets med-
verkan i brottsutredningar
Lag om Skatteverkets brotts-
bekämpande verksamhet
1 §2
Skatteverkets verksamhet enligt denna lag omfattar brott enligt
1. skattebrottslagen (1971:69),
2. 30 kap. 1 § första stycket 4 aktiebolagslagen (2005:551), 3. 11 § tredje stycket lagen (1967:531) om tryggande av pensionsutfästelse m.m.,
4. folkbokföringslagen (1991:481),
4. 9 kap.1–3 och 11 §§brottsbalken, om gärningen har samband med Skatteverkets verksamhet enligt lagen (2009:194) om förfarandet vid skattereduktion för hushållsarbete,
5. 11 kap. 5 § brottsbalken, samt
6. lagen (2014:836) om näringsförbud. Skatteverket får medverka vid undersökning också i fråga om annat brott än som anges i första stycket, om åklagaren finner att det finns särskilda skäl för detta.
Spaning m.m. Förebygga, förhindra och upptäcka brottslig verksamhet
6 §3
Skatteverket får i fråga om brott som avses i 1 § första stycket bedriva
1. spaning och
2. verksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken .
Skatteverkets verksamhet enligt denna lag omfattar, utöver vad som föreskrivs i 2–5 §§, även att förebygga, förhindra och upptäcka brottslig verksamhet som avses i 1 § första stycket.
1 Senaste lydelse av lagens rubrik 2003:665. 2 Senaste lydelse 2014:846. 3 Paragrafen fick sin nuvarande beteckning genom 2006:580.
Skatteverket skall verka för att förebygga brottslighet som avses i 1 § första stycket.
Denna lag träder i kraft den 1 juli 2017.
Förslag till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
Härigenom föreskrivs att 1 kap. 4 § och 2 kap. 7 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet1 ska ha följande lydelse.
Lydelse enligt proposition 2016/17:47
Föreslagen lydelse
1 kap.
4 §
Uppgifter får behandlas för tillhandahållande av information som behövs hos Skatteverket för
1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter,
2. bestämmande av pensionsgrundande inkomst,
3. fastighetstaxering,
4. revision och annan analys- eller kontrollverksamhet,
5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
6. handläggning
a) enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,
b) av andra frågor om ansvar för någon annans skatter och avgifter,
c) enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. skatteförfarandelagen (2011:1244), och
d) enligt lagen (2016:000) om automatiskt utbyte av land-för-landrapporter på skatteområdet och 33 a kap. skatteförfarandelagen.
7. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande,
8. hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige,
9. hantering av uppgifter om sjuklönekostnad, och 10. tillsyn, kontroll, uppföljning och planering av verksamheten. Uppgifter som får behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Skatteverkets brottsbekämpande verksamhet enligt lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar.
Uppgifter som får behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Skatteverkets verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet.
1 Senaste lydelse av lagens rubrik 2003:670.
Nuvarande lydelse Föreslagen lydelse
2 kap.
7 §2
Skatteverkets direktåtkomst till uppgifterna i beskattningsdatabasen får i verksamhet som avses i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar endast omfatta de uppgifter som avses i 3 § 1–5, 7, 10 och 11.
Skatteverkets direktåtkomst till uppgifterna i beskattningsdatabasen får i verksamhet som avses i lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet endast omfatta de uppgifter som avses i 3 § 1–5, 7, 10 och 11.
Regeringen meddelar närmare föreskrifter om vilka uppgifter direktåtkomst enligt första stycket får omfatta.
Denna lag träder i kraft den 1 juli 2017.
2 Senaste lydelse 2007:329.
Förslag till lag om ändring i revisorslagen (2001:883)
Härigenom föreskrivs att 31 § revisorslagen (2001:883) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
31 §1
Om Skatteverket i fråga om en revisor eller ett registrerat revisionsbolag uppmärksammar någon omständighet, som kan vara av betydelse för Revisorsnämndens verksamhet, skall verket underrätta nämnden. Detta gäller dock inte omständigheter som verket har fått kännedom om i verksamhet enligt lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar.
