Prop. 2016/17:91

Tullbrottsdatalag

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 2 februari 2017

Stefan Löfven

Magdalena Andersson

(Finansdepartementet)

Propositionens huvudsakliga innehåll

Regeringen föreslår att det införs en ny lag om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, tullbrottsdatalagen.

Syftet med den nya lagen är att ge Tullverket möjlighet att behandla personuppgifter på ett effektivt och ändamålsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. En utgångspunkt är att skapa en teknikneutral och flexibel reglering där de yttre ramarna för behandlingen av uppgifter i Tullverkets brottsbekämpande verksamhet som är särskilt skyddsvärda från integritetssynpunkt slås fast i lagen, däribland ändamålen för behandlingen och de begränsningar som ska gälla för behandling av vissa uppgifter. Den nya lagen syftar särskilt till att underlätta samverkan med andra brottsbekämpande myndigheter. Lagen har utformats i nära anslutning till polisdatalagen (2010:361), kustbevakningsdatalagen (2012:145) och åklagardatalagen (2015:433).

Lagen reglerar nästan all behandling i Tullverkets brottsbekämpande verksamhet. Den ska ersätta lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Propositionen innehåller också förslag till ändringar i offentlighets- och sekretesslagen (2009:400), lagen (2000:343) om internationellt polisiärt samarbete och lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet.

Den nya lagen och de övriga ändringarna föreslås träda i kraft den 1 juli 2017.

1. Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1. tullbrottsdatalag,

2. lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete,

3. lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet,

4. lag om ändring i offentlighets- och sekretesslagen (2009:400).

2. Lagtext

Regeringen har följande förslag till lagtext.

2.1. Förslag till tullbrottsdatalag

Härigenom föreskrivs följande.

1 kap. Lagens syfte och tillämpningsområde

Lagens syfte

1 § Syftet med denna lag är att ge Tullverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid Tullverkets behandling av personuppgifter i den brottsbekämpande verksamheten, om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

3 § I lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser om polisiärt samarbete.

I lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1. en stat som är medlem i Europeiska unionen (EU),

2. Island, Norge, Schweiz eller Liechtenstein,

3. ett EU-organ, eller

4. ett EU-informationssystem. Om det i de författningar som anges i första och andra styckena finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Lagens tillämpning på juridiska personer

4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1. 2 kap. 3 § om personuppgiftsansvar,

2. 2 kap. 5–7 §§ om ändamålen för behandlingen,

3. 2 kap. 11 § om tillgången till personuppgifter,

4. 3 kap. 2 och 3 §§ om gemensamt tillgängliga uppgifter, och

5. 4 kap. om bevarande och gallring.

Lagens uppbyggnad

5 § I 2 kap. finns det allmänna bestämmelser om behandling av personuppgifter.

För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap.

I 4 kap. finns det bestämmelser om bevarande och gallring av personuppgifter.

2 kap. Allmänna bestämmelser

Förhållandet till personuppgiftslagen

1 § Om inte annat anges i 2 §, gäller denna lag i stället för personuppgiftslagen (1998:204).

2 §

När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204):

1. 3 § om definitioner,

2. 8 § om förhållandet till offentlighetsprincipen,

3. 9 § om grundläggande krav på behandling av personuppgifter, dock med undantag för första stycket i) och tredje stycket,

4. 22 § om behandling av personnummer och samordningsnummer,

5. 23 och 25–27 §§ om information till den registrerade,

6. 28 § om rättelse,

7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,

8. 33–35 §§ om överföring av personuppgifter till tredjeland,

9. 38–41 §§ om personuppgiftsombud m.m., 10. 42 § om upplysningar till allmänheten om vissa behandlingar, 11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,

12. 48 § om skadestånd, och 13. 51 § första stycket, 52 § första stycket och 53 § om överklagande. Om personuppgifter ska gallras enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.

Information enligt 23 § personuppgiftslagen behöver inte lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud. Sådan information behöver inte heller lämnas när personuppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.

Personuppgiftsansvar

3 § Tullverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsombud

4 § Tullverket ska utse ett eller flera personuppgiftsombud.

Myndigheten ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.

Ändamål

5 §

Personuppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller beivra brott, eller

3. fullgöra de förpliktelser som följer av internationella åtaganden.

6 § Personuppgifter som behandlas enligt 5 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i

1. brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket,

2. brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation,

3. verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten,

4. annan verksamhet som Tullverket ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,

5. en myndighets verksamhet

a) om Tullverket enligt lag eller förordning är skyldigt att bistå myndigheten med viss uppgift, eller

b) om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.

Personuppgifter som behandlas enligt 5 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.

I ett enskilt fall får personuppgifter som behandlas enligt 5 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första och andra styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

7 § Personuppgifter får också behandlas om

1. behandlingen är nödvändig för diarieföring, eller

2. uppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Personuppgifter från transportföretag

8 § Personuppgifter som har lämnats till Tullverket från transportföretag enligt 4 kap. 6 § tullagen (2016:253) eller 15 § lagen (1996:701) om

Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen får behandlas i den utsträckning det är tillåtet enligt

dessa lagar och enbart i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt.

Om det behövs i ett enskilt fall får sådana personuppgifter behandlas för något annat ändamål som anges i 5 § och göras gemensamt tillgängliga.

9 § Vid sökning i personuppgifter som avses i 8 § första stycket får namn, personnummer, samordningsnummer och andra liknande identitetsbeteckningar användas som sökbegrepp bara om uppgifterna avser en person som

1. är eller har varit misstänkt för brott,

2. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 3 kap. 2 § första stycket 1, eller

3. övervakas under de förutsättningar som anges 3 kap. 2 § första stycket 2.

För personuppgifter som har gjorts gemensamt tillgängliga gäller bestämmelserna om sökning i 3 kap. 5–7 §§.

Känsliga personuppgifter

10 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund, får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas med stöd av 7 §.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Tillgången till personuppgifter

11 § Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.

Utlämnande av uppgifter och uppgiftsskyldighet

12 § Om det är förenligt med svenska intressen, får personuppgifter lämnas till

1. Interpol,

2. Europol,

3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller

4. en tullmyndighet eller kustbevakning inom Europeiska ekonomiska samarbetsområdet (EES).

Sådana personuppgifter får lämnas om det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott.

Uppgifter får vidare lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

13 § Polismyndigheten,

Säkerhetspolisen, Ekobrottsmyndigheten,

Åklagarmyndigheten, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

14 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter får lämnas ut även i andra fall än som anges i 12 och 13 §§.

Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen (2009:400).

15 § Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.

Elektroniskt utlämnande

16 § Enstaka personuppgifter får lämnas ut på medium för automatiserad behandling.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter får lämnas ut på sådant medium även i andra fall.

17 § Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av denna lag.

Bestämmelser om direktåtkomst finns i 3 kap. 8 §.

3 kap. Gemensamt tillgängliga uppgifter

1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i

Tullverkets brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 7 §.

Personuppgifter som får göras gemensamt tillgängliga

2 § Följande personuppgifter får göras gemensamt tillgängliga:

1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a) innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller

b) sker systematiskt.

2. Uppgifter som behövs för övervakningen av en person, om han eller hon

a) kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller däröver, och

b) är allvarligt kriminellt belastad.

3. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott.

4. Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

5. Uppgifter som har rapporterats till Tullverkets kommunikationscentral. Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.

Särskilda upplysningar

3 § För gemensamt tillgängliga uppgifter ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas. Har personuppgifterna gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2, ska detta särskilt framgå.

4 § Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter. Detsamma gäller uppgifter om personer som avses i 2 § första stycket 2.

Sökning

5 § Vid sökning i personuppgifter som har gjorts gemensamt tillgängliga får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.

Första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.

6 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemensamt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

1. är anmäld för brott,

2. är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,

4. övervakas enligt 2 § första stycket 2,

5. har anmält ett brott,

6. är målsägande i ett ärende som rör ansvar för brott,

7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8. har gett in eller tillhandahållits en handling,

9. har bedömts kunna komma att möta ett ingripande med grovt våld, eller

10. är efterlyst. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket.

7 § Bestämmelserna i 6 § gäller inte vid

1. sökning i en viss handling eller i ett visst ärende, eller

2. sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.

Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs

1. för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i fyra år eller däröver eller för sådant ändamål som avses i 2 § första stycket 2, eller

2. för att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 6 §.

Direktåtkomst

8 § Polismyndigheten,

Säkerhetspolisen, Ekobrottsmyndigheten,

Åklagarmyndigheten, Kustbevakningen och Skatteverket får medges direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som är gemensamt tillgängliga.

En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

4 kap. Bevarande och gallring av personuppgifter

Generella bestämmelser

1 § Personuppgifter får inte bevaras under längre tid än vad som behövs för något eller några av de ändamål som anges i lagen.

I följande paragrafer anges hur länge uppgifter som behandlas automatiserat längst får bevaras:

1. 3 och 4 §§ om uppgifter som inte har gjorts gemensamt tillgängliga,

2. 5–7 §§ om uppgifter i ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga, och

3. 9 och 10 §§ om andra uppgifter som har gjorts gemensamt tillgängliga än som anges i 2.

2 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att vissa kategorier av personuppgifter får bevaras i den brottsbekämpande verksamheten under längre tid än vad som anges i 6, 7, 9 och 10 §§,

2. att personuppgifter, med avvikelse från 3 § första stycket, 9 och 10 §§, får bevaras för historiska, statistiska eller vetenskapliga ändamål, och

3. digital arkivering.

Personuppgifter som inte har gjorts gemensamt tillgängliga

3 § Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende, ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången.

Första stycket gäller inte personuppgifter i ärenden om utredning eller beivrande av brott.

4 § I 4 kap. 8 § tullagen (2016:253) och 16 § lagen (1996:701) om

Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen finns bestämmelser om lagring och förstöring av vissa uppgifter från transportföretag.

Gemensamt tillgängliga uppgifter i ärenden om utredning eller beivrande av brott

5 § I 6 och 7 §§ anges hur länge personuppgifter i vissa ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga får bevaras i Tullverkets brottsbekämpande verksamhet.

6 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i Tullverkets brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i Tullverkets brottsbekämpande verksamhet när åtal inte längre får väckas för brottet.

7 § Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas i

Tullverkets brottsbekämpande verksamhet när det har förflutit fem år

efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, fick laga kraft.

Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Tullverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades.

Första och andra styckena gäller även personuppgifter i andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

8 § Om en förundersökning mot en person har lagts ned, om ett åtal har lagts ned eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Övriga gemensamt tillgängliga uppgifter

9 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § första stycket 1 eller 2 ska gallras enligt andra–fjärde styckena.

Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 ska gallras senast tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Uppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras.

Uppgifter som har behandlats i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Den tid då en misstänkt eller övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de frister som anges i andra och tredje styckena.

10 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § första stycket 4 eller 5 ska gallras enligt andra eller tredje stycket.

Uppgifter som har behandlats med stöd av 3 kap. 2 § första stycket 4 ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Uppgifter som har behandlats med stöd av 3 kap. 2 § första stycket 5 ska gallras senast ett år efter utgången av det kalenderår då de behandlades automatiserat första gången.

1. Denna lag träder i kraft den 1 juli 2017.

2. Genom lagen upphävs lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

3. Följande bestämmelser i denna lag behöver inte tillämpas förrän den 1 januari 2019

a) 3 kap. 6 och 7 §§ om sökning

b) 4 kap. 6 och 7 §§ om behandling av personuppgifter i brottsanmälningar, avslutade förundersökningar och andra utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångsbalken, och

c) 4 kap. 8 § om sökning.

2.2. Förslag till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete

Härigenom föreskrivs att 1 a § lagen (2000:343) om internationellt polisiärt samarbete ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 a §1

Polisdatalagen (2010:361) gäller för polisens behandling av personuppgifter vid internationellt polisiärt samarbete, om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till denna.

Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet gäller för Tullverkets behandling av personuppgifter vid internationellt polisiärt samarbete, om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till denna.

Tullbrottsdatalagen (2017:000)gäller för Tullverkets behandling av personuppgifter vid internationellt polisiärt samarbete, om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till denna.

Kustbevakningsdatalagen (2012:145) gäller för Kustbevakningens behandling av personuppgifter vid internationellt polisiärt samarbete, om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till denna.

Denna lag träder i kraft den 1 juli 2017.

1 Senaste lydelse 2012:148.

2.3. Förslag till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Härigenom föreskrivs att 1 kap.1 och 4 §§ lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

1 §1

Denna lag tillämpas vid behandling av personuppgifter i Tullverkets verksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 4–6 och 8 §§ samt 2 kap. gäller även vid behandling av uppgifter om juridiska personer.

Bestämmelserna i denna lag gäller inte behandling av uppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. För sådan behandling finns det särskilda bestämmelser i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Bestämmelserna i denna lag gäller inte behandling av uppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. För sådan behandling finns det särskilda bestämmelser i tullbrotts-datalagen (2017:000).

4 §2

Uppgifter får behandlas för tillhandahållande av information som behövs hos Tullverket för

1. bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter,

2. övervakning, revision och annan analys- eller kontrollverksamhet,

3. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och

4. tillsyn, kontroll, uppföljning och planering av verksamheten. Uppgifter som behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Tullverkets brottsbekämpande verksamhet enligt 7 § lagen (2005:787) om behandling av uppgifter i

Tullverkets brottsbekämpande verksamhet.

Uppgifter som behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 5 § tullbrotts-datalagen (2017:000).

1 Senaste lydelse 2005:790. 2 Senaste lydelse 2005:790.

Denna lag träder i kraft den 1 juli 2017.

2.4. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 18 kap. 2 § och 35 kap.1 och 10 §§offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

18 kap.

2 §1

Sekretess gäller för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 7 § 1 eller 6 kap. 1 § 1 polisdatalagen (2010:361), om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Sekretess gäller, under motsvarande förutsättningar som anges i första stycket, för uppgift som hänför sig till

1. sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

2. sådan verksamhet som avses i 7 § 1 lagen (2005:787) om behandling av uppgifter i

Tullverkets brottsbekämpande verksamhet, eller

2. sådan verksamhet som avses i 2 kap. 5 § 1 tullbrottsdatalagen (2017:000), eller

3. sådan verksamhet som avses i 3 kap. 2 § 1 kustbevakningsdatalagen (2012:145).

Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän handling före år 1949.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

35 kap.

1 §2

Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i

1. utredning enligt bestämmelserna om förundersökning i brottmål,

2. angelägenhet som avser användning av tvångsmedel i brottmål eller i annan verksamhet för att förebygga brott,

3. angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),

1 Senaste lydelse 2015:438. 2 Senaste lydelse 2015:438. Anmärkning: Ändringar i samma paragrafer har också föreslagits i propositionen Skattebrottsdatalag.

4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,

5. Statens medieråds verksamhet att biträda Justitiekanslern, allmän åklagare eller Polismyndigheten i brottmål,

6. register som förs av Polismyndigheten enligt 4 kap. polisdatalagen (2010:361) eller som annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 6 kap. samma lag,

7. register som förs enligt lagen (1998:621) om misstankeregister,

8. register som förs av Skatteverket enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,

9. särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §,

10. register som förs av Tullverket enligt lagen (2005:787) om behandling av uppgifter i

Tullverkets brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag, eller

10. register som förs av Tullverket enligt tullbrotts-datalagen (2017:000) eller som annars behandlas där med stöd av samma lag, eller

11. register som förs enligt lagen (2010:362) om polisens allmänna spaningsregister.

Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

10 §3

Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut

1. till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,

2. till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har meddelats med stöd i den lagen,

3. enligt vad som föreskrivs i – lagen (1998:621) om misstankeregister, – polisdatalagen (2010:361), – lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

3 Senaste lydelse 2015:434.

lagen (2005:787) om behandling av uppgifter i

Tullverkets brottsbekämpande verksamhet,

tullbrottsdatalagen (2017:000),

kustbevakningsdatalagen (2012:145), – åklagardatalagen (2015:433), – förordningar som har stöd i dessa lagar, eller

4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken.

1. Denna lag träder i kraft den 1 juli 2017.

2. Äldre bestämmelser gäller fortfarande för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet av denna lag.

3. Ärendet och dess beredning

Tullverket har i en promemoria som inkom den 15 november 2013 (dnr Fi2013/04100/S3) lämnat förslag till en ny tullbrottsdatalag, som ska ersätta den nuvarande lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. I promemorian föreslås också kompletterande ändringar i annan lagstiftning, nämligen i offentlighets- och sekretesslagen (2009:400), lagen (2000:343) om internationellt polisiärt samarbete och i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet.

På senare tid har brottsbekämpande myndigheter som Polismyndigheten, Kustbevakningen, Åklagarmyndigheten och Ekobrottsmyndigheten fått nya registerförfattningar. Även Tullverket har ett motsvarande behov av moderniserad och tydlig registerförfattning, inte minst i ljuset av myndighetssamverkan mot brottslighet.

Promemorians lagförslag finns i bilaga 1. Promemorian har remissbehandlats och en förteckning av remissinstanserna finns i bilaga 2. En remissammanställning finns tillgänglig i Finansdepartementet (dnr Fi2013/04100/S3).

I denna proposition redovisas förslag till ny tullbrottsdatalag och kompletterande ändringar i annan lagstiftning.

Lagrådet

Regeringen beslutade den 8 december 2016 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 3. Lagrådets yttrande finns i bilaga 4. Lagrådet har lämnat förslagen utan erinran. I förhållande till lagrådsremissen har vissa smärre ändringar av redaktionell och språklig karaktär gjorts i lagtexten.

4. Gällande rätt och internationella överenskommelser

Hänvisningar till S4

  • Prop. 2016/17:91: Avsnitt 8.2

4.1. Internationella överenskommelser om dataskydd

Hänvisningar till S4-1

  • Prop. 2016/17:91: Avsnitt 15.2

4.1.1. Europakonventionen och FN-konventionen om medborgerliga och politiska rättigheter

År 1948 antog Förenta nationerna (FN) den allmänna förklaringen om de mänskliga rättigheterna. De rättigheter som räknas upp i förklaringen har därefter vidareutvecklats bl.a. i den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (kallad Europakonventionen) och FN:s konvention om medborgerliga och politiska rättigheter från år 1966.

Enligt artikel 8 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig

myndighet får inte inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Såvitt gäller laglighetskriteriet krävs bl.a. att den nationella rättighetsinskränkande författningen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämpningen ska vara förutsebar och den ska vara allmänt tillgänglig. Kravet att ett ingripande ska vara nödvändigt i ett demokratiskt samhälle innebär att det ska föreligga ett ”angeläget samhälleligt behov” av åtgärden i fråga. I det ligger bl.a. en begränsning som innebär att åtgärden inte får gå längre än vad som är nödvändigt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse som åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser avgöra vilka åtgärder som kan anses nödvändiga för att tillgodose det eftersträvade ändamålet.

I artikel 13 i Europakonventionen föreskrivs att var och en, vars i konventionen angivna fri- och rättigheter kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet. Detta gäller även om kränkningen förövats av någon under utövning av offentlig myndighet. Innebörden av artikeln är att den enskilde ska ha tillgång till en nationell instans för att kunna få saken prövad och kunna få rättelse. Prövningen kan utföras av domstol, men något krav på domstolsprövning uppställs inte. Prövning av en stats regering eller av en förvaltningsmyndighet kan vara tillräckligt för att uppfylla konventionens krav på tillgång till ett effektivt rättsmedel.

Även i FN:s konvention om medborgerliga och politiska rättigheter finns en bestämmelse till skydd mot godtyckligt eller olagligt ingripande i någons privat- och familjeliv (artikel 17).

4.1.2. Europarådets dataskyddskonvention

Reglering om automatiserad behandling av personuppgifter finns i bl.a. Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter, kallad dataskyddskonventionen.

Dataskyddskonventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen. Dataskyddskonventionens innehåll kan ses som en precisering av skyddet vid användning av automatiserad behandling av personuppgifter enligt artikel 8 i Europakonventionen.

Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med automatiserad behandling av personuppgifter. Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste iaktta i sin nationella lagstiftning.

Personuppgifter som är föremål för automatiserad behandling ska samlas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Vidare måste uppgifterna vara relevanta för ändamålen med behandlingen och får inte senare användas på ett sätt som är oförenligt med

dessa. Uppgifterna måste också vara riktiga och aktuella och de får inte bevaras längre än vad som är nödvändigt för ändamålen.

Vissa kategorier av personuppgifter får, enligt konventionen, behandlas endast om den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott.

För att skydda personuppgifter mot bl.a. oavsiktlig eller otillåten förstörelse föreskriver konventionen att lämpliga skyddsåtgärder ska vidtas. Vidare föreskrivs att den registrerade bl.a. ska ha möjlighet till insyn i register och till att få uppgifter rättade.

Under vissa förutsättningar får undantag göras från bestämmelserna i konventionen bl.a. i fråga om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar förutsätter, enligt konventionen, stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa angivna ändamål, t.ex. statens ekonomiska intressen och brottsbekämpning, samt för att skydda enskildas fri- och rättigheter.

Dataskyddskonventionens roll som riktmärke för automatiserad behandling av personuppgifter inom Europeiska unionen har i princip övertagits av dataskyddsdirektivet (se avsnitt 4.1.5) inom dess tillämpningsområde i och med att detta har införlivats i medlemsstaternas nationella lagstiftningar (se avsnitt 4.2). Direktivet omfattar dock inte behandling av personuppgifter inom områden som allmän säkerhet, försvar och statens säkerhet. På dessa områden är dataskyddskonventionen således fortfarande av betydelse.

Europarådets ministerkommitté antog år 2001 ett tilläggsprotokoll till dataskyddskonventionen. Det innehåller bestämmelser om tillsynsmyndigheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Tilläggsprotokollet trädde i kraft den 1 juli 2004.

Internationella riktlinjer i fråga om integritetsskydd och persondataflöde över gränserna har även utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som finns i dataskyddskonventionen.

Dataskyddskonventionen är för närvarande föremål för översyn.

Hänvisningar till S4-1-2

  • Prop. 2016/17:91: Avsnitt 9.1

4.1.3. Europarådets rekommendation om användning av personuppgifter i polissektorn

Utöver dataskyddskonventionen har Europarådet tagit fram sektorsvisa rekommendationer om dataskydd, bl.a. en rekommendation, No. R (87) 15, som reglerar användningen av personuppgifter inom polissektorn.

Rekommendationen innehåller speciella skyddsregler för personuppgifter som polisen samlar in, lagrar, använder eller överför med hjälp av automatiserad behandling i syfte att förhindra och bekämpa brott eller upprätthålla allmän ordning. Endast sådana uppgifter som är nödvändiga för att förhindra en verklig fara eller bekämpa ett visst brott får samlas in,

om inte den nationella lagstiftningen tillåter ett mer omfattande uppgiftssamlande.

Olika kategorier av lagrade uppgifter ska så långt som möjligt kunna skiljas från varandra efter graden av riktighet och tillförlitlighet. I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas från uppgifter som grundar sig på omdömen eller personliga värderingar.

4.1.4. Europeiska unionens stadga om de grundläggande rättigheterna

Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna (kallad EU-stadgan), tillkännagiven av parlamentet, rådet och kommissionen den 7 december 2000 och anpassad den 12 december 2007, är rättsligt bindande på samma sätt som fördragen. En referens till stadgan har införts i artikel 6.1 i det ändrade EUfördraget, se propositionen Lissabonfördraget (prop. 2007/08:168 s. 58).

I EU-stadgan bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheter som EU redan erkänner.

I EU-stadgans artikel 7 föreskrivs, efter förebild i artikel 8 i Europakonventionen, att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. I artikel 8 i stadgan föreskrivs vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs.

Av artikel 51 i EU-stadgan följer att den riktar sig till verksamhet som utförs av EU:s egna organ och institutioner och att den blir tillämplig för medlemsstaterna endast i de fall där de tillämpar EU-rätten. När det gäller de garanterade rättigheternas räckvidd följer av artikel 52 i EUstadgan att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och vara förenlig med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. I den mån rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter.

4.1.5. Dataskyddsdirektivet

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281,

23.11.1995, s. 31, Celex 31995L0046), kallat dataskyddsdirektivet, syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna får inom den ram som anges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen.

Direktivet gäller inte för sådan behandling av personuppgifter som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Direktivet omfattar således inte statens behandling av personuppgifter i brottsbekämpande verksamhet.

Dataskyddsdirektivet är endast tillämpligt på behandling av uppgifter om fysiska personer och berör således inte skyddet för juridiska personer. Direktivet omfattar inte bara automatiserad behandling, utan också manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register. Dataskyddsdirektivet omfattar inte behandling av personuppgifter för privat bruk.

Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.

Hänvisningar till S4-1-5

  • Prop. 2016/17:91: Avsnitt 4.1.2

4.1.6. Dataskyddsrambeslutet

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, kallat dataskyddsrambeslutet, reglerar dataskyddet inom angivna områden. Rambeslutet är föranlett av ett antal nya EU-instrument rörande utvidgat polisiärt och rättsligt samarbete avseende gränsöverskridande informationsutbyte.

Dataskyddsrambeslutet förpliktar medlemsstaterna att behandla uppgifter som utbyts mellan staterna inom ramen för det angivna samarbetet på ett sådant sätt att skyddet för enskildas integritet värnas. Det innehåller bestämmelser som avser att förstärka skyddet vid behandling av personuppgifter som överförs.

Rambeslutet utgör ett komplement till andra instrument om informationsutbyte inom ramen för polisiärt och straffrättsligt samarbete. Det innehåller bl.a. bestämmelser om allmänna utgångspunkter för behandlingen av personuppgifter och känsliga personuppgifter, rättelse, radering och gallring av personuppgifter, information till den registrerade samt skadestånd och sanktioner. Till stora delar motsvarar innehållet dataskyddsdirektivet, som i svensk rätt har genomförts genom personuppgiftslagen.

Vidare finns bl.a. särskilda bestämmelser som begränsar möjligheterna att behandla personuppgifter som mottagits från en annan stat. Rambeslutet har genomförts i svensk rätt dels genom lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och

straffrättsligt samarbete inom Europeiska unionen, dels genom upplysningsbestämmelser i respektive registerförfattning som anger att nyss nämnda lag har företräde framför respektive registerförfattning. En sådan bestämmelse finns i 1 a § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Hänvisningar till S4-1-6

  • Prop. 2016/17:91: Avsnitt 9.1

4.1.7. Ny EU-rättslig reglering

Dataskyddsregleringen på unionsnivå har varit föremål för översyn och ny reglering har antagits, dels en ny förordning, dels ett nytt direktiv. Den nya regleringen ska börja tillämpas i maj 2018. Regleringen innebär bl.a. att dataskyddsdirektivet, som i Sverige har genomförts genom personuppgiftslagen (1998:204) och ett stort antal specifika registerförfattningar, ersätts av en ny generell dataskyddsförordning.

Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (kallad dataskyddsförordningen), antogs den 27 april 2016. Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och ersätter alltså det nuvarande dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll men innebär även en rad nyheter såsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrättandet av Europeiska dataskyddsstyrelsen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag. En utredning har tillsatts för att föreslå de anpassningar och kompletterande författningsändringar på generell nivå som förordningen ger anledning till (Dataskyddsutredningen, Ju 2016:04). Uppdraget ska redovisas senast den 12 maj 2017. Det pågår bl.a. inom Regeringskansliet även arbete med att se över övriga berörda författningar med anledning av den nya dataskyddsförordningen.

De författningsändringar som krävs med anledning av förordningen tas således om hand i särskild, senare ordning.

I reformen av EU:s regler om skydd för personuppgifter ingår som nämnts ovan även ett direktiv med särregler för den brottsbekämpande sektorn som kommer att ersätta dataskyddsrambeslutet. Till skillnad från dataskyddsrambeslutet omfattar direktivet inte endast utbyte av information över gränserna utan även nationell personuppgiftsbehandling inom den brottsbekämpande sektorn.

Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (kallat 2016 års dataskyddsdirektiv), antogs samtidigt som

dataskyddsförordningen. Det ska vara implementerat i nationell rätt senast den 6 maj 2018.

Från dataskyddsförordningens tillämpningsområde undantas bl.a. personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inkluderande att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Den personuppgiftsbehandling som görs för dessa syften faller i stället under det nya dataskyddsdirektivets tillämpningsområde. Direktivet ska dels skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt. 2016 års dataskyddsdirektiv ansluter i stor utsträckning till den reglering som gäller enligt dataskyddsrambeslutet.

Från både förordningens och direktivets tillämpningsområden undantas personuppgiftsbehandling i verksamhet som inte omfattas av unionsrätten, däribland området nationell säkerhet.

En utredning har tillsatts för att föreslå hur direktivet ska genomföras i svensk rätt. Utredaren ska bl.a. lämna förslag till en ny ramlagstiftning med bestämmelser om skydd av personuppgifter inom direktivets tillämpningsområde och lämna de förslag till författningsändringar som krävs för att anpassa vissa centrala författningar om rättsväsendets behandling av personuppgifter till de nya förutsättningarna (Utredningen om 2016 års dataskyddsdirektiv, Ju 2016:06). Utredaren ska senast den 1 april 2017 i ett delbetänkande redovisa uppdraget i den del det rör dels en ny ramlagstiftning, dels tillsyn inom direktivets tillämpningsområde. Uppdraget ska slutredovisas senast den 30 september 2017.

De författningsändringar som krävs med anledning av det nya direktivet tas således om hand i särskild, senare ordning.

Hänvisningar till S4-1-7

4.2. Personuppgiftslagen

Dataskyddsdirektivet har som nämnts ovan genomförts i svensk rätt genom personuppgiftslagen, se propositionen Personuppgiftslag (prop. 1997/98:44). Till skillnad från dataskyddsdirektivet har dock personuppgiftslagen gjorts generellt tillämplig och omfattar således även verksamhet som faller utanför direktivets tillämpningsområde.

Lagen innehåller de generella regler som krävs för genomförande av direktivet. Särreglering i annan lag eller i förordning gäller emellertid framför bestämmelserna i personuppgiftslagen. Att det krävs en särskild författning för att avvika från det integritetsskydd som personuppgiftslagen ger, är en garanti för att behovet av särregler övervägs noga i den ordning som gäller för författningsgivning.

Personuppgifter i personuppgiftslagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om juridiska personer och avlidna omfattas således inte av lagen. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara och sprida uppgifter.

Lagen omfattar behandling av personuppgifter som är helt eller delvis automatiserad. Även manuell behandling kan dock omfattas, nämligen om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Enligt personuppgiftslagen ska en personuppgiftsansvarig bl.a. se till att personuppgifter behandlas bara om det är lagligt. Den personuppgiftsansvarige ska vidare se till att personuppgifter behandlas på ett korrekt sätt och i enlighet med god sed, att personuppgifter samlas in bara för särskilda uttryckligt angivna och berättigade ändamål, att de inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella, att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen och att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Enligt lagen är det vidare förbjudet att till tredjeland föra över personuppgifter om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller inte stater som har anslutit sig till dataskyddskonventionen. Förbudet gäller både uppgifter som är under behandling och uppgifter som ska undergå behandling. När det gäller att avgöra om skyddsnivån är adekvat ska alla omständigheter kring överföringen beaktas, varvid särskild vikt ska läggas vid bl.a. uppgifternas art, ändamålet med behandlingen och de regler som finns för behandlingen i det tredjelandet. I vissa fall får dock överföring av personuppgifter till tredjeland ske även om det aktuella landet inte har en sådan adekvat skyddsnivå som avses i personuppgiftslagen, t.ex. om den registrerade har lämnat sitt samtycke eller för att rättsliga anspråk ska kunna fastställas. I lagen har också regeringen getts möjlighet att under vissa förutsättningar meddela föreskrifter om undantag från förbudet.

Efter en lagändring som trädde i kraft den 1 januari 2007 är de flesta av personuppgiftslagens detaljerade handlingsregler inte tvingande tillämpliga vid behandling av personuppgifter i ostrukturerat material, t.ex. löpande text och enstaka ljud- och bildupptagningar, se propositionen Översyn av personuppgiftslagen (prop. 2005/06:173). Sådan behandling får dock inte innebära att den registrerades personliga integritet kränks.

Med anledning av att dataskyddsförordningen ska börja tillämpas i maj 2018 kommer personuppgiftslagen att upphävas.

Hänvisningar till S4-2

4.3. Lagstiftningen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet regleras i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, med tillhörande förordning (2005:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Dessa författningar brukar benämnas tullbrottsdatalagen och tullbrottsdataförordningen. Tullbrottsdatalagen gäller i stället för personuppgifts-

lagen, men hänvisar till vissa bestämmelser i personuppgiftslagen som alltjämt ska tillämpas.

Det finns bestämmelser om hantering av personuppgifter även i annan lagstiftning, t.ex. i lagen (2000:1219) om internationellt tullsamarbete, förordningen (2000:1222) om internationellt tullsamarbete, lagen (2000:343) om internationellt polisiärt samarbete, tullagen (2016:253) och i EU-lagstiftning. Det finns också en särskild registerförfattning med tillhörande förordning som gäller i Tullverkets verksamhet som avser frågor om tull och in- och utförselrestriktioner, nämligen lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet med tillhörande förordning (2001:646) med samma namn. Dessa författningar, som brukar benämnas tulldatalagen respektive tulldataförordningen, omfattas inte av förslagen i denna proposition och kommer därför inte att beröras närmare här. En följdändring behandlas dock i avsnitt 17.

Tullbrottsdatalagen innehåller dels allmänna regler om behandling av personuppgifter, dels bestämmelser om en särskild databas, tullbrottsdatabasen. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen tillämpas även i viss utsträckning på behandling av uppgifter om juridiska personer (1 §).

De ändamål för vilka uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet är uppdelade i primära (7 §) och sekundära (8 §) ändamål. I 7 § anges att uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra visst brott, eller för att fullgöra förpliktelser som följer av internationella åtaganden. I 8 § anges att uppgifter som behandlas i Tullverkets brottsbekämpande verksamhet enligt 7 § även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i författningsreglerad brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Skatteverket och Kustbevakningen.

I 9 § regleras att uppgifter inte får behandlas för några andra ändamål än de som anges i 7 och 8 §§. Uppgifter får dock lämnas ut till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. Här kan nämnas att 9 d § personuppgiftslagen, den s.k. finalitetsprincipen, inte finns med i uppräkningen av vilka bestämmelser i personuppgiftslagen som gäller vid behandling av personuppgifter enligt tullbrottsdatalagen.

Behandlingen av känsliga personuppgifter regleras i 11 § tullbrottsdatalagen. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som beskriver en persons utseende ska alltid utformas på ett objektivt sätt med respekt för människovärdet. Dessutom får känsliga

uppgifter behandlas om de förekommer i en handling som kommit in till Tullverket i ett ärende.

I 12–15 §§ anges de närmare förutsättningarna för behandling av uppgifter för de tre huvudsyften som anges i 7 §.

För ändamålet att förebygga, förhindra eller upptäcka brottslig verksamhet får enligt 12 § sådana uppgifter behandlas som – kan hänföras till en person, om de behandlade uppgifterna ger

anledning att anta att sådan verksamhet har utövats eller kan komma att utövas som innefattar brott för vilket är föreskrivet fängelse i minst två år eller som innefattar andra brott, om verksamheten sker systematiskt (1 a), och gör att personen skäligen kan misstänkas för att ha utövat eller komma att utöva verksamheten (1 b), – avser en person som utan att vara skäligen misstänkt kan antas ha

samband med sådan verksamhet som avses i 1 a (2), eller – inte direkt kan hänföras till en person, om uppgifterna avser sådana

transportmedel, varor eller hjälpmedel som kan antas ha samband med sådan verksamhet som avses i 1 a. Vissa ytterligare begränsningar anges i bestämmelsen. Dessutom får uppgifter som kommit in till Tullverket om passagerare, importörer, exportörer och transportörer samt varor och transportmedel behandlas för planering av kontrollverksamheten och urval av kontrollobjekt i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet (13 §).

För ändamålet att utreda och beivra visst brott får enligt 14 § uppgifter om den som kan misstänkas för brottet och om andra personer behandlas när det behövs för att utreda eller beivra brottet.

Enligt 15 § får Tullverket, utöver vad som följer av 12–14 §§, behandla uppgifter för ändamålet fullgöra förpliktelser som följer av internationella åtaganden.

Som huvudregel ska uppgifter om personer som inte är misstänkta eller kan komma att misstänkas för brott förses med en särskild upplysning om detta. Uppgifter om en person som kan ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak (16 §).

I 17 och 18 §§ finns bestämmelser om begränsning av möjligheten till behandling av uppgifter om kvarstående misstankar.

I 19 § anges i detalj vilka typer av personuppgifter som får behandlas i tullbrottsdatabasen och i 20–22 §§ anges vilka sökbegrepp som får användas.

23 och 24 §§ innehåller bestämmelser om viss uppgiftsskyldighet, närmare bestämt när det gäller vitesförelägganden och rättsstatistik. 2 § tullbrottsdataförordningen har också en bestämmelse om uppgiftsskyldighet, som innebär att Tullverket på begäran av Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Kustbevakningen och Skatteverket ska lämna ut uppgifter ur tullbrottsdatabasen.

I 25 § tullbrottsdatalagen finns en begränsning avseende elektroniskt utlämnande. Enstaka uppgifter får lämnas ut på medium för automatiserad behandling. Regeringen får meddela föreskrifter om att utlämnande på sådant medium får ske även i andra fall. Några sådana föreskrifter har inte meddelats.

I 26 § samma lag regleras direktåtkomst. Där anges att regeringen får meddela föreskrifter om att Polismyndigheten, Säkerhetspolisen, Åklagarmyndigheten, Ekobrottsmyndigheten, Skatteverket och Kustbevakningen i sin brottsbekämpande verksamhet får ha direktåtkomst till uppgifter i tullbrottsdatabasen. Genom 6 § tullbrottsdataförordningen har regeringen gett Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Kustbevakningen och Skatteverket möjlighet till direktåtkomst till uppgifter i tullbrottsdatabasen som behandlas för ändamålet förebygga, förhindra eller upptäcka brottslig verksamhet. Genom 7 § samma förordning har regeringen gett Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten och Säkerhetspolisen rätt till direktåtkomst till uppgifter i tullbrottsdatabasen som behandlas för ändamålet utreda eller beivra visst brott och som förekommer i en förundersökning under ledning av åklagare vid Åklagarmyndigheten eller Ekobrottsmyndigheten.

Tullbrottsdatalagen innehåller också regler om när gallring av olika uppgifter ska ske (27 och 28 §§). Enligt 27 § får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om att uppgifter ska bevaras trots de frister som annars gäller. Av 4 § tullbrottsdataförordningen följer att uppgifter och handlingar i ett ärende som avser prövning av om förundersökning ska inledas får bevaras längre än vad som anges i 27 § tullbrottsdatalagen men att de ska gallras senast vid utgången av det kalenderår då påföljd inte längre kan dömas ut för de brott som omfattades av prövningen av om förundersökning ska inledas.

Tullbrottsdatalagen innehåller även bestämmelser om information till den registrerade och överklagande. I fråga om skadestånd och rättelse gäller bestämmelserna i personuppgiftslagen.

I förordningen (1997:902) om register över strafförelägganden regleras viss behandling av personuppgifter som Tullverket och även Polismyndigheten utför. Såvitt gäller Tullverket anges i förordningen bl.a. att det inom Tullverket får föras register över strafförelägganden (2 §) och vad registret får innehålla (9 §). I betänkandet Uppbörd av böter (Ds 2015:5) behandlas bl.a. denna reglering. Betänkandet har remitterats och bereds för närvarande i Regeringskansliet. Tidigare omfattade förordningen om register över strafförelägganden även åklagarnas behandling av personuppgifter vid hanteringen av strafförelägganden. De bestämmelserna utmönstrades dock ur förordningen i samband med tillkomsten av åklagardatalagen (2015:433). Det kan i detta sammanhang nämnas att till uppgiften att beivra brott i 7 § 2 tullbrottsdatalagen hör tullåklagarens rätt att utfärda strafförelägganden i bötesmål.

Hänvisningar till S4-3

  • Prop. 2016/17:91: Avsnitt 6.1.1

4.4. Regler för behandling av personuppgifter i annan brottsbekämpande verksamhet

4.4.1. Inledning

Vid sidan av personuppgiftslagen finns en mängd särskilda registerförfattningar som spänner över olika samhällsområden, bl.a. lagar och

förordningar som innefattar regler om hur personuppgifter i brottsbekämpande verksamhet ska behandlas.

Vad avser polisens verksamhet finns bl.a. polisdatalagen (2010:361) som utgör en modernisering av tidigare gällande bestämmelser.

Även andra registerförfattningar har moderniserats på senare tid. För Kustbevakningens verksamhet har en kustbevakningsdatalag (2012:145) antagits, med bestämmelser utformade enligt den modell som återfinns i polisdatalagen. När det gäller åklagarväsendets personuppgiftsbehandling har en åklagardatalag antagits, som trädde i kraft den 1 januari 2016. När det gäller Skatteverkets brottsbekämpande verksamhet bereds för närvarande i Regeringskansliet ny lagstiftning på området.

Det har ansetts angeläget att Tullverket har samma möjligheter som andra brottsbekämpande myndigheter att behandla personuppgifter, se t.ex. propositionen Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete (prop. 2012/13:73 s. 63). Det är därför naturligt att göra en jämförelse med hur frågorna har reglerats för andra brottsbekämpande myndigheter i lagstiftning som tillkommit efter tullbrottsdatalagen. Av den anledningen redovisas polisdatalagen och kustbevakningsdatalagen närmare i följande avsnitt.

4.4.2. Polisdatalagen och annan lagstiftning

Polisdatalagen

I propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85) föreslog regeringen en helt ny polisdatalag. Avsikten var att komma till rätta med vissa svagheter som uppmärksammats i systemet, bl.a. att den äldre polisdatalagen (1998:622) endast täckte delar av behandlingen av personuppgifter i polisens brottsbekämpande verksamhet. Vidare framhöll regeringen i propositionen behoven av en teknikneutral lagstiftning och av regler som ger förutsättningar för ett bättre samarbete mellan de brottsbekämpande myndigheterna genom utökade möjligheter till informationsutbyte (se prop. 2009/10:85 s. 5964). Den nya polisdatalagen trädde i kraft den 1 mars 2012.

Polisdatalagen gäller i stället för personuppgiftslagen. Lagen innehåller hänvisningar till de bestämmelser i personuppgiftslagen som gäller vid tillämpning av lagen.

Syftet med polisdatalagen är att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling (1 kap. 1 §).

Polisdatalagen gäller vid behandling av personuppgifter i brottsbekämpande verksamhet vid Polismyndigheten och Säkerhetspolisen samt i polisiär verksamhet vid Ekobrottsmyndigheten (1 kap. 2 §). För behandling av personuppgifter vid Säkerhetspolisens brottsbekämpande verksamhet gäller endast vissa särskilt utpekade bestämmelser. Behandling av personuppgifter i sådan verksamhet som inte är brottsbekämpande, t.ex. hanteringen av förvaltningsärenden, regleras i huvudsak i personuppgiftslagen.

Behandling av personuppgifter som sker med stöd av vapenlagen (1996:67), lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister, lagen (2010:362) om polisens allmänna spaningsregister eller lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang har uttryckligen undantagits från polisdatalagens tillämpningsområde (1 kap. 3 §).

Personuppgifter får behandlas i brottsbekämpande verksamhet vid Polismyndigheten och i polisiär verksamhet vid Ekobrottsmyndigheten om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden (2 kap. 7 §). Personuppgifter som behandlas för dessa ändamål får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i bl.a. brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket eller brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation. Vidare får personuppgifter behandlas för att tillhandahålla information som behövs i en myndighets verksamhet om det enligt lag eller förordning åligger Polismyndigheten att bistå myndigheten med viss uppgift eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott (2 kap. 8 §). Personuppgifter får även behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Polismyndigheten eller Ekobrottsmyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen (2 kap. 9 §).

Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Om uppgifter om en person behandlas på annan grund, får de emellertid kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen (2 kap. 10 §).

Lagen innehåller även bestämmelser om vad som gäller för t.ex. tillgången till personuppgifter, utlämnande av personuppgifter och uppgiftsskyldighet samt elektroniskt utlämnande av personuppgifter (2 kap. 11– 21 §§).

För behandling av personuppgifter som fler än ett fåtal personer har åtkomst till, s.k. gemensamt tillgängliga uppgifter, finns det särskilda bestämmelser i lagen (3 kap. 1–15 §§). Huruvida uppgifter har gjorts gemensamt tillgängliga eller inte är av betydelse när det gäller möjligheten att medge vissa andra i lagen utpekade myndigheter direktåtkomst till personuppgifter i den brottsbekämpande verksamheten. Vad gäller gemensamt tillgängliga uppgifter innehåller lagen även andra begränsande bestämmelser för att värna den personliga integriteten, bl.a. sökbegränsningar.

Slutligen ska nämnas att polisdatalagen innehåller bestämmelser om ett fåtal register som regleras särskilt, bl.a. register över DNA-profiler, fingeravtrycks- eller signalementsregister och penningtvättsregister (4 kap.), bestämmelser om behandling av personuppgifter vid Polismyndigheten för forensiska ändamål (5 kap.) samt bestämmelser om

behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet (6 kap.).

I polisdataförordningen (2010:1155) finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av polisdatalagen.

Polisregisterlagstiftning i övrigt

Vid sidan av polisdatalagen finns det som nämnts ovan andra författningar som reglerar behandling av personuppgifter inom polisen. Några av dessa är s.k. registerförfattningar och innehåller uteslutande bestämmelser om behandling av personuppgifter medan andra endast innehåller ett fåtal sådana bestämmelser, t.ex. om ett visst register. Bestämmelser om behandling av personuppgifter finns i vapenlagen, lagen om belastningsregister, lagen om misstankeregister, lagen om internationellt polisiärt samarbete, lagen om Schengens informationssystem, lagen om passagerarregister, efterlysningskungörelsen (1969:293), passförordningen (1979:664) och förordningen (1997:903) om register över förelägganden av ordningsbot. De författningar som har betydelse för Tullverkets behandling av personuppgifter är följande.

– Belastningsregistret Ändamålet med belastningsregistret är att ge information om sådana belastningsuppgifter som behövs i verksamhet hos Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen för att förebygga, upptäcka och utreda brott, hos åklagarmyndigheter för beslut om förundersökning och åtal och för utfärdande av strafföreläggande samt hos allmänna domstolar för straffmätning och val av påföljd.

Av 6 § lagen om belastningsregister följer bl.a. att Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen har rätt att få ut uppgifter ur belastningsregistret. Tullverket får enligt 19 § förordningen (1999:1134) om belastningsregister ha direktåtkomst till uppgifter i registret.

– Misstankeregistret Misstankeregistret ska föras för att underlätta tillgången till sådana uppgifter om skälig misstanke om brott som behövs i verksamhet hos Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen för att samordna förundersökningar mot en misstänkt person och för att förebygga, upptäcka och utreda brott samt hos åklagarmyndigheter för beslut om förundersökning och åtal (2 § lagen om misstankeregister).

Enligt 6 § förordningen (1999:1135) om misstankeregister får bl.a. Tullverket ha direktåtkomst till uppgifter i registret.

Passförordningen Polismyndigheten ska enligt 23 § passförordningen föra ett centralt passregister. På begäran från bl.a. Tullverket och Kustbevakningen ska Polismyndigheten lämna ut uppgifter i form av fotografisk bild av enskild från registret.

– Passagerarregistret Polismyndigheten ska enligt 1 § lagen om passagerarregister föra ett register över sådana passagerare som avses i 9 kap. 3 a § utlänningslagen (2005:716) och myndigheten är personuppgiftsansvarig för behandlingen av personuppgifter i registret. Passagerarregistret ska föras för att underlätta verkställandet av personkontroller vid Sveriges gräns mot stater som inte tillhör Europeiska unionen och inte heller har träffat avtal om samarbete enligt Schengenkonventionen med konventionsstaterna (4 §). Tullverket har rätt att på begäran få ut personuppgifter ur passagerarregistret för sådan verksamhet som avses i 4 § (6 §).

– Ordningsbotsregistret Polismyndigheten för, med stöd av förordningen om register över förelägganden av ordningsbot, ett särskilt register över alla ordningsbotsförelägganden. Registret omfattar även de förelägganden som beslutas inom Tullverket och Kustbevakningen. Enligt 2 § får registret användas i ärenden om föreläggande av ordningsbot för handläggning, uppbörd och underrättelser till myndigheter samt för tillsyn, planering, uppföljning och framställning av statistik. Enligt 4 § får Tullverket ha direktåtkomst till uppgifter i de ärenden i registret som handläggs hos myndigheten.

I betänkandet Uppbörd av böter föreslås en ny lag om uppbörd av böter. Betänkandet har remitterats och bereds för närvarande i Regeringskansliet.

– Schengens informationssystem Sverige är anslutet till Schengensamarbetet, se propositionen Schengensamarbetet (prop. 1997/98:42). Schengensamarbetet bygger på två grundtankar. Den första är den fria rörligheten för personer, i den betydelsen att någon personkontroll vid nationsgränserna mellan Schengenstaterna inte ska förekomma. Den andra är att kampen mot internationell kriminalitet och illegal invandring ska stärkas. Ett hjälpmedel i detta sammanhang är dataregistret Schengens informationssystem (SIS).

SIS består av ett nationellt register för varje Schengenstat och en central teknisk stödfunktion, som är gemensam för Schengenstaterna. Polismyndigheten för med stöd av lagen om Schengens informationssystem ett register som utgör den svenska nationella enheten av dataregistret SIS. Registret är anslutet till den centrala enheten i SIS. Registrets syfte är att vara ett hjälpmedel för de andra Schengenstaterna att göra framställningar hos Sverige om bl.a. omhändertagande av personer och om dold övervakning eller särskilda kontrollåtgärder.

I lagen finns bestämmelser om vilka uppgifter som får förekomma i registret och om vem som har rätt att få ut uppgifter ur detta. Enligt 9 § har Säkerhetspolisen, åklagarmyndigheter, Tullverket och Kustbevakningen rätt att få ut uppgifter ur registret när de utför gränskontroller eller bistår i sådan verksamhet samt när de utför undersökningar och andra kontroller än gränskontroller i sin verksamhet för att förebygga och utreda brott. Enligt 10 § får en svensk myndighet inte utnyttja en uppgift i registret för något annat syfte än det som den registrerande Schengen-

staten har angivit vid registreringen, om inte den staten samtycker till att uppgiften används för annat ändamål.

Enligt 10 § förordningen (2000:836) om Schengens informationssystem får Säkerhetspolisen, Tullverket och Kustbevakningen ha direktåtkomst till uppgifter ur SIS-registret.

Hänvisningar till S4-4-2

  • Prop. 2016/17:91: Avsnitt 5.4

4.4.3. Kustbevakningsdatalagen

För Kustbevakningens behandling av personuppgifter gäller kustbevakningsdatalagen som trädde i kraft den 1 maj 2012. Lagen reglerar, med några få undantag, all behandling av personuppgifter i Kustbevakningens operativa verksamhet, dvs. både brottsbekämpande och annan operativ verksamhet. I 2 kap. 10 § finns en grundläggande bestämmelse som kräver att personuppgifter ska behandlas på ett sådant sätt att det klart framgår om behandlingen rör brottsbekämpning eller annan operativ verksamhet.

Lagen gäller i stället för personuppgiftslagen, men innehåller hänvisningar till vissa bestämmelser i personuppgiftslagen som ska tillämpas vid behandling av personuppgifter enligt lagen (2 kap. 1 och 2 §§). Som exempel kan nämnas personuppgiftslagens bestämmelser om definitioner och om förhållandet till offentlighetsprincipen.

Kustbevakningsdatalagen är uppbyggd på i princip samma sätt som polisdatalagen. De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom Kustbevakningen och anges uttömmande i 3 kap. 2 §. Enligt denna paragraf får personuppgifter behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, eller fullgöra de förpliktelser som följer av internationella åtaganden.

De sekundära ändamålen är aktuella när personuppgifter som får behandlas i Kustbevakningens brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för dessas behov. Enligt de sekundära ändamålen, som anges i 3 kap. 3 §, får behandling av personuppgifter ske när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket, eller hos utländsk myndighet eller mellanfolklig organisation. Sådan behandling får vidare ske om det är nödvändigt för att tillhandahålla information som behövs i annan verksamhet hos Kustbevakningen för utredning och beslut i ärenden som rör vattenföroreningsavgift eller tillsyn och kontroll enligt lag eller förordning. Sådan behandling av personuppgifter får även ske om det är nödvändigt för att tillhandahålla information som behövs i en annan myndighets verksamhet, om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift, eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.

Uppgifter som behandlas för ett primärt ändamål får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till annan. I ett enskilt fall får personuppgifter

som behandlas för ett primärt ändamål även behandlas för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Kustbevakningsdatalagen innehåller också bestämmelser om behandling av känsliga personuppgifter (2 kap. 7 §). Lagen innehåller vidare särskilda bestämmelser om i vilka fall utlämnande av personuppgifter får ske till Interpol och Europol, polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, utländsk kustbevakning eller tullmyndighet inom Europeiska samarbetsområdet (3 kap. 6 § första och andra styckena). Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande (3 kap. 6 § tredje stycket).

Det finns även särskilda bestämmelser om under vilka förutsättningar personuppgifter som omfattas av sekretess får lämnas ut till svenska myndigheter (3 kap. 7 §). Lagen innehåller också bestämmelser om elektroniskt utlämnande av (2 kap. 8 §), tillgång till samt bevarande och gallring av personuppgifter (2 kap. 3 § respektive 3 kap. 4 och 5 §§ samt 4 kap. 8–14 §§).

4.5. Överenskommelser inom EU av betydelse för tull- och polissamarbete och deras genomförande i Sverige

4.5.1. Rådsbeslutet om tillgång till informationssystemet för viseringar

Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse, kallad VIS-förordningen, trädde i kraft den 2 september 2008 och togs i drift den 11 oktober 2011. Förordningen tillämpas från och med den dagen och författningsändringar med anledning av VIS-förordningen trädde i kraft samtidigt.

De övergripande målen för inrättandet av VIS är att förbättra genomförandet av den gemensamma viseringspolitiken, det konsulära samarbetet och samrådet mellan viseringsmyndigheter. VIS ska underlätta utbytet av uppgifter om viseringsansökningar och beslut med anledning av sådana ansökningar.

I VIS-förordningen finns också närmare bestämmelser om bl.a. viseringsmyndigheternas registrering och användning av uppgifterna i VIS, andra myndigheters åtkomst till dessa uppgifter samt om lagring och ändring av uppgifterna. VIS-förordningen innehåller vidare en s.k. broklausul, som medger att brottsbekämpande myndigheter och Europol ges tillgång till uppgifter i VIS för att förhindra, upptäcka eller utreda terroristbrott och andra grova brott.

Villkoren för åtkomst till VIS i detta syfte har fastställts i rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet

för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott (kallat VIS-rådsbeslutet). Enligt VISrådsbeslutet ska särskilt utsedda brottsbekämpande myndigheter i medlemsstaterna och Europol under vissa förutsättningar ges tillgång till uppgifter ur VIS i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott.

Reglerna för hur myndigheterna får använda registret är restriktiva och uppgifter får endast lämnas ut under vissa speciella förutsättningar. Ett grundläggande krav för att en brottsbekämpande myndighet ska få tillgång till uppgifter i VIS är att den lämnar en motiverad, skriftlig eller elektronisk, begäran till en central åtkomstpunkt som ska kontrollera att samtliga villkor för tillgång till VIS är uppfyllda. Vidare krävs bl.a. att sökningarna är nödvändiga för att förebygga, upptäcka eller utreda terroristbrott eller andra grova brott, att sökningarna krävs i ett specifikt ärende och att det finns rimliga skäl att anse att inhämtandet av VISuppgifter väsentligen kommer att bidra till att brotten i fråga förebyggs, upptäcks eller utreds. VIS-rådsbeslutet har införts i svensk rätt genom ändringar i lagen om internationellt polisiärt samarbete.

Det har också gjorts ändringar i offentlighets- och sekretesslagen (2009:400) för uppgifter i utländska databaser, se propositionen Sekretess för uppgifter i utländska databaser (prop. 2011/12:157), vilka trädde i kraft den 1 december 2012.

4.5.2. Prümrådsbeslutet

Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, kallat Prümrådsbeslutet, bygger på en konvention kallad Prümkonventionen, som år 2005 ingicks mellan sju av EU:s medlemsstater. Prümrådsbeslutet innehåller bestämmelser som syftar till att fördjupa det gränsöverskridande samarbetet mellan de myndigheter inom EU som ansvarar för att förebygga och utreda brott. I huvudsak ska detta ske genom förenklade former för utbyte av DNAprofiler, fingeravtryck och uppgifter om fordon.

Prümrådsbeslutet aktualiserar inte inrättande av några nya databaser, utan bygger på ett automatiserat utbyte av uppgifter som redan finns lagrade i medlemsstaternas befintliga databaser. I rådsbeslutet regleras också skyldigheten att översända vissa personuppgifter och andra uppgifter till en annan medlemsstat vid större evenemang med gränsöverskridande verkningar. Därutöver finns en fakultativ bestämmelse om översändande av uppgifter till skydd mot terrorism. Bestämmelserna om uppgiftsutbyte kompletteras med utförliga bestämmelser om dataskydd.

Prümrådsbeslutet innehåller också en skyldighet för medlemsstaterna att lämna varandra bistånd i samband med större evenemang, katastrofer och allvarliga olyckor. Därutöver finns bestämmelser om frivilligt operativt samarbete.

De obligatoriska delarna av rådsbeslutet har genomförts i två steg. Den del som bl.a. gäller informationsutbyte vid större evenemang, skyldigheten att lämna bistånd vid större evenemang, katastrofer och olyckor

samt de generella dataskyddsbestämmelserna (artiklarna 13–15, delar av 18 samt 24–32) har behandlats i propositionen Genomförande av delar av Prümrådsbeslutet (prop. 2009/2010:177). Lagändringarna trädde i kraft den 1 juli 2010 och förordningsregleringen den 1 augusti 2010.

Den del som gäller automatiserat utbyte av DNA-, fingeravtrycks- och fordonsuppgifter (artiklarna 2–12) har behandlats i propositionen Genomförande av Prümrådsbeslutet – automatiserat uppgiftsutbyte (prop. 2010/11:129). Lagändringarna och förordningsregleringen trädde i kraft den 1 augusti 2011.

För Polismyndigheten, Tullverket och Kustbevakningen innebär regleringen bl.a. att myndigheterna i samband med större evenemang med gränsöverskridande verkningar i syfte att förebygga brott eller upprätthålla allmän ordning och säkerhet ska lämna ut uppgifter om en person om det av olika anledningar finns skäl att anta att personen kommer att begå brott vid evenemanget eller utgöra hot mot den allmänna ordningen och säkerheten vid detta. Uppgifter kan lämnas ut på begäran av en myndighet i en annan stat eller på eget initiativ. Myndigheterna ska även lämna ut andra uppgifter än personuppgifter som bedöms vara nödvändiga för att förebygga brott eller hot mot den allmänna ordningen och säkerheten vid evenemanget (3 kap. 1 § förordningen [2010:705] om internationellt polisiärt samarbete). En förutsättning för att uppgifter ska få lämnas ut är att de i motsvarande fall skulle få lämnas ut till en annan svensk myndighet.

Utöver att lämna information vid större evenemang ska Tullverket och andra i förordningen utpekade myndigheter även i vissa fall lämna olika former av bistånd vid större evenemang, katastrofer och allvarliga olyckor som har gränsöverskridande verkningar i syfte att förhindra brott eller upprätthålla allmän ordning och säkerhet. En form av bistånd är att underrätta berörda myndigheter i en annan stat om situationen så snart det är möjligt och förmedla väsentlig information (3 kap. 3 § förordningen). Respektive myndighet beslutar om bistånd ska lämnas.

Hänvisningar till S4-5-2

4.5.3. Rambeslutet om förenklat informations- och underrättelseutbyte

Den tillgänglighetsprincip som är väsentlig i EU:s arbete för att utveckla informationsutbytet är en av hörnstenarna i rambeslutet om förenklat informations- och underrättelseutbyte. Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater kom till efter ett svenskt initiativ. Rambeslutet innebär att brottsbekämpande myndigheter i medlemsstaterna redan på underrättelsestadiet, och över myndighetsgränserna, snabbt ska kunna utbyta befintlig information för användning i underrättelseverksamhet om brott eller utredning av brott. Genom rambeslutet åtar sig medlemsstaterna att dels på begäran av en annan stat lämna viss information, dels spontant lämna vissa uppgifter.

Rambeslutet har genomförts i svensk rätt genom förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen, som trädde i kraft den 1 februari

2009. Förordningen, som bygger på förutsättningen att gällande svensk rätt redan medger utlämnande av sådana uppgifter som ska utbytas enligt rambeslutet, innehåller framför allt bestämmelser om förfarandet i samband med uppgiftsutbytet. Enligt 3 § i förordningen ska en svensk brottsbekämpande myndighet efter begäran från en utländsk brottsbekämpande myndighet lämna ut uppgifter. I förordningen anges som svensk brottsbekämpande myndighet bl.a. Polismyndigheten, Tullverket och Kustbevakningen (2 §). En svensk brottsbekämpande myndighet kan med stöd av rambeslutet även begära uppgifter från en annan medlemsstat. Förordningen innehåller också regler om villkor för användandet av tillhandahållna uppgifter och tidsfrister inom vilka en inkommen begäran ska behandlas.

4.5.4. Europolrådsbeslutet

Den 6 april 2009 antogs rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), kallat Europolrådsbeslutet (EUT L 121, 15.5.2009, s. 37). Genom rådsbeslutet förändrades den rättsliga grunden för Europols verksamhet och Europol fick ställning som EU-myndighet. I samband härmed gjordes också en del sakliga förändringar, bl.a. av Europols mandat och av regleringen om informationsbehandling och dataskydd.

En konsekvens av att Europol numera är en EU-myndighet är att Europols struktur, arbetssätt, verksamhetsområde och uppgifter regleras av Europaparlamentet och rådet genom en förordning, enligt det ordinarie lagstiftningsförfarandet inom EU. Den 11 maj 2016 antogs en förordning, Europaparlamentets och rådets förordning (EU) 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF. Den ska tillämpas från och med den 1 maj 2017.

Hänvisningar till S4-5-4

  • Prop. 2016/17:91: Avsnitt 5.4

4.5.5. Direktiv om flygpassageraruppgifter

Passageraruppgiftssamlingar består av uppgifter som har lämnats av passagerare (Passenger Name Records – PNR) och samlats in av lufttrafikföretag i samband med beställning och bokning av biljetter samt vid incheckning, t.ex. namn, betalningssätt, bagageinformation, destination och resebolag. Tullverket begär sedan 1996 in dylika uppgifter från flera olika transportslag i enlighet med reglerna i tullagen och lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen, kallad inregränslagen.

Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (kallat PNR-direktivet) antogs i april 2016 och ska vara genomfört senast i maj 2018. Direktivet reglerar skyldigheten för flygbolag att överföra passageraruppgiftssamlingar till enheter för passagerarinformation i medlemsstaterna, för vilka ändamål uppgifterna får behandlas, hur länge uppgifterna får lagras och under vilka förutsätt-

ningar de får lämnas ut. Flygpassageraruppgifterna får endast behandlas för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Direktivet innehåller även andra bestämmelser om dataskydd. Av direktivet följer vidare att varje medlemsstat ska inrätta en särskilt enhet (Passenger Information Unit, PIU), ansvarig för insamling, sparande och analys av PNR-uppgifter, samt för vidarebefordran av PNR-uppgifter och analysresultat till behöriga myndigheter. En utredning har tillsatts för att föreslå hur direktivet ska genomföras i svensk rätt, PNR-utredningen (Ju 2016:07). Den ska redovisa sitt uppdrag senast den 31 maj 2017.

4.6. Lagstiftning om internationellt samarbete

4.6.1. Inledning

Det brottsbekämpande samarbetet regleras i stor utsträckning genom olika internationella överenskommelser, såväl multilaterala som bilaterala, som innebär internationella åtaganden för Sverige. Med internationella åtaganden avses här folkrättsligt bindande förpliktelser. Sådana åtaganden avser framför allt samarbete med utländska brottsbekämpande myndigheter och med mellanfolkliga organisationer.

Lagen om internationellt tullsamarbete, som beskrivs närmare i avsnitt 4.6.2, innehåller – till skillnad från t.ex. lagen om internationellt polisiärt samarbete – främst bestämmelser som reglerar det internationella samarbetet i sig och inte bestämmelser om behandling av personuppgifter.

I en ändamålsbestämmelse i tullbrottsdatalagen hänvisades det tidigare till fullgörandet av det arbete som Tullverket är skyldigt att utföra enligt lagen om internationellt tullsamarbete (7 § 3). Den 1 juli 2013 ändrades ordalydelsen så att den numera generellt hänvisar till fullgörandet av förpliktelser som följer av internationella åtaganden. Lagändringen syftade till att ändamålsbestämmelsen skulle omfatta hela det internationella samarbete som Tullverket är ålagd att delta i, inte bara internationellt tullsamarbete, se prop. 2012/13:73. Nedan presenteras exempel på samarbeten som Tullverket kan delta i.

Hänvisningar till S4-6-1

4.6.2. Internationellt tullsamarbete

Lagen om internationellt tullsamarbete tillämpas på internationellt tullsamarbete som följer av en internationell överenskommelse med en annan stat eller mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa och som har till syfte att förhindra, upptäcka, utreda och beivra överträdelser av tullbestämmelser (1 kap. 1 § första stycket). Detta innebär att lagen inte bara träffar Tullverkets brottsbekämpande verksamhet utan även verksamhet avseende tull och in- och utförselrestriktioner. Lagen är dock inte tillämplig på sådant samarbete som avses i lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen, lagen (1990:314) om ömsesidig handräckning i skatteärenden eller lagen (1959:590) om gränstullsamarbete med annan stat (1 kap. 1 § andra stycket).

Tullverket eller annan behörig svensk myndighet ska enligt lagen bistå behörig utländsk myndighet eller mellanfolklig organisation om det följer av en sådan internationell överenskommelse som avses i 1 § och av denna lag (1 kap. 2 §). Behöriga svenska myndigheter är, förutom Tullverket, Polismyndigheten, Kustbevakningen och Statens jordbruksverk (1 kap. 5 §). Tullverket har ansvaret för samordningen av samarbetet.

Vid internationellt tullsamarbete kan de svenska myndigheterna agera endast inom ramen för sina befogenheter enligt svensk lagstiftning (1 kap. 3 §). En del av samarbetet består i att länderna självmant eller på begäran ska delge varandra uppgifter som behövs för tullsamarbetet.

Bestämmelser om utbyte av uppgifter finns i 2 kap. 6–8 §§. När det är nödvändigt för att genomföra internationellt tullsamarbete, får en svensk behörig myndighet, på eget initiativ eller efter ansökan, lämna ut uppgifter till behörig utländsk myndighet eller mellanfolklig organisation, även om uppgiften är sekretessbelagd. Endast uppgifter som är tillgängliga för myndigheten inom dess verksamhetsområde omfattas (2 kap. 6 §). Uppgifterna får förenas med villkor för användandet, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt (2 kap. 7 § första stycket).

