SOU 1999:105
Skatt - Tull - Exekution - Normer för behandling av personuppgifter
Till statsrådet och chefen för Finansdepartementet
Regeringen beslutade den 22 januari 1998 att tillkalla en särskild utredare för att göra en översyn av de författningar som reglerar register inom skatteförvaltningen och exekutionsväsendet samt tullregisterlagen (1990:173). Utredaren skulle också gå igenom de register som inte är författningsreglerade och föreslå en författningsreglering i de fall det bedöms ändamålsenligt. Översynen skulle göras med utgångspunkt i den då föreslagna personuppgiftslagen och EU:s dataskyddsdirektiv.
Den 30 januari 1998 förordnade statsrådet Thomas Östros kammarrättslagmannen Sten Wahlqvist att fr.o.m. den 22 januari 1998 vara särskild utredare.
Som experter har fr.o.m. den 1 mars 1998 medverkat verksjuristen Ulla Ahlqvist, verksjuristen Johan Bålman, överdirektören Claes Gränström, lagmannen Magnus Ekman, kammarrättsassessorn Roger Petersson, kammarrättsassessorn Birgitta Pettersson, kammarrättsassessorn Rickard Sahlsten och byrådirektören Olle Svenson. Kanslirådet Frank Walterson har medverkat som expert fr.o.m. den 28 september 1998.
Sekreterare åt utredningen har varit kammarrättsassessorn Peder Liljeqvist.
Utredningen har antagit namnet Registerförfattningsutredningen (Fi 1998:02).
Härmed överlämnar utredningen sitt betänkande Skatt ž Tull ž Exekution ž Normer för behandling av personuppgifter (SOU 1999:105).
Arbetet har bedrivits i nära samråd med experterna, som står bakom de förslag som läggs fram. Betänkandet är därför skrivet i viform.
Utredningens arbete är härmed avslutat.
Sammanfattning
Några allmänna utgångspunkter för uppdraget
Den 24 oktober 1998 trädde personuppgiftslagen (1998:204) i kraft. Samtidigt upphörde datalagen (1973:289) att gälla. Personuppgiftslagen har sin utgångspunkt från Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Vi har haft i uppdrag att med utgångspunkt från personuppgiftslagen och dataskyddsdirektivet, göra en översyn av de författningar som reglerar register inom skatteförvaltningen och exekutionsväsendet samt hos Tullverket. Översynen har inte omfattat register som förs i brottsbekämpande verksamhet. I uppdraget har ingått att även gå igenom de register som inte är författningsreglerade, utan som förs med stöd av tillstånd av Datainspektionen.
Vårt arbete har bedrivits från vissa givna utgångspunkter. En utgångspunkt för utredningsarbetet har varit att skapa enkla och lättbegripliga regler som är anpassade efter den tekniska utvecklingen och därvid beakta statistikens och forskningens behov. En annan utgångspunkt har varit att anpassa regleringen så att den tillgodoser det generella behovet av datorstöd i myndigheternas ärendehantering.
Vi har även haft att utreda vissa frågor särskilt. Bland dessa kan nämnas omfattningen av direktåtkomst till myndigheternas register, omfattningen av och formerna för utlämnande av uppgifter från skatte- och utsökningsregistren, myndigheternas skyldighet att lämna registerutdrag samt arkivering och gallring av ADB-material. I uppdraget har också ingått att överväga om sekretesslagens (1980:100) bestämmelser behöver ändras för att effektivisera skatte- och kronofogdemyndigheternas verksamhet, med hänsyn till den stora skillnad som i dag finns i sekretesskyddet mellan beskattningsverksamheten och den exekutiva verksamheten.
Lagar om behandling av personuppgifter m.m. i skatteförvaltningens, exekutionsväsendets och Tullverkets verksamheter
De senaste decenniernas snabba datorutveckling inom myndighetsområdet visar att den lagstiftning som reglerar användandet av datorstöd måste vara teknikoberoende och flexibel, för att inte hindra den effektivisering av verksamheterna som kontinuerligt pågår. Detta är inte minst påtagligt inom skatteförvaltningen, exekutionsväsendet och hos Tullverket. Det är ofta näst intill omöjligt för lagstiftaren att hålla jämn takt med den tekniska utvecklingen i samhället, något som är särskilt tydligt inom just dataområdet. För att inte hamna i en situation där den tekniska utvecklingen styr den rättsliga regleringen, är det enligt vår mening nödvändigt med en lagstiftning som tar sikte på principiellt viktiga frågor och inte på detaljreglering.
En central fråga som särskilt rör lagstiftningen om behandling av personuppgifter är hänsynen till enskildas personliga integritet. Det är inte möjligt att definiera exakt vad som avses med personlig integritet, något som bekräftas av att varken svensk lagstiftning eller doktrin innehåller någon enhetlig definition. Vissa faktorer är dock särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Dessa faktorer är arten av personuppgifter som samlas in och registreras och varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar. Stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg och som används vid myndighetsutövning, utgör en påtaglig risk för att enskilda personer skall utsättas för icke acceptabla intrång i den personliga sfären. Statliga myndigheters användande av datorer i sina verksamheter kan alltså i sig utgöra ett hot mot den personliga integriteten, något som vi anser måste beaktas vid utformandet av lagstiftningen. En grundläggande utgångspunkt för vårt arbete har därför varit att en författningsreglering, vilken syftar till bl.a. att underlätta myndigheters användande av datorer för att uppnå effektivitetsvinster i olika samhällsfunktioner, inte får utformas så att integritetsskyddet för enskilda urholkas eller försämras på ett oacceptabelt sätt.
Vår målsättning har varit att antalet författningar som reglerar personuppgiftsbehandling skall begränsas så långt det är möjligt. Det finns inte något värde i att dela upp sådana bestämmelser om personuppgiftsbehandling som rör en och samma verksamhet på flera författningar utan att det är sakligt motiverat. Vår målsättning har även varit att bestäm-
melser om behandling av personuppgifter skall bli så enkla som möjligt. Om strävan efter att bringa ned antalet lagar och förordningar drivs för långt, kan emellertid enkelheten riskera att bli eftersatt. En författning som består av ett antal huvudregler och ett betydligt större antal undantag underlättar inte tillgängligheten. Vår ambition har därför varit att begränsa antalet författningar i så stor utsträckning som möjligt, samtidigt som reglerna skall vara lätta att förstå. Den lösning vi har stannat för innebär att det för skatteförvaltningen skall finnas en lag som reglerar beskattningsverksamheten och en annan som reglerar folkbokföringsverksamheten. Den verksamhet som skatteförvaltningen bedriver tillsammans med bl.a. länsstyrelserna i samband med val och folkomröstningar är sådan att den motiverar en särskild lag. För exekutionsväsendet har vi däremot funnit att det finns förutsättningar för en mer enhetlig reglering av olika verksamhetsområden. Vi föreslår därför endast en lag för hela exekutionsväsendets område. I fråga om Tullverket omfattar vårt uppdrag endast ett verksamhetsområde, nämligen det fiskala. Även för den verksamheten föreslår vi en lag.
Lagarnas tillämpningsområde
Vi föreslår att lagstiftningen om behandling av personuppgifter och andra uppgifter skall vara tillämplig endast i den materiella verksamheten inom skatteförvaltningen, exekutionsväsendet och Tullverket. Behandling av uppgifter i administrativ verksamhet skall således inte omfattas av lagstiftningen. Som exempel på administrativa arbetsområden kan nämnas personal- och lokalfrågor. Vid behandling av uppgifter inom sådana områden skall i stället personuppgiftslagen tillämpas.
Den föreslagna lagstiftningen om behandling av personuppgifter i skatteförvaltningens beskattningsverksamhet samt exekutionsväsendets och Tullverkets verksamheter skall – till skillnad från personuppgiftslagen – omfatta inte endast behandling av personuppgifter, utan även behandling av uppgifter som kan hänföras endast till juridiska personer eller avlidna personer. Författningarna skall tillämpas på all automatiserad behandling av uppgifter. Det innebär att såväl vanlig ordbehandling som behandling i gemensamma databaser omfattas. På manuell behandling skall författningarna vara tillämpliga endast om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Varje lag delas in i tre kapitel. I det första kapitlet finns allmänna bestämmelser för behandling av uppgifter. Det andra kapitlet innehåller särskilda bestämmelser om behandling i gemensamma databaser. Det avslutande kapitlet i varje lag innehåller bestämmelser om vilka rättigheter
enskilda har med avseende på uppgiftsbehandling i myndighetsverksamheten.
En allmän utgångspunkt har varit att lagarna i huvudsak skall innehålla de grundläggande principerna för behandling av personuppgifter och andra uppgifter i respektive verksamhet. Detaljregler skall inte anges i lag utan i stället meddelas av regeringen eller, i vissa fall, den myndighet som regeringen bestämmer.
Allmänna bestämmelser om behandling av personuppgifter m.m.
Lagarna om behandling av personuppgifter m.m. inleds som nämnts med ett kapitel som innehåller allmänna bestämmelser, av vilka vissa skall tillämpas oavsett i vilken form uppgifter behandlas. För dessa bestämmelsers tilllämplighet saknar det alltså betydelse om uppgifter behandlas manuellt eller om de behandlas på automatiserad väg genom ordbehandling eller i särskilt inrättade gemensamma databaser.
Personuppgifter skall alltid behandlas i enlighet med de grundläggande bestämmelser som finns i personuppgiftslagen. Eftersom särskilda krav ställs på behandling av personuppgifter inom olika verksamhetsområden, kommer emellertid varje författning att innehålla bestämmelser som avviker från personuppgiftslagen. För att undvika oklarheter om i vilka fall personuppgiftslagens regler skall gälla, görs i varje författning en uttrycklig hänvisning till de bestämmelser i personuppgiftslagen som är tillämpliga. Det gäller bestämmelser om definitioner, förhållandet till offentlighetsprincipen, grundläggande krav på behandling, behandling av personnummer, säkerheten vid behandling, överföring av personuppgifter till tredje land, personuppgiftsombudets uppgifter, tillsynsmyndighetens befogenheter samt straff.
De myndigheter som kan komma i fråga som personuppgiftsansvariga vid behandling i de för oss aktuella verksamheterna är Riksskatteverket och Tullverket, de regionala skatte- och kronofogdemyndigheterna samt länsstyrelserna. Det är inte möjligt att för komplexa datasystem inom så stora myndighetsorganisationer som skatteförvaltningen och exekutionsväsendet, i lag närmare bestämma vilken myndighet som bör vara ansvarig för olika specifika behandlingar. Vi anser i stället att personuppgiftsansvaret för dessa myndighetsorganisationer skall utformas så att den myndighet på vilken det ankommer att utföra en viss behandling skall vara ansvarig för just den behandlingen. Det innebär att den myndighet som registrerar en viss uppgift ansvarar för att uppgiften är korrekt, medan en annan myndighet som senare lämnar ut uppgiften ansvarar för att utlämnandet sker i överensstämmelse med de regler som gäller för behandlingen. Tullverket utgör numera en enda myndighet, varför några problem med att fastställa personuppgiftsansvaret inte
uppstår i tullverksamheten. Genom att det i lag anges att personuppgiftsansvaret omfattar vad som ankommer på en myndighet att utföra, markeras att det finns ett ansvar inte endast för att utförd behandling är korrekt, utan även för att behandling faktiskt utförs när den skall ske.
Förutom de ovan nämnda bestämmelserna om förhållandet till personuppgiftslagen och om personuppgiftsansvar, vilka gäller för all behandling, innehåller det inledande kapitlet i respektive lag även en bestämmelse som skall tillämpas vid såväl manuell behandling som sådan automatiserad behandling som inte sker i gemensamma databaser. Bestämmelsen är således tillämplig på bl.a. ordbehandling. Vad som avses är behandling av känsliga personuppgifter m.m. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Med sådana uppgifter likställs i våra författningsförslag personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Att i detalj reglera vilka känsliga uppgifter som får behandlas i verksamheten och i vilka fall detta får ske, är inte möjligt. Det går nämligen inte att förutse de olika situationer som kan uppstå i hanteringen av ärenden. Vi anser emellertid att det av integritetsskäl är nödvändigt att i största möjliga mån begränsa användningen av känsliga personuppgifter. Det bör därför enligt vår mening vara tillåtet att behandla sådana uppgifter endast om de har lämnats i ett ärende eller om behandlingen är nödvändig för handläggningen av ett ärende. Det innebär att användandet av känsliga uppgifter begränsas till sådana tillfällen då en myndighet av handläggningsskäl måste behandla dem.
För behandling som inte sker i gemensamma databaser föreslår vi en särskild gallringsbestämmelse som skall tillämpas i skatteförvaltningens beskattningsverksamhet samt i exekutionsväsendets och Tullverkets verksamheter. Bestämmelsen innebär att uppgifter som är föremål för automatiserad behandling i ett ärende skall gallras senast ett år efter att ärendet har avslutats. Avsikten med den särskilda gallringsbestämmelsen är att förhindra att det hos myndigheterna växer fram omfattande automatiserade informationsmängder (”bra-att-ha-uppgifter”) i vilka uppgifter är lätt tillgängliga genom olika sökprogram. Med den moderna teknik som används i myndighetsverksamheten i dag, är det nämligen vanligt att stora mängder uppgifter lagras elektroniskt även på annat sätt än i särskilt reglerade personregister eller databaser. Exempelvis utarbetas en stor del av det skriftliga material som produceras av myndigheter med hjälp av ordbehandlingsprogram. Även i de fall då slutprodukten skrivs ut på papper och tillfogas akten i ett ärende, sparas informationen ofta genom att lagras elektroniskt. Sådant elektroniskt
material bör inte få lagras under någon längre tid. Regeringen eller den myndighet som regeringen bestämmer skall emellertid få meddela föreskrifter om att uppgifter skall gallras vid en annan tidpunkt eller att uppgifter skall bevaras när det finns behov av det.
Behandling i databaser
Den allmänt använda termen för ADB-baserade uppgiftssamlingar har sedan datalagens införande varit register. Detta traditionella registerbegrepp har vid flera tillfällen kritiserats, eftersom det är otidsenligt. Vi anser att begreppet inte är helt relevant i fråga om elektroniska uppgiftssamlingar som innehåller hela handlingar i ärenden. Begreppet register förekommer därför inte i den av oss föreslagna lagstiftningen om behandling av personuppgifter m.m. hos skatteförvaltningen, exekutionsväsendet och Tullverket. I stället inför vi begreppet databas som en juridisk beteckning på vissa fastställda automatiserade uppgiftssamlingar.
Med begreppet databas avser vi de elektroniskt lagrade uppgifter som av en myndighet eller myndighetsorganisation – t.ex. en skattemyndighet eller hela skatteförvaltningen – används gemensamt i en viss verksamhet. Avgörande för om uppgifterna skall anses använda gemensamt är att de behandlas på ett sätt som medför att uppgifterna utgör ”allmän egendom” i verksamheten. En uppgift som registreras och lagras i ett datasystem på ett sådant sätt att tjänstemännen inom en eller flera myndigheter har möjlighet att vid behov och i olika sammanhang – t.ex. i samband med handläggningen av ett ärende – ta del av uppgiften direkt på automatiserad väg, måste anses vara gemensamt tillgänglig och därmed utgörande en del av en databas. Som exempel kan nämnas att de uppgifter som i dag finns i skatteregister, tillsammans med andra uppgifter som används gemensamt inom skatteförvaltningen, således kommer att ingå i den föreslagna beskattningsdatabasen.
Det är väsentligt att behandlingen i databaser avgränsas genom i lag klart angivna ändamål. En uppgift skall inte få behandlas i en databas om behandlingen inte står i överensstämmelse med ändamålet med databasen. De ändamål som skall styra behandlingen kan delas in i två kategorier, primära respektive sekundära ändamål. Primära ändamål är direkt hänförliga till den verksamhet som bedrivs av personuppgiftsansvariga myndigheter medan sekundära ändamål kan hänföras till andra myndigheters eller enskildas verksamhet. De primära ändamålen bör styra vilka uppgifter som skall få föras in i en databas. För att en uppgift skall få finnas i en myndighets databas, måste uppgiften således vara av betydelse för myndighetens egen verksamhet. Det innebär att det inte skall vara tillåtet att i en databas som inrättas för en viss verksamhet behandla uppgifter som inte behövs för den verksamheten, utan som endast
är till i nytta för någon annan verksamhet. Som ett exempel kan nämnas att det i skatteförvaltningens beskattningsdatabas inte skall få behandlas uppgifter som är avsedda att användas endast i kronofogdemyndigheternas exekutiva verksamhet. Härigenom förhindras att det hos en myndighet växer fram omfattande samlingar av uppgifter som rör förhållanden utan anknytning till den egna verksamheten. En annan sak är att uppgifter som behandlas i beskattningsverksamhet kan användas även av kronofogdemyndigheterna, något som är vanligt förekommande i dag. För att annan än de myndigheter för vilka uppgifter behandlas primärt i en databas skall få tillgång till uppgifter genom direktåtkomst, är det dock enligt vår uppfattning väsentligt från integritetssynpunkt att det står i överensstämmelse med ändamålen med databasen. För att en kronofogdemyndighet i verksamhet med utsökning och indrivning skall få ha direktåtkomst till beskattningsdatabasen, skall således som ett sekundärt ändamål med den databasen anges att uppgifter får behandlas för utsökning och indrivning.
Den lagstiftning som reglerar behandling av personuppgifter m.m. bör som vi nämnt tidigare i huvudsak innehålla grundläggande principer och regler för behandlingen. Detaljbestämmelser om vilka uppgifter som får behandlas bör framgå av föreskrifter på en lägre konstitutionell nivå än lag, dvs. i förordning eller i myndighetsföreskrifter. Ett krav för en sådan ordning är dock enligt vår uppfattning att de ändamål för vilka uppgifter får behandlas är tydliga. Som nämnts ovan får uppgifter behandlas i en databas endast om de tillgodoser de primära ändamålen med databasen, nämligen att vara till hjälp i den verksamhet som den registrerande myndigheten bedriver. Vi föreslår att det i lag anges endast vilka kategorier av uppgifter som får förekomma i en databas samt att en uppgift får behandlas endast om uppgiften behövs i den verksamhet för vilken databasen inrättas. Undantag från principen att i lag ange endast de kategorier av uppgifter som får behandlas, bör emellertid göras för registrering av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. Sådana uppgifter bör endast få behandlas i elektroniska handlingar (se nedan) eller om det i lag uttryckligt anges att uppgifterna får behandlas i en databas.
En databas kommer att innehålla, förutom uppgifter för ren informationshantering, de handlingar som behandlas i elektroniska ärendehanteringssystem, dvs. bildfångade, skannade eller särskilt upprättade handlingar som lagras elektroniskt. Vi föreslår inte några legaldefinitioner på begrepp som elektronisk handling och elektronisk akt. Vår utgångspunkt är dock att med en elektronisk handling avses en begränsad mängd elektroniskt lagrade uppgifter som är direkt knutna till ett visst ärende, medan en elektronisk akt består av de elektroniska handlingarna i ett ärende. I författningarna anges endast att en databas får innehålla hand-
lingar som hör till ett ärende. I elektroniska handlingar kan det förekomma uppgifter av vitt skilda slag, även känsliga sådana, eftersom myndigheterna inte kan styra vilka enskilda uppgifter som registreras när de ingår i inkomna handlingar m.m. Vi föreslår därför att det införs begränsningar i sökmöjligheterna efter elektroniska handlingar. Som sökbegrepp bör få användas endast ärendebeteckning, beteckning på handling eller andra uppgifter som behövs för att identifiera ett ärende eller en handling.
Från en databas kan uppgifter lämnas ut med hjälp av automatiserad behandling, antingen på särskilt medium för sådan behandling eller genom direktåtkomst. För utlämnande som inte sker genom direktåtkomst, t.ex. på magnetband eller diskett eller via fasta uppkopplingar på telenätet, föreslår vi inte några begränsningar i de fall uppgifter lämnas ut till andra svenska myndigheter. Vi anser att det bör ankomma på de myndigheter mellan vilka information skall utbytas, att avgöra på vilket sätt utlämnande bör ske. Däremot innebär våra förslag att utlämnande till enskilda eller utländska myndigheter på medium för automatiserad behandling, skall få förekomma endast när regeringen har meddelat föreskrifter om det eller när utlämnandet av uppgifterna följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.
Utlämnande genom direktåtkomst, dvs. att mottagare med hjälp av automatiserad behandling kan ta del av uppgifter direkt från den utlämnande myndighetens databas utan föregående sekretessprövning, sker vanligtvis via terminal. Sådan åtkomst har ansetts vara särskilt integritetskänslig. Vi delar den uppfattningen och anser att det finns starka skäl för att vara återhållsam med att tillåta direktåtkomst. Vi föreslår därför att direktåtkomst skall få förekomma endast om det anges uttryckligt i lag eller förordning. Myndigheter inom den myndighetsorganisation för vilken en viss databas inrättas, t.ex. skatteförvaltningen, bör kunna ha obegränsad direktåtkomst till uppgifter och elektroniska handlingar. Andra myndigheter bör ha begränsade åtkomstmöjligheter. Det bör inte vara möjligt för dessa myndigheter att genom direktåtkomst ta del av elektroniska handlingar. Vi föreslår vidare att enskilda skall få direktåtkomst till uppgifter om sig själva i myndigheternas databaser, under förutsättning att regeringen meddelar föreskrifter om det. I fråga om vissa icke integritetskänsliga uppgifter av stort allmänt intresse, föreslår vi att regeringen skall få meddela föreskrifter om allmän direktåtkomst till vissa databaser, t.ex. via Internet.
Den stora mängden uppgifter i myndigheternas databaser innebär risker för intrång i enskildas personliga integritet. Det är därför viktigt att uppgifter inte bevaras i databaserna under längre tid än vad som är motiverat från verksamhetssynpunkt. Vi föreslår att det i lag anges hu-
vudregler för när uppgifter skall gallras ur databaserna. Det är emellertid inte möjligt att på ett enkelt sätt reglera exakt när vissa uppgifter bör gallras. Regeringen, eller den myndighet som regeringen bestämmer, bör därför ha möjlighet att föreskriva om undantag från de i lag angivna gallringsbestämmelserna.
Regler om enskildas rättigheter
För att otillbörliga intrång i den personliga integriteten skall kunna undvikas i samband med behandling av personuppgifter, är det viktigt att enskilda ges möjlighet till insyn i vad som finns registrerat om dem i olika register och databaser m.m. Enskilda måste även ha möjlighet att begära rättelse av felaktiga uppgifter som berör dem. När uppgifter behandlas i strid med gällande regler, bör enskilda kunna få ersättning för skada och kränkning av den personliga integriteten. Det är även viktigt att myndigheters beslut i frågor som direkt berör enskilda kan överklagas till domstol. Bestämmelser om dessa rättigheter är i våra lagförslag samlade i ett särskilt kapitel.
Den rätt som enskilda har enligt personuppgiftslagen att efter ansökan få besked från den personuppgiftsansvarige om vilka behandlingar som rör honom eller henne, skall gälla även när personuppgifter behandlas inom skatteförvaltningen, exekutionsväsendet och Tullverket. Det innebär att enskilda har rätt till kostnadsfri skriftlig information om bl.a. vilka uppgifter om honom eller henne som behandlas. Vi föreslår emellertid att den information som skall lämnas inte behöver omfatta i en databas förekommande elektroniska handlingar, som hör till ett ärende och som den enskilde tidigare har tagit del av. Av informationen skall i stället framgå att handlingarna behandlas i databasen. Om den enskilde särskilt begär det skall emellertid informationen vara fullständig.
Även personuppgiftslagens bestämmelser om rättelse av felaktigt behandlade personuppgifter skall tillämpas vid behandling av uppgifter enligt våra lagförslag. Detsamma gäller bestämmelserna i personuppgiftslagen om den enskildes rätt till ersättning när uppgifter har behandlats felaktigt och det har medfört skada eller kränkning av den personliga integriteten. Enligt våra lagförslag skall den enskilde ha rätt att hos allmän förvaltningsdomstol överklaga myndigheters beslut i frågor som rör hans eller hennes rätt till information och myndigheternas skyldighet att rätta felaktigt behandlade personuppgifter.
Särskilda bestämmelser för olika verksamheter
De lagar som enligt våra förslag skall reglera behandlingen av personuppgifter m.m. inom skatteförvaltningen, exekutionsväsendet respektive Tullverket, är disponerade på samma sätt och innehåller flera identiska eller likartade bestämmelser. Det är emellertid inte möjligt att undvika att författningarna innehåller bestämmelser som är specifikt verksamhetsanpassade. Det gäller framförallt bestämmelser om behandling av uppgifter i databaser. Av särskilt intresse är bestämmelser om avgränsningen av databasernas användningsområde (ändamålen) och tillgängligheten till databaserna (direktåtkomst).
Beskattningsdatabasen
Vi föreslår att behandling av uppgifter i den del av skatteförvaltningens verksamhetsområde som utgörs av beskattningsverksamheten skall regleras i en lag; lagen om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet. I den lagen finns – förutom allmänna regler om behandling av uppgifter – bestämmelser om behandling i en för verksamheten gemensam beskattningsdatabas. I lagen anges för vilka ändamål uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs inom skatteförvaltningen (primära ändamål). Ändamålen är utformade så att de uppgifter som får behandlas i databasen motsvarar vad som i dag får behandlas i samtliga de register som med stöd av författning eller tillstånd från Datainspektionen får föras av Riksskatteverket och skattemyndigheter i verksamhet avseende beskattning m.m. Således motsvarar databasen i princip nuvarande skatteregister, taxeringsuppgiftsregister, fastighetstaxeringsregister och punktskatteregister m.fl. Vad som får behandlas i databasen är emellertid inte begränsat till de uppgifter som finns i de nuvarande registren.
Riksskatteverket och skattemyndigheterna får enligt lagen ha obegränsad direktåtkomst till databasen, dvs. även till de elektroniska akterna. Därutöver får även kronofogdemyndigheter och Tullverket ha direktåtkomst, dock inte till elektroniska handlingar. Till regeringen delegeras behörigheten att meddela föreskrifter om inskränkning i föreskriven direktåtkomst och om att andra än de i lagen angivna myndigheterna skall få ha direktåtkomst, dock inte till elektroniska handlingar. För sådan direktåtkomst gäller att den skall stå i överensstämmelse med de i lagen angivna sekundära ändamålen. Om regeringen föreskriver det skall dessutom enskilda få ha direktåtkomst till uppgifter om sig själva. Regeringen får även meddela föreskrifter om allmän direktåtkomst –
t.ex. via Internet – till vissa uppgifter av allmänt intresse, som uppgift om innehav av skattsedel m.m.
Folkbokföringsdatabasen
Behandlingen av personuppgifter i den del av skatteförvaltningens verksamhetsområde som utgörs av folkbokföringsverksamhet skall regleras i en egen lag; lagen om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet. I lagen finns bestämmelser om behandling av uppgifter i en för verksamheten gemensam folkbokföringsdatabas. Lagen innehåller bestämmelser om för vilka ändamål uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs för att myndigheter inom skatteförvaltningen skall kunna fullgöra sina åligganden. Ändamålen är utformade så att uppgifter som behandlas i databasen i princip motsvarar den behandling av uppgifter som i dag sker i folkbokföringsregister och aviseringsregistret.
Riksskatteverket och skattemyndigheterna får enligt lagen ha obegränsad direktåtkomst till databasen, dvs. även till de elektroniska handlingarna. Till regeringen delegeras behörigheten att meddela föreskrifter om inkränkning i föreskriven direktåtkomst och om att andra än de i lagen angivna myndigheterna skall få ha direktåtkomst, dock inte till elektroniska handlingar. Om regeringen föreskriver det skall enskilda få ha direktåtkomst till uppgifter om sig själva.
Val- och folkomröstningsdatabasen
För den verksamhet som bedrivs i anledning av val och folkomröstningar ansvarar Riksskatteverket, skatteförvaltningen, länsstyrelserna och de kommunala valnämnderna. Den personuppgiftsbehandling som sker i verksamheten skall enligt vårt förslag regleras i en egen lag; lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar. I lagen finns bestämmelser om behandling av uppgifter i en för de ansvariga statliga myndigheterna gemensam val- och folkomröstningsdatabas. Databasens användningsområde regleras genom bestämmelser om för vilka ändamål uppgifter skall få behandlas inom verksamheten (primära ändamål). Ändamålen är utformade så att de uppgifter som får behandlas i databasen i princip motsvarar vad som i dag får behandlas i röstlängdsregister och kandidatregister.
Riksskatteverket, skattemyndigheterna och länsstyrelserna får enligt lagen ha obegränsad direktåtkomst till databasen, dvs. även till de elektroniska akterna. Dessutom får de kommunala valnämnderna ha direktåtkomst till uppgifter som inte finns i elektroniska handlingar. Till regeringen delegeras behörigheten att meddela föreskrifter om inskränkning i
föreskriven direktåtkomst och om att andra än de i lagen angivna myndigheterna skall få ha direktåtkomst, dock inte till elektroniska handlingar. För sådan direktåtkomst gäller att den skall stå i överensstämmelse med de i lagen angivna sekundära ändamålen. Om regeringen föreskriver det skall enskilda få ha direktåtkomst till uppgifter om sig själva. Regeringen får även meddela föreskrifter om allmän direktåtkomst – t.ex. via Internet – till uppgifter som finns på valsedlar.
Exekutionsväsendets databaser
Kronofogdemyndigheterna bedriver verksamhet på flera olika områden. Vi föreslår emellertid en gemensam lag för behandling av uppgifter på samtliga dessa områden; lagen om behandling av uppgifter i exekutionsväsendets verksamhet. För varje enskild och urskiljbar verksamhet skall det finnas bestämmelser om behandling av uppgifter i en för respektive verksamhet gemensam databas. Totalt föreslår vi fyra databaser, nämligen en utsöknings- och indrivningsdatabas, en betalningsföreläggande- och handräckningsdatabas, en skuldsaneringsdatabas samt en konkurstillsynsdatabas. I lagen anges för vilka ändamål uppgifter skall få behandlas i respektive databas för tillhandahållande av information som behövs inom exekutionsväsendet (primära ändamål). Ändamålen är utformade så att de uppgifter som får behandlas i databaserna i princip motsvarar vad som i dag får behandlas i samtliga de register som med stöd av författning eller tillstånd från Datainspektionen får föras av Riksskatteverket och kronofogdemyndigheter. Vad som får behandlas i databaserna är emellertid inte begränsat till de uppgifter som finns i register i dag.
Riksskatteverket och kronofogdemyndigheterna får enligt lagen ha obegränsad direktåtkomst till databaserna, dvs. även till de elektroniska handlingarna. Därutöver anges att även skattemyndigheter och Tullverket får ha direktåtkomst, dock inte till elektroniska handlingar. Till regeringen delegeras behörigheten att meddela föreskrifter om inskränkning i föreskriven direktåtkomst och om att andra än de i lagen angivna myndigheterna skall få ha direktåtkomst till en databas, dock inte till elektroniska handlingar. För sådan direktåtkomst gäller att den skall stå i överensstämmelse med de i lagen angivna sekundära ändamålen för de olika databaserna. Om regeringen föreskriver det skall enskilda få ha direktåtkomst till uppgifter om sig själva.
Tulldatabasen
För behandling av uppgifter i Tullverkets fiskala verksamhet föreslår vi en lag; lagen om behandling av uppgifter i Tullverkets verksamhet. I den lagen finns bestämmelser om behandling av uppgifter i en för verksamheten gemensam tulldatabas. I lagen anges för vilka ändamål uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs hos Tullverket i den fiskala verksamheten (primära ändamål). Ändamålen är utformade så att de uppgifter som får behandlas i databasen i princip motsvarar vad som i dag får behandlas i tullregister. Vad som får behandlas i databasen är emellertid inte begränsat till de uppgifter som finns i registren i dag.
Tullverket får enligt lagen ha obegränsad direktåtkomst till databasen, dvs. även till de elektroniska handlingarna. Därutöver anges att även Riksskatteverket, skattemyndigheter och kronofogdemyndigheter får ha direktåtkomst, dock inte till elektroniska handlingar. Till regeringen delegeras behörigheten att meddela föreskrifter om inskränkning i föreskriven direktåtkomst och om att andra än de i lagen angivna myndigheterna skall få ha direktåtkomst, dock inte till elektroniska handlingar. För sådan direktåtkomst gäller att den skall stå i överensstämmelse med vissa i lagen angivna sekundära ändamål. Om regeringen föreskriver det skall dessutom enskilda få ha direktåtkomst till uppgifter om sig själva.
Särskilda frågor
Utöver de frågor som regleras genom våra förslag till lagar om behandling av personuppgifter m.m. i verksamhet inom skatteförvaltningen, exekutionsväsendet och hos Tullverket, har vi även haft att utreda vissa mer specifika frågeställningar.
Sekretess inom exekutionsväsendet
Sekretesskyddet i exekutionsväsendets exekutiva verksamhet är i dag svagt. Enligt 9 kap. 19 § sekretesslagen gäller sekretess för en uppgift om det kan antas att den enskilde eller honom närstående lider avsevärd skada eller betydande men om uppgiften röjs. Det raka skaderekvisitet innebär en presumtion för att uppgifter skall lämnas ut när det begärs. En av kronofogdemyndigheternas huvudsakliga uppgifter är att utreda om en gäldenär har några utmätningsbara tillgångar. En rationell handläggning förutsätter att man får hämta in uppgifter på ett enkelt sätt, t.ex. från skattemyndigheter där absolut sekretess gäller för uppgifter. I
de fall det saknas en reglerad uppgiftsskyldighet, skall en sekretessprövning göras, innan en kronofogdemyndighet får del av uppgifter från en skattemyndighet. En faktor som vägs in i denna prövning är risken för att uppgiften kommer att lämnas ut från kronofogdemyndigheten. På grund av den stora skillnaden i sekretesskydd har kronofogdemyndigheterna därför i vissa fall haft svårt att från skattemyndigheterna få del av uppgifter som behövs i den exekutiva verksamheten. Den svaga sekretessen medför även svårigheter för kronofogdemyndigheterna vid informationshantering i samband med myndighetsgemensamt arbete mot ekonomisk brottslighet samt i internationellt samarbete.
Sedan sekretesslagens tillkomst har mycket hänt i den exekutiva verksamheten. Kronofogdemyndigheterna har fått utökade arbetsuppgifter och förändrade arbetsrutiner. Det har lett till att allt fler uppgifter om enskilda samlas i de datasystem som finns inom exekutionsväsendet. Mer sofistikerade system är dessutom under utveckling. Sammantaget innebär detta att det enligt vår bedömning i dag finns ett väsentligt större behov av att skydda gäldenärers personliga integritet än vad som var fallet när sekretesslagen trädde i kraft.
För att stärka sekretessen hos kronofogdemyndigheterna – av såväl verksamhets- som integritetsskäl – föreslår vi att det i 9 kap. 19 § sekretesslagen införs ett omvänt skaderekvisit. Det innebär att sekretess gäller för en uppgift, om det inte står klart att uppgiften kan röjas utan att den enskilde eller honom närstående lider skada eller men. De förändrade arbetsuppgifterna hos kronofogdemyndigheterna har lett till att det råder viss osäkerhet i fråga om vad som omfattas av begreppet ”exekutiv verksamhet”. Vi anser att ett klargörande behövs och föreslår därför att sekretessen skall gälla i verksamhet med utsökning och indrivning. Vi föreslår vidare att det sekretesskyddade området skall utvidgas till att omfatta även verksamhet enligt lagen (1986:436) om näringsförbud. Uppgifter i den sistnämnda verksamheten omfattas i dag inte av något sekretesskydd till förmån för enskildas integritet, vilket vi anser olämpligt, eftersom det i den verksamheten är mer vanligt än i övrig verksamhet att kronofogdemyndigheterna behandlar uppgifter om hälsa och brottsmisstanke m.m.
I dag är vissa uppgifter i exekutiv verksamhet undantagna från sekretess. Det gäller beslut i mål samt uppgifter om förpliktelse som avses med sökt verkställighet, dvs. uppgifter om skulder m.m. Sådana uppgifter utnyttjas regelmässigt i kreditupplysningsverksamhet. Vi anser att det även i fortsättningen finns ett behov av att uppgifter undantas från sekretesskyddet. För att undvika att missvisande uppgifter om exempelvis skulder som har uppstått på grund av felaktig handläggning hos myndigheter m.m., skall få oacceptabla konsekvenser för enskilda, föreslår vi att undantaget från sekretess endast skall gälla beslut i mål
samt uppgift om förpliktelse som avses med verkställighet i ett pågående mål. Det innebär att om en gäldenär betalar en skuld innan kronofogdemyndigheten har hunnit vidta andra åtgärder än att informera gäldenären om att det finns en ansökan om utsökning eller indrivning, kommer uppgifter om förpliktelse att omfattas av sekretess. Sådana uppgifter som omfattas av sekretess skall inte få användas i kreditupplysningsverksamhet.
Utlämnande av uppgifter på medium för automatiserad behandling för kreditupplysningsverksamhet
Uppgifter inom skatteförvaltningen och exekutionsväsendet som inte omfattas av sekretess, bör enligt vår bedömning få lämnas ut på medium för automatiserad behandling till den som har tillstånd som avses i 3 § kreditupplysningslagen att bedriva kreditupplysningsverksamhet. Uppgifter som grundar sig på brott skall dock inte få lämnas ut.
Skatteuppgifter i SPAR
I dag lämnas vissa offentliga skatteuppgifter i olika register inom skatteförvaltningen ut till det statliga personadressregistret (SPAR) för användning för direktreklamändamål. Ett sådant förfarande kan enligt vår mening sättas i fråga från integritetssynpunkt. Å andra sidan anser vi att ett förbud mot att använda skatteuppgifter i SPAR skulle medföra en påtaglig risk för en okontrollerbar framväxt av icke författningsreglerade register med motsvarande funktion och innehåll som SPAR. Vi bedömer att det utlämnande av skatteuppgifter till SPAR som sker i dag inte står i konflikt med bestämmelserna i dataskyddsdirektivet. Ett konkret ställningstagande i frågan om utlämnande av skatteuppgifter till SPAR kräver enligt vår uppfattning en mer omfattande översyn av bl.a. samhällets behov av skatteuppgifter för direktreklamändamål. Vi föreslår därför inte några förändringar avseende SPAR.
Behandling av personuppgifter vid taxeringsrevisioner m.m.
I samband med personuppgiftslagens införande upphävdes den särskilda lagen (1987:1231) om automatisk databehandling vid taxeringsrevision, m.m. Våra föreslag till lagar om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet respektive Tullverkets verksamhet utgör enligt vår bedömning ett tillräckligt skydd för enskildas personliga integritet när automatiserad behandling används vid taxeringsrevisioner m.m. Någon kompletterande lagstiftning anser vi därför inte vara nödvändig.
Bruttoavisering inom folkbokföringen
Riksskatteverkets aviseringsregister används av myndigheter för att aktualisera, kontrollera och komplettera vissa folkbokföringsuppgifter i de egna registren. En effektiv metod för sådan avisering är s.k. bruttoavisering, som används av vissa myndigheter. Metoden innebär att mottagande myndigheter får ändringsaviseringar avseende samtliga personer i aviseringsregistret, dvs. i princip Sveriges hela befolkning. Ur det materialet får den mottagande myndigheten sedan själv söka fram uppgifter som rör personer vilka är registrerade i myndighetens register, medan övriga uppgifter gallras. Urvalet av uppgifter görs alltså av den mottagande myndigheten och inte av Riksskatteverket som vid vanlig ändringsavisering. Bruttoavisering som metod för att tillhandahålla folkbokföringsuppgifter inom den statliga förvaltningen strider enligt vår uppfattning inte mot dataskyddsdirektivet, under förutsättning att fråga är om regelmässigt och frekvent återkommande aviseringar som avser en betydande andel av befolkningen. Några hinder föreligger därför enligt vår uppfattning inte mot en fortsatt användning av bruttoavisering.
Kronofogdemyndigheters tillgång till uppgifter hos Tullverket
Enligt 118 § tullagen (1994:1550) skall Tullverket på begäran från vissa uppräknade myndigheter lämna ut uppgifter som rör import och export av varor. Enligt vår uppfattning har även kronofogdemyndigheterna behov av att få tillgång till dessa uppgifter. Vi kan inte se några skäl mot en sådan ordning. Vi föreslår därför att Tullverket på begäran skall tillhandahålla kronofogdemyndigheterna uppgifter som förekommer hos Tullverket och som rör import och export av varor.
Författningsförslag
1. Förslag till Lag om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens tillämpningsområde
1 § Denna lag tillämpas vid behandling av personuppgifter och vissa andra uppgifter i skatteförvaltningens beskattningsverksamhet, om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Förhållandet till personuppgiftslagen
2 § När personuppgifter behandlas enligt denna lag gäller bestämmelserna i personuppgiftslagen (1998:204) om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 §,
4. behandling av personnummer i 22 §,
5. säkerheten vid behandling i 30
- 32 §§,
6. överföring av personuppgifter till tredje land i 33–35 §§,
7. personuppgiftsombudets uppgifter m.m. i 38
- 41 §§,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, samt
9. straff i 49 §.
Personuppgiftsansvar
3 § Riksskatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som ankommer på verket att utföra och en skattemyndighet för den behandling som ankommer på myndigheten att utföra.
Behandling av känsliga personuppgifter m.m.
4 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i eller är nödvändiga för handläggningen av ett ärende.
För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.
Gallring
5 § Uppgifter som är föremål för automatiserad behandling i ett ärende skall gallras senast ett år efter det att ärendet har avslutats.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter skall gallras vid en annan tidpunkt än den som anges i första stycket eller att uppgifter skall bevaras.
För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.
2 kap. Beskattningsdatabasen
Ändamål
1 § I beskattningsverksamheten skall det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 2 och 3 §§ angivna ändamålen (beskattningsdatabas).
2 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs inom skatteförvaltningen för
1. fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,
2. bestämmande av pensionsgrundande inkomst,
3. kontroll, revision, prövning, granskning, tillsyn och analys,
4. fastighetstaxering,
5. fullgörande av åligganden som följer av internationella överenskommelser som Sverige efter riksdagens godkännande har tillträtt,
6. tillsyn, kontroll, uppföljning och planering av verksamheten, samt
7. framställning av statistik.
3 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför skatteförvaltningen för
1. fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,
2. utsökning och indrivning,
3. tillsyn samt lämplighets-, tillstånds- och annan liknande prövning, samt
4. framställning av statistik.
Innehåll
4 § I databasen får behandlas uppgifter om personer som omfattas av verksamhet enligt 2 § 1–5. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.
5 § För de ändamål som anges i 2 § får i databasen behandlas uppgifter om
1. en fysisk persons identitet, bosättning, familjeförhållanden och andra liknande basuppgifter,
2. en juridisk persons identitet, säte och andra liknande basuppgifter,
3. registrering för skatter eller avgifter,
4. underlag för skatter eller avgifter,
5. bestämmande av skatter eller avgifter,
6. kontroll av skatter eller avgifter,
7. fastställande av fastighetstaxering,
8. yrkande och grunder i ett ärende, samt
9. beslut med angivande av skälen för beslutet, betalning, redovisning och övriga åtgärder i ett ärende.
I databasen får även behandlas de uppgifter som behövs för fullgörande av ett åliggande som följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.
Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.
6 § Personuppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 7 §. Uppgifter om tros-
samfund och medlemskap i fackförening får dock behandlas för de ändamål som anges i 2 §.
7 § Handlingar som hör till ett ärende får behandlas i databasen. Sådana handlingar får innehålla de uppgifter som har lämnats i eller är nödvändiga för handläggningen av ärendet.
Utlämnande av uppgifter till enskilda på medium för automatiserad behandling
8 § Uppgifter i databasen får lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det eller om utlämnandet av uppgifterna följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.
Direktåtkomst
9 § Riksskatteverket, skattemyndigheter, kronofogdemyndigheter och
Tullverket får ha direktåtkomst till databasen. Regeringen får meddela föreskrifter om att även annan får ha direktåtkomst för ändamål som anges i 3 §.
Annan än Riksskatteverket och skattemyndigheter får inte ha direktåtkomst till handlingar som avses i 7 §. Regeringen får meddela föreskrifter om ytterligare inskränkning i en myndighets eller annans direktåtkomst till databasen.
10 § Regeringen får meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om sig själv i databasen.
Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får omfattas av direktåtkomst enligt första stycket.
11 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om allmän direktåtkomst till uppgifter i databasen om
1. skyldighet att redovisa eller betala skatter eller avgifter,
2. innehav av skattsedel på preliminär skatt, samt
3. beräkning av skatteavdrag för betalning av preliminär skatt. Direktåtkomst enligt första stycket får inte vara utformad så att uppgifter om flera personer kan behandlas på automatiserad väg vid inhämtandet.
Sökbegrepp
12 § Vid sökning efter handlingar som avses i 7 § får som sökbegrepp användas endast ärendebeteckning, beteckning på handling eller annan uppgift som behövs för att identifiera ett ärende eller en handling.
Gallring
13 § Uppgifter och handlingar i databasen skall, om inget annat anges i 14 §, gallras sju år efter utgången av det kalenderår under vilket beskattningsåret till vilket uppgifterna eller handlingarna kan hänföras gick ut.
14 § Uppgifter om revision skall gallras tio år efter utgången av det kalenderår under vilket revisionen avslutades.
Uppgifter och handlingar som avser fastighetstaxering skall gallras tio år efter utgången av det taxeringsår till vilket uppgifterna eller handlingarna kan hänföras.
Uppgifter och handlingar som avser gåvoskatteärenden skall gallras tolv år efter utgången av det kalenderår under vilket gåvodeklaration lämnades. Uppgifter och handlingar som avser gåvoanmälningsärenden skall gallras tre år efter utgången av det kalenderår under vilket förfrågan eller anmaning att komma in med deklaration gjordes.
Uppgifter och handlingar som enligt lagen (1994:1563) om tobaksskatt, lagen (1994:1564) om alkoholskatt samt lagen (1994:1776) om skatt på energi, behandlas för att tillhandahålla skattskyldiga och behörig myndighet i Sverige eller ett annat land inom Europeiska unionen uppgifter om personer som är godkända upplagshavare eller som är registrerade varumottagare eller uppgifter om godkända skatteupplag, skall gallras sju år efter utgången av det kalenderår under vilket upplagshavaren eller varumottagaren avregistrerades.
15 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter eller handlingar skall gallras vid en annan tidpunkt än de som anges i 13 och 14 §§ eller att uppgifter eller handlingar skall bevaras.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
Övriga bestämmelser
16 § Riksskatteverket och skattemyndigheter får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
17 § Regeringen får meddela närmare föreskrifter om hur uppgifterna i databasen skall vara indelade.