Om Skatteverket i fråga om en revisor eller ett registrerat revisionsbolag uppmärksammar någon omständighet, som kan vara av betydelse för Revisorsnämndens verksamhet, ska verket underrätta nämnden. Detta gäller dock inte omständigheter som verket har fått kännedom om i verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet.
Denna lag träder i kraft den 1 juli 2017.
1 Senaste lydelse 2003:738.
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 18 kap. 2 § och 35 kap.1 och 10 §§offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
18 kap.
2 §1
Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 7 § 1 eller 6 kap. 1 § 1 polisdatalagen (2010:361), om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.
Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till
1. sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,
1. sådan verksamhet som avses i 2 kap. 5 § 1 skattebrottsdatalagen (2017:00),
2. sådan verksamhet som avses i 7 § 1 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, eller
3. sådan verksamhet som avses i 3 kap. 2 § 1 kustbevakningsdatalagen (2012:145).
Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän handling före år 1949.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
35 kap.
1 §2
Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i
1. utredning enligt bestämmelserna om förundersökning i brottmål,
2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,
3. angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),
4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,
1 Senaste lydelse 2015:438. 2 Senaste lydelse 2015:438. Anmärkning: Ändring i samma paragrafer har också föreslagits i lagrådsremissen Tullbrottsdatalag.
5. Statens medieråds verksamhet att biträda Justitiekanslern, allmän åklagare eller Polismyndigheten i brottmål,
6. register som förs av Polismyndigheten enligt 4 kap. polisdatalagen (2010:361) eller som annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 6 kap. samma lag,
7. register som förs enligt lagen (1998:621) om misstankeregister,
8. register som förs av Skatteverket enligt lagen (1999:90) om behandling av personuppgifter vid
Skatteverkets medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,
8. register som förs av Skatteverket enligt skattebrotts-datalagen (2017:00) eller som annars behandlas där med stöd av samma lag,
9. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §,
10. register som förs av Tullverket enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag, eller
11. register som förs enligt lagen (2010:362) om polisens allmänna spaningsregister.
Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Första stycket gäller inte om annat följer av 2, 6 eller 7 §. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
10 §3
Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut
1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,
2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har meddelats med stöd i den lagen,
3. enligt vad som föreskrivs i – lagen (1998:621) om misstankeregister, – polisdatalagen (2010:361), – lagen (1999:90) om behandling av personuppgifter vid
Skatteverkets medverkan i brottsutredningar,
– skattebrottsdatalagen (2017:000) ,
– lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,
3 Senaste lydelse 2015:434.
– kustbevakningsdatalagen (2012:145), – åklagardatalagen (2015:433), – förordningar som har stöd i dessa lagar, eller
4. till enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken.
1. Denna lag träder i kraft den 1 juli 2017.
2. Äldre bestämmelser gäller fortfarande för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet av denna lag.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2016-12-15
Närvarande: F.d. justitierådet Lennart Hamberg samt justitieråden Anita
Saldén Enérus och Svante O. Johansson.
Skattebrottsdatalag
Enligt en lagrådsremiss den 8 december 2016 har regeringen (Finansdepartementet) beslutat inhämta Lagrådets yttrande över förslag till
1. skattebrottsdatalag,
2. lag om ändring i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar,
3. lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet,
4. lag om ändring i revisorslagen (2001:883),
5. lag om ändring i offentlighets- och sekretesslagen (2009:400).
Förslagen har inför Lagrådet föredragits av kanslirådet Leena Mildenberger och departementssekreteraren Helena Persson.
Lagrådet lämnar förslagen utan erinran.
Finansdepartementet
Utdrag ur protokoll vid regeringssammanträde den 2 februari 2017
Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Wallström, Y Johansson, M Johansson, Baylan, Bucht, Hultqvist, Andersson, Ygeman, A Johansson, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Wikström, Linde, Skog, Ekström
Föredragande: statsrådet Andersson
Regeringen beslutar proposition Skattebrottsdatalag