Har en uppgift översänts till en utländsk myndighet, är den svenska myndigheten skyldig att på begäran av den som uppgiften avser underrätta denne om vart uppgiften har sänts och för vilket ändamål (2 kap. 8 § första stycket). Detta gäller dock inte om det är uppenbart obehövligt eller om det kan befaras att underrättelsen skulle försvåra den utländska utredningen eller beslut i ärendet. Gäller sekretess för uppgiften behöver underrättelse inte heller lämnas (2 kap. 8 § andra och tredje styckena).

Om en svensk myndighet har tagit emot uppgifter eller bevisning från en annan stat enligt en sådan internationell överenskommelse som avses i 1 kap. 1 § och som innehåller villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning (4 kap. 2 §).

Hänvisningar till S4-6-2

  • Prop. 2016/17:91: Avsnitt 4.6.1

4.6.3. Internationellt polisiärt samarbete

I lagen om internationellt polisiärt samarbete regleras samarbete mellan svenska brottsbekämpande myndigheter och motsvarande myndigheter i andra medlemsstater i EU samt Norge och Island. Lagen reglerar bl.a. Schengensamarbetet och Prümsamarbetet, men även annat polissamarbete som är konventionsbundet. I lagen anges vilka svenska tjänstemän som är behöriga att delta i samarbetet, nämligen svenska polismän samt tulltjänstemän och kustbevakningstjänstemän när de enligt lag eller annan författning har polisiära befogenheter. Den mest frekventa delen av informationsutbytet inom Schengensamarbetet regleras dock i lagen om Schengens informationssystem. Den lagen reglerar informationsutbyte som utnyttjar en särskild databas som alla stater som deltar i Schengensamarbetet har tillgång till.

I lagen om internationellt polisiärt samarbete, som är mera inriktad på samarbete i enskilda fall, finns en bestämmelse (3 §) om hur uppgifter som har erhållits från andra stater får användas. Har en svensk myndighet

fått uppgifter eller bevismaterial från en annan stat för att användas i underrättelseverksamhet om brott, vid utredning av brott eller för att upprätthålla allmän ordning och säkerhet, och gäller på grund av överenskommelse med den andra staten villkor som begränsar möjligheten att använda uppgifterna eller bevisningen, ska svenska myndigheter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning. Vad som nu har sagts gäller även för överenskommelser med mellanfolkliga organisationer.

På motsvarande sätt föreskriver lagen att svenska myndigheter får ställa upp villkor som begränsar möjligheten att använda uppgifter eller bevisning som lämnas till en annan stat, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internationell överenskommelse som är bindande för Sverige. Detta gäller också i fråga om uppgifter eller bevisning som lämnas till en mellanfolklig organisation (3 a §).

Hänvisningar till S4-6-3

  • Prop. 2016/17:91: Avsnitt 5.4

4.6.4. Vissa former av internationellt samarbete i brottsutredningar

Lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar innehåller regler om gränsöverskridande samarbete i enskilda brottsutredningar. Syftet är att förbättra det polisiära och det straffrättsliga samarbetet mellan medlemsstaterna inom EU i kampen mot den gränsöverskridande brottsligheten. Behöriga myndigheter i två eller flera medlemsstater får genom en överenskommelse inrätta en gemensam utredningsgrupp för brottsutredningar. När det finns en sådan överenskommelse tillämpas lagen. De utredningsgrupper som inrättas med stöd av någon annan internationell överenskommelse omfattas inte av lagen.

Lagen innehåller bl.a. bestämmelser om användningsbegränsningar. Har en svensk myndighet fått uppgifter genom en gemensam utredningsgrupp som inrättats med stöd av lagen och gäller villkor som begränsar möjligheten att använda uppgifterna, ska en svensk myndighet enligt 5 § följa villkoren oavsett vad som annars är föreskrivet i lag eller författning. Enligt 6 § får överlämnandet av uppgifter eller bevismaterial från en svensk myndighet till en sådan utredningsgrupp förenas med villkor som är nödvändiga av hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt. Den svenska myndighet som har överlämnat material med villkor får enligt 7 § på begäran av en myndighet i en annan stat medge undantag från villkoret.

Lagen innehåller också vissa bestämmelser om s.k. kontrollerade leveranser (10–14 §§) och om brottsutredningar med användning av skyddsidentitet (15–17 §§). Med kontrollerad leverans avses att en viss förbjuden vara, oftast narkotika, tillåts passera gränsen utan att myndigheterna ingriper, i syfte att man ska kunna spåra upp de personer som ligger bakom brottet. Både vid kontrollerade leveranser och vid brottsutredningar med användning av skyddsidentitet ska reglerna om användningsbegränsning i 5–7 §§ tillämpas (13 respektive 16 §).

4.6.5. Internationell rättslig hjälp i brottmål

I lagen (2000:562) om internationell rättslig hjälp i brottmål regleras skyldigheten för svensk myndighet att på en utländsk myndighets begäran vidta åtgärder som t.ex. förhör under förundersökning, bevisupptagning, kvarstad, husrannsakan och användning av hemliga tvångsmedel (1 kap. 2 §). Lagen innehåller även bestämmelser om i vilken utsträckning svenska myndigheter kan begära rättslig hjälp utomlands (3 kap.). Verkställighetsregler finns i förordningen (2000:704) om internationell rättslig hjälp i brottmål.

Lagen om internationell rättslig hjälp i brottmål är generell, dvs. den gäller i förhållande till alla stater även om dessa inte har tillträtt samma konventioner om rättslig hjälp i brottmål som Sverige. Vissa regler gäller dock bara i förhållande till medlemsstater i Europeiska unionen samt Norge och Island.

En utländsk stats begäran om rättslig hjälp i Sverige handläggs av åklagare och domstol, under förutsättning att åtgärden kan vidtas enligt svensk lag under en förundersökning eller rättegång. I vissa fall får rättslig hjälp beviljas även om den misstänkta gärningen inte utgör brott enligt svensk lagstiftning (2 kap. 2 §).

I 2 kap. finns allmänna bestämmelser om förfarandet vid en ansökan om rättslig hjälp i Sverige. I princip används samma förfarande som vid motsvarande svensk åtgärd under förundersökning eller rättegång (2 kap. 10 §).

Om en svensk myndighet i ett ärende om rättslig hjälp har fått uppgifter eller bevisning från en annan stat för att användas vid utredning av brott eller i ett rättsligt förfarande med anledning av brott, och gäller på grund av en internationell överenskommelse bindande villkor som begränsar möjligheterna att använda uppgifterna eller bevisningen ska, enligt 5 kap. 1 §, svenska myndigheter följa villkoret oavsett vad som annars är föreskrivet i lag eller annan författning. Detsamma gäller beträffande villkor som en stat har ställt upp när den på eget initiativ lämnat sådana uppgifter.

På motsvarande sätt får rättslig hjälp som lämnas av en svensk myndighet i enskilda fall förenas med villkor som är påkallade med hänsyn till enskilds rätt eller som är nödvändiga ur allmän synpunkt (5 kap. 2 §).

5. Tullverkets organisation och verksamhet

5.1. Inledning

Tullverket har till uppgift att övervaka efterlevnaden av särskilda bestämmelser om införsel och utförsel av varor. Av förordningen (2007:782) med instruktion för Tullverket framgår att Tullverket ska både se till att en riktig uppbörd kan säkerställas och kontrollera in- och utförselrestriktioner. Verket har också befogenhet att bekämpa brott inom

hela sitt ansvarsområde. En central uppgift i Tullverket är även att bedriva utrednings- och åklagarverksamhet.

När det gäller Tullverkets verksamhet med uppbörd av tullar, skatter och avgifter samt kontroll av restriktioner finns den grundläggande regleringen i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen (unionstullkodexen). Delegerade akter respektive genomförandeakter för unionstullkodexen har också arbetats fram inom EU och en ny svensk tullag, tullagen (2016:253), har trätt i kraft den 1 maj 2016, se propositionen En ny tullag (prop. 2015/16:79). En övergångsperiod kopplad till införandet av nödvändiga it-system löper till och med utgången av 2020.

Tullverkets befogenheter regleras främst i tullagen och i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen, kallad inregränslagen. Tullverket har vidare befogenheter att utföra kontroller i enlighet med lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter samt lagen (2008:322) om Tullverkets och Kustbevakningens befogenheter att ingripa mot rattfylleribrott, liksom enligt de författningar som denna lag hänvisar till. I lagen (2000:1225) om straff för smuggling, kallad smugglingslagen, finns bestämmelser om Tullverkets befogenheter att inleda förundersökning, använda tvångsmedel, väcka åtal m.m. för vissa brott. I flera fall hänvisar bestämmelserna till vad som gäller enligt rättegångsbalken. En tjänsteman vid Tullverket jämställs i vissa hänseenden med en polisman. Tulltjänstemän har därför getts polisiära befogenheter. Tulltjänstemän har i likhet med poliser t.ex. rätt att ta med någon till förhör och att gripa en person som är misstänkt för ett brott som Tullverket är skyldigt att beivra. Tulltjänstemän har också rätt att ta egendom i beslag under vissa förutsättningar liksom att genomföra husrannsakan, kroppsvisitation och kroppsbesiktning. Tullverket har även rätt att använda hemliga tvångsmedel såsom telefonavlyssning och telefonövervakning m.m.

Tullverket får fatta beslut om att inleda förundersökning angående brott mot bl.a. smugglingslagen. Om inte saken är av enkel beskaffenhet, ska ledningen av förundersökningen övertas av åklagare så snart någon skäligen kan misstänkas för brottet. Även i andra situationer ska åklagaren överta ledningen när detta är påkallat av särskilda skäl. När förundersökningen leds av en åklagare får han eller hon anlita biträde av Tullverket. Tullverket har även rätt att inleda en förundersökning enligt 3 § lagen om Tullverkets och Kustbevakningens befogenheter att ingripa mot rattfylleribrott. Fördelningen av mål mellan åklagare och Tullverket ändrades den 1 juli 2013 (jfr Åklagarmyndighetens föreskrifter och allmänna råd om ledning av förundersökning i brottmål som även kan ledas av Tullverket [ÅFS 2013:03]). Ändringen har inneburit att Tullverket leder fler förundersökningar jämfört med tidigare. Förutom förundersökningsledare finns inom Tullverket även särskilda s.k. tullåklagare. En tullåklagare har med stöd av 32 § smugglingslagen rätt att väcka åtal om det handlar om ett brott enligt smugglingslagen eller andra brott som särskilt omnämns där och det är uppenbart att brottets straffvärde medför att påföljden ska stanna vid böter.

5.2. Tullverkets organisation och arbetssätt

Tullverkets verksamhet är organiserad i avdelningar. Myndighetens kärnverksamhet bedrivs i sex kärnprocesser inom avdelningarna Brottsbekämpning och Effektiv handel. Tullverket verkar i hela landet, men har framför allt personal på de tre huvudorterna Stockholm, Göteborg och Malmö. De fyra kompetenscentren inom avdelningen Brottsbekämpning har ett geografiskt ansvar medan kompetenscentren inom avdelningen Effektiv handel arbetar utifrån ett nationellt ansvar för sina sakområden. Båda avdelningarna har var sitt kompetenscenter på de tre huvudorterna.

Sedan den 1 januari 2015 finns ett verksamhetsgemensamt kompetenscenter för analys- och underrättelseverksamhet, med lokala enheter på respektive huvudort. Där ingår även samverkan mot tullbrottslighet (SMT) liksom Tullverkets arbete med säkerhet och skydd.

Tullverket har flera sambandsmän utplacerade på andra myndigheter och i andra länder, Polis och Tull i Norden (PTN), Europol samt inom Nationella operativa avdelningen på Polismyndigheten.

Tullverket har en nationell underrättelse- och kommunikationscentral (TUK) med dygnetruntbemanning. TUK fungerar numera även som Nationell Desk vilket innebär att man tar emot och bearbetar operativ information och underrättelseinformation både internt och externt. TUK ansvarar även för Tullverkets sambandsmän inklusive personal på Europol. TUK har bl.a. till uppgift att sköta larmhantering för viss operativ personal, ge operativ personal stöd i form av registerslagningar och förfrågningar till samverkansmyndigheter, ta emot tips om smuggling från allmänheten och vara nationell kontaktpunkt i nationella och internationella underrättelsefrågor.

För att skapa en mer ändamålsenlig styrning och uppföljning har Tullverket successivt infört ett processinriktat arbetssätt. Tullverkets arbete bedrivs som nämnts ovan i sex kärnprocesser. I flera av kärnprocesserna ingår arbetsmoment som i regel utförs i flera delar av organisationen. Processerna Klarera varor och transportmedel, Genomföra fysisk kontroll och Följa upp operatör och ärende avser att säkerställa uppbörden och kontrollerar om bestämmelser om in- och utförsel av varor följs. Om det finns misstanke om att brott har begåtts, tar processen Hantera brott över. Processen Hantera brott inleder och bedriver förundersökning fram till åtalsprövning. I samverkan med ovan nämnda processer verkar processen Hantera tillstånd, vars syfte är att underlätta den lagliga handeln med tredjeland. Inom Analysera och selektera utförs analys- och underrättelsearbete, som bidrar med information som används för att inrikta arbetet inom framför allt Genomföra fysisk kontroll och Följa upp operatör och ärende men även till Hantera brott och Klarera varor och transportmedel.

5.3. Tullverkets verksamhet

Hänvisningar till S5-3

  • Prop. 2016/17:91: Avsnitt 8.2

5.3.1. Verksamheten under Effektiv handel

En av Tullverkets uppgifter innefattar att fastställa och ta ut tullar samt vissa skatter och avgifter, så att en riktig uppbörd kan säkerställas. Inom

ramen för denna uppgift utförs även kontroller av att bestämmelser om EU-rättsliga in- och utförselrestriktioner följs i det deklarationspliktiga, legala varuflödet. Kontrollerna genomförs dels genom granskning av styrkande handlingar, dels genom varuundersökningar. Inom ramen för denna uppgift arbetar Tullverket även aktivt för att förenkla den legala handeln och därmed minska den administrativa bördan för näringslivet.

Tullverket har även i uppgift att kontrollera att in- och utförselrestriktioner inriktade på hot mot hälsa, miljö och säkerhet efterlevs. Myndigheten utför även kontroller på uppdrag av andra marknadskontrollerande myndigheter.

Denna icke brottsbekämpande verksamhet har benämnts på olika sätt, ibland för fiskal verksamhet, ibland för tullverksamhet och ibland för Effektiv handel. I det följande, om inte skäl finns för något annat, används uttrycket Effektiv handel.

5.3.2. Den brottsbekämpande verksamheten

Tullverket bedriver en brottsbekämpande verksamhet som ska förebygga, upptäcka, förhindra, utreda och beivra tullrelaterad brottslighet. Brottsbekämpningen ska inriktas mot att begränsa den organiserade och storskaliga brottsligheten. Tullverket ska bidra till att minska antalet kriminella nätverk som ägnar sig åt narkotika-, alkohol- eller tobakssmuggling eller ekonomisk brottslighet (se t.ex. Regleringsbrev för budgetåret 2016 avseende Tullverket, dnr Fi2015/05629/S3).

När det föreligger misstanke om brott eller brottslig verksamhet, som Tullverket har i uppdrag att bekämpa, faller den kontrollerande verksamheten inom den brottsbekämpande verksamheten. Vid genomförandet av Tullverkets brottsbekämpande uppdrag har Tullverket motsvarande befogenheter som Polismyndigheten. Om det finns förutsättningar för att inleda förundersökning eller förenklad utredning får tvångsmedel användas i samband med en tullkontroll.

Inom den brottsbekämpande verksamheten bedrivs bl.a. underrättelseverksamhet, bevis- och spårsäkring, brottsutredning och förundersökningsledarskap. Särskilda tullåklagare ansvarar för arbete inom tullåklagarverksamheten och för Tullverkets förundersökningsledarskap i mål av enkel beskaffenhet, handläggning av ärenden om omhändertagande enligt 17–17 d §§ inregränslagen, lagen om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter och lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter samt hantering av beslag och beslagslager. Till uppgiften att beivra brott hör främst tullåklagarens rätt att väcka åtal, utfärda ordningsbot och strafförelägganden i bötesmål.

5.3.3. Gränsdragningen mellan olika verksamhetsområden

Tullkontrollen utgör i grunden verksamhet under Effektiv handel. Tullkontroller kan vara av administrativ karaktär eller utgöra fysiska kontroller. De har sin grund i unionstullkodexen och andra EU-bestämmelser om hälsa, säkerhet och skydd. Tullverkets befogenheter vid dessa

tullkontroller finns i tullagen och inregränslagen, beroende på om fråga är om import och export med tredjeland eller in- och utförsel inom EU. Vissa överträdelser av in- och utförselrestriktioner är kriminaliserade. Om det i kontrollverksamheten uppkommer misstanke om brott eller brottslig verksamhet inom Tullverkets ansvarsområde, har Tullverket befogenheter att utreda dessa brott. I den mån det vid ett kontrolltillfälle varken föreligger misstanke om brott eller brottslig verksamhet faller tullkontrollen inom verksamheten under Effektiv handel. Det avgörande för gränsdragningen mellan analys- respektive underrättelseverksamheten inom Tullverket är om det föreligger misstanke om brottslig verksamhet eller inte. Gränsdragningen styrs varken av organisation eller av processflöden.

5.4. Internationellt tullsamarbete

Inledning

Tullverket deltar i ett omfattande internationellt samarbete. Förutom att Tullverket bistår Regeringskansliet i arbetet inom ramen för EU, deltar Tullverket även i World Customs Organization (WCO), Asia Europe Meeting (ASEM) och Östersjösamarbetet liksom i olika internationella program. Vidare har Sverige ingått ett flertal bi- och multilaterala avtal avseende ömsesidigt bistånd inom tullområdet, vilka har stor betydelse för det internationella tullsamarbetet.

Samarbetet avser i många fall utbyte av information med andra medlemsstater i EU, med tredjeland eller med olika internationella organisationer. Utbytet styrs av olika rättsakter, bl.a. konventioner och samarbetsavtal varav några redogörs för nedan.

En stor del av det gränsöverskridande samarbetet äger rum som ett led i förebyggande, utredning eller lagföring av svensk brottslighet, t.ex. när en svensk myndighet begär rättslig hjälp i en annan stat. Behandlingen av personuppgifter och utlämnandet av information sker då med stöd av de primära ändamålen att förebygga, förhindra eller upptäcka brottslig verksamhet eller att utreda eller beivra brott i Sverige. I andra fall sker behandlingen av personuppgifter för att fullgöra de förpliktelser som följer av de internationella åtagandena.

World Customs Organization

Tullverket deltar i samarbetet i Världstullorganisationen (World Customs Organization, WCO), där totalt 179 länder är medlemmar. WCO:s syfte är att förbättra, förenkla och effektivisera arbetet med tullprocedurer inom och mellan medlemsländer.

WCO:s verksamhet bygger på ett antal internationella konventioner, bl.a. WCO:s konvention av den 9 juni 1977 om ömsesidigt administrativt bistånd för att förhindra, utreda och beivra tullbrott. Det är en multilateral konvention som är relativt allmänt hållen och som kan biträdas av medlemmarna i organisationen om de så önskar. Sverige har enbart accepterat delar av konventionen, bl.a. de delar som rör spontant informationsutbyte avseende misstankar om allvarliga tullbrott, central registrering av uppgifter om smuggling och ömsesidigt bistånd i kampen

mot narkotika, se propositionen Internationellt tullsamarbete (prop. 1999/2000:122 s. 16).

WCO-konventionen (även kallad Nairobikonventionen, 1977) har införlivats i svensk rätt genom förordningen (1983:682) om tillämpning av en internationell konvention om ömsesidigt administrativt bistånd för att förhindra, utreda och beivra tullbrott, m.m.

Neapel II-konventionen

Konventionen av den 18 december 1997 om ömsesidigt bistånd och samarbete mellan tullförvaltningar (Neapel II-konventionen) medger informationsutbyte framför allt inom ramen för en brottsutredning. Konventionen reglerar även gränsöverskridande samarbete på vissa typer av brott som har anknytning till Tullverkets verksamhetsområde. Det uppgiftsutbyte som sker med stöd av konventionen kan omfattas både av lagen (2000:1219) om internationellt tullsamarbete och av lagen (2000:343) om internationellt polisiärt samarbete.

Tullinformationssystemet (TIS)

Den rättsliga grunden för Europeiska unionens tullinformationssystem består av dels rådets förordning (EG) nr 515/97 om ömsesidigt bistånd mellan medlemsstaternas administrativa myndigheter och om samarbete mellan dessa och kommissionen för att säkerställa en korrekt tillämpning av tull- och jordbrukslagstiftningen, dels rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål, som den 27 maj 2011 har ersatt den tidigare TIS-konventionen. Förordningen (1998:64) om tillämpning av Europeiska unionens tullinformationssystem, som innehåller kompletterande bestämmelser till rådsförordningen avseende svenska myndigheters tillämpning och användning av TIS, har till följd av bl.a. ändringar i förordning 515/97 ersatts av förordningen (2016:904) om tullinformationssystemet, vilken trädde i kraft den 1 december 2016.

Syftet med TIS är att underlätta informationsutbytet mellan medlemsstaterna för att effektivisera bekämpningen av brott inom tullområdet. TIS består av två skilda databaser – TIS-EU för verksamheten under Effektiv handel och TIS-MS för den brottsbekämpande verksamheten.

TIS-EU ska hjälpa tullmyndigheterna och andra behöriga myndigheter att utbyta information för att bekämpa brott mot EU:s gemensamma tull- och jordbrukslagstiftning medan TIS-MS ska underlätta informationsutbyte för att bekämpa brott mot medlemsstaternas nationella tullagstiftning.

Tullinformationssystemet innehåller också en särskild databas kallad FIDE med information om pågående och avslutade tullutredningar. Uppgifter ur TIS-EU får användas av Ekobrottsmyndigheten, Kustbevakningen, Läkemedelsverket, Polismyndigheten, Statens jordbruksverk och Tullverket inom ramen för respektive myndighets befogenheter. Uppgifter ur TIS-MS får användas av Ekobrottsmyndigheten, Kustbevakningen, Läkemedelsverket, Polismyndigheten, Skatteverket och Tullverket inom ramen för respektive myndighets befogenheter. Dessa myndigheter får ha direktåtkomst till uppgifter i samtliga kategorier i TIS. Tullverket är

personuppgiftsansvarigt för TIS i Sverige och den enda svenska myndighet som har rätt att föra in uppgifter i systemet.

Schengensamarbetet

Schengensamarbetet, som Sverige tillträdde 1996, omfattar förutom avvecklingen av gränskontroller också ett förstärkt polisiärt och straffrättsligt samarbete. Det innefattar såväl utbyte av information som operativt samarbete. Bestämmelser finns framför allt i lagen om internationellt polisiärt samarbete, som bl.a. innefattar en specialreglering av vissa situationer i Schengenavtalet. I 2 § i lagen definieras svenska tjänstemän som svenska polismän, tulltjänstemän eller kustbevakningstjänstemän när de har polisiära befogenheter. Tullverket tillämpar lagen för t.ex. gränsöverskridande övervakning och förföljande enligt artiklarna 40–41 i Schengenkonventionen. Se mer om Schengen i avsnitt 4.4.2 och 4.6.3.

Inom ramen för samarbetet finns även ett gemensamt informationssystem (SIS). Behandlingen av uppgifter i SIS regleras särskilt i lagen (2000:344) om Schengens informationssystem (SIS) och förordningen (2000:836) i samma ämne. Enligt 9 § lagen har Tullverket rätt att få uppgifter ur systemet i sin verksamhet för att förebygga och utreda brott.

Europolsamarbetet

Den rättsliga grunden för Europolsamarbetet finns i rådsbeslutet 2009/371/RIF om inrättande av Europeiska polisbyrån. Europol biträder nationella myndigheter med bland annat informationsutbyte, underrättelseanalys, samordning och utbildning. Förutom Polismyndigheten är Tullverket en behörig myndighet.

Uppgiftsinhämtning från Europol sker både inom ramen för pågående brottsutredningar och underrättelseverksamhet för att förhindra och upptäcka brottslig verksamhet.

Tullverket har en sambandsman placerad på den svenska sambandsenheten på Europol. Inom ramen för samarbetet finns även ett gemensamt informationssystem (SIENA).

Se också avsnitt 4.5.4.

Andra initiativ inom Europeiska unionen

I lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar och förordningen (2003:1176) i samma ämne genomförs rådets rambeslut 2002/465/RIF om gemensamma utredningsgrupper, utredningsgrupper som inrättas med stöd av 2000 års EU-konvention om internationell rättslig hjälp liksom avtalet med Island och Norge. I lagen regleras även grundläggande förfaranderegler om s.k. kontrollerade leveranser.

Rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna har genomförts i lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder med tillhörande förordning (2003:1179). Enligt 4 kap. 5 och 7 §§ nämnda lag har tulltjänstemän vissa befogenheter att använda tvångsmedel.

Rådets rambeslut 2003/577/RIF av den 22 juli 2003 om verkställighet i Europeiska unionen av beslut om frysning av egendom eller bevismaterial har genomförts i lagen (2005:500) om erkännande och verkställighet inom Europeiska unionen av frysningsbeslut. Enligt 3 kap. 12 § kan åklagare begära biträde av bl.a. Tullverket vid verkställigheten av beslut enligt lagen.

Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater, även kallat ”det svenska initiativet”, bygger på decentralisering och gör det möjligt för Polismyndigheten, Tullverket eller andra myndigheter med befogenheter när det gäller att utreda brott (med undantag för underrättelsetjänster, som vanligtvis hanterar underrättelser med koppling till den nationella säkerheten) att utbyta information och underrättelser med sina motsvarigheter i Europeiska unionen. I förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen finns tillämpningsbestämmelser till rådsbeslutet. Förordningen möjliggör informationsutbyte inom underrättelseverksamheten mellan två medlemsstater via samtliga befintliga kommunikationsvägar.

Nordiskt samarbete

Polis och Tull i Norden (PTN) är ett samarbete mellan Tullverket och polismyndigheterna i de nordiska länderna för att effektivisera bekämpningen av grov brottslighet. Tillsammans med Danmark, Finland, Norge och Island finns gemensamma tull- och polissambandsmän i ett 20-tal länder.

Hänvisningar till S5-4

6. Informationshantering och informationsutbyte i Tullverkets brottsbekämpande verksamhet

6.1. Informationshantering i Tullverkets brottsbekämpande verksamhet

6.1.1. Tullbrottsdatabasen

Som har redovisats i avsnitt 4.3 regleras Tullverkets behandling av personuppgifter i den brottsbekämpande verksamheten i dag i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, kallad tullbrottsdatalagen, och förordningen (2005:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, kallad tullbrottsdataförordningen. Även flera bestämmelser i personuppgiftslagen (1998:204) är tillämpliga.

Enligt 3 § tullbrottsdatalagen ska det finnas en samling uppgifter och handlingar som med hjälp av automatiserad behandling används gemensamt i verksamheten, den s.k. tullbrottsdatabasen. Regeringen meddelar

närmare föreskrifter om de register som ingår i tullbrottsdatabasen. Genom 9 § tullbrottsdataförordningen har regeringen föreskrivit att Tullverket inom ramen för tullbrottsdatabasen får inrätta ett underrättelseregister för behandling av uppgifter i verkets arbete med att förhindra och upptäcka brottslig verksamhet enligt 7 § 1 tullbrottsdatalagen. I 5 § tullbrottsdataförordningen anges att Tullverket får meddela närmare föreskrifter om vilka uppgifter som får behandlas i tullbrottsdatabasen.

Begreppet databas har en rättslig innebörd utan direkt teknisk anknytning och definieras som en samling uppgifter som med hjälp av automatiserad behandling används gemensamt inom en verksamhet och utesluter därmed manuella register, se propositionen Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 60 f.). I detta avseende motsvarar den nuvarande tullbrottsdatalagen de modernare registerlagar som antagits på senare tid, även om de saknar benämningen databas.

Hänvisningar till S6-1-1

6.1.2. Informationssystem som Tullverket använder

Tullverket bedriver för närvarande ett omfattande förändringsarbete av it-systemen med avsikt att bygga ett för Tullverket mer ändamålsenligt it-stöd. Arbetet syftar till att skapa förutsättningar för standardisering och automatisering i den operativa verksamheten. Flertalet av de nu befintliga uppgiftssamlingarna kommer därför att ersättas av nya it-stöd. Nedan beskrivs några av de befintliga it-stöden, varav en del framöver kommer att ersättas av andra.

Tullverkets underrättelseregister regleras som nämnts ovan i 9 § tullbrottsdataförordningen. Tullverkets underrättelseregister i den brottsbekämpande verksamheten (DART) utgör även diarium enligt 5 kap. offentlighets- och sekretesslagen (2009:400), för underrättelseverksamheten. Brottsutredningsärenden diarieförs i Tullmålsjournalen, se nedan.

I DART behandlas uppgifter bl.a. om händelser, personer, organisationer och transportmedel som kan sättas i samband med allvarlig brottslig verksamhet som det åligger Tullverket att ingripa mot. Vidare ingår uppgifter om transportmedel eller varor som kan antas ha samband med allvarlig brottslig verksamhet samt uppgifter om hjälpmedel, även om uppgifterna kan hänföras till en person som det inte finns någon misstanke mot.

Tullverket har också ett systemstöd för brottsrapportering och utredning (BOW). I BOW behandlas uppgifter om misstänkta personer, genomförda beslag och brottsmisstanke. Även tullåklagarbeslut för utredningsärenden finns i BOW.

Tullmålsjournalen (TMJ) är ett diarium för den brottsutredande verksamheten och ett register över gjorda beslag. Registret innehåller uppgifter om misstänkta, aktuellt brott och platsen för detta, varor, beslag samt uppgifter om resultatet av den genomförda förundersökningen (dom eller beslut). När en uppgift läggs in i BOW skapas automatiskt ett nytt ärende i TMJ, som används för registrering, uppföljning, komplettering och statuskontroll av beslagsregistret samt för viss utvinning av statistik.

Det finns även ett verktyg (TUDOR) för att hantera uppgifter som efter komplettering ska föras över från TMJ till andra myndigheters register, såsom Polismyndighetens misstankeregister och även för att föra över information till Åklagarmyndighetens systemstöd CåBra. Misstankestatistiken nyttjas internt och levereras även till Brottsförebyggande rådet (BRÅ).

Systemet EnVis används av Tullverket för registrering och utfärdande av strafförelägganden och förs med stöd av förordningen (1997:902) om register över strafförelägganden.

Det finns också system som Tullverket använder som inte tillhör Tullverket, såsom EU:s tullinformationssystem (TIS) vilket beskrivs närmare i avsnitt 5.4. Det är bara Tullverket som i Sverige har rätt att föra in uppgifter i systemet. Tullverket är personuppgiftsansvarigt för TIS i Sverige samt för de föreskrivna säkerhetsåtgärderna.

SIENA är Europols informationssystem. Tullverket lämnar och hämtar uppgifter inom ramen för Europols verksamhetsområde, dvs. i både underrättelseverksamhet och brottsutredningar. Se mer i avsnitt 5.4.

TDS är Tullverkets datasystem för klarering av import- och exportärenden och för att debitera tull och skatter och som alltså inte gäller den brottsbekämpande verksamheten. Systemet kommer att ersättas av TESS, som står för Tullverkets elektroniska systemstöd (i varuflödet). Systemet förs med stöd av lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet. I 4 a § förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet finns det en bestämmelse som medger att uppgifter på begäran lämnas ut till de enheter inom Tullverket som arbetar med brottsbekämpande verksamhet.

Hänvisningar till S6-1-2

6.2. Informationsutbyte med andra myndigheter och organisationer

Polismyndigheten

Tullverket har via polisens multifråga (PMF) direktåtkomst till misstankeregistret, belastningsregistret, allmänna spaningsregistret, vägtrafikregistret, efterlysta personer inom EU (NEPU) och signalement (SIGN). Tullverket har även direktåtkomst till Schengens informationssystem (SIS), som också förs av Polismyndigheten. Vidare har Tullverket rätt att på begäran få ut uppgifter från passregistret om det behövs i verksamhet för att förebygga, upptäcka och utreda brott.

I vägtrafikregistret, som förs av Transportstyrelsen, finns uppgifter om i Sverige registrerade fordon, körkort och flygcertifikat samt utfärdade körkortstillstånd och parkeringsanmärkningar. Vid sökning i registret sker samtidig sökning i EF-registret över efterlysta fordon som förs av Transportstyrelsen på uppdrag av Polismyndigheten. EF-registret innehåller uppgifter om efterlysta fordon, registreringsskyltar och skyltar för beskickningsfordon. Ett fordon kan även spärras i registret om det kan sättas i samband med brottslig verksamhet. Tullverket har direktåtkomst till EF-registret.

Tullverket har vidare en sambandsman placerad vid Polismyndigheten och det sker ett omfattande informationsutbyte mellan myndigheterna.

Kustbevakningen

Tullverket har rätt till direktåtkomst till vissa uppgifter i Kustbevakningens informations- och beslutsstödsystem (KIBS). KIBS är ett system hos Kustbevakningen för planering, genomförande och uppföljning av den operativa verksamheten. I KIBS läggs patrullplaneringar in varefter enheterna kompletterar med information om vad som blivit utfört. Där förs även in de observationer och kontroller som genomförts under patrullen liksom dagböcker från bl.a. vakthavande befäl. I KIBS finns också ett fartygsregister som gör det möjligt att se om ett fartyg blivit utsatt för några kontroller eller andra åtgärder och om/när det besökt svensk hamn, skiftat besättning, lämnat förhandsanmälan osv. Inom räddningstjänstområdet dokumenteras alla operationer i KIBS, dvs. planering, genomförande och uppföljning. Tullverket utbyter även information med Kustbevakningen inom flera olika samverkansprojekt.

Åklagarmyndigheten

När Tullverket utreder brott ansvarar verket för all dokumentation från förundersökningen. Beroende på vilket brott som utreds är Tullverket eller åklagare förundersökningsledare. I de förundersökningar som leds av en åklagare sker ett löpande informationsutbyte mellan åklagaren och de tjänstemän vid Tullverket som genomför förundersökningen.

Vissa brottsutredningar kräver, förutom ett nationellt informationsutbyte med polis och åklagare, även ett internationellt informationsutbyte vilket bl.a. sker i gemensamma utredningsgrupper.

Tullverket är enligt 9 § strafföreläggandekungörelsen (1970:60) skyldigt att lämna uppgifter om utfärdade strafförelägganden till Åklagarmyndigheten. Tullverket är beroende av återrapportering från Åklagarmyndigheten eller domstol avseende beslut eller dom rörande de brottsutredningar och brottmål som initierats efter rapport från Tullverket. Detta behövs för att Tullverket ska kunna fullgöra återrapporteringskrav från regeringen, uppfylla interna behov av uppföljning och kvalitetssäkring samt genomföra effektiviseringar avseende informationsutbyte inom myndigheten samt mellan myndigheterna.

Enligt åklagardatalagen (2015:433) får bl.a. Tullverket medges direktåtkomst till uppgifter som är gemensamt tillgängliga i åklagarväsendets operativa verksamhet.

Domstolarna

För att kunna fullgöra myndighetens återrapporteringskrav gentemot regeringen och för att Tullverket ska kunna skicka respektive ta emot information på ett effektivt sätt har Tullverket behov av information från domstolarna. I första hand gäller det återrapportering av domstolsavgöranden i mål som avser brott där Tullverket lett eller biträtt förundersökningen. Återrapportering krävs också för att Tullverket skyndsamt ska kunna fullgöra sin skyldighet att lämna ut hävda beslag eller förverka beslag.

Myndigheter i samverkan för digitalisering av rättsväsendet

Sedan flera år bedriver Tullverket tillsammans med flera myndigheter inom rättsväsendet (Brottsförebyggande rådet, Brottsoffermyndigheten, Domstolsverket, Ekobrottsmyndigheten, Kriminalvården, Kustbevakningen, Polismyndigheten, Rättsmedicinalverket, Skatteverket och Åklagarmyndigheten) ett långsiktigt arbete med att utveckla ett elektroniskt informationsutbyte i brottmålshanteringen. Arbetet innebär främst att skapa ett elektroniskt informationsflöde som möjliggör att viss information kan återanvändas av andra myndigheter i rättskedjan. Härigenom blir det möjligt att lättare följa ett ärende från anmälan till verkställd dom.

Myndigheter i samverkan mot organiserad brottslighet m.m.

Inom ramen för den myndighetsgemensamma satsningen mot organiserad brottslighet samverkar Tullverket med Ekobrottsmyndigheten, Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, Polismyndigheten, Skatteverket, Säkerhetspolisen, Åklagarmyndigheten, Försäkringskassan, Migrationsverket och Arbetsförmedlingen.

Samverkan sker på nationell nivå i Nationella underrättelsecentret (NUC), vilket är ett samverkanscenter. Inom NUC sker ett utbyte av erfarenheter om metodfrågor och underrättelseinformation mellan de myndigheter som ingår i satsningen. Det finns även regionala underrättelsecentrum (RUC), för närvarande på åtta platser i landet. Tullverket deltar med en underrättelsehandläggare eller motsvarande vid alla RUC. Inom RUC delas operativ underrättelseinformation. Från RUC får Tullverket tillbaka underrättelseinformation om kriminella nätverk. Arbetet inom RUC är ärendebaserat och underrättelseverksamheten syftar till att ta fram och bereda ärendet så att det kan leda till förundersökningar eller vidtagande av operativa insatser.

Tullverket har även nationell och regional samverkan med andra brottsbekämpande myndigheter som ligger utanför satsningen.

Lagändringar på området har trätt i kraft den 15 augusti 2016. En lag om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet (2016:774) och sammanhörande förordning har införts, se mer i avsnitt 10.3.

Myndigheter i samverkan mot terrorism

Samverkansrådet mot terrorism är ett samarbete mellan fjorton svenska myndigheter, som syftar till att stärka Sveriges förmåga att motverka terrorism. Där deltar Polismyndigheten, Säkerhetspolisen, Försvarsmakten, Försvarets radioanstalt, Totalförsvarets forskningsinstitut, Myndigheten för samhällsskydd och beredskap (MSB), Kustbevakningen, Tullverket, Ekobrottsmyndigheten, Migrationsverket, Strålsäkerhetsmyndigheten, Kriminalvården, Åklagarmyndigheten och Transportstyrelsen.

Samverkansrådet har utvecklats till ett effektivt forum för myndighetssamverkan för att förbättra förmågan att förhindra terroristattentat. Samverkansrådet utgör dessutom ett nav i samverkan inom områdena förebygga terrorism och förbereda oss för det fall ett attentat inträffar. Samverkansrådet har genomfört gemensamma övningar och utbildningar

samt varit ett viktigt forum för informationsutbyte mellan myndigheterna.

Som har redogjorts för i avsnitt 5.4 har Tullverket även ett omfattande internationellt informationsutbyte.

Hänvisningar till S6-2

6.3. Begreppsbildningen vid elektroniskt utlämnande

Hänvisningar till S6-3

  • Prop. 2016/17:91: Avsnitt 13.1

6.3.1. Olika former av elektroniskt utlämnande av uppgifter

I många författningar om behandling av personuppgifter regleras frågor om sättet för utlämnande av personuppgifter i elektronisk form genom särskilda bestämmelser. Enligt gängse begreppsbildning kan personuppgifter lämnas ut i elektronisk form antingen på s.k. medium för automatiserad behandling eller genom direktåtkomst.

Utlämnande på medium för automatiserad behandling innebär att den utlämnande myndigheten i varje enskilt fall tar ställning till om uppgifter kan lämnas ut och vilka uppgifter som ska lämnas. En eventuell sekretessprövning kan därmed ske i samband med utlämnandet i det enskilda fallet. Utlämnande av uppgifter kan även ske genom direktåtkomst. Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av mottagaren. Sekretessprövningen hos den utlämnande myndigheten måste därför ske redan då uppgifterna görs tillgängliga för direktåtkomst, oavsett om någon mottagare vid den tidpunkten tar del av dem.

Av dessa olika varianter av elektroniskt utlämnande är direktåtkomst den mest integritetskänsliga. Denna fråga kommer därför att beröras mer ingående i det följande.

6.3.2. Begreppet direktåtkomst

Det finns ingen legaldefinition av begreppet direktåtkomst. Den grundläggande innebörden av begreppet är att någon har direkt tillgång till någon annans uppgiftssamling och på egen hand kan söka efter information, men utan att kunna påverka innehållet i uppgiftssamlingen.

Högsta förvaltningsdomstolen har i ett avgörande (HFD 2015 ref. 61) som gällde socialnämndernas åtkomst till uppgifter i socialförsäkringsdatabasen, ansett att gränsdragningen mellan vad som är direktåtkomst i socialförsäkringsbalkens mening och annat utlämnande på medium för automatiserad behandling beror på om den aktuella upptagningen kan anses förvarad hos den mottagande myndigheten enligt 2 kap. 3 § tryckfrihetsförordningen, dvs. om den är tillgänglig för myndigheter med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. I det aktuella fallet förutsatte ett utlämnande att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut. Försäkringskassan fick därigenom anses förfoga över frågan om och i så fall vilka uppgifter som skulle lämnas ut. Högsta förvaltningsdomstolen ansåg därför att socialnämnderna inte kunde anses ha någon sådan

teknisk tillgång till upptagningar som avses i 2 kap. 3 § tryckfrihetsförordningen. Detta innebar enligt Högsta förvaltningsdomstolen att förfarandet inte var att betrakta som direktåtkomst enligt socialförsäkringsbalken.

I begreppet direktåtkomst ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte beslut om utlämnande av de uppgifter som den som har direktåtkomst tar del av i varje enskilt fall. I stället måste som angetts ovan en förhandsprövning göras av förutsättningarna för utlämnande. En sådan prövning innefattar alla de uppgifter som mottagaren har möjlighet att ta del av genom sin direktåtkomst. Den faktiska begränsningen av direktåtkomsten görs sedan med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet, exempelvis genom olika behörighetsnivåer. Det är den personuppgiftsansvariga myndigheten som ska se till att åtkomsten rent faktiskt begränsas på det sätt som föreskrivs.

Vid författningsreglering av direktåtkomst till uppgifter anges ofta att någon får ha direktåtkomst. Innebörden av detta är inte att den eller de angivna myndigheterna har en ovillkorlig rätt att få ut uppgifterna, utan att den myndighet som innehar informationen får medge sådan åtkomst om den vill det och inte annan lagstiftning, t.ex. om sekretess, hindrar det, se närmare i avsnitt 15.5.3. Den utlämnande myndigheten har ett principiellt ansvar att förvissa sig om att den myndighet som beviljas direktåtkomst vidtar de åtgärder som bedöms vara nödvändiga från säkerhetssynpunkt.

Hänvisningar till S6-3-2

  • Prop. 2016/17:91: Avsnitt 13.1

7. En ny lag om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

7.1. Det behövs ny lagstiftning

Regeringens förslag: En ny lag ska införas som ersätter lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans har några invändningar mot förslaget. Sveriges advokatsamfund anser dock att det borde tas ett samlat grepp avseende myndigheters hantering av personuppgifter, t.ex. genom en gemensam lag. Samfundet hänvisar härvid till de synpunkter av samma slag som det framförde vid remissbehandlingen av polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145).

Skälen för regeringens förslag

Allmänt om reformbehovet

Enligt Tullverkets regleringsbrev från regeringen ska brottsbekämpningen inriktas mot att begränsa den organiserade och storskaliga brottsligheten. Tullverket ska bidra till att minska antalet kriminella nätverk som ägnar sig åt narkotika-, alkohol- eller tobakssmuggling eller ekonomisk brottslighet (se t.ex. Regleringsbrev för budgetåret 2016 avseende Tullverket, dnr Fi2015/05629/S3).

Informationshantering utgör en central del i Tullverkets brottsbekämpande verksamhet. En väl utnyttjad informationsteknik är av stor betydelse och en förutsättning för myndighetens möjligheter att bedriva sin brottsbekämpande verksamhet på ett effektivt sätt. Samtidigt måste informationshanteringen ske med respekt för enskildas personliga integritet.

Ett effektivt brottsbekämpande arbete förutsätter att de brottsbekämpande myndigheterna har goda möjligheter att samla in, bearbeta och utbyta information av olika slag. Tullverket behöver liksom andra myndigheter medverka i den samverkan mellan brottsbekämpande myndigheter som grundar sig på uppdrag från regeringen.

Den ökade samverkan mellan framför allt brottsbekämpande myndigheter underlättas kraftigt av att dessa myndigheters registerförfattningar stämmer överens när det gäller hur personuppgifter får behandlas och lämnas ut. Den allmänna utgångspunkten bör vara att hanteringen av personuppgifter inom det brottsbekämpande området i Sverige är enhetlig oavsett på vilken myndighet detta arbete ankommer. På det sättet blir det också enklare för myndigheterna att samarbeta i fråga om informationsteknik och på ett kostnadseffektivt sätt tillgodogöra sig de fördelar som tekniken kan ge.

I dag finns det en diskrepans mellan reglerna i den nuvarande lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, kallad tullbrottsdatalagen, och de modernare reglerna i polisdatalagen och kustbevakningsdatalagen, som försvårar för Tullverket att samverka fullt ut i sin brottsbekämpande verksamhet. Trenden att även allt fler icke brottsbekämpande myndigheter deltar i den brottsbekämpande samverkan ställer också nya krav på den lagstiftning som styr behandlingen av personuppgifter i Tullverkets brottsbekämpande verksamhet.

För att myndighetsöverskridande samverkan mot brott ska fungera och vara effektiv krävs därför enligt regeringens mening att den nuvarande tullbrottsdatalagen anpassas till den utveckling som har skett och den lagstiftning på motsvarande område som nu finns för andra myndigheter med brottsbekämpande verksamhet.

Den nuvarande tullbrottsdatalagen har även medfört en del tillämpningsproblem och är generellt i behov av kompletteringar och moderniseringar för att skapa förutsättningar för en effektiv brottsbekämpning. Det föreligger t.ex. skillnader i begreppsanvändning, såsom att begreppet databas som återfinns i tullbrottsdatalagen i de modernare registerförfattningarna har ersatts av uttrycket ”gemensamt tillgängliga uppgifter” (se avsnitt 14.1). Vidare gäller t.ex. inte den s.k. finalitetsprincipen som regleras i 9 d § personuppgiftslagen (1998:204) vid tillämpning av

tullbrottsdatalagen, i motsats till de flesta andra registerförfattningar. Tullbrottsdatalagen innehåller också detaljerade bestämmelser om den interna hanteringen av uppgifter som inte har någon motsvarighet i t.ex. polisdatalagen eller kustbevakningsdatalagen, och som regeringen anser behöver ses över.

Regeringen har sedan tidigare ansett det angeläget att Tullverket har samma möjligheter som andra brottsbekämpande myndigheter att behandla personuppgifter, se t.ex. propositionen Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete (prop. 2012/13:73 s. 63).

I detta sammanhang finns också anledning att nämna arbetet med att digitalt sammanlänka rättskedjan (RIF-arbetet). Rättsväsendets myndigheter bedriver på uppdrag från regeringen ett omfattande arbete för att utveckla brottmålshanteringen, framför allt genom att skapa möjligheter att utbyta information elektroniskt. Involverade myndigheter är Polismyndigheten, Åklagarmyndigheten, Domstolsverket, Kriminalvården, Ekobrottsmyndigheten, Skatteverket, Brottsförebyggande rådet, Tullverket, Kustbevakningen, Rättsmedicinalverket och Brottsoffermyndigheten. Arbetet syftar till att skapa ett elektroniskt informationsflöde genom hela rättskedjan. Den pågående utvecklingen skapar alltså goda möjligheter att ytterligare effektivisera myndigheternas verksamheter. Även detta arbete främjas av en modernisering av regelverket.

Den moderniserade polisdatalagen har på senare tid fått utgöra modell i fråga om innehåll, systematik och struktur när författningsförslag om behandling av personuppgifter i andra delar av rättsväsendet utarbetats. I avsnitt 7.2 behandlas frågan om polisdatalagen bör utgöra modell även för nu aktuell ny lagstiftning.

Det behövs en lag

Personuppgiftslagen gäller generellt för all behandling av personuppgifter, såvida det inte finns avvikande regler i lag eller förordning. I lagstiftningsärendet som föregick personuppgiftslagen uttalade regeringen att lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar, se propositionen Personuppgiftslag (prop. 1997/98:44 s. 40 f.). Sådan författningsreglering, främst i form av s.k. registerförfattningar, har skett utifrån det principiella ställningstagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör regleras i lag.

Enligt 2 kap. 6 § andra stycket regeringsformen ska var och en gentemot det allmänna vara skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet mot intrång får begränsas i lag och bara i den ordning som föreskrivs i 2 kap. regeringsformen. Bestämmelsen trädde i kraft den 1 januari 2011. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har, se propositionen En reformerad grundlag (prop. 2009/10:80 s. 250). Som exempel på åtgärder som kan anses innebära kartläggning anges i propositionen som ligger till grund för bestämmelsen bl.a. registrering i polisens register (s. 180). Vid bedömningen av vad som kan anses utgöra

ett betydande intrång ska vägas in uppgifternas karaktär och omfattning samt ändamålet med behandlingen och omfattningen av utlämnandet av uppgifter till andra (s. 184).

Regeringen bedömer att en stor del av den behandling av personuppgifter som måste ske i Tullverkets brottsbekämpande verksamhet kan vara av sådan karaktär att den faller under det förbud mot integritetsintrång som följer av 2 kap. 6 § andra stycket regeringsformen. Det krävs enligt 2 kap.2022 §§regeringsformen reglering i lag för att begränsa skyddet mot integritetsintrång och tillåta den behandling av personuppgifter som måste ske i Tullverkets brottsbekämpande verksamhet. Därför föreslår regeringen att den huvudsakliga behandlingen av personuppgifter i Tullverkets brottsbekämpande verksamhet, liksom i dag, regleras i lag.

Enligt 2 kap. 21 § regeringsformen får sådana begränsningar i lag göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Det är därmed av stor vikt att de förslag som läggs fram i detta avseende uppfyller de nämnda kraven, vilket regeringen bedömer att de gör. I följande avsnitt och vid de enskilda förslagen redovisas närmare de bedömningar av bl.a. integritetsaspekter och proportionalitet som har gjorts.

Sveriges advokatsamfund anser att det borde tas ett samlat grepp avseende myndigheters hantering av personuppgifter, t.ex. genom en gemensam lag. Regeringen har inte för avsikt att i detta lagstiftningsärende föreslå något sådant. Frågor av detta slag behandlas i betänkandet

Myndighetsdatalag (SOU 2015:39). I betänkandet föreslås en myndighetsdatalag som kan gälla generellt för alla statliga och kommunala myndigheters personuppgiftsbehandling, dock inte brottsbekämpande verksamhet. Betänkandet har remitterats och bereds för närvarande i Regeringskansliet.

Förslag

Regeringen bedömer således sammanfattningsvis att det finns behov av ändrade regler på området för behandlingen av personuppgifter i Tullverkets brottsbekämpande verksamhet och föreslår att den nuvarande tullbrottsdatalagen ska ersättas av en ny lag.

Hänvisningar till S7-1

  • Prop. 2016/17:91: Avsnitt 7.2

7.2. Allmänna utgångspunkter

Regeringens bedömning: Den nya lagen bör i möjligaste mån ha samma sakliga innehåll och systematik som polisdatalagen och kustbevakningsdatalagen, såvida inte särskilda skäl talar för annat.

Promemorians bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Datainspektionen anger att promemorians förslag till ny tullbrottsdatalag i allt väsentligt har samma sakliga innehåll och systematik som polisdatalagen och kustbevakningsdatalagen. Datainspektionen anser att det naturligtvis finns vinster med en så likartad

reglering som möjligt, men att promemorian i många fall tycks utgå från att Tullverkets behov att behandla personuppgifter i den brottsbekämpande verksamheten per automatik är desamma som för exempelvis polisen. Behovet av personuppgiftsbehandling anses i promemorian ofta, utan någon närmare redovisad analys, väga tyngre än enskildas rätt till integritetsskydd. Mot den bakgrunden och med hänsyn till det integritetsskydd som var och en är tillförsäkrad gentemot det allmänna i 2 kap. 6 § andra stycket regeringsformen bör det i det fortsatta lagstiftningsärendet tydligare redogöras för hur de olika författningsförslagen kan komma att påverka enskildas personliga integritet och hur dess effekter ska vägas mot Tullverkets behov av att behandla personuppgifter i den brottsbekämpande verksamheten.

Bl.a. Kammarrätten i Sundsvall, Ekobrottsmyndigheten, Rikspolisstyrelsen, Migrationsverket och Sveriges advokatsamfund är uttryckligen positiva till bedömningen och övriga remissinstanser har inga invändningar mot bedömningen.

Skälen för regeringens bedömning: En utgångspunkt vid utformningen av förslag till en ny lag för behandling av personuppgifter i

Tullverkets brottsbekämpande verksamhet bör enligt regeringens mening vara att skapa en så flexibel och teknikneutral lagstiftning som möjligt.

För att åstadkomma detta bör lagen innehålla ramarna och de grundläggande principerna för den automatiserade behandlingen av personuppgifter som förekommer i Tullverkets brottsbekämpande verksamhet. Med en sådan lagstiftning skapas möjligheter bl.a. för en utvecklad och fortsatt samverkan mellan Tullverket och andra myndigheter samtidigt som den personliga integriteten värnas. Vidare måste det ställas höga krav på kontroll och tillsyn av verksamheten, både internt och externt.

En allmän utgångspunkt för en ny lag bör vidare vara att den motsvarar vad som gäller för Polismyndighetens brottsbekämpande verksamhet, om det är motiverat från effektivitetssynpunkt och godtagbart från integritetsskyddssynpunkt. Med en enhetlig lagstiftning blir integritetsskyddet likartat i brottsbekämpande verksamhet oavsett vilken myndighet som bedriver den. Det gör bl.a. att metoder för att i enlighet med lagen skydda enskildas integritet som utarbetats vid en myndighet med brottsbekämpande verksamhet kan överföras till andra myndigheter med sådan verksamhet. Detta kan också leda till ett i praktiken bättre integritetsskydd än vad som hade varit möjligt med skilda integritetsskyddande regler för olika brottsbekämpande verksamheter.

Regleringen av de brottsbekämpande myndigheternas behandling av personuppgifter bör om möjligt vara enhetlig också för att skapa goda förutsättningar för samarbete och effektivitet i verksamheten. En hög grad av enhetlighet i den brottsbekämpande verksamheten leder också till bättre förutsebarhet för enskilda.

En ny lag bör således i möjligaste mån ha samma sakliga innehåll och systematik som polisdatalagen och även kustbevakningsdatalagen, som uppvisar stora likheter med polisdatalagen, detta såvida inte särskilda skäl talar för annat. Det kan påminnas om att Tullverket liksom Polismyndigheten och Kustbevakningen har polisiära befogenheter och i uppdrag att utreda och beivra brott. Verksamheterna har således stora likheter, även om det naturligtvis också finns stora skillnader. I den mån en annan struktur än den som polisdatalagen och kustbevakningsdata-

lagen har framstår som mer pedagogisk och ändamålsenlig kan det finnas skäl att i den nya lagen göra avvikelser från strukturen i dessa lagar. Det finns också skäl att göra vissa jämförelser med den relativt nyligen införda åklagardatalagen (2015:433).

Datainspektionen anser att det naturligtvis finns vinster med en så likartad reglering som möjligt, men att promemorian i många fall tycks utgå från att Tullverkets behov att behandla personuppgifter i den brottsbekämpande verksamheten per automatik är desamma som för exempelvis polisen. Datainspektionen anser att det med hänsyn till det integritetsskydd som var och en är tillförsäkrad gentemot det allmänna i 2 kap. 6 § andra stycket regeringsformen bör redogöras tydligare för hur de olika författningsförslagen kan komma att påverka enskildas personliga integritet och hur dess effekter ska vägas mot Tullverkets behov av att behandla personuppgifter i den brottsbekämpande verksamheten.

Regeringen vill med anledning av detta framföra följande. Utgångspunkten för utformningen är att regleringen ska likna den som gäller i polisdatalagen. Ovan framgår skälen för detta. Den för Tullverket föreslagna regleringen är dock utformad utifrån Tullverkets behov. Behoven kan i vissa fall vara desamma som för t.ex. Polismyndigheten, varvid den föreslagna regleringen kommer att få samma utseende, och i vissa andra fall kan den avvika, varvid avvikande bestämmelser föreslås. I samband med varje förslag framgår skälen för förslaget. I avsnitt 7.1 ovan redovisas regeringens inställning avseende förenligheten med 2 kap. 6 § regeringsformen.

Hänvisningar till S7-2

  • Prop. 2016/17:91: Avsnitt 16.1, 7.1

7.3. Lagens namn

Regeringens förslag: Lagen ska heta tullbrottsdatalagen.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag: Regeringen föreslår i likhet med vad som föreslås i promemorian att den nya lagen ska benämnas tullbrottsdatalagen. Detta namn motsvarar hur den nuvarande lagen ofta benämns, och knyter även an till benämningen på motsvarande lagstiftning för polisen och Kustbevakningen. Namnet tillgodoser vidare de synpunkter som Lagrådet förde fram i lagstiftningsärendet om den nya polisdatalagen. I lagrådsremissen föreslogs det att den lagen skulle heta lagen om behandling av personuppgifter i polisens brottsbekämpande verksamhet.

Lagrådet ansåg dock att det namnet var för långt och intetsägande och inte klargjorde att lagen handlar om registerfrågor, se propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 519). Lagrådet föredrog i stället namnet polisdatalag (eller polisregisterlag). Regeringen hade inget emot detta utan ansåg att det är praktiskt med ett kort namn som ändå ger rimlig vägledning om vad lagen handlar om (prop. 2009/10:85 s. 66).

Förslaget innebär att den formella benämningen på de två lagar som styr behandlingen av personuppgifter i Tullverkets verksamhet kommer att skilja sig åt. Det kan dock nämnas att den lag som i dag styr verksam-

heten under Effektiv handel brukar benämnas tulldatalagen. Skäl talar därför snarare för att även den lagen bör få en annan benämning i samband med en eventuell översyn av den. Tullbrottsdatalagen är ett ganska kort och klargörande namn som framstår som den lämpligaste benämningen på lagen, varför regeringen föreslår detta namn.

8. Lagens syfte och tillämpningsområde

Hänvisningar till S8

  • Prop. 2016/17:91: Avsnitt 16.4

8.1. Lagens syfte

Regeringens förslag: Syftet med den nya lagen ska vara att ge

Tullverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Svea hovrätt, Kammarrätten i Sundsvall,

Förvaltningsrätten i Göteborg, Justitiekanslern, Domstolsverket, Åklagarmyndigheten, Rikspolisstyrelsen, Brottsförebyggande rådet, Kustbevakningen, Försäkringskassan, Pensionsmyndigheten, Skatteverket, Kronofogdemyndigheten, Lunds universitet, Naturvårdsverket, Sveriges advokatsamfund, Tjänstemännens Centralorganisation TCO och Tull-Kust anger uttryckligen att de är positiva till eller inte har några väsentliga invändningar mot förslagen som presenteras i promemorian. Migrationsverket och Kustbevakningen har inga invändningar mot förslagen.

Datainspektionen efterlyser en djupare analys och redogörelse för de proportionalitetsbedömningar som gjorts mellan myndigheternas behov av att behandla personuppgifter för brottsbekämpande ändamål och enskildas rätt till skydd för intrång i den personliga integriteten. I promemorian framhålls visserligen att intresset av en effektiv brottsbekämpning noga bör vägas mot intresset av skydd för den personliga integriteten och att intrånget i den personliga integriteten måste stå i rimlig proportion till det intresse som ska tillgodoses med behandlingen, men detta kommer enligt inspektionen inte till tydligt uttryck i de redovisade författningsförslagen.

Skälen för regeringens förslag: För att Tullverket ska kunna fullgöra sina uppgifter på ett effektivt sätt måste myndigheten ha lagliga förutsättningar att utnyttja ändamålsenlig informationsteknik som gör det möjligt att samla in och i övrigt behandla stora informationsmängder. Det kan gälla uppgifter om misstänkta och vittnen men även andra personer.

Förutsättningar måste även finnas att delta i det uppgiftsutbyte som sker inom ramen för de uppdrag om myndighetssamverkan som regeringen gett bl.a. Tullverket, liksom att bedriva annan samverkan.

Uppgifterna måste vid behov kunna tillhandahållas ett större antal personer vid myndigheten på automatiserad väg. Dessutom måste i vissa

fall andra myndigheter kunna få tillgång till uppgifter. Uppgifter måste också i vissa fall kunna utbytas med myndigheter i andra länder.

Ett utökat uppgiftsutbyte kan dock innebära en risk för intrång i den personliga integriteten. Sådana intrång måste stå i rimlig proportion till det intresse som ska tillgodoses med behandlingen.

De grundläggande bestämmelserna till skydd för den personliga integriteten finns i regeringsformen. Av förarbetena till 2 kap. 6 § regeringsformen framgår att utgångspunkten för grundlagsregleringen har varit att kränkningen av den personliga integriteten kan sägas utgöra ett intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där intrång bör kunna avvisas, se propositionen En reformerad grundlag (prop. 2009/10:80 s. 175). Regeringen ansåg dock att det inte var nödvändigt att formulera en allmängiltig definition av begreppet för att kunna bedöma vilka intressen det fanns att skydda från omotiverade intrång. Det torde stå klart att vissa faktorer är särskilt viktiga att ta hänsyn till när det gäller att bedöma intrånget i den personliga integriteten vid automatiserad behandling av personuppgifter. Det gäller arten av de personuppgifter som samlas in och registreras, för vilka ändamål detta görs, hur och av vem uppgifterna används, hur sökning får ske, hur länge uppgifterna sparas samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgänglig för bearbetningar och sammanställningar. Stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg och som används vid myndighetsverksamhet medför typiskt sett en risk för att enskilda personer utsätts för intrång i den personliga integriteten.

Rätten till skydd mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen är inte absolut. Rättigheten får begränsas i lag enligt de förutsättningar som framgår av 2 kap.21 och 22 §§regeringsformen. En begränsning av rätten till skydd mot sådana integritetsintrång får ske endast för att tillgodose ett ändamål som är godtagbart i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Av Europadomstolens praxis följer för övrigt att en liknande proportionalitetsprincip också gäller enligt artikel 8 i europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (kallad Europakonventionen), som reglerar rätten till skydd för privat- och familjeliv.

Den närmare utformningen av de nya bestämmelserna måste alltså föregås av en avvägning mellan å ena sidan intresset av en effektiv verksamhet och å andra sidan intresset av skyddet för den personliga integriteten.

Vid den avvägningen finns det anledning att hålla i minnet att de personuppgifter som kan bli aktuella att behandla i Tullverkets brottsbekämpande verksamhet kan vara särskilt integritetskänsliga, dels därför att de kan peka ut personer såsom misstänkta för brott, dels därför att de inte sällan rör enskildas personliga sfär såsom saker de bär med sig. Den enskilde kan uppleva redan det förhållandet att många uppgifter om hans eller hennes privata förhållanden kan komma att sammanställas och göras tillgängliga för dem som arbetar med det aktuella ärendet som ett allvarligt integritetsintrång. Nedan redovisas några utgångspunkter för avvägningen mellan Tullverkets behov av att behandla personuppgifter i

den brottsbekämpande verksamheten och skyddet för den personliga integriteten.

Det är viktigt att den nya lagen tydligt anger för vilka ändamål behandling av personuppgifter får ske. Särskilda bestämmelser som begränsar möjligheterna att behandla s.k. känsliga personuppgifter, dvs. uppgifter som avslöjar t.ex. etniskt ursprung eller politiska åsikter, bör även fortsättningsvis finnas för att upprätthålla skyddet för den personliga integriteten. I lagen bör det vidare införas mer inskränkande bestämmelser för behandling av personuppgifter som görs tillgängliga för en större krets av tjänstemän än när uppgifterna är åtkomliga för enbart ett fåtal personer. För att Tullverket ska kunna bedriva ett effektivt arbete i syfte att förebygga, förhindra och upptäcka brottslig verksamhet förutsätts att Tullverket kan behandla uppgifter om personer som inte är misstänkta för något konkret brott men som ändå misstänks ägna sig åt allvarligare brottslig verksamhet, s.k. traditionell underrättelseverksamhet. Ur ett integritetsskyddsperspektiv bör större restriktivitet gälla för behandling av uppgifter som inte har samband med ett konkret brott. Från integritetsskyddssynpunkt är det vidare viktigt att det inte uppstår oklarheter om huruvida en person som en uppgift rör är misstänkt för brott eller inte. I den nya lagen bör det därför regleras att det ska framgå om personen är misstänkt eller inte. Även tillförlitligheten av behandlade uppgifter bör kunna utläsas, t.ex. om informationen består av kontrollerade fakta eller bara obekräftade påståenden. Regler om sökning, sammanställning och gallring bör också utformas så att skyddet för den personliga integriteten upprätthålls.

Större enhetlighet i regelverket för brottsbekämpande myndigheter leder vidare till ökad förutsebarhet vilket är av vikt ur ett integritetsskyddsperspektiv.

I 1 § personuppgiftslagen (1998:204) finns det en bestämmelse som anger den lagens syfte. Syftet är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. I likhet med polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145) bör enligt regeringens mening den nya lagen innehålla en bestämmelse i vilken anges att ett av lagens syften är att skydda människor mot att deras personliga integritet kränks. Som nämnts i det föregående finns det emellertid även andra intressen som ska vägas mot detta skydd. En inledande bestämmelse bör därför även ge uttryck för att lagens syfte är att ge Tullverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet.

Datainspektionen efterlyser en djupare analys och redogörelse för de proportionalitetsbedömningar som gjorts mellan myndigheternas behov av att behandla personuppgifter för brottsbekämpande ändamål och enskildas rätt till skydd för intrång i den personliga integriteten.

Regeringen vill med anledning av detta påminna om att den nya lagstiftning som nu föreslås i de delar som Datainspektionen nu lyfter i stort motsvarar de regler som redan gäller i dag för Tullverkets brottsbekämpande verksamhet. Förutom ovan beskrivna överväganden om myndighetens behov och integritetsaspekter följer dock närmare överväganden vid varje enskilt förslag, vilka presenteras i det följande.

Regeringen föreslår således att det införs en bestämmelse som anger att syftet med lagen är att ge Tullverket möjlighet att behandla personupp-

gifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Förslaget genomförs genom 1 kap. 1 § i den nya lagen.

Hänvisningar till S8-1

8.2. Lagens tillämpningsområde

Regeringens förslag: Den nya lagen ska i likhet med nuvarande lag gälla vid Tullverkets behandling av personuppgifter i den brottsbekämpande verksamheten, om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

I likhet med vad som gäller för nuvarande lag ska avvikande bestämmelser om behandling av personuppgifter i lagen om internationellt polisiärt samarbete och lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar, gälla i stället för den nya lagen.

Vissa bestämmelser i den nya lagen ska gälla även vid behandling av uppgifter om juridiska personer.

Det ska finnas en bestämmelse som upplyser om lagens innehåll.