3 kap. Enskildas rättigheter
Information till den registrerade
1 § Vid tillämpningen av denna lag gäller bestämmelserna om information till den registrerade i 23 och 25–27 §§personuppgiftslagen (1998:204), med den begränsning som anges i 2 §.
2 § En handling som avses i 2 kap. 7 § behöver inte lämnas ut till en enskild i samband med att en myndighet fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen (1998:204), om den enskilde har tagit del av handlingens innehåll.
I fall som avses i första stycket skall information i stället lämnas om att handlingen behandlas i databasen. Fullständig information skall emellertid lämnas om den enskilde begär det.
Rättelse
3 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204).
Skadestånd
4 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204).
Överklagande
5 § En myndighets beslut om information som skall lämnas efter ansökan och om rättelse får överklagas hos allmän förvaltningsdomstol.
Andra beslut enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
_______________
1. Denna lag träder i kraft den 1 oktober 2001, då skatteregisterlagen (1980:343) skall upphöra att gälla. Den äldre lagens bestämmelser om gallring och innehåll i ett register gäller dock fortfarande i fråga om uppgifter och handlingar som har tillförts registret före den 1 oktober 2001.
2. Bestämmelser i lagen om grundläggande krav på behandling av personuppgifter samt behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m., skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
3. Har en begäran om registerutdrag enligt 10 § datalagen (1973:289) kommit in innan denna lag träder i kraft men har utdraget inte expedierats före ikraftträdandet, skall framställningen anses som en ansökan om information enligt denna lag.
4. Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft för den aktuella behandlingen.
5. Bestämmelsen om överklagande skall tillämpas endast på beslut som fattas efter ikraftträdandet.
2. Förslag till Lag om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens tillämpningsområde
1 § Denna lag tillämpas vid behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet, om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Förhållandet till personuppgiftslagen
2 § När personuppgifter behandlas enligt denna lag gäller bestämmelserna i personuppgiftslagen (1998:204) om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 §,
4. behandling av personnummer i 22 §,
5. säkerheten vid behandling i 30
- 32 §§,
6. överföring av personuppgifter till tredje land i 33–35 §§,
7. personuppgiftsombudets uppgifter m.m. i 38
- 41 §§,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, samt
9. straff i 49 §.
Personuppgiftsansvar
3 § Riksskatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som ankommer på verket att utföra och en skattemyndighet för den behandling som ankommer på myndigheten att utföra.
Behandling av känsliga personuppgifter m.m.
4 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i eller är nödvändiga för handläggningen av ett ärende.
För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.
2 kap. Folkbokföringsdatabasen
Ändamål
1 § I folkbokföringsverksamheten skall det finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 2 § angivna ändamålen (folkbokföringsdatabas).
2 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs inom skatteförvaltningen för
1. samordnad behandling av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter,
2. handläggning av folkbokföringsärenden,
3. fullgörande av underrättelseskyldighet enligt lag eller förordning samt för att tillgodose samhällets behov av folkbokföringsuppgifter i övrigt,
4. tillsyn, kontroll, uppföljning och planering av verksamheten, samt
5. framställning av statistik.
Innehåll
3 § I databasen får behandlas uppgifter om personer som omfattas av verksamhet enligt 2 § 1 och 2. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.
4 § För de ändamål som anges i 2 § får i databasen behandlas uppgifter om
1. personnummer,
2. samordningsnummer enligt folkbokföringslagen (1991:481),
3. namn,
4. födelsetid,
5. födelsehemort,
6. födelseort,
7. adress,
8. folkbokföringsfastighet, lägenhetsbeteckning, folkbokföringsort och folkbokföring under särskild rubrik,
9. medborgarskap, 10. civilstånd, 11. make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen,
12. samband enligt 11 som är grundat på adoption, 13. inflyttning från utlandet, 14. avregistrering, 15. anmälan enligt 7 kap.1 och 10 §§vallagen (1997:157), samt 16. gravsättning. I databasen får behandlas uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § folkbokföringskungörelsen (1967:495).
I databasen får behandlas uppgifter om tidpunkter för sådana förhållanden som avses i första stycket. För förhållanden som avses i första stycket 1, 2 och 14 får anges grunden för förhållandet. För förhållande som avses i första stycket 2 får även anges de handlingar som har legat till grund för identifiering samt uppgift om att det råder osäkerhet om personens identitet.
5 § I databasen får behandlas uppgifter om yrkande och grunder i ett ärende, beslut i ett ärende med angivande av skälen för beslutet samt andra uppgifter som behövs för handläggningen av ett ärende.
Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.
6 § Personuppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 4 och 7 §§.
7 § Handlingar som hör till ett ärende får behandlas i databasen. Sådana handlingar får innehålla de uppgifter som har lämnats i eller är nödvändiga för handläggningen av ärendet.
Utlämnande av uppgifter till enskilda på medium för automatiserad behandling
8 § Uppgifter i databasen får lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.
Direktåtkomst
9 § Riksskatteverket och skattemyndigheter får ha direktåtkomst till databasen. Regeringen får meddela föreskrifter om att annan får ha direktåtkomst till databasen för ändamål som anges i 2 § 3, dock inte till handlingar som avses i 7 §.
Regeringen får meddela föreskrifter om inskränkning i en myndighets eller annans direktåtkomst till databasen.
10 § Regeringen får meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om sig själv i databasen.
Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får omfattas av direktåtkomst enligt första stycket.
Sökbegrepp
11 § Vid sökning i databasen får uppgifter som avses i 4 § första stycket 6, 12, 13 och 16 inte användas som sökbegrepp.
Uppgifter som avses i 4 § första stycket 9 får användas som sökbegrepp endast i fråga om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap i ett land inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).
12 § Vid sökning efter handlingar som avses i 7 § får som sökbegrepp användas endast ärendebeteckning, beteckning på handling eller annan uppgift som behövs för att identifiera ett ärende eller en handling.
Övriga bestämmelser
13 § Riksskatteverket och skattemyndigheter får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
14 § Regeringen får meddela närmare föreskrifter om hur uppgifterna i databasen skall vara indelade.
3 kap. Enskildas rättigheter
Information till den registrerade
1 § Vid tillämpningen av denna lag gäller bestämmelserna om information till den registrerade i 23 och 25–27 §§personuppgiftslagen (1998:204), med den begränsning som anges i 2 §.
2 § En handling som avses i 2 kap. 7 § behöver inte lämnas ut till en enskild i samband med att en myndighet fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen (1998:204), om den enskilde har tagit del av handlingens innehåll.
I fall som avses i första stycket skall information i stället lämnas om att handlingen behandlas i databasen. Fullständig information skall emellertid lämnas om den enskilde begär det.
Rättelse
3 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204).
Skadestånd
4 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204).
Överklagande
5 § En myndighets beslut om information som skall lämnas efter ansökan och om rättelse får överklagas hos allmän förvaltningsdomstol.
Andra beslut enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
______________
1. Denna lag träder i kraft den 1 oktober 2001, då lagen (1990:1536) om folkbokföringsregister och lagen (1995:743) om aviseringsregister skall upphöra att gälla. De äldre lagarnas bestämmelser om gallring och innehåll i ett register gäller dock fortfarande i fråga om uppgifter och handlingar som har tillförts registret före den 1 oktober 2001.
2. Bestämmelser i lagen om grundläggande krav på behandling av personuppgifter samt behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m., skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
3. Har en begäran om registerutdrag enligt 10 § datalagen (1973:289) kommit in innan denna lag träder i kraft men har utdraget inte expedierats före ikraftträdandet, skall framställningen anses som en ansökan om information enligt denna lag.
4. Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft för den aktuella behandlingen.
5. Bestämmelsen om överklagande skall tillämpas endast på beslut som fattas efter ikraftträdandet.
3. Förslag till Lag om behandling av personuppgifter i verksamhet med val och folkomröstningar
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens tillämpningsområde
1 § Denna lag tillämpas vid behandling av personuppgifter i Riksskatteverkets, skattemyndigheters och länsstyrelsers verksamhet med val och folkomröstningar enligt vallagen (1997:157), folkomröstningslagen (1979:369) samt lagen (1994:692) om kommunala folkomröstningar, om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Förhållandet till personuppgiftslagen
2 § När personuppgifter behandlas enligt denna lag gäller bestämmelserna i personuppgiftslagen (1998:204) om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 §,
4. behandling av personnummer i 22 §,
5. säkerheten vid behandling i 30
- 32 §§,
6. överföring av personuppgifter till tredje land i 33–35 §§,
7. personuppgiftsombudets uppgifter m.m. i 38
- 41 §§,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, samt
9. straff i 49 §.
Personuppgiftsansvar
3 § Riksskatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som ankommer på verket att utföra och en skattemyndighet eller länsstyrelse för den behandling som ankommer på myndigheten eller länsstyrelsen att utföra.
Behandling av känsliga personuppgifter m.m.
4 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i eller är nödvändiga för handläggningen av ett ärende.
För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.
2 kap. Val- och folkomröstningsdatabasen
Ändamål
1 § I Riksskatteverkets, skattemyndigheters och länsstyrelsers verksamhet med val och folkomröstningar skall det finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 2 och 3 §§ angivna ändamålen (val- och folkomröstningsdatabas).
2 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs hos Riksskatteverket, skattemyndigheter och länsstyrelser för
1. framställning av röstlängder och röstkort inför ett val eller en folkomröstning,
2. framställning av valsedlar och sammanräkning av valresultat,
3. tillsyn, kontroll, uppföljning och planering av verksamheten, samt
4. framställning av statistik.
3 § Uppgifter får behandlas i databasen för att tillgodose samhällets behov av uppgifter i samband med val och folkomröstningar samt för framställning av statistik.
Innehåll
4 § I databasen får behandlas uppgifter om personer som
1. kan antas komma att vara röstberättigade den dag som ett val eller en folkomröstning skall hållas, eller
2. är kandidater i val. Uppgifter om andra personer än som anges i första stycket får behandlas om det behövs för handläggningen av ett ärende.
5 § För en person som avses i 4 § 1 får i databasen behandlas uppgifter om personnummer, namn, adress, folkbokföringsort, fastighetsbeteckning, valdistrikt och medborgarskap. För en person som inte är folkbokförd i Sverige får behandlas uppgift om tidpunkt för utvandring och för en person som har invandrat till Sverige uppgift om tidpunkt för invandringen.
6 § För en person som avses i 4 § 2 får i databasen behandlas uppgifter om personnummer, namn, adress, folkbokföringsort, medborgarskap i ett land inom Europeiska unionen samt identifieringsuppgifter och partibeteckning som finns eller kommer att finnas på valsedlar där personen är upptagen.
7 § I databasen får behandlas uppgifter om yrkande och grunder i ett ärende, beslut i ett ärende med angivande av skälen för beslutet samt andra uppgifter som behövs för handläggningen av ett ärende.
Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.
8 § Personuppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 5, 6 och 10 §§.
9 § Handlingar som hör till ett ärende får behandlas i databasen. Sådana handlingar får innehålla de uppgifter som har lämnats i eller är nödvändiga för handläggningen av ärendet.
Utlämnande av uppgifter till enskilda på medium för automatiserad behandling
10 § Uppgifter i databasen får lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.
Direktåtkomst
11 § Riksskatteverket, skattemyndigheter, länsstyrelser och kommunala valnämnder får ha direktåtkomst till databasen. De kommunala valnämnderna får inte ha direktåkomst till handlingar som avses i 9 §.
Regeringen får meddela föreskrifter om att annan får ha direktåtkomst till databasen för ändamål som anges i 3 §, dock inte till handlingar som avses i 9 §.
Regeringen får meddela föreskrifter om inskränkning i en myndighets eller annans direktåtkomst till databasen.
12 § Regeringen får meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om sig själv i databasen.
Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får omfattas av direktåtkomst enligt första stycket.
13 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om allmän direktåtkomst till uppgifter i databasen som finns på valsedlar.
Direktåtkomst enligt första stycket får inte vara utformad så att uppgifter om flera personer kan behandlas på automatiserad väg vid inhämtandet.
Sökbegrepp
14 § Vid sökning i databasen får uppgift om medborgarskap inte användas som sökbegrepp, annat än i fråga om medborgarskap i ett land inom Europeiska unionen eller i Island eller Norge.
15 § Vid sökning efter handlingar som avses i 9 § får som sökbegrepp användas endast ärendebeteckning, beteckning på handling eller annan uppgift som behövs för att identifiera ett ärende eller en handling.
Gallring
16 § Uppgifter om en person som avses i 4 § 1 skall gallras en månad efter att det val eller den folkomröstning för vilket eller vilken uppgifterna behandlas i databasen har vunnit laga kraft. Om flera val hålls samtidigt skall uppgifterna dock gallras en månad efter att samtliga val har vunnit laga kraft.
Uppgifter om en person som avses i 4 § 2 skall gallras vid utgången av den mandatperiod för vilken uppgifterna behandlas i databasen.
17 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter eller handlingar skall gallras vid en annan tidpunkt än de som anges i 16 § eller att uppgifter eller handlingar skall bevaras.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
Övriga bestämmelser
18 § Riksskatteverket, skattemyndigheter och länsstyrelser får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
19 § Regeringen får meddela närmare föreskrifter om hur uppgifterna i databasen skall vara indelade.
3 kap. Enskildas rättigheter
Information till den registrerade
1 § Vid tillämpningen av denna lag gäller bestämmelserna om information till den registrerade i 23 och 25–27 §§personuppgiftslagen (1998:204), med den begränsning som anges i 2 §.
2 § En handling som avses i 2 kap. 9 § behöver inte lämnas ut till en enskild i samband med att en myndighet fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen (1998:204), om den enskilde har tagit del av handlingens innehåll.
I fall som avses i första stycket skall information i stället lämnas om att handlingen behandlas i databasen. Fullständig information skall emellertid lämnas om den enskilde begär det.
Rättelse
3 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204).
Skadestånd
4 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204).
Överklagande
5 § En myndighets beslut om information som skall lämnas efter ansökan och om rättelse får överklagas hos allmän förvaltningsdomstol.
Andra beslut enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
______________
1. Denna lag träder i kraft den 1 oktober 2001, då lagen (1997:158) om röstlängdsregister skall upphöra att gälla. Den äldre lagens bestämmelser om gallring och innehåll i ett register gäller dock fortfarande i fråga om uppgifter och handlingar som har tillförts registret före den 1 oktober 2001.
2. Bestämmelser i lagen om grundläggande krav på behandling av personuppgifter samt behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m., skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
3. Har en begäran om registerutdrag enligt 10 § datalagen (1973:289) kommit in innan denna lag träder i kraft men har utdraget inte expedierats före ikraftträdandet, skall framställningen anses som en ansökan om information enligt denna lag.
4. Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft för den aktuella behandlingen.
5. Bestämmelsen om överklagande skall tillämpas endast på beslut som fattas efter ikraftträdandet.
4. Förslag till Lag om behandling av uppgifter i exekutionsväsendets verksamhet
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens tillämpningsområde
1 § Denna lag tillämpas vid behandling av personuppgifter och vissa andra uppgifter i exekutionsväsendets verksamhet med utsökning och indrivning, skuldsanering, betalningsföreläggande och handräckning, tillsyn i konkurs samt i annan verksamhet som särskilt åligger kronofogdemyndigheter, om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Förhållandet till personuppgiftslagen
2 § När personuppgifter behandlas enligt denna lag gäller bestämmelserna i personuppgiftslagen (1998:204) om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 §,
4. behandling av personnummer i 22 §,
5. säkerheten vid behandling i 30
- 32 §§,
6. överföring av personuppgifter till tredje land i 33–35 §§,
7. personuppgiftsombudets uppgifter m.m. i 38
- 41 §§,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, samt
9. straff i 49 §.
Personuppgiftsansvar
3 § Riksskatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som ankommer på verket att utföra och en kronofogdemyndighet för den behandling som ankommer på myndigheten att utföra.
Behandling av känsliga personuppgifter m.m.
4 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i eller är nödvändiga för handläggningen av ett mål eller ärende.
För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.
Gallring
5 § Uppgifter som är föremål för automatiserad behandling i ett mål eller ärende skall gallras senast ett år efter det att målet eller ärendet har avslutats.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter skall gallras vid en annan tidpunkt än den som anges i första stycket eller att uppgifter skall bevaras.
För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.
2 kap. Exekutionsväsendets databaser
Utsöknings- och indrivningsdatabasen
Ändamål
1 § I verksamheten med utsökning och indrivning skall det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 2 och 3 §§ angivna ändamålen (utsöknings- och indrivningsdatabas).
2 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs inom exekutionsväsendet för
1. verkställighet eller annan åtgärd som särskilt åligger kronofogdemyndigheter enligt utsökningsbalken eller annan författning,
2. indrivning av statliga fordringar m.m.,
3. avräkning vid återbetalning av skatter och avgifter,
4. kvittning vid utbetalning av bidrag,
5. ansökan om och tillsyn över näringsförbud,
6. tillsyn, kontroll, uppföljning och planering av verksamheten, samt
7. framställning av statistik.
3 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför exekutionsväsendet för
1. avräkning vid återbetalning av skatter och avgifter,
2. kvittning vid utbetalning av bidrag,
3. planering, samordning och uppföljning av revisions- och annan kontrollverksamhet vid beskattning och tulltaxering,
4. utredningar vid bestämmande och betalning av skatter, tullar och socialavgifter,
5. tillsyn samt lämplighets-, tillstånds- och annan liknande prövning, samt
6. framställning av statistik.
Innehåll
4 § I databasen får behandlas uppgifter om personer som omfattas av verksamhet enligt 2 § 1–5. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett mål.
5 § För de ändamål som anges i 2 § får i databasen behandlas uppgifter om
1. en fysisk persons identitet, bosättning, familjeförhållanden och andra liknande basuppgifter,
2. en juridisk persons identitet, säte och andra liknande basuppgifter,
3. en enskilds ekonomiska förhållanden,
4. egendom som berörs i ett mål,
5. yrkande och grunder i ett mål eller ärende,
6. utslag i mål om betalningsföreläggande, samt
7. beslut med angivande av skälen för beslutet, betalning, redovisning och övriga åtgärder i ett mål eller ärende.
Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.
6 § Personuppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 29 §. Uppgift om att en kronofogdemyndighet gjort anmälan om misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål, får dock behandlas även i andra fall.
Gallring
7 § Uppgifter och handlingar i databasen skall gallras fem år efter utgången av det kalenderår då det mål eller ärende som uppgifterna eller handlingarna hänför sig till avslutades. Uppgifter som inte kan hänföras till ett visst mål eller ärende skall gallras fem år efter utgången av det kalenderår då samtliga mål avseende den person som uppgifterna hänför sig till var avslutade. Uppgifter om utslag i mål om betalningsföreläggande skall gallras tio år efter utgången av det kalenderår då utslaget vann laga kraft.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter eller handlingar skall gallras vid en annan tidpunkt än de som anges i första stycket eller att uppgifter eller handlingar skall bevaras.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
Betalningsföreläggande- och handräckningsdatabasen
Ändamål
8 § I verksamheten med betalningsföreläggande och handräckning skall det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 9 och 10 §§ angivna ändamålen (betalningsföreläggande- och handräckningsdatabas).
9 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs inom exekutionsväsendet för
1. handläggningen av mål om betalningsföreläggande eller handräckning,
2. tillsyn, kontroll, uppföljning och planering av verksamheten, samt
3. framställning av statistik.
10 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför exekutionsväsendet för tillsyn samt lämplighets-, tillstånds- och annan liknande prövning samt för framställning av statistik.
Innehåll
11 § I databasen får behandlas uppgifter om personer som omfattas av verksamhet enligt 9 § 1. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett mål.
12 § För de ändamål som anges i 9 § får i databasen behandlas uppgifter om
1. en fysisk persons identitet, bosättning och andra liknande basuppgifter,
2. en juridisk persons identitet, säte och andra liknande basuppgifter,
3. yrkande och grunder i ett mål,
4. övriga förhållanden, om de tillförs ett mål och är av betydelse för handläggningen, samt
5. beslut med angivande av skälen för beslutet och övriga åtgärder i ett mål.
Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.
13 § Personuppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 29 §. Uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål får dock behandlas även i andra fall, om uppgifterna utgör grund för en begäran om utslag.
Gallring
14 § Uppgifter och handlingar i databasen skall gallras tre år efter utgången av det kalenderår då det mål som uppgifterna eller handlingarna hänför sig till avslutades.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter eller handlingar skall gallras vid en annan tidpunkt än den som anges i första stycket eller att uppgifter eller handlingar skall bevaras.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
Skuldsaneringsdatabasen
Ändamål
15 § I verksamheten med skuldsanering skall det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 16 och 17 §§ angivna ändamålen (skuldsaneringsdatabas).
16 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs inom exekutionsväsendet för
1. handläggning av ärenden om skuldsanering,
2. tillsyn, kontroll, uppföljning och planering av verksamheten, samt
3. framställning av statistik.
17 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför exekutionsväsendet för tillsyn samt lämplighets-, tillstånds- och annan liknande prövning samt för framställning av statistik.
Innehåll
18 § I databasen får behandlas uppgifter om personer som omfattas av verksamhet enligt 16 § 1. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.
19 § För de ändamål som anges i 16 § får i databasen behandlas uppgifter om
1. en fysisk persons identitet, bosättning, familjeförhållanden och andra liknande basuppgifter,
2. en juridisk persons identitet, säte och andra liknande basuppgifter,
3. en enskilds ekonomiska förhållanden,
4. yrkande och grunder i ett ärende, samt
5. beslut med angivande av skälen för beslutet samt övriga åtgärder i ett ärende.
Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.
20 § Personuppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 29 §. Uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål får dock
behandlas även i andra fall, om uppgifterna utgör grund för en fordran i ett ärende.
Gallring
21 § Uppgifter och handlingar i databasen skall gallras fem år efter utgången av det kalenderår då det ärende som uppgifterna eller handlingarna hänför sig till avslutades. Har skuldsanering beviljats i ett ärende skall uppgifter och handlingar dock gallras sju år efter utgången av det kalenderår då beslutet att bevilja skuldsanering fattades.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter eller handlingar skall gallras vid en annan tidpunkt än de som anges i första stycket eller att uppgifter eller handlingar skall bevaras.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter och handlingar som gallras ur databasen skall överlämnas till en arkivmyndighet.
Konkurstillsynsdatabasen
Ändamål
22 § I verksamheten med tillsyn i konkurs skall det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 23 och 24 §§ angivna ändamålen (konkurstillsynsdatabas).
23 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs inom exekutionsväsendet för
1. handläggningen av konkurstillsynsärenden och mål enligt lönegarantilagen (1992:497),
2. tillsyn, kontroll, uppföljning och planering av verksamheten, samt
3. framställning av statistik.
24 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför exekutionsväsendet för tillsyn samt lämplighets-, tillstånds- och annan liknande prövning samt för framställning av statistik.
Innehåll
25 § I databasen får behandlas uppgifter om personer som omfattas av verksamheten enligt 23 § 1. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett mål eller ärende.
26 § För de ändamål som anges i 23 § får i databasen behandlas uppgifter om
1. en fysisk persons identitet, bosättning, familjeförhållanden och andra liknande basuppgifter,
2. en juridisk persons identitet, säte och andra liknande basuppgifter,
3. en enskilds ekonomiska förhållanden,
4. domstols eller myndighets beslut,
5. yrkande och grunder i ett mål eller ärende, samt
6. beslut med angivande av skälen för beslutet och övriga åtgärder i ett mål eller ärende.
Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.
27 § Uppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 29 §.
Gallring
28 § Uppgifter och handlingar i databasen som kan hänföras till ett konkurstillsynsärende skall gallras fem år efter utgången av det kalenderår då ärendet avslutades, dock tidigast tio år efter utgången av det kalender år då beslutet om konkurs fattades. Uppgifter och handlingar som kan hänföras till mål enligt lönegarantilagen (1992:497) skall gallras tre år efter utgången av det kalenderår då handläggningen av målet avslutades.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter eller handlingar skall gallras vid en annan tidpunkt än de som anges i första stycket eller att uppgifter eller handlingar skall bevaras.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
Gemensamma bestämmelser om databaserna
Elektroniska handlingar
29 § Handlingar som hör till ett mål eller ärende får behandlas i en databas. Sådana handlingar får innehålla de uppgifter som har lämnats i eller är nödvändiga för handläggningen av målet eller ärendet.
Utlämnande av uppgifter till enskilda på medium för automatiserad behandling
30 § Uppgifter i en databas får lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.
Direktåtkomst
31 § Riksskatteverket, kronofogdemyndigheter, skattemyndigheter och
Tullverket får ha direktåtkomst till en databas. Regeringen får meddela föreskrifter om att även annan får ha direktåtkomst för de ändamål som anges i 3, 10, 17 respektive 24 §§.
Annan än Riksskatteverket och kronofogdemyndigheter får inte ha direktåtkomst till handlingar som avses i 29 §. Regeringen får meddela föreskrifter om ytterligare inskränkning i en myndighets eller annans direktåtkomst till en databas.
32 § Regeringen får meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om mål eller ärenden som han har gett in, dock inte till handlingar som avses i 29 §.
33 § Regeringen får meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om sig själv i en databas.
Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får omfattas av direktåtkomst enligt första stycket.
Sökbegrepp
34 § Vid sökning efter handlingar som avses i 29 § får som sökbegrepp användas endast mål- eller ärendebeteckning, beteckning på handling eller annan uppgift som behövs för att identifiera ett mål eller ärende eller en handling.
Övriga bestämmelser
35 § Riksskatteverket och kronofogdemyndigheter får ta ut avgifter för att lämna ut uppgifter ur en databas enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av allmän handling enligt tryckfrihetsförordningen.
36 § Regeringen får meddela närmare föreskrifter om hur uppgifterna i en databas skall vara indelade.
3 kap. Enskildas rättigheter
Information till den registrerade
1 § Vid tillämpningen av denna lag gäller bestämmelserna om information till den registrerade i 23 och 25–27 §§personuppgiftslagen (1998:204), med den begränsning som anges i 2 §.
2 § En handling som avses i 2 kap. 29 § behöver inte lämnas ut till en enskild i samband med att en myndighet fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen (1998:204), om den enskilde har tagit del av handlingens innehåll.
I fall som avses i första stycket skall information i stället lämnas om att handlingen behandlas i en databas. Fullständig information skall emellertid lämnas om den enskilde begär det.
Rättelse
3 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204).
Skadestånd
4 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204).
Överklagande
5 § En myndighets beslut om information som skall lämnas efter ansökan och om rättelse får överklagas hos allmän förvaltningsdomstol.
Andra beslut enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
______________
1. Denna lag träder i kraft den 1 oktober 2001, då utsökningsregisterlagen (1986:617) och lagen (1991:876) om register för betalningsföreläggande och handräckning skall upphöra att gälla. De äldre lagarnas bestämmelser om gallring och innehåll i ett register gäller dock fortfarande i fråga om uppgifter och handlingar som har tillförts registret före den 1 oktober 2001.
2. Bestämmelser i lagen om grundläggande krav på behandling av personuppgifter samt behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m., skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
3. Har en begäran om registerutdrag enligt 10 § datalagen (1973:289) kommit in innan denna lag träder i kraft men har utdraget inte expedierats före ikraftträdandet, skall framställningen anses som en ansökan om information enligt denna lag.
4. Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft för den aktuella behandlingen.
5. Bestämmelsen om överklagande skall tillämpas endast på beslut som fattas efter ikraftträdandet.
5. Förslag till Lag om behandling av uppgifter i Tullverkets verksamhet
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens tillämpningsområde
1 § Denna lag tillämpas vid behandling av personuppgifter och vissa andra uppgifter i Tullverkets verksamhet, om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Bestämmelserna i denna lag gäller inte behandling av uppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. För sådan behandling finns det bestämmelser i lagen (1997:1058) om register i Tullverkets brottsbekämpande verksamhet.
Förhållandet till personuppgiftslagen
2 § När personuppgifter behandlas enligt denna lag gäller bestämmelserna i personuppgiftslagen (1998:204) om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 §,
4. behandling av personnummer i 22 §,
5. säkerheten vid behandling i 30
- 32 §§,
6. överföring av personuppgifter till tredje land i 33–35 §§,
7. personuppgiftsombudets uppgifter m.m. i 38
- 41 §§,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, samt
9. straff i 49 §.
Personuppgiftsansvar
3 § Tullverket är personuppgiftsansvarigt för behandling av personuppgifter.
Behandling av känsliga personuppgifter m.m.
4 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i eller är nödvändiga för handläggningen av ett ärende.
För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.
Gallring
5 § Uppgifter som är föremål för automatiserad behandling i ett ärende skall gallras senast ett år efter det att ärendet har avslutats.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter skall gallras vid en annan tidpunkt än den som anges i första stycket eller att uppgifter skall bevaras.
För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.
2 kap. Tulldatabasen
Ändamål
1 § I Tullverkets verksamhet skall det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 2 och 3 §§ angivna ändamålen (tulldatabas).
2 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs hos Tullverket för
1. fastställande, uppbörd, återbetalning och redovisning av tull, annan skatt och avgifter,
2. övervakning, kontroll, analys och revision,
3. fullgörande av åligganden som följer av internationella överenskommelser om Sverige efter riksdagens godkännande har tillträtt,
4. tillsyn, kontroll, uppföljning och planering av verksamheten, samt
5. framställning av statistik.
3 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet hos annan än Tullverket för
1. fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,
2. övervakning, kontroll, analys och revision,
3. prövning, granskning och tillsyn som åligger en skattemyndighet,
4. utsökning och indrivning, samt
5. framställning av statistik.
Innehåll
4 § I databasen får behandlas uppgifter om personer som omfattas av verksamhet enligt 2 § 1–3. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.
5 § För de ändamål som anges i 2 § får i databasen behandlas uppgifter om
1. en fysisk persons identitet, bosättning och andra liknande basuppgifter,
2. en juridisk persons identitet, säte och andra liknande basuppgifter,
3. identitetsbeteckningar för transportmedel, containrar och tankar,
4. tulltaxor,
5. underlag för statistikframställning,
6. registrering för skatter eller avgifter,
7. underlag för och bestämmande eller kontroll av tull, annan skatt eller avgifter,
8. tillstånd eller licenser som krävs för import eller export av varor,
9. yrkande och grunder i ett ärende, samt 10. beslut med angivande av skälen för beslutet, betalning, redovisning och övriga åtgärder i ett ärende.
I databasen får även behandlas de uppgifter som behövs för fullgörande av ett åliggande som följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.
Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.
6 § Personuppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 7 §.
7 § Handlingar som hör till ett ärende får behandlas i databasen.
Sådana handlingar får innehålla de uppgifter som har lämnats i eller är nödvändiga för handläggningen av ärendet.
Utlämnande av uppgifter till enskilda på medium för automatiserad behandling
8 § Uppgifter i databasen får lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det eller om utlämnandet av uppgifterna följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.
Direktåtkomst
9 § Tullverket, Riksskatteverket, skattemyndigheter och kronofogdemyndigheter får ha direktåtkomst till databasen. Regeringen får meddela föreskrifter om att även annan får ha direktåtkomst för ändamål som anges i 3 §.
Annan än Tullverket får inte ha direktåtkomst till handlingar som avses i 7 §. Regeringen får föreskriva om ytterligare inskränkning i en myndighets eller annans direktåtkomst till databasen.
10 § Regeringen får meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om sig själv i databasen.
Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får omfattas av direktåtkomst enligt första stycket.
Sökbegrepp
11 § Vid sökning efter handlingar som avses i 7 § får som sökbegrepp användas endast tullidentifikationsnummer (tullid), beteckning på handling eller annan uppgift som behövs för att identifiera ett ärende eller en handling.
Gallring
12 § Uppgifter och handlingar i databasen skall gallras sex år efter utgången av det kalenderår då uppgifterna eller handlingarna behandlades i databasen första gången.
Om det i lag eller annan författning har föreskrivits längre tid för bevarande av vissa uppgifter än vad som anges i första stycket, gäller den föreskriften.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter eller handlingar skall gallras vid en annan
tidpunkt än den som anges i första stycket eller att uppgifter eller handlingar skall bevaras.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
Övriga bestämmelser
13 § Tullverket får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av allmän handling enligt tryckfrihetsförordningen.
14 § Regeringen får meddela närmare föreskrifter om hur uppgifterna i databasen skall vara indelade.
3 kap. Enskildas rättigheter
Information till den registrerade
1 § Vid tillämpningen av denna lag gäller bestämmelserna om information till den registrerade i 23 och 25–27 §§personuppgiftslagen (1998:204), med den begränsning som anges i 2 §.
2 § En handling som avses i 2 kap. 7 § behöver inte lämnas ut till en enskild i samband med att Tullverket fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen (1998:204), om den enskilde har tagit del av handlingens innehåll.
I fall som avses i första stycket skall information i stället lämnas om att handlingen behandlas i databasen. Fullständig information skall emellertid lämnas om den enskilde begär det.
Rättelse
3 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204).
Skadestånd
4 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204).
Överklagande
5 § Tullverkets beslut om information som skall lämnas efter ansökan och om rättelse får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
_______________
1. Denna lag träder i kraft den 1 oktober 2001, då tullregisterlagen (1990:137) skall upphöra att gälla. Den äldre lagens bestämmelser om gallring och innehåll i ett register gäller dock fortfarande i fråga om uppgifter och handlingar som har tillförts registret före den 1 oktober 2001.
2. Bestämmelser i lagen om grundläggande krav på behandling av personuppgifter samt behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m., skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
3. Har en begäran om registerutdrag enligt 10 § datalagen (1973:289) kommit in innan denna lag träder i kraft men har utdraget inte expedierats före ikraftträdandet, skall framställningen anses som en ansökan om information enligt denna lag.
4. Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft för den aktuella behandlingen.
5. Bestämmelsen om överklagande skall tillämpas endast på beslut som fattas efter ikraftträdandet.
6. Förslag till Lag om ändring i sekretesslagen (1980:100)
Härigenom föreskrivs att 9 kap.1 och 19 §§sekretesslagen (1980:100) skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
9 kap.
1 §1
Sekretess gäller i myndighets verksamhet, som avser bestämmande av skatt eller som avser taxering eller i övrigt fastställande av underlag för bestämmande av skatt, för uppgift om enskilds personliga eller ekonomiska förhållanden. Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur register som avses i skatteregisterlagen (1980:343)för uppgift som har tillförts sådant register och hos kommun eller landsting för uppgift som har lämnats dit i ett ärende om förhandsbesked i skatte- eller taxeringsfråga. Uppgift hos Tullverket får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. För uppgift i mål hos domstol gäller sekretessen endast om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Detsamma gäller uppgift som med anledning av överklagande hos domstol registreras hos annan myndighet enligt 15 kap. 2 § första stycket 3
Sekretess gäller i myndighets verksamhet, som avser bestämmande av skatt eller som avser taxering eller i övrigt fastställande av underlag för bestämmande av skatt, för uppgift om enskilds personliga eller ekonomiska förhållanden. Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur beskattningsdatabasen enligt lagen (0000:000) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet och tulldatabasen enligt lagen (0000:000) om behandling av uppgifter i
Tullverkets verksamhet för uppgift som har tillförts databaserna samt hos kommun eller landsting för uppgift som har lämnats dit i ett ärende om förhandsbesked i skatte- eller taxeringsfråga. Uppgift hos
Tullverket får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. För uppgift i mål hos domstol gäller sekretessen endast om det kan antas
1 Senaste lydelse 1999:301.
eller 4. Har uppgift i mål hos domstol erhållits från annan myndighet och är den sekretessbelagd där, gäller dock denna sekretess hos domstolen, om uppgiften saknar betydelse i målet.
att den enskilde lider skada eller men om uppgiften röjs. Detsamma gäller uppgift som med anledning av överklagande hos domstol registreras hos annan myndighet enligt 15 kap. 2 § första stycket 3 eller 4. Har uppgift i mål hos domstol erhållits från annan myndighet och är den sekretessbelagd där, gäller dock denna sekretess hos domstolen, om uppgiften saknar betydelse i målet
Med skatt avses i detta kapitel skatt på inkomst och, med undantag för arvsskatt och gåvoskatt, annan direkt skatt samt omsättningsskatt, tull och annan indirekt skatt. Med skatt jämställs arbetsgivaravgift, prisregleringsavgift och liknande avgift, avgift enligt lagen (1999:291) om avgift till registrerat trossamfund samt skattetillägg och förseningsavgift. Med verksamhet som avser bestämmande av skatt jämställs verksamhet som avser bestämmande av pensionsgrundande inkomst.
Sekretessen gäller inte beslut, varigenom skatt eller pensionsgrundande inkomst bestäms eller underlag för bestämmande av skatt fastställs, såvida inte beslutet meddelas i ärende om
1. förhandsbesked i taxerings- eller skattefråga,
2. medgivande att skattepliktig intäkt enligt reglerna om statlig inkomstskatt inte skall anses uppkomma vid avyttring av aktier i fåmansföretag,
3. beskattning av utländska forskare vid tillfälligt arbete i Sverige när beslutet har fattats av Forskarskattenämnden.
Om det inte av särskild anledning kan antas att den enskilde som uppgiften avser eller någon honom närstående lider men om uppgiften röjs, får till enskild lämnas ut uppgift om
1. registrering enligt skattebetalningslagen (1997:483) samt särskilt registrerings- och redovisningsnummer,
2. organisationsnummer och firma,
3. på vilket sätt den preliminära skatten skall betalas för en fysisk person,
4. registrering av skyldighet att inbetala innehållen preliminär A-skatt eller arbetsgivaravgifter,
5. slag av näringsverksamhet, samt
6. beslut om likvidation eller konkurs.
Utan hinder av sekretessen får uppgift lämnas till enskild enligt vad som föreskrivs i lag om förfarande vid beskattning eller om skatteregister. Vidare får utan hinder av sekretessen uppgift i en revisionspromemoria lämnas till förvaltare i den reviderades konkurs.
Utan hinder av sekretessen får uppgift lämnas till enskild enligt vad som föreskrivs i lag om förfarande vid beskattning. Vidare får utan hinder av sekretessen uppgift i en revisionspromemoria lämnas till förvaltare i den reviderades konkurs.
I fråga om uppgift i allmän handling gäller sekretessen i högst tjugo år. För uppgift om avgift enligt lagen om avgift till registrerat trossamfund gäller dock sekretessen i högst sjuttio år.
19 §2
Sekretess gäller inom exekutionsväsendet i mål eller ärende angående exekutiv verksamhet för uppgift om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller honom närstående lider avsevärd skada eller betydande men om uppgiften röjs. Sekretessen gäller dock inte uppgift om förpliktelse som avses med den sökta verkställigheten och inte heller beslut i målet eller ärendet.
Sekretess gäller inom exekutionsväsendet i mål eller ärende angående utsökning och indrivning samt i verksamhet enligt lagen (1986:436) om näringsförbud, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller honom närstående lider skada eller men. Sekretessen gäller dock inte uppgift om förpliktelse som avses med den sökta verkställigheten i ett pågående mål och inte heller beslut i ett mål eller ärende.
2 Senaste lydelse 1995:1371.
Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur ett utsökningsregister för uppgift som har tillförts registret.
Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur utsöknings- och indrivningsdatabasen enligt lagen (0000:000) om behandling av uppgifter i exekutionsväsendets verksamhet för uppgift som har tillförts databasen.
Utan hinder av sekretessen får uppgifter om en enskild lämnas till förvaltare i den enskildes konkurs.
I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år, såvitt angår uppgift om enskilds personliga förhållanden, och annars i högst tjugo år.
14 kap.
10 §3
Myndighet får uppställa förbehåll, som inskränker enskild mottagares rätt att lämna uppgift vidare eller utnyttja uppgift, också när
1. myndigheten enligt 5 § lämnar sekretessbelagd uppgift till part, ställföreträdare, ombud eller biträde,
2. myndigheten med stöd av 7 § första stycket lämnar uppgift till någon som inte är knuten till myndigheten på det sätt som anges i 1 kap. 6 §,
3. myndigheten med stöd av 9 kap. 1 § fjärde stycket andra meningen eller 9 kap. 2 § fjärde stycket lämnar uppgift till konkursförvaltare.
Myndighet får uppställa förbehåll, som inskränker enskild mottagares rätt att lämna uppgift vidare eller utnyttja uppgift, också när
1. myndigheten enligt 5 § lämnar sekretessbelagd uppgift till part, ställföreträdare, ombud eller biträde,
2. myndigheten med stöd av 7 § första stycket lämnar uppgift till någon som inte är knuten till myndigheten på det sätt som anges i 1 kap. 6 §,
3. myndigheten med stöd av 9 kap. 1 § femte stycket andra meningen, 9 kap. 2 § fjärde stycket eller 9 kap. 19 § tredje stycket lämnar uppgift till konkursförvaltare.
3 Senaste lydelse 1994:595.
Förbehåll enligt första stycket 1 får inte innebära förbud mot att utnyttja uppgiften i målet eller ärendet eller mot att lämna muntlig upplysning till part, ställföreträdare, ombud eller biträde.
Har förbehåll uppställts enligt första stycket 2, skall i fråga om förbehållet gälla vad som föreskrivs i 7 § tredje och fjärde styckena angående förbud att lämna ut eller utnyttja uppgift.
Ett förbehåll enligt första stycket 3 får inte innebära ett förbud att utnyttja uppgiften om den behövs för att förvaltaren skall kunna fullgöra de skyldigheter som åvilar honom i anledning av konkursen.
Förordnande av regeringen eller riksdagen för särskilt fall om undantag från sekretess för uppgift får förenas med villkor att förbehåll som anges i första stycket skall uppställas vid utlämnande av uppgiften.
_____________
Denna lag träder i kraft den 1 oktober 2001.
7. Förslag till Lag om ändring i tullagen (1994:1550)
Härigenom föreskrivs att 11 och 118 §§tullagen (1994:1550) skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
11 §1
I verksamheten enligt tullagstiftningen använder Tullverket ett system för automatsik databehandling (tulldatasystemet). Bestämmelser om register som ingår i systemet finns i tullregisterlagen (1990:137).
I verksamheten enligt tullagstiftningen använder Tullverket ett system för automatsik databehandling (tulldatasystemet). Bestämmelser om behandling av uppgifter i systemet finns i lagen (0000:000) om behandling av uppgifter i Tullverkets verksamhet.
118 §2
Tullverket skall på begäran tillhandahålla Sveriges Riksbank, Riksskatteverket, Statens livsmedelsverk, Statens jordbruksverk, Kommerskollegium, skattemyndighet, Statistiska centralbyrån, Kemikalieinspektionen och Fiskeriverket uppgifter som förekommer hos Tullverket och som rör import eller export av varor.
Tullverket skall på begäran tillhandahålla Sveriges Riksbank, Riksskatteverket, Statens livsmedelsverk, Statens jordbruksverk, Kommerskollegium, skattemyndighet, kronofogdemyndighet, Statistiska centralbyrån, Kemikalieinspektionen och Fiskeriverket uppgifter som förekommer hos Tullverket och som rör import eller export av varor.
1 Senaste lydelse 1999:425. 2
Senaste lydelse 1999:425.
I tullregisterlagen (1990:137) finns bestämmelser om utlämnande till vissa myndigheter av uppgifter ur tullregistret på medium för automatisk databehandling.
_____________
Denna lag träder i kraft den 1 oktober 2001.
8. Förslag till Lag om ändring i kreditupplysningslagen (1973:1173)
Härigenom föreskrivs att det i kreditupplysningslagen (1973:1173) skall införas en ny paragraf, 7 a §, av följande lydelse.
7 a §
När en uppgift som hämtats in från en databas som avses i 2 kap. 1 eller 8 § lagen ( 0000:000 ) om behandling av uppgifter i exekutionsväsendets verksamhet inte längre omfattas av undantaget från sekretess i 9 kap. 19 § första stycket andra meningen sekretesslagen (1980:100) , skall den gallras så snart det kan ske och senast innan en upplysning lämnas om den som uppgiften avser.
_____________
Denna lag träder i kraft den 1 oktober 2001.
9. Förslag till Lag om ändring i lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter
Härigenom föreskrivs i fråga om lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter1
dels att i 2 och 3 §§ orden ”ett utsökningsregister” skall bytas ut mot ”utsöknings- och indrivningsdatabasen enligt lagen (0000:000) om behandling av uppgifter i exekutionsväsendets verksamhet”,
dels att i 15 § ordet ”utsökningsregistret” skall bytas ut mot ”utsökningsoch indrivningsdatabasen enligt lagen (0000:000) om behandling av uppgifter i exekutionsväsendets verksamhet”.
_____________
Denna lag träder i kraft den 1 oktober 2001
1 Senaste lydelse av 2, 3 och 15 §§ 1995:1372.
10. Förslag till Lag om ändring i folkbokföringslagen (1991:481)
Härigenom föreskrivs att 1 och 28 §§folkbokföringslagen (1991:481) skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §1
Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av uppgifter om identitet, familj och andra förhållanden som enligt lagen (1990:1536) om folkbokföringsregister får förekomma i sådant register.
Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av uppgifter om identitet, familj och andra förhållanden som enligt lagen (0000:000) om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet får förekomma i folkbokföringsdatabasen.
Vigsel, födelse och dödsfall i landet skall registreras även i fråga om en person som inte är eller har varit folkbokförd.
Folkbokföring och registrering som avses i andra stycket sker genom skattemyndighetens försorg.
28 §2
Anmälan enligt 25 eller 26 § skall innehålla följande uppgifter:
1. namn och personnummer,
2. datum för ändring av bostads- eller postadress,
3. ny bostads- och postadress och, om fastigheten innehåller flera bostadslägenheter, lägenhetsbeteckning som avses i lagen (1995:1537)om lägenhetsregister samt beräknad giltighetstid,
4. registerbeteckning för den fastighet som den nya bostadsadressen avser,
5. vem som upplåtit den fastighet eller bostadslägenhet som den nya bostadsadressen avser.
Anmälan enligt 26 § skall dessutom innehålla uppgift om inflyttningsdag till landet, avsikten med vistelsen här och dess
Anmälan enligt 26 § skall dessutom innehålla uppgift om inflyttningsdag till landet, avsikten med vistelsen här och dess
1 Senaste lydelse 1994:1975. 2
Senaste lydelse 1995:1538.
beräknade varaktighet samt de uppgifter som får föras in i folkbokföringsregistret enligt lagen (1990:1536) om folkbokföringsregister.
beräknade varaktighet samt de uppgifter som får föras in i folkbokföringsdatabasen enligt lagen (0000:000) om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet
_____________
Denna lag träder i kraft den 1 oktober 2001.
11. Förslag till Lag om ändring i sametingslagen (1992:1433)
Härigenom föreskrivs att i 3 kap. 3 § sametingslagen (1992:1433)1 orden ”aviseringsregistret enligt lagen (1995:743) om aviseringsregister” skall bytas ut mot ”folkbokföringsdatabasen enligt lagen (0000:000) om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet”
_____________
Denna lag träder i kraft den 1 oktober 2001.
1
Senaste lydelse av 3 kap. 3 § 1997:168.
12. Förslag till Lag om ändring i lagen (1993:672) om skattereduktion för utgifter för byggnadsarbete på bostadshus
Härigenom föreskrivs att 17 § lagen (1993:672) om skattereduktion för utgifter för byggnadsarbete på bostadshus skall upphöra att gälla vid utgången av september 2001.
13. Förslag till Lag om ändring i lagen (1994:1563) om tobaksskatt
Härigenom föreskrivs att 36 § lagen (1994:1563) om tobaksskatt skall upphöra att gälla vid utgången av september 2001.
14. Förslag till Lag om ändring i lagen (1994:1564) om alkoholskatt
Härigenom föreskrivs att 36 § lagen (1994:1564) om alkoholskatt skall upphöra att gälla vid utgången av september 2001.
15. Förslag till Lag om ändring i lagen (1994:1776) om skatt på energi
Härigenom föreskrivs att 6 kap.11 och 12 §§ lagen (1994:1776) om skatt på energi skall upphöra att gälla vid utgången av september 2001.
16. Förslag till Lag om ändring i lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m.
Härigenom föreskrivs att 10, 13 och 14 §§ lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m. skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
10 §
Regeringen får meddela andra föreskrifter om skatte-, tull-, folkbokförings- och utsökningsregister än de som annars gäller.
Regeringen får meddela andra föreskrifter om behandling av personuppgifter i skatteförvaltningens beskattningsdatabas och folkbokföringsdatabas, exekutionsväsendets utsöknings- och indrivningsdatabas samt Tullverkets tulldatabas än de som annars gäller.
13 §1
Regeringen får överlåta sin befogenhet enligt 9 eller 10 § att meddela föreskrifter på Riksskatteverket eller, beträffande tullregister, Tullverket. Regeringen får vidare överlåta sin befogenhet enligt 11 § att meddela föreskrifter om omprövning på Riksskatteverket eller, beträffande tullar, Tullverket.
Regeringen får överlåta sin befogenhet enligt 9 eller 10 § att meddela föreskrifter på Riksskatteverket eller, beträffande tulldatabasen, Tullverket. Regeringen får vidare överlåta sin befogenhet enligt 11 § att meddela föreskrifter om omprövning på Riksskatteverket eller, beträffande tullar, Tullverket.
14 §2
Regeringen får överlåta befogenhet som regeringen har enligt de skatte-, tull-, avgifts-, folkbok-
Regeringen får överlåta befogenhet som regeringen har enligt de skatte-, tull-, avgifts- och folk-
1 Senaste lydelse 1999:432. 2
Senaste lydelse 1999:432.
förings- och registerförfattningar som reglerar förhållanden som omfattas av denna lag på
Riksskatteverket eller, beträffande tullar och tullregister, Tullverket.
bokföringsförfattningar samt de författningar om behandling av personuppgifter och andra uppgifter som reglerar förhållanden som omfattas av denna lag på
Riksskatteverket eller, beträffande tullar och behandling av uppgifter i Tullverkets verksamhet, Tullverket.
_____________
Denna lag träder i kraft den 1 oktober 2001.
17. Förslag till Lag om ändring i lagen (1995:1623) om skattereduktion för riskkapitalinvesteringar
Härigenom föreskrivs att 19 § lagen (1995:1623) om skattereduktion för riskkapitalinvesteringar skall upphöra att gälla vid utgången av september 2001.
18. Förslag till Lag om ändring i lagen (1996:725) om skattereduktion för utgifter för byggnadsarbete på bostadshus
Härigenom föreskrivs att 16 § lagen (1996:725) om skattereduktion för utgifter för byggnadsarbete på bostadshus skall upphöra att gälla vid utgången av september 2001.
19. Förslag till Lag om ändring i lagen (1996:1231) om skattereduktion för fastighetsskatt i vissa fall vid 1997–2001 års taxeringar
Härigenom föreskrivs att 7 § lagen (1996:1231) om skattereduktion för fastighetsskatt i vissa fall vid 1997–2001 års taxeringar skall upphöra att gälla vid utgången av september 2001.
20. Förslag till Lag om ändring i vallagen (1997:157)
Härigenom föreskrivs att i 2 kap. 6 §, 3 kap.2, 6 och 8 §§, 6 kap. 11 § samt 7 kap.4 och 6 §§vallagen (1997:157) orden ”aviseringsregistret enligt lagen (1995:743) om aviseringsregister” skall bytas ut mot ”folkbokföringsdatabasen enligt lagen (0000:000) om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet”.
1. Uppdraget
1.1. Utredningens direktiv
Vi har i uppdrag att göra en översyn av de författningar som reglerar register inom skatteförvaltningen och exekutionsväsendet samt tullregisterlagen (1990:137). Vi skall även gå igenom de register som inte är författningsreglerade och föreslå en sådan reglering i de fall det bedöms ändamålsenligt. Översynen skall göras med utgångspunkt från personuppgiftslagen (1998:204) samt Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Dessutom skall en allmän översyn göras av de författningar som reglerar skatteförvaltningens och exekutionsväsendets register. En utgångspunkt för utredningsarbetet skall vara att skapa enkla och lättbegripliga regler som är anpassade efter den tekniska utvecklingen och därvid beakta statistikens och forskningens behov. En annan utgångspunkt skall vara att anpassa regleringen så att den tillgodoser ett generellt behov av ADB-stöd i myndigheternas ärendehantering.
Bland de frågor som vi enligt direktiven särskilt skall undersöka kan noteras omfattningen av direktåtkomst till myndigheternas register, omfattningen av och formerna för utlämnande av uppgifter från skatte- och utsökningsregistren samt arkivering och gallring av ADB-material. Utgångspunkten för utredningsarbetet i denna del skall vara att direktåtkomst skall medges endast om behovet av sådan åtkomst överväger de risker från integritetssynpunkt som direktåtkomst kan medföra. Vi skall även överväga om sekretesslagens (1980:100) bestämmelser behöver ändras för att effektivisera skatte- och kronofogdemyndigheternas verksamhet, med hänsyn till den stora skillnad som i dag finns i sekretesskyddet mellan beskattningsverksamheten och den exekutiva verksamheten.
En annan fråga som vi skall utreda är om vissa handlingar även i framtiden skall undantas från myndigheternas skyldighet att lämna registerutdrag. Vi skall även undersöka om det i framtiden finns behov av att föra det särskilda taxeringsuppgiftsregistret vid sidan av skatteregistren. Vidare skall vi utreda vilka register som kan regleras inom ra-
men för en ny skatteregisterlag. På motsvarande sätt som inom beskattningsområdet skall vi undersöka vilka register inom exekutionsväsendet som kan ges en enhetlig reglering, eventuellt inom samma lag som utsökningsregistren. Detta gäller även beträffande registren för konkurstillsyn och det planerade handläggningsstödet för exekutiva försäljningar av fastigheter, luftfartyg, skepp och bostadsrätter.
Inom Tullverket pågår ett arbete med ett datoriserat system för riskanalys inom ramen för tulldatasystemet. Projektet syftar till att förändra arbetsmetoderna mot en mer generell inriktning och användning av riskanalyser i tullens klarerings- och kontrollarbete. Riskanalysarbetet är av sådan betydelse att vi skall överväga om inte denna användning av tulldatasystemet också bör avspeglas i tullregisterlagen.
Direktiven i sin helhet framgår av bilaga 1. Regeringen har genom beslut den 21 januari 1999 förlängt tiden för utredningens uppdrag till den 1 oktober 1999.
1.2. Utredningsarbetet
Vårt arbete har bedrivits med målsättningen att anpassa bestämmelserna om behandling av personuppgifter i de verksamheter som omfattas av uppdraget till dels dataskyddsdirektivets och personuppgiftslagens rättsliga ramar, dels verksamheternas behov av ett modernt och ändamålsenligt regelverk. Hänsyn har tagits särskilt till de integritetsaspekter som följer av användningen av omfattande automatiserade uppgiftssamlingar i myndighetsverksamhet.
Som ett led i arbetet har studiebesök gjorts hos Riksskatteverket och Generaltullstyrelsen för att inhämta information om de olika register som används i de aktuella verksamheterna och om vilka behov som kan förutses uppstå i framtiden i fråga om användningen av automatiserade behandlingar av uppgifter. I samma syfte har även Skattemyndigheten i Jönköpings län, Kronofogdemyndigheten i Jönköping samt Tullmyndigheten i Malmö besökts. Studiebesök har gjorts även hos Riksarkivet.
Vi har samrått med Ekosekretessutredningen (Ju 1997:04) och Tulllagsutredningen (Fi 1997:03). Samråd har ägt rum även med Statistikregelgruppen, en arbetsgrupp inom Justitiedepartementet.
2. Behandling av personuppgifter m.m.
Från och med den 24 oktober 1998 finns grundläggande bestämmelser om behandling av personuppgifter i personuppgiftslagen (1998:204). Lagen har sin utgångspunkt i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Detta kapitel innehåller en redogörelse för personuppgiftslagens bestämmelser samt för de internationella bestämmelser som är aktuella i fråga om den behandling av personuppgifter som omfattas av utredningsuppdraget. Även datalagen (1973:289), vars bestämmelser i vissa fall fortfarande tillämpas, behandlas kortfattat. I detta kapitel redogörs även för frågor om sekretess för uppgifter inom de statliga verksamheter som uppdraget avser.
2.1. Internationella konventioner m.m.
2.1.1. Dataskyddskonventionen
Internationella riktlinjer har meddelats för automatisk databehandling av personuppgifter. Bestämmelser av betydelse finns i bl.a. Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionens innehåll kan ses som en precisering av skyddet vid användning av automatisk databehandling enligt artikel 8 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna.
Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste uppfylla i sin nationella lagstiftning. Personuppgifter som är föremål för automatisk databehandling skall
hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Uppgifterna måste vara relevanta för och förenliga med ändamålen. Vidare måste uppgifterna vara riktiga och aktuella och får inte bevaras längre än vad som är nödvändigt för ändamålen. Vissa personuppgifter får behandlas endast om den nationella lagen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter om enskildas ras, politiska tillhörighet, religiösa tro eller övertygelse i övrigt, hälsa eller sexualliv eller uppgifter som hänför sig till misstanke om brott och dom för brott.
För att skydda personuppgifter mot oavsiktlig eller otillåten förstörelse m.m. föreskriver konventionen att lämpliga skyddsåtgärder skall vidtas. Vidare skall den registrerade ha möjligheter till insyn i register och till att få uppgifter rättade. I vissa fall får undantag göras från bestämmelserna om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar i den enskildes skydd förutsätter stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa ändamål, t.ex. statens penningintressen och brottsbekämpning samt för att skydda enskildas fri- och rättigheter.
Dataskyddskonventionens roll som riktmärke för automatiserad behandling av personuppgifter övertas i princip av dataskyddsdirektivet i och med att detta införlivas i EU-ländernas nationella lagstiftningar. Direktivet behandlas närmare i avsnitt 2.2.
2.1.2. Riktlinjer från OECD
Internationella riktlinjer för integritetsskydd och persondataflöde har även utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som återfinns i dataskyddskonventionen och redovisas inte närmare här. Det bör tilläggas att år 1998 antogs OECD:s ministerdeklaration ”Protection of Privacy on Global Networks”, som innebar att man slog fast intentionen att i ett internationellt perspektiv harmonisera de regler som bör gälla för hantering av personuppgifter i globala nätverk, för att skydda den personliga integriteten.
2.2. Dataskyddsdirektivet
Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivets principer om skydd för enskilda personers fri- och rättigheter är en precisering och förstärkning av principerna i dataskyddskonventionen från 1981. Syftet med direktivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte skall kunna hindra det fria flödet mellan dem av personuppgifter under hänvisning till enskilda personers fri- och rättigheter.
Dataskyddsdirektivet är direkt bindande för medlemsstaterna i fråga om det resultat som skall uppnås. För att bli gällande rätt måste direktivet införlivas i den nationella lagstiftningen. Medlemsstaterna bestämmer själva på vilket sätt direktivet skall införlivas, men är därvid starkt bundna av direktivets innehåll. Medlemsstaterna kan inte föreskriva vare sig ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som följer av dataskyddsdirektivet.
2.2.1. Tillämpningsområde
Dataskyddsdirektivet handlar om fysiska personers skydd. Skyddet för juridiska personer berörs inte av direktivet. Inte heller berörs sådan verksamhet som faller utanför gemenskapsrätten, däribland verksamhet som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.
Dataskyddsdirektivet omfattar inte bara automatiserad behandling utan också manuell behandling av personuppgifter, dock endast behandling av uppgifter som ingår eller kommer att ingå i ett register. Utanför tillämpningsområdet faller t.ex. ostrukturerade akter. Kriterierna för när uppgifterna är så strukturerade att fråga är om ett manuellt register bestäms inte i direktivet, utan kan utformas av varje enskild medlemsstat. Dataskyddsdirektivet omfattar inte behandling av personuppgifter för privat bruk, oavsett om behandlingen är automatiserad eller manuell.
2.2.2. Bestämmelser om när personuppgifter får behandlas
Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen skall vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.
Personuppgifter får enligt direktivet behandlas bara i vissa fall. Uppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgörande av avtal där den registrerade är part. Behandling får också ske om den är nödvändig för att fullgöra en rättslig förpliktelse, som åvilar den registeransvarige, eller för att skydda vitala intressen för den registrerade. Vidare får behandling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Slutligen får personuppgifter behandlas efter en intresseavvägning, nämligen om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas.
Vissa särskilda i direktivet angivna kategorier av uppgifter får inte behandlas utan uttryckligt samtycke av den registrerade. Det gäller sådana uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I vissa, särskilt angivna, undantagsfall får dock sådan behandling ske även utan den enskildes samtycke, t.ex. när behandling av sådana uppgifter är nödvändig för åtgärder inom hälso- och sjukvård eller liknande. Medlemsländerna får under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse besluta om andra undantag än de som anges i direktivet.
Behandling av uppgifter om lagöverträdelser och brottmålsdomar m.m. får utan särskilt stöd i nationell lagstiftning utföras endast under kontroll av en myndighet.
2.2.3. Information och rättelse m.m.
Dataskyddsdirektivet föreskriver att den registeransvarige skall informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige inte lämna någon information, om det skulle visa sig vara omöjligt eller
innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade. Om en uppgift rättas skall den registeransvarige underrätta tredje man som fått del av den felaktiga uppgiften. Underrättelse behövs dock inte i de fall där sådan är omöjlig eller förenad med en oproportionerligt stor arbetsinsats.
Medlemsstaterna får föreskriva begränsningar i fråga om vissa skyldigheter och rättigheter, bl.a. informationsskyldigheten och rättigheten att på begäran få tillgång till uppgifter. En sådan begränsning måste dock vara en nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. intresset av att undersöka, avslöja och åtala för brott samt skyddet av den registrerades eller andras fri- och rättigheter.
Till skydd för den registrerade innehåller direktivet även bestämmelser om säkerhet vid behandlingen. Genom lämpliga tekniska och organisatoriska åtgärder skall den registeransvarige skydda personuppgifter mot otillåten behandling samt mot förstöring, förlust, ändring eller otillåten spridning.
2.2.4. Tillsynsmyndighet
I dataskyddsdirektivet föreskrivs ett relativt omfattande anmälningsförfarande till en tillsynsmyndighet när det gäller helt eller delvis automatiserad behandling av personuppgifter. För icke-automatiserade behandlingar får medlemsländerna föreskriva ett förenklat anmälningsförfarande. Undantag från anmälningsplikt alternativt tillämpning av ett förenklat anmälningsförfarande får också föreskrivas dels om det med hänsyn till de behandlade uppgifterna inte är sannolikt att den registrerades fri- eller rättigheter kränks, dels om den registeransvarige har utsett ett uppgiftsskyddsombud.
2.2.5. Överföring av personuppgifter till tredje land
Direktivet syftar till ett fritt flöde av personuppgifter mellan medlemsländerna. Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att behandlas efter överföringen, till ett land utanför unionen (tredje land), får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat skyddsnivå får avgöras med hänsyn tagen till bl.a. de uppgifter som skall behandlas och ändamålet med behandlingen.
I vissa fall får personuppgifter föras över till länder vars lagstiftning i och för sig inte erbjuder en adekvat skyddsnivå. Det gäller bl.a. om den registrerade går med på att överföring sker eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen. Exempel på det sistnämnda är vissa överföringar vid internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter.
2.2.6. Medlemsländernas nationella lagstiftning
Dataskyddsdirektivet skulle vara införlivat i medlemsländernas nationella lagstiftningar senast den 24 oktober 1998. När det gäller sådan behandling av personuppgifter som pågick vid den tidpunkten, skall denna bringas i överensstämmelse med direktivet senast tre år därefter. I fråga om manuella register gäller dock en övergångstid om tolv år. För Sveriges del har införlivande av direktivet skett genom personuppgiftslagen, som trädde i kraft just den 24 oktober 1998. Enligt övergångsbestämmelserna till lagen skall dock äldre lagstiftning, dvs. datalagen, tillämpas i sådana fall och under de tider som anges i dataskyddsdirektivet i fråga om bl.a. pågående behandling av personuppgifter (se avsnitt 2.4.10).
2.3. Datalagen
Datalagen från 1973 har nu ersatts av personuppgiftslagen, vars innehåll i väsentliga delar avviker från den tidigare lagstiftningen. Datalagen skall dock alltjämt tillämpas på bl.a. behandling av personuppgifter som påbörjades före den 24 oktober 1998. De register som skall ses över inom ramen för utredningsuppdraget baseras dessutom på datalagens bestämmelser. Det är därför av intresse att redovisa de mer väsentliga delarna av den lagen.
2.3.1. Allmänt om lagen och dess tillämpningsområde
Enligt 2 kap. 3 § andra stycket regeringsformen (RF) skall den enskilde medborgaren skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling.
Den närmare omfattningen av skyddet, som inte omfattar juridiska personer, skall enligt bestämmelsen anges i lag.
Enligt datalagen skall med personregister förstås register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgifterna. Datalagen omfattar således endast de register som förs med hjälp av automatisk databehandling. Lagen trädde i kraft den 1 juli 1973 och har, så långt den fortfarande tilllämpas, till syfte att hindra att hantering av personregister som förs med hjälp av automatisk databehandling medför otillbörligt intrång i den personliga integriteten. Integritetsskyddet omfattar endast fysiska personer. Datalagen är i princip tillämplig på samtliga personregister utom sådana som enskilda personer inrättar eller för uteslutande för personligt bruk. Lagen innehåller regler om tillstånd, registeransvarigas skyldigheter, tillsyn samt straff och skadestånd.
Datalagen skyddar endast mot otillbörligt intrång i den personliga integriteten. Enskilda får alltså räkna med visst intrång. Vad som utgör otillbörligt integritetsintrång får avgöras från fall till fall. Vid sådan prövning skall särskild hänsyn tas till vissa i lagen uppräknade omständigheter, nämligen arten och mängden av de personuppgifter som skall ingå i registret, hur och från vem uppgifterna skall inhämtas samt den inställning till registret som föreligger eller kan antas föreligga hos dem som kan komma att registreras. Det skall också särskilt beaktas att inte andra uppgifter eller andra personer registreras, än som står i överensstämmelse med registrets ändamål.
2.3.2. Tillstånd m.m.
Endast den som hade anmält sig till Datainspektionen och fått licens fick inrätta och föra personregister som omfattas av lagen. För att få inrätta och föra register som innehöll särskilt känsliga personuppgifter krävdes dessutom inspektionens tillstånd. Uppgifter ansågs vara särskilt känsliga om de avslöjade att någon t.ex. misstänktes eller hade dömts för brott, uppbar socialt bistånd eller om uppgifterna berörde personens hälsotillstånd. Också uppgifter om ras, politisk uppfattning, religiös tro eller övertygelse i övrigt föll inom kategorin särskilt känsliga uppgifter. Endast myndigheter som enligt lag eller annan författning är skyldiga att ha sådana register fick normalt registrera denna typ av personuppgifter. Tillstånd från Datainspektionen krävdes också när personregister skulle innehålla omdömen om den registrerade eller uppgifter om personer som saknade särskild anknytning till den registeransvarige. Detsamma gällde då personuppgifter inhämtades från andra register och sambearbetades.
Vid tillståndsprövningen skulle Datainspektionen ta ställning till om det fanns anledning att anta att registreringen av uppgifter medförde ett otillbörligt intrång i den registrerades integritet. Om så var fallet skulle tillstånd inte lämnas. Meddelade Datainspektionen tillstånd skulle inspektionen också meddela föreskrift om ändamålet med registret. Om det fanns särskilda skäl fick tillståndet begränsas till viss tid. I den mån det behövdes för att förebygga otillbörligt intrång i personlig integritet fick inspektionen också meddela föreskrifter om t.ex. vilka uppgifter som fick ingå i registret, de bearbetningar av personuppgifter som fick göras med hjälp av automatisk databehandling, bevarande och gallring av uppgifter samt kontroll och säkerhet.
I vissa fall behövdes inte tillstånd från Datainspektionen trots att registren innehöll sådana känsliga uppgifter som nämnts ovan. Personregister vars inrättande beslutats av riksdagen eller regeringen (s.k. statsmaktsregister) var exempelvis undantagna från tillståndsplikt.
2.3.3. Den registeransvariges skyldigheter
Enligt datalagen är den registeransvarig för vars verksamhet ett personregister förs, om han eller hon förfogar över registret. Såväl fysiska personer som företag och myndigheter kan vara registeransvariga. Den registeransvarige är skyldig att se till att personregister inrättas och förs så att otillbörligt intrång inte sker i den registrerades personliga integritet. Han eller hon skall även se till att registret förs för sitt ändamål samt att uppgifterna behandlas i överensstämmelse med ändamålet och i enlighet med lag och andra föreskrifter.
Är någon uppgift oriktig eller missvisande skall den rättas, ändras eller uteslutas om det inte saknas anledning att anta att otillbörligt intrång i den registrerades integritet skall uppkomma. Likaså skall den registeransvarige se till att en ofullständig personuppgift kompletteras för att förebygga otillbörligt integritetsintrång eller rättsförlust för den enskilde. Vidare skall den registeransvarige på begäran av en enskild underrätta vederbörande om innehållet i de personuppgifter om honom eller henne som ingår i registret (registerutdrag). Om registret inte innehåller några personuppgifter om den enskilde skall han eller hon i stället underrättas om den saken. Om den enskilde lider skada av att oriktiga eller missvisande uppgifter om honom eller henne har behandlats i register, så skall den registeransvarige ersätta skadan. Den registeransvarige kan även dömas till straff om han eller hon inte följer sina åligganden enligt datalagen.
2.3.4. Datainspektionens befogenheter
Datainspektionen utövar tillsyn över att automatisk databehandling inte medför otillbörligt intrång i den personliga integriteten. För detta ändamål har inspektionen tillträde till lokal där datautrustning finns samt rätt att föranstalta om körning av datamaskin. Datainspektionen kan förbjuda fortsatt förande av register eller återkalla ett meddelat tillstånd. Datainspektionen kan dock inte meddela sådana beslut om registren i fråga är statsmaktsregister.
2.4. Personuppgiftslagen
Med anledning av att dataskyddsdirektivet skulle antas, beslutade regeringen i juni 1995 att tillsätta Datalagskommittén. Kommitténs uppgift var att göra en total revision av datalagen och utreda på vilket sätt direktivet skulle införlivas i svensk rätt. Uppdraget redovisades i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39). Personuppgiftslagen (1998:204) bygger i allt väsentligt på det förslag som lades fram i betänkandet.
2.4.1. Allmänt om lagen och dess tillämpningsområde
Dataskyddsdirektivet bygger på att själva hanteringen av personuppgifter regleras. Personuppgiftslagen följer direktivets struktur och avvikelser görs endast när det finns särskilda skäl för det. I likhet med direktivet reglerar personuppgiftslagen själva hanteringen av personuppgifter och inte bara missbruk av sådana uppgifter. Det innebär att behandling av personuppgifter som inte sker med stöd av personuppgiftslagen är otillåten. I motiven (prop. 1997/98:44, s. 36 f.) konstaterar regeringen dock att en framtida ordning där bara missbruket regleras är önskvärd, men en sådan ordning skall då föregås av ett EG-direktiv.
Personuppgiftslagen är utformad så att den är teknikoberoende. Den tillämpas på all – helt eller delvis – automatiserad behandling av personuppgifter. Dessutom är lagen tillämplig på manuell behandling av uppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §).
Personuppgiftslagen är mer generell än dataskyddsdirektivet och omfattar även sådan verksamhet som faller utanför gemenskapsrätten.
Personuppgiftslagen omfattar alltså, på samma sätt som datalagen, behandling av personuppgifter hos bl.a. polisen och försvaret.
Det är emellertid inte all behandling av uppgifter som omfattas av personuppgiftslagen. Behandling av uppgifter om juridiska personer omfattas över huvud taget inte och sådana uppgifter utgör definitionsmässigt inte personuppgifter (3 §). Inte heller behandling som en fysisk person utför i verksamhet av rent privat natur omfattas av lagen, även om behandlingen avser personuppgifter (6 §). Dessutom undantas all behandling av personuppgifter som skyddas av tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen eller som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 §).
Särreglering i lag eller förordning – bl.a. de särskilda registerförfattningarna – gäller enligt 2 § framför personuppgiftslagen. I 8 § anges dessutom särskilt att lagen inte får inskränka myndigheternas skyldighet att lämna ut personuppgifter enligt 2 kap. TF. I samma lagrum anges även att lagen inte heller hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
Dataskyddsdirektivet innehåller ett antal huvudregler som måste ingå i personuppgiftslagen. Ofta är dessa huvudregler och principer allmänt hållna i direktivet. För att kunna tillämpas av de personuppgiftsansvariga har de preciserats och konkretiserats i personuppgiftslagen. Lagen innehåller dock inte några detaljbestämmelser som fyller ut de generellt hållna huvudreglerna. I stället överlämnas det åt regeringen och Datainspektionen att inom den ram som personuppgiftslagen drar upp göra nödvändiga preciseringar och konkretiseringar.
2.4.2. Definitioner
Några av de mer centrala begreppen i personuppgiftslagen definieras i 3 § på följande sätt. Personuppgifter i lagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det innebär att varken juridiska personer eller avlidna fysiska personer omfattas av lagens tillämpningsområde. Med behandling av personuppgifter avses varje åtgärd som vidtas beträffande uppgifterna, vare sig det sker på automatiserad väg eller inte, t.ex. insamling, lagring, bearbetning, inhämtande, utlämnande, samkörning eller förstöring.
Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller
henne. Lagen uppställer alltså inget krav på att samtycke skall vara skriftligt eller på annat sätt formbundet.
2.4.3. Förutsättningar för behandling av personuppgifter
Grundläggande krav (9 §)
Enligt personuppgiftslagen skall personuppgifter alltid behandlas på ett korrekt och lagligt sätt samt i enlighet med god sed. De skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Efter insamlingen får uppgifterna inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in, vilket bl.a. innebär att uppgifterna inte får lämnas ut till annan om det är oförenligt med de ursprungliga ändamålen. Att ändamålen skall vara särskilda innebär att en alltför allmänt hållen ändamålsbeskrivning inte får godtas. Hur detaljerad ändamålsbeskrivningen måste vara får avgöras i praxis och genom föreskrifter från regeringen och Datainspektionen. Det anses inte oförenligt med de ursprungliga ändamålen att behandla uppgifterna för historiska, statistiska eller vetenskapliga ändamål.
De behandlade uppgifterna måste vara riktiga och relevanta och inte alltför omfattande i förhållande till de ändamål för vilka de behandlas. Om det är nödvändigt skall uppgifterna också vara aktuella. Uppfyller personuppgifterna inte kraven skall den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna. Personuppgifterna får inte heller sparas längre än nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Därefter måste de avidentifieras eller förstöras. Eftersom personuppgiftslagen är sekundär till annan lagstiftning, får uppgifter emellertid inte avidentifieras eller på annat sätt förstöras om det strider mot bl.a. tryckfrihetsförordningens bestämmelser om allmänna handlingar.
När behandling av personuppgifter är tillåten (10-12 §§)
Enligt personuppgiftslagen är det tillåtet att behandla personuppgifter efter den registrerades samtycke. Återkallar den registrerade sitt samtycke får ytterligare personuppgifter om denne inte registreras. I vissa fall får dock personuppgifter behandlas trots att samtycke från den registrerade saknas. En förutsättning i samtliga dessa fall är att behandlingen är nödvändig för ändamålen. Här kan anmärkas att de flesta automatiserade bearbetningar av personuppgifter också kan utföras manuellt. Nödvändighetsrekvisitet har av Datalagskommittén tolkats så att
personuppgifter får behandlas även i de fall det är faktiskt möjligt att utföra uppgiften på annat sätt, om förfarandet underlättas genom användningen av automatisk databehandling (SOU 1997:39 s. 359).
Personuppgifter får behandlas i samband med ett avtal med den registrerade när det krävs för fullgörandet av avtalet eller när det behövs för att på den registrerades begäran vidta åtgärder innan avtalet träffas. Vidare får behandling utföras om det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet som åvilar honom eller henne. Personuppgifter får också behandlas för att skydda vitala intressen för den registrerade. Likaså får sådana uppgifter behandlas om det är nödvändigt för att en arbetsuppgift av allmänt intresse skall kunna utföras och för att den personuppgiftsansvarige, eller någon annan till vilken personuppgifter har lämnats ut, skall kunna utföra en arbetsuppgift i samband med myndighetsutövning.
Slutligen får personuppgifter behandlas om en avvägning ger vid handen att den personuppgiftsansvariges berättigade intresse av en behandling väger tyngre än den registrerades intresse av skydd. Vid intresseavvägningen jämställs med den personuppgiftsansvarige också sådana tredje män till vilka uppgiften lämnas ut.
Förbud mot att behandla känsliga personuppgifter (13 §)
I personuppgiftslagen återfinns dataskyddsdirektivets förbud i fråga om behandling av känsliga personuppgifter. Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse samt medlemskap i fackförening får alltså inte behandlas. Likaså är det förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.
Undantag från förbudet (14-20 §§)
Förbudet mot att behandla känsliga personuppgifter är inte undantagslöst. Sådana uppgifter får liksom andra uppgifter behandlas efter den registrerades samtycke. Till skillnad från när samtycke krävs i andra sammanhang måste i fråga om känsliga personuppgifter samtycket emellertid vara uttryckligt, dvs. klart manifesterat. Även när den registrerade har offentliggjort känsliga uppgifter på ett tydligt sätt får de behandlas. Vidare får behandling utföras om den är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten. I stort sett gäller det fullgörandet av alla skyldigheter och rättigheter för arbetsgivaren beträffande de anställda och deras organisationer. De uppgifter som behandlas under denna förutsättning får lämnas ut till tredje man endast om det inom
arbetsrätten finns en uttrycklig skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade har samtyckt till utlämnandet.
Förbudet mot att behandla känsliga personuppgifter gäller inte heller när behandlingen utförs inom ramen för ideella organisationers berättigade verksamhet med ett politiskt, filosofiskt, religiöst eller fackligt syfte. Behandlingen får bara avse uppgifter om medlemmar eller personer som organisationen på grund av sitt ändamål har regelbunden kontakt med. Utlämnande av sådana uppgifter till tredje man kräver den registrerades samtycke.
Förbudet gäller inte om behandlingen rör uppgifter som är nödvändiga för att rättsliga anspråk skall kunna slås fast, göras gällande eller försvaras. Detta gäller när den personliga egenskap som faller in under definitionen av känsliga personuppgifter också är en förutsättning för att personen i fråga skall ha rätt till en förmån eller ha en rättslig skyldighet gentemot någon annan. Som exempel kan nämnas rätten för en sjuk person att få försäkringsersättning eller skyldigheten för den som är medlem av Svenska kyrkan att betala viss skatt.
Ett ytterligare undantag från förbudet att behandla känsliga personuppgifter är när den registrerade är rättsligt eller fysiskt förhindrad att lämna samtycke och behandlingen samtidigt är nödvändig för att skydda dennes eller någon annans vitala intressen. Vidare undantas behandling som är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling samt administration av hälso- och sjukvård. Behandlas uppgifterna av någon som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och som samtidigt är underkastad tystnadsplikt, gäller förbudet inte heller. Slutligen undantas behandling för forskning och statistik från förbudet.
Regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen, får meddela föreskrifter om ytterligare undantag, om det behövs med hänsyn till ett viktigt allmänt intresse.
Uppgifter om brott och användning av personnummer (21-22 §§)
Vissa uppgifter som inte omfattas av definitionen av känsliga personuppgifter är ändå sådana att behandlingen av dem regleras särskilt i personuppgiftslagen, liksom i dataskyddsdirektivet. Det är således förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser, domar och säkerhetsåtgärder i brottmål. Regeringen eller Datainspektionen har dock möjlighet att föreskriva undantag från förbudet, om det är befogat att behandlingen utförs av annan än myndighet och behandlingen står under tillfredsställande kontroll av en myndighet.
Regeringen eller, om regeringen bestämmer det, Datainspektionen får dessutom föreskriva undantag från förbudet i enskilda fall.
Regleringen i personuppgiftslagen om behandling av denna typ av uppgifter innebär ett betydande avsteg från datalagens bestämmelser, enligt vilka det krävdes synnerliga skäl för att annan än myndighet skulle få föra register med uppgift om att någon är misstänkt eller dömd för brott.
Uppgifter om personnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
2.4.4. Information och rättelse m.m.
Personuppgiftslagen innehåller bestämmelser som tryggar den registrerades rätt att dels kontrollera om behandling av personuppgifter om honom eller henne pågår, dels begära rättelse av personuppgifter som har behandlats felaktigt.
Information (23-27 §§)
Personuppgiftslagens bestämmelser om informationsskyldighet gäller i första hand den information som den personuppgiftsansvarige självmant har att lämna. Rätten att på begäran få ut uppgifter i allmänna handlingar följer av tryckfrihetsförordningen, dock att den rätten i vissa fall begränsas genom bestämmelser i sekretesslagen.
Den personuppgiftsansvarige skall självmant lämna den registrerade information rörande behandlingen, när uppgifter om en person samlas in från denne själv. Har uppgifterna samlats in från en annan källa, skall den registrerade informeras när uppgifterna noteras eller, om avsikten med behandlingen är att lämna ut uppgifterna till tredje man, när uppgifterna lämnas ut för första gången. Informationen skall omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Endast sådana uppgifter som den registrerade inte redan känner till behöver lämnas. Har uppgifterna hämtats in från tredje man behöver information inte lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Den personuppgiftsansvarige är vidare skyldig att efter ansökan, en gång per kalenderår, gratis informera om huruvida uppgifter som rör sökanden behandlas eller inte, ändamålet med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut.
Information behöver emellertid inte lämnas beträffande personuppgifter som behandlas endast i löpande text som ännu inte har fått sin slutliga utformning eller som utgör minnesanteckningar, under förutsättning att uppgifterna inte har lämnats ut till tredje man eller – i fråga om uppgifter i löpande text – behandlingen inte har pågått under längre tid än ett år. Inte heller behöver information lämnas om det i lag eller annan författning finns särskilda bestämmelser om registreringen eller utlämnandet av personuppgifter. Slutligen gäller bestämmelserna om informationsskyldighet inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.
Rättelse m.m. (28 §)
Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med den föreslagna personuppgiftslagen eller anknytande föreskrifter skall på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige. Med blockering avses varje åtgärd som kan vidtas för att de aktuella personuppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och inte får lämnas ut till tredje man samt om anledningen till spärren.
Om felaktiga personuppgifter har lämnats till tredje man, skall denne i vissa fall underrättas om korrigeringsåtgärden, nämligen om den registrerade begär det eller om det behövs för att undvika mera betydande skada eller olägenhet för den registrerade. Eftersom den personuppgiftsansvarige inte har någon skyldighet att hålla reda på till vem uppgifter lämnas ut och då uppgifter ibland kan lämnas till ett stort antal människor, innehåller bestämmelsen det undantaget att underrättelse inte behöver ske om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
2.4.5. Säkerhet vid behandlingen
Bestämmelser som avser att säkerställa att behandlingen av personuppgifter sker på ett betryggande sätt finns i 30 och 31 §§personuppgiftslagen. Den personuppgiftsansvarige har ett stort ansvar för säkerheten. Bland annat får de personer som arbetar med personuppgifter behandla dessa endast efter den personuppgiftsansvariges instruktioner. Instruktionerna bör i vart fall vara utformade på ett sådant sätt att var och en som arbetar med personuppgifter skall veta vilka ändamålen är med behandlingen och att behandling som är oförenlig med dessa ändamål är förbjuden. För det allmännas verksamhet gäller att om det i annan lag-
stiftning finns bestämmelser om säkerheten vid behandling av personuppgifter, skall i stället de bestämmelserna tillämpas. Det gäller framför allt bestämmelser om tystnadsplikt och sekretess.
Den personuppgiftsansvarige har vidare ansvar för att tekniska och organisatoriska åtgärder vidtagits för att skydda de behandlade personuppgifterna. Åtgärderna skall åstadkomma en lämplig säkerhetsnivå med beaktande av de tekniska möjligheter som finns, kostnaden för att genomföra åtgärderna, riskerna med behandlingen och hur känsliga de behandlade uppgifterna är. Ett register som innehåller personuppgifter om ett stort antal personer ställer också ökade krav på säkerheten.
Datainspektionen får enligt 45 § personuppgiftslagen förelägga den personuppgiftsansvarige att vidta skyddsåtgärder. Sådana förelägganden får förenas med vite.
2.4.6. Överföring av personuppgifter till tredje land
Det är enligt 33 § personuppgiftslagen principiellt sett förbjudet att föra över personuppgifter till ett land som inte är medlem i EU (tredje land). Förbudet gäller både uppgifter som är under behandling och uppgifter som skall undergå behandling i det tredje landet. Från förbudet finns undantag i 34 och 35 §§. Har den registrerade samtyckt till det, får uppgifter om denne föras över till tredje land. Det är också tilllåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention.
Uppgifter får även i andra fall föras över till tredje land om behandlingen är nödvändig för att fullgöra ett avtal – mellan den registrerade och den personuppgiftsansvarige eller mellan den personuppgiftsansvarige och tredje man – som är i den registrerades intresse eller för att på den registrerades begäran vidta åtgärder innan ett avtal träffas. Vidare får överföring ske om behandlingen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda vitala intressen för den registrerade.
Regeringen får meddela föreskrifter om generella undantag från förbudet att föra över personuppgifter till tredje land. Sådana undantag bör bl.a. kunna gälla vissa angivna länder samt i fall då överföringen regleras i avtal som innehåller vissa standardklausuler till skydd för de registrerades rättigheter. Regeringen eller, om regeringen bestämmer det, Datainspektionen får också föreskriva undantag när det behövs med hänsyn till viktiga allmänna intressen eller om överföringen sker under sådana omständigheter att det finns tillräckliga garantier till skydd för de registrerades rättigheter. Dessutom får regeringen under vissa förutsättningar besluta om undantag från förbudet i enskilda fall.
Den 17 juni 1999 överlämnade regeringen en remiss till lagrådet vari det föreslås att förbudet i personuppgiftslagen mot överföring av personuppgifter skall ändras. Överföring till ett land som inte ingår i EU eller är anslutet till EES (tredje land) skall inte längre vara förbjuden om det tredje landet har en ”adekvat nivå” för skyddet av personuppgifter. Lagändringen föreslås träda i kraft den 1 december 1999.
2.4.7. Datainspektionens befogenheter som tillsynsmyndighet
Enligt dataskyddsdirektivet skall en särskild tillsynsmyndighet utses. Den personuppgiftsansvariges anmälan om behandlingar av personuppgifter skall göras till tillsynsmyndigheten, som även skall utöva tillsyn över behandlingen. Vissa av de befogenheter som enligt direktivet tillkommer tillsynsmyndigheten regleras i 43–47 §§personuppgiftslagen. Således innehåller lagen bestämmelser om att tillsynsmyndigheten (Datainspektionen) skall ha tillgång till behandlade personuppgifter och dessutom tillträde till lokaler med anknytning till behandlingen. Datainspektionen kan också vid vite förbjuda fortsatt behandling samt ansöka hos länsrätt om att personuppgifter skall utplånas.
2.4.8. Anmälan till Datainspektionen m.m.
Anmälningsskyldighet (36 §)
Helt eller delvis automatiserad behandling av personuppgifter omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra sådan anmälan till Datainspektionen. Syftet med anmälningsskyldigheten är att göra behandlingens ändamål och dess viktigaste egenskaper kända. Datainspektionen skall föra register över anmälda behandlingar.
Personuppgiftslagen har i denna del två motstridiga intressen som utgångspunkt. Det finns å ena sidan ett önskemål om att ta bort anmälningsskyldigheten för automatiserad behandling för att på så sätt koncentrera Datainspektionens verksamhet till att ge råd och sprida kunskap om de materiella reglerna samt att utöva tillsyn över att reglerna följs. Å andra sidan föreskriver dataskyddsdirektivet som huvudregel att den registeransvarige till tillsynsmyndigheten skall anmäla automatiserade behandlingar som skall genomföras. Från denna anmälningsskyldighet får ett medlemsland dock under vissa förutsättningar föreskriva undantag.
För att kunna tillgodose både kravet att följa direktivet och önskemålet att begränsa anmälningsskyldigheten, har i personuppgiftslagen en principiell anmälningsskyldighet till Datainspektionen införts, samtidigt som möjligheterna att föreskriva om undantag från skyldigheten har utnyttjats fullt ut. När fråga är om särskilt integritetskänsliga behandlingar, som Datainspektionen skall kontrollera innan de påbörjas, föreskrivs dock inga undantag från anmälningsskyldigheten.
Enligt personuppgiftslagen får regeringen eller, efter regeringens bemyndigande, Datainspektionen föreskriva undantag från anmälningsskyldigheten. Sådana undantag föreskrivs i personuppgiftsförordningen (1998:1191) för behandling av personuppgifter som utförs till följd bl.a. av en myndighets skyldighet enligt 2 kap. TF att lämna ut allmänna handlingar eller som regleras genom särskilda föreskrifter i lag eller förordning i andra fall.
Personuppgiftsombud (37-40 §§)
Anmälan till Datainspektionen behöver inte göras när ett personuppgiftsombud har utsetts av den personuppgiftsansvarige. Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett korrekt och lagligt sätt. Kravet på självständighet innebär att personuppgiftsombudet inte får ha en alltför underordnad ställning i förhållande till den personuppgiftsansvarige och att han eller hon skall ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina uppgifter.
I första hand skall personuppgiftsombudet påpeka brister i uppgiftsbehandlingen till den personuppgiftsansvarige, men om den ansvarige inte rättar till bristerna är ombudet skyldigt att anmäla förhållandet till Datainspektionen. Personuppgiftsombudet skall ha en förteckning över de behandlingar som den personuppgiftsansvarige utför och han skall även hjälpa registrerade personer att få rättelse vid misstanke om att personuppgifter är felaktiga eller ofullständiga.
Förhandskontroll av särskilt integritetskänsliga behandlingar (41 §)
Enligt dataskyddsdirektivet skall medlemsstaterna bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades rättigheter och säkerställa att dessa behandlingar kontrolleras innan de påbörjas. Förhandskontrollen skall enligt direktivet utföras av tillsynsmyndigheten men kan också utgöra ett led i lagstiftningsprocessen. Förhandskontroll kan således ske i samband med att särskilda registerförfattningar beslutas av riksdagen eller regeringen. I fråga om sådana register krävs ingen särskild reglering för att uppfylla direktivets villkor.
I andra fall krävs däremot bestämmelser om vilka behandlingar som skall kontrolleras på förhand. I personuppgiftslagen finns ett bemyndigande för regeringen att bestämma att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall anmälas till Datainspektionen tre veckor i förväg. I personuppgiftsförordningen finns bestämmelser om sådana behandlingar.
2.4.9. Sanktioner
Skadestånd (48 §)
Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada för den registrerade har han rätt till ersättning från den personuppgiftsansvarige. Rätten till ersättning omfattar inte bara personskada, sakskada och ren förmögenhetsskada, utan även den kränkning av den personliga integriteten som behandlingen kan ha medfört. Ersättningen för kränkning måste uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet, t.ex. om den registrerade på grund av behandlingen utsatts för något för honom eller henne negativt beslut. Ersättningen skall fastställas för varje kränkt registrerad för sig.
Skadeståndsansvaret är i princip strikt. Den registrerade behöver bara bevisa att det förekommit en felaktig behandling och att denna behandling har skadat eller kränkt honom eller henne. Kan den personuppgiftsansvarige visa att felet i behandlingen inte berodde på honom eller henne, får emellertid skadeståndet jämkas i skälig utsträckning.
Straff (49 §)
I personuppgiftslagen har i så stor utsträckning som möjligt andra sanktioner valts än straff. Således har vissa förseelser som i datalagen återfinns i en straffkatalog i stället sanktionerats genom vite eller genom möjligheten att utdöma ideellt skadestånd. Vad som återfinns i straffbestämmelsen i personuppgiftslagen är sådana uppsåtliga eller oaktsamma förfaranden som är svåra att åtgärda på annat sätt än genom straffbestämmelser. Det rör sig om att någon lämnar osanna uppgifter i den information till den registrerade som lagen föreskriver eller i anmälan eller information till Datainspektionen. Vidare tillämpas straffbestämmelsen om någon i strid med lagen behandlar känsliga personuppgifter, för över uppgifter till tredje land eller låter bli att göra föreskriven anmälan om behandling till Datainspektionen.
2.4.10. Ikraftträdande- och övergångsbestämmelser
Personuppgiftslagen trädde i kraft den 24 oktober 1998 och samtidigt upphörde datalagen att gälla. I fråga om behandling av personuppgifter som påbörjats före ikraftträdandet skall personuppgiftslagen dock inte tillämpas förrän den 1 oktober 2001. Detsamma gäller behandling som utförs för ett visst bestämt ändamål om behandling för ändamålet påbörjades före ikraftträdandet. I dessa fall gäller i stället datalagens bestämmelser. I fråga om manuella behandlingar som påbörjades före ikraftträdandet skall vissa bestämmelser i lagen tillämpas först från och med den 1 oktober 2007. Det gäller 9 och 10 §§ som reglerar de grundläggande kraven på behandling av personuppgifter och när behandling är tillåten samt 13 och 21 §§ om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m.