Promemorians förslag: Överensstämmer delvis med regeringens förslag. Promemorians förslag innehåller även en bestämmelse om att ifall det i en annan lag än personuppgiftslagen eller i en förordning finns bestämmelser som hindrar en behandling av personuppgifter som är tillåten enligt den nya lagen, ska de bestämmelserna gälla. Promemorians förslag innehåller också en upplysningsbestämmelse om att det i lagen även finns bestämmelser om vissa skyldigheter för myndigheter som har direktåtkomst till uppgifter i Tullverkets brottsbekämpande verksamhet.

Promemorians förslag är också något annorlunda utformade.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslagen.

Skälen för regeringens förslag

Verksamhet som omfattas av lagen

Som framgår av avsnitt 5.3 består Tullverkets verksamhet av Effektiv handel och brottsbekämpande verksamhet. Den nya lagen bör bara omfatta behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Den verksamhet som omfattas är alltså den som sker för att förebygga, upptäcka, förhindra, utreda och beivra brottslighet som Tullverket har i uppdrag att bekämpa, inklusive fullföljande av Tullverkets internationella åtaganden med koppling till sådant. I fråga om verksamheten under Effektiv handel, där det inte föreligger någon misstanke om brott eller brottslig verksamhet, gäller i stället lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och tillhörande förordning.

Utanför lagens tillämpningsområde faller även sådan behandling av personuppgifter som kan förekomma i Tullverkets verksamhet i samband med interna och administrativa åtgärder, t.ex. vid hantering av personal- och lokalfrågor. För behandling av personuppgifter i den verksamheten gäller i stället personuppgiftslagen.

Tillämpningsområdet för den nya lagen i fråga om vilken verksamhet hos Tullverket som omfattas är alltså detsamma som för den nuvarande lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, kallad tullbrottsdatalagen, se propositionen Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 112 f.).

Behandling som omfattas av lagen – Automatiserad och viss manuell behandling av personuppgifter

Den nya lagen bör, liksom den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen, gälla för sådan behandling av personuppgifter som omfattas av personuppgiftslagen, dvs. behandling av personuppgifter som är helt eller delvis automatiserad samt annan behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Även insamling av personuppgifter vid digital inspelning av ljud och bild omfattas t.ex. av tillämpningsområdet.

Med behandling avses enligt 3 § personuppgiftslagen varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, registrering, bearbetning, ändring, utlämnande m.m.

– Uppgifter om juridiska personer Med personuppgifter avses enligt 3 § personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det innebär att behandling av uppgifter om juridiska personer och avlidna inte omfattas av personuppgiftslagen.

Tullverket behandlar i sin brottsbekämpande verksamhet stora mängder uppgifter som rör andra än levande fysiska personer, t.ex. uppgifter om företag, myndigheter och andra organisationer. Uppgifter om juridiska personer finns i stor utsträckning redan i offentliga register, bl.a. hos Bolagsverket. Det förekommer att juridiska personer används som brottshjälpmedel. Det är inte sällan juridiska personer som äger fartyg eller andra transportmedel som åker över Sveriges gräns. Vid utredning och kartläggning av brott är sökning på firma eller organisationsnummer för att hitta samband och kopplingar mellan olika personer en viktig del i Tullverkets brottsbekämpande arbete.

Den nya lagen bör enligt regeringens mening, liksom den nuvarande tullbrottsdatalagen och även polisdatalagen och kustbevakningsdatalagen, i vissa avseenden gälla också för behandling av uppgifter om juridiska personer. Även om juridiska personer inte har samma behov av integritetsskydd som fysiska personer, bör vissa grundläggande bestämmelser tillämpas även på uppgifter om juridiska personer. En av orsakerna till detta är att det kan vara svårt att i den elektroniska hanteringen skilja uppgifter om juridiska personer från uppgifter om fysiska

personer som är ägare av eller ställföreträdare för dessa. Det blir enklare att låta vissa grundläggande bestämmelser gälla generellt för uppgifter om levande fysiska personer och juridiska personer.

Vissa bestämmelser i polisdatalagen och kustbevakningsdatalagen om tillgången till personuppgifter, ändamålen för behandlingen, gemensamt tillgängliga personuppgifter och bevarande och gallring gäller även vid behandling av uppgifter om juridiska personer, vilket i huvudsak också motsvarar vad som gäller enligt den nuvarande tullbrottsdatalagen. Motsvarande bestämmelser i den nya lagen bör därför enligt regeringens mening gälla även för uppgifter om juridiska personer.

När det gäller frågan om personuppgiftsansvar anges i 10 § den nuvarande tullbrottsdatalagen att Tullverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför, om inte annat framgår av särskild lag eller förordning, och att motsvarande personuppgiftsansvar gäller för behandling av uppgifter om juridiska personer. Den uttryckliga regleringen av ansvaret för juridiska personer infördes av tydlighetsskäl (prop. 2004/05:164 s. 58).

Också i kustbevakningsdatalagen finns en reglering av ansvaret för behandling av uppgifter om juridiska personer, dock med en annan författningsteknisk lösning, nämligen genom en hänvisning i bestämmelsen som nu behandlas i detta avsnitt (1 kap. 3 § 2 kustbevakningsdatalagen).

Regeringen anser att bestämmelserna om personuppgiftsansvar även fortsättningsvis ska gälla även för juridiska personer. Ansvaret innebär motsvarande skyldigheter som personuppgiftsansvaret i fråga om de krav som den nya lagen ställer på behandling av uppgifter om juridiska personer. Dit hör att uppgifterna endast får behandlas för tillåtna ändamål och ska gallras i rätt tid. Även ansvaret för att de krav som ställs upp för behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet uppfylls gäller för behandling av uppgifter gentemot juridiska personer. Se också avsnitt 9.3.

Enligt den nuvarande tullbrottsdatalagen gäller bestämmelserna i den lagen om sökbegrepp också vid behandling av uppgifter om juridiska personer. Det är dock svårt att förstå hur bestämmelserna, som bl.a. handlar om uppgifter som avslöjar ras eller andra förhållanden knutna till fysiska personer, är avsedda att tillämpas på uppgifter om juridiska personer. Tullverket behöver i sin brottsbekämpande verksamhet söka på bl.a. uppgift om firma och organisationsnummer. I polisdatalagen och kustbevakningsdatalagen gäller inte bestämmelserna om sökning för uppgifter om juridiska personer. Det finns inte skäl att avvika från vad som gäller enligt de två sistnämnda lagarna. Bestämmelserna i den nya lagen om sökning (se avsnitt 14.4) bör därför inte gälla i fråga om uppgifter om juridiska personer.

Undantag från lagens tillämpningsområde

I avsnitt 4 redogörs för det internationella samarbete som Tullverket deltar i, vilket även omfattar polisiärt samarbete i vissa fall där tulltjänstemän har polisiära befogenheter. En del av det informationsutbyte som förekommer inom det internationella samarbetet regleras av bestämmelser i lagen (2000:343) om internationellt polisiärt samarbete och

lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, med tillhörande föreskrifter. Den nuvarande tullbrottsdatalagen men även polisdatalagen och kustbevakningsdatalagen innehåller uttryckliga regler om att lagarna är subsidiära i förhållande till avvikande bestämmelser i dessa författningar, dvs. de avvikande bestämmelserna ska tillämpas i stället. Därigenom görs det tydligt hur förhållandet är mellan de författningar som innehåller särskilda bestämmelser för det internationella polisiära området och den generella lagstiftningen om behandling av personuppgifter i den brottsbekämpande verksamheten.

Det finns inte anledning att genom den nya lagen ändra på den ordningen. Regeringen föreslår därför en bestämmelse som anger att avvikande bestämmelser om behandling av personuppgifter i lagen om internationellt polisiärt samarbete och lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar ska gälla i stället för den nya lagen.

Internationellt samarbete sker också med stöd av t.ex. lagen (2000:1219) om internationellt tullsamarbete. Den nämnda lagen innehåller, till skillnad från t.ex. lagen om internationellt polisiärt samarbete, främst bestämmelser som reglerar det internationella samarbetet i sig och inte bestämmelser om behandling av personuppgifter. Därmed saknas anledning att hänvisa till den lagen i de inledande bestämmelserna i den nya lagen. Bestämmelserna i lagen om internationellt tullsamarbete måste givetvis fortfarande beaktas vid tillämpning av den lagen.

Ingen bestämmelse om andra författningar som hindrar behandling av personuppgifter

I promemorian föreslås en bestämmelse om att bestämmelser i annan lagstiftning som hindrar en behandling av personuppgifter som är tillåten enligt den nya lagen ska tillämpas framför den nya lagen. Förslaget motiverades bl.a. med att det finns särregler om behandling av uppgifter även i annan lagstiftning, t.ex. för uppgifter om resenärer som Tullverket har begärt in från transportföretag då lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen (kallad inregränslagen) och tullagen (2016:253) gäller. Även lagen om internationellt tullsamarbete nämns, vari det finns bestämmelser om s.k. användningsbegränsningar.

Regeringen gör i detta avseende en annan bedömning än promemorian och anser att det inte finns skäl att införa en sådan bestämmelse. De regler i inregränslagen och tullagen som nämns i promemorian föreslås som framgår i avsnitt 11 och 16.2 anges särskilt vid relevanta bestämmelser i den nya tullbrottsdatalagen. Vad gäller bestämmelserna om användningsbegränsningar i lagen om internationellt tullsamarbete finner regeringen inte i nuläget någon konflikt med den föreslagna nya lagen. De skäl som har framförts för bestämmelsen är således inte tillräckliga för att införa en sådan bestämmelse. Någon sådan bestämmelse finns inte heller i polisdatalagen, kustbevakningsdatalagen eller åklagardatalagen. Regeringen föreslår således inte någon sådan bestämmelse.

Ingen bestämmelse om andra myndigheters direktåtkomst

I promemorian föreslås att det i bestämmelsen om lagens tillämpningsområde ska upplysas om att det i lagen också finns bestämmelser om vissa skyldigheter för myndigheter som har direktåtkomst till uppgifter i Tullverkets brottsbekämpande verksamhet. Regeringen ser dock inte behov att föra in en sådan bestämmelse i lagen. Något motsvarande finns inte heller i t.ex. polisdatalagen eller kustbevakningsdatalagen.

En bestämmelse om lagens innehåll

I kapitlet om lagens tillämpningsområde anser regeringen i likhet med vad som föreslås i promemorian att det ska finnas en bestämmelse som upplyser om lagens innehåll.

Lagförslag

Sammanfattningsvis föreslår regeringen följande vad gäller lagens tillämpningsområde. Den nya lagen ska gälla vid Tullverkets behandling av personuppgifter i den brottsbekämpande verksamheten, om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Förslaget genomförs genom 1 kap. 2 § i den nya lagen.

Om det i lagen om internationellt polisiärt samarbete och lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag. Förslaget genomförs genom 1 kap. 3 § i den nya lagen.

Vissa närmare angivna bestämmelser i den nya lagen ska gälla även vid behandling av uppgifter om juridiska personer. Förslaget genomförs genom 1 kap. 4 § i den nya lagen.

Det ska finnas en bestämmelse som beskriver den nya lagens innehåll. Förslaget genomförs genom 1 kap. 5 § i den nya lagen.

9. Allmänna bestämmelser

9.1. Den nya lagen ska gälla i stället för personuppgiftslagen

Regeringens förslag: Den nya lagen ska i likhet med nuvarande lag gälla i stället för personuppgiftslagen. I lagen ska det hänvisas till de bestämmelser i personuppgiftslagen som ska gälla vid behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag: Personuppgiftslagen (1998:204) är generellt tillämplig på behandling av personuppgifter och bygger på EU:s dataskyddsdirektiv, Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31, Celex 31995L0046), se avsnitt 4.2.

Direktivet omfattar bl.a. inte behandling av personuppgifter som utförs på området för statens brottsbekämpande verksamhet, varför det ur EUrättslig synvinkel i och för sig inte finns något som hindrar att den nya lagen utformas på annat sätt än vad som anges i dataskyddsdirektivet. I sammanhanget kan dock påpekas att direktivet i huvudsak bygger på och vidareutvecklar de bestämmelser som finns i Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter, kallad dataskyddskonventionen (se avsnitt 4.1.2), som även gäller för statens brottsbekämpande verksamhet. Sverige är folkrättsligt bundet av konventionen med dess tilläggsprotokoll.

Vidare bör beaktas att dataskyddsrambeslutet, rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, som genomförts i svensk rätt (se avsnitt 4.1.6) i stora delar liknar dataskyddsdirektivet. Rambeslutet har ersatts av ett direktiv och dataskyddsdirektivet av en förordning, som båda ska börja tillämpas i maj 2018 (se avsnitt 4.1.7).

Systematiska skäl talar för att den nya regleringen bör ansluta till personuppgiftslagen. Motsvarande lösning har valts i polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145), se propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 79 f.) och propositionen Kustbevakningsdatalag (prop. 2011/12:45 s. 75 f.). Regeringen anser därför att personuppgiftslagens bestämmelser i väsentliga delar ska gälla även i Tullverkets brottsbekämpande verksamhet. I denna verksamhet finns som redan nämnts särskilda behov av att kunna behandla personuppgifter automatiserat och verksamhetens särdrag gör att det finns behov av bestämmelser som avviker från personuppgiftslagen.

Frågan är då hur de bestämmelser i personuppgiftslagen som ska gälla även i Tullverkets brottsbekämpande verksamhet på bästa sätt infogas i den nya lagen. I lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (kallad tullbrottsdatalagen), polisdatalagen och kustbevakningsdatalagen har valts en lösning som innebär att dessa lagar gäller i stället för personuppgiftslagen. Dessa författningar är konstruerade på så sätt att lagen innehåller en hänvisning till de lagrum i personuppgiftslagen som är tillämpliga. Motsvarande konstruktion har valts i de ännu nyare registerförfattningarna för åklagarväsendet, åklagardatalagen (2015:433), och Sveriges domstolar, domstolsdatalagen (2015:728).

Utvecklingen går mot ett ökat samarbete mellan de brottsbekämpande myndigheterna. Det ligger därför ett värde i att så långt möjligt använda samma lagstiftningsteknik för regleringen av all behandling av personuppgifter inom brottsbekämpande verksamhet, oavsett myndighet. Det finns därmed inte anledning att frångå det som gäller enligt den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen. Den

nya lagen bör således gälla i stället för personuppgiftslagen, men innehålla hänvisningar till de bestämmelser i personuppgiftslagen som ska tillämpas.

Förslaget genomförs genom 2 kap. 1 § i den nya lagen.

Hänvisningar till S9-1

9.2. De bestämmelser i personuppgiftslagen som ska gälla

Regeringens förslag: Följande bestämmelser i personuppgiftslagen ska gälla när personuppgifter behandlas enligt den nya lagen eller enligt föreskrifter som har meddelats i anslutning till lagen:

1. 3 § om definitioner,

2. 8 § om förhållandet till offentlighetsprincipen,

3. 9 § om grundläggande krav på behandling av personuppgifter, dock med undantag för första stycket i och tredje stycket,

4. 22 § om behandling av personnummer och samordningsnummer,

5. 23 och 25–27 §§ om information till den registrerade,

6. 28 § om rättelse,

7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,

8. 33–35 §§ om överföring av personuppgifter till tredjeland,

9. 38–41 §§ om personuppgiftsombud m.m., 10. 42 § om upplysningar till allmänheten om vissa behandlingar, 11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,

12. 48 § om skadestånd, och 13. 51 § första stycket, 52 § första stycket och 53 § om överklagande. Om personuppgifter ska gallras enligt den nya lagen eller enligt föreskrifter som har meddelats i anslutning till lagen, ska inte 8 § andra stycket personuppgiftslagen gälla.

Information enligt 23 § personuppgiftslagen ska inte behöva lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud. Sådan information ska inte heller behöva lämnas när personuppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

Tillsynsmyndigheten ska inte kunna förena ett förbud att utföra viss behandling med vite.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag

Allmänna utgångspunkter

Nedan redovisas de bestämmelser i personuppgiftslagen som föreslås vara tillämpliga vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Det är fråga om samma bestämmelser som gäller vid behandling enligt polisdatalagen och kustbevakningsdatalagen. Regeringen ser inga skäl för att i den nya lagen avvika från

vad som gäller enligt polisdatalagen och kustbevakningsdatalagen. Förslaget motsvarar i huvudsak vad som gäller enligt den nuvarande tullbrottsdatalagen.

Definitioner, 3 §

I 3 § personuppgiftslagen definieras vissa begrepp som är centrala vid behandling av personuppgifter. Där definieras t.ex. vad personuppgifter är (”all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet”) och vad som utgör behandling av personuppgifter (”varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring”). För att undvika missförstånd är det viktigt att terminologin i den nya lagen överensstämmer med personuppgiftslagens och att de begrepp som används i de båda författningarna har samma innebörd. En hänvisning till 3 § personuppgiftslagen bör därför tas in i den nya lagen.

Förhållandet till offentlighetsprincipen, 8 §

I 8 § första stycket personuppgiftslagen upplyses om att personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen. I paragrafens andra stycke anges att bestämmelserna inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

I den nuvarande tullbrottsdatalagen finns det en hänvisning till 8 § personuppgiftslagen. Det finns inte skäl att göra någon ändring i detta hänseende. I klargörande syfte föreslår regeringen att en hänvisning till bestämmelserna i 8 § personuppgiftslagen tas in i den nya lagen. Detta är också i överensstämmelse med bl.a. polisdatalagen. För att uppnå överensstämmelse med regleringen i polisdatalagen och kustbevakningsdatalagen bör det anges att bestämmelserna i 8 § andra stycket inte gäller när uppgifter ska gallras enligt särskilda bestämmelser i den nya lagen.

Grundläggande krav på behandlingen av personuppgifter, 9 §

Några av personuppgiftslagens viktigaste bestämmelser om behandling av personuppgifter finns i 9 §. Där uppställs vissa grundläggande krav på den personuppgiftsansvarige. I första stycket a och b anges att den personuppgiftsansvarige ska se till att personuppgifter endast behandlas om det är lagligt och att personuppgifter alltid ska behandlas på ett korrekt sätt och i enlighet med god sed. Enligt första stycket e–h ska den personuppgiftsansvarige se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än vad som är nödvändigt, att de personuppgifter som behandlas är riktiga och, om nödvändigt, aktuella samt att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.

Enligt regeringens bedömning är det naturligt att dessa grundläggande krav tillämpas även vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Detta gäller även enligt den nuvarande tullbrottsdatalagen. Den nya lagen bör därför, i likhet med polisdatalagen och kustbevakningsdatalagen, hänvisa till 9 § första stycket a, b och e–h personuppgiftslagen.

I 9 § första stycket c personuppgiftslagen anges att personuppgifter får samlas in bara för särskilda, uttryckligt angivna ändamål. I första stycket d anges att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). I den nuvarande tullbrottsdatalagen hänvisas det inte till 9 § första stycket c och d personuppgiftslagen. I stället innehåller lagen en uttömmande uppräkning av för vilka ändamål personuppgifter får behandlas. Det är alltså inte enligt den nuvarande tullbrottsdatalagen tillåtet att behandla personuppgifter för några andra ändamål, ens om dessa skulle vara förenliga med de i lagen angivna ändamålen.

I polisdatalagen och kustbevakningsdatalagen har en annan lösning valts. Där anges de s.k. primära ändamålen uttömmande på motsvarande sätt som enligt den nuvarande tullbrottsdatalagen. Polismyndigheten och Kustbevakningen får således inte samla in personuppgifter för något annat ändamål än de som anges i respektive lag. Däremot är de i dessa lagar angivna s.k. sekundära ändamålen om utlämnande av personuppgifter inte uttömmande utan kompletteras av en uttrycklig bestämmelse om att i ett enskilt fall får personuppgifter behandlas även för att tillhandahålla information för ett annat ändamål som inte är oförenligt med det primära insamlingsändamålet. Med en sådan lösning är det naturligt att låta också bestämmelserna i 9 § första stycket c och d personuppgiftslagen gälla, vilket också är fallet enligt de båda lagarna. Därför bör den nya lagen hänvisa även till 9 § första stycket c och d personuppgiftslagen.

I 9 § första stycket i och tredje stycket personuppgiftslagen finns det bestämmelser om hur länge personuppgifter får bevaras. Frågan om gallring och bevarande av personuppgifter bör regleras särskilt i den nya lagen, och någon hänvisning till personuppgiftslagens bestämmelser om hur länge personuppgifter får bevaras behövs därför inte. Frågor om bevarande och gallring behandlas i avsnitt 16.

Behandling av personnummer och samordningsnummer, 22 §

Personnummer ska inte användas slentrianmässigt. Av 22 § personuppgiftslagen framgår att uppgifter om personnummer och samordningsnummer får behandlas bara när det är motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Det innebär att den personuppgiftsansvarige ska göra en intresseavvägning mellan behov som finns för att hantera ärendet och den enskildes integritet.

Enligt den nuvarande tullbrottsdatalagen gäller 22 § personuppgiftslagen bara när personuppgifter behandlas på annat sätt än i tullbrottsdatabasen. Vid behandling av personuppgifter i en gemensam databas är det i de flesta fall nödvändigt att generellt använda personnummer för att kunna säkra identifieringen av en registrerad. Det ansågs därför att en

hänvisning till 22 § personuppgiftslagen skulle få praktisk tillämpning bara i fråga om behandling utanför tullbrottsdatabasen, se propositionen Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 50 f.).

Någon motsvarande begränsning av tillämpligheten av 22 § personuppgiftslagen har inte förts in i polisdatalagen. Det ansågs nämligen inte finnas skäl att frångå principerna enligt 22 § personuppgiftslagen ens i fråga om gemensamt tillgängliga uppgifter (se prop. 2009/10:85 s. 84). Inte heller i kustbevakningsdatalagen finns en sådan begränsning.

Enligt regeringens mening bör den nya lagen i fråga om användningen av personnummer och samordningsnummer vara lika restriktiv som polisdatalagen och kustbevakningsdatalagen, även om detta inte bedöms få särskilt stor praktisk betydelse med hänsyn till vikten av en säker identifiering av individer i brottsbekämpande verksamhet. Regeringen föreslår därför att det i den nya lagen utan inskränkning görs en hänvisning till 22 § personuppgiftslagen.

Information till den registrerade, 23 och 25–27 §§

Av 23 § personuppgiftslagen framgår att den personuppgiftsansvarige självmant ska informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som ska lämnas är enligt 25 § uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen och övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information ska också, enligt 26 § personuppgiftslagen, lämnas på begäran av den registrerade. Om uppgifter behandlas ska information lämnas till den registrerade om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Under förutsättning att uppgifterna inte har lämnats ut till tredje man behöver dock information inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när frågan väcktes eller som utgör minnesanteckning eller liknande. I 26 § finns även bestämmelser om inom vilken tid en förfrågan ska besvaras. Enligt 27 § personuppgiftslagen gäller inte rätten till information om det i lag eller annan författning eller i beslut som har meddelats med stöd av författning särskilt har föreskrivits att uppgifter inte får lämnas ut till den registrerade. Information behöver alltså inte lämnas om sådana förhållanden för vilka det gäller sekretess.

En hänvisning till bestämmelserna i 23 och 2527 §§personuppgiftslagen finns i den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen.

De återgivna bestämmelserna i personuppgiftslagen utgör enligt regeringens mening en lämplig avvägning mellan den enskildes intresse av att få information om vilken behandling som sker av personuppgifter om denne och Tullverkets intresse av effektivitet i verksamheten. En hänvisning till bestämmelserna bör därför föras in i den nya lagen.

I 24 § första stycket personuppgiftslagen anges att den personuppgiftsansvarige självmant ska lämna information till den registrerade

om uppgifterna har samlats in från någon annan källa än den registrerade. Av paragrafens andra stycke följer att sådan information inte behöver lämnas om det finns bestämmelser om registrerande eller utlämnande av personuppgifterna i en lag eller annan författning. När behandling av personuppgifter hos en myndighet regleras i särskild lagstiftning på det sätt som föreslås i lagen, med särskilda bestämmelser om vad som får registreras och hur uppgifter i övrigt får hanteras, krävs det enligt personuppgiftslagen inte att sådan information ges. Det finns inte några skäl för att Tullverket trots detta ska lämna sådan information. Regeringen anser därför att 24 § personuppgiftslagen inte bör gälla vid personuppgiftsbehandling enligt den nya lagen.

Vid insamling av uppgifter genom ljud och bild är ofta något av undantagen i 25 eller 27 § tillämpliga. 27 § personuppgiftslagen kan vara tillämplig när insamling sker för spaningsändamål inom ramen för en förundersökning eller i traditionell underrättelseverksamhet, eftersom sekretess enligt 18 kap. 1 § eller 2 §offentlighets- och sekretesslagen normalt gäller i dessa fall. Detsamma gäller insamling genom hemliga tvångsmedel.

För det fall det förekommer insamling av uppgifter genom ljud och bild som inte omfattas av dessa undantag kan det i vissa fall framstå som både orimligt och praktiskt ogörligt att informera t.ex. alla personer som fångas på bild (se t.ex. prop. 2009/10:85 s. 86). I den nya lagen bör det därför, i likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen, föras in ett undantag från informationsskyldigheten enligt 23 § vid behandling som består av insamling av personuppgifter genom bilder eller ljud.

När det gäller insamling i samband med larm gör regeringen följande överväganden. Av Datainspektionens allmänna råd om information till registrerade enligt personuppgiftslagen framgår att information enligt 23 § personuppgiftslagen bör lämnas muntligen när personuppgifter samlas in vid telefonkontakt eller annan muntlig kontakt.

I praktiken uppstår inte sällan svårigheter att lämna information om behandlingen till den som ringer upp i avsikt att larma eller lämna en motsvarande brådskande underrättelse som kräver omedelbar åtgärd. Både med hänsyn till risken för försening av den åtgärd som efterfrågas i det enskilda fallet och till risken för negativa konsekvenser i stort för den verksamhet som bedrivs är det inte rimligt att kräva att det alltid lämnas information i samband med larm. Det kan även ifrågasättas om personen i fråga som larmar över huvud taget är intresserad av att i den aktuella situationen få information om att lämnade personuppgifter kan komma att behandlas automatiserat. Vidare torde alla som vänder sig till en myndighet i en sådan situation redan känna till att uppgifter registreras digitalt. Den registrerade får därmed antas känna till vem den personuppgiftsansvarige är och ändamålen med behandlingen.

Även om undantaget i 25 § andra stycket personuppgiftslagen således vanligtvis är tillämpligt, bör det i en lagregel klart framgå att information aldrig ska behöva lämnas vid larm om det med hänsyn till omständigheterna inte finns tid att lämna informationen.

I likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen bör det därför enligt regeringens mening finnas ett uttryckligt undantag från informationsskyldigheten enligt 23 § personuppgiftslagen

när personuppgifter samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen. Bedömningen av om det finns tid att lämna information bör göras från fall till fall.

Rättelse, 28 §

I 28 § personuppgiftslagen anges att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med personuppgiftslagens bestämmelser. När en personuppgiftsansvarig rättar en personuppgift, ska underrättelse lämnas till tredje man som har fått del av uppgiften, om den registrerade begär det eller om mer betydande skada eller olägenhet därigenom kan undvikas. Sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller om det skulle innebära en oproportionerligt stor arbetsinsats. Det finns hänvisningar till 28 § personuppgiftslagen i den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen.

Det är viktigt att personuppgifter som behandlas felaktigt hos en myndighet rättas. Bedömningen av om en uppgift har behandlats på ett felaktigt sätt måste göras mot bakgrund av de bestämmelser som gäller för behandlingen, oavsett om det är grundläggande regler i personuppgiftslagen eller specialbestämmelser som gäller för Tullverkets brottsbekämpande verksamhet. Mot bakgrund av det angivna bör bestämmelserna i 28 § personuppgiftslagen, liksom hittills, gälla vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. I den nya lagen bör det därför tas in en hänvisning till 28 § personuppgiftslagen.

Säkerheten vid behandling, 30–32 §§

I 3032 §§personuppgiftslagen finns det regler om hur den personuppgiftsansvarige ska organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Det rör sig om instruktioner till personalen samt tekniska och organisatoriska åtgärder. Hänvisningar till dessa bestämmelser finns i den nuvarande tullbrottsdatalagen samt i polisdatalagen och kustbevakningsdatalagen. Regeringen anser att bestämmelserna även fortsättningsvis ska vara tillämpliga i Tullverkets brottsbekämpande verksamhet, vilket innebär att det måste finnas bestämda rutiner för hanteringen av personuppgifter. Det kan t.ex. behövas såväl tekniska lösningar för datorsystemen som olika behörighetsnivåer för skilda personalkategorier, för att garantera att regleringen i den föreslagna lagen kan efterlevas.

Med hänsyn till att tillsynsmyndigheten inte bör ha möjlighet att förena förbud med vite (se nedan under rubriken Tillsynsmyndighetens befogenheter) bör någon hänvisning till 32 § andra stycket personuppgiftslagen inte göras i den nya lagen.

Överföring av personuppgifter till tredjeland, 33–35 §§

Personuppgifter som är under behandling får enligt 33 § personuppgiftslagen inte föras över till tredjeland, dvs. en stat som inte ingår i EU eller är ansluten till Europeiska ekonomiska samarbetsområdet (defini-

tionen anges i 3 § personuppgiftslagen), om inte det mottagande landet har en adekvat nivå för skyddet av personuppgifter. Från förbudet finns vissa undantag i 34 §, bl.a. för överföring till länder som har anslutit sig till dataskyddskonventionen. Enligt 35 § har regeringen också möjlighet att föreskriva ytterligare undantag från förbudet, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse.

För att kunna uppfylla Sveriges åtaganden enligt olika internationella överenskommelser om utbyte av uppgifter måste det vara möjligt att i Tullverkets brottsbekämpande verksamhet lämna ut uppgifter utanför EU. I 3 § förordningen (2000:1222) om internationellt tullsamarbete finns det en bestämmelse om undantag från 33 § personuppgiftslagen: Tullverket eller annan behörig myndighet får utan hinder av 33 § personuppgiftslagen överföra personuppgifter till tredjeland, om det behövs för att uppfylla skyldigheter som följer av sådana internationella överenskommelser som avses i lagen (2000:1219) om internationellt tullsamarbete.

Den nuvarande tullbrottsdatalagen innehåller inte någon hänvisning till 3335 §§personuppgiftslagen. Med hänsyn till att bestämmelserna om överföring av uppgifter till tredjeland finns i lagstiftningen om internationellt tullsamarbete, fanns det enligt regeringens mening inte skäl att också i den nuvarande tullbrottsdatalagen ta in sådana bestämmelser genom hänvisning till personuppgiftslagen (prop. 2004/05:164 s. 52 f.). I polisdatalagen och kustbevakningsdatalagen finns det däremot hänvisningar till 3335 §§personuppgiftslagen.

Det förhållandet att det i annan tillämplig lagstiftning finns bestämmelser som, i enlighet med 35 § personuppgiftslagen, gör undantag för förbudet mot överföring i 33 § personuppgiftslagen innebär enligt regeringens mening inte att det saknas skäl att i den nya lagen hänvisa till 3335 §§personuppgiftslagen. Det finns inte skäl för att avvika från det bättre skydd mot överföring av personuppgifter till länder med undermåligt integritetsskydd som gäller enligt polisdatalagen och kustbevakningsdatalagen. Det finns även uppgiftsutlämnande som sker med stöd av andra författningar än lagen om internationellt tullsamarbete. Regeringen föreslår därför att det i den nya lagen tas in en hänvisning till 3335 §§personuppgiftslagen.

Upplysningar till allmänheten, personuppgiftsombudets uppgifter m.m., 38–42 §§

Automatiserade behandlingar av personuppgifter ska enligt 36 § första stycket personuppgiftslagen anmälas till tillsynsmyndigheten, Datainspektionen. Anmälan behöver emellertid inte göras om behandlingen regleras genom särskilda föreskrifter i lag eller förordning, 3 § personuppgiftsförordningen (1998:1191). Skyldighet att i detta sammanhang anmäla de behandlingar som utförs med stöd av den nya lagen finns således inte. Någon hänvisning till 36 § första stycket personuppgiftslagen behövs därför inte. Det motsvarar vad som gäller enligt den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen.

Den personuppgiftsansvarige kan utse ett personuppgiftsombud, 36 § andra stycket personuppgiftslagen. Ombudets skyldigheter framgår av

38–40 §§. I personuppgiftsombudets skyldigheter ingår bl.a. att se till att behandlingen av personuppgifter sker på ett lagligt sätt och att hjälpa registrerade att få rättelse. I den nya lagen föreslås en skyldighet för Tullverket att utse personuppgiftsombud och anmäla detta till tillsynsmyndigheten. En hänvisning till 36 § andra stycket behövs därför inte. Den nya lagen bör dock hänvisa till ombudets skyldigheter i 38–40 §§. Såväl den nuvarande tullbrottsdatalagen som polisdatalagen och kustbevakningsdatalagen innehåller hänvisningar till 3840 §§personuppgiftslagen.

Enligt 41 § personuppgiftslagen har regeringen möjlighet att föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll. Denna möjlighet bör regeringen även ha i fråga om sådana behandlingar som utförs i Tullverkets brottsbekämpande verksamhet. Den nya lagen bör därför innehålla en hänvisning till denna paragraf. Enligt 42 § personuppgiftslagen ska den personuppgiftsansvarige till den som begär det lämna upplysningar om de behandlingar av personuppgifter som inte har anmälts till Datainspektionen. Denna bestämmelse bör vara tillämplig. Bestämmelsen innebär ingen skyldighet att lämna ut sekretesskyddad information (se t.ex. prop. 2009/10:85 s. 89). Såväl den nuvarande tullbrottsdatalagen som polisdatalagen och kustbevakningsdatalagen innehåller hänvisningar till 41 och 42 §§personuppgiftslagen.

Tillsynsmyndighetens befogenheter, 43–45 och 47 §§

För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen vissa befogenheter gentemot personuppgiftsansvariga. Enligt 43 § personuppgiftslagen har Datainspektionen möjlighet att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler. I likhet med vad som gäller enligt nuvarande tullbrottsdatalagen bör denna bestämmelse gälla.

I 44 § personuppgiftslagen finns en bestämmelse om rätt för Datainspektionen att förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem, för det fall att myndigheten vid en begäran enligt 43 § inte kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig. Om Datainspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, ska myndigheten enligt 45 § första stycket första meningen personuppgiftslagen genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten enligt första stycket andra meningen vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem.

Enligt nuvarande tullbrottsdatalagen gäller inte 44 § och inte heller 45 § förutom första stycket första meningen. I flera andra författningar om behandling av personuppgifter i brottsbekämpande verksamhet har Datainspektionen dock getts möjlighet att förbjuda behandling av personuppgifter, t.ex. i polisdatalagen, kustbevakningsdatalagen och lagen (1990:90) om behandling av personuppgifter vid Skatteverkets med-

verkan i brottsutredningar. Det är enligt regeringens mening rimligt att Datainspektionen har i stort sett samma befogenheter vid tillsyn över Tullverkets behandling av personuppgifter i den brottsbekämpande verksamheten som enligt personuppgiftslagen. Regeringen föreslår därför att bestämmelserna i 44 § och 45 § första stycket ska gälla i den nya lagen.

Någon möjlighet för Datainspektionen att förena ett beslut om att förbjuda behandling eller ett beslut om säkerhetsåtgärder enligt 32 § med vite har, i likhet med vad som i allmänhet gäller mellan statliga myndigheter, inte föreskrivits i t.ex. polisdatalagen eller kustbevakningsdatalagen (se prop. 2009/10:85 s. 90 och prop. 2011/12:45 s. 85 och även prop. 2004/05:164 s. 54). En sådan möjlighet bör inte finnas heller vid behandling av personuppgifter enligt denna lag. Det bör anges särskilt i den nya lagen att ett förbud enligt 44 eller 45 § inte får förenas med vite.

Enligt 47 § personuppgiftslagen har Datainspektionen rätt att hos allmän förvaltningsdomstol ansöka om att sådana uppgifter som har behandlats på ett olagligt sätt ska utplånas. Denna bestämmelse gäller även enligt nuvarande tullbrottsdatalagen. Bestämmelsen bör gälla även vid behandling enligt den nya lagen.

Det sagda innebär sammanfattningsvis att det i den nya lagen bör införas en hänvisning till 43 och 44 §§, 45 § första stycket och 47 § personuppgiftslagen och dessutom en bestämmelse om att förbud enligt 44 eller 45 § inte får förenas med vite.

Skadestånd, 48 §, m.m.

Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Det finns hänvisningar till 48 § personuppgiftslagen i den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen. Det finns ingen anledning att ändra på den gällande ordningen och en hänvisning till 48 § personuppgiftslagen bör därför tas in i den nya lagen. Rätten till skadestånd vid skada och kränkning bör gälla när personuppgifter har behandlats i strid med personuppgiftslagen eller de bestämmelser som finns i den föreslagna lagen.

Enligt 49 § personuppgiftslagen gäller straffansvar vid överträdelser av vissa bestämmelser i personuppgiftslagen. Behandlingen av personuppgifter enligt den nya lagen kommer att utföras av personer som är anställda vid en statlig myndighet och som redan omfattas av bestämmelserna om tjänstefel m.m. i brottsbalken. Något behov en hänvisning till 49 § personuppgiftslagen ansågs inte finnas vid tillkomsten av vare sig polisdatalagen (prop. 2009/10:85 s. 91) eller kustbevakningsdatalagen (prop. 2011/12:45 s. 87) och inte heller vid tillkomsten av den nuvarande tullbrottsdatalagen (prop. 2004/05:164 s. 55). Det finns inte skäl att nu göra någon annan bedömning än den som gjorts i tidigare dessa lagstiftningsärenden. Någon hänvisning till bestämmelsen om straffansvar bör därför inte göras.

Överklagande, 51–53 §§

I 51 § första stycket personuppgiftslagen anges att Datainspektionens beslut enligt lagen om annat än föreskrifter får överklagas till allmän förvaltningsdomstol. Förslaget om att Datainspektionen ska kunna meddela förbud enligt 44 § och 45 § första stycket personuppgiftslagen innebär att en hänvisning också bör göras till 51 § första stycket.

Enligt 51 § andra stycket får Datainspektionen bestämma att dess beslut ska gälla även om det överklagas. Vid polisdatalagens tillkomst gjordes bedömningen att Datainspektionen inte skulle medges någon möjlighet att meddela interimistiska beslut i de aktuella fallen. Verksamhetsskäl talade emot en sådan möjlighet (prop. 2009/10:85 s. 91). Samma skäl gör sig gällande för Tullverkets brottsbekämpande verksamhet. Någon hänvisning till 51 § andra stycket personuppgiftslagen bör därför inte göras.

En myndighets beslut om information, rättelse och underrättelse till tredje man om rättelseåtgärder, information om automatiserade beslut och allmänna upplysningar om pågående behandlingar får, enligt 52 § första stycket personuppgiftslagen, överklagas till allmän förvaltningsdomstol. Andra beslut enligt personuppgiftslagen får enligt 53 § inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. I förarbetena till dessa bestämmelser, se propositionen Översyn av personuppgiftslagen (prop. 2005/06:173 s. 53), uttalades att det efter införandet av en bestämmelse om överklagande i personuppgiftslagen inte är nödvändigt att ta in några överklagandebestämmelser i särskilda registerförfattningar, som hänvisar till personuppgiftslagen. I konsekvens med detta bör den nya lagen inte innehålla någon särskild bestämmelse om överklagande utan i stället enbart hänvisa till personuppgiftslagens bestämmelser om överklagande.

Lagförslag

Förslaget genomförs genom 2 kap. 2 § i den nya lagen.

Hänvisningar till S9-2

9.3. Tullverket ska vara personuppgiftsansvarigt

Regeringens förslag: Tullverket ska vara personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag: I den nuvarande tullbrottsdatalagen anges att Tullverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför, om inte annat framgår av särskild lag eller förordning (10 § första meningen). En liknande bestämmelse finns även i kustbevakningsdatalagen (2 kap. 4 §). I polisdatalagen är personuppgiftsansvaret uppdelat beroende på om det är

Polismyndigheten som utför behandling eller om den utförs i polisiär verksamhet vid Ekobrottsmyndigheten (2 kap. 4 §).

Regeringen anser att Tullverket även fortsättningsvis bör vara personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför. På det sättet markeras att det finns ett ansvar för att utförd behandling är korrekt. Med personuppgiftsansvaret följer en rad skyldigheter. Den personuppgiftsansvarige ska bl.a. se till att behandlingen av personuppgifter sker på ett korrekt och säkert sätt, att information lämnas till den registrerade och att personuppgifter gallras i rätt tid.

I den nuvarande tullbrottsdatalagen anges i paragrafen som reglerar personuppgiftsansvar också att motsvarande ansvar även gäller för behandling av uppgifter om juridiska personer (10 § andra meningen). I avsnitt 8.2 har regeringen med en annan författningsteknisk lösning föreslagit att bestämmelserna om personuppgiftsansvar ska gälla även för juridiska personer. Därför behöver det inte i nu aktuell bestämmelse anges att ansvaret även gäller för juridiska personer.

Förslaget genomförs genom 2 kap. 3 § i den nya lagen.

Hänvisningar till S9-3

9.4. Personuppgiftsombud ska finnas

Regeringens förslag: Tullverket ska utse ett eller flera personuppgiftsombud. Myndigheten ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen när ett personuppgiftsombud utses eller entledigas.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: Kammarrätten i Sundsvall anser att hänvisningen till personuppgiftslagen bör tas bort. I promemorian har, i stället för att hänvisa till 36 § personuppgiftslagen, valts att i den nya lagen särskilt reglera att Tullverket ska utse ett eller flera personuppgiftsombud och att den personuppgiftsansvarige till tillsynsmyndigheten ska anmäla när ett personuppgiftsombud utses eller entledigas. Bestämmelsen har dock kommit att utformas som en hänvisning till personuppgiftslagen.

Skälen för regeringens förslag: Regleringen i 36 § andra stycket personuppgiftslagen ger den personuppgiftsansvarige valfrihet när det gäller frågan om personuppgiftsombud ska utses. Vid införandet av den nuvarande tullbrottsdatalagen ansågs det att det borde åligga Tullverket att ta ställning till den frågan (prop. 2004/05:164 s. 53). Någon skyldighet att utse personuppgiftsombud finns således inte enligt den nuvarande tullbrottsdatalagen.

En sådan skyldighet finns däremot enligt polisdatalagen och kustbevakningsdatalagen. Motsvarande skyldighet finns även i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet, se propositionen Personuppgiftsbehandling hos Försvarsmakten och Försvarets radioanstalt (prop. 2006/07:46 s. 98).

I Tullverkets brottsbekämpande verksamhet rör behandlingen av personuppgifter i stor utsträckning uppgifter som får anses integritetskänsliga, vilket gör det särskilt angeläget med den kontroll som kan

utövas av ett personuppgiftsombud. Det är också viktigt att enskilda registrerade enkelt kan vända sig till rätt person hos myndigheterna bl.a. i frågor om information om behandlingen och om rättelse av felaktiga uppgifter. Det finns således starka skäl som talar för att det ska finnas personuppgiftsombud. Tullverket har också självmant valt att utse personuppgiftsombud.

Regeringen bedömer det därför vara lämpligt att införa en uttrycklig skyldighet för Tullverket att i fråga om behandling av personuppgifter i den brottsbekämpande verksamheten utse personuppgiftsombud. I likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen bör det då också särskilt föreskrivas i den nya lagen att myndigheten ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen när ett personuppgiftsombud utses eller entledigas. Bestämmelsen har efter synpunkten från Kammarrätten i Sundsvall getts en något annorlunda utformning.

Förslaget genomförs genom 2 kap. 4 § i den nya lagen.

Hänvisningar till S9-4

9.5. Den interna tillgången till personuppgifter ska begränsas

Regeringens förslag: Tillgången till uppgifter ska begränsas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter.

Det ska föras in en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat och annorlunda placerat.

Remissinstanserna: Migrationsverket anger att utifrån integritetssynpunkt är promemorians förslag väl avvägt när det gäller den interna tillgången till personuppgifter. I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag: Stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg utgör allmänt sett en betydande risk för intrång i den personliga integriteten.

Risken för integritetsintrång är givetvis särskilt stor om det – såsom ofta är fallet i brottsbekämpande verksamhet – rör sig om känsliga uppgifter. Risken påverkas bl.a. av hur uppgifterna sprids och vem som har rätt att använda dem.

Den nuvarande tullbrottsdatalagen innehåller dels en bestämmelse om att åtkomsten till tullbrottsdatabasen ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (4 §), dels bestämmelser om att direkt tillgång till uppgifter i vissa ärenden bara får medges de personer som arbetar med det specifika ärendet (12 § andra stycket och 14 § andra stycket). Liknande bestämmelser finns också när det gäller uppgifter avseende internationella åtaganden (15 § andra stycket).

I polisdatalagen och kustbevakningsdatalagen finns enbart en reglering som liknar den förstnämnda bestämmelsen, nämligen en generellt utfor-

mad, åtkomstbegränsande bestämmelse som i princip överlåter till myndigheten att, utifrån respektive myndighets organisation och struktur, säkerställa att åtkomsten till personuppgifter begränsas till vad varje tjänsteman behöver för att fullföra sina arbetsuppgifter (2 kap. 11 § polisdatalagen respektive 2 kap. 3 § kustbevakningsdatalagen).

Enligt 30 § personuppgiftslagen får de personer som arbetar under den personuppgiftsansvariges ledning behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Den personuppgiftsansvarige måste alltså utarbeta instruktioner för personalens behandling av personuppgifter. Enligt 31 § personuppgiftslagen är den personuppgiftsansvarige vidare skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas så att det åstadkoms en säkerhetsnivå som är lämplig med beaktande av vissa i paragrafen angivna faktorer. Dessa bestämmelser i personuppgiftslagen ska enligt regeringens förslag gälla vid behandling av personuppgifter enligt den nya lagen (se avsnitt 9.2).

Den nya lagen bör bygga på principen att enbart de personer som behöver uppgifterna för att fullgöra sitt arbete ska ha tillgång till dem. En bestämmelse med denna innebörd bör enligt regeringens mening, i stor likhet med vad som gäller enligt nuvarande tullbrottsdatalag, tas in i den nya lagen. Bestämmelsen omfattar både direkt tillgång till automatiserade uppgiftssamlingar och tillgång i allmänhet. Tullverket ska således organisera sin verksamhet och ordna sitt arbetssätt på ett sådant sätt att obefogad intern spridning av personuppgifter motverkas. Bestämmelsen får också till följd att enskilda tjänstemän blir förhindrade att ge den som inte behöver vissa personuppgifter för sitt arbete tillgång till uppgifterna.

Den föreslagna bestämmelsen om tillgång till personuppgifter innebär en generell begränsning av åtkomsten till uppgifter för att förhindra att tjänstemän får tillgång till mer information än vad de behöver för att kunna fullgöra sina arbetsuppgifter. Därefter är det Tullverkets uppgift att, utifrån myndighetens organisation och arbetssätt, säkerställa att åtkomsten till personuppgifter begränsas i enlighet med bestämmelsen. För att kunna säkerställa detta kan det finnas behov av närmare föreskrifter på området. Det bör därför föras in en bestämmelse i den nya lagen som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter. Det görs därvid en uttrycklig hänvisning till 8 kap. 7 § regeringsformen.

Förslaget genomförs genom 2 kap. 11 § i den nya lagen.

Hänvisningar till S9-5

10. Tillåtna ändamål för behandlingen

10.1. Allmänt om ändamålen

Regeringens bedömning: I lagen bör det anges för vilka ändamål behandling av personuppgifter får förekomma i Tullverkets brottsbekämpande verksamhet. Ändamålen bör delas in i primära och sekundära ändamål.

De primära ändamålen bör avse behandling av personuppgifter för att tillgodose de behov som finns inom Tullverkets brottsbekämpande verksamhet. Dessa ändamål bör vara uttömmande angivna i lagen.

De sekundära ändamålen bör avse behandling för olika typer av utlämnande av personuppgifter från Tullverkets brottsbekämpande verksamhet. I fråga om behandling av personuppgifter för andra sekundära ändamål än de i lagen angivna bör den s.k. finalitetsprincipen tillämpas.

Promemorians bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Datainspektionen anger att i likhet med vad inspektionen anfört i remissbehandlingen avseende förslagen till polisdatalag, kustbevakningsdatalag och lag om behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet kan det ifrågasättas om bestämmelserna om ändamål i promemorians förslag uppfyller kraven enligt grundläggande dataskyddsprinciper på att personuppgifter endast får samlas in för specifika och legitima ändamål och att de inte får användas på ett sätt som är oförenligt med dessa ändamål. Detta gör sig särskilt starkt gällande mot bakgrund av att det nu föreslås väsentligt utökade möjligheter att sprida information mellan Tullverkets brottsbekämpande verksamhet och den fiskala verksamheten.

I övrigt yttrar sig ingen remissinstans särskilt över bedömningen.

Skälen för regeringens bedömning

Ändamålsbestämmelserna bör ge utrymme för att bedriva det brottsbekämpande arbetet med modern teknik

Bestämmelser om för vilka ändamål som personuppgifter får behandlas har en central roll i särskilda registerförfattningar. Genom ändamålen sätts ramen för vilken behandling som är tillåten. Enligt centrala dataskyddsprinciper får uppgifter endast samlas in för specifika och legitima ändamål. Vidare får insamlade personuppgifter inte behandlas för något ändamål som är oförenligt med det ursprungliga ändamålet (den s.k. finalitetsprincipen). Dessa principer kommer till uttryck bl.a. i artikel 6.1 a i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31, Celex 31995L0046), dataskyddsdirektivet, och i artikel 3 i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, dataskyddsrambeslutet. Bestämmelserna finns genomförda i svensk rätt genom 9 § första stycket c och d personuppgiftslagen (1998:204).

I Tullverkets brottsbekämpande verksamhet förekommer vitt skilda slag av behandling av personuppgifter. Det handlar t.ex. om sedvanligt kontorsarbete. Det är självklart att Tullverket, i likhet med vad som gäller enligt den nuvarande lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (kallad tullbrottsdatalagen), polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145), i den brottsbekämpande verksamheten bör ha samma möjligheter som andra myndigheter att använda modern teknik för att upprätta vanliga

dokument, göra löpande noteringar i arbetet m.m. Sådant teknikutnyttjande innefattar inte heller i sig några påtagliga integritetsrisker.

Tullverket behöver också i sin brottsbekämpande verksamhet, liksom i dag, kunna använda mer kvalificerad behandling av personuppgifter, t.ex. i form av uppbyggandet och förandet av stora uppgiftssamlingar som är tillgängliga för ett flertal personer. Sådan behandling ger givetvis upphov till större risker för intrång i den personliga integriteten än hanteringen av enskilda dokument. I detta fall behövs därför en reglering som möter behovet av att kunna värna den enskildes integritet.

Ändamålsbestämmelserna bör utformas så att de ger utrymme för att bedriva brottsbekämpande arbete på ett effektivt sätt med modern teknik och omfatta all behandling av personuppgifter oavsett om den är av mer kvalificerat slag eller inte.

Primära och sekundära ändamål

Utgångspunkten i den nya lagen är att personuppgifter bara ska få behandlas för vissa berättigade, särskilt angivna ändamål. Därmed kan användningen och spridningen av personuppgifterna begränsas. Frågan är då hur ändamålsregleringen bör utformas.

I den nuvarande tullbrottsdatalagen delas ändamålen upp i primära och sekundära, vilket är en vanligt förekommande ordning i särskilda registerförfattningar. Motsvarande struktur har använts i både polisdatalagen och kustbevakningsdatalagen.

De primära ändamålen är utformade för att tillgodose den behandling som behövs i den berörda myndighetens egen reglerade verksamhet. Sekundära ändamål reglerar i vilken utsträckning uppgifter som samlats in för något primärt ändamål får behandlas för att lämnas ut från den reglerade verksamheten till enskilda eller till andra myndigheter eller verksamheter. Utlämnande sker således i syfte att tillgodose deras behov, dvs. trots att det inte behövs för något primärt ändamål. För Tullverkets del kan det vara fråga om att uppgifter i den brottsbekämpande verksamheten behöver lämnas ut för att användas i brottsbekämpande verksamhet som någon annan myndighet bedriver, eller till en annan verksamhet som Tullverket bedriver.

Regeringen anser att ändamålen även i den nya lagen bör delas in i primära och sekundära ändamål. I avsnitt 10.2 behandlas de primära ändamålen för behandlingen av personuppgifter i Tullverkets brottsbekämpande verksamhet. I avsnitt 10.3 behandlas de sekundära ändamålen för vilka personuppgifter ska få behandlas.

Överväganden och förslag som avser diarieföring och ärendehantering redovisas i avsnitt 10.4.

Bestämmelserna om de tillåtna ändamålen med behandlingen bör gälla även behandling av uppgifter om juridiska personer, se avsnitt 8.2.

Finalitetsprincipen

Finalitetsprincipen innebär att insamlade personuppgifter inte får behandlas för något ändamål som är oförenligt med det ursprungliga ändamålet. Det finns flera möjligheter att utforma ändamålsregleringen i särskilda registerförfattningar i förhållande till finalitetsprincipen. Det går dock att urskilja två principiellt olika sätt. Det ena är att i en uttöm-

mande uppräkning ange samtliga ändamål för vilka behandling får ske, både primära och sekundära. Den tekniken har använts i den nuvarande tullbrottsdatalagen. Det andra är att de i lagen angivna ändamålen kompletteras med en möjlighet att vidarebehandla personuppgifter även för ändamål som inte är oförenliga med insamlingsändamålet. Möjligheten till vidarebehandling får då avgöras med tillämpning av finalitetsprincipen. I flera särskilda registerförfattningar, däribland polisdatalagen och kustbevakningsdatalagen, är ändamålsbestämmelserna utformade enligt det senare alternativet.

En utgångspunkt för den nya lagen bör vara att de tillåtna ändamålen för behandling av personuppgifter anges så tydligt och fullständigt som möjligt. De primära ändamålen, dvs. de ändamål för vilka Tullverket får samla in personuppgifter i sin brottsbekämpande verksamhet, bör därför även fortsättningsvis, i likhet med nuvarande tullbrottsdatalag, polisdatalagen och kustbevakningsdatalagen, anges uttömmande.

En svårare fråga är om även de sekundära ändamålen – som anger när de personuppgifter som med stöd av de primära ändamålen har samlats in i Tullverkets brottsbekämpande verksamhet får lämnas ut från verksamheten trots att det inte behövs enligt de primära ändamålen – bör anges uttömmande, på motsvarande sätt som gäller enligt den nuvarande tullbrottsdatalagen. Det kan finnas fördelar med en sådan reglering. Lagstiftaren kan sägas en gång för alla ha bestämt i vilken utsträckning uppgifter ska få behandlas för att spridas till andra. Under förutsättning att ändamålen är tydligt avgränsade står det genom en sådan reglering klart för både tillämpare och andra vilken behandling av personuppgifter som får förekomma med stöd av den aktuella lagen. I förarbetena till flera särskilda registerförfattningar har regeringen dock gjort bedömningen att det inte är möjligt att i en lag om behandling av personuppgifter på ett visst område på ett tillräckligt preciserat sätt ange alla de situationer där utlämnande av uppgifter kan komma att aktualiseras, se propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 98) och propositionen Kustbevakningsdatalag (prop. 2011/12:45 s. 102).

Att bedöma nuvarande och förutse framtida behov av att kunna få lämna ut personuppgifter är svårt i Tullverkets brottsbekämpande verksamhet. Tullverket har också upplevt att den nuvarande ordningen med uttömmande uppräkning av samtliga ändamål har begränsat myndighetens möjligheter att anpassa sig till samhällsutvecklingen och den ökade samverkan med andra myndigheter som efterfrågas. Regeringen anser att de sekundära ändamålen inte bör anges uttömmande i den nya lagen. I ett enskilt fall bör personuppgifter som samlats in enligt de primära ändamålen även få behandlas för att tillhandahålla information för något annat ändamål än de som uttryckligen anges i lagen, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket personuppgifterna samlades in. Motsvarande gäller enligt polisdatalagen och kustbevakningsdatalagen.

Den hänvisning till 9 § första stycket c och d personuppgiftslagen som föreslås i den nya lagen, se avsnitt 9.2, innebär att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt finalitetsprincipen (9 § första stycket d) får insamlade uppgifter sedan inte behandlas för ändamål som är oförenliga med det ursprungliga

ändamålet. En av de övergripande arbetsuppgifterna för den brottsbekämpande verksamheten är att utreda brott och bekämpa brottslig verksamhet. Har personuppgifter samlats in för att utreda ett visst brott, kan det generellt sett inte anses vara oförenligt med det ursprungliga ändamålet att behandla samma personuppgifter för att utreda ett annat brott eller bekämpa brottslig verksamhet (se prop. 2009/10:85 s. 99). I vissa undantagsfall har lagstiftaren dock bedömt att behandling för sådana nya ändamål inte bör vara tillåten. Uttrycklig reglering om detta har då införts. Sådan reglering finns i bl.a. 27 kap. 23 a § rättegångsbalken, som begränsar användningen av s.k. överskottsinformation från hemliga tvångsmedel till enbart de fall som direkt anges. Vidare kan det – när svenska myndigheter mottar uppgifter från andra stater – finnas villkor som på grund av en internationell överenskommelse är bindande för de svenska myndigheterna och som begränsar möjligheterna att använda uppgifterna eller bevisningen. I t.ex. 4 kap. 2 § lagen (2000:1219) om internationellt tullsamarbete, 3 § lagen (2000:343) om internationellt polisiärt samarbete, 8 § lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen och 5 kap. 1 § lagen (2000:562) om internationell rättslig hjälp i brottmål finns det bestämmelser som innebär att svenska myndigheter ska följa sådana villkor oavsett vad som är föreskrivet i lag eller annan författning.

En grundtanke är alltså att det inom Tullverkets brottsbekämpande verksamhet, liksom i dag, bör vara tillåtet att använda sig av personuppgifter som samlats in för ett visst brottsbekämpande ändamål för ett annat sådant ändamål, om det finns behov av detta och det är tillåtet enligt den reglering som gäller för Tullverkets brottsbekämpande verksamhet. Under sistnämnda förutsättning bör ett utlämnande av personuppgifterna från verksamheten också få ske om det behövs för brottsbekämpande ändamål hos andra myndigheter eller för vissa andra sekundära ändamål som kan förutses och som i det enskilda fallet får anses förenliga med finalitetsprincipen. Genom att ange de primära ändamålen och nämnda sekundära ändamål i lagen görs ställningstagandet att vidarebehandling för dessa ändamål är förenlig med finalitetsprincipen. När det gäller de sekundära ändamålen bör också dessa uttryckas så preciserat och fullständigt som möjligt. Det bör vidare krävas att behandlingen är nödvändig för att tillhandahålla information som behövs i annan verksamhet i vissa uppräknade fall. För andra sekundära ändamål än de som anges särskilt måste en bedömning i förhållande till finalitetsprincipen dock göras i varje enskilt fall. Vidare måste ett utlämnande av personuppgifter givetvis också vara förenligt med offentlighets- och sekretesslagen (2009:400) för att det ska kunna ske.

Regleringsmetoden överensstämmer med den som använts i polisdatalagen och kustbevakningsdatalagen.

Regleringen ska vara förenlig med dataskyddsprinciper Datainspektionen anser att det kan ifrågasättas om bestämmelserna om ändamål i promemorians förslag uppfyller kraven enligt grundläggande dataskyddsprinciper på att personuppgifter endast får samlas in för specifika och legitima ändamål och att de inte får användas på ett sätt

som är oförenligt med dessa ändamål. I det följande presenteras förslagen om reglering avseende de primära och sekundära ändamålsbestämmelserna, samt förslaget avseende finalitetsprincipen. Regeringen bedömer att förslagen uppfyller kraven på förenlighet med relevanta dataskyddsprinciper.

Hänvisningar till S10-1

10.2. Tullverkets brottsbekämpande verksamhet

Regeringens förslag: Bestämmelsen om de primära ändamålsbestämmelserna ska föras över oförändrad in i den nya lagen. Personuppgifter ska således få behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller beivra brott, eller

3. fullgöra de förpliktelser som följer av internationella åtaganden.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: Datainspektionen anger att det centrala begreppet brottsbekämpning innefattar vitt skilda saker från utredning av ett konkret och begånget brott till vagt definierat brottsförebyggande arbete och att det innebär att Tullverket ges mycket vida befogenheter att behandla personuppgifter. Datainspektionen har visserligen förståelse för behovet av en effektiv och flexibel lagstiftning inom det brottsbekämpande området, men bestämmelserna får inte utformas på ett sätt som öppnar upp för alltför skönsmässiga bedömningar.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag: Tullverket har brottsbekämpande uppgifter av skilda slag där behovet av att behandla personuppgifter varierar. När det gäller den närmare avgränsningen av de primära ändamålen i brottsbekämpande verksamhet kan konstateras att man i svensk lagstiftning brukar skilja mellan verksamhet med att förebygga, förhindra eller upptäcka brottslig verksamhet och verksamhet som innefattar att utreda och beivra konkreta brott. Verksamheten med att utreda och beivra brott utförs med anledning av att ett konkret brott har eller misstänks ha begåtts, medan underrättelseverksamhet utförs med anledning av misstankar om pågående brottslig verksamhet som inte kan konkretiseras eller allmänna misstankar om framtida brott. Arbetet inom underrättelseverksamheten består främst i att samla in, bearbeta och analysera information.

Tullverket bedriver brottsbekämpande verksamhet som avser misstankar om både brott och brottslig verksamhet, som avses ovan. Dessutom deltar Tullverket i internationellt samarbete enligt internationella överenskommelser som ålägger verket vissa förpliktelser.

En stor del av det gränsöverskridande samarbetet äger rum som ett led i förebyggande, utredning eller lagföring av svensk brottslighet, t.ex. när en svensk myndighet begär rättslig hjälp i en annan stat. Behandlingen av personuppgifter och utlämnandet av information sker då med stöd av de primära ändamålen att förebygga, förhindra eller upptäcka brottslig verksamhet eller att utreda eller beivra brott i Sverige. När Tullverket

bistår andra länder med uppgifter som behövs i deras verksamhet sker behandlingen med stöd av ändamålet att fullgöra ett internationellt åtagande. Genom en lagändring som trädde i kraft den 1 juli 2013 ändrades den tidigare ordalydelsen av den primära ändamålsbestämmelsen i den nuvarande tullbrottsdatalagen som reglerar det internationella samarbetet på så sätt att en hänvisning till lagen om internationellt tullsamarbete ersattes med en hänvisning till internationella åtaganden. Lagändringen syftade till att ändamålsbestämmelsen skulle omfatta hela det internationella samarbete som Tullverket är ålagd att delta i, inte bara internationellt samarbete enligt den angivna lagen.

Den nuvarande 7 § tullbrottsdatalagen tillåter behandling för tre primära ändamål: förebygga, förhindra eller upptäcka brottslig verksamhet (1), utreda eller beivra visst brott (2) eller fullgöra förpliktelser som följer av internationella åtaganden (3). I princip likalydande bestämmelser om de primära ändamålen i fråga om brottsbekämpande verksamhet finns i polisdatalagen och kustbevakningsdatalagen.

Vad gäller punkten utreda eller beivra brott kan nämnas att huvuddelen av den brottsbekämpande verksamheten består av förundersökning eller annan utredning enligt bestämmelserna i 23 kap. rättegångsbalken. Tullverket har även vissa arbetsuppgifter som avser beivrande av brott, under vilket främst faller tullåklagarens rätt att förelägga ordningsbot och att utfärda strafförelägganden.

Det har inte framkommit att det i den brottsbekämpande verksamheten skulle finnas behov av att för något annat ändamål än de nu gällande samla in eller annars behandla personuppgifter för Tullverkets egen räkning. Regeringen hänvisar därför till tidigare förarbetsuttalanden, se t.ex. propositionen Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164). Regeringen föreslår således att bestämmelsen om de primära ändamålen i den nuvarande tullbrottsdatalagen, som motsvarar bestämmelserna i polisdatalagen och kustbevakningsdatalagen, i sak oförändrad tas in i den nya lagen. Bestämmelsen är alltså avsedd att ha samma innebörd som i dag.

Datainspektionen anger att det centrala begreppet brottsbekämpning innefattar vitt skilda saker från utredning av ett konkret och begånget brott till vagt definierat brottsförebyggande arbete och att det innebär att

Tullverket ges mycket vida befogenheter att behandla personuppgifter. Regeringen vill framhålla, som också framgår ovan, att det nu inte är fråga om någon utvidgning av möjligheterna att behandla personuppgifter utan om att behålla befintlig reglering.

Förslaget genomförs genom 2 kap. 5 § i den nya lagen.

Hänvisningar till S10-2

10.3. Behandling av personuppgifter för att tillhandahålla information till andra

Regeringens förslag: Personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet enligt de primära ändamålen ska även få behandlas om det är nödvändigt för att tillhandahålla information som behövs i

1. brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket,

2. brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation,

3. verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten,

4. annan verksamhet som Tullverket ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,

5. en myndighets verksamhet – om Tullverket enligt lag eller annan förordning är skyldig att bistå myndigheten med någon viss uppgift, eller

– om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.

Personuppgifter ska även få behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt till andra, om skyldighet att lämna uppgifter följer av lag eller förordning.

I ett enskilt fall ska personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet även få behandlas för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: När det gäller tillhandahållande av information till andra myndigheter med brottsbekämpande verksamhet välkomnar

Ekobrottsmyndigheten att det föreslås att Tullverket får behålla möjligheten att behandla personuppgifter i sin brottsbekämpande verksamhet för att tillhandahålla information som andra brottsbekämpande myndigheter behöver i sin verksamhet. För att på ett rationellt sätt använda samhällets samlade resurser för att bekämpa brottslighet är det självklart att de brottsbekämpande myndigheterna ges möjlighet att utbyta information sinsemellan på ett effektivt sätt.

När det gäller tillhandahållande av information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten välkomnar Kriminalvården förslaget.

När det gäller tillhandahållande av information vid myndighetssamverkan mot brott anger Ekobrottsmyndigheten att det är positivt att Tullverket får möjlighet att behandla personuppgifter för att tillhandahålla information även till myndigheter som inte har ett brottsbekämpande uppdrag.

När det gäller tillhandahållande av information till annan verksamhet inom Tullverket lämnar följande remissinstanser synpunkter.

Svea hovrätt anger att i promemorian föreslås att personuppgifter får behandlas för att tillhandahålla information som behövs i annan verksamhet hos Tullverket, om det finns särskilda skäl att tillhandahålla informationen. I promemorian sägs att ”informationen får alltså inte rutinmässigt tillhandahållas, utan det måste i det enskilda fallet finnas särskilda omständigheter som talar för att informationen bör tillhandahållas den fiskala verksamheten”. Enligt hovrätten är det inte helt klart vad som kan

utgöra sådana särskilda skäl. Detta bör preciseras och exemplifieras på sätt som har gjorts i förarbetena till polisdatalagen, inte minst mot bakgrund av att gränsdragningen mellan den fiskala och den brottsbekämpande verksamheten inom Tullverket inte är helt tydlig.