2.5. Sekretessbestämmelser
2.5.1. Tryckfrihetsförordningen
Enligt 2 kap. 1 § tryckfrihetsförordningen (TF) har varje svensk medborgare rätt att ta del av allmänna handlingar. Denna rättighet får enligt 2 § begränsas endast om det är påkallat av vissa i lagrummet uppräknade speciella intressen, såsom för att tillvarata myndigheters möjlighet att bedriva verksamhet för inspektion, kontroll eller annan tillsyn eller för att skydda enskildas personliga och ekonomiska förhållanden. Enligt bestämmelsen får begränsningar i rätten att ta del av allmänna handlingar göras endast i särskild lag eller i lag till vilken den särskilda lagen hänvisar. Den särskilda lagen är sekretesslagen (1980:100).
2.5.2. Sekretess i skatteförvaltningens, exekutionsväsendets och Tullverkets verksamheter
Sekretesslagens bestämmelser om sekretess inom skatteförvaltningens, exekutionsväsendets och Tullverkets verksamheter finns på olika ställen i lagen beroende på dels vilka intressen bestämmelserna avser att skydda, dels vilket verksamhetsområde som avses. I 4 kap. sekretesslagen återfinns bestämmelser om sekretess med hänsyn till myndigheters verksamhet för inspektion, kontroll och annan tillsyn. Bestämmelser om sekretess med hänsyn till intresset att förebygga eller beivra brott finns i 5 kap. Intresset av att skydda den enskilde från intrång i hans personliga
integritet behandlas i 7 kap., medan frågor om sekretess med hänsyn till den enskildes ekonomiska förhållanden behandlas i 8 kap. I 9 kap. finns bestämmelser om sekretess till skydd för den enskildes personliga såväl som ekonomiska förhållanden.
Skatteförvaltningens beskattningsverksamhet
I 4 kap. 1 § sekretesslagen finns det bestämmelser om sekretess för uppgifter angående planläggning eller annan förberedelse för inspektion, revision eller annan granskning som en myndighet har att företa. Skattemyndigheten är en av de myndigheter som åsyftas med bestämmelsen och bl.a. kontrolluppgifter som samlats in för en taxeringsrevision kan sekretesskyddas. Sekretessen gäller dock endast om det kan antas att syftet med granskningsverksamheten motverkas om uppgiften röjs.
Enligt 4 kap. 2 § gäller sekretess för uppgift som hänför sig till pågående granskning för kontroll beträffande skatt eller avgift till staten eller kommuner m.m., om det med hänsyn till syftet med kontrollen är av synnerlig vikt att uppgiften inte uppenbaras för den som kontrollen avser. För båda dessa bestämmelser gäller att sekretessen överförs i de fall det förekommer samarbete mellan myndigheter. Hos skatteförvaltningen gäller således sekretessen även för uppgifter som finns hos en skattemyndighet men som avser exempelvis en pågående revision som genomförs av Tullverket.
I 5 kap. 1 § sekretesslagen anges att sekretess gäller för uppgift som hänför sig till bl.a. förundersökning i brottmål och åklagarmyndighets, polismyndighets, skattemyndighets, Tullverkets eller kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. Sekretessen gäller om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs.
Enligt 9 kap. 1 § sekretesslagen gäller för uppgifter om enskildas personliga eller ekonomiska förhållanden absolut sekretess i myndighets verksamhet som avser bestämmande av skatt eller taxering eller i övrigt fastställande av underlag för bestämmande av skatt. Absolut sekretess gäller även i myndighets verksamhet som avser förande av eller uttag ur register som avses i skatteregisterlagen (1980:343) för uppgift som har tillförts ett sådant register och hos kommun eller landsting för uppgift som har lämnats dit i ett ärende om förhandsbesked i skatte- eller taxeringsfråga. Att sekretessen för uppgifter i skatteregister gäller både i fråga om förande av registret och uttag ur detta, innebär att det inte är endast hos skattemyndigheterna och Riksskatteverket som en uppgift omfattas av sekretess, utan även hos kronofogdemyndigheter som har terminalåtkomst, dock endast så länge uppgiften finns kvar i registret. I
praktiken innebär detta att sekretessen gäller så länge uppgiften endast är tillgänglig via en terminalbild. När en kronofogdemyndighet gör ett utdrag ur ett skatteregister, kommer uppgiften i stället att omfattas av den svagare sekretess som gäller hos kronofogdemyndigheter. Sekretessen inom skatteförvaltningen bryts, med några få undantag, helt i fråga om beslut varigenom skatt eller pensionsgrundande inkomst bestäms eller underlag för bestämmande av skatt fastställs. Genom sådana beslut blir alltså uppgifterna offentliga. Undantagen gäller bl.a. beslut i ärenden om förhandsbesked i taxerings- eller skattefråga. En uppgift får vidare utan hinder lämnas till enskild enligt vad som föreskrivs i lag om förfarandet vid beskattning eller i lag om skatteregister.
Vidare gäller enligt 9 kap. 2 § sekretesslagen absolut sekretess även för uppgifter om enskildas personliga eller ekonomiska förhållanden i särskilt ärende om revision eller annan kontroll i fråga om skatt, tull eller avgift, i ärende om kompensation för eller återbetalning av skatt samt i ärende om anstånd med erläggande av skatt. Med undantag från förstnämnda ärenden gäller sekretessen inte beslut i ärendena.
Absolut sekretess gäller enligt 9 kap. 17 § sekretesslagen även för uppgifter om enskildas personliga eller ekonomiska förhållanden i register som förs av Riksskatteverket enligt lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar eller som annars behandlas med stöd av den lagen. Sekretessen bryts dock av bestämmelser om utlämnande i nämnda lag.
Skatteförvaltningens folkbokföringsverksamhet
Enligt 7 kap. 15 § sekretesslagen gäller sekretess för uppgifter om enskildas personliga förhållanden i verksamhet som avser folkbokföring eller annan liknande registrering av befolkningen och, i den utsträckning regeringen föreskriver det, i annan verksamhet som avser registrering av en betydande del av befolkningen. Sekretessen gäller dock endast om det av särskild anledning kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Sekretess gäller även i ärende om fingerade personuppgifter, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men.
Exekutionsväsendets verksamhet
Vad som anges ovan i detta avsnitt om sekretess enligt 4 kap.1 och 2 §§sekretesslagen avseende skatteförvaltningens beskattningsverksamhet, gäller även för en kronofogdemyndighet när denna tillsammans med andra myndigheter, t.ex. polis- och skattemyndigheter, genomför
granskningar. Sekretessen gäller även för uppgifter hos kronofogdemyndigheterna om pågående revisioner m.m. som genomförs av en skattemyndighet.
Vidare gäller enligt 5 kap. 1 § sekretesslagen sekretess inom exekutionsväsendet, med hänsyn till intresset att förebygga eller beivra brott, för uppgift som angår misstanke om att en gäldenär har begått brott som avses i 11 kap. brottsbalken eller annat brott som har samband med gäldenärens näringsverksamhet. Denna sekretess gäller om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs.
I 7 kap. 35 § sekretesslagen anges att sekretess gäller hos bl.a. kronofogdemyndigheter i ett ärende om skuldsanering för uppgifter om enskilds personliga förhållanden, om det kan antas att den enskilde eller honom närstående lider men om uppgiften röjs.
För kronofogdemyndigheterna i egenskap av tillsynsmyndigheter i konkurs gäller sekretess enligt 8 kap. 19 § sekretesslagen för uppgift om enskilds affärs- och driftsförhållande, om det kan antas att den som uppgiften rör lider skada om den röjs. Detta gäller dock inte utlämnande till enskild i den mån det föreskrivs i konkurslagen (1987:672).
Huvudregeln om sekretess inom exekutionsväsendet i mål eller ärende angående exekutiv verksamhet är enligt 9 kap. 19 § sekretesslagen att sekretess gäller för uppgifter om enskildas personliga eller ekonomiska förhållanden endast om det kan antas att den enskilde eller någon honom närstående lider avsevärd skada eller betydande men om uppgifterna röjs. Ett rakt skaderekvisit uppsätts alltså för att uppgifter skall kunna sekretessbeläggas. Vissa uppgifter i mål eller ärende i den exekutiva verksamheten omfattas dock inte alls av sekretess. Det gäller uppgifter om förpliktelse som avses med den sökta verkställigheten och beslut i målet eller ärendet. Detta innebär att exempelvis information om att någon är gäldenär hos en kronofogdemyndighet, uppgifter om dennes skuld och om exekutionstitel samt uppgifter om sökanden i enskilda mål skall lämnas ut utan föregående sekretessprövning. I verksamhet som avser förande av eller uttag ur register enligt utsökningsregisterlagen (1986:617) gäller enligt samma lagrum i sekretesslagen motsvarande sekretess som i den övriga verksamheten för uppgifter som har tillförts registret. Det innebär att uppgifter om förpliktelser och beslut i mål eller ärenden som har tillförts och finns i ett register inte omfattas av sekretess, medan övriga uppgifter inte skall lämnas ut utan sekretessprövning. Sekretessen för uppgifter i utsökningsregister gäller både i fråga om förande av registret och uttag ur detta. Det är alltså inte endast hos kronofogdemyndigheterna och Riksskatteverket som en uppgift omfattas av sekretess enligt 9 kap. 19 § sekretesslagen, utan även hos andra myndigheter – t.ex. skattemyndigheterna – som har terminal-
åtkomst, dock endast så länge uppgiften finns kvar i registret. I praktiken innebär detta att sekretessen gäller så länge uppgiften endast är tillgänglig via en terminalbild. När exempelvis en skattemyndighet gör ett utdrag ur utsökningsregistret, kommer uppgiften i stället att omfattas av den sekretess som gäller för skattemyndigheten.
Tullverkets verksamhet
Vad som anges ovan i detta avsnitt om sekretess enligt 4 kap.1 och 2 §§sekretesslagen i fråga om skatteförvaltningens beskattningsverksamhet, äger motsvarande giltighet även i fråga om Tullverkets verksamhet.
Vidare anges i 5 kap. 1 § sekretesslagen att sekretess gäller för uppgift som hänför sig till förundersökning i brottmål och åklagarmyndighets, polismyndighets, skattemyndighets, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. Sekretessen gäller om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs.
Vad som redovisas ovan om sekretess i skattemyndigheternas verksamhet enligt 9 kap. 1 och 2 §§, gäller i tillämpliga delar även Tullverkets verksamhet, eftersom med skatt skall avses även bl.a. tull. I stället för absolut sekretess gäller dock att uppgifter hos Tullverket får lämnas ut om det står klart att de kan röjas utan att den enskilde lider skada eller men.
Enligt 9 kap. 17 § sekretesslagen gäller sekretess bl.a. i utredning enligt bestämmelserna om förundersökning i brottmål samt i åklagarmyndighets, polismyndighets, skattemyndighets, Statens kriminaltekniska laboratoriums, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott, om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. I fråga om anmälan eller utsaga från en enskild gäller sekretess i ovan nämnda fall, om det kan antas att fara uppkommer för att någon utsätts för våld eller annat allvarligt men om uppgiften röjs. Enligt 9 kap. 18 § sekretesslagen gäller dock inte sekretess enligt 17 § för vissa beslut, bl.a. åklagares beslut att väcka åtal eller beslut i vissa ärenden, t.ex. i fråga om strafföreläggande och förelägganden av ordningsbot. Sekretess som gäller enligt 17 § upphör i de flesta fall när uppgift lämnas till domstol med anledning av åtal.
Behandling i strid med personuppgiftslagen
Utöver vad som redovisas ovan i detta avsnitt finns i 7 kap. 16 § sekretesslagen en bestämmelse med generell räckvidd, dvs. bestämmel-
sen gäller i fråga om samtliga myndigheters verksamheter. I lagrummet anges nämligen att sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen.
2.5.3. Utlämnande av uppgifter till myndigheter enligt sekretesslagen
Möjligheterna att till andra myndigheter lämna ut uppgifter för vilka sekretess gäller regleras, såvitt nu är av intresse, i 1 kap. och 14 kap.sekretesslagen. Bestämmelser om till vilka sådana uppgifter får lämnas ut finns också i de särskilda registerförfattningarna.
Enligt 1 kap.2 och 3 §§sekretesslagen får uppgift för vilken sekretess gäller inte röjas för enskild eller för annan myndighet i andra fall än som anges i sekretesslagen eller om uppgiftslämnandet regleras särskilt i lag eller förordning. Den sekretess som föreskrivs för skatteförvaltningen enligt 9 kap. 1 § sekretesslagen gäller alltså även i förhållande till kronofogdemyndigheterna när uppgifter skall utbytas mellan myndigheterna. På motsvarande sätt gäller sekretess inom exekutionsväsendet även gentemot skattemyndigheter eller Tullverket. Även mellan olika verksamhetsgrenar inom samma myndighet råder sekretess om verksamhetsgrenarna är självständiga i förhållande till varandra. Som exempel kan nämnas beskattnings- och folkbokföringsverksamheten inom skatteförvaltningen. I sammanhanget bör framhållas att det i princip saknar betydelse vilken form uppgifterna har och om dessa finns i allmänna handlingar eller ej. Sekretesslagen är nämligen både en tystnadspliktslag och en lag som reglerar utlämnande av allmänna handlingar (se 1 kap. 1 § sekretesslagen).
I fråga om sekretess i förhållande till utländsk myndighet eller mellanfolklig organisation finns särskilda bestämmelser i 1 kap. 3 § tredje stycket sekretesslagen. Sekretessbelagd uppgift får inte röjas annat än om utlämnande sker i enlighet med särskild föreskrift därom i lag eller förordning eller om uppgiften i motsvarande fall skulle få lämnas ut till svensk myndighet och det enligt den utlämnande myndighetens prövning står klart, att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen.
I 1 kap. 5 § och 14 kap.sekretesslagen anges att uppgifter i vissa fall kan lämnas ut utan hinder av sekretess. Enligt 1 kap. 5 § utgör sekretess inte hinder mot att en uppgift lämnas ut om det är nödvändigt för att den utlämnande myndigheten skall kunna fullgöra sin verksamhet.
Enligt 14 kap. 1 § sekretesslagen hindrar inte sekretess att uppgifter lämnas till regeringen eller riksdagen eller till annan myndighet, om
uppgiftsskyldighet följer av lag eller förordning. Anmälningsskyldighet (t.ex. till Datainspektionen) är en typisk uppgiftsskyldighet av det slag som åsyftas i lagrummet. Uppgiftsskyldigheten måste vara uttrycklig. Det är inte tillräckligt med allmänt hållna föreskrifter om samarbete mellan myndigheterna för att bryta sekretessen.
Ytterligare möjligheter att lämna ut sekretessbelagda uppgifter till andra myndigheter följer av 14 kap. 2 § sekretesslagen. Det lagrummet innehåller förutsättningarna för att uppgifter skall få lämnas ut i andra fall än som anges i 14 kap. 1 §. Bland annat anges i lagrummets fjärde stycke att sekretess inte hindrar att uppgift som angår misstanke om brott lämnas till åklagarmyndighet, polismyndighet eller annan myndighet som har att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda annan påföljd än böter. Vissa uppgifter kan lämnas ut endast om det för brottet inte är föreskrivet lindrigare straff än fängelse i två år.
Enligt 14 kap. 3 § första stycket sekretesslagen, den s.k. generalklausulen, får utöver vad som följer av 14 kap. 1 och 2 §§ sekretessbelagd uppgift lämnas till myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen skall skydda. Generalklausulen är inte utan undantag. Om utlämnandet strider mot lag eller förordning får uppgiften inte lämnas ut trots att förutsättningarna i första stycket är uppfyllda. Detsamma gäller om utlämnande strider mot föreskrifter som har meddelats med stöd av personuppgiftslagen.
Generalklausulen kan vara tillämplig i fråga om utlämnande av uppgifter från t.ex. skattemyndigheterna till Tullverket i verksamhet inom beskattnings- eller avgiftsområdet. Detsamma gäller i fråga om samarbete mellan skattemyndigheter och kronofogdemyndigheter i de senares verksamhet avseende indrivning av skatter och avgifter. I förarbetena till sekretesslagen framgår nämligen att generalklausulen särskilt ger utrymme för informationsutbyte när det är fråga om myndigheter med samma sakliga behörighet men med skilda lokala kompetensområden eller myndigheter som har närbesläktade funktioner och som båda har rättslig befogenhet att fordra in de utväxlade uppgifterna (prop. 1979/80:2, del A. s. 326). Att uppgifter inte får lämnas ut i strid mot bl.a. lag eller förordning innebär dock att om det i en specialförfattning närmare anges under vilka förutsättningar uppgifter får lämnas ut, exempelvis mellan en skattemyndighet och andra myndigheter, så kan generalklausulen inte åberopas för utlämnande som inte uppfyller de i specialförfattningen angivna förutsättningarna.
Avslutningsvis kan nämnas att det i de ovan redovisade bestämmelserna endast regleras i vilka fall det inte finns hinder mot utlämnande av uppgifter till andra myndigheter på grund av sekretess. Det är alltså inte
fråga om någon uppgiftsskyldighet (annorlunda dock när det i lag eller författning särskilt regleras om sådan uppgiftsskyldighet, se 14 kap. 1 § sekretesslagen). I 15 kap. 5 § sekretesslagen anges emellertid att myndigheter, på begäran av annan myndighet, skall lämna uppgifter om hinder inte möter på grund av bestämmelser om sekretess eller arbetets behöriga gång. Härav följer alltså att om det enligt t.ex. generalklausulen i 14 kap. 3 § sekretesslagen inte finns hinder för utlämnande av sekretessbelagda uppgifter till andra myndigheter, så föreligger det i praktiken en skyldighet för en myndighet att lämna sådana uppgifter till den myndighet som begär det.
2.6. Arkivvård och gallring hos statliga myndigheter
Begreppet arkiv kan i dagligt tal avse såväl arkivinstitutioner som förvaringsutrymmet för arkivhandlingar och själva beståndet av handlingar. Fortsättningsvis används här – liksom för övrigt också i arkivlagstiftningen – termen arkiv i den sistnämnda betydelsen.
Den grundläggande teorin för arkivbildning i Sverige har under 1900talet varit den s.k. proveniensprincipen. Den principen innebär enkelt uttryckt att ett arkiv uppfattas som en i sig fristående och orubbad enhet sammanhörande med den verksamhet som skapar arkivet (arkivbildaren). Proveniensprincipens tillämpning förutsätter att myndigheters arkiv hålls samman även efter att de har överlämnats till en arkivmyndighet för förvaring.
Riksarkivet är arkivmyndighet för de myndigheter som har hela landet som verksamhetsområde, för kommittéer, hovrätter och kammarrätter samt för universitet och högskolor. För myndigheter som lyder under försvarsdepartementet finns Krigsarkivet, vilket tidigare var en egen myndighet men som sedan 1995 utgör en del av Riksarkivet. Under Riksarkivet finns sju landsarkiv – i Uppsala, Vadstena, Visby, Lund, Göteborg, Härnösand och Östersund – som är arkivmyndigheter för främst statliga myndigheter inom sina respektive verksamhetsområden. Landsarkivets uppgifter i Stockholms och Värmlands län fullgörs av Stockholms stadsarkiv respektive Värmlandsarkiv.
Riksarkivet och landsarkiven har till uppgift att ansvara för statsförvaltningens arkivdepåer och att utöva tillsyn över myndigheternas arkivbildning. De bestämmelser som gäller för statliga arkiv finns främst i arkivlagen (1990:782), arkivförordningen (1991:446), förordningen (1995:679) med instruktion för Riksarkivet och landsarkiven samt i föreskrifter från Riksarkivet.
2.6.1. Myndigheters arkivbildning
Allmänna handlingar är arkivhandlingar
Grunden för det offentliga arkivväsendet är principen att alla medborgare har rätt att ta del av allmänna handlingar. I 2 kap. 1 § TF stadgas nämligen att varje svensk medborgare till främjandet av ett fritt meningsutbyte och en allsidig upplysning skall ha rätt att ta del av allmänna handlingar (handlingsoffentligheten). En myndighets arkiv bildas följaktligen av främst de allmänna handlingarna från myndighetens verksamhet. Det innebär att handlingar som är allmänna enligt 2 kap. TF, dvs. handlingar som förvaras hos myndigheten och som är inkomna till eller upprättade av denna, i princip skall arkiveras. För vissa handlingar – minnesanteckningar, utkast och koncept – gäller dock enligt 2 kap. 9 § TF den omvända situationen, nämligen att de blir allmänna i tryckfrihetsförordningens mening först när de tas om hand för arkivering. Gemensamt för handlingarna i ett statligt arkiv är alltså att de är allmänna. Det saknar därvid betydelse om handlingarna är offentliga eller om de är hemliga med stöd av sekretesslagen, vilket också framgår av arkivlagens bestämmelser.
Av arkivförordningen framgår att allmänna handlingar i ett myndighetsärende skall arkiveras när ärendet har slutbehandlats. I samband med detta skall myndigheten också pröva i vilken omfattning vissa icke allmänna handlingar – minnesanteckningar, utkast och koncept – skall tas om hand för arkivering. För diarier, journaler och andra register eller förteckningar som förs fortlöpande, gäller att varje införd anteckning skall anses arkiverad när den görs. Riksarkivet har möjlighet att meddela närmare föreskrifter om när en handling skall anses vara arkiverad.
Elektronisk information utgör ofta allmän handling
Enligt 2 kap. 3 § TF förstås med handling en framställning i skrift eller bild samt upptagningar som kan läsas, avlyssnas eller på annat sätt uppfattas endast med hjälp av tekniskt hjälpmedel. Ett statligt arkiv kan alltså bestå av handlingar i form av såväl vanliga pappersdokument som fotografier, filmer, ljudupptagningar och inte minst databärare av elektronisk information (magnetband, cd-rom och andra ADB-medier). För sistnämnda handlingar gäller enligt tryckfrihetsförordningen den specialbestämmelsen att de utgör allmänna handlingar hos en myndighet endast om upptagningen – den elektroniska informationen – är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller på annat sätt uppfattas.
Även om en viss överföring är tekniskt möjlig, utgör vissa former av information ändå inte allmänna handlingar, nämligen om myndigheten enligt lag eller förordning saknar befogenhet att göra överföringen. Detta innebär att den elektroniska information som finns på en viss databärare utgör allmän handling – och således arkivhandling – endast om myndigheten har rätt att sammanställa informationen. Vissa uppgiftssammanställningar kan vara förbjudna genom begränsningar i sökmöjligheter m.m. och utgör alltså inte allmänna handlingar. Å andra sidan kan vissa sammanställningar utgöra allmänna handlingar trots att de aldrig har gjorts, nämligen om det är tekniskt möjligt och tillåtet för myndigheten att göra sammanställningarna. Sådana icke existerande sammanställningar brukar kallas potentiella handlingar.
För elektronisk information gäller ytterligare en specialregel. Om uppgifter i t.ex. ett dataregister är tillgängliga för flera myndigheter – som exempel kan nämnas kronofogdemyndigheternas terminalåtkomst till skatteregistret – anses uppgifterna inkomna till samtliga myndigheter som har sådan tillgång och uppgifterna utgör följaktligen allmänna handlingar hos dessa myndigheter. Enligt huvudregeln skulle därmed flera myndigheter vara arkivansvariga för samma uppgifter. Av arkivlagens bestämmelser framgår dock att i sådana fall skall handlingarna bilda arkiv endast hos en av myndigheterna, i första hand hos den myndighet som svarar för huvuddelen av upptagningen. I det nämnda exemplet blir alltså kronofogdemyndigheterna inte arkivbildare för de uppgifter i skatteregistret som de har tillgång till, utan detta åliggande vilar på någon av myndigheterna inom skatteförvaltningen, dvs. en skattemyndighet eller Riksskatteverket. Riksarkivet får enligt arkivförordningen meddela föreskrifter om vilken myndighet som skall bilda arkiv i de fall då flera myndigheter svarar för ungefär lika stora delar av upptagningen.
En liknande bestämmelse finns i 15 kap. 13 § sekretesslagen i fråga om skyldigheten för myndigheter att registrera allmänna handlingar. Där anges att om en upptagning för automatisk databehandling förs in i ett register som är tillgängligt för flera myndigheter för överföring i läsbar form – som i det ovan nämnda fallet med kronofogdemyndigheternas åtkomst till skatteregistret – är endast den myndighet som gör införingen registreringsskyldig. Kronofogdemyndigheterna är således inte på grund av terminalåtkomsten skyldiga att registrera de allmänna handlingar som utgörs av innehållet i skatteregistret.
Syftet med arkivbildningen
I arkivlagen slås fast att myndigheternas arkiv är en del av det statliga kulturarvet. Det i lagen angivna syftet med arkivbildningen är att myn-
digheters arkiv skall bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt forskningens behov. I behovet av information för rättsskipningen och förvaltningen inkluderas ett syfte med arkivbildningen som bör markeras särskilt. För en myndighet är nämligen det egna arkivet av grundläggande betydelse för hela verksamheten – det kan sägas närmast utgöra myndighetens minnesbank – och är alltså en nödvändig beståndsdel för att myndigheten skall kunna fullfölja sina uppgifter.
2.6.2. Arkivvården och arkivmyndigheternas uppgifter
En myndighet (arkivbildaren) har själv att svara för vården av sitt arkiv. Arkivmyndigheterna skall primärt endast ha tillsyn över myndigheternas arkiv, men har också rätt att överta arkivmaterial från en myndighet som står under dess tillsyn, vilket innebär att arkivmyndigheten även övertar ansvaret för materialet. Detta kan ske efter överenskommelse, exempelvis om en myndighet har ADB-material men ingen lämplig förvaringslokal, eller efter ett ensidigt beslut av arkivmyndigheten, t.ex. på grund av att arkivbildaren missköter arkivet. Dessutom skall arkivmyndigheterna överta statliga myndighetsarkiv om en myndighet upphör och dess verksamhet inte förs över till en annan myndighet.
I den arkivbildande myndighetens vård ingår enligt arkivlagen främst att organisera arkivet så att rätten att ta del av allmänna handlingar underlättas. Myndigheten skall även upprätta en arkivbeskrivning och en arkivförteckning, skydda arkivet mot förstörelse och tillgrepp m.m., avgränsa arkivet genom att rensa ut handlingar som inte skall arkiveras – dvs. arbetsmaterial och annat som inte utgör allmänna handlingar – samt verkställa föreskriven gallring (se mer om gallring i nästa avsnitt). Inom arkivvårdens område har Riksarkivet enligt arkivförordningen en långtgående föreskriftsrätt.
I arkivlagen finns även bestämmelser om att en arkivbildande myndighet vid framställningen av handlingar skall använda material och metoder som är lämpliga med hänsyn till behovet av arkivbeständighet. Riksarkivet har i föreskrifter (Riksarkivets föreskrifter och allmänna råd, RA-FS 1991:1, ändrad genom RA-FS 1997:4) uttalat att myndigheterna skall välja medium – medel och metoder för överföring och lagring av information – och databärare med beaktande av att handlingarna skall kunna framställas, hanteras, förvaras och vårdas på ett tillfredsställande sätt. Detta har tidigare gällt främst val av bl.a. papperskvalitet, men
avser också annat, såsom databärare för elektronisk information (magnetband, cd-rom m.m.).
2.6.3. Gallring
Vad är gallring?
Huvudregeln enligt arkivlagen är att myndigheters arkiv skall bevaras. I lagen slås dock också fast att allmänna handlingar får gallras. Med gallring avses traditionellt att vissa handlingar sorteras ut ur sina sammanhang och sedan förstörs. När det gäller gallring av ADB-material innebär detta normalt att viss information raderas från databäraren, dvs. det fysiska underlaget. Det är alltså inte egentligen fråga om att databäraren skall förstöras, utan den kan efter radering av informationen i vissa fall återanvändas. Detta är fallet med t.ex. magnetband. För andra databärare, exempelvis cd-rom, gäller att informationen inte på samma sätt kan raderas från underlaget och i de fallen måste alltså det fysiska underlaget förstöras.
Det är dock inte nödvändigt att den egentliga information som finns på ett ADB-medium verkligen förstörs för att det skall vara fråga om gallring. Tvärtom kan ett visst material gallras genom att den elektroniskt lagrade informationen överförs till en pappersutskrift, varefter den raderas från ADB-mediet. Även om alla uppgifter då fortfarande kan tyckas finnas kvar på papper, så har ofta olika sökmöjligheter eller möjligheter att göra sammanställningar eller kontroller av handlingars autenticitet – t.ex. elektroniska signaturer – gått förlorade, vilket medför att materialet har gallrats. Innebörden av att ett visst material har gallrats, är alltså att möjligheten att få fram information ur materialet på något sätt har försämrats. Definitioner av begreppet gallring finns i Riksarkivets föreskrifter och allmänna råd om framställning och hantering av upptagningar för automatisk databehandling (RA-FS 1994:2).
Vad får gallras ur ett arkiv och när får det göras?
Den möjlighet att genomföra gallring av allmänna handlingar som följer av arkivlagen är inskränkt genom att hänsyn vid gallringen skall tas till att arkiven utgör en del av kulturarvet. Det innebär att återstående arkivmaterial efter gallring skall kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt forskningens behov. Att gallring alls sker är viktigt av såväl ekonomiska skäl som integritetsskäl. När det gäller den ekonomiska aspekten är det främst kostnaden för förvaring och vård av
materialet som gör sig gällande. Från integritetssynpunkt kan det vara viktigt för enskilda personer att känsligt material inte bevaras i onödan.
Integritetsaspekten gör sig särskilt gällande i fråga om elektroniskt lagrad information. En särskild bestämmelse finns i 12 § datalagen, som för flertalet av dagens statliga personregister skall tillämpas t.o.m. den 30 september 2001. Bestämmelsen innebär att personuppgifter som kan hänföras till den som avses med uppgiften skall utgå ur personregistret när uppgiften inte längre behövs med hänsyn till ändamålet med registret. Undantag görs i fall då uppgiften även därefter skall bevaras på grund av bestämmelse i lag eller annan författning eller enligt ett myndighetsbeslut som har meddelats med stöd av författning.
Även i personuppgiftslagen finns det generella gallringsbestämmelser. Enligt dessa bestämmelser får personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Det finns dock ett undantag från denna regel, nämligen att personuppgifter får bevaras under längre tid om det behövs för historiska, statistiska eller vetenskapliga ändamål. Dessutom kan undantag från gallringsbestämmelsen göras i annan lag eller i förordning. I personuppgiftslagen markeras dessutom att tryckfrihetsförordningen gäller före lagen samt att lagen inte hindrar att myndigheter arkiverar eller bevarar allmänna handlingar. Det innebär i fråga om register hos statliga myndigheter att om gallringsbestämmelser saknas i den särskilda registerlagstiftningen, så tillämpas bl.a. arkivlagens bestämmelser om gallring m.m.
En statlig myndighet kan inte på egen hand avgöra vad som skall gallras ur dess arkiv. Tvärtom får allmänna handlingar hos myndigheten gallras endast i enlighet med särskilda gallringsföreskrifter i lag eller förordning, föreskrifter eller beslut av Riksarkivet eller gallringsföreskrifter som har meddelats med stöd av datalagen. Sistnämnda föreskrifter avser endast personregister i datalagens mening. För personregister gäller den särskilda regeln att Riksarkivet skall samråda med Datainspektionen innan gallringsföreskrifter eller beslut om gallring ur ett sådant register meddelas.
Oavsett om gallringsbestämmelser finns i lag, förordning, föreskrifter eller i särskilda beslut omfattar de regelmässigt såväl vilka handlingar som får gallras som när det får eller skall ske. För statliga personregister som regleras i författning finns vanligen gallringsbestämmelser i registerförfattningarna. Dessa bestämmelser kompletteras dock ofta av föreskrifter från Riksarkivet. För statliga personregister som förs med stöd av tillstånd av Datainspektionen finns ofta bestämmelser om gallring i tillståndsbesluten.
3. Register hos skatteförvaltningen, exekutionsväsendet och Tullverket
Användningen av automatisk databehandling har stadigt ökat inom all statlig verksamhet sedan 1970-talet och därmed också användningen av personregister i den mening som avses i datalagen (1973:289). Detta kapitel innehåller en redogörelse för gällande bestämmelser om de automatiserade register som används inom skatteförvaltningens, exekutionsväsendets och Tullverkets verksamheter. Sådana register kan grovt delas in i två grupper: register som inrättats efter beslut av riksdagen eller regeringen (s.k. statsmaktsregister) och register som förs med stöd av tillstånd enligt datalagen. Framställningen tar sikte på samtliga de register som omfattas av våra direktiv, men tyngdpunkten ligger på de större författningsreglerade registren.
3.1. Register i skatteförvaltningens beskattningsverksamhet
3.1.1. Allmänt om beskattningsverksamheten
Skatteförvaltningen består av Riksskatteverket, som är chefsmyndighet, samt tio regionala skattemyndigheter. Vid de regionala myndigheterna finns det avdelningar, enheter och skattekontor. Skatteförvaltningen ansvarar för frågor om skatter, socialavgifter och pensionsgrundande inkomst, folkbokföring, vissa brottsutredningar samt val och folkomröstningar. Grundläggande bestämmelser om verksamheterna finns i förordningen (1990:1293) med instruktion för skatteförvaltningen.
Den del av skatteförvaltningens verksamhet som rör frågor om skatter och avgifter, fastighetstaxering samt fastställande av pensionsgrundande inkomst, kan med en gemensam term benämnas beskattningsverksamhet. Den verksamheten är mycket komplex och innefattar tillämpning av ett mycket stort antal lagar som reglerar bl.a. skattskyldighet samt förfarandet vid fastställande av underlag för och bestämmande och
betalning av skatter och avgifter. Nedan följer en summarisk beskrivning av verksamheten.
Inkomstskatter, socialavgifter och källskatt m.m.
Av kommunalskattelagen (1928:370) framgår att fysiska personer och dödsbon skall betala kommunal inkomstskatt för inkomst av tjänst och näringsverksamhet. Enligt lagen (1947:576) om statlig inkomstskatt skall de vidare erlägga statlig inkomstskatt på nämnda inkomster jämte inkomst av kapital. Juridiska personer skall i den utsträckning som framgår av sistnämnda lag betala statlig inkomstskatt för inkomst av näringsverksamhet. Förfarandet med bestämmande och betalning av de nu nämnda skatterna har sin grund i det underlag för beskattningen som utgörs av självdeklarationer som ges in av de skattskyldiga samt kontrolluppgifter som ges in av andra, t.ex. arbetsgivare, allmänna försäkringskassor och banker, enligt lagen (1990:325) om självdeklarationer och kontrolluppgifter. Förfarandet hos skattemyndigheterna vid fastställande av underlaget för skatteuttag regleras i taxeringslagen (1990:324), medan bestämmelser om förfarandet med bestämmande, betalning och redovisning av skatterna finns i skattebetalningslagen (1997:483). Utöver de ovan nämnda skatterna tillämpas i princip samma förfaringssätt på skatter enligt bl.a. lagen (1997:323) om statlig förmögenhetsskatt och lagen (1984:1052) om statlig fastighetsskatt.
Vid sidan av de nämnda skatterna finns det ett stort antal andra skatter som regleras i särskild lagstiftning. Som exempel kan nämnas skatt enligt lagen (1991:586) om särskild inkomstskatt för utomlands bosatta samt lagen (1941:416) om arvsskatt och gåvoskatt. För dessa skatter gäller även särskilda förfaringssätt vid fastställande av underlag för samt bestämmande och uttag av skatterna.
Den som är arbetsgivare, och i vissa fall uppdragsgivare, skall enligt lagen (1981:691) om socialavgifter erlägga arbetsgivaravgifter på den ersättning för arbete som betalas ut till anställda eller uppdragstagare. Arbetsgivare är även skyldiga att göra skatteavdrag för sina anställda när ersättningen betalas ut till dem. Det innebär att arbetsgivaren skall redovisa de anställdas preliminära inkomstskatter och betala in dessa till skattemyndigheterna. Sådant skatteavdrag görs vanligen med stöd av fastställda skattetabeller. Förfarandet för bestämmande, betalning och redovisning av arbetsgivaravgifterna och skatteavdragen regleras i skattebetalningslagen. Arbetsgivare skall varje månad lämna en skattedeklaration till skattemyndigheterna, av vilken skall framgå den sammanlagda ersättning för vilken arbetsgivaren är skyldig att göra skatteavdrag eller betala arbetsgivaravgifter. I samband med att en skattedeklaration ges in skall arbetsgivaren betala in de skatter och arbetsgivar-
avgifter som följer av deklarationen. Redovisningen av inbetalningar m.m. sker genom ett för varje arbetsgivare särskilt skattekonto.
Efter varje beskattningsår gör skattemyndigheterna en avstämning mellan de skattebeslut som har fattats för arbetsgivare avseende gjorda skatteavdrag och de skattskyldigas (arbetstagarnas) självdeklarationer och kontrolluppgifter. Den enskilde arbetstagaren får därefter ett skattebeslut som kan innebära återbetalning när arbetsgivaren har betalat in för mycket preliminär skatt eller ett betalningskrav när preliminärskatten är för lågt beräknad. Även redovisningen av arbetstagares skatter görs numera på ett för varje person särskilt skattekonto.
Mervärdesskatt och punktskatter m.m.
Den som yrkesmässigt omsätter varor eller tjänster som är skattepliktiga är enligt mervärdesskattelagen (1994:200) skyldig att betala mervärdesskatt, moms, till staten. Skyldigheten att betala moms inträder normalt när varan har levererats eller tjänsten har tagits i anspråk och kan därför komma att gälla i flera led, dvs. skyldigheten att betala moms vid försäljning av ett visst föremål uppstår varje gång föremålet säljs yrkesmässigt. Beskattningsunderlaget utgörs av värdet av den sålda varan eller den tillhandahållna tjänsten. Momsskyldigheten innebär emellertid inte endast en skyldighet för en näringsidkare att betala in moms vid försäljning av varor eller tjänster (utgående skatt), utan även en rätt att få tillbaka den moms som ingår i ersättningen vid köp av varor eller tjänster i verksamheten (ingående skatt).
Bestämmelser om förfarandet vid bestämmande och betalning av moms finns i skattebetalningslagen. Den som är skyldig att betala moms skall normalt varje månad lämna de uppgifter som behövs för beskattningen i en skattedeklaration, tillsammans med uppgifter om arbetsgivaravgifter och gjorda skatteavdrag. I samband med att skattedeklarationen ges in skall den skattskyldige betala in skillnaden mellan den utgående och ingående skatten. När den ingående skatten överstiger den utgående skall skattemyndigheterna i stället återbetala mellanskillnaden.
För ett flertal produkter eller tjänster tas särskilda punktskatter eller avgifter ut, bl.a. enligt lagen (1994:1563) om tobaksskatt, lagen (1994:1564) om alkoholskatt och lagen (1994:1776) om skatt på energi. Sammantaget regleras uttag av punktskatter och prisregleringsavgifter i ett femtiotal olika lagar. I dessa lagar anges även hur skatten beräknas. Som exempel kan nämnas lagen om tobaksskatt där det anges att skatt på cigaretter tas ut med ett viss belopp per cigarett samt med en viss procent av detaljhandelspriset. Skattskyldig är enligt den lagen bl.a. den
som är godkänd som upplagshavare till följd av yrkesmässig tillverkning, import eller lagring av cigaretter.
Förfarandet vid uttag av skatterna regleras i lagen (1984:151) om punktskatter och prisregleringsavgifter, dock gäller lagen inte de skatter och avgifter som enligt bestämmelser i materiell lagstiftning skall erläggas till Tullverket. Skatteredovisningen görs i särskilda deklarationer som normalt skall ges in till beskattningsmyndigheten varje månad. Till skillnad mot vad som gäller för inkomstskatter, socialavgifter och moms m.m., handläggs frågor om punktskatter centralt för hela landet vid det särskilda skattekontoret i Ludvika. Beskattningsmyndighet är alltså Skattemyndigheten i Gävle, till vilken kontoret hör.
Revision och annan kontrollverksamhet
De allra flesta beskattningsbeslut m.m. som fattas av skattemyndigheterna grundar sig helt på de underlag för beskattning som ges in från skattskyldiga och andra, dvs. självdeklarationer, skattedeklarationer och kontrolluppgifter m.m. Myndigheterna godtar underlagen utan några ändringar efter en summarisk – i vissa fall maskinell – granskning utan några egentliga kontrollinsatser. I de fall ändringar görs i underlaget sker det ofta efter att fel eller tveksamheter har upptäckts vid maskinella eller manuella genomgångar av deklarationer, varefter nya underlag kan fastställas efter kommunicering med de skattskyldiga utan ytterligare insatser.
Skattemyndigheterna företar dock regelmässigt även mer djupgående kontroller av de underlag som inkommer till skattemyndigheterna och i vissa fall på grund av att underlag helt saknas. Enligt taxeringslagen får skattemyndigheterna förelägga den som är eller kan antas vara skattskyldig att lämna uppgifter eller visa upp handlingar som behövs för kontroll av att uppgifter i beskattningsunderlaget är riktiga. Ett sådant föreläggande får i vissa fall förenas med vite. Skattemyndigheterna kan även besluta om taxeringsrevision för att kontrollera att deklarations- och annan uppgiftsskyldighet har fullgjorts riktigt och fullständigt samt för att inhämta uppgifter av betydelse för kontroll av någon annan än den skattskyldige som revideras.
Motsvarande bestämmelser som i taxeringslagen om revision och andra kontrollåtgärder, finns i fråga om moms och arbetsgivaravgifter respektive punktskatter m.m., i skattebetalningslagen respektive lagen om punktskatter och prisregleringsavgifter.
När skattemyndigheterna genomför revisioner eller andra kontrollåtgärder enligt bl.a. taxeringslagen, skattebetalningslagen samt lagen om punktskatter och prisregleringsavgifter, tillämpas bestämmelserna i lagen (1994:466) om särskilda tvångsåtgärder i beskattningsförfarandet. Enligt
den lagen får revision företas i den reviderades lokaler även utan dennes medgivande och i vissa fall även utan att den reviderade har underrättats om att revision skall ske. Vid sådan revision får handlingar eftersökas och omhändertas för granskning. Med handlingar avses även tekniska upptagningar som t.ex. dataprogram.
Fastighetstaxering
Fastighetstaxering utgör en särskild del av beskattningsverksamheten. Målet för fastighetstaxeringen är att fastställa och tillhandahålla information om taxeringsvärde för landets ca. 3 miljoner fastigheter. Taxeringsvärdet utgör sedan underlag för uttag av fastighetsskatt, men ett taxeringsvärde skall fastställas även för fastigheter som är skattebefriade. Indelningen i taxeringsenheter, de taxeringsvärden för fastigheter som åsätts vid fastighetstaxeringen samt de egenskapsuppgifter som samlas in vid taxeringen används inom många verksamhetsområden. Hänvisning till fastighetstaxeringsuppgifter finns bl.a. i folkbokföringslagen (1991:481). Uppgifterna används även inom verksamhetsområden som inte är författningsreglerade. Huvudsakligen gäller detta vid fastighetsvärdering, kreditupplysning och kreditgivning, försäljning av fastigheter, fysisk planering, samt framställning av statistik.
En förutsättning för att en fastighets taxeringsvärde skall bli korrekt är att den basinformation som ligger till grund för taxeringsbesluten motsvarar de verkliga förhållandena på fastigheterna. Allmän fastighetstaxering äger därför rum vartannat år, men fördelat på så sätt att lantbruksenheter taxeras vart sjätte år, småhus vart sjätte år samt hyreshusenheter m.m. vart sjätte år. För fastigheter på vilka det har skett väsentliga förändringar, t.ex. tillbyggnad, sker dock omtaxering årligen (särskild fastighetstaxering). Sedan 1996 utgörs underlaget för taxeringen av en fastighet av ett taxeringsförslag som fastighetsägaren får från skattemyndigheten och som kommer att utgöra taxeringsbeslutet om fastighetsägaren inte har några invändningar.
Brottsutredande verksamhet
Den 1 juli 1998 trädde lagen (1997:1024) om skattemyndigheternas medverkan i brottsutredningar i kraft. Enligt den lagen får skattemyndigheter medverka i förundersökning avseende brott enligt bl.a. skattebrottslagen (1971:69) samt bedriva viss spanings- och utredningsverksamhet. I normalfallet leds skattemyndigheternas arbete i en förundersökning av en åklagare, men i fråga om brott som inte kan antas föranleda annan påföljd än böter får skattemyndigheterna, även utan
åklagares begäran om biträde, på egen hand utreda brottslighet om den misstänkte kan antas erkänna gärningen.
Verksamhetens omfattning och behovet av datorstöd
För att exemplifiera omfattningen av skatteförvaltningens verksamhet kan nämnas några uppgifter som avser verksamhetsåret 1998. Skattemyndigheterna hanterade det året 3,8 miljoner momsdeklarationer och 7,3 miljoner självdeklarationer. Efter granskning ändrades 87 000 momsdeklarationer och 375 000 självdeklarationer. Antalet registrerade arbetsgivare var 289 000 vid utgången av året och med uppgifter från dessa fattades 405 000 fastställelsebeslut avseende källskatt och arbetsgivaravgifter. Det totala skatteutfallet, inklusive socialavgifter, uppgick för 1998 till 975 miljarder kronor.
Av verksamhetsbeskrivningen ovan framgår att skatteförvaltningens beskattningsverksamhet förutsätter att det finns möjlighet att samla in och behandla stora mängder uppgifter från enskilda och företag, bl.a. deklarationer och kontrolluppgifter. Dessutom behöver skattemyndigheterna uppgifter från andra myndigheter, t.ex. om olika tillstånd och bidrag m.m. som företag eller enskilda beviljats eller uppgifter som de lämnat för att få en sådan förmån.
Med hänsyn till mängden uppgifter som skattemyndigheterna hämtar in är tillgången till datorer i ärendehanteringen nödvändig för att en snabb och effektiv handläggning skall kunna uppnås eller vidhållas. Med hjälp av automatisk databehandling kan skattemyndigheterna ta emot uppgifter via t.ex. fasta uppkopplingar, modem eller diskett. Dessutom möjliggörs maskinella beslut. Registreringen av uppgifter i datoriserade skatteregister medför att grundläggande beslut om årlig taxering i sådana fall där en självdeklaration godtas utan avvikelse kan fattas direkt på automatiserad väg. Även andra beslut, såsom beslut om pensionsgrundande inkomst och underlag för beräkning av egenavgifter samt debiteringsbeslut, kan fattas maskinellt. Skatteförvaltningen har således ett stort behov av väl fungerande datorsystem och rutiner för att klara den masshantering av ärenden som förekommer hos myndigheterna.
Det är även skattemyndigheternas uppgift att se till att taxeringsärenden och andra ärenden blir tillräckligt utredda. Arbetet innefattar därför granskning och kontroll av ett omfattande material. För att skattemyndigheterna skall klara de rationaliseringskrav som ställs på kontrollverksamheten, tas datorsystemen därför till hjälp i så stor utsträckning som möjligt för att bl.a. få ett urval av kontrollvärda objekt. Även i kontrollverksamheten finns därför behov av effektiva datorlösningar.
3.1.2. Skatteregister
Alltsedan början av 1970-talet har ett förbättrat datorstöd hos skattemyndigheterna varit ett viktigt inslag i reformarbetet inom taxerings- och uppbördsområdena. Riksdagen beslutade 1975 om riktlinjer för en taxeringsorganisation i första instans, som innebar bl.a. att uppgifter i självdeklarationer och kontrolluppgifter skulle ADB-registreras. Enligt principbeslutet skulle vidare ett centralt organisationsregister till stöd för företagsbeskattningen byggas upp. Detta register skulle innehålla alla juridiska personer som driver rörelse och alla fysiska personer som har någon anställd eller som driver rörelse. Samma år beslutade riksdagen om riktlinjer för ett fortsatt utvecklingsarbete med det nya datorsystemet för folkbokföring och beskattning. Systemet skulle enligt beslutet bygga på en blandad regional och central registerföring. Under senare delen av 1970-talet togs ytterligare regerings- och riksdagsbeslut i syfte att utveckla datorsystemet.
Samtidigt som datorsystemet utvecklades, diskuterades de integritetsoch sekretessfrågor samt övriga säkerhetsfrågor som är förknippade med användning av datorer inom skatteförvaltningen. Det fastslogs att det från integritetsskyddssynpunkt var angeläget att registerföringen hos skatteförvaltningen klart skulle redovisas och avgränsas i författning. Så långt möjligt borde regleringen ske i lagform (prop. 1979/80:146 s. 18). Den 1 juli 1980 trädde sålunda skatteregisterlagen (1980:343) i kraft. Lagen kompletterades med skatteregisterförordningen (1980:556) som innehåller föreskrifter om bl.a. utlämnande av uppgifter från registren till myndigheter utanför beskattningsområdet.
Tillämpningsområde och ändamål
Genom skatteregisterlagen regleras de fortlöpande register som förs inom skatteförvaltningen med datorstöd. Skatteregisterlagen omfattar inte sådan specialinriktad registerföring som kan behövas för datoriserade bearbetningar i samband med särskilda kontrollaktioner och inte heller datoriserade register utan personorienterad information, som används vid framställning av statistik.
Skatteregisterlagen medger att det inom skatteförvaltningen förs ett centralt skatteregister för hela riket och ett regionalt skatteregister för varje region. Registren får föras endast för vissa i lagen preciserade ändamål. Vid skatteregisterlagens tillkomst bestämdes dessa ändamål utifrån registrens två huvudsakliga funktioner. Skatteregistren skulle vara ett hjälpmedel vid inkomst- och förmögenhetstaxeringen samt vid bestämmande och uppbörd av inkomst- och förmögenhetsskatt m.fl. skatter och avgifter. De skulle också underlätta planeringen, samord-
ningen och uppföljningen av revisions- och kontrollverksamheten inom i huvudsak hela beskattningsområdet. Dessutom skulle vissa basuppgifter m.m. tillhandahållas, främst i fråga om företag.
Det förutsattes att skatteregistren i framtiden skulle komma att användas även för andra ändamål (prop. 1979/80:146 s. 26 och 42). Bland annat ansågs det naturligt att kronofogdemyndigheterna skulle få tillgång till uppgifterna i skatteregistren i den mån de skulle behövas för indrivningsverksamheten. En sådan utvidgning av ändamålet med skatteregistren skedde 1982, då det bestämdes att det centrala skatteregistret skulle användas även för utredningar i kronofogdemyndigheternas exekutiva verksamhet. I förarbetena till den lagändringen (prop. 1981/82:160 s. 7 f.) uttalade departementschefen bl.a. att indrivningen av skatter och avgifter hör mycket nära ihop med den direkta beskattningsverksamheten och att det i princip inte finns några bärande skäl att motsätta sig att kronofogdemyndigheterna genom ett enkelt och smidigt förfarande får tillgång till uppgifterna i skatteregistren för utredningsändamål. Genom en registeråtkomst på detta sätt skulle möjlighet skapas att förenkla och förbättra kronofogdemyndigheternas rutiner vid efterforskning av gäldenärernas tillgångar.
Ändamålskatalogen har därefter utökats ytterligare, dock i stort sett utan att det huvudsakliga användningsområdet för skatteregistren förändrats. Bland senare ändringar kan nämnas att skatteregistren numera får användas vid gäldenärsutredningar enligt lagen (1993:891) om indrivning av statliga fordringar m.m.
Registeransvar
Enligt datalagen är den registeransvarig för vars verksamhet ett personregister förs, om han eller hon förfogar över registret. I skatteregisterlagen pekas inga myndigheter direkt ut som registeransvariga. Däremot anges det att Riksskatteverket förfogar över det centrala registret och att skattemyndigheterna förfogar över det centrala registret såvitt gäller uppgifter som hänför sig till regionen samt över det regionala registret för regionen.
Detta innebär att Riksskatteverket är registeransvarigt för det centrala skatteregistret i dess helhet, medan skattemyndigheterna var för sig ansvarar för registret i fråga om uppgifter som hänför sig till regionen. För det centrala registret är ansvaret alltså delat. Skattemyndigheterna är registeransvariga även för de regionala register som förs av respektive myndighet, medan Riksskatteverket inte har något formellt ansvar för dessa register.
Det centrala skatteregistrets innehåll
Innehållet i det centrala skatteregistret regleras i 5–7 §§skatteregisterlagen. I 5 och 6 §§ anges vilka uppgifter som registret skall innehålla, medan 7 § reglerar de uppgifter som registret därutöver får innehålla. Innehållet är preciserat i bestämmelserna, men utan att det alltid exakt anges vilka uppgifter som skall eller får registreras. Det finns således en möjlighet att i administrativ ordning föreskriva mindre avvikelser från lagens bestämmelser liksom att ge närmare föreskrifter om innehållet.
Obligatoriska uppgifter
I 5 § skatteregisterlagen räknas de uppgifter avseende fysiska personer upp som alltid skall finnas i registret. Hit hör de vanliga identifikationsuppgifterna om namn, adress och personnummer samt vissa andra uppgifter, t.ex. civilstånd och nationalitet. Personnummer för bl.a. make och hemmavarande barn skall också anges, liksom uppgifter om pensionsförhållande, tillhörighet till svenska kyrkan och registrering i sjömansregistret m.m. Vidare finns uppgifter om registrering enligt skattebetalningslagen och om på vilket sätt den preliminära skatten skall betalas. Uppgifterna skall föras in för varje fysisk person som är folkbokförd i Sverige – för personer under 18 år finns dock vissa särbestämmelser – och för annan fysisk person om det behövs för beskattning i riket.
De uppgifter som skall införas för juridiska personer anges i 6 § skatteregisterlagen. I princip motsvarar de den typ av uppgifter som är obligatoriska för fysiska personer. Vad som registreras är bl.a. uppgifter om organisationsnummer, firma, adress, säte m.m. samt registrering enligt skattebetalningslagen.
Uppgifter som får finnas i registret
I 7 § skatteregisterlagen regleras i ett antal punkter vilka uppgifter som får införas i det centrala skatteregistret utöver de obligatoriska uppgifterna enligt 5 och 6 §§. Bestämmelsen möjliggör registrering av fler och mer detaljerade – och i vissa fall mer integritetskänsliga – uppgifter som är nödvändiga för beskattningen och som behövs för att skattemyndigheterna skall kunna bedriva en effektiv kontrollverksamhet.
Registret får innehålla vissa uppgifter om ägandeförhållanden i fåmansbolag och andra liknande bolag, liksom uppgifter om företagsledare i dessa företag (punkten 1). Registret får också innehålla andra uppgifter som näringsidkare har lämnat om sin näringsverksamhet. Det kan röra
sig om t.ex. uppgifter om antalet anställda och deras personnummer (punkten 10), omsättningen i näringsverksamheten (punkten 17), vissa uppgifter om koncerner (punkten 22) eller uppgifter om ingående och utgående mervärdesskatt m.m. (punkten 24). För näringsidkare får det även finnas uppgifter om s.k. mervärdesskattegrupper (punkten 30).
Registret får vidare innehålla uppgifter som lämnats i självdeklaration och kontrolluppgifter (punkterna 7 och 12). Från kronofogdemyndigheten hämtas uppgifter om att en fordran har registrerats på någon, om indrivningsresultat och om beslut om konkurs, skuldsanering eller likvidation m.m. (punkten 9). Det centrala skatteregistret får också innehålla uppgifter om bank- och postgironummer för näringsidkare, fastighetsinnehav, bosättningsland samt adress och telefonnummer till ombud m.m. (punkterna 11, 13, 15, 21 och 23).
Vissa uppgifter hämtas från andra myndigheter till det centrala skatteregistret, bl.a. uppgifter om fordonsinnehav från det centrala bilregistret (punkten 19), om styrelseledamöter och verkställande direktör m.m. från aktiebolagsregistret (punkten 25), om utskänkningstillstånd från Alkoholinspektionen (punkten 26), om beslut om arbetsmarknadspolitiska åtgärder från länsarbetsnämnder (punkten 27), om import och export m.m. från Tullverket (punkten 28) samt om försäkring mot kostnader för sjuklön från Riksförsäkringsverket (punkten 29). Uppgifterna har betydelse dels för att ta fram kontrollvärda förhållanden vid de maskinella urvalskontrollerna, dels för att skattemyndigheterna skall kunna fånga upp även sådana företag som bedriver verksamhet men som aldrig lämnar uppgift om detta till skattemyndigheten, s.k. non-filers. Sådana företag kan förekomma i andra myndigheters register i anledning av ansökan om bidrag eller tillstånd av olika slag.
Det centrala skatteregistret får vidare innehålla uppgifter om skattemyndigheters åtgärder och beslut, bl.a. uppgifter om avslutad revision och annat besök eller sammanträffande i anledning av kontrollverksamhet (punkten 2). Uppgifter om revisionsresultat är i hög grad integritetskänsliga och det kan ibland efter fortsatt utredning av beskattningsfrågan visa sig att de inte var korrekta. Därför får endast vissa uppgifter om revisionen registreras. För varje sådan åtgärd får anges tid, art, beskattningsperiod, skatteslag, myndighets beslut om beloppsmässiga ändringar av skatt eller underlag för skatt med anledning av åtgärden samt uppgift om huruvida bokföringsskyldighet har fullgjorts. Registret kan också innehålla uppgifter om tid för och art av planerad eller pågående revision m.m. (punkten 14) samt resultat av bruttovinstberäkning och annan skönsmässig beräkning (punkten 18).
Vidare får registret innehålla ett flertal uppgifter som behövs för bestämmande och redovisning av skatt, t.ex. innehav av skattsedel (punkten 3), maskinellt framställda förslag till beslut om beskattning
(punkten 4), ansökan om och beslut om anstånd (punkten 5), uppgifter om beslut om beskattning med undantag för skälen för beslutet, uppgifter om utmätning enligt skattebetalningslagen (punkten 8), uppgifter för beräkning av skattereduktion i vissa fall (punkten 20) samt uppgifter om uppskovsbelopp vid andelsbyten eller andelsöverlåtelser inom koncerner (punkterna 31 och 32). I registret får även finnas uppgifter om avgiftsskyldighet till annat registrerat trossamfund än svenska kyrkan (punkten 33).
Slutligen får det centrala skatteregistret innehålla administrativa och tekniska uppgifter som behövs för beskattningen (punkten 6). Med detta avses uppgifter som i första hand hänför sig till myndigheternas verksamhet och inte till den skattskyldige. En uppgift kan vara av administrativ eller teknisk natur endast om den från integritetssynpunkt framstår som väsentligen utan betydelse.
De regionala skatteregistrens innehåll
De regionala registren får enligt 11 § skatteregisterlagen innehålla vissa uppgifter som hänför sig till respektive myndighets region. Det är uppgifter om en fysisk eller juridisk persons identitet, beskattningsår eller annan redovisningsperiod, ärendebeteckning eller ärendemening, beteckning på en handling eller uppgift om att en handling inte finns i registret, uppgifter om omprövning eller överklagande av ett ärende hos myndigheten, domstols beslut samt administrativa och tekniska uppgifter.
Sedan 1995 får de regionala registren även innehålla handlingar som kommit in eller upprättats i ett ärende som hänför sig till regionen. Grunden för det var införandet av ett system inom skatteförvaltningen med elektronisk ärendehantering. Regeringen anförde i motiven till lagändringen att det genom utnyttjande av datorstöd har blivit möjligt att effektivisera delar av ärendehanteringen och att det finns skäl att så långt som möjligt ta till vara de rationaliseringsmöjligheter som datortekniken erbjuder (prop. 1994/95:93 s. 21 ff.). Innebörden av att de regionala registren skulle få innehålla handlingar var enligt regeringen att den pappersbaserade ärendehanteringen skulle kunna ersättas med elektroniska dokument och akter. En elektronisk akt skall kunna innehålla alla handlingarna i ett ärende. Det betyder att de beslut och andra handlingar som upprättas i elektronisk form av skattemyndigheterna, de deklarationer som lämnas in i elektronisk form till myndigheterna samt de inkomna pappersbaserade handlingar som bildfångas, dvs. avbildas elektroniskt, kan lagras i en elektronisk akt. Det leder i sin tur till att akterna – och därmed de regionala registren – kan komma att innehålla känsliga personuppgifter, särskilt som bildfångst av handlingar innebär
att alla uppgifter i en handling registreras oavsett hur känslig en uppgift är. I sina överväganden fann regeringen därför att det krävs åtgärder för att tillgodose behovet av skydd för enskildas personliga integritet. Sådana åtgärder vidtogs genom att det infördes särskilda begränsningar för terminalåtkomst till de regionala registren samt begränsningar i tilllåtna sökbegrepp vid sökning i de elektroniska akterna (se mer om det nedan).
Rätt att få uppgifter från skatteregistren
Av integritetshänsyn har innehållet i skatteregistren reglerats så noggrant som möjligt. Det har från integritetsskyddssynpunkt dock ansetts vara av minst lika stor betydelse att reglera tillgången till uppgifterna. Riskerna för att uppgifterna blir tillgängliga inom en alltför vid krets har man således försökt eliminera.
Bestämmelser som reglerar tillgången till uppgifterna finns i skatteregisterlagen och skatteregisterförordningen samt i sekretesslagen (1980:100). Det finns anledning att skilja på om uppgifterna skall användas inom skatteområdet eller om de skall utbytas mellan skatteområdet och något annat verksamhetsområde. I samband med skatteregisterlagens tillkomst anförde departementschefen bl.a. att utgångspunkten i fråga om utbyte av uppgifter mellan myndigheter och verksamhetsgrenar inom skatteområdet, bör vara att utlämnande skall ske om uppgifterna behövs för verksamheten (prop. 1979/80:146 s. 26 f.). Detta bör alltså gälla även i fråga om uppgiftsutbyte mellan skattemyndigheterna och t.ex. Tullverket som administrerar bl.a. mervärdesskatt vid införsel. Departementschefen uttalade vidare följande.
Det är sålunda enligt min mening naturligt att även i detta avseende betrakta skatteområdet som en enhet... De skattskyldiga torde också i allmänhet vara väl införstådda med att ett utbyte av information sker inom skatteförvaltningen.
Den omständigheten att verksamheten på skatteområdet är uppdelad på flera myndigheter och organisatoriska enheter bör alltså inte lägga hinder i vägen för ett uppgiftsutbyte som behövs för att verksamheten skall kunna bedrivas på ett rationellt och effektivt sätt.
Indrivningen av skatter och avgifter hör också nära ihop med den direkta beskattningsverksamheten. Redan i dagsläget får kronofogdemyndigheterna en mängd uppgifter från skattemyndigheterna som behövs för indrivningsverksamheten. Det är enligt min mening naturligt att kronofogdemyndigheterna i framtiden kan få tillgång även till uppgifterna i de nya skatteregistren i den mån de behövs i indrivningsverksamheten.
Vad sedan gäller utbyte av uppgifter i övrigt mellan skatteområdet och annat verksamhetsområde bör utgångspunkten vara en annan. De enskilda medborgarna bör normalt kunna utgå från att uppgifter av känslig natur som lämnas för viss verksamhet inte används också för annan verksamhet. Ett uppgiftsutbyte i sådana fall skulle av många kunna upplevas som otillbörligt. Detta talar för att man bör inta en restriktiv hållning när det gäller sådant uppgiftsutbyte. Å andra sidan måste man beakta dels att informationsutbyte mellan myndigheter kan minska den enskildes uppgiftslämnande och statsförvaltningens kostnader, dels att sådant utbyte kan möjliggöra angelägna kontroller. Vid den intresseavvägning som således måste ske bör man… inte tillåta uppgiftsutbyte i andra fall än då intresset av utlämnande klart bedöms väga över risken för otillbörligt integritetsintrång. Därvid måste man beakta bl.a. hur pass nära de ifrågavarande verksamhetsområdena ligger varandra, i vilken mån uppgifterna är sekretesskyddade hos den mottagande myndigheten samt om det finns möjlighet att i förväg underrätta de enskilda om uppgiftsutbytet.
Informationsflödet är således friare inom skatteområdet än mellan det området och andra verksamhetsområden. Detta återspeglar sig framför allt i den omfattning som skattemyndigheter respektive kronofogdemyndigheter har terminalåtkomst till uppgifter i skatteregistren.
Terminalåtkomst
Terminalåtkomst till det centrala skatteregistret
Utgångspunkten för regleringen av terminalåtkomst till det centrala skatteregistret är att uppgifterna får finnas tillgängliga via terminal endast i den mån behovet av att snabbt och enkelt få tillgång till uppgifterna väger tyngre än den risk från integritetssynpunkt som terminalåtkomst anses medföra (jfr prop. 1979/80:146 s. 47). Terminalåtkomst till uppgifter i registret får enligt 10 § skatteregisterlagen i princip medges endast för de ändamål för vilka registret är avsett, dvs. för skattemyndigheternas beskattningsverksamhet och kronofogdemyndigheternas exekutiva verksamhet.
Riksskatteverket har terminalåtkomst till det centrala skatteregistret i dess helhet, medan vissa begränsningar gäller för skattemyndigheter och kronofogdemyndigheter. Att märka är att Tullverket saknar terminalåtkomst till skatteregistren trots att även den myndigheten bedriver beskattningsverksamhet.
De regionala skattemyndigheterna har terminalåtkomst till samtliga typer av uppgifter som finns i det centrala skatteregistret, men åtkomsten
är till stor del begränsad till sådana uppgifter som hänför sig till respektive region. För ett flertal uppgifter av mindre integritetskänslig natur – samtliga uppgifter enligt 5 och 6 §§skatteregisterlagen – medges dock riksåtkomst. Detsamma gäller sådana uppgifter enligt 7 § där praktiska skäl talar för terminalåtkomst.
För att effektivisera kontrollverksamheten har skattemyndigheterna fr.o.m. den 1 juli 1997 i ett avseende fått en mer omfattande riksåtkomst. Vid och inför en revision har en skattemyndighet numera terminalåtkomst till uppgifter om ett företags delägare som är bosatt i en annan region än den där det reviderade företaget beskattas. I motiven till lagändringen uttalades att revisorn inför revision av ett företag har behov av att kunna granska även bolagets delägare i syfte att undersöka eventuella transaktioner mellan bolaget och dess delägare (prop. 1996/97:116 s. 60). Om delägarna är bosatta i ett annat län än där bolaget har sitt säte har revisorn inte terminalåtkomst till samtliga uppgifter om bolagets delägare. Genom att utöka terminalåtkomsten vid revisioner till att omfatta även delägare som är bosatt i annat län än det där bolaget beskattas kan arbetet med revisioner underlättas. Begränsningen i åtkomsten kan utnyttjas av näringsidkare som har för avsikt att missbruka systemet. Med hänsyn till att skatteförvaltningens datorsystem har ett behörighetssystem som utnyttjas på så sätt att man begränsar åtkomsten till uppgifterna i registret till endast de tjänstemän som har behov av uppgifterna, ansåg regeringen att något hinder från integritetssynpunkt inte kunde anses föreligga mot att tillåta revisorer att få terminalåtkomst även till uppgifter om ett bolags delägare som är bosatt i ett annat län.
Kronofogdemyndigheterna har inte terminalåtkomst till samtliga typer av uppgifter som finns i det centrala skatteregistret, utan åtkomsten begränsas till uppgifter som avses i 5 och 6 §§ samt vissa uppgifter i 7 § skatteregisterlagen. Det gäller då sådana uppgifter som kronofogdemyndigheterna behöver för att på ett tidigt stadium kunna skaffa sig en överblick över en gäldenärs ekonomiska intressen i olika bolag, t.ex. uppgifter om ägarförhållande i fåmansbolag (7 § 1). Vidare gäller det uppgifter som underlättar för kronofogdemyndigheten att i övrigt informera sig om gäldenärens betalningsförmåga, t.ex. uppgifter som lämnas i självdeklaration (punkten 7), uppgifter om registrering av skattskyldighet, innehav av skattsedel och preliminära skattebeslut (punkterna 3 och 4) eller slutliga beslut om skatt, dock inte skälen för beslutet (punkten 8). Kronofogdemyndigheterna har också tillgång till uppgifter från kontrolluppgifter (punkten 12), eftersom sådana uppgifter är det viktigaste underlaget för kronofogdemyndigheternas beslut om löneexekution. Slutligen har kronofogdemyndigheterna tillgång till olika uppgifter om fastighetsinnehav (punkten 13) samt vissa uppgifter om ingående och utgående mervärdesskatt m.m. (punkten 24).
Kronofogdemyndigheterna har terminalåtkomst endast till uppgifter som rör en begränsad krets personer. Åtkomsten får avse endast den som är registrerad som gäldenär hos en kronofogdemyndighet eller make till gäldenären eller någon annan som sambeskattas med gäldenären, likaså någon som är delägare i ett fåmansbolag i vilket någon av dessa personer också är delägare. I fråga om uppgifter som avses i 5 och 6 §§ samt 7 § punkterna 1, 3 och 4 skatteregisterlagen har samtliga kronofogdemyndigheter terminalåtkomst. För övriga uppgifter är terminalåtkomsten begränsad till kronofogdemyndigheten i den region där ett mål är registrerat för exekutiva åtgärder.
Att behöriga myndigheter i ett annat EU-land får ha terminalåtkomst till uppgifter om mervärdesskatt framgår av rådets förordning (EEG) nr 218/92.
Terminalåtkomst till de regionala skatteregistren
Som nämnts ovan innehåller de regionala skatteregistren handlingar i elektroniska akter, vilka kan innehålla känsliga personuppgifter av olika slag. I motiven till regleringen av dessa akter (prop. 1994/95:93 s. 30 ff.) anförde regeringen att åtkomsten till de regionala registren måste begränsas för att tillgodose behovet av skydd för de registrerades integritet. Regeringen ansåg att åtkomsten till de elektroniska akterna bör motsvara de möjligheter till åtkomst som gäller för handlingarna i en pappersbaserad akt. För de regionala skatteregistren gäller därför att terminalåtkomsten är uppdelad på så sätt att åtkomst till handlingar i ett ärende, dvs. de elektroniska akterna, i första hand är förbehållen det skattekontor som handlägger ärendet. Dock kan även ett annat skattekontor få terminalåtkomst till uppgifterna, om det behövs för handläggningen av ett ärende hos det kontoret. Riksskatteverket och skattemyndigheten i regionen – med undantag för respektive lokalt skattekontor – har inte terminalåtkomst till de elektroniska akterna, men väl till övriga uppgifter i ett regionalt skatteregister. Kronofogdemyndigheterna saknar helt terminalåtkomst till de regionala skatteregistren.
Till skillnad från vad som gäller i fråga om det centrala skatteregistret begränsas åtkomsten till de regionala skatteregistren genom att endast vissa sökbegrepp får användas när uppgifter skall tas fram ur registren. Tillåtna sökbegrepp är personnummer, organisationsnummer, namn, firma, ärendebeteckning, taxeringsår, beskattningsår, inkomstår, redovisningsperiod, handläggande enhet, datum samt uppgift om var i handläggningen ärendet befinner sig. För de elektroniska akterna gäller ännu striktare begränsningar. Regeringen anförde i motiven till bestämmelsen om sökbegrepp att sökmöjligheterna i de elektroniska akterna av integritetsskäl bör utformas så att rutinerna i princip motsvarar hand-
läggningen av pappersbaserade akter och att en upptagning i en elektronisk akt därför inte skall få användas för att maskinellt söka efter en viss uppgift i upptagningen (prop. 1994/95:93 s. 32 f.). Regeringen ansåg således att användaren inte får söka på fri text i akterna även om detta skulle vara tekniskt möjligt. Av den anledningen är de tillåtna sökbegreppen för sökning i elektroniska akter begränsade till ärendebeteckning och beteckning på handling.
Utlämnande av uppgifter på annat sätt än genom terminalåtkomst
Innehållet i skatteregistren omfattas av vad som utgör allmän handling enligt 2 kap. TF. Allmänhetens rätt att ta del av uppgifter i skatteregistren kan därför inskränkas endast genom särskild lag och för särskilda ändamål. Genom sekretesslagens bestämmelser inskränks också rätten att ta del av uppgifter i skatteregistren. Sekretessen gäller mot enskilda, men också i förhållande till andra myndigheter eller till annan självständig verksamhetsgren inom myndigheten (1 kap.2 och 3 §§sekretesslagen).
Enligt 9 kap. 1 § sekretesslagen gäller sekretess i myndighets verksamhet, som avser bestämmande av skatt eller som avser taxering eller i övrigt fastställande av underlag för bestämmande av skatt, för uppgift om enskilds personliga eller ekonomiska förhållanden. Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur register som avses i skatteregisterlagen för uppgift som har tillförts sådant register. Skattesekretessen i 9 kap. 1 § sekretesslagen är absolut såvitt gäller uppgifterna i skatteregistren. Sekretessen gäller alltså även om det står klart att uppgifterna kan lämnas ut utan att någon lider men av det.
Sekretessen för uppgifterna i skatteregistren kan dock brytas under vissa förutsättningar. Uppgifter kan nämligen lämnas ut med stöd av såväl 1 kap. 5 § som 14 kap.1–3 §§sekretesslagen (se mer om detta i avsnitt 2.5.3). Av 16 § skatteregisterlagen framgår dessutom att den absoluta sekretessen inte gäller för vissa uppgifter i skatteregistren. Om det inte av särskild anledning kan antas att den registrerade eller någon honom närstående lider men om uppgiften röjs, får från skatteregister lämnas ut vissa uppgifter om fysiska och juridiska personer. Det är dels grundläggande identifieringsuppgifter, dels uppgifter om på vilket sätt preliminär skatt skall betalas, slag av näringsverksamhet, beslut om konkurs eller likvidation samt uppgift om registrering av skyldighet att inbetala innehållen preliminär A-skatt eller arbetsgivaravgift.
Uppgiftslämnande till myndigheter inom skatteområdet
Möjligheterna att lämna ut uppgifter från skatteregistren mellan skattemyndigheterna är goda. Den allmänna principen enligt 15 kap. 5 § sekretesslagen är att en skattemyndighet skall lämna uppgifter till en annan skattemyndighet som begär det. Det finns dessutom bestämmelser om utlämnande i annan lagstiftning, t.ex. taxeringslagen, som innebär att det mellan skattemyndigheterna i princip råder ett fritt utbyte av uppgifter. Som exempel kan nämnas att enligt 3 kap. 16 § taxeringslagen är myndigheter skyldiga att på begäran av skattemyndighet tillhandahålla uppgifter som de förfogar över och som skattemyndigheten behöver för taxering. Detta gäller dock inte uppgifter som är föremål för s.k. utrikessekretess enligt 2 kap. sekretesslagen. Enligt 3 kap. 17 § taxeringslagen skall uppgifter i självdeklarationer och i andra handlingar som upprättats för granskning eller omhändertagits vid taxeringskontroll eller lämnats till ledning för taxering enligt lagen om självdeklaration och kontrolluppgifter, på begäran lämnas ut till bl.a. skattemyndighet om det behövs för kontrollverksamheten. Motsvarande bestämmelser finns i bl.a. skattebetalningslagen. Bestämmelserna innebär en uppgiftsskyldighet i den mening som avses i 14 kap. 1 § sekretesslagen.
I den mån utbytet av information inom skatteområdet inte kan ske med stöd av uttryckliga bestämmelser kan information utbytas inom skatteområdet med stöd av generalklausulen i 14 kap. 3 § sekretesslagen. Enligt förarbetena till bestämmelsen är den nämligen tillämplig bl.a. när det är fråga om utbyte av information mellan myndigheter med samma sakliga behörighet men med skilda lokala kompetensområden eller mellan myndigheter som har närbesläktade funktioner och som båda har rättslig befogenhet att direkt fordra in de utväxlade uppgifterna (prop. 1979/80:2 s. 326 f.).
Uppgiftslämnande till myndigheter utanför skatteområdet
Liksom i fråga om utbyte av uppgifter mellan skattemyndigheter förekommer författningsreglerad skyldighet för skattemyndigheterna att lämna ut uppgifter från skatteregistren till myndigheter utanför skatteområdet. Vissa uppgifter får lämnas ut på medium för automatisk databehandling till ett mindre antal namngivna myndigheter med stöd av 15 § skatteregisterlagen och 4 § skatteregisterförordningen. Ytterligare sådan föreskriven uppgiftsskyldighet som avses i 14 kap. 1 § sekretesslagen finns i bl.a. 22 § taxeringsförordningen (1990:1236) och i 17 § skattebrottslagen.
Genom bestämmelsen i 14 kap. 2 § sekretesslagen har skattemyndighet bl.a. möjlighet att lämna uppgifter som angår misstanke om brott till
åklagare, polis eller annan myndighet som har att ingripa mot brottet, även i annat fall än då uppgiftsskyldigheten är författningsreglerad. Vidare får uppgifter lämnas ut om det behövs för omprövning av beslut eller åtgärder av den skattemyndighet där uppgifterna förekommer.
Generalklausulen i 14 kap. 3 § första stycket sekretesslagen är subsidiär i förhållande till 1 och 2 §§. Den tillämpas därför i fråga om utlämnande som inte är särskilt författningsreglerat. Uppgifterna kan lämnas ut av skattemyndigheterna såväl på eget initiativ som efter en begäran från den mottagande myndigheten. Förutsättningen för utlämnandet är att det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen skall skydda. Vid intresseavvägningen bör särskilt beaktas hur nära de ifrågavarande verksamhetsområdena ligger varandra och i vilken mån uppgifterna är sekretesskyddade hos den mottagande myndigheten. Generalklausulen tilllämpas bl.a. när det är fråga om att lämna ut uppgifter från ett skatteregister till kronofogdemyndigheterna, i den mån de inte har terminalåtkomst till registret. Det finns i och för sig inget hinder mot att utbytet av uppgifter med stöd av generalklausulen sker rutinmässigt. Tanken är dock att rutinmässigt uppgiftsutbyte i regel skall vara författningsreglerat.
Generalklausulen gäller inte i den mån utlämnandet strider mot lag eller förordning eller, såvitt angår uppgift i personregister enligt datalagen, föreskrift som har meddelats med stöd av datalagen. Bestämmelsen måste därför träda tillbaka för skatteregisterlagens särskilda regler om i vilken form uppgifter får lämnas ut från skatteregistren. Enligt 15 § skatteregisterlagen får uppgifter i skatteregister lämnas ut på medium för automatisk databehandling till andra myndigheter och i annat syfte än beskattning endast om det följer av lag eller förordning eller om regeringen har medgivit det. Sådana särskilda bestämmelser finns i skatteregisterförordningen och gäller endast ett fåtal mottagande myndigheter, bl.a. kronofogdemyndigheterna. Andra myndigheter har alltså inte möjlighet att få uppgifterna utlämnade på medium för automatisk databehandling. Ett särskilt undantag utgör dock vissa myndigheter inom EU. I 17 § skatteregisterlagen upplyses därför om att det av rådets förordning (EEG) nr 218/92 framgår att uppgifter rörande mervärdesskatt får lämnas ut på medium för automatisk databehandling till en behörig myndighet i ett annat EU-land.
Bestämmelserna i 14 kap. sekretesslagen gäller inte alla uppgifter som förekommer i skatteverksamheten. Uppgifter om enskildas personliga och ekonomiska förhållanden som skattemyndighet erhållit enligt avtal med främmande stat omfattas enligt 9 kap. 3 § sekretesslagen inte av 14 kap. 1-3 §§ samma lag.
Uppgiftslämnande till enskilda
I 16 § skatteregisterlagen finns bestämmelser om att vissa uppgifter i skatteregistren får lämnas ut till enskilda trots den absoluta sekretessen enligt 9 kap. 1 § sekretesslagen. Det krävs dock att det inte av särskild anledning kan antas att den registrerade eller någon honom närstående person lider men om uppgifterna röjs. De uppgifter som får lämnas ut är vanliga identifikationsuppgifter som namn eller firma, personnummer eller organisationsnummer samt adress m.m., uppgifter om registrering enligt skattebetalningslagen och uppgifter om på vilket sätt den preliminära skatten skall betalas. Dessutom får uppgifter lämnas ut om slag av näringsverksamhet eller om beslut om likvidation eller konkurs samt uppgifter om registrering av skyldighet att betala innehållen preliminär A-skatt (skatteavdrag) eller arbetsgivaravgift. Enskilda har inte rätt att ta del av uppgifterna på medium för automatisk databehandling.
Arbetsgivare eller uppdragsgivare får enligt 17 § skatteregisterlagen, på medium för automatisk databehandling, ta del av uppgifter om en arbetstagares eller uppdragstagares namn och personnummer, slag av preliminär skatt som personen skall betala samt uppgifter till ledning för beräkning av skatteavdrag för betalning av preliminär skatt.
Registerutdrag
Den som är registeransvarig för ett personregister är enligt 10 § datalagen skyldig att på begäran av enskild underrätta denne om innehållet i personuppgifter som ingår i personregistret och som innefattar upplysning om honom, s.k. registerutdrag. Den bestämmelsen är tillämplig även i fråga om register som förs med stöd av skatteregisterlagen och såväl Riksskatteverket som skattemyndigheterna är därför skyldiga att lämna ut registerutdrag till den som begär det.
I samband med att det i skatteregisterlagen infördes särskilda bestämmelser om hanteringen av handlingar och uppgifter som förekommer i de regionala skatteregistren som ett led i den elektroniska ärendehanteringen hos skattemyndigheterna, dvs. de elektroniska akterna, fann regeringen anledning att införa en särskild bestämmelse även i fråga om registerutdrag. I 18 § skatteregisterlagen anges att i registerutdrag enligt 10 § datalagen behöver i fråga om ett regionalt register uppgift i handling som har getts in av en enskild eller som den registeransvarige har expedierat till den registrerade inte tas med. Om uppgiften finns i ett ärende rörande den som har begärt utdraget, skall det dock framgå av utdraget att uppgiften inte finns med. I motiven till bestämmelsen anförde regeringen följande (prop. 1994/95:93 s. 33 f.).
Skriftliga handlingar som enskilda sänt in till skattemyndigheten kommer med den föreslagna ordningen att finnas i de elektroniskt akterna lagrade som bilder. Uppgifterna i dessa handlingar är inte sökbara och skattemyndigheten kan därför inte söka fram alla handlingar där uppgift om enskilda finns. Vidare skulle utdragen bli mycket omfattande om de måste innehålla kopior av samtliga bildfångade handlingar. Eftersom den enskilde oftast själv har skrivit den aktuella texten är det enligt regeringens mening tillräckligt om det av utdragen framgår att aktuella handlingar lagras i form av bilder hos skatteförvaltningen. Undantaget bör omfatta också handlingar i de regionala registren som upptar myndighetens förelägganden, beslut, m.m. i den mån handlingarna redan har expedierats till den registrerade. --- Registerutdraget bör emellertid uppta sådana uppgifter som möjliggör för den enskilde att identifiera de handlingar som registrerats genom bildfångst eller som skattemyndigheten upprättat och som expedierats till honom.
Gallringsbestämmelser
I 19 och 20 §§skatteregisterlagen finns bestämmelser om gallring av uppgifter i skatteregistren. Bestämmelserna är omfattande och svårtillgängliga, bl.a. på grund av att olika gallringstider gäller för olika slag av uppgifter samt att olika bestämmelser gäller för uppgifter i det centrala respektive de regionala skatteregistren.
Gallring av uppgifter i det centrala skatteregistret
Den kortaste gallringsfristen för uppgifter i det centrala skatteregistret, två år efter det att uppgifterna registrerades, gäller för uppgifter från centrala bilregistret om tillstånd enligt yrkestrafiklagen (1998:490) och lagen (1998:492) om biluthyrning samt uppgifter från Alkoholinspektionen, Tullverket, Riksförsäkringsverket och länsarbetsnämnder, dock med undantag för sådana uppgifter som behövs för tillämpningen av 3 kap. 30 § andra stycket mervärdesskattelagen (uppgifter som behövs för fastställande av om viss import är undantagen från skatteplikt).
Uppgifter om revision får bevaras under högst tio år efter utgången av det år under vilket revisionen avslutades, vilket är den längsta fastställda gallringstiden för uppgifter i det centrala registret. Regeringen får dock meddela föreskrifter om förlängd bevarandetid.
För ett stort antal uppgifter finns det inte någon fastställd gallringsfrist. Det gäller basuppgifter enligt 5 och 6 §§skatteregisterlagen om fysiska och juridiska personers identitet – personnummer namn, adress, civilstånd och folkbokföringsförhållanden respektive organisationsnummer, namn, firma, adress, hemortskommun, säte och juridisk form –
samt uppgifter om registrering enligt skattebetalningslagen och särskilt registrerings- och redovisningsnummer. Vidare saknas bestämd gallringsfrist för uppgifter enligt 5 § skatteregisterlagen om registrering i sjömansregistret, slag av pensionsförmån som en person är berättigad till samt på vilket sätt den preliminära skatten skall betalas.
Fastställd gallringsfrist saknas också för uppgifter enligt 7 § 3 skatteregisterlagen om registrering av skyldighet att betala skatt m.m. Undantag görs dock för uppgifter om beslut om återkallelse av Fskattsedel. Även för uppgifter enligt 7 § 23, 31 och 32 om beteckning på ersättningsbostad samt uppskovsbelopp vid andelsbyte eller andelsöverlåtelser inom koncerner saknas bestämd gallringsfrist. Detsamma gäller uppgifter om personnummer för make och person som likställs med make vid beskattning, uppgifter om beslut om beskattning, uppgifter om huruvida taxering grundas på förenklad självdeklaration, uppgifter om för vilka dagar en skattskyldig har uppburit sjöinkomst samt uppgifter om ingående och utgående mervärdesskatt.
För övriga uppgifter i det centrala skatteregistret, dvs. uppgifter som inte omfattas av två- eller tioårsfristen eller för vilka gallringsfrister saknas, gäller att de skall gallras sju år efter utgången av det kalenderår under vilket beskattningsperioden gick ut. Under denna kategori faller således flertalet av de uppgifter som anges i 7 § skatteregisterlagen. I fråga om uppgifter som omfattas av en sjuårig gallringsfrist får regeringen emellertid meddela föreskrifter om förlängd bevarandetid.
Gallring av uppgifter i de regionala skatteregistren
För de regionala skatteregistren finns gallringsbestämmelser i fråga om uppgifter i handlingar som lagras elektroniskt i elektroniska akter. För sådana handlingar gäller tre olika tidsfrister. Deklarationer och andra handlingar som har lämnats till ledning för beskattning eller upprättats eller tagits om hand av en myndighet för skattekontroll skall gallras sju år efter beskattningsårets utgång. Om sådana handlingar avser aktiebolag eller ekonomisk förening är dock gallringstiden tio år. Övriga handlingar i elektroniska akter, t.ex. elektroniskt upprättade beskattningsbeslut, skall gallras tolv år efter beskattningsårets utgång.
I motiven till bestämmelsen om gallring av uppgifter i elektroniska akter anför regeringen att den tolvåriga gallringsfrist som gäller för vissa handlingar bör gälla även beträffande övriga uppgifter i ett regionalt register som är knutna till de elektroniska akterna (prop. 1994/95:93 s. 34 ff.). Detta uttalande av regeringen torde innebära att vissa uppgifter som ett regionalt skatteregister får innehålla enligt 11 § skatteregisterlagen, vid sidan av handlingar i elektroniska akter, skall gallras tolv år efter beskattningsårets utgång. De uppgifter som torde kunna hänföras
till denna kategori är uppgifter om ärendebeteckning, ärendemening och ärendesamband, uppgifter om beteckning på handling samt i förekommande fall uppgift om att en handling inte finns i registret, uppgifter om att ärendet har omprövats eller överklagats, uppgifter om domstols beslut samt administrativa och tekniska uppgifter som behövs för handläggningen av ett ärende.
För övriga uppgifter som enligt 11 § skatteregisterlagen får finnas i regionala skatteregister, men som inte ingår i en elektronisk akt, finns inga gallringsbestämmelser. Det gäller uppgifter om fysisk eller juridisk persons identitet samt uppgifter om taxeringsår, beskattningsår, inkomstår och redovisningsperiod.
För såväl handlingar i elektroniska akter som andra uppgifter i regionala skatteregister gäller dessutom att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från bestämmelserna om gallring i skatteregisterlagen. I skatteregisterförordningen finns föreskrivet undantag från gallringsbestämmelserna i fråga om elektroniska handlingar som avser aktiebolag eller ekonomiska föreningar som har taxerats i vissa angivna län.
3.1.3. Taxeringsuppgiftsregistret
I samband med att den förenklade självdeklarationen infördes vid 1987 års taxering inrättades ett taxeringsuppgiftsregister enligt 42 § taxeringsförordningen (1957:513). Anledningen var att den förenklade deklarationen inte innehöll något egentligt underlag, eftersom den skattskyldige endast med kryss i rutor markerade att kontrolluppgifterna från arbetsgivaren var korrekta. De uppgifter som behövdes som underlag skulle i stället finnas hos de lokala skattemyndigheterna i ett taxeringsuppgiftsregister över skattskyldiga som taxerats på grundval av en förenklad deklaration.
Fr.o.m. taxeringsåret 1991 infördes ett nytt taxeringsförfarande, varvid innehållet i skattelängderna – vilka numera helt har slopats – förändrades på så sätt att resultat av skattemyndigheternas omprövningar och beslut om taxeringsåtgärder efter domstols dom inte längre framgick. Sådana uppgifter skulle i stället framgå av taxeringsuppgiftsregistret, som kom att användas vid bl.a. omräkningar till följd av ändrade taxerings- eller debiteringsbeslut.
I 16 § taxeringsförordningen (1990:1236) föreskrivs att skattemyndigheterna för varje taxeringsår skall upprätta ett taxeringsuppgiftsregister. Ett sådant register skall innehålla identifikationsuppgifter som namn, personnummer eller organisationsnummer, uppgifter från kontrolluppgifter avseende inkomst av tjänst, inkomst av kapital och avgift
för pensionsförsäkring, uppgifter om intäkter och avdrag i varje inkomstslag vid taxering till statlig och kommunal inkomstskatt, uppgifter om allmänna avdrag samt uppgifter om utgående och ingående mervärdesskatt när denna redovisas i särskild självdeklaration. I registret skall även finnas administrativa och tekniska uppgifter som behövs för beskattningen. Även uppgifter om beslut om beskattning som myndigheten har fattat skall registreras. Registret får även innehålla beslut som fattats av andra skattemyndigheter, om de avser skattskyldiga som är folkbokförda i en kommun inom regionen.
De uppgifter som skall finnas i ett taxeringsuppgiftsregister får även föras inom ramen för skatteregister, vilket också görs. Någon dubbellagring förekommer dock inte. I princip är de ovan nämnda uppgifterna sammanhållna i ett tekniskt avskilt register. Vissa uppgifter, t.ex. namn och adress, lagras dock i andra delar av skatteregistret. Uppgifter i taxeringsuppgiftsregistren gallras inte och härigenom bevaras de uppgifter som motsvarar uppgifterna i de gamla skattelängderna.
3.1.4. Fastighetstaxeringsregister
I kungörelsen (1967:497) om vissa register hos folkbokföringsmyndighet över fastigheter och skattskyldiga angavs att länsstyrelsen på magnetband skulle föra register över fastigheterna i länet (fastighetsband). Sådana register förs numera – med hjälp av automatisk databehandling – enligt 6 kap. 8 § fastighetstaxeringsförordningen (1993:1199) länsvis av skattemyndigheten i respektive region (regionala fastighetstaxeringsregister).
Datainspektionen har efter anmälan meddelat föreskrifter (1997-02-26, dnr 42--65-97) för de regionala fastighetstaxeringsregistren. Av dessa föreskrifter framgår att registren skall utgöra underlag för fastighetstaxering samt användas för att aktualisera och komplettera uppgifter om fastigheter i andra myndigheters register. Fastighetstaxeringsregistren får innehålla uppgifter om fastighetsidentiteter – dvs. fastighetsbeteckning, församling, kommun och valdistrikt – uppgifter om slag av taxeringsenhet, lagfartsuppgifter, t.ex. ägare, köpare och säljare, samt tekniska uppgifter och värdeuppgifter om fastigheten. Registren utgör även ärendehanteringssystem, och får innehålla bildfångade handlingar av fastighetsdeklarationer och andra handlingar som sänts in av enskilda.
Uppgifterna i registren kommer från flera uppgiftslämnare, som fastighetsregistermyndighet, Statistiska centralbyrån, Lantmäteriverket, byggnadsnämnder, länsstyrelser, förvaltningsdomstolar och fastighetsägarna själva. De uppgifter som lämnas är bl.a. ändringar i fastighetsindelning, lagfartsuppgifter, bygglov, domar avseende fastighetstaxering
samt fastighetsdeklarationer. Uppgifter i registren lämnas även ut till flera myndigheter, bl.a. Riksförsäkringsverket som får uppgifter om fastighet, ägare och bostadsyta.
Av Datainspektionens föreskrifter framgår att de årsbundna registren skall bevaras i tolv år efter utgången av aktuellt taxeringsår. Bevarandetiden har i anmälan till inspektionen motiverats med att uppgifterna kan behövas vid överklagande av beslut i ärenden om såväl fastighetstaxering som inkomsttaxering.