Kammarrätten i Sundsvall ifrågasätter inte vikten av effektiv samverkan som utgör utgångspunkt i promemorian men ställer sig frågande till om det har gjorts nödvändiga avvägningar mellan effektiv samverkan och integritetsskydd. Ett exempel på bristande avvägning mellan effektiv samverkan och integritetsskydd är förslaget om informationsutbyte mellan Tullverkets brottsbekämpande och fiskala verksamhet, utöver samverkan mot brott. I promemorian har inte tillräckligt analyserats skillnaderna mellan de två verksamheterna eller hur avvägningen mellan integritetsskyddet och samverkan ska göras vid informationsutbytet mellan dessa. Informationsutbytet har inte heller ställts i relation till finalitetsprincipen. Att i lagen ange de sekundära ändamålen gör inte att dessa per automatik är förenliga med finalitetsprincipen på det sätt som promemorian gör gällande.

Skatteverket ser behov av en djupare analys av konsekvenserna när det gäller den föreslagna möjligheten till uppgiftslämnande mellan Tullverkets olika verksamheter. Det är viktigt för Skatteverket att veta till vilket eller vilka ändamål uppgifter lämnas ut eftersom det kan ha betydelse för sekretessprövningen hos Skatteverket.

Sveriges advokatsamfund anser att lydelserna ”annan verksamhet” och ”särskilda skäl” i författningsförslaget är för otydliga och ger utrymme för oklarheter vid tolkning och för skönsmässiga bedömningar. Det måste tydligare framgå vad som avses med dessa lokutioner, såväl i lag som i förarbeten. Följden blir annars bl.a. att Tullverket ges stora möjligheter att själv tolka dessa begrepp och att därmed skapa den praxis som man anser lämplig. Verksamhet som avses bör räknas upp. ”Särskilda skäl” bör förtydligas och de ”särskilda omständigheter” som endast kortfattat hänvisas till i promemorian, bör räknas upp i lagen.

Tjänstemännens Centralorganisation (TCO) och Tull-Kust ser behov av att kunna utbyta uppgifter mellan den brottsbekämpande verksamheten och den fiskala verksamheten bl.a. för att mer effektivt kunna bekämpa den ekonomiska brottsligheten.

Skälen för regeringens förslag

Allmänna utgångspunkter

I detta avsnitt behandlas hur de sekundära ändamålen bör anges och därmed i vilken utsträckning personuppgifter som har samlats in enligt de primära ändamålen ska få lämnas ut för att användas även av andra myndigheter eller i annan verksamhet som Tullverket bedriver, för dessas behov. Med annan verksamhet som Tullverket bedriver avses den som regleras av lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, kallad tulldatalagen, dvs. Tullverkets verksamhet under Effektiv handel.

Det bör dock inledningsvis påpekas att utlämnande av personuppgifter till andra också kan ske inom ramen för något av de primära ändamålen, som behandlas i avsnitt 10.2. Utlämnande av uppgifter till andra kan i många fall nämligen vara ett led i den egna brottsbekämpande verksam-

heten eller förpliktelser som följer av internationella åtaganden och således omfattas av de primära ändamålen.

Som framgår av avsnitt 6.2 har regeringen tagit initiativ till myndighetsgemensam samverkan mot organiserad brottslighet. I departementspromemorian Nationell mobilisering mot den grova organiserade brottsligheten – överväganden och förslag gavs förslag på åtgärder för en effektivare och mer uthållig bekämpning av denna typ av brottslighet (Ds 2008:38). En av de viktigaste åtgärderna som lyftes fram är just ökad samverkan mellan myndigheter. Utredningen om informationsutbyte vid brottsbekämpning m.m. (Ju 2010:02), med uppdrag att se över och förbättra möjligheterna att utbyta information mellan myndigheter som samarbetar för att bekämpa grov organiserad brottslighet, lämnade slutbetänkandet Informationsutbyte vid samarbete mot grov organiserad brottslighet (SOU 2011:80). I detta sågs behovet av nödvändiga författningsändringar på sekretessens område över. I betänkandet påpekades att det även kunde finnas behov av individuella ändringar i vissa myndigheters särskilda registerförfattningar, men detta ansågs inte omfattas av utredningens direktiv. Lagändringar på området har trätt i kraft den 15 augusti 2016. En lag om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet (2016:774) och sammanhörande förordning har införts och kompletterande ändringar i vissa myndigheters registerförfattningar har gjorts, bl.a. i tulldatalagen, se propositionen Informationsutbyte vid samverkan mot organiserad brottslighet (prop. 2015/16:167). I lagen om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet föreskrivs att vid särskilt beslutad samverkan mellan myndigheterna i visst avseende ska en myndighet trots sekretess lämna uppgift till en annan myndighet om det behövs för den mottagande myndighetens deltagande i samverkan (1 och 2 §§). Ändringarna syftar till att underlätta informationsutbytet mellan myndigheter som samverkar för att förebygga, förhindra eller upptäcka viss organiserad brottslighet. Ändringen i tulldatalagen utgör ett tillägg i ändamålsbestämmelsen i 1 kap. 5 § om att uppgifter även får behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning. Genom ändringarna har en del av de hinder som funnits för Tullverkets del i den nämnda samverkan undanröjts.

Närmare frågor om på vilket sätt utlämnandet av personuppgifter bör få ske berörs inte i detta avsnitt utan i avsnitt 13.

Det kan i detta sammanhang nämnas att eftersom regleringen av de sekundära ändamålen inte föreslås vara uttömmande finns det ett visst utrymme att tillhandahålla personuppgifter även för andra ändamål än de i lagen angivna, under förutsättning att det nya ändamålet inte kan anses oförenligt med insamlingsändamålet (finalitetsprincipen), se nedan under rubriken Finalitetsprincipen och avsnitt 10.1. Som tidigare betonats är dock målsättningen att de sekundära ändamålen ska vara så fullständiga som möjligt och omfatta det uppgiftsutlämnande från den brottsbekämpande verksamheten som kan förutses.

Tillhandahållande av information till andra myndigheter med brottsbekämpande verksamhet

I den nuvarande tullbrottsdatalagen finns det en uttrycklig bestämmelse som anger att de personuppgifter som behandlas enligt de primära ändamålen i Tullverkets brottsbekämpande verksamhet även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i författningsreglerad brottsbekämpande verksamhet hos ett antal andra uppräknade myndigheter. Dessa myndigheter är Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Skatteverket och Kustbevakningen (8 §). Liknande bestämmelser finns också i polisdatalagen (2 kap. 8 § första stycket 1) och kustbevakningsdatalagen (3 kap. 3 § första stycket 1).

Det är från brottsbekämpande synpunkt angeläget att samhällets samlade resurser används på ett så rationellt och effektivt sätt som möjligt. Brottsligheten känner inga geografiska gränser eller myndighetsgränser. Att brottsbekämpande myndigheter ska samverka framstår därför som självklart, vilket också har bekräftats genom bl.a. regeringsbeslut om samverkan mot organiserad brottslighet, se ovan. Lika självklart är att en sådan samverkan förutsätter möjligheter till effektivt utbyte av information, vilket också har bekräftats genom bl.a. lagändringar om uppgiftsskyldighet vid samverkan, se ovan. Ett väl fungerande informationsutbyte skapar förutsättningar att se kopplingar mellan brottslighet inom skilda myndigheters ansvarsområden. Det är därför viktigt att den moderna teknikens möjligheter kan tas till vara för sådant informationsutbyte. Möjligheterna att utbyta information mellan olika myndigheters brottsbekämpande verksamhet bör därför inte försämras.

Mot denna bakgrund bör det även i den nya lagen uttryckligen regleras att de personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet även får behandlas när det är nödvändigt för att tillhandahålla information som andra brottsbekämpande myndigheter behöver i sin brottsbekämpande verksamhet. Berörda myndigheter bör likt i dag namnges i den nya lagen och det saknas anledning att i detta lagstiftningsärende ändra vilka myndigheter som omfattas av uppräkningen. De myndigheter som ska namnges i bestämmelsen bör därför motsvara de som anges i nuvarande tullbrottsdatalag.

Regeringen föreslår således att det införs en bestämmelse om att personuppgifter som behandlas enligt den föreslagna 2 kap. 5 § den nya lagen även ska få behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket.

Förslaget genomförs genom 2 kap. 6 § första stycket 1 i den nya lagen.

Tillhandahållande av information till utländska brottsbekämpande myndigheter eller organisationer

I den nuvarande tullbrottsdatalagen finns det inte någon ändamålsbestämmelse som särskilt tar sikte på utlämnande av uppgifter inom ramen för internationell samverkan när detta behövs för brottsbekämpande verksamhet hos utländska myndigheter eller organisationers behov. Sådan reglering finns dock i t.ex. polisdatalagen (2 kap. 8 § första stycket

2) och kustbevakningsdatalagen (3 kap. 3 § första stycket 2). Enligt dessa författningar får personuppgifter behandlas om det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation.

Inom ramen för det internationella samarbete som Tullverket bedriver måste den brottsbekämpande verksamheten kunna behandla personuppgifter för att lämna ut dem i den utsträckning det behövs både för att fullgöra internationella åtaganden, vilket är ett primärt ändamål, och när det annars är förenligt med svenska intressen. Det kan t.ex. vara fråga om att på begäran översända uppgifter till internationella organisationer eller att lämna upplysningar till en utländsk myndighet om vilka åtgärder som har vidtagits i Sverige med anledning av utländsk information. Eftersom det internationella informationsutbytet förutsätter att personuppgifter i vissa fall kan lämnas utan föregående förfrågan från en annan stat, bör det vara möjligt att behandla och lämna ut personuppgifter även om detta endast är ett allmänt åtagande enligt en överenskommelse men inte ett bindande krav. Sådan behandling bör även vara möjlig när det inte finns någon överenskommelse som reglerar uppgiftsutlämnandet, t.ex. för att kunna varna en behörig myndighet i ett annat land om ett förestående brott i det landet.

Lagen om internationellt tullsamarbete tillämpas på internationellt tullsamarbete som följer av en internationell överenskommelse med en annan stat eller mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa och som har till syfte att förhindra, upptäcka, utreda och beivra överträdelser av tullbestämmelser (1 kap. 1 § första stycket). I lagen finns vissa bestämmelser om utlämnande av uppgifter till utländska myndigheter och mellanfolkliga organisationer. Det är dock inte alltid som den lagen är tillämplig i Tullverkets brottsbekämpande verksamhet. Regeringen föreslår därför att det i den nya lagen tas in en bestämmelse om att personuppgifter som behandlas enligt den föreslagna 2 kap. 5 § även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation. Motsvarande bestämmelse finns som nämnts i polisdatalagen och kustbevakningsdatalagen.

I avsnitt 15.5.6 berörs olika frågor som rör informationsutbyte och sekretess i det internationella samarbetet.

Förslaget genomförs genom 2 kap. 6 § första stycket 2 i den nya lagen.

Tillhandahållande av information till Kriminalvården

Kriminalvården har bl.a. till uppgift att verka för att påföljder verkställs på ett säkert sätt och att återfall i brott förebyggs. Myndigheten är enligt 2 § förordningen (2007:1172) med instruktion för Kriminalvården skyldig att vidta särskilda åtgärder för att förhindra brottslighet under verkställigheten. Enligt 3 § 3 lagen (2001:617) om behandling av personuppgifter inom Kriminalvården får personuppgifter behandlas om det behövs för att upprätthålla säkerheten och förebygga brott bl.a. under den tid som en person är häktad eller intagen i kriminalvårdsanstalt. För detta ändamål ska Kriminalvården enligt 39 § förordningen (2001:682) om behandling av personuppgifter inom Kriminalvården föra ett särskilt register benämnt säkerhetsregistret.

I förarbetena till Kriminalvårdens särskilda registerförfattning anfördes att framväxten av kriminella sammanslutningar och nätverk förutsätter samarbete mellan Kriminalvården och polisen, se propositionen Behandling av personuppgifter inom kriminalvården (prop. 2000/01:126 s. 27). Att det behövs uppgiftsutbyte mellan polisen och Kriminalvården lyftes även fram av Rymningsutredningen (SOU 2005:6 s. 120), Beredningen för rättsväsendets utveckling (SOU 2005:117 s. 202 f.) och i lagstiftningsarbetet med polisdatalagen (prop. 2009/10:85 s. 119). Enligt polisdatalagen får personuppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten (2 kap. 8 § första stycket 5). I kustbevakningsdatalagen finns det inte någon sådan bestämmelse.

Regeringen bedömer i likhet med promemorian att ett motsvarande informationsutbyte som det som finns mellan Polismyndigheten och Kriminalvården behövs även mellan Tullverkets brottsbekämpande verksamhet och Kriminalvårdens verksamhet för att förebygga brott och upprätthålla säkerheten. Det är t.ex. viktigt att Kriminalvården kan få upplysningar även från Tullverkets brottsbekämpande verksamhet för att kunna göra riktiga bedömningar bl.a. när det gäller placering av intagna och beslut om permissioner i de fall då Tullverket varit ansvarigt för förundersökningen.

De överväganden som gjorts för polisens del (prop. 2009/10:85 s. 119) har således bäring även i förhållande till Tullverket. Den brottsbekämpande verksamheten hos Tullverket bör därför ges en lagreglerad möjlighet att behandla personuppgifter om det är nödvändigt för att tillhandahålla information som behövs i verksamheten hos Kriminalvården för att förebygga brott och upprätthålla säkerheten. En bestämmelse som tar sikte på ett sådant uppgiftslämnande bör således tas in i den nya lagen. Regeringen föreslår således att personuppgifter som behandlas enligt den föreslagna 2 kap. 5 § även ska få behandlas när det är nödvändigt för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten.

Förslaget genomförs genom 2 kap. 6 § första stycket 3 i den nya lagen.

Tillhandahållande av information vid myndighetssamverkan mot brott

Enligt den nuvarande tullbrottsdatalagen saknas det möjlighet att lämna ut personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet till icke brottsbekämpande myndigheter, såvida inte det utgör ett led i de primära ändamålen (7 §) eller uppgiftsskyldighet följer av lag eller förordning (9 §). Tullbrottsdatalagen saknar en hänvisning till finalitetsprincipen i 9 d § personuppgiftslagen och de sekundära ändamålen är således helt uttömmande angivna. Detta har skapat problem bl.a. inom ramen för myndighetssamverkan mot organiserad brottslighet liksom sådan samverkan mot terrorism. I dessa fall finns ingen specifik författningsreglerad uppgiftsskyldighet, men flera icke brottsbekämpande myndigheter deltar i det brottsbekämpande arbetet inom ramen för sina ansvarsområden.

Som nämnts ovan har genom de lagändringar som nyligen trätt i kraft avseende samverkan mot organiserad brottslighet en del av de hinder som förelegat för Tullverket i myndighetssamverkan undanröjts.

Det kan dock finnas annan samverkan mot brott som inte omfattas av den införda uppgiftsskyldigheten, t.ex. då sådan samverkan inte har beslutats särskilt eller avser annan typ av brottslighet. Tullverket deltar också i samverkan mot terrorism, se avsnitt 6.2, som inte nödvändigtvis kan komma att omfattas av den nya lagen om uppgiftsskyldighet. Det bedöms därför finnas behov av en ändamålsbestämmelse som tar sikte på uppgiftsutbyte i samverkan mot brott. Utgångspunkten är vidare att de sekundära ändamålen ska anges så uttömmande som möjligt. Som har nämnts tidigare finns även fördelar med en samstämmig lagstiftning för involverade myndigheter.

En bestämmelse som möjliggör ett uppgiftsutbyte till andra än brottsbekämpande myndigheter vid bl.a. sådan samverkan finns i polisdatalagen och kustbevakningsdatalagen. Enligt polisdatalagen får personuppgifter behandlas om det är nödvändigt för att tillhandahålla information som behövs i en myndighets verksamhet om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott (2 kap. 8 § första stycket 7 b).

En effektiv brottsbekämpning förutsätter samverkan inte bara mellan myndigheter som har till uppgift att bekämpa brott utan även mellan brottsbekämpande myndigheter och andra myndigheter. Sådan samverkan sker redan i dag t.ex. i regionala underrättelsecentrum (se avsnitt 6.2). Vilka myndigheter som är representerade i ett underrättelsecentrum varierar. Kronofogdemyndigheten, Skatteverket, Kriminalvården, Migrationsverket och Försäkringskassan är exempel på myndigheter som deltar i sådan samverkan. Tullverket har, i likhet med t.ex. Skatteverket, fått i uppdrag av regeringen att ingå i samverkan, och därmed inom ramen för hela Tullverkets uppdrag.

Regeringen anser att Tullverket i sin brottsbekämpande verksamhet bör ha samma möjligheter som Polismyndigheten och Kustbevakningen att behandla personuppgifter för att tillhandahålla information till myndigheter som inte har brottsbekämpande verksamhet, när syftet är att samverka mot brott. I detta sammanhang kan även vidtagandet av tullåtgärder mot kriminella vara ett led i att försvåra den brottsliga verksamheten. Det är därför rimligt att detta uppgiftsutbyte även inkluderar en intern uppgiftsöverföring inom Tullverket.

Mot denna bakgrund föreslår regeringen en bestämmelse om att personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet enligt den föreslagna 2 kap. 5 § även ska få behandlas när det är nödvändigt för att tillhandahålla information som behövs i en myndighets verksamhet, om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott.

När det gäller Tullverket bedrivs som nämnts både brottsbekämpande och icke brottsbekämpande verksamhet. Ett uppgiftslämnande med stöd av nu aktuell bestämmelse kan således komma att ske inte bara till andra myndigheters verksamhet, utan även inom myndigheten, nämligen till Tullverkets verksamhet under Effektiv handel. Under efterföljande rubrik behandlas frågan om ett sådant internt uppgiftsutbyte ska kunna ske även i vissa andra fall.

Förslaget genomförs genom 2 kap. 6 § första stycket 5 b i den nya lagen.

Tillhandahållande av information till annan verksamhet som Tullverket ansvarar för

Det finns behov av en reglering som tillåter uppgiftsutbyte inom myndigheten även i vissa andra fall än ovan angivna. Sådana bestämmelser finns i polisdatalagen och kustbevakningsdatalagen, där det har införts bestämmelser som medger behandling av personuppgifter för att tillhandahålla information från den brottsbekämpande verksamheten hos Polismyndigheten och Kustbevakningen som behövs i annan verksamhet hos respektive myndighet i vissa fall (2 kap. 8 § första stycket 4 polisdatalagen och 3 kap. 3 § första stycket 3 kustbevakningsdatalagen, se också prop. 2009/10:85 s. 119120 och prop. 2011/12:45 s. 111112).

Det är rimligt att Tullverket, som har i uppdrag att bekämpa organiserad brottslighet, inklusive ekonomisk brottslighet, har samma möjligheter att behandla uppgifter i den brottsbekämpande verksamheten för att tillhandahålla information i verksamheten under Effektiv handel oavsett om arbetet sker inom ramen för myndighetsöverskridande samverkan mot brott eller inte. Riksdag och regering har även gett Tullverket i uppdrag att säkerställa korrekt uppbörd och att restriktioner följs. Även sådana intressen kan i vissa fall utgöra skäl för tillhandahållande av personuppgifter till Tullverkets verksamhet under Effektiv handel.

Det är av stor vikt att Tullverket kan använda it-system, som förs med stöd av tulldatalagen (tulldatabasen), för att t.ex. spärra kommande importer från tredjeland som uppfyller vissa riskkriterier eller där det finns en misstanke om att en specifik aktör kommer att föra in omfattande mängder narkotika, illegala cigaretter eller misstänks för sådan ekonomisk brottslighet som medför illojal konkurrens. En sådan behandling bör som huvudregel omfattas av något av de primära ändamålen (se avsnitt 10.2) men det måste inte alltid vara fallet.

För att säkerställa att det finns stöd för Tullverkets brottsbekämpande verksamhet att tillhandahålla information för användning i annan verksamhet som Tullverket ansvarar för, anser regeringen att det finns skäl att införa en sekundär ändamålsbestämmelse om detta. För att det ska vara tillåtet ska det i likhet med vad som gäller för polisdatalagen krävas särskilda skäl.

Svea hovrätt anser det inte vara helt klart vad som kan utgöra sådana ”särskilda skäl” och anser att detta bör preciseras och exemplifieras på sätt som har gjorts i förarbetena till polisdatalagen, inte minst mot bakgrund av att gränsdragningen mellan den fiskala och den brottsbekämpande verksamheten inom Tullverket inte är helt tydlig. Sveriges advokatsamfund anser att lydelserna ”annan verksamhet” och ”särskilda skäl” i författningsförslaget är för otydliga och ger utrymme för oklarheter vid tolkning och för skönsmässiga bedömningar. Verksamhet som avses bör räknas upp, särskilda skäl förtydligas och de särskilda omständigheterna bör räknas upp i lagen.

Regeringen vill med anledning av detta lyfta fram följande. Användningen i annan verksamhet syftar på Tullverkets verksamhet som inte är brottsbekämpande och som brukar benämnas Effektiv handel, såsom

verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter, inklusive övervakning, revision och annan analys eller kontroll avseende denna verksamhet. Regeringen bedömer att det inte finns skäl att räkna upp varje relevant verksamhet i lagtext.

Vad gäller särskilda skäl innebär detta först och främst att en generell möjlighet för Tullverkets brottsbekämpande verksamhet att tillhandahålla information för sådan verksamhet under Effektiv handel inte ska finnas. Tillhandahållandet av information från den brottsbekämpande verksamheten för användning i den andra verksamheten bör förbehållas situationer där det tydligt kan identifieras ett starkt behov, dels med utgångspunkt i Tullverkets samlade ansvarsområden, dels utifrån vissa särskilda uppdrag som Tullverket har.

Tullverket har i uppdrag att begränsa den organiserade och storskaliga brottsligheten och minska antalet kriminella nätverk som ägnar sig åt narkotika-, alkohol- eller tobakssmuggling eller ekonomisk brottslighet. Att minska tillgången på narkotika i Sverige är av stor vikt. Omfattningen och karaktären av den brottslighet som Tullverket bekämpar vid myndighetsöverskridande samverkan mot brott skiljer sig ofta inte från den brottslighet som Tullverket bekämpar helt på egen hand. Av olika orsaker blir en fråga inte alltid ett ärende vid myndighetsöverskridande samverkan mot brott och det behöver inte innebära att den misstänkta brottsligheten är av mindre allvarlig karaktär. Det kan t.ex. vara att samverkan med andra myndigheter inte är nödvändig för att bekämpa brottsligheten. Nätverk inom organiserad brottslighet utnyttjar allt mer legala strukturer för att dölja eller för att bedriva sin kriminella verksamhet. Det är inte ovanligt att narkotika och cigaretter bipackas tillsammans med legala varusändningar, med eller utan importörens kännedom (se t.ex. Myndighetsgemensam lägesbild om grov organiserad brottslighet 2016–2017).

Flera remissinstanser efterlyser exempel på när nu aktuellt uppgiftslämnande kan komma att ske. Den föreslagna bestämmelsen är avsedd att medföra en möjlighet att t.ex. använda spärrsystemet i verksamheten under Effektiv handel för att Tullverket ska få en varning om vilka varusändningar som bör kontrolleras närmare. Behandling får därefter ske i den utsträckning det är tillåtet enligt tulldatalagen. Bestämmelsen ska också kunna tillämpas för tillhandahållande av information från den brottsbekämpande verksamheten i syfte att försvåra för allvarligt kriminella att fortsätta brottslig verksamhet som bedrivs i bolagsform genom att vidta åtgärder som hör till Effektiv handel, t.ex. en revision av bolagets import- och exportverksamhet eller en översyn av beviljade tillstånd.

Det kan vidare finnas fall där det, utan att syftet är att försvåra brottslig verksamhet, är befogat att personuppgifter behandlas i den brottsbekämpande verksamheten för att tillhandahålla information som behövs i verksamheten under Effektiv handel. Det kan handla om information om tullpliktig verksamhet som framkommit vid underrättelseverksamhet som inte lett till att misstankar om brottslig verksamhet har kunnat bekräftas, men där det ändå finns anledning att anta att tullagstiftningen på något mera allvarligt sätt inte har följts eller att tullbeslut blivit oriktiga på ett sådant sätt att det finns särskilda skäl att tillhandahålla information.

Återigen kan betonas att informationen alltså inte får tillhandahållas rutinmässigt, utan det måste i det enskilda fallet finnas särskilda omständigheter som talar för att informationen bör tillhandahållas den andra verksamheten.

Skatteverket ser behov av en djupare analys av konsekvenserna när det gäller den föreslagna möjligheten till uppgiftslämnande mellan Tullverkets olika verksamheter och anser det vara viktigt för Skatteverket att veta till vilket eller vilka ändamål uppgifter lämnas ut eftersom det kan ha betydelse för sekretessprövningen hos Skatteverket. Kammarrätten i Sundsvall ifrågasätter inte vikten av effektiv samverkan som utgör utgångspunkt i promemorian men ställer sig frågande till om det har gjorts nödvändiga avvägningar mellan effektiv samverkan och integritetsskydd samt till informationsutbytet i relation till finalitetsprincipen.

Vad gäller Skatteverkets synpunkt beskrivs ovan vilken behandling som nu aktuell bestämmelse tar sikte på.

Vad gäller Kammarrätten i Sundsvalls synpunkt om avvägningar mellan effektiv samverkan och integritetsskydd vill regeringen lyfta fram följande. Tullverkets verksamhet under Effektiv handel berör till största delen juridiska personer såsom tullpliktiga. Det är således främst information om juridiska personer som det skulle komma i fråga att tillhandahålla från den brottsbekämpande verksamheten. Enligt en uppskattning av Tullverket gjord 2004 avser ca 99 procent av uppgifterna näringsidkare, varav ca 97 procent är juridiska personer och ca två procent enskilda näringsidkare, se prop. 2004/05:164 s. 100. I samma proposition har regeringen uttalat att eftersom tulldatabasen till övervägande del innehåller uppgifter om juridiska personer och det nästan uteslutande är fråga om uppgifter som är hänförliga till näringsverksamhet, kan uppgifterna i systemet enligt regeringens uppfattning generellt inte anses vara direkt känsliga ur integritetssynpunkt (s. 100).

Vad gäller nu aktuellt förslag bör det även kunna bli aktuellt att i vissa särskilda fall tillhandahålla uppgifter om personer med enskild firma, dvs. uppgifter om fysiska personer. Det är viktigt att en avvägning sker mellan integritetsintressen och effektivitetsintressen innan uppgifter i det enskilda fallet förs vidare. Det måste framstå som proportionerligt att en uppgift förs över till den andra verksamheten. Det kan här påminnas om att det inte är fråga om ett rutinmässigt uppgiftslämnande, utan att det ska krävas särskilda skäl.

Regeringen vill härutöver lyfta fram att de sekundära ändamål som föreslås i detta avsnitt bedöms vara förenliga med finalitetsprincipen.

Regeringen föreslår således en bestämmelse om att personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet enligt den föreslagna 2 kap. 5 § även ska få behandlas när det är nödvändigt för att tillhandahålla information som behövs i annan verksamhet som Tullverket ansvarar för, om det finns särskilda skäl att tillhandahålla informationen. Förslaget motsvarar den bestämmelse som finns i polisdatalagen.

Förslaget genomförs genom 2 kap. 6 § första stycket 4 i den nya lagen.

Tillhandahållande av information i vissa andra fall

Det finns ytterligare fall där personuppgifter måste kunna få behandlas av Tullverket för utlämnande till andra. Tullverket måste t.ex. ha möjlig-

het att behandla personuppgifter om det behövs för att fullgöra författningsenliga förpliktelser att bistå en annan svensk myndighet. Det kan t.ex. vara att bistå åklagare i en förundersökning eller polis vid kontroll av utlänningars inresa eller utresa enligt utlänningslagen.

I polisdatalagen och kustbevakningsdatalagen finns reglering om att Polismyndigheten respektive Kustbevakningen får behandla personuppgifter när det är nödvändigt för att tillhandahålla information som behövs i en myndighets verksamhet under förutsättning att Polismyndigheten respektive Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift (se 2 kap. 8 § första stycket 7 a polisdatalagen och 3 kap. 3 § första stycket 4 a kustbevakningsdatalagen). Någon sådan bestämmelse finns inte i den nuvarande tullbrottsdatalagen. En bestämmelse som täcker in dessa behov för Tullverket bör dock enligt regeringens mening tas in i den nya lagen. Regeringen föreslår därför att en bestämmelse om att personuppgifter som behandlas enligt den föreslagna 2 kap. 5 § även ska få behandlas när det är nödvändigt för att tillhandahålla information som behövs i en myndighets verksamhet, om Tullverket enligt lag eller förordning är skyldigt att bistå myndigheten med viss uppgift.

Det finns enligt den nuvarande tullbrottsdatalagen möjlighet att lämna ut personuppgifter dels till riksdagen och regeringen, dels till andra i den utsträckning uppgiftsskyldighet följer av lag eller förordning (9 §). Motsvarande bestämmelser finns även i polisdatalagen (2 kap. 8 § andra stycket) och kustbevakningsdatalagen (3 kap. 3 § andra stycket). Något minskat behov av en sådan reglering har inte uppmärksammats. Regeringen föreslår därför att det även i den nya lagen anges att personuppgifter som behandlas enligt den föreslagna 2 kap. 5 § får behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen. Liksom i dag bör det också i den nya lagen anges att personuppgifter får behandlas om det är nödvändigt för att tillhandahålla information till andra i den utsträckning skyldighet att lämna personuppgifter följer av lag eller förordning.

Förslaget genomförs genom 2 kap. 6 § första stycket 5 a och andra stycket i den nya lagen.

Finalitetsprincipen

Som anges i avsnitt 10.1 anser regeringen att i fråga om behandling av personuppgifter för andra sekundära ändamål än de i lagen angivna ska den s.k. finalitetsprincipen tillämpas. Skälen för detta redovisas i det avsnittet. Regeringen föreslår därför en bestämmelse som motsvarar t.ex. vad som finns i kustbevakningsdatalagen och polisdatalagen, nämligen att i ett enskilt fall ska personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet även få behandlas för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Förslaget genomförs genom 2 kap. 6 § tredje stycket i den nya lagen.

Hänvisningar till S10-3

10.4. Behandling som är nödvändig för diarieföring och handläggning

Regeringens förslag: Personuppgifter ska få behandlas i Tullverkets brottsbekämpande verksamhet om behandlingen är nödvändig för diarieföring eller om uppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag: I den nuvarande tullbrottsdatalagen finns det inte någon särskild bestämmelse om behandling av personuppgifter som är nödvändig för diarieföring eller om behandling av inkomna personuppgifter som är nödvändig för handläggning. I polisdatalagen och kustbevakningsdatalagen finns det uttryckliga bestämmelser om att personuppgifter får behandlas om behandlingen är nödvändig för diarieföring eller om personuppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen (2 kap. 9 § polisdatalagen och 2 kap. 6 § kustbevakningsdatalagen).

Avsaknaden av en uttrycklig ändamålsbestämmelse om detta i den nuvarande tullbrottsdatalagen har medfört viss osäkerhet inom Tullverket om sådan behandling är tillåten eller inte. De primära ändamålen ger inte nödvändigtvis stöd för behandling av alla personuppgifter som kan komma in till Tullverket i form av anmälningar, tips och meddelanden av olika slag. Om uppgifterna faktiskt inte behövs i verksamheten, finns tveksamhet om en behandling ligger inom ramen för de primära ändamålen, men Tullverket måste ändå fullgöra sina skyldigheter i fråga om diarieföring och bevarande av inkomna handlingar.

De inkommande uppgifterna kan utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 5 kap. 1 § offentlighets- och sekretesslagen gäller som huvudregel att allmänna handlingar som kommit in till eller upprättats hos en myndighet ska registreras, dvs. diarieföras, så snart som möjligt.

Vid sidan av skyldigheten att registrera allmänna handlingar ska enligt 5 § andra stycket förvaltningslagen (1986:223) en myndighet se till att det är möjligt för enskilda att kontakta myndigheten med hjälp av bl.a. epost och att svar kan lämnas på samma sätt.

När en personuppgift kommer in till en myndighet, t.ex. i ett e-postmeddelande, kan det många gånger vara svårt att avgöra för vilket ändamål, om något, som det finns behov av att behandla uppgiften. I den mån personuppgiften utgör en del av en allmän handling måste den ändå utan dröjsmål kunna behandlas för diarieföring. Därutöver måste myndigheten alltid kunna leva upp till de krav på kommunikation med enskilda som ställs i förvaltningslagen. Det måste alltså finnas en möjlighet att ta emot och diarieföra personuppgifter i elektronisk form, liksom att behandla dem i det ärende som handlingen föranleder, oavsett om

myndigheten anser att personuppgifterna behövs i myndighetens verksamhet eller inte.

Det finns därför även för Tullverkets brottsbekämpande verksamhet ett behov av en uttrycklig bestämmelse som otvetydigt klargör att myndigheten alltid i enlighet med offentlighets- och sekretesslagens regler får diarieföra allmänna handlingar och vidta sådana åtgärder som har nämnts i det föregående. En bestämmelse bör således införas i den nya lagen som motsvarar den som finns i polisdatalagen och kustbevakningsdatalagen om att personuppgifter får behandlas om behandlingen är nödvändig för diarieföring eller när personuppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Avsikten är att samtliga framställningar till Tullverket ska omfattas av bestämmelsen, t.ex. även uppgifter lämnade vid telefonsamtal.

Det är alltså fråga om en särreglering som tar sikte på sådan behandling av personuppgifter som inte ryms inom lagens ändamålsbestämmelser men som Tullverket ändå måste kunna utföra för att uppfylla sina skyldigheter i fråga om allmänna handlingar och ärendehandläggning.

Regeringen föreslår således en bestämmelse om att personuppgifter ska få behandlas om behandlingen är nödvändig för diarieföring eller uppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Förslaget genomförs genom 2 kap. 7 § i den nya lagen.

Hänvisningar till S10-4

11. Bokningsuppgifter från transportföretag

Regeringens förslag: Det ska i den nya lagen anges att personuppgifter som har lämnats till Tullverket från transportföretag enligt 4 kap. 6 § tullagen eller 15 § lagen om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen ska få behandlas om det är tillåtet enligt dessa lagar och enbart i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt.

Om det behövs i ett enskilt fall ska sådana personuppgifter få behandlas för något annat primärt ändamål och göras gemensamt tillgängliga.

Vid sökning i sådana personuppgifter ska namn, personnummer, samordningsnummer och andra liknande identitetsbeteckningar få användas som sökbegrepp bara om uppgifterna avser en person som är eller har varit misstänkt för brott eller kan antas ha samband med brottslig verksamhet eller som övervakas på grund av misstanke om att personen kan komma att utöva brottslig verksamhet. För personuppgifter som har gjorts gemensamt tillgängliga ska bestämmelserna i kapitlet som gäller gemensamt tillgängliga uppgifter om sökning gälla.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: Kammarrätten i Sundsvall anser att innebörden av uttrycket enstaka personuppgifter som används i promemorians förslag bör belysas ytterligare, då det förefaller ha olika betydelse om det

tillämpas avseende personuppgifter från transportföretag respektive elektroniskt utlämnande av personuppgifter.

Skatteverket anger att Tullverkets möjligheter att samla in uppgifterna från transportföretagen förutsätter att uppgifterna behövs i Tullverkets brottsbekämpande verksamhet. Behandling föreslås dock få ske för planering av kontrollverksamhet och urval av kontrollobjekt vilket kan föra tankarna även till Tullverkets fiskala verksamhet. Det stämmer inte överens med de primära ändamålen som ju avser brottsbekämpande verksamhet. Avsikten med de föreslagna bestämmelserna bör förtydligas.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag: Enligt bestämmelserna i 4 kap.6, 7 och 8 §§tullagen (2016:253) samt 15 och 16 §§ lagen (1996:701) om

Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen (kallad inregränslagen) gäller, med vissa mindre skillnader, följande. Tullverket får begära att ett transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige ska lämna de aktuella uppgifter om ankommande och avgående transporter som företaget har tillgång till. I fråga om passagerare får Tullverket endast begära uppgifter om namn, resrutt, bagage och medpassagerare samt sättet för betalning och bokning. Tullverket får begära uppgifter endast om uppgifterna kan antas ha betydelse för Tullverkets brottsbekämpande verksamhet. Transportföretaget ska skyndsamt lämna Tullverket de uppgifter som verket begär. Transportföretag får lämna uppgifter på så sätt att de görs läsbara för Tullverket genom terminalåtkomst. Tullverket får ta del av uppgifter genom terminalåtkomst endast i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Tullverket får inte ändra eller på annat sätt bearbeta eller lagra uppgifter som hålls tillgängliga på detta sätt. Uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst ska omedelbart förstöras, om de visar sig sakna betydelse för utredning och lagföring av brott (mer om detta, se propositionen Tullens befogenheter vid den inre gränsen, prop. 1995/96:166 s. 7685).

Enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (kallad tullbrottsdatalagen) får uppgifter som kommit in till Tullverket om passagerare, importörer, exportörer och transportörer samt varor och transportmedel behandlas, inom ramen för de primära ändamålen att förebygga, förhindra eller upptäcka brottslig verksamhet, för planering av kontrollverksamheten och urval av kontrollobjekt (13 §). Sådana uppgifter som behandlas enbart med stöd av den bestämmelsen får inte behandlas i tullbrottsdatabasen (19 § tredje stycket). Dessutom innehåller den nuvarande tullbrottsdatalagen en bestämmelse som innebär att namn, personnummer och samordningsnummer, med vissa angivna undantag, får användas som sökbegrepp bara om uppgifterna avser en person som misstänks för något visst brott eller för brottslig verksamhet (21 § första stycket).

Som framgår ovan innebär redan bestämmelserna i tullagen och inregränslagen att Tullverket inte får ta del av personuppgifterna från transportföretagen för något brottsbekämpande ändamål mer än i den omfattning och under den tid som behövs för att kontrollera aktuella transporter. Att uppgifterna endast får begäras in för att de behövs i den brottsbekämpande verksamheten framgår alltså av annan lagstiftning än

den nuvarande tullbrottsdatalagen. Även fortsättningsvis bör det enligt regeringens mening framgå av registerförfattningen att Tullverket har möjlighet att behandla uppgifter från transportföretag, varför regeringen i den nya tullbrottsdatalagen föreslår en bestämmelse som upplyser om detta.

I den nya lagen bör också i likhet med idag anges närmare förutsättningar för detta, dock med en något annan utformning än nuvarande reglering.

Liksom enligt den nuvarande tullbrottsdatalagen bör uppgifterna från transportföretag som utgångspunkt bara få behandlas i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt, varför regeringen föreslår en bestämmelse med sådant innehåll.

Uppgifterna bör inte heller som utgångspunkt få göras gemensamt tillgängliga – med nuvarande begreppsanvändning får de inte ingå i tullbrottsdatabasen. Att generellt tillåta att sådana uppgifter om resandeströmmar som kommit Tullverket till del som det nu är fråga om görs gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet skulle strida mot intentionerna bakom de nämnda bestämmelserna i tullagen och inregränslagen. Om sådana uppgifter, t.ex. efter en kontroll, visar sig vara nödvändiga för t.ex. en brottsutredning, bör de dock få behandlas inom ramen för den utredningen och dessutom göras gemensamt tillgängliga. På motsvarande sätt bör i enskilda fall sådana uppgifter som t.ex. kan antas ha samband med allvarlig misstänkt brottslig verksamhet eller som behöver lämnas ut enligt någon internationell förpliktelse få behandlas för sådana ändamål och göras gemensamt tillgängliga. Regeringen föreslår därför en reglering som anger att om det behövs i ett enskilt fall får personuppgifter behandlas för något annat primärt ändamål och göras gemensamt tillgängliga. Regeringen har härigenom valt en annan författningsteknisk lösning än promemorian, varför Kammarrätten i Sundsvalls invändningar mot uttrycket enstaka personuppgifter också tillgodoses.

I avsnitt 14.4 berörs vilka restriktioner som bör gälla för sökning i gemensamt tillgängliga uppgifter. Uppgifter som Tullverket har begärt in från transportföretag intar dock en särställning och behandlas därför i detta avsnitt och också separat i den föreslagna lagen. Om detta vill regeringen framföra följande. Dels är transportföretagen skyldiga att lämna ut uppgifterna, dels avser de flesta uppgifterna helt oskyldiga resenärer. Att tillåta sökningar på resenärens namn i dessa fall är förenat med särskilda integritetsrisker. Det är visserligen effektivt för brottsbekämpningen om Tullverket kan samköra uppgifter om resenärer som kommit in från transportföretag inför en transport med andra uppgifter från den brottsbekämpande verksamheten och få fram vilka som redan övervakas eller kan misstänkas ha samband med brottslig verksamhet. Det har dock inte framkommit att den begränsning av sökmöjligheterna som gäller i dag har, i fråga om uppgifter från transportföretag, inneburit något allvarligt hinder mot en effektiv brottsbekämpning. Tills vidare bör det därmed enligt regeringens mening, liksom i dag, vara tillräckligt att det är möjligt att i uppgifterna från transportföretag söka efter personer som redan är eller har varit misstänkta för brott eller kan antas ha samband med brottslig verksamhet.

Därutöver bör Tullverket få söka i uppgifterna från transportföretag efter sådana allvarligt kriminellt belastade personer som övervakas i enlighet med de förutsättningar som berörs närmare i avsnitt 14.2.2. När det gäller personuppgifter som har gjorts gemensamt tillgängliga ska bestämmelserna som handlar om sökning gällande gemensamt tillgängliga uppgifter gälla, vilket regeringen föreslår ska anges uttryckligen i lagen.

Regeringen föreslår sammantaget en reglering som anger att personuppgifter som har inkommit till Tullverket från transportföretag enligt 4 kap. 6 § tullagen och 15 § inregränslagen får behandlas om det är tillåtet enligt dessa lagar. Behandlingen ska vidare få ske enbart i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt. Om det behövs i ett enskilt fall ska sådana personuppgifter få behandlas för något annat primärt ändamål och göras gemensamt tillgängliga. Vid sökning i sådana personuppgifter som inte har gjorts gemensamt tillgängliga ska namn, personnummer, samordningsnummer och andra liknande identitetsbeteckningar få användas som sökbegrepp bara om uppgifterna avser en person som är eller har varit misstänkt för brott eller kan antas ha samband med brottslig verksamhet eller som övervakas på grund av misstanke om att personen kan komma att utöva brottslig verksamhet. För personuppgifter som har gjorts gemensamt tillgängliga ska bestämmelserna om sökning i kapitlet som gäller gemensamt tillgängliga uppgifter gälla.

Skatteverket anser att då behandling föreslås få ske för planering av kontrollverksamhet och urval av kontrollobjekt vilket kan föra tankarna även till Tullverkets fiskala verksamhet, stämmer detta inte överens med de primära ändamålen som ju avser brottsbekämpande verksamhet.

Avsikten med de föreslagna bestämmelserna bör därför enligt Skatteverket förtydligas. Regeringen vill framhålla att det framgår redan av förutsättningarna i tullagen och inregränslagen att det endast är för brottsbekämpande syften som behandlingen får ske. Vidare gäller den nu föreslagna lagen bara för Tullverkets brottsbekämpande verksamhet. Regeringen anser därför inte att något förtydligande behöver ske i lagtext.

Förslaget genomförs genom 2 kap. 8 och 9 §§ i den nya lagen.

12. Känsliga personuppgifter

Regeringens förslag: Uppgifter om en person ska inte få behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Uppgifter om en person som behandlas på annan grund ska få kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen. Känsliga uppgifter ska också få behandlas om det är nödvändigt för diarieföring eller om personuppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Lunds universitet anger att det vad gäller användningen av ordet ”ras” vid andra lagstiftningsärenden har hänvisats till en kommande allmän översyn och att eftersom någon sådan allmän översyn inte har skett, kan det vara lämpligt att ta ställning till om den av riksdagen uttalade ambitionen ska kvarstå. Universitetet hänvisar också till sitt remissvar inför kustbevakningsdatalagen där det ifrågasatte om bestämmelsen att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet bör föras in i lagtexten, dels då regeringsformens bestämmelser i 1 kap. 9 § om objektivitet och saklighet gäller, dels då det kan ifrågasättas om inte detta bör gälla alla personuppgifter.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag: Enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (kallad tullbrottsdatalagen) får uppgifter om en person inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person redan behandlas på annan grund får dock uppgifterna kompletteras med sådana uppgifter när det är absolut nödvändigt för syftet med behandlingen.

Uppgifter som beskriver en persons utseende ska alltid utformas på ett objektivt sätt och med respekt för människovärdet. Dessutom får sådana uppgifter behandlas om de förekommer i en handling som kommit in till Tullverket i ett ärende (11 §). Bestämmelsen bör enligt regeringens mening föras över till den nya lagen. Det kan också nämnas att bestämmelser med motsvarande innebörd finns i 2 kap. 10 § polisdatalagen (2010:361) och 2 kap. 7 § kustbevakningsdatalagen (2012:145).

Innebörden av bestämmelsen är att det t.ex. inte är tillåtet att föra särskilda register över personer med viss etnisk bakgrund eller sexuell läggning. Förekommer personen i en förundersökning eller något annat ärende, får dock sådana uppgifter antecknas, om det bedöms vara absolut nödvändigt för syftet med behandlingen.

Såvitt avser begreppet ras har riksdagen i andra lagstiftningsärenden uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och från biologisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor. Ordet ras förekommer dock förutom i personuppgiftslagen (1998:204) även i polisdatalagen och kustbevakningsdatalagen. I samband med lagstiftningsärendet om kustbevakningsdatalagen kom regeringen efter omfattande överväganden fram till att det inte var lämpligt att i ett enstaka specifikt lagstiftningsärende utmönstra ordet ras och därmed ändra den vedertagna beskrivningen av känsliga personuppgifter. Även ordet ras skulle därför föras över till den nya lagen. Lunds universitet anger att det vid andra lagstiftningsärenden vad gäller användningen av ordet ”ras” har hänvisats till en kommande allmän översyn och att eftersom någon sådan allmän översyn inte har skett kan det vara lämpligt att ta ställning till om den av riksdagen uttalade ambitionen ska kvarstå. Regeringen avser inte

att i detta lagstiftningsärende behandla frågan om en översyn av begreppet. Det kan dock nämnas att frågan behandlas i betänkandet SOU 2015:103 Ett utvidgat straffrättsligt skydd för transpersoner m.m. och även kan komma att aktualiseras i samband med genomförandet av Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (kallat 2016 års dataskyddsdirektiv).

När det gäller anmälningar som kommer in måste Tullverket alltid ha möjlighet att diarieföra och handlägga inkommande anmälningar och liknande skrivelser. Skälen för detta har utvecklats i avsnitt 10.4. Sådan behandling bör vara tillåten även i de fall där inkommande handlingar innehåller känsliga personuppgifter. Detta bör enligt regeringens mening komma till uttryck i lagtexten som ett undantag från förbudet att behandla känsliga personuppgifter. I nyss nämnda avsnitt redogörs för vilken behandling som bör omfattas av bestämmelsen om behandling för diarieföring.

Regeringen föreslår således en reglering om att uppgifter om en person inte ska få behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Uppgifter om en person som behandlas på annan grund ska få kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen. Känsliga uppgifter ska också få behandlas om det är nödvändigt för diarieföring eller om personuppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Vad gäller det sistnämnda kravet gör således regeringen, i likhet med vad regeringen gjorde vid införandet av kustbevakningsdatalagen, en annan bedömning än Lunds universitet som ifrågasätter denna bestämmelse.

Förslaget genomförs genom 2 kap. 10 § i den nya lagen.

Hänvisningar till S12

13. Elektroniskt utlämnande

Hänvisningar till S13

  • Prop. 2016/17:91: Avsnitt 10.3

13.1. Utlämnande på medium för automatiserad behandling

Regeringens förslag: Bestämmelsen om att enstaka personuppgifter ska få lämnas ut på medium för automatiserad behandling ska föras över oförändrad in i den nya lagen. Det ska också fortsättningsvis upplysas om att regeringen kan meddela föreskrifter om att uppgifter får lämnas ut på medium för automatiserad behandling även i andra fall.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: Kammarrätten i Sundsvall anser att innebörden av begreppet enstaka personuppgifter bör belysas ytterligare i författningskommentaren.

Ekobrottsmyndigheten anger att i lagförslaget begränsas möjligheterna till elektroniskt utlämnande på så sätt att endast enstaka personuppgifter som huvudregel får lämnas ut på medium för automatiserad behandling men att detta enligt promemorian kan innehålla ett större antal personuppgifter eller alla handlingar och uppgifter i ett enstaka ärende eller delar av ett ärende. Ekobrottsmyndigheten är kritisk till att lagförslaget till sin ordalydelse i vanligt språkbruk avviker så kraftigt från bestämmelsens tänkta innebörd.

Myndigheten anser det vara nödvändigt att försvarare och annat juridiskt biträde har samma elektroniska tillgång till ett omfattande förundersökningsprotokoll som åklagaren, men ser oklarheter i frågan om en förundersökning omfattas av bestämmelsen eller inte. Ekobrottsmyndigheten anser att den lösning som förordas i förarbetena till polisdatalagen (2010:361), propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 186), att i förordning medge ett elektroniskt utlämnande utan begränsningar till försvarare eller annat juridiskt biträde, är att föredra.

Skatteverket anser att det vore lämpligt att i förarbetena klart ange t.ex. huruvida en hel förundersökning anses omfattas av begreppet enstaka uppgifter och därmed få lämnas ut på medium för automatiserad behandling till berörda. Detta skulle underlätta bedömningen i de enskilda fallen samt medföra en mer enhetlig tillämpning av bestämmelsen. Även journalister bör kunna få del av förundersökningsmaterial i elektronisk form, under förutsättning att det inte är olämpligt i det enskilda fallet.

Skälen för regeringens förslag: Innebörden av uttrycket utlämnande på medium för automatiserad behandling redovisas i avsnitt 6.3, liksom begreppet direktåtkomst. Enligt 25 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (kallad tullbrottsdatalagen) får enstaka uppgifter lämnas ut på medium för automatiserad behandling. Regeringen får också meddela föreskrifter om att utlämnande på sådant medium får ske i andra fall, vilket inte har skett.

Av effektivitetsskäl kan uppgifter behöva lämnas ut i elektronisk form på medium för automatiserad behandling. Inte bara direktåtkomst utan även utlämnande av personuppgifter på medium för automatiserad behandling anses medföra särskilda risker från integritetssynpunkt. Ett sådant utlämnande innebär nämligen som regel att mottagaren kan bearbeta informationen, t.ex. genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Det ökar riskerna för att uppgifterna ska behandlas i strid med de grundläggande kraven på dataskydd. Utlämnande i elektronisk form skapar också möjlighet för myndigheter att inrätta rutiner som innefattar dagliga överföringar av större mängder av uppgifter. Även om direktåtkomst generellt får betraktas som den mest känsliga formen av elektroniskt utlämnande kan i vissa fall likartade risker föreligga vid andra former av elektroniskt utlämnande. I polisdatalagen, kustbevakningsdatalagen (2012:145) och åklagardatalagen (2015:433) finns särskilda bestämmel-

ser om möjligheten att lämna ut uppgifter på medium för automatiserad behandling. Mot denna bakgrund anser regeringen att förutsättningarna för utlämnande på medium för automatiserad behandling även fortsättningsvis bör författningsregleras när det gäller Tullverkets brottsbekämpande verksamhet.

Enligt de ovan nämnda lagarna om behandling om personuppgifter i andra brottsbekämpande verksamheter gäller som huvudregel att endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling, t.ex. genom e-post, när förutsättningarna för ett utlämnande i övrigt är uppfyllda. Regeringen anser inte att det finns skäl när det gäller just Tullverkets brottsbekämpande verksamhet att ha en annan utgångspunkt. Huvudregeln bör därför vara att endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling, t.ex. genom epost. Uttrycket enstaka ska ha samma innebörd som i de andra författningarna på området. Regeringen föreslår därmed i likhet med promemorian att bestämmelsen om utlämnande på medium för automatiserad behandling förs över i sak oförändrad till den nya lagen. Enstaka personuppgifter ska således få lämnas ut på medium för automatiserad behandling.

I förhållande till myndigheter som får medges direktåtkomst finns inte skäl att införa begränsningar i fråga om utlämnande på annat elektroniskt medium, eftersom lagen ska vara teknikneutral. Regeringen avser att i förordning meddela föreskrifter om detta. Det ankommer på Tullverket att avgöra vilken form av elektroniskt utlämnande som bäst tillgodoser det behov som finns och som är mest lämplig. Vid den bedömningen behöver utvecklingen beträffande begreppet direktåtkomst beaktas (se t.ex. avsnitt 6.3.2).

Kammarrätten i Sundsvall och Ekobrottsmyndigheten invänder mot uttrycket enstaka personuppgifter och även Skatteverket vill ha klargöranden om detta. Regeringen har tidigare uttalat sig om detta. I samband med lagstiftningsärendena om polisdatalagen och kustbevakningsdatalagen har regeringen angett att det är svårt att i lagtext närmare ange innebörden av begreppet enstaka. Det har i sammanhanget även påpekats att begreppet enstaka har en annan innebörd än i vanligt språkbruk, se prop. 2009/10:85 s. 333 och propositionen Kustbevakningsdatalag (prop. 2011/12:45 s. 98). Regeringen har inte någon annan syn i frågan när det gäller nu aktuellt lagstiftningsärende. Uttrycket enstaka i nu föreslagen bestämmelse i den nya lagen ska som nämnts även ovan ha samma innebörd som i polisdatalagen och kustbevakningsdatalagens motsvarande bestämmelser om elektroniskt utlämnande.

Ekobrottsmyndigheten och Skatteverket anser det också vara oklart vad som gäller elektroniskt utlämnande av förundersökningar eller uppgifter i förundersökningar. Regeringen vill med anledning av detta framhålla följande. Det kan uppkomma behov för Tullverket att kunna lämna ut större mängder med uppgifter i vissa fall. Det finns därför skäl att överväga att i förordning medge utlämnande på medium för automatiserad behandling även i andra fall än som anges i lagen. Som exempel kan nämnas just utlämnande av en förundersökning men också annan utredning enligt bestämmelserna i 23 kap. rättegångsbalken till t.ex. försvarare eller annat juridiskt biträde. Bestämmelser som möjliggör sådant utlämnande har införts i t.ex. 18 § polisdataförordningen

(2010:1155) och 8 § åklagardataförordningen (2015:575). Även utlämnande av statistik till Brottsförebyggande rådet kan komma att regleras.

I likhet med vad som gäller i dag bör i den nya lagen upplysas om att regeringen kan meddela föreskrifter om att uppgifter får lämnas ut på medium för automatiserad behandling även i andra fall. Detta sker med stöd av restkompetensen i 8 kap. 7 § första stycket 2 regeringsformen. Regeringen föreslår därför att det i lagtexten uttryckligen hänvisas till 8 kap. 7 § regeringsformen.

Enligt den nuvarande tullbrottsdatalagen har Tullverket skyldighet att lämna sådana uppgifter som är nödvändiga för att framställa rättsstatistik till den myndighet som ansvarar för att framställa sådan statistik, dvs. Brottsförebyggande rådet. I avsnitt 15.5.5 föreslås att en sådan skyldighet tas in också i den nya lagen. Regeringen anser att det är rimligt att Brottsförebyggande rådet får den statistik som myndigheten ansvarar för i elektronisk form och att Tullverket kan lämna ut en omfattande mängd uppgifter i detta fall. Ett sådant omfattande uppgiftsutlämnande till Brottsförebyggande rådet kan lämpligen regleras i förordning på motsvarande sätt som skett för Polismyndighetens del.

Förslaget genomförs genom 2 kap. 16 § i den nya lagen.

Hänvisningar till S13-1

13.2. Utlämnande genom direktåtkomst

Regeringens förslag: Utlämnande genom direktåtkomst av personuppgifter i Tullverkets brottsbekämpande verksamhet ska vara tillåtet bara i den utsträckning som följer av lagen.

Det ska införas en bestämmelse som hänvisar till var i lagen det finns bestämmelser om direktåtkomst.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag: I den nuvarande tullbrottsdatalagen anges att regeringen får meddela föreskrifter om att vissa uppräknade myndigheter i sin brottsbekämpande verksamhet får ha direktåtkomst till uppgifter i tullbrottsdatabasen (26 §). Sådana föreskrifter har meddelats i förordningen (2005:791) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet (6–8 §§). Bestämmelserna om direktåtkomst i polisdatalagen och kustbevakningsdatalagen har en annan utformning men innefattar också en uttömmande reglering av möjligheten till direktåtkomst, genom att det anges när det är tillåtet med direktåtkomst. För att uppnå tydlighet bör det enligt regeringens mening i den nya lagen finnas en sådan uttrycklig bestämmelse som finns i polisdatalagen och kustbevakningsdatalagen. Det ska alltså anges att utlämnande genom direktåtkomst bara är tillåtet i den utsträckning som följer av lagen.

Vidare bör det upplysas om var i lagen det finns bestämmelser om direktåtkomst.

Förslaget genomförs genom 2 kap. 17 § i den nya lagen.

14. Särskilda bestämmelser för gemensamt tillgängliga uppgifter

Hänvisningar till S14

  • Prop. 2016/17:91: Avsnitt 15.5.4

14.1. Gemensamt tillgängliga uppgifter

Regeringens förslag: Den nya lagen ska innehålla särskilda bestämmelser om behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Uppgifter som endast ett fåtal personer har rätt att ta del av ska inte anses som gemensamt tillgängliga. De särskilda bestämmelserna om gemensamt tillgängliga uppgifter ska inte gälla när personuppgifter behandlas med stöd av bestämmelserna om diarieföring m.m.

Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorian föreslås att de särskilda bestämmelserna om gemensamt tillgängliga uppgifter inte heller ska gälla när sådana personuppgifter som behövs för handläggningen av ärenden som rör internationellt samarbete behandlas i ett internationellt register. Förslaget är också något annorlunda utformat.

Remissinstanserna: Datainspektionen anger att den i lagstiftningsärendena om polisdatalag, kustbevakningsdatalag och lag om behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet har ifrågasatt systemet med att ha olika regler för uppgifter som görs gemensamt tillgängliga och för andra uppgifter i den brottsbekämpande verksamheten. Det är tveksamt om dataskyddsnivån i den känsliga brottsbekämpande verksamheten ska vara beroende av hur många som faktiskt har tillgång till uppgifterna. Visserligen ökar typiskt sett risken för otillbörliga integritetsintrång när personuppgifter blir tillgängliga för en större krets individer. Den föreslagna regleringen beaktar dock enligt inspektionen inte att risken för otillbörliga integritetsintrång också beror på andra omständigheter. Inspektionen anser också att uttrycket gemensamt tillgängliga uppgifter är otydligt och därför kan ge upphov till tillämpningsproblem. Det är naturligtvis viktigt med en enhetlig syn hos de tillämpande myndigheterna på centrala begrepp i lagstiftningen. I integritetshänseende är det dock ännu viktigare att begreppen är tydliga och att den praktiska tillämpningen inte leder till otillbörliga integritetsintrång. Det är inte acceptabelt att, som i detta fall, begreppsbildningen närmare ska utvecklas av den tillämpande myndigheten.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag

Det bör finnas särskilda bestämmelser för uppgifter som flera personer har tillgång till

Den nya lagen föreslås gälla för all automatiserad behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet och för viss manuell sådan behandling (se avsnitt 8.2). Detta innebär att inte bara uppgifter som behandlas i för verksamheten gemensamma uppgiftssamlingar, t.ex. register eller ärendehanteringssystem, omfattas, utan även sådan behandling som utförs av en enskild tjänsteman eller en

begränsad grupp av personer, t.ex. vanlig ordbehandling och e-postkommunikation.

Som framhållits i andra lagstiftningsärenden, se t.ex. propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 125) och propositionen Kustbevakningsdatalag (prop. 2011/12:45 s. 72), är risken för otillbörliga intrång i den personliga integriteten större när personuppgifter används av flera gemensamt i en verksamhet än när behandlingen sker av en enskild tjänsteman vid den egna datorn utan att någon annan har direkt elektronisk åtkomst till uppgifterna. Det har därför bedömts nödvändigt att införa särskilt stränga krav för behandling av personuppgifter som används av eller i vart fall är tillgängliga för fler än ett fåtal personer. Uppgifter som är tillgängliga enbart för en eller ett fåtal personer behöver däremot inte omgärdas av lika strikta krav. I flera särskilda registerförfattningar har det därför gjorts en åtskillnad mellan sådan behandling som avser uppgifter som är gemensamt tillgängliga i en verksamhet och sådan behandling där uppgifterna endast är tillgängliga för en enskild eller en begränsad grupp av tjänstemän. Regeringen har således gjort en annan bedömning i denna fråga än Datainspektionen, som motsätter sig att man har olika strikta regler beroende på hur många som faktiskt har tillgång till uppgifterna.

Den nya lagen bör enligt regeringens mening, i likhet med bl.a. lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (kallad tullbrottsdatalagen), polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145), innehålla särskilda bestämmelser för behandling av personuppgifter som är gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet. Regeringen föreslår också en inledande upplysningsbestämmelse i kapitlet om gemensamt tillgängliga uppgifter.

Vilket begrepp bör användas?

Frågan är då hur man bör avgränsa den behandling av personuppgifter för vilken särskilda regler ska gälla.

I tidigare lagstiftning om behandling av personuppgifter på särskilda områden har begreppen register och databas använts för att göra avgränsningen. Användningen av registerbegreppet i fråga om behandling som innefattar elektronisk ärendehantering kritiserades redan i samband med framtagandet av den nuvarande tullbrottsdatalagen, bl.a. därför att det för tankarna till ett på visst sätt organiserade eller systematiserade samlingar av uppgifter, se propositionen Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 60). I den nuvarande tullbrottsdatalagen används i stället begreppet databas (tullbrottsdatabas) för att beskriva gemensamt använda uppgifter. Även begreppet databas har dock en stark teknisk anknytning och leder tanken till ett visst, i tekniskt avseende avgränsat, informationssystem. Detta är inte ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. föras in helt ostrukturerat och oorganiserat i olika filer för olika sammanställningar m.m. Som en följd av detta bör enligt regeringens mening den nya lagen inte bygga på att behandlingen av personuppgifter sker i olika slag av register eller databaser utan i stället ges en mera generell utformning. Regleringen bör vara teknikneutral.

På senare tid har i särskilda registerförfattningar på det brottsbekämpande området i stället för databas, register eller uppgiftssamling för avgränsningen använts uttrycket gemensamt tillgängliga uppgifter. Så är fallet med polisdatalagen och kustbevakningsdatalagen, liksom i flera andra nyligen antagna registerförfattningar.

Regeringen föreslår att samma uttryck används i den nya tullbrottsdatalagen. Därmed blir begreppsbildningen också enhetlig för samma verksamhet hos flera olika myndigheter som i sin verksamhet ofta utbyter uppgifter. Det kan dock noteras att i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet (kallad tulldatalagen) används ännu begreppet databas (tulldatabasen). Några nämnvärda tillämpningssvårigheter till följd av att olika begrepp används i den nya lagen och tulldatalagen kan dock inte förutses (jfr prop. 2009/10:85 s. 127).

I enlighet med det sagda föreslår regeringen att det i den inledande bestämmelsen om gemensamt tillgängliga uppgifter ska framgå vad som avses med gemensamt tillgängliga uppgifter. Uttrycket har samma innebörd som motsvarande uttryck i polisdatalagen och kustbevakningsdatalagen, se mer nedan.

Gränsdragningen mellan gemensamt tillgängliga uppgifter och andra personuppgifter

Det ligger i sakens natur att det inte är enkelt att dra en tydlig gräns mellan uppgifter som är gemensamt tillgängliga och andra uppgifter. Regeringen har i förarbetena till polisdatalagen och kustbevakningsdatalagen angett några principer för gränsdragningen (se prop. 2009/10:85 s. 127 f. och 2011/12:45 s. 73 f.). Uttrycket gemensamt tillgängliga uppgifter i den nya lagen har samma innebörd som motsvarande uttryck i polisdatalagen och kustbevakningsdatalagen.

En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga bör vara att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga. Att en uppgift ”är tillgänglig” för en viss person bör förstås så att personen har såväl faktisk möjlighet att ta del av uppgiften som rättslig behörighet till det. Det bör däremot inte spela någon roll hur många som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller spela någon roll om den som har tillgång till uppgiften kan påverka den eller bara läsa den.

Detta innebär till att börja med att uppgifter blir att anse som gemensamt tillgängliga om behandlingen sker för att en obestämd krets – t.ex. hela Tullverkets brottsbekämpande verksamhet eller en viss organisationsenhet inom myndigheten – ska kunna ta del av uppgifterna. Också andra uppgifter som är tillgängliga för en mer begränsad men i förväg obestämd krets av personer bör, som huvudregel, anses gemensamt tillgängliga. Överhuvudtaget täcker uttrycket gemensamt tillgängliga uppgifter inte enbart register i traditionell bemärkelse utan alla uppgiftssamlingar i Tullverkets brottsbekämpande verksamhet, avsedda för en obestämd krets av personer.

Vidare bör uppgifter anses som gemensamt tillgängliga även i vissa fall när den personkrets som har tillgång till uppgifterna är bestämd och avgränsad. Om uppgifterna är tillgängliga för ett stort antal bestämda personer, bör de således anses vara gemensamt tillgängliga. Personuppgifter som behandlas i brottsbekämpande verksamhet som involverar ett flertal tjänstemän som gemensamt behandlar viss information bör alltså regelmässigt anses som gemensamt tillgängliga. Uppgifter bör dock inte anses som gemensamt tillgängliga enbart därför att två eller flera personer har tillgång till dem. Kan man redan från början konstatera att uppgifterna endast kommer att vara tillgängliga för en avgränsad krets av ett litet antal personer, bör uppgifterna inte anses som gemensamt tillgängliga.

En förutsättning för att uppgifterna inte ska anses vara gemensamt tillgängliga är alltså att kretsen omfattar endast ett litet antal personer, t.ex. ett mindre underrättelseprojekt. Om projektet enbart engagerar en avgränsad krets, bestående av ett fåtal på förhand utpekade personer eller funktioner, bör de uppgifter som behandlas inom ramen för projektet normalt inte betraktas som gemensamt tillgängliga. Så snart det är fråga om mer än ett fåtal personer som har tillgång till uppgifterna bör utgångspunkten vara den motsatta. Det bör inte i lag anges någon exakt gräns för antalet personer, men som tumregel har i förarbetena för polisdatalagen och kustbevakningsdatalagen angetts att uppgifter normalt bör anses som gemensamt tillgängliga när fler än ett tiotal personer har tillgång till dem (prop. 2009/10:185 s. 129 och prop. 2011/12:45 s. 74).

När det talas om en bestämd krets bör detta inte uppfattas som att det alltid från början måste kunna anges exakt vilka tjänstemän eller vilken krets av tjänstemän som avses få tillgång till uppgifterna. Bedömningen blir naturligtvis enklare om man på förhand vet att endast ett fåtal respektive en större krets kommer att behandla uppgifterna. Även i de fall där detta inte står klart från början kan man oftast av arbetsuppgiftens art och storlek sluta sig till om uppgifterna sannolikt kommer att behandlas av ett fåtal tjänstemän eller av en större krets.