3.1.5. Punktskatteregistret
Datainspektionen meddelade den 6 juli 1983 (dnr 527-83) tillstånd för Riksskatteverket att föra ett punktskatteregister, som skulle användas för diarieföring, bokföring, skatteadministration, revision, betalningskontroll och skattekontroll. Den 23 mars 1993 (dnr 9701-93/866) beslutade Datainspektionen efter ansökan från Riksskatteverket om utvidgning av tillståndet för punktskatteregistret. Detta skedde i samband med att ansvaret för punktskatteverksamheten övergick från Riksskatteverkets beskattningsavdelning i Ludvika till Skattemyndigheten i Kopparbergs län, numera Skattemyndigheten i Gävle, vilken myndighet är registeransvarig. Rent faktiskt hanteras beskattningsarbetet av Särskilda skattekontoret i Ludvika. Registret kom efter överflyttningen från Riksskatteverket att benämnas Besluts-, Redovisnings- och Informationssystem för det Särskilda skattekontoret (BRIS).
BRIS används för diarieföring och handläggning av ärenden gällande punktskatter samt vissa återbetalningar av energiskatter och mervärdesskatt. De skatteslag som hanteras i BRIS är dels alla EU-harmoniserade skatter som alkoholskatt, tobaksskatt, skatt på olja, gasol, metan och bensin (angående alkohol, tobak och mineraloljor; se även avsnitt 3.1.6) samt många övriga skatteslag, som t.ex. svavelskatt, reklamskatt, roulettskatt och artistskatt.
Registret innehåller ett flertal identifikationsuppgifter, som personnummer eller organisationsnummer m.m., uppgifter om juridisk verksamhetsform och redovisningsperioder samt ett antal uppgifter av teknisk eller administrativ karaktär. Vissa av uppgifterna hämtas in från det centrala skatteregistret.
Terminalåtkomst till registret har i huvudsak begränsats till Skattemyndigheterna i Gävle, Stockholm, Göteborg och Malmö. De tre sistnämnda skattemyndigheterna genomför på uppdrag av Skattemyndigheten i Gävle punktskatterevision. Någon revisionsverksamhet förekommer inte på Särskilda skattekontoret i Ludvika. Även Riksskatteverket
och Tullverket har terminalåtkomst, men endast beträffande de EGharmoniserade skatterna på alkohol, tobak och mineralolja.
Gallringsfristerna för uppgifter i registret varierar beroende på uppgifternas karaktär. Grundläggande basuppgifter om personer samt uppgifter om deklarationer skall gallras fyra år efter utgången av det år då personen avregistrerades för skattskyldighet respektive det år då deklarationsperioden gick ut. För uppgifter av mer administrativ karaktär gäller kortare gallringsfrister.
3.1.6. Alkohol-, tobaks- och energiskatteregistret
SEED-register
I samband med att Sverige den 1 januari 1994 gick med i Europeiska ekonomiska samarbetsområdet (EES) och senare blev medlem i EU, inleddes en långtgående anpassning till EG-rätten. Ett område där EU:s strävan till samordning är stor är frågan om punktskatter på alkohol, tobak och mineraloljor. I rådets direktiv 92/12/EEG – jämte ett flertal andra direktiv – regleras beskattningsförfarandet på området. I artikel 15 a anges att myndigheterna i varje medlemsstat skall införa en elektronisk databas som skall innehålla register över godkända upplagshavare samt över de lokaler som är godkända som skatteupplag. Detta krav från EU har Sverige uppfyllt genom bestämmelser om register i lagen (1994:1563) om tobaksskatt, lagen (1994:1564) om alkoholskatt samt lagen (1994:1776) om skatt på energi.
I 36 § lagen om tobaksskatt, 36 § lagen om alkoholskatt samt 6 kap. 11 § lagen om skatt på energi anges att beskattningsmyndigheten – Skattemyndigheten i Gävle (Särskilda skattekontoret i Ludvika) – med hjälp av automatisk databehandling skall föra register över personer som har godkänts som upplagshavare eller som är registrerade varumottagare samt över godkända skatteupplag. Uppgifterna enligt de tre lagarna har inordnats i ett gemensamt register (System for the Exchange of Excise Data, SEED). Ändamålet med registret är att tillhandahålla skattskyldiga och behörig myndighet i Sverige eller ett annat EU-land uppgifter om sådant godkännande och sådan registrering som nämnts ovan. I övriga EU-länder finns motsvarande register.
Registret skall innehålla uppgifter om bl.a. den registrerades namn, registreringsnummer och adress, skatteupplagens registreringsnummer och adress samt vilken kategori av varor som den registrerade får ta emot eller som får lagras på skatteupplaget. Uppgifterna får hämtas in från andra register som förs hos beskattningsmyndigheten. Dessutom
skall registret innehålla motsvarande uppgifter som har inhämtats från ett annat EU-land.
Regeringen, eller den myndighet regeringen bestämmer, får medge att enskilda och myndigheter inom landet får ha terminalåtkomst till registret. Enligt förordningen (1994:1614) om alkoholskatt, förordningen (1994:1613) om tobaksskatt samt förordningen (1994:1784) om skatt på energi får Riksskatteverket samt Skattemyndigheterna i Gävle, Stockholm, Göteborg och Malmö ha terminalåtkomst till registret. Även Tullverket får ha sådan åtkomst till registret. I lagen om tobaksskatt, lagen om alkoholskatt samt lagen om skatt på energi anges vidare att uppgifter i registret får lämnas ut på medium för automatisk databehandling till en behörig myndighet i ett annat EU-land.
Uppgifter i registret om upplagshavare, registrerade varumottagare och godkända skatteupplag skall gallras sju år efter utgången av det kalenderår då upplagshavaren eller varumottagaren registrerades.
Early Warning System (EWS)
I anslutning till SEED-registren förbereds ett regelverk för kontroll av transporter av sprit och cigaretter mellan medlemsstaterna. Kontrollsystemet (Early Warning System, EWS) baseras på ett förslag från en högnivågrupp inom EU som har kartlagt svagheter beträffande de harmoniserade punktskatterna. Tanken med systemet är att ledsagardokument skall skickas från avsändaren av produkterna till en behörig myndighet i avsändarens hemland. Efter riskanalys skall dokumenten sedan skickas vidare till en behörig myndighet i mottagarlandet, t.ex. på elektronisk väg. Riksskatteverket är behörig myndighet för denna verksamhet i Sverige.
I förordningen (1994:1613) om tobaksskatt och i förordningen (1994:1614) om alkoholskatt anges att behandlingen av uppgifterna skall kunna ske på automatiserad väg och att uppgifterna skall lämnas ut till Tullverket samt till beskattningsmyndigheten, i praktiken det särskilda skattekontoret i Ludvika, eftersom skatteförvaltningen och Tullverket har ett delat kontrollansvar på punktskatteområdet.
Införandet av EWS är det första steget på väg mot ett planerat gemensamt kontrollsystem på punktskatteområdet inom EU. Högnivågruppen har föreslagit att det skall införas ett datoriserat kontrollsystem som skall omfatta samtliga harmoniserade punktskatter, dvs. punktskatter på alkohol, tobak och mineraloljor. Tanken med det datoriserade kontrollsystemet är att samtliga förflyttningar av varor skall kunna kontrolleras elektroniskt genom att avsändande upplagshavare, innan transporten lämnar upplaget, skall lämna information om detta till det dato-
riserade kontrollsystemet. Informationen går därefter både till mottagaren och berörda myndigheter.
3.1.7. Projektregister och andra tillståndsregister m.m.
Inom skatteförvaltningen förs ett antal personregister som inte är författningsreglerade, utan för vilka Datainspektionen har gett särskilt tillstånd. Sedan personuppgiftslagen trädde i kraft den 24 oktober 1998 behandlas personuppgifter även enligt den lagen. De ändamål för vilka behandling utförs med stöd av personuppgiftslagen är nästan uteslutande skatteförvaltningens verksamhet med revision och annan kontroll. Nedan följer en genomgång av några av de viktigare registren för vilka Datainspektionen har meddelat tillstånd.
Projektregister
Datainspektionen har meddelat flera tillstånd för skattemyndigheterna eller Riksskatteverket att föra tillfälliga personregister, s.k. projektregister. De har främst använts för urval för revision eller annan kontroll. I vissa fall har tillstånden medgivit sambearbetning med det centrala skatteregistret. Det ojämförligt största projektregistret kallas KIprojektet och bakgrunden till det är att Riksskatteverket år 1996 fördelade en del av extra tilldelade medel – avseende kontrollverksamhet – till fyra riksprojekt där ett flertal skattemyndigheter skulle vara involverade i kontrollarbetet. Efter ansökan meddelade Datainspektionen (beslut 1996-09-13, dnr 3267-96) Riksskatteverket tillstånd att föra personregistret KI-projektet, med ändamål att framställa underlag för bedömning av om skattekontroll skall företas beträffande entreprenörer och underentreprenörer som har anlitats för arbete som gäller Arlandabanan, Mälarbanan, Svealandsbanan och Öresundsförbindelsen. Tillståndet har senare utökats och omfattar nu även svenska företags medverkan i arbete med byggandet av Gardemoens flygplats och Rikshospitalet i Oslo (Datainspektionens beslut 1998-02-06, dnr 172-98). Tillståndet är tidsbegränsat och gäller enligt sin ordalydelse till utgången av år 2003.
Insamling av uppgifter till KI-projektet sköts av Riksskatteverket, som förelägger de inblandade företagen att komma in med kontrolluppgifter avseende bl.a. utbetalningar som gjorts till underentreprenörer som utfört arbeten i något av riksprojekten. Dessa skall i sin tur komma in med uppgifter om sina underleverantörer osv. Insamlingen sker kontinuerligt efter hand som projekten fortgår. Härutöver inhämtas ett stort antal uppgifter från det centrala skatteregistret, t.ex. identifikationsupp-
gifter, uppgifter om redovisningsperioder, uppgifter om konkurs och förekomst i kronofogdemyndigheternas register, deklarerade uppgifter samt kontrolluppgifter för anställda. De uppgifter som inhämtas från företagen avstäms maskinellt mot relevanta uppgifter i skatteregistret. Resultatet av en sådan bearbetning kan sedan kombineras med andra bearbetningar.
Av Datainspektionens tillstånd framgår att när datamedier som innehåller personuppgifter byts ut – eller inte längre skall användas – skall uppgifterna raderas så att de inte kan återskapas. Alternativt skall datamedierna förstöras.
Gåvoskatteregister
Skattemyndigheterna är enligt lagen (1941:416) om arvsskatt och gåvoskatt beskattningsmyndigheter, och har i denna egenskap bl.a. att se till att skattskyldiga lämnar gåvodeklaration samt att fastställa och uppbära gåvoskatt. Som ett hjälpmedel i detta arbete för samtliga skattemyndigheter gåvoskatteregister med tillstånd från Datainspektionen (slutligt beslut 1994-03-14, dnr 3276--3299-92).
Gåvoskatteregistren har till ändamål att utgöra hjälpmedel vid handläggningen av gåvodeklarationsärenden och s.k. anmälningsärenden, dvs. hanteringen av till skattemyndigheterna inkomna uppgifter om förhållanden som eventuellt kan föranleda skyldighet att avge gåvodeklaration. Registren får innehålla uppgifter om bl.a. gåvogivares och gåvotagares identitet, tidpunkt för gåvan samt dess värde. Genom Datainspektionens beslut den 25 oktober 1996 (dnr 3499--3522-96) får numera även vissa uppgifter som inhämtas från fastighetstaxeringsregistren – om överlåtelser i form av gåva och s.k. släktköp – registreras i gåvoskatteregistren. Förutom vissa identitetsuppgifter rör det sig om uppgifter om typ av fång, eventuell köpeskilling och taxeringsvärde.
Personuppgifter i deklarationsärenden skall gallras efter 12 år. I anmälningsärenden skall personuppgifter gallras efter viss tid, t.ex. från det att en deklaration kom in. För uppgifter som hämtats in från fastighetstaxeringsregistren gäller den specialbestämmelsen att uppgifter om förvärv som inte är gåvoskattepliktiga skall gallras omedelbart när detta förhållande har konstaterats.
Användande av automatisk databehandling vid taxeringsrevision
I samband med en mer allmän översyn av bestämmelserna om taxeringsrevision ansågs det nödvändigt att införa bestämmelser som tilllåter att allt material som en skattskyldig har om sin verksamhet granskas av skattemyndigheten, dvs. även sådana upptagningar på medium för
automatisk databehandling som är personregister i datalagens mening (prop. 1987/88:65). Lagstiftningen gav skattemyndigheterna möjlighet att på plats granska den skattskyldiges personregister med hjälp av dennes tekniska utrustning. Ett problem ansågs vara att de bearbetningar som granskaren utför i den reviderades register inte enligt datalagen innebär att granskaren eller den myndighet han arbetar på (dvs. skattemyndigheten) blir registeransvarig. Granskaren är därmed inte heller utan vidare bunden av villkor som avser den registeransvariges användning av registret.
För att säkerställa skyddet för den personliga integriteten vid bearbetningar i samband med sådana revisioner infördes därför lagen (1987:1231) om automatisk databehandling vid taxeringsrevision, m.m. som ett komplement till bestämmelserna i datalagen. I den lagen gavs Datainspektionen möjlighet att meddela föreskrifter om bl.a. vilka personuppgifter som får göras tillgängliga, om utlämnande och annan användning av personuppgift samt om bevarande och gallring av personuppgifter.
I och med införandet av personuppgiftslagen förändrades situationen. Definitionen av personuppgiftsansvarig skiljer sig nämligen från datalagens definition av registeransvarig. Enligt personuppgiftslagen tillkommer ansvaret den som ensam eller tillsammans med andra bestämmer ändamålet med och medlen för behandlingen av personuppgifter. Vid en revision är det skattemyndigheten som bestämmer ändamålet med den aktuella behandlingen, och det är därför myndigheten som blir personuppgiftsansvarig. Det innebär att myndigheten direkt åläggs de skyldigheter som enligt personuppgiftslagen åligger en personuppgiftsansvarig. Regeringen fann därför att det inte längre fanns något direkt behov av en särskild reglering av ADB-revisioner m.m. (prop. 1998/99:34 s. 68). Lagen om automatisk databehandling vid taxeringsrevision, m.m. upphörde också att gälla vid utgången av mars 1999. Äldre bestämmelser får dock tillämpas på behandlingar som påbörjades före den tidpunkten.
3.1.8. Register i brottsbekämpande verksamhet
Vid sidan av de register som förs för skatteförvaltningens fiskala verksamhet finns också register som används i brottsbekämpande verksamhet som skattemyndigheterna bedriver med stöd av lagen (1997:1024) om skattemyndigheters medverkan i brottsutredningar. Bestämmelser om dessa register finns i lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar, som trädde i kraft den 1 april 1999. Enligt den lagen ges skattemyndigheterna rätt att
behandla personuppgifter vid bl.a. förundersökningar. Lagen ger även skattemyndigheterna rätt att föra underrättelseregister för att ge underlag för beslut om särskilda undersökningar avseende allvarlig brottslig verksamhet och för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet.
3.2. Register i skatteförvaltningens folkbokföringsv
erksamhet
I avsnitt 3.1.1 redogör vi kortfattat för skatteförvaltningens organisatoriska indelning och för dess ansvarsområden. Under förvaltningens ansvar faller bl.a. frågor om folkbokföring.
Folkbokföringen i Sverige har under lång tid skötts av kyrkan genom förandet av kyrkoböcker och husförhörslängder. Under 1900-talet har uppgiften dock successivt förts över till skatteförvaltningen. Först delades ansvaret upp mellan Svenska kyrkan och skatteförvaltningen på så sätt att kyrkobokföringen (den löpande folkbokföringen) sköttes av pastorsexpeditionerna medan de lokala skattemyndigheterna ansvarade för mantalsskrivningen. Sedan den 1 juli 1991 ligger ansvaret för folkbokföringen helt på skatteförvaltningen. Då fördes den löpande folkbokföringen över från pastorsexpeditionerna till de lokala skattekontoren.
3.2.1. Allmänt om folkbokföringsverksamheten
Målet för folkbokföringen är att för olika samhällsfunktioner tillhandahålla fullständig och korrekt basinformation. Folkbokföringsuppgifter är av stor betydelse inom statlig verksamhet, bl.a. för att skatte- och bidragssystemen skall få den verkan som statsmakterna avser, och det är därför viktigt att folkbokföringen speglar befolkningens verkliga bosättning. Den viktigaste förutsättningen för att uppgifter om bosättning skall kunna återges korrekt är att allmänheten frivilligt medverkar i verksamheten genom att meddela skattemyndigheterna vid flyttning och lämna riktiga uppgifter om sin bosättning. Skattemyndigheten har dock ett ansvar för att närmare utreda de korrekta bosättningsförhållandena när det råder osäkerhet i frågan.
Bestämmelser om folkbokföring finns främst i folkbokföringslagen (1991:481). Enligt den lagen avses med folkbokföring fastställande av en persons bosättning samt registrering av uppgifter om identitet, familj och andra förhållanden som enligt lagen (1990:1536) om folkbokfö-
ringsregister får förekomma i sådant register. De ärenden som skattemyndigheternas folkbokföringsenheter handlägger har emellertid sin materiella grund även i annan lagstiftning. Som exempel kan nämnas äktenskapsbalken i frågor om prövning av äktenskapshinder och namnlagen (1982:670) i frågor om namnändring, m.m.
3.2.2. Folkbokföringsregister
Under 1960-talet moderniserades folkbokföringsverksamheten genom att datoriserad hantering infördes. Inom verksamheten tillskapades ett regionalt personredovisningssystem (länsregister) som fördes med hjälp av automatisk databehandling samt, genom löpande sambearbetning av dessa register, även ett s.k. riksaviseringsband. Genom tillkomsten av lagen om folkbokföringsregister – och den därtill hörande förordningen (1991:750) om folkbokföringsregister m.m. – infördes ett modernare system för datoriserad hantering inom folkbokföringen.
Tillämpningsområde och ändamål
Lagen om folkbokföringsregister tillåter att det inom skatteförvaltningen, med hjälp av automatisk databehandling, förs ett lokalt folkbokföringsregister för varje lokalt skattekontors verksamhetsområde och ett centralt referensregister för hela landet. Denna uppdelning följer av att de lokala registren används för den egentliga folkbokföringsverksamheten, vilken enligt ett principbeslut av riksdagen skall skötas på lokal nivå (prop. 1986/87:158, SkU 1987/88:2, rskr.2). Beslut i folkbokföringsärenden fattas vid det skattekontor inom vars område den aktuella personen är eller senast har varit folkbokförd. Det centrala registret används främst som en stödfunktion för skattekontoren i deras folkbokföringsverksamhet, genom att förse kontoren med t.ex. uppgifter om namn och adress avseende personer som är folkbokförda utanför respektive skattekontors område.
Ändamålsbeskrivningen för de lokala folkbokföringsregistren styrs av folkbokföringens egentliga syften. Uppgifter från folkbokföringen ligger till grund för flera viktiga rättsförhållanden, såsom rösträtt, skattskyldighet och skolplikt. Vidare kan det förhållandet att någon t.ex. är folkbokförd i Sverige utgöra grund för rätt till olika sociala förmåner. Ett av ändamålen med registren är därför att de skall användas för samordnad registerföring av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter.
De lokala registren är dessutom ett nödvändigt hjälpmedel vid prövningen av olika ärenden inom folkbokföringen och får därför enligt
ändamålsbeskrivningen användas för handläggning av folkbokföringsärenden. Som ytterligare ändamål anges framställning av personbevis och andra registerutdrag, fullgörande av författningsreglerad underrättelseskyldighet samt uttag av folklängder och andra uppgiftssamlingar för förvaring hos statliga arkivmyndigheter. Slutligen får registren användas för planering och tillsyn av folkbokföringsverksamheten.
Syftet med det centrala referensregistret hänger nära samman med de restriktioner som gäller för terminalåtkomst mellan olika lokala register (se mer om detta nedan). Ett lokalt register måste nämligen ibland kompletteras med uppgifter från ett annat register och därför behövs ett centralt register med vissa grundläggande referensuppgifter som alla folkbokföringsmyndigheter har tillgång till, t.ex. för att möjliggöra lokalisering av personer som är folkbokförda utanför ett viss skattekontors verksamhetsområde.
Ändamålsbeskrivningen för referensregistret sammanfaller i stort med den för de lokala registren, men är på grund av det annorlunda syftet något inskränkt. Referensregistret får således inte användas för samordnad registerföring av folkbokföringsuppgifter eller fullgörande av författningsreglerad underrättelseskyldighet. Däremot får det användas för handläggning av folkbokföringsärenden, t.ex. tilldelning av personnummer, för framställning av personbevis i den mån det är möjligt med den begränsade informationen i registret samt för planering och tillsyn av verksamheten.
Registeransvar
I datalagen anges att den är registeransvarig för vars verksamhet ett personregister förs, om han eller hon förfogar över registret. De lokala folkbokföringsregistren förs i praktiken av skattekontoren, som också förfogar över dem. Kontoren är dock inte egna myndigheter utan ingår i skattemyndigheten i regionen. I lagen om folkbokföringsregister anges därför uttryckligen att det är skattemyndigheten som är registeransvarig för det eller de lokala register som förs inom myndighetens verksamhetsområde.
Skattemyndigheterna är dessutom registeransvariga för det centrala referensregistret. En uppdelning har gjorts så att varje skattemyndighet ansvarar för de uppgifter i registret som avser en person som är eller har varit folkbokförd inom myndighetens verksamhetsområde. Detsamma gäller för uppgifter om personer som utan att vara folkbokförda i Sverige tilldelas ett personnummer av myndigheten.
Registerinnehåll
Utgångspunkten för vilka uppgifter de lokala folkbokföringsregistren får innehålla är att ett sådant register endast skall ta upp de personer som för tillfället är folkbokförda inom registerområdet (se prop. 1990/91:53 s. 23). I vissa fall görs dock undantag. Det gäller uppgifter om personer som har avregistrerats för att de t.ex. har avlidit. Även för att familjerättsliga samband skall kunna redovisas görs avsteg från grundprincipen, dvs. personer med familjesamband till någon som är folkbokförd inom registerområdet registreras oavsett var de är folkbokförda.
De uppgifter om personer – som är eller har varit folkbokförda inom ett verksamhetsområde – som får finnas i de lokala registren är födelsetid och födelseort, personnummer, namn och adress, medborgarskap och civilstånd. Vidare får registrering göras av uppgifter om folkbokföringsfastighet, lägenhetsbeteckning och folkbokföringsort. För fastställande av familjerättsliga samband får för en person även anges uppgifter om make, barn, föräldrar och vårdnadshavare eller annan person som den registrerade har samband med inom folkbokföringen samt om sådana samband är grundade på adoption. Anteckningar får också göras om inflyttning från utlandet samt om avregistrering vid dödsfall, dödförklaring, utflyttning till utlandet, obefintlighet och beslut om fingerade personuppgifter. Slutligen får det finnas uppgifter om gravsättning, vissa anmälningar enligt vallagen (1997:157) samt uppgifter som den 30 juni 1991 var antecknade i de personakter som var grunddokument inom kyrkobokföringen. De sistnämnda personakterna kunde, förutom rena identifikationsuppgifter, innehålla uppgifter om bl.a. yrke, föräldrars civilstånd vid barns födelse och dödsorsak. De uppgifter från personakterna som registreras är dock främst sådana som utgör grund för andra registrerade uppgifter
I det centrala referensregistret finns betydligt färre uppgifter om varje person. I motiven till lagen om folkbokföringsregister sägs skälen för detta vara att registrets funktion i huvudsak är att underlätta skattekontorens lokalisering av personer som inte är folkbokförda inom verksamhetsområdet samt utgöra bas för personnummertilldelning (prop. 1990/91:53 s. 26). De uppgifter om personer – som är eller har varit folkbokförda i Sverige eller som annars tilldelats personnummer – som får finnas i registret är personnummer och grunden för tilldelningen av numret samt de senast registrerade uppgifterna om namn och avregistrering från folkbokföringen. Det framgår även från vilket lokalt register uppgifterna har hämtats.
För såväl de lokala folkbokföringsregistren som det centrala referensregistret gäller vidare att det får finnas uppgifter om tidpunkter för de
registrerade förhållandena samt sådana tekniska och administrativa uppgifter som behövs för att tillgodose ändamålen med registren.
Terminalåtkomst
Ursprungligen förekom terminalåtkomst till ett lokalt folkbokföringsregister endast hos det skattekontor för vars verksamhetsområde registret fördes. Skattemyndigheten hade alltså inte generellt terminalåtkomst till de register som fördes av de olika skattekontoren i länet. Detta motiverades med att det från integritetssynpunkt var viktigt att åtkomsten till ett lokalt register inte var vidare än vad som behövdes för verksamheten. Efter en avvägning mellan integritetsskydd och effektiviteten inom verksamheten befanns den naturliga utgångspunkten således vara att införa sådana begränsningar att ett skattekontor endast hade terminalåtkomst till sitt eget register (prop. 1990/91:53 s. 28).
Denna ordning – där terminalåtkomsten inte följde registeransvaret – visade sig emellertid hindra en effektiv handläggning av folkbokföringsärenden och försvåra skattemyndigheternas uppgift att leda och fördela arbetet mellan skattekontoren (prop. 1995/96:56 s. 17). För att underlätta ärendehanteringen tillåts numera en skattemyndighet – inbegripet skattekontoren i regionen – att ha terminalåtkomst till samtliga de lokala folkbokföringsregister som förs av skattekontor inom skattemyndighetens verksamhetsområde.
För det centrala referensregistret gäller, och har hela tiden gällt, att samtliga skattemyndigheter får ha terminalåtkomst. Någon inskränkning i åtkomsten har inte ansetts behövlig med hänsyn till det fåtal slag av uppgifter som finns i registret.
Utlämnande av uppgifter på medium för automatisk databehandling
Uppgifter i lokala folkbokföringsregister och referensregistret får lämnas ut på medium för automatisk databehandling endast om det är särskilt föreskrivet i lag eller annan författning. Föreskrifter om sådant utlämnande finns i förordningen om folkbokföringsregister m.m. I de fall utlämnande av uppgifter regleras i förordningen, får utlämnandet göras på medium för automatisk databehandling. Det gäller t.ex. uppgifter till Riksskatteverket och Lantmäteriverket samt underrättelser till bl.a. Statistiska centralbyrån, Patent- och registreringsverket och Socialstyrelsen.
Sökbegrepp
Frågan om vilka sökmöjligheter som skall få finnas i ett personregister har ansetts vara av stor betydelse från integritetssynpunkt. I motiven till lagen om folkbokföringsregister ansågs dock att hänsyn självfallet skall tas även till kravet på en effektivt och rationellt bedriven folkbokföringsverksamhet (prop. 1990/91:53 s. 34). I fråga om folkbokföringsregistren har man valt att uttömmande i lagen ange vilka sökbegrepp som är tillåtna.
De sökbegrepp som är tillåtna vid sökning i de lokala folkbokföringsregistren är till stora delar desamma som de uppgifter vilka får finnas i registret (se ovan om registerinnehåll). Vissa begränsningar har dock gjorts av integritetsskäl. Det är inte tillåtet att som sökbegrepp använda en persons födelseort eller medborgarskap och inte heller relationsbegrepp som urskiljer adoptivförhållanden från biologiska relationer. Detsamma gäller uppgifter om avregistrering, gravsättning eller anmälningar enligt vallagen. Slutligen får som sökbegrepp inte användas sådana särskilda uppgifter som är överförda från kyrkobokföringens personakter.
Vid sökning i det centrala referensregistret får som sökbegrepp användas endast uppgifter om personnummer, namn och avregistrering.
3.2.3. Handläggningsregister
Skattemyndigheterna får för att handlägga folkbokföringsärenden föra ett särskilt handläggningsregister för varje skattekontors verksamhetsområde. Bestämmelser om registren finns i förordningen om folkbokföringsregister m.m. Handläggningsregistren används dels för att registrera folkbokföringshändelser, dels som dagbok för att registrera vissa uppgifter som inte kan registreras i de lokala folkbokföringsregistren. Registren kan även användas för maskinell bevakning av att begärda kompletteringar kommer in i rätt tid. Även andra tidsfrister kan bevakas. Handläggningsregistren får användas även för planering, uppföljning och kontroll av folkbokföringsverksamheten samt för framställning av registerutdrag i vissa ärenden. Respektive skattemyndighet är registeransvarig.
Handläggningsregistren får innehålla de uppgifter som behövs vid handläggningen av ärenden, t.ex. uppgifter om namn, adress, personnummer, diarienummer samt datum för registrering i ett folkbokföringsregister. Registren innehåller också beslut och dagboksanteckningar i ett ärende, varvid uppgift registreras om datum för åtgärderna samt beslutets eller anteckningens innebörd. I ett handläggningsregister får
även vissa uppgifter om en person registreras trots att personen aldrig har varit folkbokförd i Sverige. Det gäller bl.a. i ärende om hindersprövning, registrering av vigsel samt födelse av barn som inte skall folkbokföras. Dessa ärenden registreras inte i de lokala folkbokföringsregistren, utan endast i handläggningsregistren.
Uppgifter om namn och adress samt tidsuppgifter får med hjälp av automatisk databehandling hämtas in till ett handläggningsregister hos ett skattekontor från det lokala folkbokföringsregister som förs av det skattekontoret samt från det centrala referensregistret. Personnummer får hämtas in från andra handläggningsregister med hjälp av automatisk databehandling.
Terminalåtkomst till ett handläggningsregister som förs inom en myndighets verksamhetsområde får förekomma endast inom myndigheten. Som sökbegrepp i registren får – med vissa undantag – användas samma uppgifter som vid sökning i ett lokalt folkbokföringsregister (se avsnitt 3.2.2) samt uppgifter om diarienummer.
3.2.4. Aviseringsregister
Tillhandahållande av folkbokföringsuppgifter är ett av de huvudsakliga ändamålen med folkbokföringsverksamheten i stort. Samhällets behov av uppgifter om befolkningen tillgodoses också i stor utsträckning genom uppgifter från folkbokföringen. Uppgiftslämnandet skedde tidigare främst genom skattemyndigheternas regionala register över befolkningen (personbanden) och det s.k. riksaviseringsbandet. Dessa register var inte författningsreglerade och i stort behov av modernisering. Riksdagen beslutade den 8 juni 1995 att ett nytt register för avisering av folkbokföringsuppgifter, aviseringsregister, skulle inrättas som ersättning för personbanden och riksaviseringsbandet.
Tillämpningsområde, ändamål och registeransvar
Inom folkbokföringsverksamheten skall enligt lagen (1995:743) om aviseringsregister finnas ett register – aviseringsregistret – för tillhandahållande av folkbokföringsuppgifter för hela landet. I motiven till lagen sägs att en viktig aspekt när det gäller skyddet för den personliga integriteten är att de uppgifter som registreras om en person är riktiga och aktuella samt att det är av stort intresse att myndigheter på ett kostnadseffektivt och säkert sätt får tillgång till de folkbokföringsuppgifter som behövs i verksamheten (prop. 1994/95:201 s. 24). Ett centralt register ansågs ur denna synvinkel ha betydande fördelar.
I lagen anges för vilka ändamål aviseringsregistret får användas. Som en naturlig följd av registrets huvudsakliga syfte – att tillgodose myndigheters behov av folkbokföringsuppgifter – sägs att myndigheter
får använda det för aktualisering, komplettering och kontroll av uppgifter i personregister som myndigheten är registeransvarig för. Eftersom en myndighet även kan behöva information om personer som inte finns i dess egna register, får aviseringsregistret dessutom användas för kontroll och komplettering av andra personuppgifter. Slutligen får myndigheter använda registret för uttag av urval av personuppgifter. Detta för att tillgodose vissa myndigheters särskilda behov, t.ex. inom skolverksamheten för uppgifter om personer i olika åldersgrupper. Även andra än myndigheter kan få utnyttja aviseringsregistret för uttag av urval av uppgifter, dock endast om det särskilt föreskrivs av regeringen.
Riksskatteverket är registeransvarigt för aviseringsregistret.
Registerinnehåll
Aviseringsregistret innehåller sådana uppgifter från de lokala folkbokföringsregistren och det centrala referensregistret som behövs för aviseringsverksamheten. Utgångspunkten har varit att endast de uppgifter får finnas som behövs för att behovet hos användarna, dvs. myndigheterna, av allmänt efterfrågade folkbokföringsuppgifter skall kunna tillgodoses (prop. 1994/95:201 s. 27). Av integritetsskäl är innehållet i registret fastslaget genom en uttömmande uppräkning i lagen om aviseringsregister.
De uppgifter om personer – som är eller har varit folkbokförda i landet eller som annars har tilldelats personnummer – som får finnas i registret är personnummer, namn, adress, medborgarskap, civilstånd och födelseort. Vidare får registrering göras av uppgifter om folkbokföringsfastighet, lägenhetsbeteckning och folkbokföringsort. Även uppgifter om make, barn, föräldrar och vårdnadshavare får registreras, liksom anteckningar om datum för inflyttning från utlandet samt om avregistrering tillsammans med upplysning om orsaken till denna. Vidare får det finnas uppgifter om vissa anmälningar enligt vallagen (1997:157), upplysningar om tidpunkter för de registrerade förhållandena samt sådana tekniska och administrativa uppgifter som behövs för att tillgodose ändamålen med registret.
Aviseringsregistret innehåller till skillnad från de lokala folkbokföringsregistren (se avsnitt 3.2.1) i princip endast aktuella uppgifter. Innehållet skiljer sig även från de lokala folkbokföringsregistren genom att vissa integritetskänsliga eller för avisering mindre viktiga uppgifter om bl.a. adoption och gravsättning inte får finnas.
Terminalåtkomst och utlämnande av uppgifter på medium för automatisk databehandling
Enligt lagen om aviseringsregister får uppgifter lämnas ut på medium för automatisk databehandling till varje myndighet som själv har rätt att registrera motsvarande uppgifter. Utlämnande sker på det sätt som de mottagande myndigheterna önskar, vilket innebär att uppgifter lämnas ut på magnetband eller på elektronisk väg. Vid s.k. dator till datoruppkoppling sker filöverföring i realtid, så att mottagarens register uppdateras direkt vid inhämtandet.
Uppgifter kan lämnas ut på medium för automatisk databehandling även om den mottagande myndigheten inte själv får registrera uppgifterna, dock endast om utlämnande på sådant medium följer av lag eller förordning eller om regeringen har medgett det. Det är därför möjligt att tillämpa s.k. bruttoavisering, dvs. att en myndighet får ändringsaviseringar avseende samtliga personer i aviseringsregistret oavsett om de förekommer i den mottagande myndighetens register eller inte. Myndigheten söker sedan fram uppgifter om personer som finns i dess register, medan uppgifter om övriga personer gallras bort. En lista över vilka myndigheter som får ta emot bruttoaviseringar finns i förordningen (1996:1298) om aviseringsregister och omfattar bl.a. Rikspolisstyrelsen, Kriminalvårdsstyrelsen och Vägverket.
Terminalåtkomst förekommer numera i fråga om ett begränsat antal uppgifter i aviseringsregistret. Myndigheter får, även om de inte själva har rätt att registrera motsvarande uppgifter, ha direktåtkomst till uppgifter om personnummer, namn, adress, folkbokföringsfastighet, lägenhetsbeteckning och folkbokföringsort samt avregistrering från folkbokföringen. I förarbetena (prop. 1995/96:217 s. 15) anges som skäl för lagändringen att direktåtkomst är överlägsen för användarna när det gäller att få tillgång till aktuella uppgifter samt att åtkomsten kan begränsas till uppgifter som är av omedelbart intresse för användaren. Av integritetsskäl begränsades dock åtkomsten till ovan uppräknade uppgifter, vilka inte bedömdes vara känsliga samtidigt som de är av intresse för nästan samtliga myndigheter som utnyttjar folkbokföringsuppgifter.
Regeringen har dock i förordningen om aviseringsregister tillåtit terminalåtkomst avseende ytterligare uppgifter för Rikspolisstyrelsen och polismyndigheterna samt skattemyndigheterna. Sistnämnda myndigheter har därigenom tillgång även till uppgifter om civilstånd, make, föräldrar, barn och vårdnadshavare.
Sökbegrepp
De sökbegrepp som är tillåtna vid sökning i aviseringsregistret är till stora delar desamma som de uppgifter vilka får finnas i registret (se ovan om registerinnehållet). Vissa begränsningar har dock gjorts av integritetsskäl. Det är därför inte tillåtet att som sökbegrepp använda en persons födelseort, civilstånd eller datum för inflyttning från utlandet. Medborgarskap tillåts som sökbegrepp endast avseende uppgift om en persons medborgarskap i ett nordiskt land samt uppgift om en person är medborgare i ett EU-land eller inte (unionsmedborgarskap eller icke unionsmedborgarskap).
Gallring
Huvudprincipen för aviseringsregistret är att uppgifter skall gallras när en ny motsvarande uppgift registreras eller när uppgiften inte längre är aktuell. Vissa uppgifter, t.ex. uppgift om folkbokföringsfastighet och lägenhetsbeteckning, får dock bevaras i två år efter utgången av det år då ändringen registrerades. Uppgift om rättat personnummer får bevaras under den tid som behövs för att tillgodose ändamålet med registret. För uppgift om datum för inflyttning från utlandet gäller en gallringstid på fyra år efter utgången av det år då uppgiften registrerades. När en person avregistreras från folkbokföringen skall de flesta uppgifter gallras. Vissa uppgifter får dock bevaras i tio år efter avregistreringen.
Avgifter för tillgång till uppgifter
Utnyttjandet av aviseringsregistret är avgiftsbelagt och Riksskatteverket fastställer avgifterna. Vissa myndigheter – bl.a. Rikspolisstyrelsen och Riksförsäkringsverket – är dock enligt förordningen om aviseringsregister befriade från avgifter när uppgifterna begärs för aktualisering, komplettering och kontroll av uppgifter i ett personregister som förs av den mottagande myndigheten.
3.3. Register i skatteförvaltningens och länsstyrelsernas
verksamhet med val och folk-
omröstningar
3.3.1. Allmänt om verksamheten med val och folkomröstningar
Verksamheten med val och folkomröstningar regleras i vallagen (1997:157), folkomröstningslagen (1979:369) samt lagen (1994:692) om kommunala folkomröstningar. Enligt vallagen skall det finnas en central, samt regionala och kommunala valmyndigheter. Riksskatteverket är central valmyndighet och länsstyrelserna är regionala valmyndigheter. De valnämnder som skall finnas i varje kommun är kommunala valmyndigheter. De nu nämnda myndigheternas uppgift är att organisera och genomföra valen i Sverige. Av instruktionen för skatteförvaltningen framgår vidare att skattemyndigheterna skall bistå länsstyrelserna i arbetet med de allmänna valen samt upprätta allmän röstlängd och röstkort.
3.3.2. Röstlängdsregister
I och med ikraftträdandet av den nya vallagen den 1 juni 1997 infördes ett nytt system för röstlängder, som innebar att man gick i från förfarandet med längder med fast giltighetstid. I stället tas röstlängder nu fram endast när det skall hållas val eller folkomröstning. Samtidigt med vallagen trädde en särskild registerlag för framtagning av röstlängder och röstkort i kraft, lagen (1997:158) om röstlängdsregister. Härigenom skulle behovet av skydd för enskildas integritet säkerställas när relevanta uppgifter samlades i personregister.
Tillämpningsområde, ändamål och registeransvar
Skattemyndigheterna och Riksskatteverket får för vissa i lagen om röstlängdsregister angivna ändamål föra register med hjälp av automatisk databehandling för tillhandahållandet av röstlängder för hela landet (röstlängdsregister). Registren förs alltså för såväl skattemyndigheternas som Riksskatteverkets verksamhet. Enligt datalagen är den registeransvarig för vars verksamhet registret förs, om han eller hon förfogar över det. Registeransvaret för röstlängdsregistren skulle således vara delat mellan myndigheterna och verket i den omfattning de förfogar över dem. I lagen om röstlängdsregister finns en bestämmelse som närmare definierar detta ansvar. Medan Riksskatteverket är registeransvarigt för
samtliga register, ansvarar skattemyndigheterna endast för det register som förs inom myndighetens verksamhetsområde.
Enligt 10 § datalagen har en enskild rätt att från den registeransvarige få underrättelse om innehållet i ett personregister, såvitt avser personuppgifter som rör honom eller henne. Enligt en särskild bestämmelse i lagen om röstlängdsregister är dock Riksskatteverket befriad från skyldigheten att tillhandahålla den enskilde uppgifterna. Det är alltså den ansvariga skattemyndigheten som skall lämna underrättelse om innehållet i ett visst röstlängdsregister.
Som nämnts ovan får ett röstlängdsregister föras endast för vissa angivna ändamål, nämligen för framställning av röstlängder och röstkort samt för tillsyn, planering och uppföljning av val eller folkomröstningar. Dessutom anges särskilt i lagen att registret får användas för framställning av statistik.
Registerinnehåll
I ett röstlängdsregister får finnas endast uppgifter om personer som kan ha rösträtt vid olika val eller omröstningar i Sverige. Personkretsen utgörs av svenska medborgare som är minst 18 år på valdagen och som är eller har varit folkbokförda i Sverige. Därutöver förekommer uppgifter om EU-medborgare som fyller 18 år senast på valdagen och som är folkbokförda i Sverige samt andra utlänningar som sammanhängande har varit folkbokförda i Sverige tre år i följd före valdagen eller dagen för omröstningen.
De uppgifter som får finnas om de nämnda personerna är namn och adress, församling enligt folkbokföringen samt tillhörighet till svenska kyrkan eller medlemskap i en icke-territoriell församling. För personer som inte är folkbokförda i landet får även datum för utvandring antecknas. Uppgifterna hämtas från aviseringsregistret (se avsnitt 3.2.4). Utöver nämnda personuppgifter innehåller ett röstlängdsregister även uppgifter av mer teknisk eller administrativ karaktär, såsom uppgifter om valdistrikt, vallokaler och deras öppettider, adress till valnämnden samt andra sådana uppgifter som behövs för att tillgodose ändamålet med registret.
Direktåtkomst och utlämnande av uppgifter på medium för automatisk databehandling
Direktåtkomst till röstlängdsregistren är begränsad till de myndigheter som är direkt inblandade i arbetet med val och folkomröstningar, nämligen Riksskatteverket som är central valmyndighet, skattemyndigheterna som ansvarar för framställning av röstlängder m.m. samt länsstyrelserna
som är regionala valmyndigheter. För dessa myndigheter är direktåtkomsten dock inte begränsad till sin omfattning, utan gäller samtliga röstlängdsregister.
Uppgifter i registren får lämnas ut på medium för automatisk databehandling endast om det är föreskrivet i lag eller förordning eller om regeringen eller annan myndighet som regeringen bestämmer har medgett detta samt om uppgiften skall användas för framställning av statistik.
Sökbegrepp
Flertalet av de uppgifter som får finnas i registret får användas även som sökbegrepp. Det gäller namn eller personnummer, tillhörighet i svenska kyrkan och medlemskap i en icke-territoriell församling. Uppgifter om medborgarskap tillåts som sökbegrepp endast avseende en persons medborgarskap i ett nordiskt land samt uppgift om en person är medborgare i ett EU-land eller inte (unionsmedborgarskap eller icke unionsmedborgarskap).
3.3.3. Kandidatregister
Riksskatteverket och samtliga länsstyrelser i landet har Datainspektionens tillstånd (dnr 3416-74, 1177--1201-94, 1164--85-98) att föra kandidatregister. Ett kandidatregister får användas för anmälan av kandidater till val, för kontroll av valbarhet och valsedelsbeställning samt för den slutliga röstsammanräkningen (valresultat) vid länsstyrelserna och Riksskatteverket. Dessutom anges i tillståndsbeslutet att registret får användas som underlag för statistikuppgifter till Statistiska centralbyråns valstatistik. Registeransvariga är Riksskatteverket och samtliga länsstyrelser i landet.
I kandidatregistren får det finnas vissa uppgifter om de kandidater som har anmälts av partier, såsom personnummer, namn, adress, partitillhörighet och andra uppgifter om kandidaterna som finns på valsedlar. Därutöver får registren innehålla uppgifter om valkrets, valnämnd, vallokaler och partiombud m.m. För kontroll av kandidaternas valbarhet får till kandidatregistren dessutom hämtas in vissa uppgifter från lokala folkbokföringsregister, nämligen uppgifter om folkbokföringsort, svenskt eller icke svenskt medborgarskap samt medlemskap i icke-territoriell församling.
Sedan 1998 har Riksskatteverket och länsstyrelserna tillstånd att lämna ut uppgifter i kandidatregistren över Internet. Avsikten med detta är att såväl innehåll i valsedlar som uppgifter om valresultat – bl.a. valda ledamöter och ersättare – skall kunna tas fram via Internet.
3.4. Register i exekutionsväsendets verksamhet
Exekutionsväsendet består av Riksskatteverket som chefsmyndighet samt tio regionala kronofogdemyndigheter. De ämnesområden som förvaltningen har att hantera är frågor om verkställighet enligt utsökningsbalken och andra författningar, indrivning, betalningsföreläggande och handräckning samt skuldsanering. Kronofogdemyndigheterna är dessutom regionala myndigheter för frågor om tillsyn i konkurs. Grundläggande bestämmelser om verksamheterna finns i förordningen (1988:784) med instruktion för exekutionsväsendet.
3.4.1. Allmänt om exekutionsväsendets verksamhet
Exekutionsväsendets verksamheter kan delas in på olika sätt. Riksskatteverkets indelning utgörs av sex verksamhetsgrenar: förebyggande verksamhet, summarisk process, indrivning och annan verkställighet, exekutiv försäljning av fastigheter m.m., tillsyn i konkurs samt skuldsanering. Kronofogdemyndigheterna har även uppgifter som inte självklart går att inordna i de nämnda verksamhetsgrenarna. Nedan följer en kort beskrivning av de olika verksamheterna, dock med en något annorlunda utgångspunkt i fråga om indelningen.
Exekutiv verksamhet (utsökning och indrivning)
Kronofogdemyndigheternas uppgift i den exekutiva verksamheten är att handlägga mål enligt utsökningsbalken om verkställighet av domar eller andra exekutionstitlar som innefattar betalningsskyldighet eller annan förpliktelse (utsökningsmål). Utsökningsmålen indelas i allmänna och enskilda mål. De allmänna målen avser uttagande av bl.a. böter, viten, skatt, tull och vissa andra belopp som tillkommer staten eller kommunerna. För allmänna mål finns särskilda bestämmelser om handläggningen i lagen (1993:891) om indrivning av statliga fordringar m.m. Sökanden i allmänna mål, dvs. statliga eller kommunala myndigheter, företräds av kronofogdemyndigheten. Övriga utsökningsmål är enskilda och avser uttag av fastställda fordringar, som t.ex. obetalda underhållsbidrag eller hyror, samt bl.a. avhysningar och återtagande av avbetalningsgods. Sökande i enskilda mål kan vara privatpersoner, företag och banker, men också statliga eller kommunala myndigheter när verkställigheten inte avser fordringar som anges i lagen om indrivning av statliga fordringar m.m. Om en gäldenär inte frivilligt betalar en fordran i ett utsökningsmål kan kronofogdemyndigheterna, i den mån det finns
tillgångar, besluta om utmätning av gäldenärens egendom eller lön. I allmänna mål kan kronofogdemyndigheterna även ansöka om att en gäldenär skall försättas i konkurs. Under 1998 kom ca 2,5 miljoner allmänna mål och 345 000 enskilda mål in till kronofogdemyndigheterna.
Exekutiv försäljning av fast egendom, bostadsrätter, skepp och luftfartyg anses utgöra en särskild verksamhetsgren för kronofogdemyndigheterna. Även tvångsförsäljning av bostadsrätter hör dit. Under år 1998 såldes ca 900 fastigheter exekutivt och vid utgången av året fanns ca 4 000 oavslutade fastighetsärenden hos kronofogdemyndigheterna.
Summarisk process
Fram till 1992 handlades mål om betalningsföreläggande och handräckning (summarisk process) av tingsrätterna. Sedan dess utgör nämnda mål en viktig arbetsuppgift för kronofogdemyndigheterna. Verksamheten innebär ett förenklat förfarande i mål som gäller bl.a. utebliven betalning, betalningsfastställelse i pantsatt egendom, vanlig handräckning med eller utan avhysning samt särskild handräckning. Kronofogdemyndigheternas fastställande (utslag) utgör en exekutionstitel som gör det möjligt att bl.a. ansöka om utmätning eller avhysning hos myndigheternas funktion för indrivning. Under år 1998 kom till kronofogdemyndigheterna in ca 575 000 mål om betalningsföreläggande och handräckning.
Skuldsanering
Skuldsaneringslagen (1994:334) trädde i kraft 1994, vilket innebar att det infördes en möjlighet för fysiska personer att efter ansökan hos en kronofogdemyndighet få till stånd ett förfarande varigenom de helt eller delvis befrias från ansvar för betalning av de skulder som omfattas av skuldsaneringen. Förfarandet kan närmast liknas vid en slags ackordsuppgörelse, genom att gäldenärens skulder sätts ned och den kvarvarande delen betalas löpande under ett antal år. Syftet med skuldsanering är att den skall ha dels en rehabiliterande effekt för skuldtyngda personer, dels en preventiv och borgenärsgynnande effekt. Under år 1998 kom till kronofogdemyndigheten in ca 3 400 ärenden om skuldsanering.
Tillsyn i konkurs
Kronofogdemyndigheterna är enligt konkurslagen (1987:672) tillsynsmyndigheter i konkurs och skall i den egenskapen övervaka att förvaltningen av konkursbon bedrivs på ett ändamålsenligt sätt och särskilt
se till att avvecklingen av konkursen inte fördröjs i onödan. En tillsynsmyndighet får som led i tillsynen bl.a. inventera konkursboets kassa och begära redovisning av förvaltaren. Det åligger vidare tillsynsmyndigheten att på begäran lämna upplysningar om boet och dess förvaltning till bl.a. tingsrätt och borgenärer. Antalet konkurser varierar kraftigt med tiden, men under år 1998 tillkom ca 9 000 nya ärenden och vid utgången av det året fanns 16 500 oavslutade ärenden hos tillsynsmyndigheterna.
Övriga arbetsuppgifter
Förutom de verksamheter som beskrivits ovan förekommer vissa andra uppgifter som det åligger kronofogdemyndigheterna att utföra. En kronofogdemyndighet skall, i egenskap av tillsynsmyndighet i konkurs, föra statens talan vid tingsrätt när en arbetstagare har väckt talan mot en konkursförvaltares beslut om betalning enligt lönegarantilagen (1992:497) vid konkurs utan bevakning. En tillsynsmyndighet kan även själv väcka talan mot en konkursförvaltares beslut. Kronofogdemyndigheter handlägger enligt lagen (1981:131) om kallelse på okända borgenärer även ansökningar om sådan kallelse i samband med bouppteckning efter en avliden eller i samband med äktenskapsskillnad. När en arbetsgivare önskar göra avdrag på en arbetstagares lön för att kvitta med en motfordran, skall han enligt lagen (1970:215) om arbetsgivares kvittningsrätt från kronofogdemyndigheten inhämta besked om hur stor del av lönefordringen som skall vara skyddad mot kvittning. En kronofogdemyndighet skall vidare enligt 2 kap. 3 § utsökningsförordningen (1981:981) kontakta en målsägande som har tilldömts skadestånd i ett brottmål, för besked om denne vill ansöka om verkställighet samt hjälpa målsäganden med en sådan ansökan.
Härutöver utför kronofogdemyndigheterna vissa mindre uppgifter som närmast kan beskrivas som rena registreringsförfaranden. Till exempel kan protester av växlar och checkar enligt växellagen (1932:130) och checklagen (1932:131) tas upp av en kronofogdemyndighet. Vidare skall avhandlingar om köp enligt lagen (1845:50 s. 1) om handel med lösören, som köparen låter i säljarens vård kvarbliva, ges in till en kronofogdemyndighet för registrering.
Datorutvecklingen inom exekutionsväsendet
Frågan om datorutveckling inom exekutionsväsendet började utredas redan under senare delen av 1960-talet och i början av 1970-talet inleddes arbetet med faktiskt datorstöd för kronofogdemyndigheternas indrivningsverksamhet genom ett centralt system. Användandet av datorer begränsades inledningsvis till handläggningen av allmänna mål – dvs. mål som avser det allmännas fordringar på skatter m.m. – och då endast hos vissa försöksmyndigheter. Datorstödet var först ett rent redovisningssystem och i registret fanns uppgifter om skulder och gäldenärer. Sedan mitten av 1980-talet har dock samtliga kronofogdemyndigheter datorstöd, som efterhand har kommit att omfatta även enskilda mål. Den datoriserade hanteringen har också utvecklats från ett rent redovisningssystem till att utgöra även ett handläggningssystem. Undan för undan har dataregister införts för all verksamhet hos kronofogdemyndigheterna.
I takt med att användandet av datorer och datasystem utvidgades aktualiserades behovet av utförlig författningsreglering av exekutionsväsendets dataregister. En första sådan reglering infördes den 1 september 1986 då utsökningsregisterlagen (1986:617) och utsökningsregisterförordningen (1986:678) trädde i kraft. Efter hand har även annan lagstiftning tillkommit för att reglera användandet av datorer inom andra verksamhetsområden.
Sedan några år tillbaka pågår inom exekutionsväsendet arbete med ett nytt och avancerat datasystem, INIT, för utsöknings- och indrivningsverksamheten. Enligt vad vi har erfarit förväntas systemet kunna tas i bruk den 1 oktober 2001.
3.4.2. Utsökningsregister
Innan utsökningsregisterlagen trädde i kraft fanns det inom exekutionsväsendet ett icke författningsreglerat centralt personregister som användes i främst indrivningsverksamheten. Vid lagens tillkomst konstaterade departementschefen att det även fortsättningsvis skulle finnas ett för hela landet gemensamt utsökningsregister (prop. 1985/86:155 s. 11).
Det nuvarande datorsystemet bygger på det system som började konstrueras på 1970-talet och de tekniska strukturerna är till stor del från den tiden. Under första halvan av 1990-talet studerades lösningar som byggde på tanken att inrätta ett centralt och flera regionala register. För att passa in i detta planerade system ändrades utsökningsregisterlagen 1995 – i samband med att elektronisk dokumenthantering skulle utvecklas inom exekutionsväsendet – och en möjlighet att föra regionala
utsökningsregister vid sidan av det centrala registret infördes (SFS 1995:441). Lagtexten ger dock en missvisande bild av utsökningsregistren. Några regionala register har inte inrättats och elektronisk dokumenthantering har inte införts. Riksskatteverket arbetar nu med helt andra lösningar för indrivningsverksamheten. Det nya systemet är tänkt att innefatta endast ett centralt register samt elektroniska akter. Trots detta finns det anledning att närmare titta på hur utsökningsregistren faktiskt regleras i lagstiftningen.
Tillämpningsområde och ändamål
För de ändamål som anges i utsökningsregisterlagen skall med hjälp av automatisk databehandling föras ett för hela landet gemensamt utsökningsregister – det centrala utsökningsregistret – samt ett regionalt register i varje region. I samband med lagregleringen av de regionala utsökningsregistren angavs i motiven att dessa register stegvis skall överta det centrala registrets funktion och på sikt ersätta detta, utom såvitt gäller dess funktion som referensregister (prop. 1994/95:168 s. 16). De regionala registren har dock ännu inte satts i funktion och tills vidare finns det alltså i princip endast ett centralt register.
Ändamålen med det centrala registret och de regionala registren är gemensamt reglerade i utsökningsregisterlagen. I det avseendet görs alltså ingen åtskillnad mellan de olika registren, men tanken med lagstiftningen är som redan nämnts att det centrala registret framöver främst skall ha funktionen av ett referensregister.
Huvudändamålet med utsökningsregistren är kronofogdemyndigheternas exekutiva verksamhet. I utsökningsregisterlagen anges därför att registren skall användas inom exekutionsväsendet för verkställighet enligt utsökningsbalken, verkställighet eller tillsyn enligt annan författning, indrivning av statliga fordringar samt för avräkning vid återbetalning av skatter och avgifter. Registren skall dessutom användas för exekutionsväsendets planering och tillsyn av den exekutiva verksamheten och för fördelning av mål m.m. mellan kronofogdemyndigheter samt för redovisning till sökande.
Utsökningsregistren får användas även av vissa myndigheter utanför exekutionsväsendet. Det är främst myndigheter inom skatteförvaltningen som behöver använda registren, men det gäller även bl.a. Tullverket. För dessa myndigheter finns en särskild ändamålskatalog, enligt vilken registren får användas för avräkning vid återbetalning av skatt, för planering, samordning och uppföljning av revisions- och annan kontrollverksamhet vid beskattning och tulltaxering samt för utredningar vid bestämmande och uppbörd av skatter, tullar och socialavgifter. Myndigheter som utövar tillsyn enligt yrkestrafiklagen (1988:263) och lagen
(1998:492) om biluthyrning har möjlighet att använda registren i tillsynsverksamheten.
Registeransvar
För det centrala utsökningsregistret är Riksskatteverket och kronofogdemyndigheterna gemensamt registeransvariga. Medan Riksskatteverkets ansvar omfattar hela registret har en kronofogdemyndighet ansvar endast för sådana uppgifter i registret som avser mål eller ärenden som handläggs hos myndigheten samt för uppgifter som myndigheten av annan anledning har fört in i registret.
Ansvaret för de regionala utsökningsregistren skall helt åvila kronofogdemyndigheterna, eftersom en myndighet är registeransvarig för det register som förs i myndighetens region.
Registerinnehåll
Det centrala utsökningsregistret
Det centrala utsökningsregistret skall innehålla uppgifter om personer – fysiska eller juridiska – som enligt utsökningsbalken är gäldenärer eller svarande i mål hos en kronofogdemyndighet. För dessa personer skall vissa i utsökningsregisterlagen angivna identifieringsuppgifter finnas i registret. För fysiska personer gäller det uppgifter om namn, adress och personnummer (eller särskilt registreringsnummer), civilstånd och datum för civilståndsändring, dagen för dödsfall om personen har avlidit samt dagen för utflyttning om personen har flyttat utomlands. För en juridisk person skall motsvarande uppgifter anges, nämligen firma, adress och organisationsnummer (eller särskilt redovisnings- eller registreringsnummer). För ett dödsbo får även uppgifter om den avlidnes personnummer och dag för dödsfallet antecknas.
Utöver identifieringsuppgifter får det centrala registret innehålla ett antal andra uppgifter om de ovan nämnda personerna, i den mån det föreskrivs av regeringen eller den myndighet regeringen bestämmer (av utsökningsregisterförordningen framgår att det är Riksskatteverkets uppgift att meddela sådana föreskrifter). Enligt utsökningsregisterlagen får i det centrala registret finnas uppgifter om bl.a. exekutionstitel, skuldens storlek, arbetsgivare, influtna medel, datum för skuldens fastställande, när den förföll till betalning, preskriptionstidpunkt samt andra förhållanden av betydelse för betalningsskyldigheten.
Vidare får registret innehålla uppgifter om: den som sökt verkställighet och vilka verkställighetsåtgärder som har begärts; ställd säkerhet,
uppskov och avbetalningsplan; utmätning, exekutiv försäljning, införsel, avräkning och betalningssäkring; kvarstad och återtagande av vara; bötesförvandling; betalningsinställelse och likvidation; skuldsanering, företagsrekonstruktion, konkurs, ackord och näringsförbud; förhör eller annan åtgärd som vidtagits för efterforskning av tillgångar; förekomst av och tidpunkt för gäldenärsutredning samt redovisningen av verkställighetsuppdraget. Slutligen får det även finnas administrativa och tekniska uppgifter som behövs för registrets användning.
Även personer som inte är gäldenärer eller svarande i mål hos kronofogdemyndigheten kan i begränsad omfattning förekomma i det centrala utsökningsregistret. De uppgifter som får finnas är uppgifter om skuldsanering, företagsrekonstruktion, konkurs, ackord och näringsförbud.
De regionala utsökningsregistren
Ett regionalt register får – om Riksskatteverket föreskriver det – innehålla samma uppgifter som det centrala utsökningsregistret. Detta innebär att identifieringsuppgifter som är obligatoriska i det centrala registret, inte nödvändigtvis måste finnas även i de regionala registren. Utöver de uppgifter som skall eller får finnas i det centrala registret, får de regionala registren även innehålla uppgifter om beteckning på handling och uppgift om att en handling i ett mål eller ärende inte finns i registret. Liksom är fallet med de regionala skatteregistren, får ett utsökningsregister dessutom innehålla handlingar som kommit in eller som har upprättats i ett ärende som handläggs av den myndighet som har hand om registret, s.k. elektroniska akter (jfr avsnitt 3.1.2). Någon föreskrift om de regionala registren har inte utfärdats. Som nämnts ovan har systemet med regionala register inte förverkligats.
Terminalåtkomst
Vid införandet av utsökningsregisterlagen hade Riksskatteverket obegränsad terminalåtkomst till utsökningsregistret, medan en kronofogdemyndighets åtkomst, något förenklat, var begränsad till uppgifter hänförliga till det län vari myndigheten var verksam. Tullverket, länsstyrelserna och skattemyndigheterna hade terminalåtkomst till uppgifter om personer som var aktuella hos myndigheterna. Bestämmelserna om terminalåtkomst är, bl.a. på grund av att det är tänkt att regionala register skall inrättas, något annorlunda i dag. Grundtanken är dock densamma, nämligen att en myndighet i möjligaste mån bör ha åtkomst endast till uppgifter som hör till dess verksamhetsområde (prop. 1985/86:155 s. 23 och 1994/95:168 s. 22). Liksom tidigare får terminal-
åtkomst finnas endast för de i utsökningsregisterlagen angivna ändamålen med registren.
Riksskatteverket har obegränsad terminalåtkomst till det centrala registret och kommer – med undantag för de elektroniska akterna – att ha obegränsad åtkomst även till de regionala registren om de inrättas.
Den omfattande åtkomsten hänger samman med verkets uppgifter i fråga om bl.a. styrning och uppföljning av verksamheten och med handläggning av skadeståndsärenden.
Att åtkomsten enligt utsökningsregisterlagen är begränsad när det gäller de elektroniska akterna beror på att handlingarna i akterna kan innehålla i stort sett varje typ av uppgift och att det därför av integritetsskäl har ansetts viktigt att så mycket som möjligt begränsa åtkomsten. Regeringen kan dock föreskriva att Riksskatteverket får ha terminalåtkomst till de elektroniska akterna och denna möjlighet har i viss mån utnyttjats. Enligt utsökningsregisterförordningen får Riksskatteverket ha sådan åtkomst för handläggning av mål eller ärenden där verket företräder staten vid domstol samt för uppföljning av kronofogdemyndigheternas verksamhet. Eftersom det ännu inte finns några elektroniska akter är detta än så länge endast på planeringsstadiet. Det nya datorsystem som är under utveckling inom exekutionsväsendet kommer dock med säkerhet att innehålla sådana akter.
En kronofogdemyndighets tillgång till uppgifter i det centrala utsökningsregistret avser främst personer som är registrerade hos myndigheten som gäldenärer i mål om exekutiva åtgärder eller som annars är gäldenärer eller svarande i mål eller ärende som handläggs av myndigheten. Även uppgifter om andra personer får vara tillgängliga, men det krävs då att den personen har anknytning till någon som är registrerad gäldenär hos myndigheten i ett mål om exekutiva åtgärder. De personer som berörs är makar och gemensamt betalningsansvariga samt fåmansföretag, fåmansägda handelsbolag och delägare i sådana företag, om företaget eller en delägare i detta är gäldenär i ett mål hos myndigheten om exekutiva åtgärder. Härutöver har kronofogdemyndigheterna – utan någon geografisk begränsning – terminalåtkomst till uppgifter om skuldsanering, företagsrekonstruktion, konkurs och näringsförbud.
När det gäller de regionala utsökningsregistren skall en kronofogdemyndighet ha terminalåtkomst till det register som förs i dess region. Inom en myndighet kommer det alltså inte att finnas någon begränsning i åtkomsten till de elektroniska akterna. Dessutom har regeringen i utsökningsregisterförordningen föreskrivit att en kronofogdemyndighet får ha terminalåtkomst till en annan myndighets regionala register beträffande en person som är registrerad som svarande i mål i båda re-
gionerna eller som svarar för en förpliktelse solidariskt med en gäldenär i den egna regionen.
Även Tullverket och skattemyndigheter får ha terminalåtkomst till uppgifter i utsökningsregistren. För dessa myndigheter gäller att åtkomsten endast får avse personer som förekommer i ärenden hos dem. Åtkomsten till det centrala registret är under de förutsättningarna inte begränsad, medan åtkomsten till de regionala registren inte omfattar ärendebeteckningar och de elektroniska akterna.
Regeringen får föreskriva att en sökande eller dennes ombud i viss utsträckning får ha terminalåtkomst till utsökningsregistren. Av utsökningsregisterförordningen framgår att dessa personer – om Riksskatteverket medger det i ett enskilt fall – får ha åtkomst till uppgifter i det centrala registret och, med undantag för ärendebeteckningar och elektroniska akter, de regionala registren. Som begränsning gäller dock att uppgifterna måste avse mål eller ärenden som sökanden har gett in och att de inte får omfattas av sekretess enligt 9 kap. 19 § sekretesslagen. Det är alltså endast uppgifter om förpliktelse som avses med den sökta verkställigheten eller beslut i målet eller ärendet som får lämnas ut genom terminalåtkomst.
Endast ett tillstånd för en sökande att ha terminalåtkomst har lämnats. Försäkringskassorna har fått tillstånd att i mål om återkrav av underhållsstöd ha åtkomst till de mål där de själva är sökande. Avsikten är att en handläggare på försäkringskassan vid sin egen terminal skall kunna gå in i kronofogdemyndighetens register och se hur långt handläggningen har kommit, t.ex. om underrättelser har skickats ut och om det har skett utmätning.
Utlämnande av uppgifter på medium för automatisk databehandling
Från både det centrala och de regionala utsökningsregistren får uppgifter lämnas ut på medium för automatisk databehandling, om det sker för utbetalning av influtna medel eller för annan redovisning. Regeringen har dessutom utnyttjat sin möjlighet att uppdra åt Datainspektionen att lämna särskilt medgivande om utlämnande för andra ändamål. Ett sådant medgivande kan dock endast avse uppgifter som inte omfattas av sekretess, dvs. uppgifter om förpliktelse som avses med den sökta verkställigheten eller beslut i mål eller ärende. I dag förekommer regelmässigt utlämnande på medium för automatsik databehandling till kreditupplysningsföretag.
Gallring
Identifieringsuppgifter avseende fysiska och juridiska personer i utsökningsregistren skall gallras när det inte längre finns några andra uppgifter om personerna i registren. I övrigt gäller att uppgifter om indrivningsuppdrag avseende böter skall gallras vid utgången av det år då full betalning skedde. Övriga uppgifter skall gallras efter tre år – för uppgifter om skuldsanering gäller dock en sexårsgräns – räknat från utgången av det år då målet avslutades eller åtgärden förföll. Regeringen har föreskrivit undantag från bestämmelserna i utsökningsregisterlagen i fråga om bl.a. uppgifter om konkurs och näringsförbud, vilka skall gallras efter fem år.
3.4.3. Betalningsföreläggande- och handräckningsregister
I samband med reformeringen av den summariska processen, då mål om lagsökning, betalningsföreläggande och handräckning flyttades från tingsrätterna till kronofogdemyndigheterna, uttalades i förarbetena att processen hos kronofogdemyndigheterna skulle skötas med hjälp av ADB-teknik (prop. 1990/91:126 s. 64). Det ansågs i registersammanhang viktigt att uppgifter om fastställda skulder och andra förpliktelser – som regleras i utsökningsregisterlagen – skulle skiljas från uppgifter om påstådda förpliktelser, och att registerfrågor för den summariska processen därför skulle regleras särskilt i lagen (1991:876) om register för betalningsföreläggande och handräckning.
Tillämpningsområde, ändamål och registeransvar
När det gäller frågan om det för den summariska processen skulle införas ett centralt eller flera regionala register, anges i motiven till lagen om register för betalningsföreläggande och handräckning att mindre register har fördelar från integritetssynpunkt, eftersom allmänhetens möjligheter att vid ett och samma tillfälle ta del av uppgifter påverkas av ett registers omfattning (prop. 1990/91:126 s. 65). Vidare uttalas att det främsta ändamålet med register för den summariska processen är att främja en rationell handläggning av målen. Varje kronofogdemyndighet skall därför med hjälp av automatisk databehandling föra ett register för handläggning av mål om betalningsföreläggande och handräckning.
Registren får användas även för tillsyn, planering och uppföljning av verksamheten samt för framställning av statistik. I fråga om dessa ändamål är det inte endast kronofogdemyndigheterna, utan även Riks-
skatteverket i egenskap av central förvaltningsmyndighet, som får utnyttja registren. Slutligen får uppgifter i registren även användas som underlag för verkställighet enligt utsökningsbalken.
Av naturliga skäl är varje kronofogdemyndighet registeransvarig för det register som myndigheten för. Därutöver har Riksskatteverket – gemensamt med respektive kronofogdemyndighet – ansvaret för samtliga register.
Enligt 10 § datalagen har en enskild rätt att från den registeransvarige få underrättelse om innehållet i ett personregister, såvitt avser personuppgifter som rör honom eller henne. Enligt en särskild bestämmelse i lagen om register för betalningsföreläggande och handräckning är dock Riksskatteverket befriat från skyldigheten att lämna sådana uppgifter till den enskilde. Om en enskild vänder sig till verket med en sådan begäran, skall underrättelsen alltså lämnas av den aktuella kronofogdemyndigheten.
Registerinnehåll
Betalningsföreläggande- och handräckningsregistren är i första hand avsedda som hjälpmedel vid ärendehanteringen och innehållet i registren är anpassat därefter. I registren får finnas identifieringsuppgifter gällande parterna, såsom namn, adress, yrke och personnummer (eller särskilt registreringsnummer), adress där en part kan nås för delgivning, telefonnummer till bostad och arbetsplats samt övriga förhållanden som är av betydelse för delgivningsförfarandet. För juridiska personer får motsvarande uppgifter finnas, t.ex. firma, adress och organisationsnummer. Om en part företräds av ombud får även uppgifter om dennes namn, adress och telefonnummer finnas i registren.
Härutöver får registren innehålla uppgifter som är direkt knutna till ärendehanteringen. Det är uppgifter om bl.a. målnummer, inkomstdag, saken, yrkanden och grunder, handlingar som kommer in eller skickas ut i målen, delgivning, frister, beslut i målet samt annat som tillförs målet och som är av betydelse för handläggningen. Slutligen får i registren finnas uppgifter av teknisk och administrativ karaktär.
Terminalåtkomst
När lagen om register för betalningsföreläggande och handräckning infördes fanns inga bestämmelser om terminalåtkomst. Kronofogdemyndigheterna skulle nämligen ha sådan åtkomst endast till sina egna register medan Riksskatteverket, i egenskap av generellt registeransvarig myndighet, skulle ha tillgång till samtliga register. En kronofogdemyndighet kunde alltså inte via terminal få uppgifter från andra myndig-
heters register. Ett förslag om sådan utvidgad terminalåtkomst hade visserligen förts fram, men Datainspektionen avstyrkte förslaget eftersom det skulle motverka det integritetsskyddande syfte man ville uppnå genom att ha regionala register. I motiven till lagen sägs att det är osäkert vilka vinster som kan göras när en kronofogdemyndighet har terminalåtkomst till en annan myndighets register, och förslagen om sådan åtkomst bör därför inte genomföras mot inspektionens bestämda avstyrkande (prop. 1990/91:126 s. 69).
Sedan den 1 januari 1997 finns dock möjlighet för en kronofogdemyndighet att ha terminalåtkomst även till andra kronofogdemyndigheters register. Åtkomsten är dock begränsad till uppgifter om delgivningsadress i utslag för den som är svarande i ett mål om betalningsföreläggande eller handräckning vid den egna myndigheten samt alla uppgifter i utslag i ett mål om betalningsföreläggande för den som är gäldenär i ett mål om verkställighet av utslaget vid den egna myndigheten. Anledningen till att terminalåtkomsten utvidgades – och att det skedde endast i begränsad omfattning – var att utvärderingar av systemet visade att delgivningsproblem egentligen var det enda kvarstående allvarliga hindret mot en effektiv handläggning av den summariska processen (prop. 1995/96:211 s. 23 f).
Utlämnande av uppgifter på medium för automatisk databehandling
Från register för betalningsföreläggande och handräckning får uppgifter lämnas ut på medium för automatisk databehandling, om det sker för redovisning till sökanden i ett mål. Regeringen har dessutom utnyttjat sin möjlighet att uppdra åt Datainspektionen att lämna särskilt medgivande om utlämnande i andra fall i fråga om uppgifter som inte omfattas av sekretess. I dag förekommer regelmässigt utlämnande på medium för automatisk databehandling till kreditupplysningsföretag.
Sökbegrepp
Vid sökning i ett register för betalningsföreläggande och handräckning får som sökbegrepp användas endast uppgifter om bl.a. namn, personeller organisationsnummer, särskilt registreringsnummer, sökandens eller ingivarens referensnummer, målnummer, dagen för målets avgörande, bevakningstider och uppgifter om målets art. För Riksskatteverket gäller särskilda begränsningar genom att verket inte får använda uppgifter om sökanden eller svaranden som sökbegrepp.
Gallring
Uppgifter om utslag i mål om betalningsföreläggande skall gallras ur registren senast under juni månad året efter det att tre år har förflutit från det år då utslaget meddelades. Övriga uppgifter om mål om betalningsföreläggande eller handräckning skall gallras senast juni månad året efter det att målet har avgjorts av kronofogdemyndigheten.
3.4.4. Skuldsaneringsregister
Varje kronofogdemyndighet skall med hjälp av automatisk databehandling föra ett register för handläggning av ärenden enligt skuldsaneringslagen (1994:334). Detta framgår av förordningen (1994:348) om register för skuldsaneringsärenden. Ett sådant register får användas även för tillsyn, planering och uppföljning av verksamheten samt för framställning av statistik. Varje kronofogdemyndighet är registeransvarig för sitt register.
I ett skuldsaneringsregister får finnas uppgifter om gäldenären och borgenärerna i ett ärende samt om parternas ställföreträdare eller ombud. Datainspektionen har dessutom i ett beslut (dnr 4186--4209-94) förklarat att hinder inte föreligger mot att registrera uppgifter om borgensmän och solidariskt betalningsskyldiga personer – som är parter i ett ärende – i registren, trots att detta inte uttryckligen anges i förordningen.
De uppgifter som får förekomma i ett skuldsaneringsregister är vanliga identifikationsuppgifter som namn, adress, telefonnummer, personeller organisationsnummer samt yrke m.m. Därutöver får vissa handläggningsuppgifter registreras, t.ex. ärendenummer, inkomstdag, delgivningar, handlingar som kommer in eller skickas ut samt beslut i ärendet. Slutligen får även vissa uppgifter om skulderna anges, nämligen skuldbelopp, uppkomstdag, ställda säkerheter och övriga villkor.
Vissa begränsningar finns i fråga om sökmöjligheter i registren. Som sökbegrepp får användas endast ett fåtal identifikations- eller handläggningsuppgifter, nämligen namn, person- eller organisationsnummer, ärendenummer, inkomstdag, bevakningstider och dagen för beslut i ärendet.
Uppgifter om beslut om skuldsanering skall gallras före utgången av juni månad sex år efter det år då beslutet meddelades. Övriga uppgifter skall gallras året efter det att ärendet avgjordes.
3.4.5. Lönegarantiregister
Riksskatteverket får enligt förordningen (1994:1283) om lönegarantiregister med hjälp av automatisk databehandling föra ett register över vissa uppgifter om statlig lönegaranti vid konkurs. Uppgifterna i registret får användas endast för framställning av statistik.
De uppgifter som får finnas i registret är fordringsslag och belopp för lönefordringar för vilka lönegaranti har begärts eller skall lämnas, datum för underrättelser och beslut, arten av arbetsgivarens verksamhet samt kommunen där arbetsgivarens verksamhet bedrevs vid tiden för konkursbeslutet.
Riksskatteverket har terminalåtkomst till registret. Verket får också lämna uppgifter från registret till Statistiska centralbyrån på medium för automatisk databehandling.
3.4.6. Konkurstillsynsregister och andra tillståndsregister
Konkurstillsynsregister
Enligt 7 kap. 25 § konkurslagen (1987:672) är kronofogdemyndigheterna tillsynsmyndigheter i konkurs, och har i den egenskapen Datainspektionens tillstånd (dnr 6100--6120-94) att föra diarie- och ärendehanteringsstödsregister.
Registret används för diarieföring, ärendehantering och framställning av statistik. Inkomna och upprättade handlingar inom tillsynsmyndighetens verksamhetsområde registreras enligt bestämmelserna i 15 kap. sekretesslagen, med uppgift om bl.a. från vem handlingen har kommit in eller till vem den har expedierats samt diarienummer. Vid ärendehantering förs register över samtliga konkurser. De personer – förutom handläggare på myndigheten – om vilka det får finnas uppgifter i ärendehanteringsregistren är konkursförvaltare, ställföreträdare och konkursgäldenärer. Registren får innehålla uppgifter om bl.a. namn, adress, person- eller organisationsnummer, tingsrättens beslutsdatum, förvaltararvoden och lönegaranti.
Datainspektionen har i det ovan nämnda tillståndsbeslutet uttryckligen angett att ärendehanteringsregistren inte får innehålla personuppgifter om brott eller misstanke om brott, uppgifter om näringsförbud eller uppgifter som utgör omdöme eller annan värderande upplysning om den registrerade. Uppgifter i ett register skall gallras fem år efter det att det aktuella ärendet avslutades hos en tillsynsmyndighet.
Register för handläggningsstöd vid exekutiva försäljningar
Som ett led i effektiviseringen av förfarandet med exekutiv försäljning av fastigheter, skepp, luftfartyg samt exekutiv försäljning och tvångsförsäljning av bostadsrätter pågår inom exekutionsväsendet arbete med ett särskilt ärendehanteringssystem. Vissa delar av systemet är färdiga och har tagits i bruk av samtliga kronofogdemyndigheter. Återstående delar, som är mer tekniskt avancerade och bl.a. omfattar sakägarförteckningen, är ännu inte klara men beräknas kunna tas i bruk under år 1999.
Datainspektionen har gett kronofogdemyndigheterna tillstånd (dnr 265--274-97) att inrätta och föra personregistren DUFF-EX (Datorunderstödd fastighetsförsäljning m.m. för exekutionsväsendet). Ändamålet med registren är att de skall utgöra ett hjälpmedel för kronofogdemyndigheterna vid diarieföring och handläggning av försäljningsärenden m.m. för verkställighet enligt utsökningsbalken och bostadsrättslagen (1991:614). Registren får användas även för framställning av statistik.
I registren får finnas uppgifter om t.ex. ägare till fastighet som är föremål för exekutiv försäljning, gäldenär som inte är ägare till fastigheten, bostadsrättshavare vars bostadsrätt är föremål för exekutiv försäljning, sökande och ombud, andra borgenärer, sysslomän, innehavare av nyttjanderätt, konkursförvaltare samt inropare och köpare.
Ett stort antal uppgifter som behövs vid handläggningen får registreras i registren. Det rör sig om bl.a. identifikationsuppgifter för aktuella personer, uppgifter om bevakad fordran, fastighetsbeteckningar och taxeringsvärde, avtal med mäklare och värderare, godtagbara bud och försäljningsdag. Även uppgifter om föremålet för förfarandet, t.ex. fastigheten, registreras.
3.5. Register i Tullverkets verksamhet
Tullverket utgör sedan den 1 juli 1999 en enda myndighet. Den tidigare organisationen bestod av Generaltullstyrelsen som chefsmyndighet samt regionala tullmyndigheter. I dag består verket i stället av ett huvudkontor samt en regional organisation som omfattar sex tullregioner. Grundläggande bestämmelser om organisationen finns i förordningen (1991:1524) med instruktion för Tullverket.
3.5.1. Allmänt om Tullverkets verksamhet
Tullverkets uppgifter består i att uppbära tull, andra skatter och avgifter vid import och export, att övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel efterlevs samt att bedriva viss utrednings- och åklagarverksamhet i fråga om brott mot bestämmelserna om import och export. Verket har dessutom även vissa andra föreskrivna övervakningsuppgifter. Tullverket tillämpar numera en processorienterad indelning av verksamheten, och den faktiska eller operativa verksamheten indelas i huvudprocesserna effektiv handel och gränsskydd samt stödprocesserna analys och brottsutredning. Nedan följer en kort beskrivning av de huvudsakliga arbetsuppgifter som det åligger Tullverket att utföra.
Effektiv handel
Processen effektiv handel syftar till att hantera den legala kommersiella godstrafiken, och omfattar händelser från det att ett företag beslutar att importera, exportera eller transitera en vara till dess att rätt tull och skatt har betalats till staten. En av Tullverkets viktigaste uppgifter, vilket framgår av benämningen effektiv handel, är att underlätta handeln med andra länder genom att snabbt och effektivt handlägga frågor om bl.a. uttag av tullar och skatter samt kontrollera trafiken till och från utlandet så att bestämmelser om in- och utförsel, licenser och kvoter m.m. efterlevs.
Den rättsliga reglering som styr Tullverkets verksamhet i dessa frågor utgörs av ett stort antal EG-rättsliga förordningar, t.ex. rådets förordning (EEG) nr 2913/92 om inrättandet av en tullkodex för gemenskapen, samt svenska författningar, främst tullagen (1994:1550). En av de primära uppgifterna för Tullverket är att i egenskap av beskattningsmyndighet uppbära tull, annan skatt och avgifter åt EU och staten. Med annan skatt än tull avses t.ex. mervärdesskatt som utgår vid import och vissa punktskatter. Vilka tullar och skatter som skall betalas för olika varor framgår av EG:s tulltaxa och ett flertal specialförfattningar.
Förfarandet vid import av varor går förenklat beskrivet till på följande sätt. Den som avser att i yrkesmässig verksamhet föra varor in i landet har ofta tillstånd av Tullverket att ta hem och använda varor innan tull och mervärdesskatt m.m. betalas. Vid införseln skall varorna dock deklareras till Tullverket och därefter skall inom ett antal dagar en fullständig deklaration lämnas in. Detta sker ofta helt elektroniskt med hjälp av tulldatasystemet (se nedan). Med ledning av de uppgifter som importören eller dennes ombud lämnar fastställer Tullverket tull etc. för varorna. I samband med detta förfarande kontrollerar Tullverket även att
inget hinder föreligger mot införsel. Vid kontrollen och hanteringen av import- eller exportrestriktioner samarbetar Tullverket ofta med andra myndigheter, t.ex. Livsmedelsverket och Jordbruksverket.
Förutom arbetet med uttag av tullar och andra skatter samlar Tullverket även in ett omfattande statistiskt material om utrikeshandel, som sedan förs vidare till Statistiska centralbyrån. Sådan statistik är av betydelse för den kommersiella handeln och samhället i övrigt.
Tullverket hanterar årligen ca 1,5 miljoner importärenden och ca 2 miljoner exportärenden.
Gränsskydd
Processen gränsskydd syftar till att hantera den illegala trafiken och därigenom förhindra att icke önskvärda varor passerar gränsen. Gränsskyddet omfattar skeendet från preventiva åtgärder för att förhindra smuggling till avslutande kontroll och utvärdering samt eventuell brottsanmälan.
En av Tullverkets grundläggande uppgifter, vid sidan av att ta ut tullar och andra skatter, är att övervaka Sveriges gränser och kontrollera att import och export av varor fungerar i enlighet med såväl svensk rätt som EG-rätt. Till stöd för kontrollåtgärder av olika slag har Tullverket bl.a. bestämmelserna i tullagen och lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen.
En särskild uppgift som det åligger Tullverket att utföra är kontroll av punktskatter. Den rättsliga regleringen av den verksamheten finns i lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och mineraloljeprodukter. Sådana transporter skall åtföljas av ledsagardokument samt omfattas av ställd säkerhet för betalning av skatt enligt lagen om tobaksskatt, lagen om alkoholskatt och lagen om skatt på energi. Tullverket får bl.a. genomföra kontroller av yrkesmässig vägtransport samt vid olagliga eller misstänkta transporter omhänderta de varor, handlingar och containrar m.m. som medförs vid transporterna för kontroll av om punktskatter skall betalas i Sverige och vem som i så fall är skattskyldig. Tullverket får även kontrollera postförsändelser i det syftet. Tullverket är dock inte beskattningsmyndighet i fråga om dessa punktskatter, utan den uppgiften ligger på Skattemyndigheten i Gävle (Särskilda skattekontoret i Ludvika). Punktskattekontroller genomförs därför i nära samarbete med skatteförvaltningen.
För att förhindra eller avslöja smuggling av varor för vilka det finns särskilda restriktioner, t.ex. vapen, narkotika och alkohol, bedriver Tullverket även spaning. Den verksamheten inryms i huvudprocessen
gränsskydd. Tullverkets brottsutredande verksamhet utgör en egen process, nämligen stödprocessen brottsutredning. Tullverket har enligt lagen (1960:418) om straff för varusmuggling möjlighet att inleda förundersökning vid misstanke om brott. I brottsutredningar som inte är av enkel beskaffenhet skall ledningen av förundersökningen övertas av åklagare. Vid åtal i mål som inte rör allvarligare brott kan statens talan emellertid föras av särskilda befattningshavare vid Tullverket (tullåklagare). Som exempel på verksamhetens omfattning kan nämnas att Tullverket under perioden januari – november 1998 gjorde ca 2 000 beslag avseende narkotika.
Datorutvecklingen inom Tullverkets verksamhet
Efter att redan från 1930-talet ha använt datorer i form av hålkortsmaskiner för registrering av viss utrikeshandelsstatistik, ökade användningen av datorer inom Tullverket väsentligt under 1970- och 80-talen. Inledningsvis begränsades användningen till central uppbörd av tull, men utvidgades därefter till att omfatta även registrering av bl.a. tulldeklarationer. Tullverket hade också del i viss datoriserad hantering som visserligen inte låg inom verkets myndighetsområde, men som ändå berörde dess verksamhet. Som exempel kan nämnas att tulltjänstemän hade viss terminaltillgång till datasystem som drevs av Göteborgs hamn och tullupplaget på Landvetters flygplats.
Under slutet av 1980-talet genomfördes en statlig utredning (tulldatautredningen), som övergick i ett projekt med syfte att bygga ett datoriserat system för hantering av Tullverkets verksamhet med klarering av import-, export- och transitärenden, debitering av tull, andra skatter och avgifter samt behandling av uppgifter för statistiska ändamål. Systemet, som benämns tulldatasystemet (TDS), innefattar bl.a. elektronisk dokumenthantering vid tullklarering m.m. Införandet av TDS föregicks av ett omfattande utredningsarbete och för att systemet skulle kunna tas i drift som planerat, med start den 1 juni 1990, krävdes också författningsreglering av hanteringen. Det skedde bl.a. genom införandet av tullregisterlagen (1990:137) och tullregisterförordningen (1990:179) den 1 juni 1990.
Utvecklingstakten på datorstödsområdet har varit snabb hos Tullverket och i dag utväxlas över 75 procent av tulldokumenten elektroniskt mellan företagen och Tullverket via TDS. Det pågår dock fortfarande ett omfattande utvecklingsarbete av datorsystemen som används av Tullverket. I detta sammanhang bör de större projekten RISK och Servicetrappan nämnas särskilt.
RISK (Riskvärdering, Initialkontroll, Spärrhantering och Klareringsstrategi) är ett datoriserat riskanalyssystem inom TDS och utgör ett
viktigt instrument för att identifiera och kontrollera de områden inom klareringsverksamheten där riskerna för felaktigheter är störst, samtidigt som de tulldokument där riskerna för fel är mindre passerar snabbare genom systemet. RISK innebär således snabbare och effektivare klarering av elektroniska ärenden. Den nya klareringsmodellen baseras på riskanalysmetoder och ett utökat systemstöd som fördelar ärenden i olika priorietetsgrupper så att ärenden där det finns stor eller medelstor risk för fel sorteras ut för särskilda kontrollåtgärder, medan ärenden där det föreligger en liten risk för fel klareras med en förenklad klareringsfunktion. Genom RISK kan Tullverket satsa större resurser på information och service samtidigt som kvaliteten i kontrollurvalet förbättras, vilket medför att den legala trafiken störs mindre av de kontrollåtgärder som Tullverket utför.
Servicetrappan – ett tullsystem för god kvalitet och smidiga tullrutiner – är en utveckling av RISK och skall således bedrivas inom ramen för TDS. Projektet innebär i korthet att Tullverket genom ett nytt förfarande inte i samma utsträckning som i dag skall kontrollera den legala kommersiella godstrafiken, utan i stället satsa resurserna där de utnyttjas mest effektivt. Detta skall uppnås genom ett system med enklare klareringsförfarande som innebär stora fördelar och lättnader för de import- och exportföretag och andra ekonomiska operatörer som är kända av Tullverket för att hålla en hög kvalitet i uppgiftslämnande och i sina rutiner för utrikeshandel. Tanken är att företag skall få möjlighet att i olika steg bl.a. utnyttja förenklade och därmed snabbare klareringsförfaranden. Arbetet med tillståndsgivningen för användande av förenklade förfaranden skall därvid ha en hög prioritet för att skapa förutsättningar för en generellt högre kvalitet hos tulldeklarationerna, vilket innebär att de i normalfallet inte behöver granskas lika ingående som annars skulle vara fallet. Innan ett företag får ett tillstånd, skall Tullverket förvissa sig om att företaget har sådana rutiner och dess personal sådana kunskaper att man kan förvänta sig att det lever upp till vad som generellt krävs enligt tullagstiftningen och de särskilda villkor och förutsättningar som anges i tillståndet. Visar det sig i det löpande arbetet att ett företag, trots påpekanden, inte lever upp till vad som kan begäras av företag som fått tillstånd att exempelvis använda sig av förenklade förfaranden, skall tillståndet dras in antingen för en begränsad tid eller tills vidare.
3.5.2. Tullregister
En kort beskrivning av tulldatasystemet (TDS)
Tullregisterlagen reglerar ett för Tullverket gemensamt register som får föras med hjälp av automatisk databehandling. TDS används allmänt som ett begrepp för såväl tulldatasystemet som tullregistret. Främst har TDS inneburit att manuella procedurer vid tullklarering (dvs. Tullverkets åtgärder i fråga om en vara som angetts till godkänd tullbehandling) automatiseras, bl.a. genom att information som tidigare lämnats på pappersdokument nu i stället kan lämnas i form av elektroniskt överförda uppgifter, s.k. elektroniska dokument. Import- och exportdeklarationer kan dock fortfarande lämnas på papper, och även sådan hantering ingår i TDS genom att en tulltjänsteman registrerar ingivna uppgifterna i TDS som ett led i tullklareringen.
Det elektroniska förfarandet inom TDS kan i korthet beskrivas eller exemplifieras på följande sätt. En näringsidkare som vill importera eller exportera varor upprättar ett standardiserat elektroniskt meddelande som förses med ett för varje ärende unikt identifieringsnummer (tullid). Detta meddelande överförs elektroniskt till en extern mottagningsfunktion, som sköts av en från Tullverket fristående servicebyrå, där meddelandets äkthet kontrolleras. Det sker enkelt uttryckt genom en kontroll av att meddelandet kommer från den angivna avsändaren och är oförvanskat, vilket på visst tekniskt sätt kan fastställas med hjälp av ett ”elektroniskt sigill”, som närmast kan anses utgöra den elektroniska motsvarigheten till namnteckningen på ett pappersdokument.
Det elektroniska meddelandet skickas därefter till Tullverkets centraldator i Luleå. I olika delsystem inom TDS görs sedan ett flertal automatiska kontroller av ärendet, t.ex. avseende krav på tillstånd, prisavvikelser, riskanalysbaserade spärrar eller slumpurval. Ett ärende som klarar den automatiska kontrollen fördelas till ”grön kanal”, vilket innebär att TDS föreslår att ärendet bör godkännas utan att några ytterligare kontroller görs av en tulltjänsteman. Ett ärende som inte går i genom kontrollen fördelas i stället till ”röd kanal”, vilket i sin tur innebär att vissa åtgärder måste vidtas av en tulltjänsteman innan ett slutligt klareringsbeslut kan fattas. För att klarering faktiskt skall ske i ett ärende som har överförts elektroniskt till TDS, krävs att näringsidkaren på något sätt särskilt begär detta, t.ex. direkt i det elektroniska dokumentet eller vid något senare tillfälle. När klarering är begärd överförs det elektroniska ärendet till en lokaldator i den region där ärendet hör hemma. Ärenden som i TDS fördelas till ”grön kanal” kan numera efter införandet av RISK – ett system byggt på riskanalys (se avsnitt 3.5.1) – klareras helt
automatiskt. Härefter går ärendet igenom olika delsystem, som t.ex. uppbördssystemet.
Som nämns tidigare ingår i TDS, förutom det nyss beskrivna elektroniska förfarandet, även ärenden som lämnas in manuellt, genom att dessa registreras i systemet av en tulltjänsteman med hjälp av en datorterminal. TDS omfattar i sin helhet således samtliga ärenden som innefattar klarering vid import, export och transitering, debitering av tull och andra skatter samt insamling och bearbetning av underlag för handelsstatistik.