I viss utsträckning kan tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte. En del verksamheter, främst underrättelseverksamhet inom ramen för brottsbekämpningen, leder inte alltid till ett bestämt avslut av ett visst konkret ärende. Ett underrättelseprojekt kan ha en obestämd varaktighet och därför komma att löpa över en längre tid, t.ex. projekt riktade mot systematisk brottslighet eller organiserad narkotikasmuggling. Det ligger i sakens natur att i sådana långvariga projekt kan den personal som sysslar med projektet komma att bytas ut under arbetets gång. Även om tanken från början har varit att endast en liten avgränsad krets ska arbeta med projektet, är det därför långt ifrån alltid möjligt att upprätthålla det kravet. Underrättelsematerial som tas fram i ett sådant projekt bör därför också anses som gemensamt tillgängliga uppgifter. Motsvarande bör i princip gälla andra typer av uppgifter som behandlas för att användas under en längre tid.

Detta bör inte gälla undantagslöst. Om en enskild tjänsteman gör sammanställningar av olika slag för eget bruk, gör detta inte att uppgifterna anses vara gemensamt tillgängliga, även om han eller hon har för avsikt att använda dem under längre tid. Det är inte möjligt att ge detaljerade anvisningar för bedömningen av när en viss uppgift är gemensamt

tillgänglig. Enhetlighet åstadkoms i stället genom riktlinjer utformade av Tullverket och utbildning av personalen.

Datainspektionen anser att uttrycket gemensamt tillgängliga uppgifter är otydligt och att det därför kan ge upphov till tillämpningsproblem.

Inspektionen anser det vara viktigt med en enhetlig syn hos de tillämpande myndigheterna på centrala begrepp i lagstiftningen och att det inte är acceptabelt att begreppsbildningen närmare ska utvecklas av den tillämpande myndigheten. Regeringen anser i likhet med Datainspektionen att en enhetlig syn är viktig och betonar därför att innebörden av uttrycket också är densamma i de nu jämförda författningarna. Att det ska utformas riktlinjer och att personalen ska utbildas syftar just till att tillämpningen ska bli korrekt.

Undantag från reglerna om gemensamt tillgängliga uppgifter

Som framgår ovan kommer den föreslagna lagen att skilja mellan personuppgifter som endast ett fåtal personer har tillgång till och personuppgifter som görs eller har gjorts gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet. För gemensamt tillgängliga uppgifter föreslås lagen innehålla särskilda, mera begränsande, bestämmelser.

Personuppgifter som behandlas med stöd av den föreslagna bestämmelsen om diarieföring m.m. (2 kap. 7 §, se avsnitt 10.4) kommer i vissa fall att bli tillgängliga för en större krets personer, t.ex. i diarier, även om tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (se avsnitt 9.5). De skulle därmed i och för sig kunna sägas utgöra gemensamt tillgängliga uppgifter. De föreslagna bestämmelserna för gemensamt tillgängliga uppgifter har till syfte att reglera sådan behandling som sker i för verksamheten gemensamma uppgiftssamlingar. Syftet med ändamålsbestämmelsen om diarieföring är inte att möjliggöra behandling av personuppgifter i den brottsbekämpande verksamheten i sig. Det är i stället fråga om en särreglering som tar sikte på sådan behandling av personuppgifter som inte ryms i de primära ändamålen men som Tullverket ändå måste kunna utföra, dels för att hantera inkommande handlingar, dels för att tillgodose tryckfrihetsförordningens krav på att allmänheten ska ha tillgång till allmänna handlingar. Flera av de bestämmelser som föreslås gälla vid behandling av gemensamt tillgängliga uppgifter, som t.ex. särskilda upplysningar och sökbegränsningar, är inte lämpade att reglera behandling av personuppgifter i diarier m.m.

I likhet med de överväganden som har gjorts för Polismyndighetens del bör i de fall som personuppgifter enbart behandlas med stöd av nu aktuell bestämmelse om diarieföring inte reglerna om gemensamt tillgängliga uppgifter vara tillämpliga (jfr prop. 2009/10:85 s. 113). I polisdatalagen finns det en uttrycklig bestämmelse om detta (3 kap. 1 § andra stycket). För att uppnå tydlighet bedömer regeringen det vara lämpligt att i den nya lagen ta in en uttrycklig bestämmelse. Därför föreslås en bestämmelse om att bestämmelserna om gemensamt tillgängliga uppgifter inte ska gälla när personuppgifter behandlas med stöd av bestämmelsen om diarieföring m.m.

I promemorian föreslås också att bestämmelserna om gemensamt tillgängliga uppgifter inte heller ska gälla när sådana uppgifter som

behövs för handläggningen av ärenden som rör internationellt samarbete behandlas i ett internationellt register, men det har inte föreslagits några särskilda regler för det internationella registret. Regeringen bedömer att det inte finns skäl att införa en bestämmelse om att reglerna om gemensamt tillgängliga uppgifter inte ska gälla vid sådan behandling. I avsnitt 14.2.4 föreslås att uppgifter som behövs för att fullgöra internationella åtaganden ska få göras gemensamt tillgängliga, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. Vid sådan behandling kommer således reglerna om gemensamt tillgängliga uppgifter att gälla.

Lagförslag

Förslaget genomförs genom 3 kap. 1 § i den nya lagen.

Hänvisningar till S14-1

14.2. De uppgifter som får göras gemensamt tillgängliga

I detta avsnitt behandlas vilka personuppgifter som ska få göras gemensamt tillgängliga. Då nu gällande tullbrottsdatalag inte har någon reglering om gemensamt tillgängliga uppgifter har den en annan uppbyggnad än den föreslagna nya lagen. Nu aktuella förslag till bestämmelser om vilka uppgifter som ska få göras gemensamt tillgängliga följer systematiken i de lagar som har en reglering om gemensamt tillgängliga uppgifter.

Hänvisningar till S14-2

14.2.1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet

Regeringens förslag: Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet ska få göras gemensamt tillgängliga, om den misstänkta verksamheten

– innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller

– sker systematiskt.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Kriminalvården noterar att tullbrottsdatalagen inte på samma detaljnivå som Kriminalvårdens regelverk, t.ex. 3 § förordningen (2001:682) om behandling av personuppgifter inom kriminalvården, reglerar vilka uppgifter som får behandlas. Kriminalvården anser att det finns en risk för att uppgifter som registreras med stöd av tullbrottsdatalagen saknar lagstöd för behandling av Kriminalvården. Kriminalvården ser ett behov av en anpassning av de lagar och bestämmelser som reglerar Kriminalvårdens behandling av personuppgifter.

Datainspektionen anger att promemorians val att dra gränsen vid brott för vilka är föreskrivet fängelse i ett år eller däröver trots att samma effekt hade uppnåtts om gränsen hade dragits vid brott för vilka är föreskrivet fängelse i två år eller däröver, inte har några omedelbara integritetskonsekvenser men kan på sikt leda till otillbörliga integritets-

intrång, vilket inte berörs i promemorian. Det aktuella förslaget avser behandling av personuppgifter i Tullverkets underrättelseverksamhet. Med hänsyn till den känsliga personuppgiftsbehandling som det är fråga om i dessa fall och de långa lagringstider som det kan bli fråga om bör det närmare belysas vilka konkreta behov Tullverket har av att kunna behandla uppgifter av nu aktuellt slag. Vilka är de brott som Tullverket får mandat att behandla i och med förslaget om att sänka kravet på att straffet för brottet ska vara fängelse i minst två år och vilka brott kan det bli fråga om att behandla med stöd av hänvisningen till systematisk brottslighet? Vilka konkreta problem kan uppkomma om en sådan behandling inte får ske? Vilka effektiviseringsvinster är det som förutses? De konkreta vinster som förslaget förväntas medföra måste också vägas mot de förluster i integritetshänseende som förslaget kan komma att ge upphov till.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag

Den brottsliga verksamheten måste vara av allvarligt slag

Enligt den nuvarande tullbrottsdatalagen får uppgifter som kan hänföras till en person behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet om uppgifterna ger anledning att anta att sådan brottslig verksamhet utövats eller kan komma att utövas som innefattar brott för vilket är föreskrivet fängelse i minst två år eller som innefattar andra brott, om verksamheten sker systematiskt, och uppgifterna gör att personen skäligen kan misstänkas för att utöva eller komma att utöva sådan verksamhet (12 § första stycket 1). Det kan här noteras att bestämmelsen inte handlar om vad som får ingå i tullbrottsdatabasen, utan om möjligheten till behandling av uppgifter. Om förutsättningarna i bestämmelsen är uppfyllda, får dock enligt 19 § uppgifter som i den paragrafen räknas upp, behandlas i tullbrottsdatabasen.

Enligt polisdatalagen och kustbevakningsdatalagen, som till skillnad från tullbrottsdatalagen har en reglering om gemensamt tillgängliga uppgifter, får uppgifter som kan antas ha samband med misstänkt brottslig verksamhet som antingen innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver eller sker systematiskt, göras gemensamt tillgängliga.

Regleringen i den nuvarande tullbrottsdatalagen har skapat tillämpningssvårigheter för Tullverkets brottsbekämpande verksamhet. Kravet på misstanke om brott för vilket är föreskrivet fängelse i minst två år, vilket av Tullverket har tolkats så att minimistraffet för det misstänkta brottet ska vara fängelse i minst två år, har i praktiken gjort att bara misstankar om grov narkotikasmuggling har kunnat behandlas i underrättelseverksamheten. I annat fall krävs det att misstanken avser att brott utförs systematiskt. Den utformning som den nuvarande tullbrottsdatalagen har hindrar enligt Tullverket utnyttjandet av modern teknik i en stor del av Tullverkets brottsbekämpande verksamhet och har kommit att försvåra Tullverkets arbete. Den har även försvårat samverkan med andra myndigheter, då regelverken hos de brottsbekämpande myndigheterna skiljer sig åt.

Enligt den lagstiftning som föregick den nuvarande tullbrottsdatalagen (2 § lagen [2001:85] om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet) avsågs med allvarlig brottslighet verksamhet som innefattar brott för vilka är föreskrivet fängelse i två år eller däröver och som Tullverket enligt lag eller förordning har befogenhet att ingripa mot, vilket enligt Tullverkets uppfattning omfattar fler brott än den nuvarande tullbrottsdatalagen. Det kan finnas skäl att ifrågasätta om en ändring i detta avseende var lagstiftarens avsikt när den nuvarande tullbrottsdatalagen infördes (prop. 2004/05:164 s. 71 f.).

I samband med införandet av polisdatalagen kom regeringen, efter ingående överväganden om huruvida gränsen för vad som ska anses som allvarlig brottslighet skulle sättas vid ett eller två års fängelse, fram till ett annat resultat än det som gäller enligt den nuvarande tullbrottsdatalagen. Det påpekades det faktum att, ju mindre allvarlig brottslig verksamhet det är fråga om, desto mindre är som regel behovet av att sprida uppgifter, och att det är polisen som ansvarar för att tillgången till personuppgifter begränsas till den personal som behöver dem för att kunna utföra sina arbetsuppgifter (prop. 2009/10:85 s. 132 f.). Motsvarande överväganden gjordes för Kustbevakningens del (prop. 2011/12:45 s. 114 f.). De överväganden som gjordes i dessa lagstiftningsärenden har till största delen även bäring på Tullverkets brottsbekämpande verksamhet. Regeringen anser mot bakgrund av ovanstående att en utvidgning av möjligheterna för Tullverket att i underrättelseverksamheten behandla brottsmisstankar bör göras.

För en effektiv brottsbekämpande verksamhet är det nödvändigt att Tullverket i underrättelseverksamheten kan behandla personuppgifter om misstankar om brott och som har ett lägre minimistraff än fängelse i två år. En sådan ändring innebär att merparten av de brott som omfattas av Tullverkets befogenheter, t.ex. tullbrott och smugglingsbrott, både grova brott och brott av normalgraden, omfattas av bestämmelsen. Även brotten olovlig förflyttning av punktskattepliktiga varor och olovlig befattning med punktskattepliktiga varor enligt 5 kap. 1 § och 1 a § lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter kommer att omfattas av bestämmelsen.

Datainspektionen anser att det bör närmare belysas vilka konkreta behov Tullverket har av att kunna behandla uppgifter av nu aktuellt slag, vilka de brott som Tullverket får mandat att behandla i och med förslaget om att sänka kravet på att straffet för brottet ska vara fängelse i minst två år är, vilka brott det kan bli fråga om att behandla med stöd av hänvisningen till systematisk brottslighet, vilka konkreta problem som kan uppkomma om en sådan behandling inte får ske och vilka effektiviseringsvinster det är som förutses.

Utöver vad som har nämnts ovan kan följande förtydliganden angående lagstiftningsbehovet ges. Genom att ange gränsen till ett år eller däröver får Tullverket möjlighet att göra uppgifter om misstankar om brott gemensamt tillgängliga även om de inte sker systematiskt. Detta avser bl.a. tullbrott och smugglingsbrott som inte är grova samt narkotikasmuggling som inte är grov eller synnerligen grov, liksom olovlig befattning med smuggelgods av normalgraden och grovt brott. Detta kan ibland även vara en förutsättning för att kunna se samband och upptäcka att viss brottslig verksamhet bedrivs systematiskt. Om fler uppgifter kan

göras gemensamt tillgängliga skapas förutsättningar för att stärka brottsmisstankarna i enskilda ärenden och upptäcka fler kopplingar mellan olika ärenden. Detta bidrar i sin tur till en effektivare brottsbekämpning. Vad gäller Datainspektionens begäran om närmare exemplifiering avseende systematisk brottslighet, vill regeringen erinra om att sådan behandling ingår redan i dagens reglering och att det här alltså inte är fråga om några ändringar. I författningskommentaren återfinns dock några exempel.

I likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen föreslår regeringen således att Tullverket i sin brottsbekämpande verksamhet ska få göra uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller sker systematiskt, gemensamt tillgängliga.

Personuppgifter som kan antas ha samband med den brottsliga verksamheten får göras gemensamt tillgängliga

En annan fråga är vilka personuppgifter i fråga om den misstänkta brottsliga verksamheten som ska få göras gemensamt tillgängliga.

Enligt den nuvarande tullbrottsdatalagen finns det inget hinder mot att ta in uppgifter om de personer som själva misstänks för brottslig verksamhet i tullbrottsdatabasen. Det är också tillåtet att behandla personuppgifter för att förebygga, förhindra eller upptäcka brottslig verksamhet om de avser en person som utan att vara skäligen misstänkt kan antas ha samband med brottslig verksamhet. Vissa indirekta personuppgifter, t.ex. uppgifter om transportmedel, som kan ha samband med brottslig verksamhet får också behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet (19 §).

Uppgifter som avser en person som inte är skäligen misstänkt får dock bara behandlas i ett ärende som rör viss preciserad brottslig verksamhet, och bara de personer som arbetar med ärendet får ha direkt tillgång till uppgifterna (12 § första stycket 2 jämfört med andra stycket).

Enligt polisdatalagen och kustbevakningsdatalagen gäller inte motsvarande begränsningar.

Begränsningarna som gäller för Tullverkets del har kommit att på ett otillfredsställande sätt begränsa Tullverkets möjligheter att förebygga, förhindra och upptäcka brottslig verksamhet. Det är inte ovanligt att samma personer, ibland i olika roller, är inblandade i flera olika brottsliga aktiviteter som pågår i skilda delar av landet vid en och samma tidpunkt. Om endast den som arbetar med ärendet ges tillgång till det ärende där en viss personuppgift förekommer, försvåras möjligheten att upptäcka samband mellan olika brottsliga aktiviteter. Sådana samband kan innebära att omfattningen av en brottslig verksamhet visar sig vara större än vad som förefaller vara fallet om olika ärenden ses för sig. Det kan vidare utgöra grunden för en brottsmisstanke mot en person som inledningsvis inte uppnått tillräcklig misstankenivå, men som bedömts ha samband med brottslig verksamhet i flera utredningar om likartad brottslig verksamhet. Att inte få behandla sådana uppgifter gemensamt försvårar dessutom möjligheten till samverkan med andra brottsbekämpande myndigheter på motsvarande sätt. Det försvårar också för

Tullverket att länka samman olika kriminella grupperingar och se den brottsliga verksamheten i dess helhet. Risken finns därmed att allvaret i brottsligheten inte uppdagas.

Motsvarande överväganden som har gjorts för polisens del vad gäller arbetsformer kan därför göras avseende Tullverkets brottsbekämpande verksamhet. Mot denna bakgrund bedömer regeringen det som nödvändigt att Tullverket får behandla uppgifter om personer som kan ha samband med brottslig verksamhet gemensamt.

Datainspektionen saknar överväganden kring om förslagen kan leda till otillbörliga integritetsintrång. Som anges i promemorian vill regeringen betona att de risker för intrång i den personliga integriteten som en utökad tillgång till uppgifter om personer som inte är misstänkta men som har samband med brottslig verksamhet innebära kan motverkas genom bl.a. begränsningar i möjligheten att genom sökning få fram vissa uppgifter, se avsnitt 14.4. Dessutom bör det avseende gemensamt tillgängliga uppgifter alltid framgå om personen är misstänkt eller inte samt för vilket närmare ändamål som behandlingen sker, se samma avsnitt. Av stor betydelse är även den föreslagna allmänna bestämmelsen om att endast de personer som behöver uppgifterna i sitt arbete får ges tillgång till dem, se avsnitt 9.5. Regeringen finner således att det finns tillräckliga skyddsbarriärer för otillbörliga integritetsintrång.

Vad så gäller uppgifter om misstänkta personer är det enligt regeringens mening, i likhet med vad som gäller enligt den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen, naturligt att uppgifter om de personer som själva misstänks för brottslig verksamhet och indirekta personuppgifter om t.ex. transportmedel även fortsättningsvis får göras gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet. Detsamma gäller även uppgifter om personer som inte själva kan misstänkas för brott, t.ex. personer som är anhöriga till misstänkta, ägare till fordon som används eller andra som har samröre med misstänkta som kan vara av intresse i underrättelsearbetet. I likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen bör Tullverket i sin brottsbekämpande verksamhet därför få göra gemensamt tillgängliga alla slags personuppgifter som kan antas ha samband med misstänkt brottslig verksamhet, dvs. även uppgifter om personer som inte är misstänkta för något brott.

Kriminalvårdens behandling av personuppgifter Kriminalvården noterar att tullbrottsdatalagen inte på samma detaljnivå som Kriminalvårdens regelverk reglerar vilka uppgifter som får behandlas och anser att det finns en risk för att uppgifter som registreras med stöd av tullbrottsdatalagen saknar lagstöd för behandling av

Kriminalvården. Kriminalvården ser ett behov av en anpassning av de lagar och bestämmelser som reglerar Kriminalvårdens behandling av personuppgifter.

Regeringen vill erinra om att det är aktuell myndighets registerförfattning som styr möjligheten till behandling av personuppgifter. Kriminalvården får således behandla uppgifter i den omfattning detta regleras i lagen (2001:617) om behandling av personuppgifter inom Kriminalvården och därmed sammanhörande reglering. Regeringen avser inte i

detta lagstiftningsärende att se över bestämmelser som gäller Kriminalvårdens behandling av personuppgifter.

Lagförslag

Regeringen föreslår således att personuppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver, eller sker systematiskt ska få göras gemensamt tillgängliga.

Förslaget genomförs genom 3 kap. 2 § första stycket 1 i den nya lagen.

Hänvisningar till S14-2-1

14.2.2. Uppgifter som behövs för övervakningen av vissa personer

Regeringens förslag: Uppgifter som behövs för övervakningen av en person ska få göras gemensamt tillgängliga, om han eller hon

– kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller däröver, och

– är allvarligt kriminellt belastad. Tillgången till uppgifterna ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning ska dock få göras tillgängliga för andra.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Datainspektionen anser att förslaget med mycket små begränsningar medger behandling av personuppgifter avseende personer utan koppling till misstänkt brottslig verksamhet, som exempelvis uppgifter om släktingar och vänner. Vad som faktiskt utgör ett behov utvecklas inte närmare i promemorian. Risken är därför påtaglig att enskilda bedömningar blir avgörande. Det innebär i sin tur en risk för otillbörliga integritetsintrång. I det fortsatta lagstiftningsärendet bör det analyseras när det aktuella rekvisitet kan anses uppfyllt, gärna med exemplifieringar.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag: I polisdatalagen har det införts en bestämmelse som ger Polismyndigheten möjlighet att vid övervakningen av vissa personer göra uppgifter gemensamt tillgängliga även när alla förutsättningar som anges i den föregående punkten inte är uppfyllda.

Uppgifter som behövs för övervakningen av en person får göras gemensamt tillgängliga, om personen kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver och dessutom redan är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet (3 kap. 2 § första stycket 2).

Det har ansetts befogat att polisen, under vissa förutsättningar, genom behandling av personuppgifter får möjlighet att utöva särskild kontroll över personer som redan är allvarligt kriminellt belastade eller som har visat sig vara särskilt farliga för andra personers säkerhet. En sådan övervakning har ansetts utgöra ett betydelsefullt inslag i polisens samlade insatser för att förebygga, förhindra eller upptäcka brottslig verksamhet. De uppgifter som finns i misstanke- och belastningsregistren ger inte all

den information som behövs för en ändamålsenlig övervakning och registren innehåller inte heller de analysverktyg som kan krävas för att övervakningen ska bli effektiv. Inom polisen förekom redan före den nuvarande polisdatalagen övervakning av detta slag inom ramen för särskilda undersökningar (prop. 2009/10:85 s. 136 f.). Vad som avses med övervakning är sådan behandling av personuppgifter i form av lagring, bearbetning och analys som sker i särskilda uppgiftssamlingar för att utöva kontroll över vissa personer som uppfattas som särskilt brottsbenägna eller farliga, men mot vilka det för tillfället inte finns några konkreta misstankar om brottslig verksamhet.

Tullverket har i uppdrag att lagföra eller på annat sätt skada eller försvåra möjligheterna för de grövsta kriminella att utöva sin brottsliga verksamhet. I genomförandet av detta uppdrag inriktar Tullverket sin underrättelseverksamhet mot att övervaka s.k. målpersoner/strategiska personer och deras närmaste medarbetare, s.k. inre kretsar, som det är känt ägnar sig åt kriminell verksamhet. Dessa målpersoners kontaktnät kartläggs och brottsinsatser riktas in där de förutses ha störst verkan.

Det finns därför anledning att överväga om motsvarande reglering som gäller för Polismyndigheten bör gälla även i Tullverkets brottsbekämpande verksamhet. Tullverkets arbetsmetod kräver tillgång till omfattande information, även om personer i målpersonens kontaktnät som själva inte är misstänkta för brottslig verksamhet, t.ex. uppgifter om personer som målpersonen besöker regelbundet, ofta anlitade företagare, återkommande adresser och registreringsnummer på fordon som målpersonen använder osv. Det kan ta lång tid att samla den information som krävs för att möjliggöra en kartläggning av en målperson och avgöra om denna är intressant att inrikta brottsinsatser mot eller inte. När det gäller övervakningen av sådana målpersoner sker ett nära samarbete med polisen som inte sällan kartlägger samma personer i sin verksamhet. Uppgiftssamlingar av detta slag är av stor betydelse för att Tullverket långsiktigt ska kunna bedriva ett effektivt brottsbekämpande arbete inom sitt område. Utan tillgång till sådana uppgiftssamlingar skulle det vara svårt att bemästra den brottslighet som förekommer i kriminella nätverk inom området för Tullverkets brottsbekämpande verksamhet.

Flera av de personer som Tullverket tror sig veta livnär sig på allvarlig brottslighet sysslar ofta med olika former av smuggling, däribland narkotikasmuggling, liksom omfattande cigarettsmuggling och grova tullbrott. Som nämnts ovan samverkar Tullverket ofta med polisen mot sådana strategiska målpersoner, vilket förutsätter att regelverken för myndigheterna är utformade på ett sätt så att detta är möjligt. För att Tullverket effektivt ska kunna bekämpa allvarliga brott på sitt område föreslår därför regeringen en bestämmelse som möjliggör att uppgifter om övervakning av vissa allvarligt kriminellt belastade personer kan göras gemensamt tillgängliga. Som en första förutsättning bör krävas, i likhet med vad som gäller för polisdatalagen, att uppgifterna behövs för övervakningen av en person. Det måste således finnas ett behov av uppgifterna för övervakningen, vilket avser den brottsbekämpande verksamhet som Tullverket bedriver.

För att det integritetsintrång som den behandlingen av personuppgifter kan ge upphov till inte ska bli mer långtgående än nödvändigt bör enligt regeringens mening möjligheten till behandling av personuppgifter för

övervakning inskränkas till uppgifter om och kring de personer som uppfattas som särskilt brottsaktiva. Som en förutsättning bör därför gälla att personen kan antas komma att begå brott av mera allvarligt slag. Att en person tidigare är dömd för sådana brott bör alltså inte vara tillräckligt, även om bedömningen av om en person kan antas komma att begå brott i första hand får göras på grund av tidigare domar. Med brott av mera allvarligt slag bör, liksom i polisdatalagen, avses brott med fängelse i två år eller mer i straffskalan. Därutöver bör det krävas att personen redan är allvarligt kriminellt belastad. Den allvarliga kriminella belastningen behöver inte nödvändigtvis avse sådan brottslighet som Tullverket har att ingripa mot utan kan avse andra slags allvarliga brott som är relevanta att ta hänsyn till, t.ex. narkotikabrott eller vapenbrott av tillräcklig allvarlighetsgrad. Vad gäller straffvärdet kan ett riktmärke vara att brottsligheten bedömts ha ett straffvärde på minst två års fängelse.

Regeringen anser i likhet med promemorian att för att en bestämmelse av detta slag ska bli meningsfull bör möjligheten att göra uppgifter gemensamt tillgängliga omfatta inte bara uppgifter som direkt avser de övervakade personerna utan även uppgifter om personer som har samband med de övervakade personerna. Uppgifter måste t.ex. kunna behandlas om att en övervakad person är anställd hos en viss annan person och att den övervakade personen regelbundet besöker vissa personer. En förutsättning för behandlingen är dock att uppgiften behövs för övervakningen och är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet. Detta motsvaras av vad som gäller enligt polisdatalagen.

Datainspektionen saknar en beskrivning av behoven av reglering på detta område och efterlyser exemplifieringar. Behoven och exemplifieringar har redovisats ovan, men regeringen gör även följande tillägg.

Behandling av personuppgifter av nu aktuellt slag ryms i många fall inom de allmänna bestämmelserna om när uppgifter får göras gemensamt tillgängliga. De uppgifter som behöver behandlas för övervakningen kommer med stor sannolikhet ofta ha samband med misstänkt brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver eller som sker systematiskt, se avsnitt 14.2.1. Det kan dock förekomma fall där dessa rekvisit inte är uppfyllda, samtidigt som starka skäl talar för att behandlingen bör kunna ske. Det kan exempelvis ibland vara svårt att precisera den misstänkta brottsliga verksamheten. Vidare – vilket är den största skillnaden – kan uppgifter om personer som har koppling till den övervakade behandlas i större utsträckning, eftersom det inte ställs något krav på samband med viss brottslig verksamhet.

I syfte att värna den personliga integriteten bör tillgången till de behandlade uppgifterna vara starkt begränsad. Endast de tjänstemän som har till uppgift att arbeta med övervakningen bör få tillgång till uppgifterna. Information om att en viss person är föremål för övervakning bör dock kunna spridas till flera, eftersom det kan vara en förutsättning för att övervakningen ska bli effektiv. Det ska även tydligt framgå att personuppgifter behandlas för att möjliggöra övervakning, se avsnitt 14.3.

Den föreslagna bestämmelsen motsvarar den som gäller enligt polisdatalagen med ett undantag. Med hänsyn till de brott som Tullverket har att ingripa emot bedömer regeringen det inte finnas skäl för en reglering

som tar sikte på, som gäller i polisdatalagen, antaganden om personens hotfullhet mot andras personliga säkerhet som ett alternativ till allvarlig kriminell belastning. För Tullverkets del kommer alltså alltid krävas att personen måste vara allvarligt kriminellt belastad.

Regeringen föreslår således att personuppgifter som behövs för övervakningen av en person, om han eller hon kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller däröver, och är allvarligt kriminellt belastad, ska få göras gemensamt tillgängliga, samt föreslår att tillgången till uppgifterna ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning ska dock få göras tillgänglig för andra.

Förslaget genomförs genom 3 kap. 2 § första stycket 2 och andra stycket i den nya lagen.

Hänvisningar till S14-2-2

14.2.3. Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott

Regeringens förslag: Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott ska få göras gemensamt tillgängliga.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Datainspektionen delar promemorians uppfattning att uppgifter i en förundersökning bör kunna göras gemensamt tillgängliga. Det är dock inte rimligt att det är upp till Tullverket att ensidigt bestämma när så ska ske. Inspektionen efterlyser en reglering där villkoren för när uppgifter ska kunna göras gemensamt tillgängliga i dessa fall framgår tydligare.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag: Enligt den nuvarande tullbrottsdatalagen får som huvudregel endast de personer som arbetar med ett ärende om utredning eller beivrande av brott ha direkt tillgång till uppgifterna i ärendet (14 § andra stycket). Regeringen får meddela föreskrifter om att flera får ha tillgång till vissa särskilda kategorier av uppgifter (14 § tredje stycket) och har gjort så i fråga om uppgifter som avser misstanke om brott, tvångsmedel, gjorda beslag eller påföljd för brott. Sådan reglering finns i 3 § förordningen (2005:791) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet när det gäller uppgifter som avser misstanke om brott, tvångsmedel, gjorda beslag eller påföljd för brott.

I samband med tillkomsten av polisdatalagen ansågs det att en motsvarande begränsning av tillgången till personuppgifter inte var rimlig för polisens del (prop. 2009/10:85 s. 139). Även för Kustbevakningens del har motsvarande bedömning gjorts (prop. 2011/12:45 s. 117 f.). I polisdatalagen och kustbevakningsdatalagen regleras endast att uppgifter som förekommer i ett ärende om utredning eller beivrande av brott får göras gemensamt tillgängliga och således inga sådana begränsningar som finns i tullbrottsdatalagen.

Övervägandena är enligt regeringens mening tillämpliga även för Tullverkets del. Den nuvarande begränsningen av den direkta tillgången

till personuppgifter i Tullverkets förundersökningar försvårar en effektiv brottsbekämpning och möjligheten att upptäcka samband mellan olika ärenden. En följd av regleringen är att möjligheten att använda uppgifter som behandlas inom ramen för en utredning i en annan utredning försvåras. Även samverkan med andra myndigheter försvåras när tillgången begränsas på det sätt som nuvarande reglering innebär.

I en brottsutredning kan det vara av avgörande betydelse att personuppgifter snabbt kan inhämtas från andra brottsutredningar så snart det är möjligt att bedöma om det finns några samband mellan utredningarna. Uppgifterna i en förundersökning måste kunna göras gemensamt tillgängliga för andra än de som arbetar med förundersökningen. Att personuppgifter i en förundersökning eller brottsanmälan görs tillgänglig för andra än dem som arbetar med ärendet är en förutsättning för en effektiv brottsutredning. I de flesta fall är det endast fråga om att vissa typer av personuppgifter är tillgängliga för andra än dem som arbetar i en viss förundersökning. Det förhållandet att det öppnas en möjlighet att göra personuppgifter om utredning av brott gemensamt tillgängliga innebär inte någon skyldighet att göra det. Uppgifter i vissa förundersökningar av särskilt känsligt slag bör sannolikt inte heller fortsättningsvis göras gemensamt tillgängliga, men det bör vara upp till Tullverket att göra denna avvägning i det enskilda fallet. Datainspektionen delar promemorians uppfattning att uppgifter i en förundersökning bör kunna göras gemensamt tillgängliga men anser det inte vara rimligt att det är upp till Tullverket att ensidigt bestämma när så ska ske. Inspektionen efterlyser en reglering där villkoren för när uppgifter ska kunna göras gemensamt tillgängliga i dessa fall framgår tydligare. Regeringen vill med anledning av detta framföra att lagförslaget motsvarar vad som gäller för Polismyndigheten och Kustbevakningen. Det kan påminnas om att regeringen också föreslår en bestämmelse om att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter (se avsnitt 9.5).

Regeringen föreslår således att Tullverket i den brottsbekämpande verksamheten ska få göra uppgifter som förekommer i ett ärende om utredning eller beivrande av brott gemensamt tillgängliga.

Förslaget genomförs genom 3 kap. 2 § första stycket 3 i den nya lagen.

Hänvisningar till S14-2-3

14.2.4. Uppgifter som behövs för att fullgöra internationella åtaganden

Regeringens förslag: Uppgifter som behövs för att fullgöra internationella åtaganden ska få göras gemensamt tillgängliga, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag: Enligt den nuvarande tullbrottsdatalagen får endast de personer som arbetar med internationella åtaganden ha direkt tillgång till sådana personuppgifter som behandlas

för att fullgöra de förpliktelser som följer av internationella åtaganden (15 §).

Enligt polisdatalagen och kustbevakningsdatalagen får uppgifter som behövs för att fullgöra internationella åtaganden göras gemensamt tillgängliga, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras (3 kap. 2 § första stycket 4 polisdatalagen och 4 kap. 1 § 3 kustbevakningsdatalagen).

Regeringen delar promemorians bedömning att begränsningen av den direkta tillgången till personuppgifter hämmar ett effektivt arbete i Tullverkets brottsbekämpande verksamhet. Tullverkets internationella kontakter är inte lika omfattande som polisens, där det förekommer ett dagligt uppgiftsutbyte med olika myndigheter och organisationer. Tullverket har dock flera kontaktpunkter och ett relativt omfattande uppgiftsutbyte via Europol, Europeiska byrån för bedrägeribekämpning (OLAF), andra tullmyndigheter och sambandsmän m.m. De formella kontakterna tas regelmässigt genom en särskild enhet för internationell samordning vid den gemensamma staben. Vissa informella kontakter sker som ett led i den nationella brottsbekämpningen. I vissa fall krävs även minutoperativa insatser i samband med internationell samverkan mot gränsöverskridande brottslighet. Det förekommer därför en hel del informella internationella kontakter direkt mellan tjänstemän. Det finns därmed ett behov av att flera personer kan ha direkt tillgång till personuppgifter som behövs för att fullgöra internationella åtaganden än de som särskilt arbetar med internationellt tullsamarbete eller annat internationellt samarbete.

Vidare kan det krävas att personuppgifter görs gemensamt tillgängliga i förundersökningar som bedrivs parallellt i Sverige och i en annan stat och som gäller brott och brottsmisstankar som har samband med varandra. Även underrättelseuppgifter som lämnas till Sverige som ett led i ett allmänt informationsutbyte kan behöva göras gemensamt tillgängliga för att Tullverket ska kunna bidra med information.

Regeringen anser att den nya lagen bör, liksom polisdatalagen och kustbevakningsdatalagen, ge utrymme för att göra uppgifter som behövs för att fullgöra internationella åtaganden gemensamt tillgängliga. Mot bakgrund av de särskilda risker för intrång i den enskildes personliga integritet som behandling av gemensamt tillgängliga uppgifter kan medföra bör behandlingen begränsas till de fall där behovet är mera påtagligt. När det gäller personuppgifter som behandlas för att fullgöra internationella åtaganden bör därför dessa få göras gemensamt tillgängliga endast om det krävs för att förpliktelsen ska kunna fullgöras.

Regeringen föreslår således att uppgifter som behövs för att fullgöra internationella åtaganden ska få göras gemensamt tillgängliga, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

Förslaget genomförs genom 3 kap. 2 § första stycket 4 i den nya lagen.

Hänvisningar till S14-2-4

14.2.5. Uppgifter som har rapporterats till Tullverkets kommunikationscentral

Regeringens förslag: Uppgifter som har rapporteras till Tullverkets kommunikationscentral ska få göras gemensamt tillgängliga.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag: Det finns inte i den nuvarande tullbrottsdatalagen några särskilda bestämmelser om personuppgifter som har rapporterats till kommunikationscentralen. Enligt polisdatalagen och kustbevakningsdatalagen får uppgifter som har rapporterats till Polismyndighetens respektive Kustbevakningens ledningscentraler göras gemensamt tillgängliga (3 kap. 2 § första stycket 5 polisdatalagen och 4 kap. 1 § 4 kustbevakningsdatalagen).

Tullverket har en nationell kommunikationscentral. Den har framför allt till uppgift att dygnet runt sköta larmhanteringen och vidta nödvändiga åtgärder vid inkommande larm och nödrop till ”112 – tipsa om smuggling”. Kommunikationscentralen tar även emot och initialt bearbetar tips och information som kommer in på annat sätt, framför allt utanför vanlig kontorstid när andra funktioner inte finns tillgängliga. Den utgör även i vissa fall nationell kontaktpunkt i nationella och internationella underrättelsefrågor såsom för ärenden avseende kontrollerade leveranser.

När kommunikationscentralen har mottagit en misstanke om brottslig verksamhet från en operativ enhet inom Tullverket, bearbetar centralen underrättelseinformationen genom att göra nödvändiga slagningar i de databaser som centralen har tillgång till och som även används i den övriga brottsbekämpande verksamheten. Kommunikationscentralen gör även slagningar i polisens multifråga och kontaktar utländska myndigheter i framför allt Norden med förfrågningar om personuppgifter i deras register. De uppgifter som kommunikationscentralen tar emot registreras i sin tur i Tullverkets olika register eller i ett underrättelseärende. Uppgifterna inom denna hantering hos kommunikationscentralen bör normalt kunna göras gemensamt tillgängliga enligt den bestämmelse som föreslås för underrättelseverksamheten i avsnitt 14.2.1. Det kan dock finnas uppgiftshantering som inte uppfyller villkoren för underrättelseverksamheten i övrigt, men där det ändå är motiverat att göra uppgifterna gemensamt tillgängliga t.ex. för planering och uppföljning av viss verksamhet.

I dagsläget finns det inget elektroniskt system för uppföljning av inkomna larm, men önskemål finns om möjlighet att införa ett sådant system i framtiden. Den nya lagen bör möjliggöra att modern teknik kan användas vid sådan uppföljning. Det skulle då kunna förekomma situationer när förutsättningar för att göra uppgifterna gemensamt tillgängliga inte är uppfyllda, t.ex. avseende larm som konstateras inte vara fortsatt bearbetningsbara. Regeringen anser att den nya lagen bör utformas på ett sätt som möjliggör att modern teknik kan användas i hela kommunikationscentralens verksamhet på motsvarande sätt som gäller för Polismyndigheten och Kustbevakningen. Till skillnad från dessa myndigheter har Tullverket endast en funktion med detta uppdrag. I den

nya lagen bör det därför införas en bestämmelse om att uppgifter som har rapporteras till Tullverkets kommunikationscentral får göras gemensamt tillgängliga.

Förslaget genomförs genom 3 kap. 2 § första stycket 5 i den nya lagen.

Hänvisningar till S14-2-5

14.3. Särskilda upplysningar för gemensamt tillgängliga uppgifter

Regeringens förslag: För gemensamt tillgängliga uppgifter ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas. Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva allvarlig eller systematiskt brottslig verksamhet, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt.

Detsamma ska gälla uppgifter om en person som övervakas.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter. Detsamma ska gälla uppgifter om en person som övervakas.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: Skatteverket anger när det gäller tillhandahållande av information till utländska brottsbekämpande myndigheter att när

Tullverket lämnar ut uppgifter som behövs för att fullgöra internationella åtaganden bör reglerna om särskilda upplysningar tillämpas för uppgifterna även när de inte är gemensamt tillgängliga. Till exempel bör en direkt personuppgift avseende en person som inte är misstänkt åtföljas av denna för den enskildes integritet viktiga upplysningen.

Ingen remissinstans invänder mot förslaget.

Skälen för regeringens förslag

Upplysning om det närmare ändamålet för behandlingen

Både integritetsskyddsskäl och verksamhetsskäl talar för att det bör framgå för vilket ändamål en uppgift som har gjorts gemensamt tillgänglig behandlas.

Från integritetsskyddssynpunkt har en närmare precisering av ändamålet för behandlingen betydelse bl.a. för möjligheterna att genom tekniska förfaranden eller administrativa bestämmelser kunna styra åtkomsten till vissa personuppgifter. En upplysning om ändamålet med behandlingen kan vidare vara en förutsättning för att tillsynsmyndigheten ska kunna kontrollera att viss behandling är berättigad och sker i enlighet med lagens bestämmelser.

Av verksamhetsskäl är information om ändamålet med behandlingen viktig för att de tjänstemän som får tillgång till personuppgifter ska kunna värdera uppgifterna korrekt och använda sig av dem på ett effektivt och lagenligt sätt. Informationen behövs bl.a. för att en tjänste-

man ska kunna ta ställning till om uppgiften får och bör behandlas för ett nytt ändamål. Någon bestämmelse som tar sikte på detta finns inte i den nuvarande tullbrottsdatalagen. Däremot har en sådan bestämmelse införts i polisdatalagen och kustbevakningsdatalagen (3 kap. 3 § polisdatalagen och 4 kap. 2 § kustbevakningsdatalagen).

Regeringen bedömer att en sådan reglering är motiverad även för den nya tullbrottsdatalagen och att det därmed bör föreskrivas att det när personuppgifter görs gemensamt tillgängliga ska framgå för vilket närmare ändamål personuppgifterna behandlas. Detta kan framgå genom en särskild upplysning eller på något annat sätt. En särskild upplysning bör således endast behövas om ändamålet för behandlingen inte framgår på något annat sätt. Normalt framgår ändamålet av omständigheterna när en uppgift ingår i ett särskilt underrättelseprojekt eller en särskild databas med ett visst ändamål. I likhet med polisdatalagen bör det särskilt framgå om en person står under övervakning.

Upplysning om att en person inte är misstänkt

Det är av stor betydelse för skyddet av den personliga integriteten att Tullverket i sin brottsbekämpande verksamhet behandlar personuppgifter på ett sådant sätt att det framgår när behandlingen avser uppgifter om en person som inte är misstänkt för brott.

Enligt den nuvarande tullbrottsdatalagen ska uppgifter om en person som inte är misstänkt för brott förses med särskild upplysning om detta, om det inte på annat sätt klart framgår att personen inte är registrerad som misstänkt för brott. Kan personen inte heller skäligen misstänkas för att ha utövat eller komma att utöva i en annan paragraf närmare preciserad brottslighet eller systematisk brottslig verksamhet, ska upplysningen omfatta även detta (16 § första stycket jämfört med 12 § första stycket 1).

Enligt polisdatalagen och kustbevakningsdatalagen ska det för gemensamt tillgängliga uppgifter som direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva allvarlig eller systematisk brottslig verksamhet framgå att personen inte är misstänkt (3 kap. 4 § första stycket polisdatalagen och 4 kap. 3 § första stycket kustbevakningsdatalagen). Detta kan framgå genom en särskild upplysning eller på annat sätt.

Regeringen anser att det bör vara tillräckligt att såsom i polisdatalagen och kustbevakningsdatalagen utsträcka kravet på upplysning till uppgifter som direkt kan hänföras till personen. I den nya lagen bör det, i likhet med vad som föreslås i promemorian, således tas in en bestämmelse med innebörd att om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva allvarlig eller systematiskt brottslig verksamhet, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt. Det är bara misstankar om brott som Tullverket har att ingripa mot som ska beaktas. En person som av Polismyndigheten i och för sig misstänks för mord men som bara är vittne i en förundersökning hos Tullverket ska således när Tullverket i sin brottsbekämpande verksamhet gör de direkta personuppgifterna i förundersökningen gemensamt tillgängliga utmärkas som en icke brottsmisstänkt person.

Enskilda uppgifter i förhör, inlagor eller bild- och ljudupptagningar behöver inte förses med särskild upplysning, eftersom det i dessa fall normalt framgår av sammanhanget om en omnämnd eller på bild synlig person inte är misstänkt. En viss uppgiftssamling kan även vara sådan att det är uppenbart att de personer som ingår i samlingen inte är registrerade som misstänkta, t.ex. en förteckning över försvarare.

Skatteverket anger när det gäller tillhandahållande av information till utländska brottsbekämpande myndigheter att när Tullverket lämnar ut uppgifter som behövs för att fullgöra internationella åtaganden bör reglerna om särskilda upplysningar tillämpas för uppgifterna även när de inte är gemensamt tillgängliga uppgifter. Till exempel bör en direkt personuppgift avseende en person som inte är misstänkt åtföljas av denna för den enskildes integritet viktiga upplysningen. Regeringen noterar att

Skatteverket inte har föreslagit någon sådan reglering i sitt förslag till ny skattebrottsdatalag (Skatteverkets förslag till en ny lag om behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet, dnr Fi2012/04241/S3) och någon sådan reglering finns inte heller i polisdatalagen, kustbevakningsdatalagen eller i åklagardatalagen (2015:433). Regeringen ser inte skäl att i den nya tullbrottsdatalagen införa en sådan reglering.

Upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak

I Europarådets rekommendation No. R (87) 15 om användningen av personuppgifter inom polissektorn anges att skilda kategorier av lagrade uppgifter så långt som möjligt ska kunna skiljas från varandra efter graden av riktighet och tillförlitlighet (princip 3.2). I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas från uppgifter som har sin grund i omdömen eller personliga värderingar. Det ska således gå att utläsa om den som lämnat uppgifter som sedan registreras kan anses vara tillförlitlig samt graden av riktighet i sak, t.ex. om informationen består av kontrollerade fakta eller endast icke styrkta påståenden.

I den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen föreskrivs att uppgifter om en person som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. I den nuvarande tullbrottsdatalagen gäller detta generellt (16 § andra stycket), medan bestämmelserna i polisdatalagen och kustbevakningsdatalagen bara gäller för gemensamt tillgängliga uppgifter (3 kap. 4 § andra stycket polisdatalagen och 4 kap. 3 § andra stycket kustbevakningsdatalagen). Enligt polisdatalagen ska detsamma gälla för uppgifter om övervakade personer.

Det bör enligt regeringens mening vara tillräckligt att, såsom gäller i polisdatalagen och kustbevakningsdatalagen, kräva upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak i fråga om personuppgifter som görs gemensamt tillgängliga. Därutöver bör det dock, i likhet med vad som gäller enligt polisdatalagen, krävas sådana upplysningar också i fråga om uppgifter om övervakade personer som har gjorts gemensamt tillgängliga enligt den bestämmelse som föreslås i avsnitt 14.2.2. I den nya lagen bör det således införas en bestämmelse

med innebörd att uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter, och att detsamma ska gälla uppgifter om en person som övervakas.

Bestämmelsen om att särskilda omständigheter kan göra upplysningar onödiga innebär att personuppgifter som behandlas inom ramen för en brottsutredning inte behöver förses med upplysningar. En förundersökning rör ett konkret brott och det framgår då som regel direkt av sammanhanget varför det har ansetts finnas fog för att behandla uppgifter, t.ex. av förhörsprotokoll eller vittneslistor. Risken för missuppfattningar inom ramen för handläggningen av en sådan utredning är därför liten. Det bör även finnas utrymme för att inte lämna någon tilläggsupplysning i situationer där upplysningen annars framstår som överflödig, t.ex. avseende ”neutrala” uppgifter som har inhämtats från folkbokföringen, vägtrafikregistret och liknande källor.

Lagförslag

Förslaget genomförs genom 3 kap. 3 och 4 §§ i den nya lagen.

14.4. Sökbegränsningar

Hänvisningar till S14-4

14.4.1. Förbud mot att använda känsliga personuppgifter som sökbegrepp

Regeringens förslag: Känsliga personuppgifter ska inte få användas som sökbegrepp vid sökning i gemensamt tillgängliga personuppgifter. Uppgifter som beskriver en persons utseende ska dock få användas som sökbegrepp.

Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. Promemorians förslag innehåller en hänvisning till bestämmelsen om behandling av känsliga personuppgifter, medan regeringens förslag innehåller en direkt uppräkning av känsliga personuppgifter.

Promemorians förslag är även i övrigt något annorlunda utformat.

Remissinstanserna: Rikspolisstyrelsen noterar att promemorians förslag anger att uppgifter som avses i den bestämmelse som anger förutsättningarna för behandling av känsliga personuppgifter inte får användas som sökbegrepp. Motsvarande bestämmelse i polisdatalagen stadgar i stället att uppgifter som avslöjar känsliga personuppgifter inte får användas som sökbegrepp. Av promemorian framgår att de aktuella bestämmelserna helt ska motsvara varandra i denna del. Rikspolisstyrelsen anser att skillnaden i lydelse påverkar den materiella innebörden och att polisdatalagens lydelse därför i stället ska användas.

Datainspektionen anger att promemorian föreslår att känsliga personuppgifter inte ska få användas som sökbegrepp vid sökning i uppgifter som gjorts gemensamt tillgängliga. För uppgifter som inte gjorts gemensamt tillgängliga föreslås däremot inte sådana sökbegränsningar. Förslagets konsekvenser för den personliga integriteten bör utredas vidare.

Sveriges advokatsamfund anser att formuleringen inte är tillräckligt klargörande utan att den antyder att känsliga uppgifter kan användas som sökbegrepp. Känsliga personuppgifter är av sådan karaktär att det helt borde uteslutas att någon som helst sökbar registrering avseende ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller sexualliv kan komma att ske.

Lämpligen bör bestämmelsen i stället utformas så att det klart framgår att personuppgifter som är gemensamt tillgängliga är undantagna från möjligheten att använda som sökbegrepp med hänvisning till bestämmelsen som anger förutsättningarna för behandling av känsliga personuppgifter.

Lunds universitet har synpunkter som avser begreppet ras. Sådana frågor behandlas i avsnitt 12.

Skälen för regeringens förslag: Vissa slag av uppgifter är till sin natur särskilt integritetskänsliga, i synnerhet uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa eller sexualliv.

Detta kommer till uttryck bl.a. genom bestämmelser i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31, Celex 31995L0046), dataskyddsdirektivet, och i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, dataskyddsrambeslutet, men också i de nyligen antagna EUrättsakterna på dataskyddsområdet (se avsnitt 4.1.7) om särskilda begränsningar i rätten att behandla känsliga personuppgifter. I avsnitt 12 föreslås därför att känsliga personuppgifter som huvudregel inte ska få behandlas, men att uppgifter om en person som behandlas på annan grund ska få kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen. Detta gäller även enligt den nuvarande tullbrottsdatalagen.

Enligt den nuvarande tullbrottsdatalagen får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp (20 §). Uppgifter som beskriver en persons utseende får dock användas som sökbegrepp. Bestämmelsen gäller även vid sökning bland uppgifter som inte finns i tullbrottsdatabasen.

Enligt polisdatalagen och kustbevakningsdatalagen får känsliga personuppgifter inte användas vid sökning i personuppgifter som har gjorts gemensamt tillgängliga, dock att brottsrubriceringar och uppgifter som beskriver en persons utseende får användas som sökbegrepp (om detta, se 3 kap. 5 § polisdatalagen, 4 kap. 4 § kustbevakningsdatalagen, prop. 2009/10:85 s. 155 f. och prop. 2011/12:45 s. 124 f.).

Sökning med hjälp av uppgifter som kan avslöja känsliga förhållanden inger särskilda betänkligheter. Sådana sökningar skulle kunna möjliggöra t.ex. kartläggning av personer med viss politisk ståndpunkt eller religiös inriktning. Å andra sidan är det nödvändigt att i den brottsbekämpande verksamheten hos Tullverket kunna använda signalementsuppgifter även om dessa kan avslöja känsliga förhållanden såsom funktionshinder.

Både Rikspolisstyrelsen och Sveriges advokatsamfund har synpunkter på utformningen av promemorians författningsförslag, som innehåller en hänvisning till bestämmelsen i den föreslagna lagen som anger förutsättningarna för behandling av känsliga personuppgifter. Kustbevakningsdatalagens motsvarande bestämmelse har en sådan utformning, emedan polisdatalagen och åklagardatalagen i stället direkt i nu aktuell bestämmelse om sökbegränsning räknar upp de känsliga personuppgifterna. För att bestämmelsens innebörd ska vara så tydlig som möjligt föreslår regeringen för den nya lagen att de känsliga personuppgifterna räknas upp i direkt i bestämmelsen.

Något behov att som sökbegrepp använda brottsrubriceringar som kan röra känsliga förhållanden som nu är i fråga har inte identifierats av Tullverket. Därför föreslås inte i den nya lagen ett sådant undantag avseende brottsrubriceringar. I övrigt motsvarar den föreslagna bestämmelsen om sökbegränsningar bestämmelserna som finns i ovan nämnda lagar.

Regeringen anser i likhet med promemorian att det får anses tillräckligt att, såsom gäller enligt polisdatalagen och kustbevakningsdatalagen, bara begränsa sökbegreppen vid sökning i uppgifter som har gjorts gemensamt tillgängliga. Datainspektionen anser att förslagets konsekvenser i denna del för den personliga integriteten bör utredas vidare. Då regleringen motsvarar övriga tämligen nya författningar på området ser regeringen inte skäl att i detta lagstiftningsärende utreda denna fråga ytterligare. Följande kan dock framhållas. När det gäller frågan om det finns behov av att begränsa sökmöjligheterna för personuppgifter som inte gjorts gemensamt tillgängliga kan konstateras att dessa behandlas av en avgränsad krets av tjänstemän. Det föreslås vidare att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Risken för spridning och intrång i den personliga integriteten får i dessa fall bedömas vara så ringa att bestämmelser om sökbegränsningar inte behöver föreslås för uppgifter som inte görs gemensamt tillgängliga. Integritetsskyddet för uppgifter som inte görs gemensamt tillgängliga upprätthålls genom den allmänna bestämmelsen om behandling av känsliga uppgifter i den nya lagen. Mot den bakgrunden anser regeringen att, i likhet med vad som gäller enligt polisdatalagen, kustbevakningsdatalagen och även åklagardatalagen, sökbegränsningarna för känsliga personuppgifter bör gälla endast vid sökning i uppgifter som har gjorts gemensamt tillgängliga.

Regeringen föreslår således att uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte ska få användas som sökbegrepp vid sökning i gemensamt tillgängliga personuppgifter, dock att uppgifter som beskriver en persons utseende ska få användas som sökbegrepp.

Förslaget genomförs genom 3 kap. 5 § i den nya lagen.

Hänvisningar till S14-4-1

14.4.2. Sökning på namn, personnummer, samordningsnummer och liknande identitetsbeteckningar

Regeringens förslag: Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i personuppgifter som har gjorts gemensamt tillgängliga, ska sådana personuppgifter få tas fram som anger att den sökta personen

1. är anmäld för brott,

2. är eller har varit misstänkt för brott,

3. är misstänkt för att ha utövat eller komma att utöva viss brottslig verksamhet,

4. övervakas för att han eller hon kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver,

5. har anmält ett brott,

6. är målsägande i ett ärende som rör ansvar för brott,

7. förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8. har gett in eller tillhandahållits en handling,

9. har bedömts kunna komma att möta ett ingripande med grovt våld, eller

10. är efterlyst. Sökbegränsningarna ska inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar med undersökningen har åtkomst till.

Begränsningarna ska inte heller gälla sökning som utförs av särskilt angivna tjänstemän och som görs

– för att förebygga, förhindra och upptäcka särskilt allvarlig brottslig verksamhet,

– för övervakning av personer som kan antas komma att begå brott och som är allvarligt kriminellt belastade, eller

– för att utreda särskilt allvarliga brott. I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om begränsning av tillgången till framsökta uppgifter, om under vilka förutsättningar sökning får äga rum och om ytterligare undantag från sökbegränsningarna.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag

Det bör finnas sökbegränsningar

Den nuvarande tullbrottsdatalagen har regler om sökbegränsningar. Enligt huvudregeln får namn, personnummer och samordningsnummer användas som sökbegrepp bara om uppgifterna avser en person som misstänks för något visst brott eller för brottslig verksamhet. Detta gäller

dock inte vid sökning bara i ett visst ärende eller en viss handling. Vid sökning efter den som en handling kommit in från eller expedierats till i ett ärende får också sådana uppgifter användas som sökbegrepp, samt för att Tullverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden (21 §). Å andra sidan får vid sökning efter en handling som kommit in eller upprättats i ett ärende endast följande uppgifter användas som sökbegrepp: 1) uppgift om från vem handlingen har kommit in eller till vem den har expedierats, 2) datum då handlingen kom in eller upprättades, 3) diarienummer eller annan beteckning som har åsatts handlingen, och 4) i korthet vad handlingen rör (22 §).

I den nuvarande tullbrottsdatalagen finns det också en regel om möjligheten att behandla uppgifter om avförda brottsmisstankar som begränsar vilka uppgifter som kan tas fram vid en sökning. Om en förundersökning mot en person har lagts ned på grund av bristande bevisning, får uppgifter om brottsmisstanken behandlas för andra ändamål än arkivering endast om den misstänkte enligt förundersökningsledarens bedömning fortfarande är skäligen misstänkt för brottet och uppgifterna behövs för att förundersökningen ska kunna tas upp på nytt (17 §). Om åtal mot en person har lagts ned eller om denne genom lagakraftvunnen dom har frikänts, får uppgifter om brottsmisstanken behandlas för andra ändamål än arkivering endast om förundersökningen tas upp på nytt, eller för prövning av särskilt rättsmedel enligt 58 kap. rättegångsbalken (18 §).

I polisdatalagen och kustbevakningsdatalagen finns det inga särskilda restriktioner för att behandla uppgifter om avförda brottsmisstankar. I de lagarna finns dock andra regler om sökbegränsningar, se 3 kap.6 och 7 §§polisdatalagen samt 4 kap.5 och 6 §§kustbevakningsdatalagen, som är snarlika varandra. För Kustbevakningen gäller inte något undantag vid sökning som utförs av särskilt angivna tjänstemän i vissa fall eller vid sökning i en uppgiftssamling som har skapats för att undersöka vissa kriminella grupperingar. Kustbevakningens uppdrag skiljer sig här från både Polismyndighetens och Tullverkets.

Även i den nya tullbrottsdatalagen bör det enligt regeringens mening finnas regler om sökbegränsningar. En utgångspunkt för hur regler om sökning bör utformas bör vara att Tullverket inte vid varje tillfälle och i varje situation ska kunna göra en sökning som kan leda till en kartläggning av om en viss person förekommer i den brottsbekämpande verksamheten. I det följande behandlas frågan om hur sökbegränsningarna bör utformas.

Sökning på namn, personnummer eller liknande uppgifter

Namn och personnummer är viktiga för identifieringen av en person och kontrolleras regelmässigt i samband med brottsutredningar och annat brottsbekämpande arbete. Detsamma gäller samordningsnummer, dvs. sådana identitetsbeteckningar som enligt 18 a § folkbokföringslagen (1991:481) kan tilldelas personer som inte är eller har varit folkbokförda i Sverige. Personuppgifter av nu aktuellt slag måste i stor utsträckning användas i brottsutredningar för att undanröja risken för personförväxling. Det är uppenbart att möjligheten att göra sökningar på sådana uppgifter även kan vara av betydelse vid underrättelseverksamhet. Det

bör t.ex. vara möjligt att inom ramen för det arbete som bedrivs i en undersökning som avser viss misstänkt brottslig verksamhet söka fram uppgifter om huruvida personer som figurerar i det ärendet också är misstänkta i andra ärenden.

Användandet av detta slag av uppgifter som sökbegrepp kan emellertid ge upphov till särskilda risker från integritetssynpunkt. En sökning på t.ex. ett personnummer kan, i vart fall om den sker i den samlade informationsmängd som Tullverket har tillgång till i den brottsbekämpande verksamheten, ge möjlighet till en mer omfattande kartläggning av en person än vad som är motiverat. Ur ett integritetsperspektiv är sådana sökningar ägnade att inge betänkligheter.

Vid införandet av polisdatalagen konstaterades dock att en sådan begränsning till redan misstänkta personer som finns i den nuvarande tullbrottsdatalagen inte var ändamålsenlig på polisområdet. En sådan bestämmelse tillåter t.ex. inte att det görs vissa sökningar som kan vara nödvändiga inom ramen för ett underrättelseprojekt. I ett sådant projekt kan det vara av vikt att kunna klarlägga om personer som har anknytning till den undersökta verksamheten – men som vid den tidpunkten inte är misstänkta – förekommer som misstänkta i andra underrättelseprojekt eller i brottsutredningar som gäller liknande brott (prop. 2009/10:85 s. 159 f.). Uppgifter om andra personer än misstänkta kan – satta i ett större sammanhang – vara viktiga pusselbitar vid utredningen av ett brott eller i ett underrättelseprojekt. Det kan också vara viktigt att få fram uppgifter om att en viss person frekvent anmäler brott, eftersom det kan ha betydelse för dennes trovärdighet.

De nuvarande sökbegränsningarna för Tullverket har medfört svårigheter i myndighetens samarbete med andra myndigheter t.ex. genom att viss brottslighet inte kan uppmärksammas och åtgärdas. Det är en fördel för myndighetssamverkan om de brottsbekämpande myndigheternas särskilda registerförfattningar överensstämmer med varandra i detta avseende.

Mot denna bakgrund anser regeringen att Tullverket i sin brottsbekämpande verksamhet bör ha samma möjlighet till sökning på namn och andra direkta personuppgifter som Polismyndigheten och Kustbevakningen har. Sökning ska således få göras på namn, personnummer och liknande uppgifter.

Uppgifter som bör få tas fram vid en sökning

Den nya lagen bör innehålla bestämmelser som begränsar vilka uppgifter som kommer fram vid sökningar på namn och andra direkta personuppgifter. Vid sökningar på namn, personnummer och liknande identitetsuppgifter bör enligt regeringens mening enbart vissa slag av uppgifter om den person som sökningen avser kunna tas fram. En regel om sökbegränsningar måste dock utformas så att uppgifter som det generellt sett finns ett stort behov av i Tullverkets brottsbekämpande verksamhet får tas fram. Frågan är då vilka uppgifter som är sådana att de bör ingå i träffbilden vid en sökning som omfattas av sökbegränsningar.

Först och främst bör det vara möjligt att ta fram uppgifter som anger att den sökte har anmälts för brott eller är misstänkt för brott eller för utövande av allvarlig brottslig verksamhet eller brottslighet som sker

systematiskt. Med allvarlig brottslig verksamhet avses här detsamma som i avsnitt 14.2.1, dvs. verksamhet som innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver. Även uppgifter om att den sökte tidigare har varit misstänkt för brott bör kunna tas fram utan inskränkningar, eftersom det kan vara nyttigt att få reda på i den brottsbekämpande verksamheten hos Tullverket. De begränsningar i fråga om behandling av uppgifter om avförda brottsmisstankar som finns i den nuvarande tullbrottsdatalagen bör alltså inte tas in i den nya lagen.

En annan uppgift som bör vara möjlig att få fram är att personen har anmält ett brott eller att han eller hon förekommer som målsägande eller vittne i en brottsutredning. Det bör också vara möjligt att få fram uppgift om en handling har lämnats in av eller expedierats till personen i fråga. Även uppgiften att personen har bedömts kunna möta ett ingripande med grovt våld eller är efterlyst är viktig information i det brottsbekämpande arbetet. Motsvarande uppgifter får initialt sökas fram enligt polisdatalagen och kustbevakningsdatalagen (3 kap. 6 § polisdatalagen och 4 kap. 5 § kustbevakningsdatalagen).

Mot bakgrund av att det i avsnitt 14.2.2 föreslås att uppgifter om övervakning av allvarligt kriminellt belastade personer som kan antas komma att begå allvarliga brott ska få göras gemensamt tillgängliga bör det i den nya regleringen, liksom för Polismyndighetens del, även vara möjligt att få fram uppgift om personen övervakas.

Några av de kategorier av personuppgifter som nu har nämnts är till sin natur av mera känsligt slag. Det gäller särskilt uppgifter om att en person tidigare har varit misstänkt för brott, uppgifter om att en person är misstänkt för brottslig verksamhet och uppgifter om att en person övervakas. Behovet av att få tillgång till sådana uppgifter skiljer sig dessutom åt beroende på i vilket sammanhang sökningen sker. I många fall kan behovet av sådan information antas vara begränsat. Det bör dock framhållas att det krävs noggranna överväganden innan bedömningen kan göras att en person kan komma att möta ett ingripande med grovt våld och att en notering om en sådan bedömning kan ifrågasättas ur ett integritetsperspektiv. Detta bör därför förekomma endast under förutsättning att det finns konkreta omständigheter som talar för en sådan bedömning. Det kan t.ex. vara fråga om att personen vid tidigare ingripanden varit beväpnad eller våldsam.

Generellt sett bör behovet av information om samtliga sökbara kategorier av personuppgifter vara störst i underrättelseverksamhet och i samband med utredning av vissa typer av brott. Av integritetshänsyn bör tillgången till dessa kategorier av uppgifter kunna begränsas. Det kan således finnas skäl att meddela ytterligare begränsningar av tillgången till uppgifter. Sådana föreskrifter kan regeringen meddela med stöd av sin restkompentens enligt 8 kap. 7 § regeringsformen. Regeringen föreslår därför en upplysningsbestämmelse som anger att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om begränsning av tillgången till sådana uppgifter. Liknande bestämmelse finns i polisdatalagen och kustbevakningsdatalagen.

De nu föreslagna begränsningarna omfattar endast den initiala sökningen. En allmän sökning som görs med hjälp av namn eller någon annan direkt personuppgift ska alltså, enligt förslaget, ge en första träff-

bild som innefattar endast någon eller några av de kategorier av uppgifter som anges i förslaget. Sedan man väl har fått träff på en viss person, t.ex. som misstänkt för brott i en viss förundersökning, ska ytterligare uppgifter kunna tas fram genom en fortsatt behandling i den uppgiftsmängden. Möjligheten att få tillgång till ytterligare uppgifter, kanske hela förundersökningen, avgörs av vilken behörighet den berörda tjänstemannen har och om behandlingen behövs för något av de tillåtna ändamålen.

Sökningar som inte bör omfattas av sökbegränsningarna

De integritetsrisker som motiverar inskränkningar i fråga om vilka uppgifter som får tas fram vid sökning på namn och andra direkta personuppgifter gör sig inte gällande i samma utsträckning när det är fråga om sökningar i ett begränsat material, t.ex. en viss handling eller ett visst ärende. Det är från effektivitetssynpunkt dessutom rimligt att en tjänsteman som arbetar i ett elektroniskt dokument får söka fritt i det dokumentet genom att t.ex. använda sedvanliga sökfunktioner i ett ordbehandlingsprogram. Begränsningarna i fråga om vilka uppgifter som får tas fram bör därför inte gälla vid sökning i en viss handling eller i ett visst ärende. En reglering med sådan innebörd bör därför införas, i likhet med vad som gäller för Polismyndigheten och Kustbevakningen.

För vissa delar av den brottsbekämpande verksamheten kan begränsningar i möjligheterna att ta fram uppgifter vid sökningar på namn och andra direkta personuppgifter leda till särskilda problem som motiverar att den personliga integriteten i viss mån får stå tillbaka för kravet på en effektiv brottsbekämpning. Det gäller bl.a. underrättelseverksamhet som avser särskilt allvarlig brottslighet som t.ex. grov och synnerligen grov narkotikasmuggling, grovt tullbrott och grov smuggling. I sådant arbete som bedrivs inom ramen för ett underrättelseprojekt och som avser viss brottslighet eller vissa kriminella grupperingar upprättas ofta särskilda uppgiftssamlingar. Dessa uppgiftssamlingar syftar till att kartlägga en viss brottslighet eller en viss kriminell gruppering och endast de tjänstemän som deltar i undersökningen har tillgång till dem. Även i dessa fall är det fråga om ett begränsat material som, trots att det i regel är fråga om gemensamt tillgängliga uppgifter, endast en begränsad krets av personer har tillgång till.

Tullverket samverkar i ärenden om bekämpning av grov brottslighet ofta med framför allt polisen, både inom och utanför den s.k. myndighetsgemensamma samverkan mot organiserad brottslighet. För att samverkan ska fungera effektivt krävs att de brottsbekämpande myndigheterna har motsvarande möjligheter att ta fram uppgifter vid sökning på namn eller andra direkta personuppgifter.

Tullverket arbetar liksom polisen enligt det kriminalarboristiska perspektivet och övervakar vissa allvarligt kriminellt belastade personer, som kan antas komma att begå allvarliga brott som Tullverket har att ingripa mot. I dessa fall är det viktigt för Tullverket att ha kännedom om var personen brukar befinna sig, vilka kontakter han eller hon har, vilka transportmedel personen förfogar över osv., för att Tullverket ska kunna ingripa i tid mot nya brott. För att kunna skapa sig en helhetsbild av de personer som är föremål för särskild övervakning och se samtliga

sammanhang där de förekommer, behöver de berörda tjänstemännen kunna arbeta relativt fritt med att skapa sin uppgiftssamling. Ibland finns det därför behov för Tullverket att vid sökning som omfattar mer än bara ett visst ärende ta fram flera uppgifter inom ramen för en förundersökning om ett särskilt allvarligt brott, som t.ex. utredningar om grov eller synnerligen grov narkotikasmuggling, grov smuggling eller grovt tullbrott för vilka är föreskrivet fängelse i fyra år eller mer. Förundersökningar om sådana brott kan pågå under mycket lång tid, t.ex. om brottsligheten är särskilt svårutredd eller gärningsmannen okänd.

I likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen (3 kap. 7 § polisdatalagen och 4 kap. 6 § kustbevakningsdatalagen) bör det enligt regeringens mening i den nya lagen vara möjligt att fritt ta fram uppgifter vid sökningar i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till. Det finns här ingen begränsning till särskilt allvarliga brott. Enligt kustbevakningsdatalagen gäller inte undantaget vid sökning i en uppgiftssamling som har skapats för att undersöka vissa kriminella grupperingar. Detta bör inte gälla för Tullverkets del, eftersom det inom Tullverkets verksamhetsområde förekommer kriminella grupperingar som Tullverket behöver undersöka. Regeringens förslag är således likalydande med vad som gäller för Polismyndigheten.

För en fungerande samverkan med framför allt polisen är det nödvändigt att myndigheternas regelverk ger samma möjligheter. Om det är fråga om mycket allvarliga brott där samhällets intresse av att gärningsmannen lagförs är stort, är det motiverat att tillåta att fler uppgifter tas fram vid sökningar om dessa kan bidra till att gärningsmannen spåras eller kan fällas. Även om antalet sådana allvarliga brott som Tullverket rent generellt har att ingripa mot är betydligt färre än de som faller inom polisens ansvarsområde, är Tullverkets brottsbekämpning avseende dessa allvarliga brott att jämställa med polisens i en helt annan grad än vad som gäller för t.ex. Kustbevakningen. Straffskalan för grov narkotikasmuggling sträcker sig upp till sju års fängelse och för synnerligen grov narkotikasmuggling upp till tio års fängelse. Grov smuggling samt grovt tullbrott kan ge upp till sex års fängelse. Brott mot lagen om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter föreskriver fängelse upp till fyra år.

I likhet med Polismyndigheten har Tullverket därför enligt regeringens mening ett behov av att i dessa fall kunna söka fram flera uppgifter. Regeringens förslag motsvarar i denna del vad som gäller för Polismyndigheten.

I likhet med vad som gäller för Polismyndigheten föreslår regeringen mot denna bakgrund att begränsningarna av vilka uppgifter som får tas fram vid sökning inte ska gälla vid sökning som utförs av särskilt angivna tjänstemän och som görs för att förebygga, förhindra, upptäcka eller utreda brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i fyra år eller däröver eller för att övervaka allvarligt kriminellt belastade personer som kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver.

En förutsättning för detta är som framgår ovan att sökningen utförs av tjänstemän som har tilldelats särskild behörighet att utföra sådana

sökningar. Dessa tjänstemän får fram flera uppgifter vid sina sökningar på namn eller andra direkta personuppgifter, t.ex. i flera olika uppgiftssamlingar om viss brottslighet eller vissa kriminella grupperingar. Vilka kategorier av tjänstemän som ska tilldelas denna särskilda behörighet och hur många tjänstemän det kan bli fråga om beror på hur Tullverket organiserar sin brottsbekämpande verksamhet. Det bör kunna vara fråga om allt ifrån ett fåtal utpekade personer till samtliga personer på en enhet som har till uppgift att hantera t.ex. underrättelseverksamhet som avser särskilt allvarlig brottslighet. Det bör meddelas föreskrifter om vilka närmare kvalifikationskrav m.m. som bör ställas på dessa tjänstemän och på att Tullverket dokumenterar vilka tjänstemän som har beviljats denna utökade möjlighet att vid sökning ta fram uppgifter.

I likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen bör det i den nya lagen tas in en upplysning om den behörighet som regeringen eller myndighet som regeringen bestämmer har att meddela ytterligare föreskrifter kring sökandet i gemensamt tillgängliga uppgifter. Regleringen avser dels en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om under vilka förutsättningar som sökning får äga rum, dels en bestämmelse om att regeringen kan meddela ytterligare föreskrifter om begränsningarna. I båda fallen utgörs stödet för detta av 8 kap. 7 § regeringsformen.

Lagförslag

Förslaget genomförs genom 3 kap. 6 och 7 §§ i den nya lagen.

15. Informationsutbyte i brottsbekämpande verksamhet

15.1. Behovet av ett effektivt informationsutbyte mellan svenska brottsbekämpande myndigheter

Regeringens bedömning: En effektiv brottsbekämpning förutsätter att de brottsbekämpande myndigheterna kan utbyta information på ett rationellt sätt.

Promemorians bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Flera remissinstanser, däribland Rikspolisstyrelsen och Ekobrottsmyndigheten, framhåller behovet av att de brottsbekämpande myndigheterna kan utbyta information på ett effektivt sätt.

Skälen för regeringens bedömning: Samarbetet mellan brottsbekämpande myndigheter har blivit allt viktigare i det brottsförebyggande och brottsutredande arbetet. Ett effektivt och framgångsrikt arbete mot allvarlig och organiserad brottslighet förutsätter att man kan dra nytta av den samlade kunskap om brott och brottslingar som finns inte bara inom

Tullverkets brottsbekämpande verksamhet utan också hos andra myndig-

heters brottsbekämpande verksamheter. Informationsutbyte har även betydelse för bekämpning av mängdbrottslighet.

Uppdelningen av den brottsbekämpande verksamheten på olika myndigheter har i stor utsträckning kommit att påverka möjligheterna till informationsutbyte, bl.a. eftersom det kan råda sekretess mellan myndigheterna. Detta har visat sig begränsa effektiviteten i brottsbekämpningen. Av samma skäl som det är viktigt att man inom Tullverkets brottsbekämpande verksamhet på ett effektivare sätt kan tillgodogöra sig den information som finns inom den egna organisationen, är det viktigt att nyttiggöra informationen i samarbete med andra brottsbekämpande verksamheter. Ett förbättrat informationsutbyte gör det möjligt att utnyttja de samlade resurserna mer effektivt och ökar förutsättningarna för att brott i större utsträckning kan klaras upp snabbt och att felaktiga brottsmisstankar kan avföras från utredning. Behovet av informationsutbyte mellan de brottsbekämpande verksamheterna är särskilt stort när det gäller att kartlägga och begränsa organiserad brottslighet, men det finns även behov av samarbete och informationsutbyte i kampen mot annan allvarlig eller systematisk brottslighet.

Det pågår ett fortlöpande arbete med att utveckla system för informationsutbyte inom och mellan brottsbekämpande verksamheter, bl.a. inom ramen för det samverkansarbete som rättsväsendets myndigheter bedriver och som syftar till att utveckla det elektroniska informationsflödet genom hela rättskedjan (Ju2012/6639). Flera utredningar har också under senare år betonat att det måste skapas förutsättningar för ett förbättrat utbyte av information mellan de brottsbekämpande myndigheterna (se t.ex. betänkandena SOU 2002:113, SOU 2005:117, SOU 2006:18 och SOU 2011:80). Den gemensamma uppfattningen hos dessa utredningar har varit att den brottsbekämpande verksamheten hos en myndighet ska kunna lämna information till sådan verksamhet hos en annan myndighet, om den senare myndigheten behöver informationen i sin brottsbekämpande verksamhet.

I t.ex. avsnitt 6.2 och 10.3 berörs det myndighetsöverskridande arbetet mot organiserad brottslighet. Genom nyligen genomförda lagändringar har det också blivit enklare att utbyta information vid samverkan mot organiserad brottslighet: Lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet innehåller sekretessbrytande bestämmelser som gäller vid särskilt beslutad samverkan mellan myndigheter för att förebygga, förhindra eller upptäcka brottslig verksamhet av i lagen närmare angivet slag, se propositionen Informationsutbyte vid samverkan mot organiserad brottslighet (prop. 2015/16:167).

Det är också en allmän strävan inom EU att öka informationsutbytet mellan medlemsstaternas brottsbekämpande myndigheter. I det nyligen antagna dataskyddsdirektivet, Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, lyfts också fram att det är viktigt att medlemsstaterna säkerställer att behöriga myndigheters utbyte av personuppgifter inom unionen, när sådant utbyte krävs enligt unionsrätten eller medlemsstaternas nationella rätt, varken begränsas eller för-

bjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter (artikel 1).

Å ena sidan innebär ett förbättrat informationsutbyte ett ökat flöde av uppgifter mellan myndigheter vilket kan skapa större risker för intrång i den personliga integriteten, särskilt om de uppgifter som behandlas är av känsligt slag eller används utan hänsyn till det sammanhang i vilket de samlades in. Även insamling och utbyte av förhållandevis harmlösa uppgifter kan, om de skapar en totalbild av en enskild persons förhållanden, riskera att leda till intrång i den personliga integriteten.

Vid informationsutbyte mellan brottsbekämpande verksamheter hos myndigheter bör å andra sidan beaktas att de myndigheter som bedriver underrättelseverksamhet har likartade regler om sådan verksamhet och att alla myndigheter tillämpar samma grundläggande regler för brottsutredning. Vidare har uppgifter som rör brott och brottsbekämpning i princip samma sekretesskydd hos alla berörda myndigheter. Skyddet vid behandlingen av personuppgifter är också likartat. Även om det kan finnas nackdelar med ett ökat informationsflöde mellan de brottsbekämpande myndigheterna väger fördelarna över. De integritetsrisker som kan finnas vägs in när bestämmelserna utformas och när myndigheter beviljas direktåtkomst.

Det ligger i sakens natur att informationsutbytet till stor del avser uppgifter som omfattas av sekretess, eftersom åtskilliga av de uppgifter som behandlas inom den brottsbekämpande verksamheten skyddas av någon typ av sekretess. En grundläggande förutsättning för att uppgifter ska få lämnas till en annan myndighet är att sekretess inte hindrar att uppgifterna lämnas ut. Detta gäller oberoende av om det rör sig om elektroniskt lagrade uppgifter eller uppgifter på papper. I offentlighets- och sekretesslagen (2009:400) finns det ett antal bestämmelser som innebär att sekretess inte hindrar utbyte av uppgifter mellan nationella brottsbekämpande myndigheter. Enligt 10 kap. 28 § offentlighets- och sekretesslagen hindrar sekretess inte att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Frågan om nya sådana bestämmelser bör införas berörs bl.a. i avsnitt 15.5.4.

Informationsutbytet mellan brottsbekämpande myndigheter sker i dag till stor del manuellt. Uppgifter kan lämnas både i pappersform och elektroniskt, t.ex. via e-post. I viss utsträckning förekommer elektroniskt utlämnande genom att mottagaren ges rätt att själv söka efter information som den utlämnande myndigheten har tillgång till (direktåtkomst).

En ordning som innebär att informationsutbytet i huvudsak sker genom manuell behandling skapar praktiska problem, särskilt som brottsbekämpningen bedrivs dygnet runt. Uppgifter som en tjänsteman behöver omedelbart för att kunna genomföra en tjänsteåtgärd måste vara lätt tillgängliga även utanför vanlig kontorstid.

Det finns alltså ett stort och växande behov av ett effektivt informationsutbyte mellan de brottsbekämpande myndigheterna. Detta behov måste kunna tillgodoses genom ökad användning av elektronisk kommunikation. Den nya lagen bör därför underlätta sådant informationsutbyte och bidra till att utveckla samarbetet med andra brottsbekämpande myndigheter, samtidigt som den värnar om enskildas integritet.

I följande avsnitt presenteras överväganden och förslag avseende bl.a. metoder för utlämnande, frågor om sekretess och uppgiftsskyldighet.

Hänvisningar till S15-1

15.2. Behovet av ett effektivt internationellt informationsutbyte

Regeringens bedömning: Det internationella utbytet av information spelar en viktig roll för brottsbekämpningen av framför allt allvarlig och gränsöverskridande brottslighet.

Promemorians bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över bedömningen.

Skälen för regeringens bedömning: Av samma skäl som ett ökat informationsutbyte mellan svenska brottsbekämpande myndigheter bidrar till en effektivare brottsbekämpning gör internationellt samarbete i brottsbekämpande syfte det. Globaliseringen har medfört en ökad internationell handel och ett ökat resande i världen, vilket har underlättat utvecklingen av organiserad brottslighet. I dag förflyttar sig både vinsterna från brottsligheten och de kriminella mellan olika länder utan några större problem. Denna utveckling ställer större krav på samarbete över gränserna och innebär att vikten av internationellt samarbete ökar ytterligare.

Det är framför allt vid bekämpningen av allvarlig och gränsöverskridande brottslighet som det internationella informationsutbytet har betydelse. Utan sådant informationsutbyte skulle t.ex. bekämpningen av grov och synnerligen grov narkotikasmuggling inte kunna bedrivas lika effektivt. Dessutom har Sverige genom olika internationella överenskommelser åtagit sig att överlämna information som härrör från brottsbekämpande verksamhet dels till brottsbekämpande myndigheter i andra länder, dels till organisationer som Interpol och Europol. Hinder mot informationsutbyte på nationell nivå riskerar naturligtvis att påverka även det internationella informationsutbytet negativt.

Ett ökat informationsutbyte över gränserna måste emellertid balanseras av effektivt skydd för den enskilde. I december 2008 antogs rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, dataskyddsrambeslutet, med syfte att säkerställa en gemensam hög skyddsnivå för enskilda personer. Dataskyddsrambeslutet, som har genomförts i Sverige, innebär att det finns bindande förpliktelser om dataskydd mellan medlemsstaterna inom polisområdet. En redogörelse för rambeslutet och andra internationella överenskomelser om särskilda dataskyddsbestämmelser finns i avsnitt 4.1. Som nämnts i avsnitt 4.1.7 har dataskyddsrambeslutet ersatts av ett dataskyddsdirektiv, som ska vara implementerat i maj 2018. Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) har i uppdrag att genomföra direktivet. Den ska senast den 1 april 2017 i ett delbetänkande redovisa uppdraget i den del det rör dels en ny ramlagstiftning, dels tillsyn inom direktivets tillämpningsområde. Uppdraget ska slutredovisas senast den 30 september 2017.

Utvecklingen innebär att Tullverket kommer att ha ett fortsatt stort behov av att kunna utbyta uppgifter med andra länder. Den nya lagen bör

därför inte ställa upp onödiga hinder för sådant informationsutbyte. Möjligheterna att utbyta uppgifter bör enligt regeringens mening i huvudsak motsvara vad som redan gäller i dag.

Hänvisningar till S15-2

15.3. Direktåtkomst för svenska brottsbekämpande myndigheter

Regeringens förslag: Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket ska få medges direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet. Direktåtkomsten ska endast få avse personuppgifter som är gemensamt tillgängliga.

En myndighet som har medgetts direktåtkomst ska ansvara för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorians förslag finns en uttrycklig bestämmelse om att myndigheten som medges direktåtkomst ska vara bunden av de begränsningar i fråga om sökning som gäller för Tullverket. Promemorians förslag är även i övrigt något annorlunda utformat.

Remissinstanserna: Kriminalvården anger att myndigheten inte finns upptagen i lagförslaget som en av de myndigheter som trots sekretess har rätt att ta del av personuppgifter som är gemensamt tillgängliga, och inte heller som en av de myndigheter som får medges direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet. Kriminalvården anser dock att det i dag finns starka skäl att överväga om inte även Kriminalvården bör hänföras till brottsbekämpande myndigheter, då den har ett uttryckligt uppdrag att bekämpa brott under verkställigheten och samverkar inom ramen för den myndighetsgemensamma satsningen mot organiserad brottslighet med t.ex. Polismyndigheten, Tullverket och

Åklagarmyndigheten.

Datainspektionen anger att i promemorian föreslås utökade möjligheter för myndigheter att få direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet, men att det inte redogörs närmare för skälen till att dessa myndigheter har behov av direktåtkomst till Tullverkets information. Utan en närmare redovisad analys går det inte att bedöma lämpligheten och konsekvenserna av det aktuella förslaget.

Sveriges advokatsamfund anser att författningsförslaget leder till betänkligheter från integritetssynpunkt. Samfundet noterar att enskilda individer genom direktåtkomst kan komma att få tillgång till gemensamt tillgängliga uppgifter inhämtade från Tullverket, Ekobrottsmyndigheten,

Polismyndigheten, Åklagarmyndigheten och Skatteverket och således att en stor mängd information kan komma att samlas hos individer. Risken

för missbruk med en sådan ordning, t.ex. genom att uppgifterna används för andra ändamål än för vilka de samlades in, bör inte underskattas.

Skälen för regeringens förslag: Enligt 6 § förordningen (2005:791) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, kallad tullbrottsdataförordningen, får Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Kustbevakningen och Skatteverket ha direktåtkomst till uppgifter i tullbrottsdatabasen som behandlas för ändamålet att förebygga, förhindra och upptäcka brottslig verksamhet. Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten och Säkerhetspolisen får ha direktåtkomst till uppgifter i tullbrottsdatabasen som behandlas för ändamålet att utreda och beivra brott (7 §).

Enligt polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145) får Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket medges direktåtkomst till personuppgifter i den brottsbekämpande verksamheten. Direktåtkomsten får endast avse personuppgifter som är gemensamt tillgängliga. En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (3 kap. 8 § polisdatalagen och 4 kap. 7 § kustbevakningsdatalagen).

Att olika arbetsuppgifter inom brottsbekämpningen av organisatoriska, historiska eller andra skäl är uppdelade och ligger på skilda myndigheter innebär inte nödvändigtvis att det uppstår större risker från integritetssynpunkt med direktkopplingar mellan information hos de olika myndigheterna än vad som skulle ha varit fallet om all brottsbekämpande verksamhet låg hos en och samma myndighet, jfr propositionen Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 87).

Alltför vittgående möjligheter till direktåtkomst kan dock öka riskerna för intrång i den personliga integriteten. Typiskt sett innebär direktåtkomst nämligen att uppgifter blir tillgängliga för fler personer och att den ursprungliga myndighetens möjligheter att kontrollera användningen av uppgifterna minskar. Mot den bakgrunden föreslår regeringen att, vilket också gäller i dag, särskilda regler ska gälla vid direktåtkomst till personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet.

Datainspektionen anger att det föreslås utökade möjligheter för myndigheter att få direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet men att det i promemorian inte redogörs närmare för skälen till att dessa myndigheter har behov av direktåtkomst till Tullverkets information och att det utan en närmare redovisad analys inte går att bedöma lämpligheten och konsekvenserna av det aktuella förslaget. Regeringen vill erinra om att det, som framgår ovan, redan förekommer direktåtkomst mellan de brottsbekämpande myndigheterna och att det således inte handlar om utökade möjligheter till direktåtkomst.

Vad gäller frågan om behovet av direktåtkomst ökar modern teknik möjligheterna att skapa överblick och samordning i det brottsbekämpande arbetet och att utnyttja tillgänglig information på ett effektivt sätt. Det är angeläget att dessa möjligheter kan användas. De brottsbekämpande myndigheterna har ofta behov av att på ett snabbt och enkelt sätt få omedelbar tillgång till information genom direktåtkomst. Verksamhets-

skäl talar således för att ge de brottsbekämpande myndigheterna möjlighet till direktåtkomst. Att man har valt att fördela brottsbekämpande uppgifter på flera myndigheter ska inte hindra ett effektivt brottsbekämpade arbete. Det är dock naturligtvis av stor vikt att integritetsaspekter iakttas, vilket behandlas nedan.

Sveriges advokatsamfund anser att författningsförslaget leder till betänkligheter från integritetssynpunkt. Samfundet noterar att enskilda individer genom direktåtkomst kan komma att få tillgång till gemensamt tillgängliga uppgifter inhämtade från Tullverket, Ekobrottsmyndigheten,

Polismyndigheten, Åklagarmyndigheten och Skatteverket och således att en stor mängd information kan komma att samlas hos individer. Risken för missbruk med en sådan ordning, till exempel genom att uppgifterna används för andra ändamål än för vilka de samlades in, bör inte underskattas.

Regeringen vill lyfta fram följande. Mot de brottsbekämpande myndigheternas verksamhetsbehov måste naturligtvis hänsynen till enskildas integritet vägas. Integritetsaspekterna måste tillmätas central betydelse vid bedömningen av i vilken omfattning sådana myndigheter bör kunna medges direktåtkomst till uppgifter i varandras verksamhet. I de databaser och register som förs av brottsbekämpande myndigheter finns det ofta stora mängder personuppgifter. Många av dessa kan vara av känslig karaktär. Enbart det förhållandet att uppgifter om en enskild persons förhållanden samlas in och bevaras kan uppfattas som ett intrång i den personliga integriteten. Ju fler personer som har omedelbar tillgång till sådana uppgiftssamlingar, desto mera påtaglig är risken för intrång. Direktåtkomst kan också minska möjligheterna att kontrollera den vidare användningen av uppgifterna. Dessa förhållanden utgör skäl för en restriktiv hållning i fråga om direktåtkomst till personuppgifter som Tullverket behandlar i den brottsbekämpande verksamheten.

En viktig aspekt som bör beaktas vid den avvägning som måste göras är om det, när det är fråga om direktåtkomst till sekretessreglerade uppgifter, gäller sekretess för uppgifterna hos den mottagande myndigheten. En annan viktig aspekt är hur uppgifterna sprids och används inom den mottagande myndigheten. Om användandet av uppgifterna inom den myndigheten kan begränsas till en liten krets, är integritetsriskerna mindre än om uppgifterna ges en vid spridning. En tredje aspekt är vilka bestämmelser om informationssäkerhet (t.ex. system för behörighet, loggning och tillsyn) som gäller hos den mottagande myndigheten. Om informationssäkerheten hos den mottagande myndigheten är hög, så att det kan garanteras att informationen endast når dem som har behov av den, inger möjlighet till direktåtkomst mindre betänkligheter från integritetssynpunkt än vad som annars hade varit fallet. En fjärde aspekt är att möjligheterna att göra integritetskänsliga sökningar bland personuppgifterna inte ska öka bara för att dessa är föremål för direktåtkomst.

Det kan anmärkas att de brottsbekämpande myndigheterna har författningar som reglerar behandlingen av personuppgifter på ett likartat sätt, i ännu högre grad om nu föreslagen tullbrottsdatalag införs. Sekretessregleringen ger också i princip samma skydd för uppgifter i brottsbekämpningen hos samtliga brottsbekämpande myndigheter. Myndigheterna omfattas således av bl.a. bestämmelserna om sekretess till skydd för brottsbekämpningen i 18 kap. 1 och 2 §§ offentlighets- och

sekretesslagen och bestämmelserna om sekretess till skydd för enskildas personliga och ekonomiska förhållanden i sådan verksamhet, som regleras i 35 kap. samma lag. Det finns också en särskild bestämmelse, 11 kap. 4 §, om överföring av sekretess vid direktåtkomst. Om en myndighet har elektronisk tillgång till en annan myndighets upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad hos den andra myndigheten, blir sekretessbestämmelsen tillämplig också hos den mottagande myndigheten. Detta gäller dock inte om uppgiften ingår i ett beslut hos den mottagande myndigheten. Det finns även en särskild bestämmelse, 11 kap. 8 § offentlighets- och sekretesslagen, om vad som gäller vid konkurrens mellan den överförda sekretessen och sådan sekretess som är direkt tillämplig hos den mottagande myndigheten, se avsnitt 15.5.

Vad gäller Sveriges advokatsamfunds syn om att enskilda individer kan komma att få del av uppgifter bör påminnas om att den aktuella direktåtkomstregleringen endast kommer att medge myndigheter direktåtkomst, och därmed endast tjänstemän vid sådan myndighet. Vad gäller den angivna risken för missbruk med en sådan ordning, t.ex. genom att uppgifterna används för andra ändamål än för vilka de samlades in inte ska underskattas, vill regeringen framhålla att det inte är reglerna om direktåtkomst som styr för vilka ändamål som uppgifter som får behandlas. Bestämmelserna om direktåtkomst handlar om att uppgifter som får lämnas ut, ska kunna lämnas på ett visst sätt, nämligen genom direktåtkomst.

Vad sedan gäller tillgången till uppgifterna hos de mottagande myndigheterna bör motsvarande begränsning gälla som i avsnitt 9.5 har föreslagits för Tullverkets egen behandling – att tillgången till uppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen föreslår därför särskilda regler om detta i den nya lagen. En möjlighet till direktåtkomst behöver alltså inte innebära annat än att en begränsad krets av tjänstemän – eller enbart en viss tjänsteman – hos den mottagande myndigheten får tillgång till uppgifterna.

Vad slutligen gäller informationssäkerhet i samband med direktåtkomst har regeringen eller den myndighet som regeringen bestämmer möjlighet att meddela särskilda föreskrifter om detta, om vilket en upplysningsbestämmelse föreslås, se nedan. Om de brottsbekämpande myndigheterna ska ges möjlighet till direktåtkomst till varandras personuppgifter, bör den myndighet som beslutar om sådan åtkomst vara skyldig att försäkra sig om att den mottagande myndigheten har en acceptabel säkerhetsnivå, t.ex. vad gäller system för utlämnande av behörighet och loggning av transaktioner samt tillsyn. Det kan i sammanhanget noteras att den tekniska utvecklingen fortlöpande ger bättre möjligheter att begränsa tillgången till olika uppgifter och att i efterhand genom bl.a. loggningsuppgifter kontrollera hur tillgången har utnyttjats.

De ökade integritetsrisker som en möjlighet till direktåtkomst kan medföra motverkas alltså genom bestämmelser av annat slag, såsom befintliga bestämmelser om sekretess och bestämmelser om tillgång till och sökning bland uppgifter och om informationssäkerhet.

Regeringen anser att den nya lagen därför på liknande sätt som den nuvarande regleringen bör tillåta att övriga brottsbekämpande myndig-

heter ges direktåtkomst till personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet. Regeringen föreslår därför att Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket ska få medges direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet.

Kriminalvården anger att myndigheten inte finns upptagen som en av de myndigheter som trots sekretess har rätt att ta del av personuppgifter som är gemensamt tillgängliga, och inte heller som en av de myndigheter som får medges direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet. Kriminalvården anser att det finns starka skäl att överväga om inte även Kriminalvården bör hänföras till brottsbekämpande myndigheter, då den har ett uttryckligt uppdrag att bekämpa brott under verkställigheten och samverkar inom ramen för den myndighetsgemensamma satsningen i kampen mot organiserad brottslighet.

Regeringen vill med anledning av detta framhålla följande. Som har nämnts tidigare har nu en lag och tillhörande förordning införts som syftar till att förbättra samverkan mellan myndigheter mot organiserad brottslighet, lagen om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet och sammanhörande förordning, se prop. 2015/16:167. Förutsättningarna för samverkan mellan myndigheterna har således förbättrats bl.a. genom att sekretessbrytande bestämmelser har införts. Vad gäller metoden för utlämnande anser dock regeringen inte för närvarande att de uppgifter som ska kunna lämnas ut till Kriminalvården från Tullverket, måste kunna lämnas ut genom direktåtkomst. Andra metoder för utlämnande av uppgifter får således användas vid utlämnande till denna myndighet.

Vad gäller övriga förutsättningar för direktåtkomsten för de uppräknade myndigheterna gör regeringen följande överväganden. På motsvarande sätt som gäller i dag bör direktåtkomsten bara få avse sådana personuppgifter som är gemensamt tillgängliga. Även om myndighetsöverskridande samarbete äger rum i mindre grupper innebär informationsutbytet att uppgifter som behandlas av Tullverket blir tillgängliga utanför det sammanhang där de ursprungligen har behandlats. Det är då ur ett integritetsperspektiv rimligt att de särskilda, mer begränsande reglerna om gemensamt tillgängliga uppgifter, exempelvis särskilda upplysningar och sökbegränsningar, alltid tillämpas. Motsvarande överväganden har skett i bl.a. förarbetena till kustbevakningsdatalagen, se propositionen Kustbevakningsdatalag (prop. 2011/12:45 s. 138).

Som har nämnts ovan föreslår också regeringen att, i likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen, det föreskrivs att den myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

I promemorian har vidare föreslagits en uttrycklig reglering om att för en sådan myndighet som har medgetts direktåtkomst ska den nya lagens bestämmelser om sökning gälla. Regeringen ser dock inte skäl att föra in en sådan bestämmelse i lagen. Något motsvarande finns inte heller i t.ex. polisdatalagen eller kustbevakningsdatalagen.

Det bör i lagen upplysas om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan

meddela närmare föreskrifter om direktåtkomsten samt om behörighet och säkerhet.

Förslaget genomförs genom 3 kap. 8 § i den nya lagen.

Hänvisningar till S15-3

15.4. Ingen direktåtkomst för utländska myndigheter och internationella organisationer

Regeringens bedömning: Utländska myndigheter och internationella organisationer bör inte medges direktåtkomst till personuppgifter i

Tullverkets brottsbekämpande verksamhet.

Promemorians bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över bedömningen.

Skälen för regeringens bedömning: I lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (kallad tullbrottsdatalagen) finns det inte några bestämmelser som medger att utländska myndigheter och internationella organisationer har direktåtkomst.

I polisdatalagen finns det en bestämmelse om att regeringen meddelar föreskrifter om att en utländsk myndighet, Europol eller en mellanfolklig organisation får medges direktåtkomst till uppgifter i polisens brottsbekämpande verksamhet under vissa förutsättningar (2 kap. 21 §). Någon motsvarande bestämmelse finns inte i kustbevakningsdatalagen.

Det ökade internationella samarbetet när det gäller brottsbekämpning aktualiserar frågan om det finns behov av att medge direktåtkomst för utländska myndigheter och internationella organisationer till personuppgifter i Tullverkets brottsbekämpande verksamhet. Regeringen har i samband med tidigare lagstiftningsförslag ansett att restriktivitet bör iakttas generellt när det gäller att medge direktåtkomst, och i allra högsta grad när det gäller direktåtkomst för utländska myndigheter och andra organ. En orsak till detta är att den myndighet som är personuppgiftsansvarig i sådant fall får sämre möjligheter att kontrollera den vidare användningen av personuppgifterna.

När det gäller bekämpning av terrorism och gränsöverskridande brottslighet innehåller rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, kallat Prümrådsbeslutet (se mer i avsnitt 4.5.2) bl.a. bestämmelser som ålägger medlemsstaterna att tillåta direktåtkomst till vissa uppgifter i nationella DNA-register och fingeravtrycksregister. Åtkomsten ska begränsas till uppgifter om huruvida någon förekommer i registren eller inte. Polismyndigheten är personuppgiftsansvarig för dessa register.

När det gäller Tullverkets brottsbekämpande verksamhet förekommer visserligen ett omfattande internationellt uppgiftsutbyte. I likhet med Kustbevakningen ansvarar Tullverket emellertid inte för något register som utländska myndigheter och internationella organisationer enligt internationella åtaganden ska medges direktåtkomst till. Enstaka person-

uppgifter ska enligt vad som föreslås i avsnitt 13.1 få lämnas ut på medium för automatiserad behandling. Regeringen bedömer att detta får anses tillräckligt när det gäller elektroniskt utlämnande till utlandet.

Någon bestämmelse som tillåter direktåtkomst för utländska myndigheter och internationella organisationer föreslås därför inte i den nya lagen.

Hänvisningar till S15-4

15.5. Sekretess och uppgiftsskyldighet

Hänvisningar till S15-5

  • Prop. 2016/17:91: Avsnitt 15.3

15.5.1. Regler om sekretess i den brottsbekämpande verksamheten

Sekretess till skydd för intresset av att förebygga eller beivra brott regleras i 18 kap. offentlighets- och sekretesslagen. Sekretess gäller, i större eller mindre utsträckning, för förundersökningar och motsvarande utredningar enligt 23 kap. rättegångsbalken (18 kap. 1 §) och som regel för underrättelseuppgifter (18 kap. 2 §). Sekretessbestämmelser till skydd för enskild finns huvudsakligen i 35 kap. offentlighets- och sekretesslagen, som reglerar sekretess i verksamhet som syftar till att förebygga eller beivra brott.

Sekretessen enligt 35 kap. 1 § offentlighets- och sekretesslagen skyddar enskilds personliga och ekonomiska förhållanden. Sekretessen omfattar bl.a. uppgifter i utredning enligt bestämmelserna om förundersökning i brottmål (1), användning av tvångsmedel (2), annan verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen (4), misstankeregistret (7) och register som förs av Tullverket enligt den nuvarande tullbrottsdatalagen (10). Brottsanmälningar omfattas också av sekretessen. Sekretessen gäller om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men. För beslut att väcka åtal eller att inte inleda eller lägga ned en förundersökning gäller inte sekretessen (35 kap. 6 §). Sekretessen upphör också normalt om uppgiften lämnas till domstol med anledning av åtal (35 kap. 7 §). Sekretessen upphör inte om uppgiften uppenbart saknar betydelse i målet (2). Om åtal inte väcks kvarstår också sekretessen. Därför är det mycket vanligt att det förekommer kvarstående sekretess till skydd för enskild i förundersökningar och andra brottsutredningar.

När en förundersökning eller annan motsvarande utredning inleds gäller som regel sekretess enligt både 18 kap. 1 eller 2 § och 35 kap. 1 §offentlighets- och sekretesslagen. Sekretessen enligt 18 kap. minskar efter hand och brukar normalt upphöra senast i samband med att åtal väcks.

Enligt 35 kap. 2 § gäller sekretess, i verksamhet som avses i 1 § första stycket, för uppgift i en anmälan eller utsaga av enskild i förhållande till den som anmälan eller utsagan avser, endast om det kan antas att fara uppkommer för att någon utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

I 35 kap. 3 § 1 regleras sekretessen för belastningsregistret och i 35 kap. 4 § sekretessen för bl.a. register över strafföreläggande och

föreläggande av ordningsbot. I 35 kap. 10 § finns en sekretessbrytande bestämmelse för uppgifter som får lämnas ut bl.a. enligt den nuvarande tullbrottsdatalagen.

15.5.2. Sekretessbrytande regler mellan brottsbekämpande myndigheter

Ansvaret för brottsbekämpningen i Sverige är uppdelat mellan flera myndigheter. Gemensamt för dessa är att sekretess i större eller mindre utsträckning gäller för åtskilliga av de personuppgifter som behandlas inom ramen för den brottsbekämpande verksamheten. Enligt 8 kap. 1 § offentlighets- och sekretesslagen får uppgifter för vilka sekretess gäller inte röjas för andra myndigheter, om inte annat framgår av lagen (eller lag eller förordning till vilken lagen hänvisar). När uppgifter ska lämnas mellan myndigheter måste hänsyn tas till både sekretesslagstiftningen och lagstiftningen om behandling av personuppgifter.

I offentlighets- och sekretesslagen finns flertal bestämmelser som möjliggör utbyte av uppgifter mellan myndigheter utan hinder av sekretess. Av 10 kap. 2 § offentlighets- och sekretesslagen framgår att sekretessbelagda uppgifter får lämnas från en myndighet till en annan om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen, som är avsedd att tillämpas restriktivt, medger inte sekretessgenombrott på den grunden att den mottagande myndigheten behöver uppgifterna i sin verksamhet. Enligt 10 kap. 28 § första stycket hindrar sekretess inte att uppgifter lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Uppgifter kan vidare, med vissa undantag, lämnas ut med stöd av 10 kap. 19– 26 §§, när uppgifterna behövs för olika i paragraferna angivna ändamål inom brottsbekämpningen, bl.a. förundersökning. Enligt 10 kap. 27 §, den s.k. generalklausulen, gäller som huvudregel att en uppgift får lämnas ut till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Undantag görs dock för vissa sekretessregler som är av begränsat intresse här. Bedömningen av om uppgiften kan lämnas ut görs av den myndighet som innehar uppgiften, utom i de fall där utlämnandebestämmelsen har konstruerats så att uppgiften alltid ska lämnas ut om det begärs.

Även bestämmelsen i 6 kap. 5 § offentlighets- och sekretesslagen är viktig i sammanhanget. Den innebär att en myndighet på begäran av en annan myndighet ska lämna ut uppgifter i den mån hinder inte möter på grund av sekretess eller arbetets behöriga gång. Det innebär att om en myndighet begär att få del av uppgifter från en annan myndighet och någon av de ovan nämnda sekretessbrytande bestämmelserna är tillämplig, så ska uppgifterna lämnas ut. Detsamma gäller om de begärda uppgifterna är offentliga, dvs. inte omfattas av sekretess.

Bestämmelsen kan sägas motsvara allmänhetens rätt att få tillgång till handlingar genom offentlighetsprincipen, men utlämnandeskyldigheten är mer vidsträckt och omfattar alla typer av uppgifter som myndigheten förfogar över, bl.a. uppgifter i handlingar som inte är allmänna.

Det kan även finnas sekretessbrytande bestämmelser i annan lag eller förordning. För Tullverkets del finns sådana bestämmelser i t.ex. 2 § tullbrottsdataförordningen och 1 kap. 4 § tullagen (2016:253).

15.5.3. Förhållandet mellan direktåtkomst och sekretess

En bestämmelse om direktåtkomst innebär ingen uppgiftsskyldighet enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen (se t.ex. prop. 2004/05:164 s. 83 och propositionen Personuppgiftsbehandling hos Försvarsmakten och Försvarets radioanstalt, prop. 2006/07:46 s. 80). Bestämmelsen är alltså inte i sig sekretessbrytande, utan reglerar endast den tillåtna formen för att lämna ut uppgifter. Möjligheterna för t.ex. en myndighet att vid informationsutbyte med en annan myndighet överföra uppgifter genom att medge den senare direktåtkomst till uppgifter som behandlas automatiserat begränsas därför ofta av sekretess. Eftersom direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter – inom ramen för den beviljade direktåtkomsten – den vill ta del av, blir uppgifterna att anse som utlämnade i och med att direktåtkomst medges. Prövningen av om ett utlämnande är förenligt med offentlighets- och sekretesslagen måste därför ske redan då uppgifterna görs tillgängliga genom direktåtkomst, oavsett om någon mottagare vid den tidpunkten tar del av dem. En myndighet kan därför inte tillåta en annan myndighet direktåtkomst till uppgifter som, vid en sekretessprövning, den senare myndigheten inte med säkerhet skulle ha rätt att ta del av, se t.ex. propositionen Utökat elektroniskt informationsutbyte (prop. 2007/08:160 s. 73). Direktåtkomst förutsätter därför att det är fråga om offentliga uppgifter, uppgifter som omfattas av en författningsbestämmelse om uppgiftsskyldighet eller – i undantagsfall – uppgifter som kan lämnas ut rutinmässigt med stöd av generalklausulen.

Det finns en särskild bestämmelse om överföring av sekretess vid direktåtkomst (11 kap. 4 § offentlighets- och sekretesslagen). Om en myndighet har elektronisk tillgång till en upptagning för automatiserad behandling hos en annan myndighet och uppgifter i upptagningen är sekretessreglerade, blir de sekretessbestämmelser som är tillämpliga hos den utlämnande myndigheten tillämpliga även hos den mottagande myndigheten. Sekretessen överförs dock inte om uppgiften ingår i ett beslut hos den mottagande myndigheten (11 kap. 4 § andra stycket) eller om det hos den mottagande myndigheten finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 5, och 7 §§ som skyddar samma intresse (11 kap. 8 § offentlighets- och sekretesslagen). Eftersom samtliga brottsbekämpande myndigheter i princip tillämpar samma primära sekretessbestämmelser innebär den sistnämnda bestämmelsen att bestämmelsen om överföring av sekretess enligt 11 kap. 4 § offentlighets- och sekretesslagen får begränsad betydelse vid utlämnande av uppgifter mellan brottsbekämpande myndigheter.

Hänvisningar till S15-5-3

  • Prop. 2016/17:91: Avsnitt 6.3.2

15.5.4. Uppgiftslämnande till svenska brottsbekämpande myndigheter

Regeringens förslag: Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket ska, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen, ha rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

I lagen ska det upplysas om att regeringen har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut även i andra fall. Vidare ska det upplysas om att bestämmelser om att uppgifter får lämnas ut även finns i offentlighets- och sekretesslagen.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: Kriminalvården anger att myndigheten inte finns upptagen som en av de myndigheter som trots sekretess har rätt att ta del av personuppgifter som är gemensamt tillgängliga, och inte heller som en av de myndigheter som får medges direktåtkomst till personuppgifter i

Tullverkets brottsbekämpande verksamhet. Dessa synpunkter behandlas i avsnitt 15.3.

Migrationsverket vill i likhet med vad som anges i promemorian peka på behovet av att det finns en tydligare sekretessbrytande bestämmelse i offentlighets- och sekretesslagen än den s.k. generalklausulen i 10 kap. 27 § rörande möjligheten till informationsutbyte mellan myndigheter.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag

Det behövs sekretessbrytande bestämmelser

Enligt den nuvarande tullbrottsdataförordningen ska Tullverket lämna ut uppgifter från tullbrottsdatabasen om det begärs av de myndigheter som får ha direktåtkomst till sådana uppgifter (2 § jfrt med 6 och 7 §§).

Även polisdatalagen och kustbevakningsdatalagen har sekretessbrytande regler men de har utformats på ett annat sätt. Dessa innebär att de brottsbekämpande myndigheterna har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen, rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver dem i sin brottsbekämpande verksamhet (2 kap. 16 § polisdatalagen respektive 3 kap. 7 § kustbevakningsdatalagen).

I samband med lagstiftningsärendet rörande den nuvarande tullbrottsdatalagen konstaterades att det fanns behov av tydliga sekretessbrytande regler för att kunna medge andra brottsbekämpande myndigheter direktåtkomst till sekretessbelagda uppgifter, något som har upprepats i senare lagstiftningsärenden om behandling av personuppgifter hos polisen och Kustbevakningen, dock att utformningen av reglerna blev en annan. Det finns ett fortsatt behov av en sekretessbrytande regel som omfattar informationsutbyte mellan de brottsbekämpande myndigheterna.

Hur ska bestämmelserna utformas?

Det ligger i sakens natur att en sekretessbrytande bestämmelse som ska möjliggöra direktåtkomst mellan brottsbekämpande myndigheter måste vara tämligen generellt utformad, eftersom det vid direktåtkomst saknas möjlighet att göra en sekretessprövning i varje enskilt fall. Prövningen måste i stället, som nämnts ovan, göras i förväg. Med hänsyn till intresset av ett gott skydd för den personliga integriteten kan ett fullständigt sekretessgenombrott mellan de brottsbekämpande myndigheterna dock inte anses acceptabelt. Även om sekretessen består gentemot allmänheten och effektivitetsaspekterna väger tungt, bör någon form av begränsning i den sekretessbrytande bestämmelsen göras. Uppgifter som omfattas av sekretess till skydd för enskild kan vara mycket integritetskänsliga. Därför är det viktigt att tulltjänstemän och tjänstemän vid andra brottsbekämpande myndigheter får tillgång till sådana uppgifter bara när de behöver det för att kunna bedriva den brottsbekämpande verksamhet som de är ålagda. Detta behov bör därför utgöra det rekvisit som begränsar den sekretessbrytande bestämmelsen, på motsvarande sätt som gäller enligt polisdatalagen och kustbevakningsdatalagen.

Då regeln ska ha till syfte att tillåta frekvent utlämnande bör behovsbedömningen kunna göras inom tämligen vida ramar. Bedömningen av vad mottagaren behöver får göras främst utifrån myndighetens brottsbekämpande uppgifter och med utgångspunkt i de behov som typiskt sett föreligger. Personuppgifter som en myndighet typiskt sett inte behöver bör alltså inte vara åtkomliga för den myndigheten.

Det kan dock finnas situationer där en brottsbekämpande myndighet i ett enskilt fall har behov av uppgifter som ligger utanför det normala i den brottsbekämpande verksamheten. En prövning får i så fall göras i det enskilda fallet med stöd av andra sekretessbrytande bestämmelser på samma sätt som sker i dag.

Mot bakgrund av dessa överväganden bör den sekretessbrytande bestämmelsen, på motsvarande sätt som bestämmelserna i polisdatalagen och kustbevakningsdatalagen, utformas så att personuppgifter i Tullverkets brottsbekämpande verksamhet, trots viss närmare angiven sekretess, kan lämnas till Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket under två förutsättningar. Den ena är att personuppgifterna är gemensamt tillgängliga. Samma begränsning gäller för den föreslagna direktåtkomsten. Personuppgifter som inte är gemensamt tillgängliga omfattas således inte av bestämmelsen. Sådana uppgifter kan dock komma att lämnas ut efter en sekretessprövning i det enskilda fallet med stöd av andra bestämmelser. Den andra förutsättningen är att den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Bestämmelsen bryter endast viss sekretess, se under nästa rubrik.

Bestämmelsen utformas som en uppgiftsskyldighet, jfr propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 331).

Sekretessbrytande regler kan föreskrivas i såväl lag som förordning. Som framgår ovan regleras nuvarande sekretessbrytande uppgiftsskyldighet i förordning. I lagstiftningsärendena om polisdatalagen och kustbevakningsdatalagen gjordes bedömningen att de brottsbekämpande

verksamheternas särskilda natur talade för att bestämmelserna skulle införas i lag. Regeringen anser att den nu aktuella sekretessbrytande bestämmelsen bör tas in i den nya lagen och inte i förordning.

Vilka sekretessbestämmelser bör den nya regleringen omfatta?

Frågan är då vilka slag av sekretess som ska kunna brytas vid informationsutbyte med andra brottsbekämpande myndigheter. Eftersom bestämmelserna i 18 kap.1 och 2 §§offentlighets- och sekretesslagen till skydd för intresset att förebygga och förhindra brott är tillämpliga hos alla brottsbekämpande myndigheter, bör det i de flesta fall inte innebära någon skada för Tullverkets brottsbekämpande verksamhet att lämna ut uppgifterna. Utgångspunkten är således redan enligt gällande rätt att uppgifter som omfattas av sekretess enligt nämnda paragrafer normalt kan lämnas ut till en annan brottsbekämpande myndighet. Detta förutsätter emellertid att det är möjligt att på förhand bedöma om en viss förundersökning eller motsvarande kan lämnas ut. En sådan bedömning bör kunna göras för olika brottstyper eller olika slags underrättelseprojekt.

På motsvarande sätt bör det redan enligt gällande bestämmelser vara möjligt att bedöma den risk som kan vara förknippad med att lämna ut uppgifter som är sekretessbelagda med stöd av någon annan bestämmelse i 18 kap. offentlighets- och sekretesslagen.

Något generellt behov av att bryta den sekretess som kan gälla enligt 18 kap. 1 och 2 §§ finns alltså inte. I de fall där utlämnandet av en uppgift till en annan brottsbekämpande myndighet skulle innebära att Tullverkets egen brottsbekämpande verksamhet riskerar att skadas, bör direktåtkomst givetvis inte komma ifråga. Det sagda gäller även övriga bestämmelser i 18 kap. I sådana fall får, som nyss nämnts, i stället bedömas om uppgiften kan lämnas ut med stöd av någon annan sekretessbrytande bestämmelse, t.ex. 10 kap. 2 eller 27 § offentlighets- och sekretesslagen.

Eftersom de flesta pågående eller avslutade förundersökningarna som inte har lett till åtal och flertalet uppgifter i underrättelseverksamhet kringgärdas av sekretess enligt bestämmelser i 35 kap. offentlighets- och sekretesslagen till skydd för enskild, krävs det sekretessprövning i varje enskilt fall där en sådan uppgift ska lämnas till en annan brottsbekämpande myndighet. Även om uppgifterna kan lämnas ut efter en sådan prövning innebär det att tid och kraft måste läggas på en prövning som normalt alltid ger samma resultat. En sekretessbrytande regel skulle därför underlätta informationsutbytet.

I tidigare utredningar har man pekat på verksamhetsbehovet av att kunna bryta sekretessen i 35 kap. 1 § offentlighets- och sekretesslagen bl.a. i förundersökningar och andra liknande utredningar, eftersom det påtagligt skulle underlätta informationsutbytet mellan de brottsbekämpande myndigheterna. Sekretessen enligt 35 kap. 1 § är tillämplig hos alla brottsbekämpande myndigheter, vilket innebär att uppgifterna har samma skydd gentemot utomstående hos den mottagande myndigheten som hos den utlämnande myndigheten. En regel som bryter denna sekretess skulle förenkla informationslämnandet till andra brottsbekämpande myndigheter och bör därför införas. I övrigt bör det inte finnas

anledning att låta sekretessgenombrottet omfatta fler bestämmelser i 35 kap. än 35 kap. 1 § offentlighets- och sekretesslagen. Motsvarande överväganden gjordes i lagstiftningsärendena om polisdatalagen och kustbevakningsdatalagen, se prop. 2009/10:85 s. 194 f. och propositionen Kustbevakningsdatalag (prop. 2011/12:45 s. 146). I den mån andra sekretessbestämmelser i kapitlet är tillämpliga får det, på samma sätt som nu, göras en bedömning i det enskilda fallet av huruvida sekretessen hindrar att uppgifterna lämnas ut till en annan brottsbekämpande myndighet.

Sekretessen enligt 21 kap. 3 § första stycket offentlighets- och sekretesslagen gäller för uppgift om enskilds bostadsadress, telefonnummer och andra jämförbara uppgifter som kan användas för att komma i kontakt med den enskilde, om det finns särskild anledning att anta att han eller hon, eller någon närstående, kan komma att utsättas för våld eller annat allvarligt men om uppgiften röjs. Sekretess enligt 21 kap. 3 § första stycket offentlighets- och sekretesslagen gäller hos alla myndigheter för att skydda s.k. skyddade adresser. Det innebär att en uppgift som lämnas till en annan brottsbekämpande myndighet har samma skydd gentemot allmänheten hos den mottagande myndigheten. Dessutom är de brottsbekämpande myndigheterna vana vid att hantera denna sekretess. Mot den nu angivna bakgrunden bör uppgifter som omfattas av sekretess enligt 21 kap. 3 § första stycket offentlighets- och sekretesslagen kunna lämnas vidare till andra brottsbekämpande myndigheter utan hinder av sekretessen. När det gäller övriga sekretessbestämmelser till skydd för enskilda som kan aktualiseras i Tullverkets brottsbekämpande verksamhet, t.ex. 21 kap. 1 § offentlighets- och sekretesslagen (känsliga uppgifter om hälsa och sexualliv) och 21 kap. 5 § (uppgifter som rör utlänningars säkerhet i vissa fall), anser regeringen att den enskildes behov av skydd för sin integritet får anses väga tyngre än det behov som kan finnas av ett generellt sekretessgenombrott. I dessa fall får det, på samma sätt som nu, göras en bedömning i det enskilda fallet av om sekretessen hindrar att uppgifterna lämnas ut till en annan brottsbekämpande myndighet.

Integritetsskyddet

Den nu föreslagna regleringen motsvarar de sekretessbrytande bestämmelserna i polisdatalagen och kustbevakningsdatalagen och innebär alltså att ett sekretessgenombrott tillåts endast i vissa fall. Ytterligare en begränsning är som nämnts ovan att bestämmelsen endast avser uppgifter som har gjorts gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet. Bestämmelsen om utlämnande måste även ses tillsammans med hur regelsystemet i övrigt har byggts upp. För behandlingen av gemensamt tillgängliga uppgifter ska gälla särskilda begränsningar, se avsnitt 14, vilket bl.a. innebär att enligt huvudregeln bara vissa typer av uppgifter ska vara åtkomliga vid sökning. Vidare ska det framgå för vilket ändamål uppgiften behandlas. Upplysningar som rör misstänkt brottslig verksamhet ska förses med upplysning om källans tillförlitlighet och uppgifternas riktighet i sak. Om direktåtkomst beviljas och den mottagande myndigheten använder den för att hämta uppgifter till sina system, kommer även den mottagande myndighetens registerförfattning

att bli tillämplig och tillgången till olika typer av uppgifter att begränsas genom behörighetsregler. Det bör som nämnts i avsnitt 15.3 föreskrivas i den nya lagen att den myndighet som har medgetts direktåtkomst ansvarar för att tillgången till uppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Upplysningsbestämmelse

I likhet med polisdatalagen och kustbevakningsdatalagen bör även tas in en upplysning som anger att regeringen har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut även i andra fall. Det görs i bestämmelsen en uttrycklig hänvisning till 8 kap. 7 § regeringsformen.

Vidare bör det i lagen föras in en upplysning om att bestämmelser om att personuppgifter får lämnas ut även finns i offentlighets- och sekretesslagen.

Lagförslag

Sammanfattningsvis föreslår regeringen alltså att Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen, ska ha rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Det ska upplysas om att regeringen har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut även i andra fall och att bestämmelser om att uppgifter får lämnas ut även finns i offentlighets- och sekretesslagen.

Förslaget genomförs genom 2 kap. 13 och 14 §§ i den nya lagen.

15.5.5. Uppgiftsskyldighet

Regeringens förslag: Bestämmelsen om att personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik ska föras över oförändrad in i den nya lagen.

Promemorians förslag: Överensstämmer delvis med regeringens förslag. I promemorian föreslås även att en bestämmelse i den nuvarande tullbrottsdatalagen som avser vite ska föras över oförändrad in i den nya lagen. Bestämmelsen gäller att på begäran av den som avser utfärda ett vitesföreläggande enligt tullagen, ska upplysning lämnas om det i den brottsbekämpande verksamheten görs bedömningen att vite enligt 7 kap. 6 § inte får sättas ut.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag: Enligt den nuvarande tullbrottsdatalagen ska uppgifter som är nödvändiga för att framställa rättsstatistik lämnas till den myndighet som ansvarar för att framställa sådan statistik (24 §). En motsvarande bestämmelse finns i polisdatalagen (2 kap. 14 §).

Enligt förordningen (2001:100) om den officiella statistiken är det Brottsförebyggande rådet som är den statistikansvariga myndighet som

avses. Regeringen anser att bestämmelsen bör föras över i sak oförändrad till den nya lagen. Det kan anmärkas att enligt 24 kap. 8 § första stycket offentlighets- och sekretesslagen gäller absolut sekretess för uppgift som avser en enskilds personliga eller ekonomiska förhållanden i sådan verksamhet hos en myndighet som framställer statistik.

I promemorian föreslås också att bestämmelsen i den nuvarande tullbrottsdatalagen om att på begäran av den som avser utfärda ett vitesföreläggande enligt tullagen, ska upplysning lämnas om det i den brottsbekämpande verksamheten görs bedömningen att vite enligt 7 kap. 6 § inte får sättas ut (23 §), ska föras över oförändrad in i den nya lagen. 7 kap. 6 § tullagen handlar om att Tullverket inte kan förena ett föreläggande med vite om det finns anledning att anta att den som ska föreläggas vid vite har begått en gärning som är straffbelagd eller kan leda till tulltillägg och föreläggandet avser utredning av en fråga som har samband med den misstänkta gärningen. Bestämmelsen i 23 § den nuvarande tullbrottsdatalagen är en bestämmelse om en skyldighet att informera om en bedömning som görs hos den brottsbekämpande verksamheten. Regeringen anser inte att bestämmelsen behöver finnas i den föreslagna lagen utan att den lämpligen kan placeras i förordning. Det kan nämnas att motsvarande bestämmelse för Skatteverket finns i skatteförfarandeförordningen (2011:1261), 8 kap. 2 §. Bestämmelsen om vitesförbudet finns i skatteförfarandelagen (2011:1244), 44 kap. 3 §.

Förslaget genomförs genom 2 kap. 15 § i den nya lagen.

Hänvisningar till S15-5-5

15.5.6. Uppgiftslämnande till utlandet

Regeringens förslag: Om det är förenligt med svenska intressen ska personuppgifter få lämnas till Interpol, Europol, en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller en tullmyndighet eller kustbevakning inom Europeiska ekonomiska samarbetsområdet (EES). Det ska dock bara gälla om det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott.

Uppgifter ska även få lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorians förslag finns uttryckligen angivet att det även krävs att utlämnandet är förenligt med 3335 §§personuppgiftslagen (1998:204). Promemorians förslag är också något annorlunda utformat.

Remissinstanserna: Kammarrätten i Sundsvall anser inte att det är nödvändigt att i bestämmelsen på nytt upplysa om att 3335 §§personuppgiftslagen är tillämpliga vid utlämnande av personuppgifter då detta redan framgår av en annan bestämmelse i förslaget till tullbrottsdatalag.

Innebörden av uttrycket förenligt med svenska intressen är enligt kammarrätten oklar och bör närmare belysas i författningskommentaren.

Datainspektionen anger att det inte framgår hur Tullverket i den praktiska tillämpningen ska kunna säkerställa att villkoret att den utländska myndigheten eller organisationen ska kunna förebygga, förhindra, upp-

täcka, utreda eller beivra brott är uppfyllt eller vilka konsekvenser ett sådant förslag bedöms få för den personliga integriteten. Detta bör utredas ytterligare. Vid ett utlämnande av personuppgifter till tredjeland måste Tullverket också bedöma om överföringen är förenlig med bestämmelserna i 3335 §§personuppgiftslagen. Det kan behöva klargöras hur personuppgiftslagens undantagsbestämmelser i 34 och 35 §§ och även 14 § personuppgiftsförordningen (1998:1191) kan bli aktuella att tillämpa.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag

Nuvarande möjligheter att lämna ut uppgifter till utlandet

En uppgift som omfattas av sekretess får som utgångspunkt inte röjas för en utländsk myndighet. Enligt 8 kap. 3 § offentlighets- och sekretesslagen får dock en sekretesskyddad uppgift röjas för en utländsk myndighet eller en mellanfolklig organisation i två situationer. Den ena är när utlämnandet sker enligt särskild föreskrift i lag eller förordning. Den andra är när uppgiften i motsvarande fall skulle få lämnas till en svensk myndighet och det enligt den utlämnande myndigheten står klart att det är förenligt med svenska intressen att uppgiften lämnas.

I 10 kap. 2 § offentlighets- och sekretesslagen föreskrivs att sekretess inte hindrar att en uppgift lämnas ut om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Enligt förarbetena är denna sekretessbrytande bestämmelse avsedd att tillämpas restriktivt. Inom vissa myndighetsområden, som t.ex. den brottsbekämpande verksamheten, är det i ganska stor utsträckning nödvändigt att lämna ut sekretessbelagda uppgifter med stöd av den bestämmelsen. Ett typiskt exempel i det internationella samarbetet är att en svensk myndighet i samband med begäran om rättslig hjälp i en förundersökning lämnar uppgifter som omfattas av sekretess enligt 18 kap. 1 eller 2 § och 35 kap. 1 §offentlighets- och sekretesslagen till en utländsk åklagar- eller polismyndighet i syfte att få ett visst förhör genomfört. Om det är nödvändigt för en myndighet att lämna ut sekretessbelagda uppgifter för att myndigheten ska kunna fullgöra sin egen verksamhet, står det i regel klart att det är förenligt med svenska intressen att lämna uppgifterna. I det följande diskuteras inte sådant internationellt samarbete som sker i svenskt intresse, utan uteslutande samarbete i syfte att bistå andra länder i deras brottsbekämpande verksamhet.

Varken i den nuvarande tullbrottsdatalagen eller i den nuvarande tullbrottsdataförordningen finns det uttryckliga sekretessbrytande bestämmelser som tar sikte på utlämnande av personuppgifter till utlandet. Däremot finns en bestämmelse i 2 kap. 6 § lagen (2000:1219) om internationellt tullsamarbete som medger att uppgifter får lämnas ut till behörig utländsk myndighet eller mellanfolklig organisation, när det är nödvändigt för genomförande av internationellt tullsamarbete enligt den lagen, även om en uppgift är sekretessbelagd enligt offentlighets- och sekretesslagen. Lagen tillämpas på internationellt tullsamarbete som följer av en internationell överenskommelse med en annan stat eller mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa och som har till syfte att förhindra, upptäcka, utreda

eller beivra överträdelser av tullbestämmelser (1 kap. 1 § första stycket). Större delen av Tullverkets internationella tullsamarbete kan hänföras till ett sådant förpliktande samarbete, men lagen om internationellt tullsamarbete täcker inte in allt det internationella informationsutbyte som kan förekomma i Tullverkets brottsbekämpande verksamhet. Ett exempel är när Tullverket utför polisiära uppgifter.

I polisdatalagen och kustbevakningsdatalagen finns det uttryckliga sekretessbrytande bestämmelser som avser det internationella informationsutbytet. Personuppgifter får lämnas till Interpol, Europol eller en polismyndighet eller åklagarmyndighet som är ansluten till Interpol, om det är förenligt med svenska intressen och behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Enligt polisdatalagen får under samma förutsättningar personuppgifter också lämnas till utländsk underrättelse- eller säkerhetstjänst, medan enligt kustbevakningsdatalagen får under samma förutsättningar personuppgifter lämnas till en utländsk kustbevakning eller tullmyndighet inom Europeiska ekonomiska samarbetsområdet (EES). Personuppgifter får vidare enligt polisdatalagen och kustbevakningsdatalagen lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt (2 kap. 15 § polisdatalagen och 3 kap. 6 § kustbevakningsdatalagen).

Även i personuppgiftslagen finns regler som avser utlämnande av uppgifter till utlandet, nämligen till tredjeland. Enligt 33 § personuppgiftslagen är det förbjudet att till tredjeland, dvs. ett land utanför EU och EES-området, föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skydd av personuppgifter. Förbudet omfattar även överföring av personuppgifter för behandling i tredjeland. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter. Särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredjelandet. Trots förbudet i 33 § är det enligt 34 § tillåtet att under vissa förutsättningar föra över uppgifter till tredjeland. Det förutsätter antingen att den registrerade gett sitt samtycke till överföringen eller att överföringen är nödvändig bl.a. för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller att vitala intressen för den registrerade ska kunna skyddas. Vidare är det tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (kallad dataskyddskonventionen).

Regeringen kan enligt 35 § personuppgiftslagen meddela föreskrifter om undantag från förbudet mot överföring av uppgifter till vissa stater eller till tredjeland. En sådan bestämmelse finns i 3 § förordningen (2000:1222) om internationellt tullsamarbete. Där anges att Tullverket eller annan behörig svensk myndighet utan hinder av 33 § personuppgiftslagen får överföra personuppgifter till tredjeland, om det behövs för att uppfylla skyldigheter som följer av överenskommelse som avses i 1 kap. 1 § första stycket lagen om internationellt tullsamarbete.

Bestämmelserna om förbud mot överföring av personuppgifter till tredjeland medför att en bestämmelse som föreskriver att sekretess inte hindrar att uppgifterna lämnas till en annan stat eller mellanfolklig organisation, inte med automatik gör att uppgifter får lämnas ut. Förutom att utlämnandet givetvis måste omfattas av ett tillåtet behandlingsändamål, krävs att 3335 §§personuppgiftslagen iakttas och därmed normalt att det mottagande landet eller organisationen tillförsäkrar en adekvat skyddsnivå.

Utgångspunkterna för den nya regleringen

Det är framför allt i tre olika situationer som informationsutbyte aktualiseras i internationellt brottsbekämpande samarbete. Den första är där Sverige i en bindande internationell överenskommelse har förbundit sig att tillhandahålla information av visst slag utan särskild anmodan, genom direktåtkomst eller på annat sätt. Den andra är där Sverige i en sådan överenskommelse har åtagit sig att genomföra en viss åtgärd eller att lämna viss information på begäran av en annan stat eller mellanfolklig organisation. Den tredje situationen är s.k. spontant uppgiftsutlämnande, där initiativet till informationsutbytet tas av det svenska Tullverket. Sådant informationsutbyte kan bygga på en internationell överenskommelse, men behöver inte göra det.

En utgångspunkt för regleringen om uppgiftslämnande till utlandet i den nya lagen är att möjligheten att lämna uppgifter till en utländsk myndighet eller mellanfolklig organisation inte ska inskränkas jämfört med gällande reglering. Det är viktigt med ett väl fungerande samarbete över gränserna inte bara genom att Tullverket bistår brottsbekämpande myndigheter i andra länder med svar på konkreta förfrågningar eller med rättslig hjälp i enskilda ärenden utan även att Tullverket kan lämna uppgifter spontant i de fall där utbytet främst gagnar utländska intressen. Som nämnts ovan omfattas inte allt internationellt informationsutbyte som Tullverket behöver göra i sin brottsbekämpande verksamhet av lagen om internationellt tullsamarbete. Bl.a. mot denna bakgrund bedömer regeringen i likhet med promemorian att varken den sekretessbrytande regleringen i lagen om internationellt tullsamarbete eller möjligheten att lämna ut uppgifter med stöd av bestämmelsen i 8 kap. 3 § 2 offentlighets- och sekretesslagen är tillräcklig för att Sverige ska kunna fullgöra sina internationella åtaganden. I den nya tullbrottsdatalagen behövs därför en särskild reglering för uppgiftsutlämnande till utlandet (jfr 8 kap. 3 § 1 offentlighets- och sekretesslagen). Genom att införa en reglering i den nya lagen gäller den generellt för all behandling som sker med stöd av den nya lagen.

Det kan finnas skäl att påpeka att införandet av en sådan reglering i tullbrottsdatalagen inte bedöms innebära att befintlig sekretessbrytande bestämmelse i lagen om internationellt tullsamarbete blir överflödig. Den lagen gäller även för Tullverkets icke brottsbekämpande verksamhet, och därmed personuppgiftsbehandling vilken tullbrottsdatalagen inte kommer att reglera. Den kan också vara aktuell att tillämpa även för annan myndighet än Tullverket.

Bindande åtaganden om att lämna uppgifter

Den nya lagens bestämmelse om utlämnande av uppgifter till utländska myndigheter och mellanfolkliga organisationer bör i likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen omfatta folkrättsligt bindande åtaganden om att lämna viss information till en annan stat eller till en mellanfolklig organisation, som har godkänts av riksdagen. Regeringen föreslår därför en bestämmelse om att uppgifter får lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

Informationsutbyte med utländska myndigheter, Europol och Interpol m.fl.

Informationsutlämnande sker vanligtvis med anledning av en begäran från en utländsk myndighet om viss information. Eftersom varje land organiserar den brottsbekämpande verksamheten efter sina traditioner, kan informationsutbyte äga rum mellan polismyndigheter, en polismyndighet och en åklagarmyndighet eller vice versa eller med någon annan utländsk myndighet som har polisiära uppgifter, t.ex. tullmyndigheter eller motsvarigheter till Kustbevakningen.

Sverige har förbundit sig att på begäran lämna vissa uppgifter till andra stater som är anslutna till Europol. Det följer således redan av den föreslagna regeln om folkrättsligt bindande åtaganden att information kan lämnas på begäran av en sådan stat, men en tydlig reglering av vilken det framgår att uppgifter alltid får lämnas till stater som tillhör Europol, om förutsättningarna i övrigt är uppfyllda, underlättar för tillämparen. Regleringen bör också omfatta uppgiftslämnande till själva organisationen.

Sverige har även förbundit sig att inom ramen för Interpol lämna andra stater bistånd med information, men dessa åtaganden är inte lika långtgående som när det gäller åtagandena i förhållande till stater som är medlemmar i Europol. Likaså har Sverige förbundit sig att lämna viss information till Interpol i dess egenskap av samarbetsorganisation. Den nya lagen bör därför ge utrymme för att uppgifter kan lämnas både till en annan stat som är medlem i Interpol och till organisationen som sådan.

Tullverket har ett motsvarande behov som Polismyndigheten och Kustbevakningen av en sekretessbrytande bestämmelse som möjliggör för Tullverket att lämna personuppgifter till Interpol, Europol eller till polis- eller åklagarmyndighet som är ansluten till Interpol, om det behövs för att förebygga, förhindra, upptäcka, utreda eller beivra brott. I likhet med vad som gäller för Kustbevakningen finns det enligt regeringens bedömning för Tullverket även ett behov att lämna personuppgifter till tullmyndighet och kustbevakning i länder inom EES. Vid en jämförelse med polisdatalagens reglering bedömer dock regeringen att det inte finns behov för Tullverket att lämna personuppgifter till utländska underrättelse- eller säkerhetstjänster, om vilket polisdatalagen har en reglering. Någon sådan reglering föreslås därför inte.

En grundläggande förutsättning för uppgiftslämnande till utlandet som inte följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande bör givetvis vara att utlämnandet är fören-

ligt med svenska intressen, liksom att utlämnandet behövs för att den utländska myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Detta föreslås anges i lagen.

Datainspektionen anger att det inte framgår hur Tullverket i den praktiska tillämpningen ska kunna säkerställa att det sistnämnda villkoret är uppfyllt och vilka konsekvenser ett sådant förslag bedöms få för den personliga integriteten och anser att detta bör utredas ytterligare. Regeringen bedömer att Tullverket vid ett eventuellt utlämnande har förmåga att bedöma när dessa villkor är uppfyllda. De föreslagna möjligheterna till utlämnande av uppgifter till utlandet föreslås kringgärdas av regler som avser att skydda enskilda, såsom de villkor som måste vara uppfyllda för att sekretessen ska brytas samt de nämnda reglerna i personuppgiftslagen som tar sikte på skydd mot utlämnande av uppgifter till tredjeland.

Den sekretessbrytande bestämmelsen som föreslås i den nya lagen har motsvarande utformning som den sekretessbrytande bestämmelsen i kustbevakningsdatalagen.

Kammarrätten i Sundsvall anser att innebörden av uttrycket förenligt med svenska intressen är oklar och att det bör närmare belysas i författningskommentaren. Regeringen noterar att uttrycket förekommer i flera bestämmelser, t.ex. i offentlighets- och sekretesslagen, kustbevakningsdatalagen och polisdatalagen. I början av detta avsnitt under rubriken

Nuvarande möjligheter att lämna ut uppgifter till utlandet redogörs för sådana bestämmelser. Uttrycket i den nya tullbrottsdatalagen har samma innebörd som i dessa.

Vad gäller spontant uppgiftslämnande kan följande tilläggas. Ett flertal konventioner och andra internationella överenskommelser som rör brottsbekämpning och som Sverige har undertecknat innehåller regler om spontant uppgiftslämnande. I den mån sådana bestämmelser hänvisar till nationell rätt betraktas de inte som obligatoriska förpliktelser. Det finns emellertid även överenskommelser som ålägger svenska myndigheter en uttrycklig skyldighet att, utan föregående begäran, informera en annan stat om uppgifter som den kan ha nytta av i sin brottsbekämpning. I de fallen förutsätts den svenska myndigheten, om den har tillgång till information som bedöms ha betydelse för den andra statens brottsbekämpning, självmant kontakta sin motsvarighet i en annan stat. Prümrådsbeslutet (se avsnitt 4.5.2) innehåller sådana bestämmelser, som under vissa förhållanden ålägger Tullverket att spontant lämna personuppgifter till en myndighet i en annan stat.

Den nya lagen ger utrymme för Tullverket att från den brottsbekämpande verksamheten spontant lämna ut information till en annan stats brottsbekämpande myndighet, om informationen är värdefull för den statens brottsbekämpning. Det kan t.ex. vara information om nya tillvägagångssätt vid allvarlig gränsöverskridande brottslighet eller upplysningar om konkreta brott. Om uppgifter lämnas spontant kan informationen som regel förses med villkor att den mottagande staten bara får använda den på visst sätt eller för visst ändamål. Ett sådant villkor, som är bindande för mottagaren, kan underlätta informationsutbytet i enskilda fall. Ett villkor angående användningen kan bl.a. skydda mot att uppgifterna sprids vidare och utgör därför ett integritetsskydd för den enskilde. Uppgifter kan alltså utan föregående begäran lämnas till en

utländsk polis- eller åklagarmyndighet i en stat som är ansluten till Interpol, Interpol eller Europol eller till tullmyndighet eller kustbevakning inom EES.

Det kan anmärkas att uppgifter även kan lämnas till en utländsk myndighet eller mellanfolklig organisation efter en sekretessprövning enligt 8 kap. 3 § offentlighets- och sekretesslagen. Det kan t.ex. vara fråga om uppgiftslämnande till någon annan mottagare än de som anges i den nya lagen eller utlämnande för något annat ändamål.

Överföring av uppgifter till tredjeland

I avsnitt 9.2 har regeringen föreslagit att reglerna i 3335 §§personuppgiftslagen om överföring av uppgifter till tredjeland ska gälla vid behandling av personuppgifter enligt den nya tullbrottsdatalagen. Vid utlämnande av personuppgifter till utlandet måste Tullverket därför också göra en bedömning av om överföringen är förenlig med bestämmelserna i 3335 §§personuppgiftslagen. Bestämmelserna hindrar inte överföring av personuppgifter till stater inom EES eller som har tillträtt dataskyddskonventionen. Därmed hindras inte överföringen till Europol eller stater som är anslutna till den organisationen.

När det gäller stater som enbart är anslutna till Interpol har vissa av dessa tillträtt dataskyddskonventionen. Även många andra stater har i och för sig en tillräcklig dataskyddsnivå, men det kräver en bedömning i det enskilda fallet. Interpol som organisation anses också uppfylla kraven på tillräcklig dataskyddsnivå. Uppgiftslämnande till en polis- eller åklagarmyndighet i en annan stat som enbart är medlem i Interpol förutsätter alltså en noggrannare bedömning, eftersom den utlämnande myndigheten då – utöver att bedöma om det är förenligt med svenska intressen att utlämnandet sker – alltid måste avgöra om den andra staten har en tillräcklig dataskyddsnivå för att överföringen av personuppgifter ska vara tillåten enligt personuppgiftslagen.

Vid tillämpning av lagen om internationellt tullsamarbete aktualiseras också som nämnts ovan 3 § förordningen om internationellt tullsamarbete, enligt vilken 33 § personuppgiftslagen inte hindrar uppgiftslämnande till tredjeland om det behövs för att fullgöra skyldigheter enligt lagen.

I promemorian föreslås att det i den bestämmelse som det nu är fråga om även anges att utlämnandet av uppgifter måste vara förenligt med 3335 §§personuppgiftslagen. Kammarrätten i Sundsvall anser inte att det är nödvändigt att i bestämmelsen på nytt upplysa om detta. Regeringen delar kammarrättens bedömning, varför ett sådant krav inte finns med i den av regeringen föreslagna bestämmelsen. 3335 §§personuppgiftslagen är tillämpliga genom den föreslagna bestämmelsen i tullbrottsdatalagen om vilka bestämmelser i personuppgiftslagen som ska gälla.

Datainspektionen anser att det i den fortsatta beredningen av lagstiftningsärendet kan behöva ges mer vägledning för hur det ska gå till i den praktiska tillämpningen, när Tullverket måste bedöma om överföringen är förenlig med bestämmelserna i 3335 §§personuppgiftslagen. Förslagen i dessa delar motsvarar vad som gäller redan i dag för Tullverket, varför regeringen inte anser att närmare vägledning behöver presenteras i

detta lagstiftningsärende. Se dock författningskommentaren till 2 kap. 2 § första stycket 8.

Upplysningsbestämmelse

Som nämnts i avsnitt 15.5.4 föreslår regeringen en upplysningsbestämmelse om att regeringen har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut även i andra fall och att bestämmelser om att uppgifter får lämnas ut även finns i offentlighets- och sekretesslagen. Bestämmelsen omfattar även nu föreslagen bestämmelse.

Lagförslag

Förslaget genomförs genom 2 kap. 12 § i den nya lagen.

Hänvisningar till S15-5-6

16. Bevarande och gallring

Hänvisningar till S16

  • Prop. 2016/17:91: Avsnitt 16.1, 9.2

16.1. Allmänt om bevarande och gallring

Regeringens förslag: Personuppgifter ska inte få bevaras under längre tid än vad som behövs för något eller några av de i lagen angivna ändamålen. Denna generella bestämmelse om längsta tid för bevarande ska kompletteras med bestämmelser som anger tidpunkter för när uppgifter senast måste gallras eller inte längre får behandlas i Tullverkets brottsbekämpande verksamhet. I paragrafen ska det upplysas om att sådana bestämmelser finns i andra paragrafer.

I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela föreskrifter om att uppgifter får bevaras under längre tid än vad som anges i lagen och om att uppgifter – trots bestämmelserna om gallring – får bevaras för historiska, statistiska eller vetenskapliga ändamål. I lagen ska det vidare upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om digital arkivering.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat och annorlunda placerat.

Remissinstanserna: Kriminalvården anser att det, på grund av ickeharmoniserande gallringsregler hos Tullverket respektive Kriminalvården, finns en risk för att uppgifter som med stöd av den nya bestämmelsen har tillhandahållits Kriminalvården kan komma att sparas längre än vad som varit avsett då uppgifterna registrerades hos Tullverket. Eftersom detta inte endast rör Kriminalvården och Tullverket utan förekommer mellan flera myndigheter ser Kriminalvården ett behov av en översyn och harmonisering av samtliga berörda gallringsregler.

Datainspektionen anger att promemorians förslag i huvudsak har samma sakliga innehåll och systematik som polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145). Datainspektionen saknar även i detta fall en redogörelse som tar sin utgångspunkt i Tullverkets verksamhet och de särskilda behov och förutsättningar som finns där och som

eventuellt kan motivera gallringsbestämmelser som i större eller mindre grad avviker från vad som gäller hos andra brottsbekämpande myndigheter. De föreslagna gallringsbestämmelserna, som medger behandling av personuppgifter under lång tid, bygger enligt inspektionen på allmänt hållna antaganden om behov av att lagra uppgifter hos Tullverket och inspektionen anser att det saknas en närmare analys av förslagens konsekvenser för den personliga integriteten med tydligt redovisade proportionalitetsbedömningar.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag

Generell bestämmelse om längsta bevarande

Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (kallad tullbrottsdatalagen) innehåller i 27 § regler om att personuppgifter som behandlas automatiserat ska gallras efter en viss längsta tid, men inte någon generell bestämmelse om att personuppgifter under alla förhållanden måste gallras när de inte längre behövs för något eller några av de tillåtna ändamålen för behandling. 28 § innehåller i och för sig en bestämmelse om att uppgifter ska gallras så snart de inte längre har betydelse för planeringen av viss verksamhet, med längsta bevarandetid om sex månader. Bestämmelsen avser bara en viss typ av behandling och är således inte generell. Polisdatalagen och kustbevakningsdatalagen innehåller däremot sådana generella bestämmelser, jämte bestämmelser om gallring av personuppgifter efter en viss längsta tid.

Om inga gallringsbestämmelser tas in i den nya lagen, kommer arkivlagens huvudregler om bevarande att gälla för uppgifter som finns i allmänna handlingar. De bestämmelser om gallring som finns i eller följer av arkivlagen (1990:782) innebär att gallring får ske, men föreskriver inte att gallring måste ske. När bestämmelser om gallring meddelas i enlighet med vad som följer av arkivlagen är det rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov som är styrande. Den reglering som följer av arkivlagen är inte avsedd att tillgodose integritetsskyddsintressen och den gäller bara för allmänna handlingar.

I Tullverkets brottsbekämpande verksamhet behandlas en stor mängd personuppgifter automatiserat. Detta ökar typiskt sett risken för integritetsintrång. Sekretessbestämmelser och bestämmelser om begränsningar i tillgången till uppgifter kan inte fullt ut tillgodose integritetsskyddet och ersätta bestämmelser om gallring i Tullverkets brottsbekämpande verksamhet. Regeringen anser att det därför bör finnas regler om gallring i den nya lagen, som tar över bestämmelserna om bevarande i arkivlagen. Vid utformningen av sådana bestämmelser bör dock vägas in vilka övriga integritetsskyddande bestämmelser som är tillämpliga, t.ex. begränsningar i fråga om behandling och tillgång till uppgifter. Vidare måste en avvägning göras mellan å ena sidan intresset av skydd för den personliga integriteten och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet.

Det är viktigt att uppgifter inte bevaras längre än det finns berättigade ändamål för behandlingen. Denna princip kommer till uttryck bl.a. i

artikel 5 e i Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (kallad dataskyddskonventionen). Det finns normalt berättigade ändamål för att bevara uppgifter i ett ärende i den brottsbekämpande verksamheten under en tid efter det att ärendet avslutades. Sådant bevarande sker för ett flertal olika ändamål och kan sägas ske för mer övergripande brottsbekämpande ändamål. Sådant bevarande bör vara tillåtet även om det alltså inte sker för något särskilt utpekat konkret ändamål, t.ex. en viss brottsutredning. Detta kan sägas innebära en viss skillnad i kravet på ändamålsbestämning mellan behandling av uppgifter i form av bevarande (lagring) av uppgifterna och annan behandling. Annan behandling av uppgifterna än lagring, t.ex. sökning, bör alltid ske för ett visst konkret ändamål. I sammanhanget bör framhållas att tillgången till personuppgifter enligt regeringens förslag alltid ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (se avsnitt 9.5). Tillgången till lagrade personuppgifter som inte längre behövs för ett visst konkret ändamål bör alltså vara begränsad till bara ett fåtal tjänstemän som har till särskild arbetsuppgift att hantera sådana mer eller mindre avförda personuppgifter.

Mot bakgrund av bl.a. kravet i artikel 5 e i dataskyddskonventionen föreslår regeringen att den nya lagen ska innehålla en generell bestämmelse om en absolut längsta tid för bevarande som motsvarar de bestämmelser som finns i polisdatalagen och kustbevakningsdatalagen. I lagen bör det alltså föreskrivas att personuppgifter inte får bevaras längre än vad som behövs för något eller några av de i lagen angivna ändamålen. Regeringen föreslår därför en bestämmelse med sådant innehåll.

Bestämmelsen om längsta tid för bevarande hindrar inte att handlingar arkiveras och gallras enligt arkivlagens bestämmelser. När personuppgifter inte längre får bevaras i den brottsbekämpande verksamheten kan bevarande således ske för arkivändamål. Personuppgifterna kan då avskiljas och arkiveras. Arkivering utesluter inte i sig fortsatt digital tillgång till uppgifterna i verksamheten.

Den nu föreslagna generella bestämmelsen om absolut längsta tid för bevarande ger Tullverket tämligen vida ramar för bedömningen av vilka uppgifter som får bevaras. Det är framför allt verksamhetsskäl och myndighetssamverkan som bör vara styrande för bedömningen av om uppgifterna fortfarande behövs.

Behov av ytterligare begränsningar

För att tillgodose intresset av skydd för den personliga integriteten bör dock den generella bestämmelsen kompletteras med mer preciserade bestämmelser som föreskriver en yttersta gräns för att bevara vissa kategorier av uppgifter, vilket det redan i paragrafen om den generella bestämmelsen bör upplysas om. Sådana bestämmelser bör utformas utifrån de skilda verksamhetsbehoven av att bevara olika kategorier av uppgifter, samtidigt som dessa behov måste vägas mot intresset av att värna den personliga integriteten. Den nya lagens tidsfrister för gallring bör utgöra maximifrister. Om det redan vid en tidigare tidpunkt står klart att uppgifterna saknar betydelse från brottsbekämpningssynpunkt ska de gallras eller, i vissa fall, avskiljas från den brottsbekämpande verksam-

heten. Detta följer såväl av den nyss föreslagna generella bestämmelsen om en absolut längsta tid för bevarande som av föreslagna ändamålsbestämmelser, se avsnitt 10.1.

De särskilda gallringsbestämmelserna med precisa tidsfrister bör i likhet med vad som gäller enligt den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen, till skillnad från den generella bestämmelsen, endast gälla automatiserad behandling av personuppgifter. För behandling t.ex. i manuella register behövs inga särskilda gallringsbestämmelser.

Olika gallringsbestämmelser bör dock gälla beroende på om uppgifterna har gjorts gemensamt tillgängliga eller inte, se avsnitten 16.3 och 16.2. Ärenden om utredning eller beivrande av brott bör inte omfattas av lagens särskilda gallringsbestämmelser. Det bör dock finnas bestämmelser som begränsar möjligheten att efter en viss tid behandla uppgifter i brottsanmälningar, förundersökningar och andra brottsutredningar i den brottsbekämpande verksamheten, se avsnitt 16.4. Om uppgifterna fortsätter att behandlas automatiserat för arkivändamål, ska de avskiljas från den brottsbekämpande verksamheten, se avsnittet nedan om digital arkivering.

Datainspektionen saknar en redogörelse som tar sin utgångspunkt i

Tullverkets verksamhet och de särskilda behov och förutsättningar som finns där och som eventuellt kan motivera gallringsbestämmelser som i större eller mindre grad avviker från vad som gäller hos andra brottsbekämpande myndigheter. De föreslagna gallringsbestämmelserna, som medger behandling av personuppgifter under lång tid, bygger enligt inspektionen på allmänt hållna antaganden om behov av att lagra uppgifter hos Tullverket och inspektionen anser att det saknas en närmare analys av förslagens konsekvenser för den personliga integriteten med tydligt redovisade proportionalitetsbedömningar. Ovan redovisas skälen för regeringens bedömning att specifika tidsfrister för gallring och behandling behöver införas i den nya lagen, som gäller Tullverkets brottsbekämpande verksamhet. I följande avsnitt redovisas varje föreslagen bestämmelse i detalj och de närmare skälen för dem.

Kriminalvården anser att det finns en risk för att uppgifter som med stöd av den nya bestämmelsen tillhandahållits Kriminalvården kan komma att sparas längre än vad som varit avsett då uppgifterna registrerades hos Tullverket och ser ett behov av en översyn och harmonisering av samtliga berörda gallringsregler. Regeringen vill framhålla att nu aktuellt lagstiftningsärende endast tar sikte på personuppgiftsregleringen avseende Tullverkets brottsbekämpande verksamhet och frågor om andra myndigheters gallringsregler omfattas därmed inte.

Gallringsbestämmelserna i den nya lagen syftar till att skydda den personliga integriteten. När information överförs från elektronisk form till pappersform, och därefter inte finns kvar i elektronisk form, måste detta skydd anses ha uppnåtts och uppgifterna anses gallrade. Varje mindre förändring av den elektroniskt lagrade informationen, t.ex. ändrade sökmöjligheter, kan emellertid inte anses utgöra gallring enligt den nu föreslagna lagen. Uppgifter kan inte heller anses gallrade enbart genom att de överförts till ett annat datamedium, eftersom uppgifterna då fortfarande kan bli föremål för olika slag av sammanställningar. Innebörden av de gallringsbestämmelser som föreslås bör således vara att

uppgifter inte längre ska vara digitalt åtkomliga, se t.ex. se propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 206) och propositionen Kustbevakningsdatalag (prop. 2011/12:45 s. 175).

Som har nämnts i avsnitt 7.2 är en utgångspunkt för detta lagstiftningsärende att den nya lagen i möjligaste mån bör ha samma sakliga innehåll och systematik som polisdatalagen och kustbevakningsdatalagen. De förslag som behandlas i avsnitt 16 motsvarar i stort vad gäller sakligt innehåll dessa lagar, men vad gäller systematiken har regeringen i detta lagstiftningsärende valt att till skillnad från polisdatalagen och kustbevakningsdatalagen samla alla bestämmelser om bevarande och gallring i ett kapitel, kapitel 4. Regeringen bedömer att reglerna om bevarande och gallring blir mer överblickbara med denna lösning.

Ytterligare föreskrifter om bevarande

För att tillgodose intresset av offentlighet och insyn bör regeringen eller den myndighet som regeringen bestämmer, trots de särskilda bestämmelserna om gallring, kunna meddela föreskrifter om bevarande för historiska, statistiska eller vetenskapliga ändamål. Detta gäller redan med tillämpning av 8 kap. 7 § regeringsformen. Bestämmelser som upplyser om denna möjlighet bör föras in i den nya lagen.

Regeringen eller den myndighet som regeringen bestämmer har även möjlighet att meddela föreskrifter om att vissa kategorier av uppgifter ska få behandlas och bevaras under längre tid än de i lagen angivna fristerna, vilket det också bör upplysas om i den nya lagen. För vissa speciella slag av uppgifter kan nämligen fortsatt bevarande vara befogat. Nedan behandlas ytterligare en fråga om möjligheten till ytterligare föreskrifter, nämligen om digital arkivering.

Digital arkivering

Arkivering är ett teknikneutralt begrepp. Handlingar och uppgifter kan således arkiveras digitalt. Som nämnts ovan kan uppgifter som arkiverats fortfarande vara sökbara och tillgängliga för vissa tjänstemän. Om endast arkivlagens bestämmelser skulle vara tillämpliga skulle digitalt arkiverade allmänna handlingar, som inte längre behövs i Tullverkets brottsbekämpande verksamhet, således i princip kunna fortsätta att behandlas på samma sätt som tidigare i verksamheten. Det fortsatta bevarandet skulle dock ske för arkivändamål.

Tullverket har i dag inte något system för digital arkivering, men arbetar för närvarande för införande av ett e-arkiv. De regler som nu föreslås bör därför beakta att system för digital arkivering kan komma att införas inom en överskådlig tid i Tullverket. Därför kan det komma att finnas behov av föreskrifter om digital arkivering. Regeringen föreslår att det i lagen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om digital arkivering. En hänvisning till 8 kap. 7 § regeringsformen görs.

Lagförslag

Förslaget genomförs genom 4 kap. 1 och 2 §§ i den nya lagen.

16.2. Gallringsbestämmelser för personuppgifter som inte har gjorts gemensamt tillgängliga

Regeringens förslag: Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de inte kan hänföras till ett ärende, gallras senast ett år efter det att de behandlades automatiserat första gången eller, om de har behandlats i ett ärende, senast ett år efter det att ärendet avslutades. Detta ska inte gälla personuppgifter i ärenden om utredning eller beivrande om brott.

Det ska i den nya lagen upplysas om att det i tullagen och lagen om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen finns bestämmelser om lagring och förstöring av vissa uppgifter från transportföretag.

Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorians förslag anges också att reglerna inte heller ska gälla vid behandling i det internationella registret. Promemorians förslag är också något annorlunda utformat.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag

Personuppgifter som inte har gjorts gemensamt tillgängliga

Enligt 27 § den nuvarande tullbrottsdatalagen ska uppgifter som behandlas automatiserat i ett ärende gallras senast ett år efter det att ärendet har avslutats. Detta gäller dock inte förundersökningar. Personuppgifter som inte hör till ett ärende och som inte ingår i tullbrottsdatabasen ska gallras senast ett år efter att de behandlades automatiserat första gången. För personuppgifter i tullbrottsdatabasen gäller att de ska gallras senast tre år efter utgången av det kalenderår då den sista registreringen gjordes avseende personen. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter trots detta ska få bevaras. I sak gäller samma regler enligt polisdatalagen och kustbevakningsdatalagen för personuppgifter som inte har gjorts gemensamt tillgängliga, förutom såvitt avser föreskrifterna om att personuppgifter som får bevaras ska avse bevarande för historiska, statistiska eller vetenskapliga ändamål.

Från integritetsskyddssynpunkt är det viktigt att personuppgifter inte behandlas längre än nödvändigt och att det utöver en generell bestämmelse om absolut längsta tid för bevarande finns särskilda gallringsfrister för olika kategorier av personuppgifter som behandlas automatiserat. När gallringsfristernas längd bestäms finns det anledning att göra skillnad mellan uppgifter som har gjorts gemensamt tillgängliga och andra uppgifter. När det gäller uppgifter som inte har gjorts gemensamt tillgängliga bör behovet av att behandla dem under längre tid typiskt sett vara begränsat. Dessutom är det från integritetsskyddssynpunkt särskilt angeläget att sådana uppgifter inte behandlas under längre tid, eftersom det enligt förslaget till ny tullbrottsdatalag kommer att gälla färre begränsningar för behandlingen av dem än för personuppgifter som har gjorts gemensamt tillgängliga. Det bör därför uppställas särskilt korta

gallringsfrister för personuppgifter som inte har gjorts gemensamt tillgängliga. Det saknas enligt regeringens mening skäl att för dessa personuppgifter avvika från de tidsfrister som gäller enligt den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen.

Regeringen föreslår därför att personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de inte kan hänföras till ett ärende, gallras senast ett år efter det att de behandlades automatiserat första gången eller, om de har behandlats i ett ärende, senast ett år efter det att ärendet avslutades.

Promemorians förslag innehåller en skrivning om att dessa regler inte heller gäller när personuppgifter behandlas i det internationella registret. Skrivningen har samband med ett förslag i promemorian om att reglerna om gemensamt tillgängliga uppgifter inte ska vara tillämpliga när uppgifter som behövs för handläggningen av ärenden som rör internationellt samarbete behandlas i ett internationellt register (se avsnitt 14.1). Regeringen föreslår dock inte någon särskild reglering för internationella register, varför skälet för en sådan skrivning som föreslås i promemorian bortfaller.

I likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen bör det finnas en möjlighet för regeringen att föreskriva att uppgifterna får bevaras för historiska, statistiska eller vetenskapliga ändamål. Detta får anses motsvara också vad som gäller enligt den nuvarande tullbrottsdatalagen. Denna fråga behandlas ovan i avsnitt 16.1.

I enlighet med vad som gäller enligt den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen bör vidare de nu föreslagna gallringsfristerna inte gälla uppgifter i sådana ärenden som avser utredning och beivrande av brott. Om dessa, se avsnitt 16.4.

Personuppgifter från transportföretag m.m.

Enligt den nuvarande tullbrottsdatalagen får uppgifter som kommit in till Tullverket om passagerare, importörer, exportörer och transportörer samt varor och transportmedel behandlas, inom ramen för ändamålet att förebygga, förhindra eller upptäcka brottslig verksamhet, för planering av kontrollverksamheten och urval av kontrollobjekt (13 §). Sådana uppgifter som behandlas enbart med stöd av den bestämmelsen får inte behandlas i tullbrottsdatabasen (19 § tredje stycket). I avsnitt 11 föreslår regeringen att liknande bestämmelser förs in i den nya lagen.

I den nuvarande tullbrottsdatalagen finns det också en bestämmelse om att uppgifter som behandlas enbart med stöd av 13 § ska gallras så snart de inte längre har betydelse för planeringen av kontrollverksamhet och urvalet av kontrollobjekt, dock senast sex månader efter att de behandlades automatiserat första gången. Om uppgifterna hänför sig till en viss transport, ska de dock gallras senast fjorton dagar efter transporten (28 § första stycket). I andra stycket samma paragraf anges att det i 4 kap. 8 § tullagen (2016:253) och 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen, kallad inregränslagen, finns bestämmelser om tillgången till och gallringen av vissa uppgifter från transportföretag.

Av 4 kap. 8 § tullagen och 16 § inregränslagen framgår att uppgifter från transportföretag som Tullverket tar del av genom terminalåtkomst

inte får ändras eller på annat sätt bearbetas eller lagras samt att uppgifter om enskilda personer som lämnats på annat sätt än genom terminalåtkomst ska förstöras omedelbart om de visar sig sakna betydelse för utredning och lagföring av brott. Regeringen anser att det i en särskild bestämmelse i den nya lagen bör påminnas om att det finns bestämmelser som rör lagring och förstöring av dessa slag av uppgifter i dessa författningar, likt vad som gäller enligt den nuvarande tullbrottsdatalagen, dock med en något annan utformning.

När det gäller uppgifter om passagerare, importörer, exportörer och transportörer samt varor och transportmedel som kommit in till Tullverket på annat sätt än från transportföretag enligt den nyss berörda regleringen i tullagen och inregränslagen och som behandlas enbart för planering av kontrollverksamheten och urval av kontrollobjekt, kan det vara fråga om t.ex. inkomna tips från allmänheten eller andra myndigheter. I jämförelse med uppgifterna från transportföretagen är det inte fråga om särskilt många personuppgifter. I enlighet med vad som gäller för personuppgifter i tips och annan information till grund för kontrollåtgärder som kommit till Polismyndigheten eller Kustbevakningen kan det inte anses nödvändigt att ha särskilda gallringsfrister för dessa uppgifter.

Lagförslag

Förslaget genomförs genom 4 kap. 3 och 4 §§ i den nya lagen.

16.3. Gallringsbestämmelser för gemensamt tillgängliga uppgifter

Regeringens förslag: Personuppgifter som har gjorts gemensamt tillgängliga och som kan antas ha samband med brottslig verksamhet ska gallras senast tre år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personen. Vid allvarlig brottslighet ska tidsfristen i stället vara fem år. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, ska de uppgifter som finns om personen inte behöva gallras så länge någon av uppgifterna om honom eller henne får bevaras.

Personuppgifter som har behandlats för övervakningen av allvarligt kriminellt belastade personer ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Den tid då en person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de nu nämnda gallringsfristerna.

Uppgifter som har behandlats för att fullgöra internationella åtaganden ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Uppgifter som har behandlats på grund av att de har rapporterats till Tullverkets kommunikationscentral ska gallras senast ett år efter utgången av det kalenderår då rapporteringen gjordes.

Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorian föreslås även en bestämmelse om gallring avseende det internationella registret. Promemorians förslag är också något annorlunda utformat och placerat.

Remissinstanserna: Datainspektionen ifrågasätter den väl tilltagna bevarandetid som föreslås för personuppgifter som behandlas för övervakningen av allvarligt kriminellt belastade personer. Datainspektionen inser att det kan finnas behov av att under en längre tid kartlägga allvarligt kriminellt belastade personer och deras nätverk. En stor del av dessa uppgifter kan dock komma att avse personer i den kriminellt belastade personens kontaktnät som inte har någon koppling till misstänkt brottslig verksamhet, som exempelvis grannar och släktingar.

Inspektionen är tveksam till om förslaget om en generell tioårig gallringsfrist i dessa fall kan anses proportionerlig i integritetshänseende. För att en dylik gallringsbestämmelse ska vara acceptabel bör det åtminstone krävas att behovet av uppgifterna prövas med vissa intervall och att uppgifter som inte längre kan anses behövliga gallras.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag

Inledning

Enligt den nuvarande tullbrottsdatalagen ska personuppgifter i tullbrottsdatabasen gallras senast tre år efter utgången av det kalenderår då den sista registreringen gjordes avseende personen (27 § andra stycket).

Polisdatalagen och kustbevakningsdatalagen innehåller olika gallringsfrister för skilda kategorier av personuppgifter som har gjorts gemensamt tillgängliga.

Från integritetsskyddssynpunkt är det viktigt att personuppgifter inte behandlas automatiserat i verksamheten längre än nödvändigt. Som redan har nämnts (avsnitt 16.1) bör det i lagen finnas en generell och absolut bestämmelse om längsta bevarande som anknyter till behovet av personuppgiften för de primära ändamålen. Det kan dock vara svårt att avgöra hur länge en uppgift fortfarande behövs för de primära ändamålen. Uppgifter som har framkommit i ett avslutat underrättelseprojekt kan ha betydelse för ett annat projekt eller för en förundersökning. Alltför snäva särskilda gallringsfrister, som innebär att personuppgifter ska gallras vid fristens utgång trots att de fortfarande kan behövas för de primära ändamålen, kan få negativa konsekvenser för den brottsbekämpande verksamheten.

Som har nämnts tidigare är det en fördel om de brottsbekämpande myndigheternas registerförfattningar utformas på likartat sätt för att underlätta samverkan och enhetlighet. I förarbetena till polisdatalagen och kustbevakningsdatalagen har det gjorts detaljerade bedömningar av när olika kategorier av personuppgifter som gjorts gemensamt tillgängliga ska gallras trots att de kan behövas för de primära ändamålen. Regeringen anser att det finns skäl att föreslå motsvarande detaljerade gallringsfrister för olika kategorier av personuppgifter även för Tullverkets del.

Personuppgifter som kan antas ha samband med brottslig verksamhet

Enligt polisdatalagen och kustbevakningsdatalagen ska personuppgifter som kan antas ha samband med brottslig verksamhet som huvudregel gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Tiden om tre år motsvarar som framgår ovan den generella gallringstid som gäller enligt den nuvarande tullbrottsdatalagen. Vid allvarlig brottslig verksamhet, dvs. brott för vilket är föreskrivet fängelse i två år eller däröver, är tidsfristen i polisdatalagen och kustbevakningsdatalagen i stället fem år. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras. När det gäller polisdatalagen anges att den tid då en misstänkt person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning inte ska räknas med vid beräkningen av gallringsfristen (3 kap. 14 § andra och sjätte styckena polisdatalagen).

De brott som omfattas av Tullverkets uppdrag är av allvarligt slag, där narkotikabrottslighet har hög prioritet. Framför allt mot bakgrund av den omfattande myndighetssamverkan mot brott som blir allt mer vanlig saknas anledning att ha en kortare tid på gallringsfristen för den brottslighet som Tullverket utreder jämfört med andra brottsbekämpande myndigheter. Regeringen bedömer därför att det finns skäl att en gallringsfrist om fem år för allvarlig brottslighet ska gälla i den nya lagen.

Det bör nämnas att Tullverket för närvarande inte har befogenhet att ingripa mot något brott för vilket det är föreskrivet fängelse i ett år eller däröver men där maxstraffet understiger fängelse i två år. Det innebär i praktiken att Tullverket i dagsläget bara skulle ha att tillämpa en gallringsfrist om fem år. Värdet av en enhetlig reglering för de brottsbekämpande myndigheterna gör dock att det framstår som lämpligt att välja samma regler som i polisdatalagen och kustbevakningsdatalagen. Härtill kommer att straffskalor kan ändras och att Tullverket kan komma att få nya brott att ingripa mot. Att endast ha en femårsfrist för gallring skulle i sådana fall kunna medföra att gallringsfristen skulle vara onödigt lång.

Regeringen föreslår således att personuppgifter som har gjorts gemensamt tillgängliga och som kan antas ha samband med brottslig verksamhet ska gallras senast tre år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personen. Vid allvarlig brottslighet ska tidsfristen i stället vara fem år. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, ska de uppgifter som finns om personen inte behöva gallras så länge någon av uppgifterna om honom eller henne får bevaras.

Även regeln om att den tid då en person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning inte ska räknas med vid beräkningen av gallringsfristen bör föras in i den nya lagen.

Personuppgifter som behandlas för övervakningen av allvarligt kriminellt belastade personer

Enligt polisdatalagen ska personuppgifter som har behandlats för övervakningen av allvarligt kriminellt belastade personer gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Den tid då en övervakad person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av gallringsfristen (3 kap. 14 § tredje och sjätte styckena). I kustbevakningsdatalagen finns det inte några bestämmelser om övervakning av allvarligt kriminellt belastade personer.

I likhet med vad som har bedömts för Polismyndighetens del bedömer regeringen att en gallringsfrist om tre eller fem år är alltför kort när det gäller personuppgifter som behandlas för övervakning av allvarligt kriminellt belastade personer (se prop. 2009/10:85 s. 219 f.). Det kan ta avsevärd tid att bygga upp kunskap om exempelvis personer som finansierar allvarlig brottslighet eller om de nätverk och strukturer i vilka det bedrivs organiserad brottslighet. Erfarenheterna visar också att brottslig verksamhet som bedrivs i mer eller mindre organiserade former normalt måste övervakas under en avsevärd tid innan man har tillräckligt underlag för att ingripa mot huvudmännen. Det är inte heller ovanligt att personer som misstänks för att utöva allvarlig brottslig verksamhet håller sig undan, t.ex. vistas utomlands, under längre perioder. I sådana fall är det av stort värde att kunna ha kvar information om personen i fråga om denne fortsätter eller återupptar brottsligheten i Sverige.

Vid avvägningen mellan verksamhetsintressen och integritetsskyddsintressen är det viktigt att komma ihåg dels att det är få personer som kommer i fråga för övervakning av nu aktuellt slag och att det typiskt sett rör sig om personer som Tullverket misstänker livnär sig på grov brottslighet, dels att tillgången till behandlade uppgifter kommer att vara starkt begränsad inom Tullverket. Bekämpningen av organiserad brottslighet är högt prioriterad och Tullverket samverkar här ofta med Polismyndigheten. En alltför kort särskild gallringsfrist skulle motverka syftet med behandlingen. Regeringen bedömer att en tioårig gallringsfrist därför inte är oproportionerlig när man beaktar de skadeverkningar för samhället och enskilda som sådan brottslighet orsakar.

Datainspektionen ifrågasätter den föreslagna bevarandetiden och är tveksam till om förslaget om en generell tioårig gallringsfrist i dessa fall kan anses proportionerlig i integritetshänseende. För att en dylik gallringsbestämmelse ska vara acceptabel bör det enligt inspektionen åtminstone krävas att behovet av uppgifterna prövas med vissa intervall och att uppgifter som inte längre kan anses behövliga gallras. Regeringen har ovan redovisat behovet av denna längre frist. Vad gäller personer som inte är misstänkta ska sådana uppgifter vara försedda med en upplysning därom, se avsnitt 14.3. Utöver detta gäller också den generella och absoluta bestämmelsen om längsta bevarande.

Regeringen föreslår därför att en gallringsfrist om tio år för denna kategori uppgifter ska införas i den nya lagen. Även en regel om att den tid då en person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivnings-

prövning inte ska räknas med vid beräkningen av gallringsfristen bör föras in i den nya lagen.

Personuppgifter som behandlas för att fullgöra internationella åtaganden

Enligt polisdatalagen och kustbevakningsdatalagen ska personuppgifter som behandlas för att fullgöra internationella åtaganden gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades (3 kap. 14 § fjärde stycket polisdatalagen och 4 kap. 13 § tredje stycket kustbevakningsdatalagen).

När en förfrågan kommer från ett annat land hanteras denna inom ramen för någon form av ärende. Det finns behov av att bevara ärenden en tid efter det att de avslutats, bl.a. för att i efterhand kunna svara på frågor om vidtagna åtgärder. När ett år har gått efter det att ett ärende har avslutats kan dock i allmänhet behovet inte anses vara så stort att det motiverar en fortsatt behandling. Om en uppgift från ett internationellt ärende behövs för något annat av den föreslagna lagens ändamål, kan uppgiften behandlas för det nya ändamålet i den utsträckning lagen tillåter en sådan behandling.

Regeringen föreslår att en gallringsfrist om ett år för denna kategori uppgifter ska införas i den nya lagen.

Personuppgifter som behandlas på grund av att de har rapporterats till Tullverkets kommunikationscentral

Enligt polisdatalagen och kustbevakningsdatalagen ska personuppgifter som behandlas på grund av att de har rapporterats till Polismyndighetens kommunikationscentraler respektive Kustbevakningens ledningscentraler gallras senast ett år efter utgången av det kalenderår då rapporteringen gjordes (3 kap. 14 § femte stycket polisdatalagen och 4 kap. 13 § fjärde stycket kustbevakningsdatalagen).

Behovet av att behandla sådana personuppgifter som har rapporterats till Tullverkets kommunikationscentral består normalt bara under en kortare tid. En gallringsfrist om ett år har bedömts som rimlig för Polismyndighetens och Kustbevakningens del. Om personuppgifterna tillförs en brottsutredning, ska bestämmelserna om behandling av sådana uppgifter tillämpas. Samma överväganden gör sig gällande även för Tullverket.

Regeringen föreslår att en gallringsfrist om ett år för denna kategori uppgifter ska införas i den nya lagen.

Det internationella registret

I promemorian föreslås en särskild bestämmelse om gallring avseende ett internationellt register, vilket har samband med ett förslag i promemorian om att reglerna om gemensamt tillgängliga uppgifter inte ska vara tillämpliga när uppgifter som behövs för handläggningen av ärenden som rör internationellt samarbete behandlas i ett internationellt register (se avsnitt 14.1). Eftersom regeringen inte föreslår någon särskild reglering för internationella register, faller skälet för att i den nya lagen reglera gallring för sådana register bort. Något sådant föreslås därför inte.

Lagförslag

Förslaget genomförs genom 4 kap. 9 och 10 §§ i den nya lagen.

16.4. Längsta tid för behandling för gemensamt tillgängliga uppgifter i ärenden om utredning eller beivrande av brott

Regeringens bedömning: Det bör inte införas några särskilda gallringsbestämmelser för uppgifter i ärenden om utredning och beivrande av brott. Däremot bör det föreskrivas vissa begränsningar i möjligheten att behandla uppgifter i brottsanmälningar, förundersökningar eller andra utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångsbalken.

Regeringens förslag: För personuppgifter i brottsanmälningar, avslutade förundersökningar och andra liknande utredningar som har gjorts gemensamt tillgängliga ska följande begränsningar gälla för behandlingen.

Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i Tullverkets brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i Tullverkets brottsbekämpande verksamhet när åtal inte längre får väckas för brottet.

Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Tullverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna inte behandlas i Tullverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, fick laga kraft. Det som föreslås om förundersökning ska gälla även andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

Om en förundersökning mot en person har lagts ned, om ett åtal har lagts ned eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Det ska inledningsvis upplysas om var bestämmelser om denna kategori uppgifters längsta bevarandetid finns.

Promemorians bedömning och förslag: Överensstämmer i sak med regeringens bedömning och förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: Kammarrätten i Sundsvall anser att paragrafen som upplyser om bestämmelsernas innehåll är överflödig och att den med fördel kan utgå. Rikspolisstyrelsen anger att bestämmelsen om att om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas automatiserat, skiljer sig från motsvarande bestämmelser i polisdatalagen

och kustbevakningsdatalagen på så vis att där föreskrivs att om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i den brottsbekämpande verksamheten. I promemorian anges att ”det finns skäl att föreslå samma bestämmelser som finns i polisdatalagen och kustbevakningsdatalagen även för Tullverkets del”. Bestämmelsen bör ges samma formulering och materiella innebörd som motsvarande lagrum i polisdatalagen och kustbevakningsdatalagen. Motsvarande resonemang är relevant även för bestämmelsen i förslagets efterföljande paragraf.

Datainspektionen är tveksam till att uppgifter om en person som har frikänts av domstol eller där åtal har lagts ned överhuvudtaget ska få behandlas för andra ändamål än arkivering eller motsvarande. Inspektionen anser att behovet av att i dessa fall spara uppgifter inte svarar mot de inskränkningar i den personliga integriteten som det innebär.

Riksarkivet avstyrker de avvikelser som föreslås i promemorian i förhållande till polisdatalagen och kustbevakningsdatalagen. För det första är författningsförslaget inte som i motsvarande bestämmelser i polis- och kustbevakningsdatalagarna bevarandet eller den automatiserade behandlingen av personuppgifter konsekvent avgränsat till den brottsbekämpande verksamheten. För både Polismyndigheten och Kustbevakningen medges automatiserad behandling av personuppgifter därefter för arkivändamål. För det andra inskränks i författningsförslaget, i förhållande till motsvarande bestämmelser i polis- och kustbevakningsdatalagarna, möjligheten för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Skälen för regeringens bedömning och förslag

Det bör inte införas någon särskild gallringsfrist för personuppgifter i ärenden om utredning eller beivrande av brott

Den nuvarande tullbrottsdatalagens bestämmelse om gallring av personuppgifter gäller inte uppgifter i förundersökningar (27 § första stycket). I polisdatalagen och kustbevakningsdatalagen har man valt att inte heller införa särskilda gallringsfrister för sådana uppgifter. I stället är det arkivlagens bestämmelser som gäller. Det innebär att för uppgifter och handlingar i förundersökningar gäller samma regler oavsett om behandlingen sker på papper eller om den sker automatiserat. En anledning till att uppgifter i förundersökningar kan behöva behandlas även efter att ärendena har avslutats är att uppgifterna i ett senare skede, ofta tillsammans med ny information, kan läggas till grund för att på nytt ta upp en nedlagd förundersökning eller för att inleda en ny förundersökning, se t.ex. prop. 2011/12:45 s. 183.

Regeringen ser inte skäl att i detta lagstiftningsärende föreslå en annan ordning utan skälen bakom den nuvarande ordningen gör sig fortfarande gällande. Det föreslås därför inte någon särskild gallringsfrist i fråga om personuppgifter i ärenden om utredning eller beivrande av brott. Det kan nämnas att om en uppgift från en brottsutredning behandlas för ett annat ändamål, t.ex. i ett underrättelseprojekt, bör dock uppgifterna i det sammanhanget gallras enligt de gallringsbestämmelser som gäller för sådan behandling.

En möjlighet att utan några begränsningar behandla uppgifter i alla avslutade brottsutredningar skulle emellertid kunna innebära stora integritetsrisker. I avsaknad av särskilda gallringsfrister bör det därför gälla begränsningar bl.a. i fråga om hur länge uppgifter i en förundersökning får vara tillgängliga i den brottsbekämpande verksamheten. Dessa begränsningar – som kompletterar den generella och absoluta bestämmelsen om längsta bevarande – bör endast gälla gemensamt tillgängliga uppgifter och bör inte hindra att uppgifterna arkiveras eller gallras enligt bestämmelserna i arkivlagen. För att uppnå det integritetsskydd som eftersträvas med bestämmelser om tidsbegränsning av behandlingen av uppgifter i den brottsbekämpande verksamheten kan det vara lämpligt att regeringen också meddelar kompletterande föreskrifter om avskiljande av uppgifter som arkiveras digitalt, se avsnitt 16.1 om digital arkivering.

Restriktioner för behandlingen av personuppgifter i ärenden om utredning eller beivrande av brott bör finnas

Enligt den nuvarande tullbrottsdatalagen gäller följande. Om en förundersökning mot en person har lagts ned på grund av bristande bevisning, får uppgifter om brottsmisstanken behandlas för andra ändamål än arkivering endast om den misstänkte enligt förundersökningsledarens bedömning fortfarande är skäligen misstänkt för brottet och uppgifterna behövs för att förundersökningen ska kunna tas upp på nytt (17 §). Om åtal mot en person har lagts ned eller om denne genom lagakraftvunnen dom har frikänts, får uppgifter om brottsmisstanken behandlas för andra ändamål än arkivering endast om förundersökningen tas upp på nytt eller för prövning av särskilt rättsmedel enligt 58 kap. rättegångsbalken (18 §).

Enligt polisdatalagen och kustbevakningsdatalagen gäller följande. Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i den brottsbekämpande verksamheten. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i den brottsbekämpande verksamheten när åtal inte längre får väckas för brottet (3 kap. 10 § polisdatalagen och 4 kap. 9 § kustbevakningsdatalagen). Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i den brottsbekämpande verksamheten när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna i förundersökningen inte behandlas i den brottsbekämpande verksamheten när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, fick laga kraft. Det som sagts om förundersökning gäller även andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken (3 kap. 11 § polisdatalagen och 4 kap. 10 § kustbevakningsdatalagen). Regeringen meddelar föreskrifter om att vissa kategorier av personuppgifter får bevaras i den brottsbekämpande verksamheten under längre tid än vad som nu sagts (3 kap. 12 § polisdatalagen och 4 kap. 11 § kustbevakningsdatalagen). Om en förundersökning mot en person har

lagts ned, om åtal har lagts ned eller om frikännande dom, som har fått laga kraft, har meddelats, får personen inte vara sökbar som misstänkt (3 kap. 13 § polisdatalagen och 4 kap. 12 § kustbevakningsdatalagen).

I polisdataförordningen (2010:1155) och kustbevakningsdataförordningen (2012:146) har regeringen infört flera bestämmelser om att personuppgifter i olika situationer får behandlas under längre tid än som anges i polisdatalagen och kustbevakningsdatalagen.

Regeringen anser att det i samband med införandet av en ny tullbrottsdatalag finns skäl att se över bevarandereglerna. Från integritetsskyddssynpunkt är det viktigt att personuppgifter i brottsanmälningar och brottsutredningar inte behandlas i den brottsbekämpande verksamheten sedan det konstaterats att det inte går att komma vidare med brottsmisstankarna och att det inte i den brottsbekämpande verksamheten framstår som att någon är brottsmisstänkt trots att han eller hon inte längre med fog kan sägas vara det. Å andra sidan kan information i anmälningar och utredningar som inte lett till att de dåvarande brottsmisstankarna bekräftats utgöra viktiga pusselbitar i underrättelseverksamheten och vid utredning av nya brottsmisstankar.

Som har nämnts tidigare är det en fördel om de brottsbekämpande myndigheternas registerförfattningar utformas på likartat sätt för att underlätta samverkan och enhetlighet. I förarbetena till polisdatalagen och kustbevakningsdatalagen har det gjorts detaljerade bedömningar av vilka restriktioner i fråga om behandlingen av personuppgifter i den brottsbekämpande verksamheten som ska gälla enligt respektive lag i olika situationer. De nu nämnda lagarna kompletteras också av sinsemellan likartade detaljbestämmelser om i vilka situationer personuppgifter får bevaras under längre tid än som anges i respektive lag. Sammantaget framstår regleringen för Polismyndigheten och Kustbevakningen som mer detaljerad men också förhållandevis likvärdig med vad som gäller enligt den nuvarande tullbrottsdatalagen. Regeringen anser att det finns skäl att föreslå detaljerade bevarandebestämmelser även för Tullverkets del.

Regeringen föreslår att det i en inledande paragraf ska upplysas om i vilka paragrafer som det anges hur länge vissa ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet får bevaras. Kammarrätten i

Sundsvall anser att den föreslagna paragrafen är överflödig och att den med fördel kan utgå. Även om bestämmelsen inte är nödvändig, anser regeringen att bestämmelsen på ett pedagogiskt sätt upplyser om vilket slag av reglering som följer. Det kan också noteras att motsvarande bestämmelse finns både i polisdatalagen och i kustbevakningsdatalagen (3 kap. 9 § polisdatalagen respektive 4 kap. 8 § kustbevakningsdatalagen).

Det kan finnas skäl att komplettera regleringen i den nya lagen med bestämmelser i förordning i likhet med vad som har skett i polisdataförordningen och kustbevakningsdataförordningen. Som anges i avsnitt 16.1 föreslår regeringen en upplysningsbestämmelse om att regeringen kan meddela föreskrifter om att vissa kategorier av personuppgifter får bevaras under längre tid.

Uppgifter i brottsanmälningar

Ibland förekommer det att en brottsanmälan skrivs av på den grunden att det inte har förekommit något brott. Bland sådana anmälningar finns bl.a. vad som brukar kallas okynnesanmälningar (exempelvis att ogrundat beskylla en person för smuggling, vilket kan ske i syfte att trakassera eller svärta ned den anmälde). Det skulle strida mot de allmänna principerna för behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet att tillåta en längre tids behandling av helt grundlösa brottsanmälningar. Dessa bör därför inte kunna behandlas i Tullverkets brottsbekämpande verksamhet längre än vad som behövs för handläggningen.

Ett stort antal brottsanmälningar leder emellertid till ett omedelbart beslut att av andra orsaker inte inleda förundersökning eller motsvarande utredning. Skälet till detta är att det i flertalet fall saknas uppgifter om vem som kan misstänkas för brottet och att det inte heller i övrigt finns några uppgifter som kan bidra till utredningen om brottet. Detta utesluter emellertid inte att brottsanmälan kan aktualiseras senare, om det kommer fram nya omständigheter som kan leda till att brottet kan klaras upp, t.ex. om någon grips för likartade brott eller om gärningsmannen självmant erkänner brottet. Fram till den tidpunkt när brottet preskriberas finns det därför alltid ett latent behov av att kunna återuppta handläggningen av en brottsanmälan som inte har lett till förundersökning eller annan utredning. Bland annat mot den bakgrunden bör en brottsanmälan få vara tillgänglig i Tullverkets brottsbekämpande verksamhet även efter det att ärendet avslutats. Uppgifterna bör dock aldrig få behandlas i den brottsbekämpande verksamheten efter det att det brott som anmälan avser har preskriberats.

Regeringen föreslår således en bestämmelse om att om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i Tullverkets brottsbekämpande verksamhet. Om en brottsanmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i Tullverkets brottsbekämpande verksamheten när åtal inte längre får väckas för brottet.

Rikspolisstyrelsen anger att bestämmelsen i promemorians förslag att om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott får personuppgifterna i anmälan inte längre behandlas automatiserat, skiljer sig från motsvarande bestämmelser i polisdatalagen och kustbevakningsdatalagen på så vis att där föreskrivs att om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i den brottsbekämpande verksamheten. Rikspolisstyrelsen anser att bestämmelsen ska ges samma formulering och materiella innebörd som motsvarande lagrum i polisdatalagen och kustbevakningsdatalagen. Motsvarande resonemang är relevant även för bestämmelsen i förslagets efterföljande paragraf. Riksarkivet avstyrker också de avvikelser som i promemorian föreslås i detta avseende, men även i relation till bestämmelsen om möjligheten till bevarande för historiska, statistiska eller vetenskapliga ändamål. Riksarkivet anger att i författningsförslaget inskränks, i förhållande till motsvarande bestämmelser i polis- och kustbevakningsdata-

lagarna, möjligheten för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Regeringen har omformulerat förslagen så att de motsvarar lydelserna i polisdatalagen och kustbevakningsdatalagen, men noterar att justeringen inte innebär någon ändring i sak. Att nu aktuell behandling avser automatiserad behandling framgår redan av den inledande bestämmelsen som upplyser om bestämmelsernas innehåll, se avsnitt 16.1. Att uppgifterna behandlas automatiserat följer också av att det är fråga om gemensamt tillgängliga uppgifter. Vad gäller hänvisningen till den brottsbekämpande verksamheten gäller nu aktuell ny lag bara för Tullverkets brottsbekämpande verksamhet (se avsnitt 8). Vad gäller den av Riksarkivet nämnda bestämmelsen om möjligheten till bevarande för historiska, statistiska eller vetenskapliga ändamål handlar den om en annan kategori uppgifter än som nu är i fråga, nämligen om andra gemensamt tillgängliga uppgifter, se avsnitt 16.3 och 16.1.

Uppgifter i förundersökningar

Tullverket har i den brottsbekämpande verksamheten behov av uppgifter i avslutade förundersökningar för att lättare kunna utreda nya brott begångna av samma person. Om en person återfaller i brott, är ofta tidigare brottsutredningar av intresse. Vet man att det nya brottet har begåtts tillsammans med andra, okända gärningsmän, kan uppgifter om medgärningsmän i en tidigare brottsutredning vara av intresse. Vidare kan det tillvägagångssätt som användes vid det tidigare brottet ha betydelse. Dessutom har Tullverket behov av att ta vara på information från brottsutredningar för att systematiskt samla information om vissa typer av brott eller vissa brottslingars beteenden. Sådan information har framför allt betydelse för det brottsförebyggande arbetet. Ett ytterligare behov är att kunna utnyttja tidigare brottsutredningar för utbildning och allmän kompetensutveckling inom Tullverket.

När det gäller förundersökningar som har lagts ned eller avslutats på annat sätt som inte har lett till domstolsprövning, finns det också ett annat verksamhetsbehov, nämligen behovet av att kunna återuppta brottsutredningen. Ett beslut om att inte driva en brottsutredning vidare kan ha många olika orsaker, av vilka en del i princip utesluter att utredningen kan komma att tas upp på nytt medan det i andra fall är mer eller mindre troligt att förundersökningen kan komma att återupptas. En förundersökning som har lagts ned eller annars inte lett till åtal på grund av att bevisningen har bedömts vara otillräcklig kan när som helst aktualiseras på nytt, om det kommer fram nya uppgifter. Likaså kan ett beslut att lägga ned en förundersökning därför att det inte finns något uppslag om vem gärningsmannen är snabbt bli inaktuellt om Tullverket får tips om gärningsmannen eller det kommer fram nya vittnesuppgifter eller annan bevisning. Vidare bör givetvis en förundersökning som har lagts ned för att den misstänkte har lämnat landet och inte kan förväntas återkomma kunna tas upp på nytt, om den misstänkte sedermera anträffas här i landet.

Mot denna bakgrund är det rimligt att uppgifter i avslutade förundersökningar får vara tillgängliga i Tullverkets brottsbekämpande

verksamhet även en viss tid efter det att saken har avslutats. Denna tid bör dock inte vara alltför lång. Fem år har i lagstiftningsärendena om polisdatalagen och kustbevakningsdatalagen ansetts utgöra en rimlig avvägning mellan integritetsskyddsintresset och verksamhetsbehoven (prop. 2009/10:85 s. 225226 och prop. 2011/12:45 s. 185187). När det gäller förundersökningar som har avslutats på annat sätt än genom åtal ska femårstiden räknas från utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. I annat fall räknas femårstiden från utgången av det kalenderår då domstolsbeslutet fick laga kraft. Efter femårstiden ska personuppgifterna inte längre få behandlas i Tullverkets brottsbekämpande verksamhet.

Om Tullverket redan innan femårstiden har löpt ut bedömer att uppgifterna i ärendet inte längre behöver vara tillgängliga i den brottsbekämpande verksamheten, ska uppgifterna i ärendet inte få bevaras där. Detta följer av den generella och absoluta bestämmelsen om längsta bevarande, se avsnitt 16.1.

I sammanhanget är det viktigt att påminna om att den nya lagens övriga bestämmelser innebär att tillgången till uppgifter i förundersökningar kommer att begränsas på olika sätt. Tillgången till uppgifter ska t.ex. anpassas till tjänstemännens behov av uppgifterna. Alla uppgifter får inte heller vara sökbara.

Regeringen föreslår således att om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Tullverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersökningsledarens beslut meddelades. Om en förundersökning har lett till åtal eller annan domstolsprövning, får personuppgifterna inte behandlas i Tullverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, fick laga kraft. Det som föreslås om förundersökning ska gälla även andra utredningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

Uppgifter om brottsmisstankar när förundersökning eller åtal har lagts ned eller det finns en lagakraftvunnen frikännande dom

Av hänsyn till enskildas integritet bör givetvis en domstols dom eller beslut, som innebär att den åtalade frias från ansvar för brott, få genomslag även i Tullverkets brottsbekämpande verksamhet på det sättet att en sådan person inte längre anges såsom misstänkt. Detsamma bör gälla när en förundersökning har lett till att ett åtal har lagts ned. Med detta avses dock inte att alla handlingar som rör brottsmisstanken måste rensas ut, utan enbart att den åtalade personen inte får utpekas såsom misstänkt och att man vid olika typer av sökningar inte ska få träff på honom eller henne i egenskap av misstänkt. Under den period som uppgifterna i ärendet får behandlas i den brottsbekämpande verksamheten bör det däremot vid en sökning vara möjligt att få fram en uppgift om att personen tidigare har varit misstänkt, se avsnitt 14.4.

Tullverket kommer troligtvis att bevara flertalet av sina ärenden under viss tid efter att de har avslutats. Den fortsatta behandlingen har då inte sin grund i att det finns kvarstående misstankar mot personen i fråga utan

i allmänna verksamhetsbehov av att bevara avslutade ärenden. Genom att personen inte är sökbar som misstänkt minskar risken för integritetsintrång.

Datainspektionen är tveksam till att uppgifter om en person som har frikänts av domstol eller där åtal har lagts ned, överhuvudtaget ska få behandlas för andra ändamål än arkivering eller motsvarande. Inspektionen anser att behovet av att i dessa fall spara uppgifter inte svarar mot de inskränkningar i den personliga integriteten som det innebär. Regeringen anser, i likhet med när Datainspektionen framförde samma synpunkt i lagstiftningsärendet om en ny kustbevakningsdatalag, att myndighetens behov att kunna ha tillgång till ärenden under viss tid efter det att de har avslutats sammantaget väger tyngre än det integritetsintrång som det kan innebära för en tidigare misstänkt person att uppgifterna om honom eller henne förekommer i Tullverkets datasystem.

Regeringen föreslår således att om en förundersökning mot en person har lagts ned, om ett åtal har lagts ned eller om en frikännande dom har fått laga kraft, ska personen inte längre få vara sökbar som misstänkt.

Lagförslagen

Förslaget genomförs genom 4 kap. 5–8 §§ i den nya lagen.

17. Följdändringar

Regeringens förslag: I offentlighets- och sekretesslagen, lagen om internationellt polisiärt samarbete och lagen om behandling av uppgifter i Tullverkets verksamhet ska befintliga hänvisningar till lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet ändras till att avse den nya lagen.

Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorians förslag finns inget förslag till följdändring i 1 kap. 1 § lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslagen.

Skälen för regeringens förslag: Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (kallad tullbrottsdatalagen) omnämns i 18 kap. 2 § och 35 kap.1 och 10 §§offentlighets- och sekretesslagen (2009:400). Dessa hänvisningar bör ändras till att avse den nya lagen.

I 1 a § lagen (2000:343) om internationellt polisiärt samarbete finns det en hänvisning till den nuvarande tullbrottsdatalagen som också bör ändras till att avse den nya lagen.

I 1 kap. 1 § tredje stycket och 4 § andra stycket lagen om behandling av uppgifter i Tullverkets verksamhet finns hänvisningar till den nuvarande tullbrottsdatalagen. De hänvisningarna bör ändras till att avse den nya lagen.

18. Ikraftträdande- och övergångsbestämmelser

Regeringens förslag: Den nya tullbrottsdatalagen och de ändringar som föreslås i andra författningar ska träda i kraft den 1 juli 2017. Samtidigt ska lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet upphävas.

Vissa bestämmelser i den nya tullbrottsdatalagen om sökning och behandling av uppgifter i brottsanmälningar och avslutade förundersökningar ska inte behöva inte tillämpas förrän den 1 januari 2019.

Äldre bestämmelser i offentlighets- och sekretesslagen ska gälla för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet.

Promemorians förslag: Överensstämmer inte med regeringens förslag. I promemorian föreslås ett tidigare ikraftträdandedatum och det föreslås inga övergångsbestämmelser.

Remissinstanserna: Kammarrätten i Sundsvall anser att det bör övervägas om en övergångsbestämmelse ska tas in, om att äldre bestämmelser fortfarande gäller för uppgifter i sådana ärenden där handlingar omhändertagits för arkivering före ikraftträdandet av ändringarna i offentlighets- och sekretesslagen (2009:400).

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag: Den nya lagen bör träda i kraft den 1 juli 2017. Det kan dock vara svårt för Tullverket att i alla avseenden leva upp till de nya kraven redan detta datum, eftersom de nya bestämmelserna t.ex. kräver att det görs vissa anpassningar av Tullverkets it-stöd. Svårigheterna med att uppfylla kraven vid ikraftträdandet gäller bestämmelserna om vilka uppgifter som får tas fram vid sökning, om bevarandetider för uppgifter i brottsanmälningar, avslutade förundersökningar och andra utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångsbalken samt om att den som inte längre är misstänkt inte får vara sökbar som sådan. Regeringen föreslår att dessa bestämmelser inte behöver tillämpas förrän den 1 januari 2019. Utgångspunkten bör dock vara att Tullverket ska skapa förutsättningar för att tillämpa bestämmelserna så snart som möjligt och att bestämmelserna tillämpas i den utsträckning det går. Det digitaliseringsarbete som rättskedjans myndigheter bedriver för att utveckla rättsväsendets informationshantering (se t.ex. avsnitt 6.2), kan underlätta möjligheter till återkoppling. Regeringen vill därför framhålla att regleringen innebär att Tullverket bör tillämpa bestämmelserna tidigare i den utsträckning det är möjligt. Det kan nämnas att den nya dataskyddsregleringen (se avsnitt 4.1.7) kan komma att medföra behov av anpassningar i rättsväsendets behandling av personuppgifter även i detta avseende. De författningsändringar som krävs med anledning av direktivet kommer att tas om hand i särskild, senare ordning.

De ändringar som föreslås i offentlighets- och sekretesslagen, lagen (2000:343) om internationellt polisiärt samarbete och lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet bör också träda i kraft den 1 juli 2017.

Regeringen föreslår, i likhet med vad Kammarrätten i Sundsvall har framfört, att äldre bestämmelser i offentlighets- och sekretesslagen fortfarande ska gälla för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet av lagen. En liknande bestämmelse finns i polisdatalagen.

Eftersom en ny lag införs, tullbrottsdatalagen, ska samtidigt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet upphävas.

19. Konsekvenser

Regeringens bedömning: Den nya tullbrottsdatalagen kommer att ge förutsättningar för Tullverket att bedriva sin brottsbekämpande verksamhet effektivt och med användning av modern teknik, samtidigt som den enskildes integritet värnas. Lagen innehåller en flexibel reglering som ger Tullverket möjlighet att fortlöpande utveckla och anpassa sina system för automatiserad behandling utan att det krävs ändringar i regelverket.

Övergången till den nya lagen bedöms medföra begränsade kostnader för Tullverket som ryms inom myndighetens befintliga ekonomiska ramar.

Förslagen medför inte några offentligfinansiella effekter.

Promemorians bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över bedömningen.

Skälen för regeringens bedömning: Förslagen innebär att en modern, teknikneutral och allmänt ändamålsenlig reglering införs för behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Förslagen motsvarar i stora delar det regelverk som gäller för Polismyndigheten och Kustbevakningen enligt för dessa myndigheter på senare tid antagna registerförfattningar.

Särskild hänsyn har tagits till de integritetsaspekter som följer av omfattande automatiserade uppgiftssamlingar i myndighetsverksamhet. Förslagen syftar till att i möjligaste mån underlätta för samverkan mellan myndigheter med brottsbekämpande verksamhet, men också i vissa fall mellan sådana myndigheter och myndigheter som inte har sådan verksamhet. Förslagen är vidare ägnade att främja det internationella samarbete som Tullverket brottsbekämpande verksamhet bedriver, med såväl andra staters myndigheter som internationella organ.

Förslagen innebär en lagstiftning som är teknikneutral. Det gör bl.a. att nya it-system kan tas i bruk utan att det blir nödvändigt att ändra regelverket.

Förslagen innebär bl.a. att Polismyndigheten och Åklagarmyndigheten m.fl. myndigheter med brottsbekämpande verksamhet i viss omfattning ska kunna ges direktåtkomst till uppgifter som behandlas i Tullverkets brottsbekämpande verksamhet. Förslagen möjliggör även för Tullverket

att använda sig av andra myndigheters redan framtagna it-system. Dessa förslag kan förväntas medföra besparingar genom de effektivitetsvinster som direktåtkomsten och ett effektivt utnyttjande av befintliga it-system inom staten medför.

Övergången till den nya lagen kommer att innebära vissa begränsade kostnader för Tullverkets brottsbekämpande verksamhet. Befintliga itsystem kan behöva göras om för att anpassas till den nya regleringen av tillgången till personuppgifter inom den brottsbekämpande verksamheten. Det kommer även att krävas vissa utbildningsinsatser, vilka dock inte bedöms vara mer omfattande än att kostnaderna för dessa kan täckas av ordinarie anslag. Denna bedömning gäller även eventuella övriga merkostnader som kan komma att uppstå.

Förslagen medför inte några offentligfinansiella effekter.

20. Författningskommentar

20.1. Förslaget till tullbrottsdatalag

1 kap. Lagens syfte och tillämpningsområde

Lagens syfte

1 §

I paragrafen anges det övergripande syftet med lagen. Bestämmelser med motsvarande innehåll finns i 1 kap. 1 § polisdatalagen (2010:361) och 1 kap. 1 § kustbevakningsdatalagen (2012:145).

Övervägandena finns i avsnitt 8.1.

Lagens tillämpningsområde

2 §

I paragrafen anges lagens tillämpningsområde. Övervägandena finns i avsnitt 8.2.

I paragrafen anges inledningsvis att lagen gäller vid behandling av personuppgifter. Med personuppgifter avses detsamma som i 3 § personuppgiftslagen (1998:204), nämligen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Också ordet behandling har samma innebörd som i den paragrafen. Därmed avses således varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, registrering, organisering, lagring, bearbetning, användning, spridning eller annat tillhandahållande, sammanställning eller samkörning samt utplåning eller förstöring.

För att lagen ska vara tillämplig krävs att behandlingen är helt eller delvis automatiserad eller att personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier (jfr 5 § personuppgiftslagen som innehåller samma rekvisit). Utanför lagens tillämpningsområde faller således helt manuell behandling av personuppgifter som inte ingår eller är avsedd att ingå i någon sådan samling.

Av paragrafen framgår vidare att lagen endast är tillämplig i Tullverkets brottsbekämpande verksamhet. Med brottsbekämpande verksamhet avses i detta sammanhang den verksamhet för vilken personuppgifter får behandlas enligt 2 kap. 5 §. Lagen är därmed inte tillämplig på Tullverkets verksamhet under Effektiv handel. Behandling av uppgifter i den verksamheten regleras i stället i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet. Lagen gäller inte heller för rent administrativ verksamhet som t.ex. avser personalfrågor, där i stället personuppgiftslagen är tillämplig.

Bestämmelser med motsvarande innehåll finns i 1 § första stycket lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, 1 kap. 2 § polisdatalagen och 1 kap. 2 § första och andra styckena kustbevakningsdatalagen.

3 §

Paragrafen anger lagens förhållande till vissa andra författningar som innehåller bestämmelser om behandling av personuppgifter. Övervägandena finns i avsnitt 8.2.

Första stycket innehåller en upplysning om att det i lagen (2000:343) om internationellt polisiärt samarbete och tillhörande föreskrifter finns särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser om polisiärt samarbete.

I andra stycket upplyses om att det i lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen och tillhörande föreskrifter finns särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av bl.a. en annan medlemsstat.

I tredje stycket klargörs förhållandet mellan författningarna. Avvikande bestämmelser i de angivna föreskrifterna ska tillämpas i stället för bestämmelserna i denna lag.

Paragrafen överensstämmer med 1 a § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, 1 kap.4 och 5 §§polisdatalagen och 1 kap. 2 § tredje stycket och 2 a §kustbevakningsdatalagen.

Lagens tillämpning på juridiska personer

4 §

Paragrafen innehåller bestämmelser om behandling av uppgifter om juridiska personer. Övervägandena finns i avsnitt 8.2.

I förhållande till 2 § utvidgar paragrafen lagens tillämpningsområde genom att den föreskriver att vissa av lagens bestämmelser ska tillämpas vid behandling av uppgifter om juridiska personer. Detta ger ett skydd för uppgifter om juridiska personer som inte har någon motsvarighet i personuppgiftslagen. Med uppgifter om juridiska personer avses all slags information som direkt eller indirekt kan hänföras till en svensk eller utländsk juridisk person. Det gäller även uppgifter om juridiska personer som har upphört.

Bestämmelser med liknande innehåll finns i 1 § andra stycket och 10 § andra meningen lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, 1 kap. 6 § polisdatalagen och 1 kap. 3 § kustbevakningsdatalagen. Till skillnad från polisdatalagen men i likhet med kustbevakningsdatalagen och lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet är bestämmelsen om personuppgiftsansvar tillämplig även på juridiska personer.

Lagens uppbyggnad

5 §

Paragrafen anger hur lagen är uppbyggd. Övervägandena finns i avsnitt 8.2.

I 2 kap. finns allmänna bestämmelser och bestämmelser om behandling av personuppgifter, som gäller all behandling av personuppgifter som omfattas av lagen. För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap. Vad som avses med ”gemensamt tillgängliga uppgifter” berörs i kommentaren till 3 kap. 1 §. I 4 kap. har bestämmelser om bevarande och gallring av uppgifter, oavsett hur personuppgifterna har behandlats, samlats.

I 1 kap. 7 § polisdatalagen och 1 kap. 5 § kustbevakningsdatalagen finns liknande bestämmelser som anger dessa lagars uppbyggnad.

2 kap. Allmänna bestämmelser

Förhållandet till personuppgiftslagen

1 §

Paragrafen reglerar lagens förhållande till personuppgiftslagen. Övervägandena finns i avsnitt 9.1.

Om något annat inte anges i 2 § gäller tullbrottsdatalagen i stället för personuppgiftslagen. Vid sådan behandling av personuppgifter som omfattas av lagen ska alltså bestämmelser i personuppgiftslagen tillämpas endast om det finns en hänvisning till dem i 2 §.

Paragrafen överensstämmer med 5 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, 2 kap. 1 § polisdatalagen och 2 kap. 1 § kustbevakningsdatalagen.

2 §

Paragrafen anger vilka bestämmelser i personuppgiftslagen som gäller i Tullverkets brottsbekämpande verksamhet. Övervägandena finns i avsnitt 9.2.

I första stycket anges vilka bestämmelser i personuppgiftslagen som gäller vid behandling av personuppgifter i tullbrottsdatalagen eller föreskrifter som har meddelats i anslutning till den. Utgångspunkten är att tullbrottsdatalagen gäller i stället för personuppgiftslagen, varför bestämmelserna i personuppgiftslagen inte ska tillämpas vid sådan behandling av personuppgifter som omfattas av tullbrottsdatalagen eller föreskrifter som meddelats i anslutning till den. Vissa utpekade paragrafer i personuppgiftslagen gäller dock. Uppräkningen är uttömmande.

Enligt första stycket punkten 1 gäller de definitioner som anges i 3 § personuppgiftslagen även vid behandling av personuppgifter som omfattas av tullbrottsdatalagen.

Genom hänvisningen i första stycket punkten 2 till 8 § personuppgiftslagen klargörs att bestämmelserna i tullbrottsdatalagen – eller de bestämmelser till vilka lagen hänvisar – inte gäller om det skulle inskränka Tullverkets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter (8 § första stycket personuppgiftslagen). Det innebär t.ex. att Tullverket inte kan vägra att ta fram och lämna ut uppgifter i enlighet med tryckfrihetsförordningens bestämmelser enbart med hänvisning till att utlämnandet inte ryms inom de i 5–7 §§ angivna ändamålen för behandling. I sammanhanget bör dock understrykas att offentlighetsprincipen inte innebär någon skyldighet att lämna ut uppgifter i elektronisk form. Vid bedömningen av om en uppgift kan lämnas ut i elektronisk form måste alltså tullbrottsdatalagens regler beaktas.

Av hänvisningen till 8 § personuppgiftslagen följer också att tullbrottsdatalagen inte hindrar att Tullverket arkiverar eller bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (8 § andra stycket personuppgiftslagen). Bestämmelserna om gallring i tullbrottsdatalagen gäller dock, vilket tydliggörs genom regleringen i andra stycket, framför bestämmelsen i 8 § andra stycket personuppgiftslagen. Utgallrade uppgifter bör som utgångspunkt inte få bevaras i ett digitalt arkiv och vara elektroniskt åtkomliga för arkivändamål, om inte särskilda föreskrifter meddelas med undantag från den nya lagens gallringsbestämmelser som tillåter ett bevarande.

I första stycket punkten 3 hänvisas till 9 § personuppgiftslagen, med undantag för första stycket i och tredje stycket. Hänvisningen innebär t.ex. att den personuppgiftsansvarige (se 3 §) ska se till att uppgifterna behandlas enbart om det är lagligt och att de behandlas på ett korrekt sätt. Den personuppgiftsansvarige ska också se till att de behandlade personuppgifterna är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter behandlas än de som är nödvändiga med hänsyn till ändamålen för behandlingen. Den personuppgiftsansvarige ska härutöver se till att de behandlade personuppgifterna dels är riktiga och, om det är nödvändigt, aktuella, dels att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Kravet på att uppgifterna ska vara riktiga innebär inte något krav på att en uppgift ska rättas enbart för att det senare – när fler fakta kommit fram – visar sig att uppgiften inte är korrekt eller att t.ex. en förhörsperson ändrat sina uppgifter. Hänvisningen innebär vidare att den personuppgiftsansvarige ska se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål.

Hänvisningen till 9 § första stycket d personuppgiftslagen innebär att den personuppgiftsansvarige ska se till att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). De primära ändamålen är uttömmande angivna i 5 § medan det framgår av 6 § att det, utöver vad som framgår av första och andra styckena i den paragrafen, är möjligt att lämna ut uppgifter för ett ändamål som inte kan anses oförenligt med det

ändamål för vilket uppgifterna samlades in. Den personuppgiftsansvarige ska alltså dels se till att personuppgifter inte behandlas för andra primära ändamål än de som anges i lagen, dels att vidarebehandling för andra sekundära ändamål än de i lagen angivna endast förekommer om det är förenligt med finalitetsprincipen.

Hänvisningen till 9 § andra stycket personuppgiftslagen innebär att vidarebehandling för historiska, statistiska eller vetenskapliga ändamål inte ska anses oförenlig med finalitetsprincipen. Hänvisningen till 9 § fjärde stycket personuppgiftslagen innebär att personuppgifter som behandlas för sådana ändamål får behandlas för andra ändamål endast i vissa fall.

I första stycket punkten 4 hänvisas till 22 § personuppgiftslagen. Bestämmelsen innebär att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Första stycket punkten 5 hänvisar till 23 och 2527 §§personuppgiftslagen. Av hänvisningen till 23 § följer att den myndighet som samlar in uppgifter om en enskild person från personen själv självmant ska informera honom eller henne om behandlingen. I 25 § personuppgiftslagen anges att informationen ska omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen och övrig information som personen behöver för att ta till vara sina rättigheter i samband med behandlingen av uppgifterna.

Bestämmelserna om informationsplikt i 23 och 25 §§personuppgiftslagen modifieras emellertid av andra bestämmelser. Som framgår av hänvisningen till 27 § personuppgiftslagen gäller informationsplikten inte i den utsträckning det gäller sekretess eller tystnadsplikt för informationen.

Som framgår av hänvisningen till 26 § personuppgiftslagen är den personuppgiftsansvarige skyldig att på begäran lämna information till en registrerad om huruvida personuppgifter som rör honom eller henne behandlas eller inte. Om uppgifter behandlas, ska upplysning också lämnas om bl.a. ändamålet med behandlingen. Också denna informationsskyldighet modifieras genom bestämmelserna i 27 § personuppgiftslagen. Om det gäller sekretess för uppgiften behöver någon information inte lämnas.

Enligt hänvisningen i första stycket punkten 6 till 28 § personuppgiftslagen gäller också den lagens bestämmelser om rättelse. Den personuppgiftsansvarige är alltså skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med tullbrottsdatalagen – inklusive de bestämmelser i personuppgiftslagen till vilka lagen hänvisar – eller föreskrifter som har utfärdats i anslutning till lagen. Rättelse ska dock inte göras enbart därför att uppgifter som framstod som riktiga eller rimliga när de samlades in, t.ex. brottsmisstankar, senare har visat sig vara oriktiga.

I första stycket punkten 7 görs en hänvisning till 30 och 31 §§ samt 32 § första stycket personuppgiftslagen. Enligt 30 § första stycket får ett personuppgiftsbiträde (dvs. den som behandlar personuppgifter för den personuppgiftsansvariges räkning) och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning behandla

personuppgifter enbart i enlighet med instruktioner från den personuppgiftsansvarige. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet gäller dock – enligt 30 § tredje stycket – dessa i stället. Den sistnämnda bestämmelsen syftar särskilt på bestämmelser om tystnadsplikt och sekretess, se propositionen Personuppgiftslag (prop. 1997/98:44 s. 136). Av 31 § framgår bl.a. att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de behandlade personuppgifterna. Enligt 32 § första stycket får tillsynsmyndigheten i enskilda fall besluta om vilka åtgärder som den personuppgiftsansvarige ska vidta enligt 31 §. Med tillsynsmyndigheten avses här tillsynsmyndigheten enligt personuppgiftslagen, dvs. Datainspektionen, se 2 § personuppgiftsförordningen (1998:1191).

En hänvisning görs i första stycket punkten 8 till 3335 §§personuppgiftslagen. Enligt 33 § är det förbjudet att överföra personuppgifter till tredjeland om landet inte har en adekvat nivå för skyddet av personuppgifter. Frågan om en skyddsnivå är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt ska fästas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och reglerna för behandlingen i tredjeland. I 34 och 35 §§ föreskrivs undantag från förbudet. Enligt 34 § får uppgifter trots förbudet överföras dels om den registrerade har lämnat sitt samtycke till överföringen, dels om överföringen är nödvändig med hänsyn till vissa uppräknade omständigheter. Det är också enligt den paragrafen tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). I 35 § föreskrivs att regeringen, och för vissa fall även den myndighet som regeringen bestämmer, får meddela föreskrifter om undantag från förbudet i 33 §.

I första stycket punkten 9 görs en hänvisning till 3840 §§personuppgiftslagen, där det framgår vilka närmare uppgifter ett personuppgiftsombud har. Se 4 § angående skyldigheten att utse personuppgiftsombud. En hänvisning görs också till 41 § personuppgiftslagen. Enligt den paragrafen kan regeringen föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll.

Hänvisningen i första stycket punkten 10 till 42 § personuppgiftslagen innebär att den personuppgiftsansvarige ska till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten, dvs. Datainspektionen. Sekretessbelagda uppgifter behöver dock inte lämnas ut.

Första stycket punkten 11 hänvisar till 43 och 44 §§, 45 § första stycket och 47 § personuppgiftslagen. Av hänvisningen till 43 § följer att

Datainspektionen har rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna och att få tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Om inspektionen inte har tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får den med

stöd av hänvisningen till 44 § personuppgiftslagen förbjuda behandlingen. Om Datainspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, ska inspektionen genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Om det inte går att få till stånd rättelse, eller om saken är brådskande, får Datainspektionen förbjuda behandlingen, vilket följer av hänvisningen till 45 § första stycket personuppgiftslagen. Vidare hänvisas till 47 § personuppgiftslagen där Datainspektionen ges rätt att hos förvaltningsrätten ansöka om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas.

Av hänvisningen i första stycket punkten 12 till 48 § personuppgiftslagen följer att den personuppgiftsansvarige ska ersätta den registrerade för sådan skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med tullbrottsdatalagen och de bestämmelser i personuppgiftslagen till vilka lagen hänvisar har orsakat.

Första stycket punkten 13 hänvisar till 51 § första stycket, 52 § första stycket och 53 § personuppgiftslagen. Av hänvisningen till 51 § första stycket följer att Datainspektionens beslut får överklagas till allmän förvaltningsdomstol. Som framgår av hänvisningen till 52 § första stycket personuppgiftslagen kan den personuppgiftsansvariga myndighetens beslut om information enligt 26 §, om rättelse och om underrättelse till tredje man enligt 28 § och om upplysningar enligt 42 § personuppgiftslagen också överklagas till allmän förvaltningsdomstol. Av hänvisningen till 53 § personuppgiftslagen följer att andra beslut inte får överklagas.

I andra stycket regleras hur gallringsregler i lagen, och i föreskrifter som har meddelats i anslutning till lagen, förhåller sig till hänvisningen i första stycket 2. Bestämmelsen innebär att tullbrottsdatalagen ges företräde framför bestämmelserna i 8 § andra stycket personuppgiftslagen.

Det tredje stycket innehåller två undantag från informationsskyldigheten i 23 § personuppgiftslagen. För det första behöver information inte lämnas om uppgifterna samlas in genom bild- eller ljudupptagning. För det andra behöver information enligt 23 § inte lämnas om uppgifterna samlas in i samband med ett larm och det med hänsyn till omständigheterna inte finns tid att lämna information.

Förbud enligt 44 eller 45 § personuppgiftslagen får normalt förenas med vite. I fjärde stycket föreskrivs dock att förbud som meddelas i samband med tillsyn enligt denna lag inte får förenas med vite.

Paragrafen överensstämmer i allt väsentligt med 2 kap. 2 § polisdatalagen och 2 kap. 2 § kustbevakningsdatalagen. En liknande bestämmelse finns i 6 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Personuppgiftsansvar

3 §

Paragrafen innehåller bestämmelser om personuppgiftsansvar. Övervägandena finns i avsnitt 9.3.

I paragrafen anges att Tullverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (3 § personuppgiftslagen). Flera bestämmelser i personuppgiftslagen, till vilka det hänvisas i 2 §, ålägger den personuppgiftsansvarige särskilda skyldigheter. Så är det t.ex. enligt 9 § första stycket personuppgiftslagen den personuppgiftsansvariges skyldighet att se till att de behandlade personuppgifterna är adekvata och relevanta i förhållande till ändamålen för behandlingen och att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen för behandlingen. Det ankommer också på den personuppgiftsansvarige att se till att information lämnas till den registrerade och att uppgifter gallras i rätt tid.

Av 1 kap. 4 § 1 framgår att personuppgiftsansvaret även omfattar behandling av uppgifter om juridiska personer.

Huvudregeln är att den myndighet som samlar in och lagrar personuppgifter är personuppgiftsansvarig för den behandlingen. Om en uppgift lämnas ut till en annan myndighet, genom direktåtkomst eller på annat sätt, blir den mottagande myndigheten personuppgiftsansvarig för den fortsatta behandlingen av uppgiften hos den myndigheten. När uppgifter lämnas ut till olika myndigheter kan alltså personuppgiftsansvaret för en och samma uppgift komma att ligga hos flera myndigheter. Var och en av dessa ansvarar för den egna behandlingen.

Motsvarande bestämmelser finns i 2 kap. 4 § polisdatalagen och 2 kap. 4 § kustbevakningsdatalagen.

Personuppgiftsombud

4 §

Paragrafen innehåller bestämmelser om personuppgiftsombud. Övervägandena finns i avsnitt 9.4.

I första stycket föreskrivs att Tullverket ska utse ett eller flera personuppgiftsombud. Hänvisningen i 2 § första stycket 9 till 3840 §§personuppgiftslagen innebär att personuppgiftslagens bestämmelser om personuppgiftsombudets uppgifter blir tillämpliga i Tullverkets brottsbekämpande verksamhet.

Enligt andra stycket ska myndigheten anmäla till tillsynsmyndigheten enligt personuppgiftslagen, dvs. Datainspektionen, när ett personuppgiftsombud utses eller entledigas.

Paragrafen överensstämmer med 2 kap. 5 § polisdatalagen och i sak även med 2 kap. 5 § kustbevakningsdatalagen.

Ändamål

5 §

Paragrafen anger de primära ändamål för vilka personuppgifter får behandlas i Tullverkets brottsbekämpande verksamhet. Övervägandena finns i avsnitt 10.2.

Personuppgifter som behandlas med stöd av paragrafen får också behandlas för ett antal ytterligare ändamål. Behandlingen för dessa sekundära ändamål regleras i 6 §. Av 7 § framgår att behandling av personuppgifter dessutom får ske för diarieföring och inom ramen för viss ärendehantering. Vidare får enligt 6 § tredje stycket personuppgifter behandlas för ett annat sekundärt ändamål än de i lagen angivna, om det

nya ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in. Ramarna för sådan vidarebehandling sätts således av den s.k. finalitetsprincipen. Som framgår av hänvisningen i 2 § första stycket 2 till 8 § personuppgiftslagen får behandling också ske i den mån den är nödvändig för att Tullverket ska kunna fullgöra sina skyldigheter enligt 2 kap. tryckfrihetsförordningen. Tillsammans avgränsar de nu nämnda bestämmelserna för vilka ändamål behandling av personuppgifter är tillåten i Tullverkets brottsbekämpande verksamhet.

En grundläggande förutsättning för att en personuppgift ska vara tillåten att behandla är att den behövs för viss särskild verksamhet hos Tullverket. Med detta avses att det ska finnas ett konkret behov av att genomföra behandlingen och att detta behov svarar mot ändamålet med denna. Som exempel kan nämnas att det i en förundersökning kan vara nödvändigt att sammanställa uppgifter om vilka personer som har befunnit sig på platsen för brottet för att säkerställa att alla presumtiva vittnen har hörts i saken. Likaså måste självfallet många personuppgifter om misstänkta behandlas för att tillgodose åklagarens behov av underlag för sitt ställningstagande i åtalsfrågan. Om ändamålet är att förebygga eller förhindra brott, kan det t.ex. vara nödvändigt att sammanställa uppgifter om vem som hyr vissa lokaler eller vem som äger eller disponerar fordon som man misstänker används i den brottsliga verksamheten. Det kan också handla om att klarlägga vilka personer som regelbundet besöker en viss plats där man misstänker att allvarlig brottslig verksamhet förekommer. Som exempel på att en viss behandling normalt inte behövs kan nämnas att det i underrättelseprojekt som rör en viss typ av allvarlig brottslighet inte bör behandlas underrättelseuppgifter som helt saknar samband med just det aktuella projektet. Är uppgifterna av annat skäl av intresse för brottsbekämpningen, får de i stället behandlas inom ramen för en annan förundersökning eller ett annat underrättelseprojekt.

Personuppgifter får också behandlas för planering, uppföljning och utvärdering av den brottsbekämpande verksamheten. Sådan behandling anses utgöra en del av själva verksamheten och behöver inte regleras särskilt, se propositionen Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 179).

Av punkten 1 framgår att personuppgifter får behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet. Det arbete som åsyftas är framför allt det som normalt kallas underrättelseverksamhet, dvs. arbete med insamling, bearbetning och analys av information för att förebygga, förhindra eller upptäcka brottslig verksamhet när det ännu inte finns konkreta misstankar om att ett visst brott har begåtts. Även behandling av överskottsinformation med stöd av 27 kap. 23 a § andra stycket rättegångsbalken kan omfattas av detta ändamål, om syftet är att förhindra brott. Arbete som är inriktat på en redan begången individualiserad brottslig gärning faller in under punkten 2, se nedan.

Av punkten 2 framgår att personuppgifter får behandlas för att utreda eller beivra brott. Huvuddelen av den brottsbekämpande verksamheten som faller in under denna punkt består av förundersökning eller annan utredning enligt bestämmelserna i 23 kap. rättegångsbalken, men Tullverket har även vissa arbetsuppgifter som avser beivrande av brott. Under beivrande av brott faller främst tullåklagarens rätt att förelägga ordningsbot och att utfärda strafförelägganden.

Med brott avses ett konkret brott. Det kan vara fråga om såväl brott som bevisligen har begåtts som brott som det enbart finns misstankar om. Misstankarna behöver inte vara riktade mot någon bestämd person. Om misstankarna enbart gäller icke-preciserad brottslig verksamhet är det dock i stället fråga om sådan ”brottslig verksamhet” som avses i punkten

1. Rör misstanken ett visst brott som kan komma att begås i framtiden kan behandling av personuppgifter vara tillåten med stöd av punkten 1. Har den förväntade gärningen nått den punkt där den är straffbar såsom försök, förberedelse, stämpling eller anstiftan – dvs. om det finns grund för att inleda förundersökning – är det däremot fråga om behandling av personuppgifter som faller under punkten 2. Under punkten 2 faller all behandling av personuppgifter inom ramen för en förundersökning (även spaning). Detsamma gäller behandling av personuppgifter med stöd av 23 kap.3 och 8 §§rättegångsbalken innan en förundersökning har inletts och behandling inom ramen för en s.k. förenklad utredning enligt 23 kap. 22 § rättegångsbalken. Handläggningen av en brottsanmälan hör också hit, även om denna inte leder till något beslut om att inleda förundersökning. Punkten 2 är också tillämplig vid sådan utredning som inte utgör förundersökning men som Tullverket utför, för egen räkning eller åt åklagare, med stöd av lag eller annan författning enligt reglerna i 23 kap. rättegångsbalken om förundersökning. Ett exempel på en sådan bestämmelse är 4 kap. 3 § lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder. Av punkten 3 följer att behandling av personuppgifter i vissa fall får utföras, om syftet är att gagna utländsk brottsbekämpande verksamhet. I den utsträckning ett internationellt åtagande innebär att Tullverket är skyldigt att fullgöra vissa förpliktelser och den konkreta arbetsuppgiften kräver att Tullverket behandlar personuppgifter, är behandlingen tillåten enligt denna punkt. Detta gäller oavsett om den brottslighet som den utländska brottsbekämpande verksamheten avser faller in under svensk jurisdiktion. Sådana förpliktelser kan följa dels av vissa lagar som genomför internationella överenskommelser och som reglerar visst tullsamarbete eller viss polisiär verksamhet, dels direkt av vissa internationella överenskommelser. Till de lagar som innehåller förpliktelser av detta slag hör lagen (2000:1219) om internationellt tullsamarbete och lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar. Den senare reglerar polisiärt samarbete mellan EU:s medlemsstater och innehåller bl.a. bestämmelser om gemensamma utredningsgrupper och om uppgifter och bevisning som lämnas till en sådan grupp. En annan sådan lag är lagen om internationellt polisiärt samarbete, som reglerar operativt polisiärt samarbete bl.a. inom EU där bl.a. tulltjänstemän likställs med polismän. Sådan brottsutredning som sker inom ramen för rättslig hjälp till en annan stat hör också hemma under punkten 3, om den inte faller under punkten 2. Paragrafen har förts över i sak oförändrad från 7 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och överensstämmer med 2 kap. 7 § polisdatalagen och 3 kap. 2 § kustbevakningsdatalagen.

6 §

I paragrafen anges de sekundära ändamål för vilka personuppgifter får behandlas i Tullverkets brottsbekämpande verksamhet. Övervägandena finns i avsnitt 10.3.

Behandling enligt denna paragraf förutsätter att uppgifterna redan är föremål för behandling enligt 5 §. Det är alltså inte tillåtet att samla in personuppgifter enbart i syfte att behandla dem enligt denna paragraf. Det förhållandet att uppgifter i vissa fall får behandlas för utlämnande av information påverkar inte de bestämmelser som gäller om sekretess. Bestämmelserna i offentlighets- och sekretesslagen (2009:400) om sekretess mellan myndigheter liksom bestämmelser i andra författningar som bryter sekretess ska således beaktas på vanligt sätt.

Av första stycket punkten 1 framgår att personuppgifter som behandlas med stöd av 5 § även får behandlas för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos vissa andra myndigheter, nämligen Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket.

I första stycket punkten 2 regleras möjligheten att behandla personuppgifter som behandlas enligt 5 § för att tillhandahålla en utländsk myndighet eller mellanfolklig organisation den information som behövs i dess brottsbekämpande verksamhet. Denna bestämmelse ger stöd för själva behandlingen av uppgifterna. Hur stort utrymmet är för utlämnande av uppgifter bestäms som nyss nämnts av reglerna om sekretess, se också kommentaren till 12 §. De utländska myndigheter som avses i punkten 2 är förutom polis- och åklagarmyndigheter, även andra tullmyndigheter m.fl. i den mån dessa bedriver brottsbekämpande verksamhet. Möjligheten att behandla uppgifterna genom att lämna ut dem kan också begränsas av t.ex. reglerna i 3335 §§personuppgiftslagen, som inskränker möjligheten att överföra uppgifter till tredjeland.

I första stycket punkten 3 regleras möjligheten att behandla personuppgifter som behandlas enligt 5 § för att tillhandahålla Kriminalvården sådan information som myndigheten behöver i sin verksamhet för att förebygga brott och upprätthålla säkerheten. Enligt 2 § förordningen (2007:1172) med instruktion för Kriminalvården har myndigheten bl.a. till uppgift att verka för att påföljder verkställs på ett säkert sätt och att återfall i brott förebyggs. I detta arbete har myndigheten ibland behov av att få del av information från Tullverkets brottsbekämpande verksamhet. Sådan information kan bl.a. vara av avgörande betydelse inför beslut om placering på anstalt eller transport av personer, t.ex. uppgifter om koppling till andra personer som avtjänar straff eller koppling till viss organiserad brottslighet. Information från Tullverket kan även vara betydelsefull i ärenden om tillstånd att ta emot besök och telefonsamtal samt vid planering av permissioner. Som nämnts inledningsvis i kommentaren till denna paragraf påverkar inte det förhållandet att uppgifter får behandlas enligt denna paragraf de bestämmelser som gäller om sekretess. Ett utlämnande måste således föregås av en sedvanlig sekretessprövning.

Första stycket punkten 4 tar sikte på behandling av personuppgifter för att tillhandahålla uppgifter till annan verksamhet hos Tullverket än den brottsbekämpande. För sådant tillhandahållande krävs särskilda skäl. Det måste alltså göras en bedömning i det enskilda fallet om det finns

särskilda omständigheter som talar för att informationen bör föras över t.ex. till verksamheten under Effektiv handel.

Det kan gälla enskilda fall där det finns anledning att anta att tullagstiftningen på något mera allvarligt sätt inte har följts eller att tullbeslut blivit oriktiga på ett sådant sätt att det finns särskilda skäl att tillhandahålla information.

Det kan t.ex. vara fråga om att använda spärrsystemet i verksamheten under Effektiv handel för att ge den verksamheten en varning om vilka varusändningar som bör kontrolleras närmare, eller för tillhandahållande av information i syfte att försvåra för allvarligt kriminella att fortsätta brottslig verksamhet som bedrivs i bolagsform så att verksamheten under Effektiv handel kan vidta åtgärder, t.ex. en revision av bolagets import- och exportverksamhet eller en översyn av beviljade tillstånd.

I punkten 5 b regleras tillhandahållandet av information som behövs i bl.a. Tullverkets verksamhet under Effektiv handel inom ramen för myndighetsöverskridande samverkan mot brott.

Första stycket punkten 5 a är avsedd att tillgodose Tullverkets behov av att fullgöra författningsenliga skyldigheter att direkt biträda en annan myndighet i dess verksamhet, exempelvis att bistå åklagaren i en förundersökning eller bistå polismyndigheten enligt utlänningslagen (2005:716). Denna punkt ger således Tullverket rätt att behandla personuppgifter inom ramen för biträde i sådan verksamhet.

Av första stycket punkten 5 b framgår att Tullverket har möjlighet att behandla personuppgifter för att tillhandahålla information till svenska myndigheter, inklusive annan verksamhet hos Tullverket, i syfte att samverka mot brott. Det rör sig om tillhandahållande av uppgifter till myndigheter eller verksamhet inom den egna myndigheten som inte har till uppgift att bekämpa brott, men där tillhandahållandet är till nytta för brottsbekämpningen. Punkten omfattar utlämnande inom ramen för myndighetsöverskridande samverkan mot brott. Sådan samverkan kan t.ex. ske vid arbetet i ett regionalt underrättelsecentrum (RUC). Utlämnande vid arbetet i ett sådant underrättelsecentrum kan ibland ske med stöd av lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. Den gäller vid viss särskilt beslutad samverkan mellan myndigheterna och innehåller bestämmelser om uppgiftsskyldighet. Annat samarbete inom RUC kan dock komma att ske med stöd av första stycket punkten 5 b. En sedvanlig sekretessprövning krävs också innan uppgifter kan lämnas ut till andra myndigheter.

Av andra stycket framgår att personuppgifter får behandlas om det är nödvändigt för att tillhandahålla information till riksdagen eller regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra. Med andra avses såväl myndigheter som enskilda.

Exempel på uppgiftsskyldighet gentemot en annan myndighet finns i 13 kap. 6 § regeringsformen och 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. där det föreskrivs skyldighet att tillhandahålla Riksdagens ombudsmän respektive Riksrevisionen begärda upplysningar. Vidare omfattas en myndighets skyldighet enligt 6 kap. 5 § offentlighets- och sekretesslagen att på begäran av en annan myndighet lämna ut uppgift som den förfogar över, i den mån hinder inte möter på

grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång.

I tredje stycket tydliggörs att de sekundära ändamålen inte är uttömmande. För att en uppgift ska få vidarebehandlas för något annat ändamål än de som anges i första och andra styckena måste det emellertid i det enskilda fallet göras en bedömning att det nya ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Liknande bestämmelser om sekundära ändamål finns i 2 kap. 8 § polisdatalagen och 3 kap. 3 § kustbevakningsdatalagen.

7 §

Paragrafen reglerar behandling av personuppgifter i två särskilt angivna fall och gäller oavsett om förutsättningarna för behandling enligt 5 eller 6 § är för handen. Övervägandena finns i avsnitt 10.4.

Enligt punkten 1 får personuppgifter alltid behandlas om behandlingen är nödvändig för diarieföring. Vilka uppgifter som måste noteras i samband med diarieföring av en handling framgår av 5 kap. 2 § offentlighets- och sekretesslagen. Vid diarieföring av inkomna handlingar får således alltid anges vem handlingen har kommit från och i korthet vad handlingen rör. Någon annan behandling än sådan som är nödvändig för diarieföringen får emellertid inte utföras med stöd av första punkten. Den fortsatta behandlingen ska således – utom i fall där andra punkten i denna paragraf blir tillämplig – alltid ha stöd i någon av lagens andra ändamålsbestämmelser.

Vidare får, enligt punkten 2, personuppgifter alltid behandlas om de har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Uttrycket ”anmälan eller liknande” innefattar alla slag av framställningar till Tullverket. Oftast ryms framställningar av detta slag inom de i 5 § angivna ändamålen och ska då behandlas med stöd av den paragrafen, men i vissa fall kan innehållet i framställan vara sådant att behovsrekvisitet i 5 § inte är uppfyllt. Eftersom en framställan vanligtvis kräver något slag av handläggning hos myndigheten, har det ansetts nödvändigt med en särskild bestämmelse för behandling av personuppgifter i dessa fall. Behandlingen måste vara ”nödvändig för handläggningen”. Det kan i ett enskilt fall innebära att personuppgifter i ett e-postmeddelande inte får behandlas på annat sätt än att uppgifterna tas emot och därefter omedelbart arkiveras eller gallras. I ett annat fall kan bestämmelsen innebära att personuppgifterna också får behandlas i samband med att framställan besvaras.

Paragrafen överensstämmer till stor del med 2 kap. 9 § polisdatalagen och 2 kap. 6 § kustbevakningsdatalagen.

Personuppgifter från transportföretag

8 §

Av första stycket i paragrafen framgår att personuppgifter som transportföretag har lämnat till Tullverket enligt bestämmelser i tullagen (2016:253) eller lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot annat land inom Europeiska unionen (kallad inregränslagen) får behandlas i den utsträckning det är tillåtet enligt bestämmelserna i dessa andra lagar. Övervägandena finns i avsnitt 11. Utöver

detta gäller enligt första stycket att behandling enbart får ske i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt.

Av andra stycket framgår att om det behövs i ett enskilt fall får personuppgifter från transportföretag behandlas även för något annat ändamål som anges i 5 § och göras gemensamt tillgängliga.

Bestämmelser med liknande innebörd finns i 13 § och 19 § tredje stycket lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

9 §

Paragrafen reglerar hur Tullverket får söka i uppgifter som har inhämtats från transportföretag. Övervägandena finns i avsnitt 11.

Paragrafen innebär att direkta personuppgifter om bara vissa uppräknade personer får användas som sökbegrepp. För sökning i personuppgifter som har gjorts gemensamt tillgängliga gäller i stället bestämmelserna i 3 kap. 5–7 §§ om sökning.

En bestämmelse om sökbegränsningar som omfattar detta slag av uppgifter finns i 21 § första stycket lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Känsliga personuppgifter

10 §

Paragrafen anger i vilken utsträckning känsliga personuppgifter får behandlas i Tullverkets brottsbekämpande verksamhet. Övervägandena finns i avsnitt 12.

Enligt första stycket får personuppgifter inte behandlas enbart på grund av vad som är känt om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Det är således inte tillåtet att föra register över eller på annat sätt göra anteckningar om enskilda enbart på den grunden att de utifrån ras, etniskt ursprung eller något annat i paragrafen angivet förhållande kan hänföras till en viss kategori av människor.

En uppgift om utseende utgör normalt inte en sådan personuppgift som avses i första stycket och den får alltså behandlas, med den begränsning som följer av tredje stycket. Om en sådan uppgift samtidigt innefattar uppgift om t.ex. etniskt ursprung, omfattas den dock av förbudet.

Bestämmelsen i första stycket hindrar inte att uppgifter om en persons nationalitet behandlas, eftersom en sådan uppgift normalt inte ger upplysning om etniskt ursprung. Uppgifter om att en viss person närmast kommer från en viss världsdel eller ett visst land faller också som regel utanför förbudet mot behandling av känsliga personuppgifter. Skulle emellertid en sådan uppgift i det enskilda fallet t.ex. avslöja etniskt ursprung faller den in under förbudet.

Andra stycket innehåller två undantag från huvudregeln. För det första får uppgifter om en person som behandlas på annan grund kompletteras med sådana uppgifter som avses i första stycket, om det är absolut nödvändigt för syftet med behandlingen. Bestämmelsen innebär att om andra uppgifter om en person samlas in i samband med t.ex. en förundersökning får dessa kompletteras med uppgifter om religiös övertygelse

eller etniskt ursprung om det är av avgörande betydelse för utredningen. Med hänsyn till den restriktivitet som ligger i begreppet ”absolut nödvändigt” måste dock behovet av att göra sådana kompletteringar prövas noga i det enskilda ärendet. Det kan bl.a. handla om känsliga personuppgifter som är av avgörande betydelse för utredningen. Känsliga personuppgifter kan också förekomma i förundersökningar på grund av att någon under ett förhör har lämnat en sådan uppgift eller i en inlaga nämnt uppgiften. Det kan vara fråga om helt grundlösa påståenden. Eftersom Tullverket inte kan hindra någon från att yttra sig vare sig muntligen eller skriftligen kan känsliga personuppgifter på detta sätt komma att ingå i en förundersökning. Om det nedtecknade förhöret eller den inkomna handlingen ingår i förundersökningen omfattas behandlingen av den känsliga personuppgiften även i dessa fall av undantaget i andra stycket.

För det andra får känsliga personuppgifter alltid behandlas i de fall som avses i 7 §, dvs. om det är nödvändigt för diarieföring eller, i fråga om uppgifter i en anmälan eller liknande, om det är nödvändigt för handläggningen. Det innebär bl.a. att det är möjligt för Tullverket att ta emot och besvara anmälningar och liknande skrifter som lämnas i elektronisk form även om dessa innehåller känsliga personuppgifter.

I tredje stycket föreskrivs att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Syftet med bestämmelsen är att förhindra att personers utseende beskrivs i ordalag som kan vara kränkande för individen.

Paragrafen överensstämmer med 2 kap. 10 § polisdatalagen och 2 kap. 7 § kustbevakningsdatalagen och i sak med 11 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Tillgången till personuppgifter

11 §

Bestämmelsen reglerar den interna tillgången till personuppgifter i Tullverkets brottsbekämpande verksamhet. Övervägandena finns i avsnitt 9.5.

I Tullverkets brottsbekämpande verksamhet förekommer en betydande mängd uppgifter. Till stor del är dessa av integritetskänsligt slag och ska inte spridas till någon som inte är behörig att ta del av uppgifterna. I första stycket slås därför fast att tillgången till personuppgifter i den brottsbekämpande verksamheten ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Bestämmelsen riktar sig inte bara till de tjänstemän som är engagerade i den dagliga verksamheten. Den måste också beaktas av dem som ansvarar för utformningen av nya datasystem liksom av dem som avgör vilken tillgång till personuppgifter respektive tjänsteman behöver för att kunna fullgöra sina uppgifter.

I andra stycket finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela närmare föreskrifter om förutsättningarna för tillgången till personuppgifter. Detaljbestämmelser kan således utformas så att tillgången till personuppgifter begränsas till vad som är nödvändigt för verksamhetens bedrivande.

Paragrafen överensstämmer i sak med 2 kap. 11 § polisdatalagen och 2 kap. 3 § kustbevakningsdatalagen. En liknande bestämmelse finns även i 4 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Utlämnande av uppgifter och uppgiftsskyldighet

12 §

Paragrafen innehåller sekretessbrytande bestämmelser om utlämnande till utländska myndigheter och mellanfolkliga organisationer. Bestämmelsen är i första hand avsedd för sådant internationellt samarbete som inte omfattas av lagen om internationellt tullsamarbete. Övervägandena finns i avsnitt 15.5.6.

En förutsättning för att personuppgifter ska få lämnas ut är att den behandling av uppgifter som utlämnandet innebär är tillåten. Inom ramen för de allmänna ändamålen för behandling av personuppgifter i 5 § 1 och 2 kan det i vissa fall finnas anledning att föra över uppgifter till en utländsk myndighet. Ett exempel är när en svensk myndighet i en svensk brottsutredning begär rättsligt bistånd från en utländsk myndighet eller när en svensk myndighet aktualiserar en fråga om överförande av lagföring till utlandet. Av 5 § 3 framgår att personuppgifter får behandlas för att fullgöra de förpliktelser som följer av internationella åtaganden (se kommentaren till den paragrafen). Även i sådana fall blir det ofta aktuellt att lämna information till en utländsk myndighet. Vidare innehåller 6 § en bestämmelse om att personuppgifter som behandlas enligt 5 § också får behandlas för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation (första stycket 2). De nu angivna bestämmelserna sätter gränserna för när behandling som har till ändamål att överföra information till en utländsk myndighet eller organisation över huvud taget får förekomma.

För att utlämnande ska få ske krävs därutöver att det inte på grund av sekretess finns hinder mot att lämna över uppgifterna till den utländska mottagaren, vilket nu aktuell paragraf tar sikte på. För många av de personuppgifter som förekommer i Tullverkets brottsbekämpande verksamhet gäller sekretess, såväl till skydd för intresset av att förebygga och beivra brott som till skydd för enskilds ekonomiska eller personliga förhållanden. Enligt 8 kap. 3 § offentlighets- och sekretesslagen får en sekretessbelagd uppgift inte röjas för en utländsk myndighet eller en mellanfolklig organisation annat än om utlämnandet sker i enlighet med en särskild föreskrift om detta i lag eller förordning eller om uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndigheten står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen. I vissa fall kan en utlämnandeprövning enligt nämnda paragraf vara komplicerad. I paragrafen anges därför vissa mera preciserade fall där uppgifter får lämnas ut till en utländsk mottagare, trots att det gäller sekretess för uppgiften.

Enligt första stycket får uppgifter, om det är förenligt med svenska intressen, lämnas till Interpol eller Europol, eller till en polis- eller åklagarmyndighet i en stat som är ansluten till Interpol eller till en

tullmyndighet eller kustbevakning inom Europeiska ekonomiska samarbetsområdet (EES).

Enligt andra stycket får utlämnande ske om det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Bestämmelsen ger utrymme för svenska myndigheter att lämna ut uppgifter såväl på begäran som utan föregående framställning. Regleringen medger dock inte att information lämnas t.ex. till en utländsk myndighet enbart för fiskala ändamål.

I tredje stycket föreskrivs att personuppgifter får lämnas ut till en utländsk myndighet eller en mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Bestämmelsen är tillämplig när den internationella överenskommelsen ålägger Sverige att lämna ut vissa slag av uppgifter. Däremot gäller den inte för överenskommelser där det enbart sägs att utlämnande får ske. I sådana fall kan bestämmelserna i första och andra styckena vara tillämpliga eller också kan en prövning göras enligt 8 kap. 3 § 2 offentlighets- och sekretesslagen.

Oavsett vilken bestämmelse som tillämpas som stöd för utlämnandet måste den utlämnande myndigheten försäkra sig om att villkoren i 3335 §§personuppgiftslagen är uppfyllda (se 2 § första stycket 8).

Paragrafen överensstämmer till stor del med 2 kap. 15 § polisdatalagen och 3 kap. 6 § kustbevakningsdatalagen.

13 §

Paragrafen innehåller en bestämmelse som bryter viss sekretess som annars skulle ha gällt gentemot andra myndigheter med brottsbekämpande verksamhet. Övervägandena finns i avsnitt 15.5.4.

I paragrafen regleras rätten för andra myndigheter med brottsbekämpande verksamhet att utan hinder av viss i paragrafen angiven sekretess till skydd för enskild, i den brottsbekämpande verksamheten få del av personuppgifter som har gjorts gemensamt tillgängliga inom Tullverkets brottsbekämpande verksamhet. Paragrafen har utformats som en uppgiftsskyldighet, jfr propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 331). För att uppgifter ska få lämnas ut krävs att det finns ett behov av uppgifterna i den brottsbekämpande verksamheten hos den mottagande myndigheten. Eftersom bestämmelsen ska kunna tillämpas vid direktåtkomst får bedömningen göras utifrån respektive myndighets brottsbekämpande uppgifter och med utgångspunkt i det behov av uppgifterna som myndigheten typiskt sett har, se prop. 2009/10:85 s. 192 f. Det är den utlämnande myndigheten som ytterst avgör om den andra myndigheten behöver uppgifterna.

Bestämmelser med motsvarande innehåll finns i 2 kap. 16 § första stycket polisdatalagen och 3 kap. 7 § kustbevakningsdatalagen.

14 §

Paragrafen innehåller upplysningsbestämmelser. Övervägandena finns i avsnitt 15.5.4.

I första stycket finns en upplysning om att regeringen har möjlighet att meddela föreskrifter om att personuppgifter får lämnas ut även i andra fall än som anges i 12 och 13 §§. Det kan vara aktuellt om det t.ex. finns

behov av att lämna ut personuppgifter till en annan utländsk myndighet med brottsbekämpande uppgifter än de som anges i 12 §.

I andra stycket erinras om att det i offentlighets- och sekretesslagen finns bestämmelser om utlämnande som gäller utöver vad som anges i lagen. Utlämnande kan exempelvis ske med stöd av generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen. En annan sådan bestämmelse, som rör utlämnande till utländska myndigheter eller mellanfolkliga organisationer, finns i 8 kap. 3 § 2 offentlighets- och sekretesslagen.

Paragrafen överensstämmer i sak med 2 kap. 19 § polisdatalagen och 3 kap. 8 § kustbevakningsdatalagen.

15 §

Enligt paragrafen ska personuppgifter som är nödvändiga för att framställa rättsstatistik lämnas till den myndighet som ansvarar för framställandet av sådan statistik. Övervägandena finns i avsnitt 15.5.5.

Bestämmelsen bryter den sekretess som kan gälla för personuppgifterna. Av förordningen (2001:100) om den officiella statistiken framgår att Brottsförebyggande rådet är statistikansvarig myndighet på rättsväsendets område, med undantag för domstolarnas verksamhet.

Paragrafen har förts över oförändrad från 24 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och överensstämmer med 2 kap. 14 § polisdatalagen.

Elektroniskt utlämnande

16 §

Paragrafen reglerar under vilka förutsättningar personuppgifter får lämnas ut på medium för automatiserad behandling, t.ex. i ett e-postmeddelande eller på ett USB-minne. Bestämmelsen har inte någon sekretessbrytande verkan. Övervägandena finns i avsnitt 13.1.

Bestämmelsen innebär att en större mängd personuppgifter, t.ex. ett helt register eller delar av ett register, inte får lämnas ut på medium för automatiserad behandling, såvida inte regeringen har meddelat föreskrifter om detta. Däremot kan, enligt första stycket, enstaka uppgifter lämnas ut på det sättet. Ordet enstaka används här med en annan innebörd än i vanligt språkbruk. När personuppgifter förekommer i en eller ett fåtal handlingar är bestämmelsen inte avsedd att utgöra ett hinder mot att handlingarna lämnas ut genom t.ex. ett e-postmeddelande. Det förhållandet att en handling, t.ex. en lista över telefonnummer, innehåller ett större antal personuppgifter hindrar inte att handlingen lämnas ut med stöd av paragrafen. Bestämmelsen är också avsedd att ge stöd för utlämnande av t.ex. ett ärende eller delar av ett ärende där personuppgifter förekommer (jfr prop. 2009/10:85 s. 333).

Av andra stycket följer att regeringen har möjlighet att meddela föreskrifter om utlämnande på medium för automatiserad behandling av större uppgiftsmängder, t.ex. mellan myndigheter.

Paragrafen har förts över i sak oförändrad från 25 § lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och överensstämmer i sak med 2 kap. 20 § polisdatalagen och 2 kap. 8 § kustbevakningsdatalagen.

17 §

Paragrafen anger i vilken utsträckning utlämnande genom direktåtkomst är tillåten. Övervägandena finns i avsnitt 13.2.

Den grundläggande innebörden av begreppet direktåtkomst är att någon har direkt tillgång till register, databaser eller andra samlingar av uppgifter som behandlas automatiserat och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i uppgiftssamlingen. I begreppet direktåtkomst ligger också att den som är ansvarig för uppgiftssamlingen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Om någon har direktåtkomst till samtliga uppgifter i en myndighets register, kan denne alltså själv välja vilka uppgifter han eller hon vill ta del av vid ett visst tillfälle, utan att myndigheten först fattar ett beslut om att just dessa uppgifter ska lämnas ut. Bestämmelserna om direktåtkomst har inte någon sekretessbrytande verkan.

I första stycket görs klart att direktåtkomst bara får förekomma i den utsträckning som följer av lagen. Det innebär bl.a. att det ska framgå av lagen om och i vilken utsträckning bestämmelser om direktåtkomst får meddelas på lägre normgivningsnivå.

I andra stycket upplyses om den bestämmelse i lagen som reglerar direktåtkomst.

Paragrafen överensstämmer med 2 kap. 9 § kustbevakningsdatalagen och till stor del med 2 kap. 21 § första stycket polisdatalagen.

3 kap. Gemensamt tillgängliga uppgifter

1 §

Lagen bygger på en uppdelning mellan å ena sidan behandling av ”gemensamt tillgängliga uppgifter” eller behandling som innebär att uppgifter blir gemensamt tillgängliga och å andra sidan annan behandling av personuppgifter. Övervägandena finns i avsnitt 14.1.

Paragrafens första stycke innehåller en beskrivning av vad som i lagen avses med uttrycket gemensamt tillgängliga uppgifter och anger att 3 kap. gäller vid behandling av personuppgifter av detta slag.

Avgörande för bedömningen av om personuppgifter är att anse som gemensamt tillgängliga eller inte är om uppgifterna är åtkomliga för en bestämd och begränsad personkrets. Om avsikten är att uppgifterna ska vara åtkomliga för en i förväg obestämd krets av anställda inom Tullverket, får uppgifterna alltid anses vara gemensamt tillgängliga. Att olika personalkategorier kan ha olika behörighet, och att en uppgift därför i praktiken vid en viss tidpunkt är åtkomlig enbart för ett begränsat antal personer, innebär alltså inte att uppgiften inte kan anses vara gemensamt tillgänglig. Uppgifter som en annan brottsbekämpande myndighet har tillgång till genom direktåtkomst är alltid gemensamt tillgängliga, se kommentaren till 8 §.

Om uppgifterna lagras på ett sådant sätt att endast en viss person har tillgång till dem, kan uppgifterna normalt inte anses gemensamt tillgängliga. Personuppgifter som lagras elektroniskt på hårddisken i en dator eller en server i samband med att en enskild tjänsteman arbetar med ordbehandling och som är åtkomliga endast för tjänstemannen själv (och för systemadministratören) kan alltså inte anses vara gemensamt tillgäng-

liga. Detsamma gäller digitala upptagningar av bild eller ljud, om endast den som samlar in uppgifterna har tillgång till dessa. I sådana fall är bestämmelserna i 3 kap. inte tillämpliga. Detta gäller även om syftet är att uppgifterna senare ska lagras så att andra får tillgång till dem. Det är alltså först när insamlade uppgifter görs tillgängliga för fler än ett fåtal personer i den brottsbekämpande verksamheten som bestämmelserna i 3 kap. ska tillämpas. En annan sak är att den som samlar in uppgifter, som kan antas bli gemensamt tillgängliga vid en senare tidpunkt, redan vid insamlingstillfället bör beakta de särskilda regler som gäller för behandling av gemensamt tillgängliga personuppgifter för att inte försvåra den fortsatta behandlingen.

I vad mån uppgifter som är tillgängliga enbart för en bestämd krets av personer är att anse som gemensamt tillgängliga får bedömas med hänsyn till främst hur många personer som har tillgång till uppgifterna. Enbart det förhållandet att fler än en person har tillgång till uppgifterna innebär inte att uppgifterna ska anses gemensamt tillgängliga. Behandlingar som sker exempelvis inom ramen för särskilda underrättelseprojekt i vilka endast vissa utpekade tjänstemän deltar kan alltså falla utanför regleringen i 3 kap. Om antalet tjänstemän i en sådan grupp uppgår till fler än ett fåtal, måste dock de personuppgifter som behandlas inom gruppen, trots att den är avgränsad, anses vara gemensamt tillgängliga. Var gränsen går får bedömas med hänsyn till samtliga omständigheter i ett enskilt fall, men en tumregel kan vara att uppgifterna är att anse som gemensamt tillgängliga om antalet deltagare i gruppen överstiger ett tiotal.

Även den tid under vilken uppgifter avses bli behandlade kan ha betydelse för frågan om uppgifterna ska anses vara gemensamt tillgängliga eller inte. I projekt med längre varaktighet måste man räkna med att de personer som sysslar med projektet med tiden kommer att bytas ut. Som en följd av detta kommer de uppgifter som behandlas att bli tillgängliga för ett större antal personer än vad som motsvarar det normala antalet deltagare i projektet. Mot den bakgrunden kan uppgifter som behandlas i långsiktiga projekt ibland anses vara gemensamt tillgängliga, trots att antalet deltagare vid varje givet tillfälle är begränsat till en mindre grupp av personer.

När det gäller frågan om huruvida en uppgift är gemensamt tillgänglig eller inte är det viktigt att framhålla att karaktären av en uppgift kan förändras under den tid som den behandlas. Uppgifter som från början har betraktats som icke gemensamt tillgängliga kan göras gemensamt tillgängliga. Det kan t.ex. bli nödvändigt att göra viss underrättelseinformation tillgänglig för tjänstemän utanför det aktuella underrättelseprojektet. När så har skett ska de strängare bestämmelserna om behandling av gemensamt tillgängliga uppgifter tillämpas.

Av andra stycket framgår att bestämmelserna i 3 kap. inte gäller när personuppgifter behandlas med stöd av bestämmelsen i 2 kap. 7 § om diarieföring m.m. I kommentaren till den paragrafen utvecklas närmare vilken behandling av personuppgifter som får utföras med stöd av den.

En bestämmelse med motsvarande innehåll finns i 3 kap. 1 § polisdatalagen. En definition av gemensamt tillgängliga uppgifter med motsvarande innebörd finns i 1 kap. 4 § kustbevakningsdatalagen.

Personuppgifter som får göras gemensamt tillgängliga

2 §

Paragrafens första stycke innehåller en uppräkning av de slag av personuppgifter som får göras gemensamt tillgängliga. Övervägandena finns i avsnitt 14.2.

När personuppgifter görs gemensamt tillgängliga innebär det, typiskt sett, ökade risker för intrång i den personliga integriteten. Uppräkningen är därför uttömmande och det är alltså inte tillåtet att göra personuppgifter gemensamt tillgängliga i andra fall. Se dock 2 kap. 8 §.

I punkten 1, som har berörts närmare i avsnitt 14.2.1, nämns personuppgifter ”som kan antas ha samband med misstänkt brottslig verksamhet”. Bestämmelsen ger möjlighet att göra personuppgifter i arbete med att förebygga, förhindra och upptäcka brottslig verksamhet gemensamt tillgängliga. Rekvisiten i bestämmelsen innebär att det måste finnas en misstanke om att sådan brottslig verksamhet som avses 2 kap. 5 § 1 har utövats eller kommer att utövas. Den brottsliga verksamheten måste vara på visst sätt kvalificerad. Huvudregeln är att misstanken ska innefatta brott för vilket det är föreskrivet fängelse i ett år eller däröver. Tullbrott och smugglingsbrott, både grova brott och brott av normalgraden, omfattas av bestämmelsen. Även brotten olovlig förflyttning av punktskattepliktiga varor och olovlig befattning med punktskattepliktiga varor enligt 5 kap. 1 § och 1 a § lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter omfattas. Även om den brottsliga verksamheten inte innefattar brott med en sådan straffskala får personuppgifter som kan antas ha samband med den brottsliga verksamheten göras gemensamt tillgängliga, om det kan antas att verksamheten sker systematiskt. Med ”verksamhet som sker systematiskt” avses detsamma som i 12 § första stycket 1 a i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. I förarbetena till den bestämmelsen nämns bl.a. som exempel en person som för in en mindre mängd cigaretter vilka hade fått införas om de var avsedda för privat bruk. Personen i fråga gör dock så frekventa resor att den totala mängden infört gods ger anledning att anta att det inte är för privat bruk utan för återförsäljning, s.k. myrtrafik (prop. 2004/05:164 s. 71 f.). Ett liknande exempel ges i fråga om kurirer som smugglar små mängder narkotika.

Att personuppgifterna ”kan antas ha samband” med den brottsliga verksamheten innebär att de ska kunna antas ha någon direkt eller indirekt koppling till den brottsliga verksamheten. Det kan vara fråga om uppgifter om en misstänkt, ett vittne eller någon annan person som har en anknytning till brottsligheten. En anhörig till en misstänkt kan ha en sådan anknytning, t.ex. om den misstänkte regelmässigt uppehåller sig hos personen i fråga under den tid som den brottsliga verksamheten misstänks bedrivas. Det kan också vara fråga om indirekta personuppgifter, t.ex. adressuppgifter eller uppgifter om transportmedel eller andra föremål.

Det följer av 2 kap. 5 § 1 att uppgifterna alltid ska behövas i arbetet med att förebygga, förhindra eller upptäcka den brottsliga verksamheten.

Punkten 2, som har berörts närmare i avsnitt 14.2.2, avser personuppgifter som behövs för övervakningen av vissa personer som kan antas

komma att begå brott med två års fängelse eller däröver i straffskalan. Som inledande förutsättning gäller att det ska finnas ett behov av uppgifterna. Bestämmelsen anknyter till den särskilda bevakning av grovt kriminella s.k. målpersoner som Tullverket redan bedriver. Den får sannolikt sin främsta betydelse i fråga om personer som bedöms mer eller mindre livnära sig på allvarlig brottslig verksamhet, t.ex. organiserad brottslighet i form av grov eller synnerligen grov narkotikasmuggling eller omfattande cigarettsmuggling. Bedömningen av om en person kan antas komma att begå brott får i första hand göras på grund av tidigare domar. Även pågående brottsutredningar och underrättelseuppgifter kan beaktas. Enbart det faktum att en person kan antas vara brottsbenägen räcker dock inte för att uppgifter om honom eller henne ska få göras gemensamt tillgängliga. Därutöver krävs dessutom att personens tidigare brottslighet är av allvarligt slag – varvid ett riktmärke kan vara att den bedömts ha ett straffvärde på minst två års fängelse. Dessa domar behöver inte avse brott som Tullverket har att ingripa mot utan kan även avse annan allvarlig och i sammanhanget relevant brottslighet t.ex. narkotikabrott eller vapenbrott av tillräcklig allvarlighetsgrad.

Med stöd av punkten 2 får också mera allmänna uppgifter om den övervakade personen göras gemensamt tillgängliga. Det behöver alltså inte – till skillnad från vad som gäller enligt punkten 1 – finnas något antaget samband mellan personuppgiften och viss brottslig verksamhet. Det finns därför ett större utrymme att behandla uppgifter om anhöriga, bekanta m.fl. enligt denna punkt. Uppgifterna måste dock alltid vara relevanta för övervakningen och – som följer av 2 kap. 5 § 1 – nödvändiga för att förebygga, förhindra eller upptäcka brottslig verksamhet.

Av punkten 3, som har berörts närmare i avsnitt 14.2.3, framgår att personuppgifter som ingår i ett ärende om utredning eller beivrande av brott alltid får göras gemensamt tillgängliga. Det handlar här om personuppgifter som behandlas med stöd av 2 kap. 5 § 2.

Punkten 4, som har berörts närmare i avsnitt 14.2.4, innebär att det är tillåtet att göra sådana uppgifter gemensamt tillgängliga som behövs för att fullgöra internationella åtaganden, under förutsättning att det krävs att uppgifterna görs gemensamt tillgängliga för att fullgöra dessa. Om utländska uppgifter föranleder en svensk brottsutredning eller ett svenskt underrättelseprojekt, behandlas uppgifterna med stöd av de primära ändamålen i 2 kap. 5 § 1 eller 2 och kan då göras gemensamt tillgängliga på samma sätt som andra uppgifter som förekommer i ett sådant ärende.

När brottsbekämpande myndigheter i Sverige bedriver brottsutredningar tillsammans med sina motsvarigheter i andra länder eller när man i flera länder bedriver parallella brottsutredningar eller samlar underrättelseinformation om samma brottslighet, t.ex. narkotikasmuggling, kan det också finnas ett behov av att göra uppgifterna gemensamt tillgängliga.

Uppgifterna får alltså göras gemensamt tillgängliga enbart i den utsträckning det krävs för att fullgöra den internationella förpliktelsen. Det finns situationer där uppgifter behandlas inom ramen för internationellt samarbete utan att det finns något behov av att göra uppgifterna gemensamt tillgängliga. Så kan t.ex. vara fallet vid rättslig hjälp, då det ofta förekommer direktkommunikation mellan myndigheterna i olika länder. I fall där den rättsliga hjälpen rör en viss bestämd fråga i ett

enskilt ärende, torde det normalt inte finnas något behov av att göra de behandlade personuppgifterna gemensamt tillgängliga.

Enligt punkten 5, som har berörts närmare i avsnitt 14.2.5, får även uppgifter som har rapporterats till Tullverkets kommunikationscentral göras gemensamt tillgängliga.

I andra stycket kompletteras den allmänna begränsningsregeln i 2 kap. 11 § med en bestämmelse som särskilt begränsar tillgången till uppgifter som behandlas för att underlätta övervakningen av grovt kriminella personer enligt 2 § första stycket 2, till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Tillgången till uppgifter behöver däremot inte begränsas till tjänstemän vid en viss myndighet. Vid varje myndighet ska det dock i förväg bestämmas vilka tjänstemän som ska ha tillgång till uppgifterna och ha möjlighet att behandla dem. I andra meningen görs ett undantag från begränsningsregeln. Information om att en person är övervakad med stöd av aktuell bestämmelse får spridas till andra. Även här gäller dock den allmänna begränsningen att mottagaren måste ha behov av uppgiften för sitt arbete. Övervägandena finns i avsnitt 14.2.2.

Paragrafen överensstämmer till stor del med 3 kap. 2 § polisdatalagen och 4 kap. 1 § kustbevakningsdatalagen.

Särskilda upplysningar

3 §

I paragrafen ställs krav på att de närmare ändamålen med behandlingen ska framgå. Övervägandena finns i avsnitt 14.3.

Enligt första meningen ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas. Till att börja med måste ges information om huruvida uppgiften behandlas enligt 2 kap. 5 § 1, 2 eller 3. Härutöver måste upplysning lämnas om för vilket närmare slag av brott eller brottslig verksamhet som behandlingen sker.

I andra meningen föreskrivs att om uppgifter har gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2, så ska detta särskilt framgå. Det ska således framgå om en personuppgift har gjorts gemensamt tillgänglig som ett led i övervakningen av en allvarligt kriminellt belastad person.

De aktuella förhållandena ska framgå genom en särskild upplysning eller på något annat sätt. Detta innebär att en särskild upplysning endast behövs i de fall där förhållandet inte redan framgår av omständigheterna. Ofta framgår det av omständigheterna för vilket närmare ändamål behandlingen sker. En personuppgift som t.ex. behandlas i ett register över övervakade grovt kriminella personer (2 § första stycket 2) behöver därför vanligen inte kompletteras med någon särskild upplysning, vare sig enligt första eller andra meningen. Om uppgiften förekommer i en förundersökning behövs det inte heller någon särskild upplysning. På motsvarande sätt behövs det normalt inte någon särskild upplysning beträffande uppgifter som behandlas i ett avgränsat underrättelseprojekt, t.ex. en särskild undersökning, om detta har ett tydligt definierat ändamål.

Vid behandling av uppgifter i bild- eller ljudupptagningar eller i löpande text framgår det också i regel klart av sammanhanget varför uppgifterna behandlas. Varje enskild uppgift kan i sådana fall av praktiska skäl inte förses med en särskild upplysning för vilket ändamål personuppgiftsbehandlingen sker. Detta framgår i stället ofta av sammanhanget. Upptagningen, textfilen eller textavsnittet ska dock förses med en särskild upplysning om ändamålet, om detta inte framgår på något annat sätt.

Paragrafen överensstämmer till stor del med 3 kap. 3 § polisdatalagen och med 4 kap. 2 § kustbevakningsdatalagen.

4 §

I paragrafen ställs krav på att det vid behandling av uppgifter som görs eller har gjorts gemensamt tillgängliga ska framgå om en uppgift avser en person som inte är misstänkt. Vidare ställs krav på att viss information ska värderas och förses med en särskild upplysning om resultatet av värderingen. Övervägandena finns i avsnitt 14.3.

Bestämmelserna avser endast direkta personuppgifter. Om den person som uppgiften avser inte är misstänkt vare sig för något brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, framgår av första stycket att detta förhållande ska framgå genom en särskild upplysning eller på något annat sätt. Kravet gäller endast om det inte finns några som helst misstankar mot den aktuella personen. Förekomme