Tillämpningsområde och ändamål
Som nämnts ovan får Tullverket för vissa särskilt angivna ändamål föra ett gemensamt tullregister med hjälp av automatisk databehandling. Vid sidan av tullregistret (TDS) förekommer register för tullens brottsbekämpande verksamhet. Dessa register omfattas dock inte av bestämmelserna i tullregisterlagen (se avsnitt 3.5.4).
De i tullregisterlagen angivna ändamålen för tullregistret var ursprungligen fastställande, uppbörd, restitution och redovisning av tull och skatter m.m. som skall betalas till Tullverket, fullgörande av övervakning, kontroll och revisioner inom tullmyndigheternas verksamhetsområde, planering och tillsyn av tullverksamheten samt framställning av viss statistik. I samband med lagens tillkomst uttalades i förarbetena att det huvudsakliga ändamålet med tullregistret var att uppgiftslämnandet och tullens klareringsrutiner skulle automatiseras och rationaliseras (prop. 1989/90:40 s. 18).
Sverige har genom medlemskapet i EU fått ett ökat behov av effektiv punktskattekontroll, eftersom en sådan kontroll är av väsentlig betydelse för att den fria rörligheten för varor inom gemenskapen skall uppnås. Ändamålskatalogen har därför utökats för att denna effektivare kontroll skall kunna genomföras. Vad det är fråga om är att tullregistret får användas för prövning av och tillsyn över upplagshavare, skatteupplag och registrerade varumottagare enligt lagen (1994:1563) om tobaksskatt, lagen (1994:1564) om alkoholskatt och lagen (1994:1776) om skatt på energi samt för revisions- och annan kontrollverksamhet enligt lagen (1984:151) om punktskatter och prisregleringsavgifter.
Registeransvar
Tullverket är registeransvarigt för tullregistret. Det är en följd av att Tullverket sedan den 1 juli 1999 är en enda myndighet. Registeransvaret delades tidigare mellan Generaltullstyrelsen och de regionala tullmyndigheterna.
Registerinnehåll
Uppgifter som får finnas i registret
I motiven till tullregisterlagen anges att det är viktigt att karaktären på de uppgifter som får föras in i registret slås fast i lag, men att någon detaljreglering inte är möjlig (prop. 1989/90:40 s. 20). De uppgifter som tillåts är sådana som krävs för att TDS skall kunna fylla sin funktion. Det rör sig om uppgifter som importörer eller exportörer lämnar i ett ärende, vissa uppgifter i EG:s tulltaxa, uppgifter om kontroll av import, export och punktskatter samt uppgifter för statistikproduktion.
Vidare får registret innehålla uppgifter om debitering eller avräkning av skatter eller avgifter, beslut av Tullverket och beslut om import- eller exportlicenser som utfärdas av andra myndigheter, tillstånd som krävs för import eller export, registrering av skattskyldig avseende vissa punktskatter samt betalning och indrivning av tull, annan skatt och avgifter. Härutöver får det finnas uppgifter om fysiska och juridiska personers identitet samt identitetsbeteckningar för transportmedel m.m. och uppgifter om deras ägare. Avslutningsvis får det även finnas uppgifter för kontroll av registret samt för åtkomst till och användning av det.
Sambearbetning
I tullregisterlagen finns särskilda bestämmelser om sambearbetning av uppgifterna i tullregistret med uppgifter från andra register. Vad som regleras är att tullregistret får sambearbetas med uppgifter från register hos Riksskatteverket, Kommerskollegium och Jordbruksverket. När det gäller de två sistnämnda myndigheterna avser regleringen uppgifter i deras register om import- och exportlicenser, medan det i fråga om register hos Riksskatteverket är sambearbetning av uppgifter om registrering av skattskyldiga som avses. I motiven till lagen markeras att bestämmelsen inte är avsedd att vara uttömmande, utan att det i förordning eller genom beslut av Datainspektionen skall vara möjligt att tillåta sambearbetning även i andra fall än de uppräknade (prop. 1989/90:40 s. 24).
Terminalåtkomst
Tullverket har terminalåtkomst till tullregistret. En tullregion får dock endast ta del av de uppgifter som behövs i regionens verksamhet. Motsvarande begränsning gällde för tullmyndigheterna före omorganisationen den 1 juli 1999. Vid tullregisterlagens tillkomst hade inga myndig-
heter utanför Tullverket terminalåtkomst, men som ett led i effektiviseringen av punktskattekontrollen får fr.o.m. den 1 juli 1998 såväl Riksskatteverket som vissa skattemyndigheter ha sådan åtkomst till registret. För samtliga myndigheter inom skatteförvaltningen avser terminalåtkomsten uppgifter om kontroll och beslut enligt lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och mineraloljeprodukter.
Utlämnande av uppgifter på medium för automatisk databehandling
Uppgifter får lämnas ut från tullregistret på medium för automatisk databehandling till Jordbruksverket, Kommerskollegium, Riksskatteverket, skattemyndigheter, Riksrevisionsverket, Statistiska centralbyrån och Kemikalieinspektionen. Regeringen har även i tullregisterförordningen bemyndigat Datainspektionen att lämna särskilt medgivande om utlämnande till andra myndigheter.
Sökbegrepp
När ett klareringsärende m.m. anhängiggörs i TDS skall den sökande ange ett ärendespecifikt tullidentifikationsnummer (tullid). Vid sökning i tullregistret efter ett visst ärende skall i första hand detta tullid användas som sökbegrepp. I vissa fall kan det dock finnas behov av att använda andra sökbegrepp för att identifiera ett ärende, t.ex. organisations- eller personnummer. I tullregisterlagen anges därför att tullid, personnummer och organisationsnummer är grundläggande sökbegrepp i registret.
I motiven till lagen anges att uppräkningen av sökbegrepp inte är uttömmande, vilket innebär att lagen inte begränsar sökningar till användande av dessa begrepp (prop. 1989/90:40 s. 21). En sådan begränsning finns däremot i tullregisterförordningen, av vilken framgår att om det uppkommer fråga om att i tullregistret använda sökbegrepp – förutom de i lagen uppräknade – som har grundläggande betydelse för registrets funktion och som är känsliga från integritetssynpunkt, skall Tullverket överlämna frågan till regeringen för avgörande.
Gallring
Uppgifter som hör till ett tullärende skall gallras ur registret sex år efter utgången av det kalenderår då uppgiften lämnades eller – i vissa fall – registrerades. Om det i lag eller annan författning har föreskrivits längre bevarandetid än sex år, gäller dock den bestämmelsen. Dessutom har regeringen bemyndigat Riksarkivet att, om det finns särskilda skäl, föreskriva andra tider för bevarande av vissa uppgifter.
Elektroniska dokument och mottagningsfunktion i TDS
Inledningsvis i detta avsnitt nämndes att en stor del av TDS består i hantering av elektroniska dokument. Begreppet elektroniskt dokument definieras i 12 § tullagen (1994:1550) som ”en upptagning vars innehåll och utställare kan verifieras genom ett visst tekniskt förfarande”. Vidare nämns tidigare i detta avsnitt att hanteringen av ett elektroniskt dokument eller meddelande börjar med att t.ex. en näringsidkare för över meddelandet till en extern mottagningsfunktion, varifrån det efter en äkthetskontroll vidarebefordras till Tullverkets centraldator. Regeringen motiverade införandet av den mottagningsfunktionen med att det när meddelanden sänds från ett företag till Tullverket eventuellt krävs en översättning från det språk som används av den avsändande datorn till det språk som TDS arbetar med och att denna översättningsuppgift lämpligen bör göras i en särskild mottagningsfunktion, som kan vara placerad hos någon annan än Tullverket (prop. 1989/90:40 s 25 f.). Regeringen anförde även att ett företag som sköter mottagningskontrollen kan jämställas med ett postkontor till vilket ett meddelande kommer för att sedan vidarebefordras till mottagaren. I mottagningsfunktionen sker en teknisk kontroll av den avsända programfilen, dvs. meddelandet, som returneras till avsändaren när den uppvisar brister. Någon kontroll görs dock inte av innehållet i meddelandet, utan det är överföringen som kontrolleras. Regeringen ansåg inte att en sådan kontroll kunde anses utgöra ett led i ärendehanteringen.
Författningsstödet för det särskilda förfarande med en extern mottagningsfunktion finns i tullregisterlagen och tullregisterförordningen. I lagen sägs att regeringen eller den myndighet som regeringen bestämmer får överlämna åt en juridisk person att förmedla uppgifter till och från tullregistret i sådana elektroniska dokument som avses i tulllagen. I förordningen har regeringen sedan bemyndigat Tullverket att besluta om överlämnande av mottagningsfunktionen till en extern juridisk person, vilket också har skett.
3.5.3. Tullmålsjournaler
I samband med främst tullbeslag öppnas ett ärende hos Tullverket. Dessa ärenden inordnas i en tullmålsjournal som består av akterna i inkomna tullmål, ordnade i nummerföljd. Datainspektionen har genom beslut den 30 juni 1993 (dnr 1059--1096-93) gett Tullverket tillstånd att föra särskilda personregister, även de benämnda tullmålsjournaler, vilka har som ändamål att utgöra sökregister till de egentliga journalerna för uppföljning, komplettering och statuskontroll av de däri ingående ären-
dena. Personregistren får användas även för framställning av statistik. Tullmålsjournalerna (personregistren) består alltså närmast av datoriserade dagboksblad för tullmålen.
Registren får innehålla uppgifter om ärendet som sådant, om objektet (dvs. den person som ärendet avser) och om varan som var föremål för tullbeslaget m.m. Uppgifter om ärendet kan vara sådant som registreringsdatum, brottsort, handläggare och referens till åklagarmyndigheten. Om objekten får det finnas uppgifter om person- eller organisationsnummer, namn, kön, nationalitet, samt datum för dom eller strafföreläggande i ärendet. De uppgifter som registreras om varan är varuslag eller varubenämning, mängd och värde, transportsätt, gömställe, lagringsplats, processbeslut och andra åtgärder m.m.
Personuppgifter i tullmålsjournalerna – alltså personregistren – skall gallras när de inte längre behövs, dock senast fem år efter den tidpunkt då ärendet avslutades.
3.5.4. Register i brottsbekämpande verksamhet
Vid sidan av tullregistret (TDS) för Tullverket även register som används i den brottsbekämpande verksamheten. Bestämmelser om register i den verksamheten fanns tidigare i förordningen (1987:864) om Tullverkets register för brottsbekämpande verksamhet, som tillkom med stöd av en bestämmelse i lagen (1965:94) om polisregister m.m.
Det brottsregister som Tullverket fört har gått under benämningen SPADI, spaningsdiariet. Sedan den 1 januari 1998 finns regleringen av brottsregister i stället i lagen (1997:1058) om register i Tullverkets brottsbekämpande verksamhet och i förordningen (1997:1064) om register i Tullverkets brottsbekämpande verksamhet. De sistnämnda författningarna ger Tullverket rätt att föra vissa register i underrättelseverksamhet, nämligen analysregister samt ett gemensamt underrättelseregister och ett gemensamt spaningsregister.
4. Övergripande frågor och principer
I detta kapitel redovisar vi vår inställning till mer övergripande frågor och principer av allmän karaktär som berör samtliga eller de flesta av våra lagförslag. I de närmast följande kapitlen kommer vi att närmare gå igenom våra förslag till lagstiftning inom de olika områden som omfattas av vårt uppdrag. Eftersom samtliga lagförslag har en likartad struktur och i många delar innehåller identiska eller likartade bestämmelser, har vi valt att i 5–7 kap. redovisa våra överväganden om lagstiftningen i allmänhet, utan att gå närmare in på de enskilda lagförslagen. Därefter redovisar vi i 8 kap. de särskilda förhållanden som gäller för olika verksamhetsområden och som i vissa delar kräver särskilda bestämmelser som är specifika för respektive verksamhet.
4.1. Behovet av datorstöd i myndighetsverksamhet
Användningen av datorer hos myndigheter i Sverige har ökat kraftigt sedan år 1970. Denna utveckling är ett naturligt led i effektiviseringen av verksamheterna. Den alltmer långtgående internationaliseringen tillsammans med det faktum att människor är mer rörliga även inom landets gränser, kommer framöver att ställa allt större krav på en effektiv ärendehantering hos myndigheterna. Det finns därför ingen anledning att anta annat än att behovet av datorstöd kommer att fortsätta öka.
Tullverket kan tas som ett exempel på detta behov. Verket har sedan slutet av 1980-talet utökat datorstödet i sin verksamhet och därigenom rationaliserat bort en stor del av pappershanteringen. Detta till trots fortsätter utvecklingen på datorområdet inom Tullverket i snabb takt – inte minst på grund av de nya uppgifter som följer av Sveriges EUmedlemskap – och flera projekt har nyligen startats eller är på väg att slutföras. Även inom skatteförvaltningen pågår projekt med syfte att i allt större grad automatisera den i stora delar redan elektroniskt baserade ärendehanteringen. Inom exekutionsväsendet har man ännu inte kommit lika långt, men långtgående planer, och pågående projekt, finns med
syfte att införa i stort sett helt elektronisk ärendehantering i bl.a. utsökningsverksamheten.
Den snabba utveckling av datoriseringen inom myndighetsområdet som varit har visat att den lagstiftning som reglerar användandet av datorstöd måste vara teknikoberoende och flexibel, för att inte hindra den effektivisering av verksamheterna som kontinuerligt pågår. Detta är inte minst påtagligt i de verksamheter som vi har att se över. Det är näst intill omöjligt för lagstiftaren att hålla jämn takt med den tekniska utvecklingen, och det är särskilt tydligt just inom dataområdet. För att inte hamna i en situation där den tekniska utvecklingen styr den rättsliga regleringen, är det enligt vår mening nödvändigt med en lagstiftning som tar sikte på principiellt viktiga frågor, men så långt som möjligt lämnar detaljregleringen därhän. Lagstiftningen skall således styra användandet av ny teknik i allmän verksamhet, inte tvärtom, samtidigt som den rättsliga regleringen inte får tillåtas förhindra eller onödigtvis försvåra en välkommen effektivisering av olika verksamheter.
4.2. Skyddet för personlig integritet
De grundläggande bestämmelserna till skydd för den personliga integriteten finns i regeringsformen (RF). Redan i 1 kap. 2 § slås fast att det allmänna skall värna om den enskildes privatliv. Denna intention kommer till uttryck i stora delar av den lagstiftning som reglerar det allmännas handlande gentemot enskilda och även enskildas handlande gentemot varandra. Som exempel på sådan lagstiftning kan nämnas brottsbalken och sekretesslagen (1980:100). Av stor betydelse är även rätten för enskilda att enligt 2 kap. tryckfrihetsförordningen ta del av allmänna handlingar (handlingsoffentligheten). Härigenom garanteras enskilda insyn i och kontroll av den offentliga förvaltningen, vilket kan vara positivt från integritetssynpunkt. Offentligheten kan emellertid även innebära nackdelar från integritetssynpunkt, eftersom enskilda tvingas acceptera att uppgifter om dem kan vara åtkomliga för andra personer.
I 2 kap. 3 § RF finns en särskild bestämmelse som avser integritetsskyddet vid användandet av automatisk databehandling. Där sägs att varje medborgare, i den utsträckning som anges i lag, skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Den författning som tidigare har haft som främsta syfte att uppfylla regeringsformens intentioner i fråga om integritetsskydd i datoriserad verksamhet är datalagen (1973:289), vilken numera har ersatts av personuppgiftslagen
(1998:204). Särskilda integritetsskyddande bestämmelser om utlämnande av uppgifter ur dataregister finns även i sekretesslagen.
Det är inte möjligt att definiera exakt vad som avses med personlig integritet. Inte minst möter det svårigheter, eftersom uppfattningen om vad som är en rent personlig sfär varierar mellan olika personer. Dessutom förändras inställningen till integritet över tiden. Det kan också konstateras att varken svensk lagstiftning eller doktrin innehåller någon enhetlig definition. Flera försök att närmare utreda begreppet personlig integritet har dock gjorts i andra sammanhang där frågor om datoriseringen i samhället har varit aktuella. Som exempel kan nämnas Offentlighets- och sekretesslagstiftningskommittén i betänkandet Data och Integritet (SOU 1972:47), Datalagstiftningskommittén i betänkandet Personregister – Datorer – Integritet (SOU 1978:54) samt Data- och offentlighetskommittén i betänkandet Integritetsskyddet i informationssamhället (Ds Ju 1987:8). Av allt att döma finns det enighet om att vissa faktorer är särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras och varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar.
Oavsett hur man väljer att se på integritetsbegreppet, är det knappast vågat att påstå att stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg och som används vid myndighetsutövning, utgör en påtaglig risk för att enskilda personer skall utsättas för icke acceptabla intrång i den personliga sfären. Statliga myndigheters användande av datorer i verksamheten kan alltså i sig utgöra ett hot mot den personliga integriteten. Detta måste hela tiden beaktas vid utformandet av lagstiftningen på området.
Allmänna bestämmelser om integritetsskydd inom dataområdet finns, som nämns tidigare, i personuppgiftslagen. För olika verksamheter kan dock integritetsproblemen vara av skiftande art. Det går alltså inte generellt att lösa alla problem och fullt ut beakta alla frågeställningar genom att vända sig till personuppgiftslagens bestämmelser. De olika integritetsaspekter som är aktuella i samband med regleringen av användandet av datorer och dataregister inom skatteförvaltningen, exekutionsväsendet och hos Tullverket, är t.ex. vilka uppgifter som får registreras, vem som får ta del av dem och hur de får användas. I fråga om vem som får ta del av uppgifter intar omfattningen av myndigheters och andras direktåtkomst till elektroniskt lagrad information en särställning. Sådan åtkomst har under lång tid ansetts särskilt integritetskänslig. Detsamma har gällt samkörning av uppgifter från olika källor.
Vi kommer att behandla de olika integritetsaspekterna efterhand som vi redovisar vår inställning i de olika sakfrågorna, t.ex. gällande direktåtkomst. Redan nu bör dock slås fast att vi anser det viktigt att författningsreglering som bland annat syftar till att underlätta myndigheters användande av datorer för att uppnå effektivitetsvinster i olika samhällsfunktioner, inte får utformas på ett sådant sätt att integritetsskyddet för enskilda urholkas eller försämras på ett oacceptabelt sätt.
4.3. Behandling av personuppgifter och andra uppgifter i myndighetsverksamhet bör författningsregleras särskilt
Vårt förslag: All behandling av personuppgifter i verksamhet inom skatteförvaltningen, exekutionsväsendet och hos Tullverket skall författningsregleras särskilt. Behandling i administrativ verksamhet skall dock inte omfattas av lagstiftningen.
Regleringen skall omfatta behandling av såväl personuppgifter som uppgifter vilka kan hänföras endast till juridiska personer. Författningarna skall tillämpas på all automatiserad behandling av uppgifter. På manuell behandling skall författningarna tillämpas endast om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Personuppgifter skall få behandlas i enlighet med de grundläggande bestämmelser som finns i personuppgiftslagen. I varje författning görs en uttrycklig hänvisning till de bestämmelser i personuppgiftslagen som är tillämpliga. Eftersom särskilda krav ställs på behandling av personuppgifter inom olika verksamhetsområden, kommer varje författning att innehålla vissa uttryckliga bestämmelser som avviker från personuppgiftslagen.
I författningarna skall främst de grundläggande principerna för behandling av personuppgifter och andra uppgifter regleras. Detaljregler skall meddelas av regeringen eller den myndighet som regeringen bestämmer.
4.3.1. Personuppgiftslagen måste kompletteras
Olika myndigheters verksamheter ställer olika krav på de regelverk som sätter upp riktlinjer för verksamheternas bedrivande. Detta gäller även behandling av personuppgifter, och då främst automatiserad behandling. Personuppgiftslagen gäller generellt, vilket innebär att det för olika myndigheter kan behövas bestämmelser som avviker från vad som anges i den lagen. Det kan gälla i såväl skärpande riktning av integritetsskäl, som i mildrande riktning av effektivitetsskäl.
Avvägningen mellan integritet och effektivitet kan inte nödvändigtvis bedömas med samma måttstock för olika verksamheter. Som exempel kan nämnas skatteförvaltningen och exekutionsväsendet. Flera av de register som i dag förs av Riksskatteverket och skattemyndigheterna omfattar i stort sett hela Sveriges befolkning, medan kronofogdemyndigheternas register endast omfattar den del av befolkningen som av olika skäl har eller har haft betalningssvårigheter eller på annat sätt har kommit i kontakt med kronofogden. Eftersom redan omfattningen av uppgifter i ett datoriserat register påverkar bedömningen av integritetsfrågorna, kan det finnas anledning att på den grunden ha olika bestämmelser för olika verksamheter. Härutöver finns flera andra orsaker till att behoven av bestämmelser om behandling av personuppgifter varierar. Det är enligt vår mening därför nödvändigt att komplettera personuppgiftslagen med särskilt anpassade regelverk för olika verksamheter.
4.3.2. Så få författningar som möjligt
I förra avsnittet pekar vi på att olika verksamheter ställer olika krav på de regelverk som sätter upp riktlinjer för verksamheternas bedrivande. Det är naturligt att det i vissa avseenden behövs andra bestämmelser för behandling av personuppgifter inom skatteförvaltningen än inom exekutionsväsendet. Hos Tullverket behövs ytterligare andra regler. Det är dock inte så enkelt att reglera personuppgiftsbehandlingen inom en komplex myndighetsorganisation, att det med säkerhet är tillräckligt med en enda lag för skatteförvaltningen och en annan för exekutionsväsendet. Skattemyndigheterna arbetar med så vitt skilda företeelser som beskattning och folkbokföring. Även inom skatteförvaltningen finns det alltså anledning att ha olika bestämmelser i vissa avseenden. Detsamma gäller för exekutionsväsendet, som har att hantera frågor om såväl utsökning som betalningsföreläggande och konkurstillsyn. Verksamheten hos Tullverket är mer homogen, men icke desto mindre finns det områden som har olika behov och därför ställer olika krav på vilka regler som skall gälla för behandling av personuppgifter.
Vår målsättning är att antalet författningar som reglerar personuppgiftsbehandling skall begränsas så långt det är möjligt. Det finns nämligen inte något värde i att dela upp en och samma verksamhet på ett sådant sätt att det – vilket kan vara fallet i dag – finns ett stort antal författningar att ta hänsyn till utan att det är sakligt motiverat. Å andra sidan har vi som en utgångspunkt att bestämmelser om behandling av personuppgifter skall bli så enkla som möjligt. Om strävan efter att få ned antalet lagar och förordningar drivs för långt, kan detta senare mål riskera att bli eftersatt. En författning som består av ett antal huvudregler och ett betydligt större antal undantag – vilket kan bli fallet om alltför stora verksamhetsområden regleras gemensamt – underlättar inte tillgängligheten och är inte till gagn för någon. Antalet författningar bör alltså vara så litet som möjligt, samtidigt som reglerna skall vara lätta att förstå.
Av skäl som vi redovisar närmare i 8 kap. har vi stannat för en lösning som innebär att det för skatteförvaltningen skall finnas en lag som reglerar beskattningsverksamheten och en annan som reglerar folkbokföringsverksamheten. Den verksamhet som skatteförvaltningen bedriver tillsammans med bl.a. länsstyrelserna i samband med val och folkomröstningar är sådan att den motiverar en särskild lag. För exekutionsväsendet har vi däremot funnit att det finns förutsättningar för en mer enhetlig reglering av olika verksamhetsområden. På det området föreslår vi därför endast en lag. I fråga om Tullverket omfattar vårt uppdrag endast ett verksamhetsområde, nämligen det fiskala. Även för den verksamheten föreslår vi en lag.
4.3.3. Författningarnas allmänna tillämpningsområde
Personuppgiftslagen reglerar endast behandling av personuppgifter, dvs. uppgifter om fysiska personer som är i livet. För dataregister eller andra systematiserade uppgiftssamlingar som endast innehåller uppgifter om juridiska personer finns det alltså ingen motsvarande generell reglering av behandlingen. I flertalet av de verksamheter vi skall utreda måste uppgifter om såväl juridiska som fysiska personer behandlas. Det gäller t.ex. beskattnings-, utsöknings- och tullverksamhet. De registerförfattningar som reglerar dessa områden i dag – t.ex. skatteregisterlagen (1980:343), utsökningsregisterlagen (1986:617) och tullregisterlagen (1990:137) – omfattar registrering och användning av uppgifter om såväl juridiska som fysiska personer.
Vi har i den delen inte funnit anledning att göra några förändringar i förhållande till vad som gäller i dag. Vi föreslår alltså att de lagar som skall reglera behandlingen av personuppgifter i skatteförvaltningens,
exekutionsväsendets och Tullverkets verksamheter även skall tillämpas på behandling av andra uppgifter. Det gäller främst uppgifter om juridiska personer, men även uppgifter om avlidna fysiska personer skall omfattas av reglerna.
Personuppgiftslagen omfattar, liksom datalagen, behandling av personuppgifter som är helt eller delvis automatiserad. Till skillnad från datalagen gäller personuppgiftslagen även viss manuell behandling av personuppgifter. Ett krav är dock att den manuella behandlingen avser uppgifter som ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. I det avseendet anser vi att även speciallagstiftningen skall ha samma tillämpningsområde. Ett motsatt ställningstagande skulle innebära att behandling i strukturerade manuella uppgiftssamlingar hos exempelvis Tullverket endast skulle omfattas av personuppgiftslagen och inte av den för verksamheten särskilt anpassade lagstiftningen, något som det enligt vår bedömning inte finns sakliga skäl för. Däremot har vi inte funnit några integritetsskäl eller andra skäl för att låta manuella uppgiftssamlingar om juridiska personer omfattas av lagstiftningen.
Enligt vår bedömning bör de författningar som skall reglera behandling av personuppgifter i skatteförvaltningens, exekutionsväsendets och Tullverkets verksamheter inte omfatta den administrativa delen av myndigheternas verksamhet. Som exempel på administrativa arbetsområden kan nämnas personal- och lokalfrågor. Behandling av uppgifter som rör sådana frågor, t.ex. i löneregister, skall således inte omfattas av de av oss föreslagna författningarna. För sådan behandling gäller i stället personuppgiftslagen.
I vissa fall kan det dock vara tveksamt om en uppgift i ett datasystem är hänförlig till den materiella eller den administrativa verksamheten. Det är inte ovanligt att det i ett ärendehanteringssystem, tillsammans med uppgifter om parter och beslut m.m., finns uppgifter om vem som handlägger ett visst ärende och när denna person har semester samt till vilken enhet inom en myndighet som ett ärende hör. Det kan även förekomma uppgifter om t.ex. olika handläggares specialkunskaper. Sådana uppgifter används för att få till stånd en smidig handläggning av de ärenden som myndigheten har att hantera, t.ex. genom automatiserade lottningsförfaranden. Den typen av uppgifter är enligt vår uppfattning rent administrativa, dvs. de hänför sig till myndighetens verksamhet och inte till de enskilda som är föremål för myndighetens åtgärder. Behandlingen av sådana uppgifter berörs således inte av den av oss föreslagna lagstiftningen. Vissa uppgifter kan emellertid vara av administrativ karaktär, samtidigt som de utgör personuppgifter som används i den materiella verksamheten hos en myndighet. Som exempel kan
nämnas uppgift om i vilken vallokal en röstberättigad skall avge sin röst vid ett val. Uppgiften är av betydelse i den administrativa verksamheten, men den innehåller samtidigt en upplysning om den enskilde som kan hänföras till verksamheten. Sådana uppgifter skall enligt vår uppfattning omfattas av lagförslagen (se även avsnitt 6.3.4).
4.3.4. Förhållandet till personuppgiftslagen
Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter. Den kommer därför att gälla i skatteförvaltningens, exekutionsväsendets och Tullverkets verksamhet, om det inte finns avvikande bestämmelser i lag eller förordning. Som vi nämner i tidigare avsnitt behövs det avvikande bestämmelser i speciallagstiftningen för samtliga de verksamhetsområden som vi skall utreda. Det innebär att det i varje enskild lag kommer att finnas vissa uttryckliga bestämmelser som avviker från personuppgiftslagen. En annan fråga är hur man skall hantera de regler som generellt inte skall avvika från personuppgiftslagen. I de lagstiftningsärenden som, med anledning av dataskyddsdirektivets tillkomst, varit aktuella i fråga om behandling av personuppgifter har olika varianter förekommit.
Ett alternativ, som används i lagen (1998:620) om belastningsregister, är att i en speciallag över huvud taget inte nämna personuppgiftslagen. Det leder till att i den mån bestämmelserna i speciallagen avviker från personuppgiftslagen, gäller de avvikande bestämmelserna. I 2 § personuppgiftslagen anges nämligen att om det i annan lag eller förordning finns bestämmelser som avviker från den lagen, skall de bestämmelserna gälla. Frågor som inte alls omfattas av speciallagens bestämmelser kommer däremot med automatik att omfattas av personuppgiftslagen. För lagstiftaren är detta onekligen en praktisk lösning, eftersom sambandet mellan speciallagen och personuppgiftslagen – vilket kanske inte är alldeles enkelt att klarlägga – inte uttryckligen behöver regleras. Nackdelen med modellen är dock att lagtillämparen kan ha svårt att få en blick över vilka bestämmelser i personuppgiftslagen som är tillämpliga och i vilken omfattning det i speciallagen finns bestämmelser som kanske endast delvis avviker från personuppgiftslagens regler.
En variant av den nyss nämnda lösningen är att klart ange att speciallagen gäller utöver personuppgiftslagen. En sådan modell – som förekommer i ett flertal speciallagar, t.ex. polisdatalagen (1998:622) – är dock i praktiken inte skild från en modell där inget alls sägs, eftersom det redan av personuppgiftslagen framgår att så är fallet.
Skattekriminalregisterutredningen föreslog i sitt betänkande Integritet – Effektivitet – Skattebrott (SOU 1998:9) en lösning som gick ut på att de bestämmelser i personuppgiftslagen som skulle vara tillämpliga i en lag om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar, i flera fall skulle skrivas ut i klartext i den senare lagen. I vissa fall skulle i stället hänvisas till enskilda bestämmelser i personuppgiftslagen. Fördelen med en sådan lösning är att tilllämparen snabbt får klart för sig vilka bestämmelser som gäller utan att ens behöva gå till personuppgiftslagen, eller i vart fall vet var i den senare lagen han skall titta. En nackdel med att direkt skriva ut bestämmelser som finns i personuppgiftslagen är att man därigenom inför en onödig form av dubbelreglering, eftersom personuppgiftslagens bestämmelser ändå gäller om inget annat anges. Speciallagen kan även komma att bli omfattande till formatet. Modellen fick inte heller genomslag i det fortsatta lagstiftningsarbetet, även om flera remissinstanser i grunden var positiva till förslaget eftersom det ansågs bidra till överskådligheten. I stället tillämpades en modell motsvarande den i polisdatalagen. Regeringen motiverade det med att regleringen av förhållandet till personuppgiftslagen bör vara enhetlig i fråga om behandling av personuppgifter i brottsutredande verksamhet (prop. 1998/99:34 s. 31).
Vi gör bedömningen att det finns ett stort värde i att inte lämna lagtillämparen utan vägledning när det gäller tolkningen av vilka bestämmelser i personuppgiftslagen som är tillämpliga även inom de områden som regleras i speciallagarna. Vi föreslår därför att det inledningsvis i varje lag anges vilka paragrafer i personuppgiftslagen som skall tillämpas. Även om det innebär att det är nödvändigt för lagtillämparen att ha personuppgiftslagen till hands, undanröjs en hel del av det merarbete det innebär för denne att gå igenom lagarna parallellt och jämföra olika bestämmelser. Nämnas kan att liknande lösningar finns i flera andra lagar, t.ex. hänvisar förvaltningsprocesslagen (1971:291) i vissa fall till bestämmelser i rättegångsbalken. Den som skall tillämpa förvaltningsprocesslagen behöver därmed inte känna till eller ta reda på den exakta lydelsen av samtliga bestämmelser i rättegångsbalken, utan det är tillräckligt med de bestämmelser som förvaltningsprocesslagen hänvisar till. På motsvarande sätt kommer förhållandet att vara mellan de lagar som vi föreslår och personuppgiftslagen.
4.3.5. Detaljreglering bör inte göras i lag
Av de registerförfattningar som gäller i dag är flertalet förhållandevis detaljerade i fråga om främst vilka uppgifter som får finnas i ett register. Ett exempel på detta är skatteregisterlagen, vilken på grund av just den höga graden av detaljreglering, tillsammans med knytningen till skattelagstiftningen, har ändrats vid ett femtiotal tillfällen sedan införandet år 1980. Detta har lett till att lagen är såväl svåröverskådlig som svårtillämpad. Även om de övriga författningar som omfattas av vårt uppdrag inte är fullt så omfattande i sin detaljrikedom, kan det generellt sägas vara så att registerlagstiftningen av i dag är otymplig att hantera.
Vi anser att en lagreglering av behandling av personuppgifter i första hand bör ha till uppgift att slå fast grundläggande principer för att skydda enskildas integritet. I och med tillkomsten av dataskyddsdirektivet och införandet av personuppgiftslagen innebär det att det främst är ändamålsbestämmelserna som är av vikt. En grundläggande princip i dataskyddsdirektivet och personuppgiftslagen är nämligen att behandling av personuppgifter inte får vara oförenlig med de ändamål för vilka de har samlats in. Om de ändamål för vilka personuppgifter och andra uppgifter får användas är klart angivna och avgränsade i lag, går det enligt vår uppfattning att även utan närmare reglering av vilka uppgifter som får behandlas få till stånd en lagstiftning som ger tillräcklig garanti för att den personliga integriteten hos de registrerade personerna skyddas.
Att helt undvika reglering av vilka uppgifter som får registreras skulle dock kunna leda till oklarheter och svårigheter för de tillämpande myndigheterna. Vi anser därför att det i lag bör anges vilka kategorier av uppgifter som får behandlas, dvs. ramarna för vad som är tilllåtet. Det bör sedan ligga på regeringen, eller den myndighet som regeringen bestämmer, att närmare precisera vilka uppgifter myndigheterna får registrera. I de flesta fall torde enligt vår mening Riksskatteverket respektive Tullverket vara bäst lämpade att utföra denna skyldighet, eftersom de myndigheterna har bäst kännedom om den löpande verksamheten och därigenom snabbt kan avgöra om t.ex. förändringar i materiell lagstiftning har betydelse för vilka uppgifter som måste behandlas för att datasystemen skall kunna användas på avsett sätt. I och med att såväl behandlingsändamålen som de behandlingsbara uppgifternas art regleras i lag, föreligger det enligt vår uppfattning inte någon fara i integritetshänseende med en sådan ordning.
4.4. Databaser i stället för register
Vårt förslag: Det traditionella registerbegreppet skall inte förekomma i den grundläggande speciallagstiftningen om behandling av personuppgifter. I stället skall begreppet databas införas som en juridisk beteckning på vissa fastställda automatiserade uppgiftssamlingar som används gemensamt inom en verksamhet och för vilka särskilda handlingsregler gäller.
4.4.1. Registerbegreppet har kritiserats
Genom datalagens (1973:289) införande introducerades personregister som ett centralt begrepp i svensk datalagstiftning. Med personregister avses register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Den allmänt använda termen för ADB-baserade uppgiftssamlingar har sedan datalagens införande varit register. Ordet återfinns i snart sagt varje författning som reglerar myndigheters användande av automatisk databehandling i verksamheten. Som exempel kan nämnas några av de författningar som vi har haft i uppdrag att se över, nämligen skatteregisterlagen, utsökningsregisterlagen och tullregisterlagen.
Det traditionella registerbegreppet har vid flera tillfällen kritiserats. En orsak har varit att begreppet även har en teknisk anknytning och därför kan ha olika innebörd för olika yrkesgrupper. Vidare för det tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. Detta är inte längre ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. införas helt ostrukturerat och oorganiserat i olika filer i en dator, utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar osv. Det finns därför anledning att fundera över om inte registerbegreppet är föråldrat i vissa sammanhang och om det därför i modern lagstiftning bör utmönstras och eventuellt ersättas av något annat mer ändamålsenligt begrepp.
Frågan om en sådan nyordning har diskuterats vid ett flertal tillfällen tidigare. Som exempel kan nämnas Datalagsutredningen, vilken i flera betänkanden påtalade problemen med att använda det traditionella registerbegreppet i ADB-sammanhang; se Skärpt tillsyn – huvuddrag i en reformerad datalag (SOU 1990:61, s. 85 f. och 142 ff.), Vissa särskilda frågor beträffande integritetsskyddet på ADB-området (SOU 1991:62, s. 47 ff.) samt En ny datalag (SOU 1993:10 s. 108 ff.). Data-
lagsutredningen ansåg bl.a. att utvecklingen av datatekniken hade lett till nya företeelser som inte utan vidare kunde inordnas i de tekniska registerbegreppen, och att detta inneburit att begreppet register hade blivit föråldrat. Som alternativ till registerbegreppet föreslogs begreppet persondatamängd, vilket inte skulle förutsätta att de elektroniskt lagrade personuppgifterna var ordnade som i ett register eller en förteckning. Förslaget fick dock ett svalt mottagande av remissinstanserna, och det fick inte heller genomslag i lagstiftningen.
Även Datainspektionen har varit kritisk mot registerbegreppet. Inspektionen har bl.a. uttalat att utvecklingen på dataområdet – t.ex. övergången från stordatorbaserad teknik till användarstyrd datorhantering med praktiskt taget obegränsade tekniska möjligheter till terminalåtkomst och lokal bearbetning av centralt lagrad information – har revolutionerat informationsbehandlingen. Detsamma ansågs gälla för utvecklingen av kraftfulla smådatorer och sammankopplingen av stora och små datorer i väldiga nätverk (Datainspektionens årsbok 1988/89, s. 176). Slutsatsen som inspektionen drog av detta vara att nya media ställer traditionella begrepp om uppgiftslagring och uppgiftsåtervinning på huvudet.
Det behöver knappast tilläggas att den tekniska utvecklingen på informationsområdet har varit om möjligt än mer explosionsartad under 1990-talet. Inte minst har framväxten av Internet inneburit stora förändringar. Behovet av en översyn av traditionella begrepp i ADB-sammanhang, som t.ex. registerbegreppet, har följaktligen inte blivit mindre.
4.4.2. Det behövs ett särskilt begrepp för vissa automatiserade uppgiftssamlingar
I personuppgiftslagen används inte registerbegreppet. I stället talas det om behandling av personuppgifter. Det skulle enligt vår bedömning vara möjligt att även i specialförfattningar undvika begreppet register utan att ersätta det med något specifikt alternativ, dvs. endast tala om behandling av personuppgifter. Datalagskommittén uttalade dock i sitt betänkande Offentlighet – Integritet – Informationsteknik (SOU 1997:39, s. 340), att det faktum att begreppet register i dag förefaller mestadels skapa tillämpningsproblem, inte hindrar att det som är ett regelrätt datoriserat register också kallas för det. Denna fråga behandlades även bl.a. vid tillkomsten av polisdatalagen. Regeringen tog där upp kritiken mot registerbegreppet, men framhöll att det inte helt bör undvikas eftersom polisen måste ha tillgång till traditionella register för att kunna bedriva sin verksamhet och att det därför även i fortsättningen bör finnas
särskilda bestämmelser rörande upprättandet och förandet av sådana register (prop. 1997/98:97 s. 102).
Det kan konstateras att flera samlingar av personuppgifter i elektronisk form är att se som register i ordets mer egentliga bemärkelse, dvs. uppgifter förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord e.d. Det finns därför anledning att inte helt frångå registerbegreppet. Å andra sidan är begreppet, som nämnts i föregående avsnitt, inte alltid lämpligt. Inte minst gäller detta datasystem som innefattar elektronisk ärendehantering, där inkomna handlingar bildfångas och beslut upprättas med automatiserad behandling för att sedan lagras elektroniskt tillsammans med uppgiftssamlingar av mer registerartad karaktär. Att endast tala om behandling av personuppgifter kan emellertid i vissa fall föranleda att lagtexter tyngs och blir svårhanterliga, t.ex. när man inte avser behandling i allmänhet utan endast behandling i fastställda samlingar av uppgifter för vilka särskilda handlingsregler gäller. Som exempel kan nämnas att när en tjänsteman i dag inom skatteförvaltningen behandlar personuppgifter på elektronisk väg, kan det göras t.ex. med ordbehandling eller via terminal i ett skatteregister. För ordbehandlingen saknas särskilda handlingsregler medan skatteregisterlagens bestämmelser gäller för terminalbehandlingen. Hur skall det i en lag om behandling av personuppgifter uttryckas att man i motsvarande situationer avser att vissa bestämmelser endast skall gälla för den senare behandlingen och inte den tidigare, samtidigt som de reglerade uppgiftssamlingarna inte i egentlig bemärkelse är register?
Ett alternativ till registerbegreppet som har föreslagits i olika sammanhang är termen databas. Detta gjordes senast av Skattekriminalregisterutredningen i betänkandet Integritet – Effektivitet – Skattebrott (SOU 1998:9). Förslaget genomfördes emellertid inte, utan i det fortsatta lagstiftningsarbetet – och slutligen även i lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar – användes i stället registerbegreppet. Regeringen motiverade detta med att begreppet register används i polisdatalagen och att det är angeläget att det i lagstiftningen finns enhetliga begrepp inom samma område. Det ansågs därför inte då finnas tillräckliga skäl att införa ett nytt begrepp (prop. 1998/99:34 s. 33).
Vi anser att det finns behov av ett särskilt begrepp för att beskriva vissa uppgiftssamlingar som är föremål för automatiserad behandling. Eftersom registerbegreppet – enligt vår mening med rätta – har kritiserats i flera sammanhang, finns det anledning att ännu en gång överväga om inte begreppet databas är ett bättre alternativ.
4.4.3. Definitioner av begreppen register och databas
Vissa begrepp kan ha varierande betydelse beroende på om man intar rollen av en ur allmänheten eller av fackmannen. Detta gäller inte minst på IT-området där olika begrepp hela tiden tillkommer. För att få en bild av innebörden av de för oss relevanta begreppen register och databas, följer här en kort sammanställning hämtad från olika ordböcker, allmänna såväl som fackanknutna.
Exempel på definitioner av register:
Alfabetiskt eller systematiskt ordnad förteckning över personer, fakta e.d.;
ofta av mera officiellt slag. [Nationalencyklopedins ordbok]
Förteckning, lista. [Bonniers svenska ordbok]
Lista, innehållsförteckning i (bokstavs)ordning. [Svenska akademiens ord-
lista]
Samlad information, vare sig det sköts manuellt eller på dator, exempelvis
kundregister och folkbokföringsregister. Register kan även betyda något helt annat, nämligen de små utrymmen som en processor använder internt. [Nya dataordboken, Ulf Lingärde, 1997]
En lagringsenhet som har en begränsad kapacitet, t.ex. en bit eller en byte,
och som direkt kan hanteras av processorn. [IT & Data Lexikon, Jerker
Thorell och Liber utbildning AB, 1997]
Minne som har en bestämd kapacitet, t.ex. en bit, en bitgrupp eller ett
dataord, och som vanligen är avsett för en speciell uppgift.
[Dataordboken, Standardiseringskommissionen i Sverige, 1984]
Exempel på definitioner av databas:
Större samling uppgifter som finns lagrade på systematiskt sätt i
datamaskin så att enskilda uppgifter snabbt kan återfinnas, t.ex. genom sökning per kategori (bet.nyans: om själva lagringsmetoden, programmen etc., utan hänsyn till innehållet: databassystem). [Nationalencyklopedins
ordbok]
Dataregister, samling av uppgifter lagrade i dator. [Bonniers svenska ord-
bok]
(Databas) med dataregister. [Svenska akademiens ordlista]
Ett intelligent dataregistersystem med eget frågespråk, rapportgenerator
eller andra verktyg. Databaser brukar indelas i relationsdatabaser samt de nu nästan försvunna hierarkiska databaserna och nätverksdatabaser. [Nya
dataordboken]
En systematisk samling av datafiler som kan läsas, samköras, bearbetas
och åter lagras. [IT & Data Lexikon]
Mängd av data som består av åtminstone en fil och som är tillräcklig för ett visst ändamål eller för ett visst databehandlingssystem. En databas kan utgöra del av en annan mängd data. [Dataordboken]
Av sammanställningen kan den slutsatsen dras att det inte finns någon enhetlig och allmängiltig definition av något av begreppen. Register kan dock närmast definieras som en systematisk sammanställning som kan vara antingen manuell eller teknikberoende, samtidigt som begreppet kan ha andra specifikt fackliga betydelser. Om databas kan sägas att ordet som sådant, både allmänt och fackligt, anknyter direkt till användandet av datorer. Det synes alltså inte finnas någon direkt användning av begreppet databas i samband med manuella sammanställningar av uppgifter.
4.4.4. Databasbegreppet underlättar en teknikoberoende lagstiftning
Det finns ingen klar allmän definition av begreppen register och databas. Vad som dock kan konstateras är att databas rent språkligt har mer naturlig anknytning till automatiserade sammanställningar av uppgifter. Redan detta är ett argument för att den termen är att föredra framför det traditionella registerbegreppet. Det bör emellertid påpekas att begreppet register kan ha sin naturliga plats i lagstiftningen, t.ex. i lagen (1998:621) om misstankeregister, lagen (1968:620) om belastningsregister samt lagen (1998:543) om hälsodataregister. Dessa lagar reglerar nämligen register i en mer traditionell mening. I våra lagförslag däremot avses med begreppet databas något annat än egentliga register. En databas består av en uppgiftssamling av varierande slag, ofta rörande såväl juridiska som fysiska personer. Den innehåller regelmässigt ett antal egentliga register, men också uppgifter som inte alls kan inordnas i ett traditionellt register, såsom elektroniska handlingar i ett ärendehanteringssystem.
En av våra målsättningar har varit att skapa ett regelverk som är mer teknikoberoende än de registerförfattningar som finns i dag. Detta kan göras genom att begreppet databas ges innebörden av en samling uppgifter som med hjälp av automatiserad behandling används gemensamt inom en verksamhet. Av redovisningen nedan kommer att framgå att detta skulle innebära att ett nytt sätt att se på automatiserad hantering av uppgifter införs i lagstiftningen. Med utgångspunkt i vår grundläggande syn på vikten av teknikoberoende lagstiftning är registerbegreppet enligt vår uppfattning inte lämpligt, dels på grund av den mer allmängiltiga betydelsen av begreppet (se föregående avsnitt), dels på grund av att en
ny begreppsbildning kan underlätta förståelsen för en förändrad rättslig ordning.
En definition av begreppet databas som den nyss angivna skulle utesluta manuella register och samtidigt göra det möjligt att särskilja tillfälliga behandlingar av personuppgifter i en dator från behandlingar i databaser som är särskilt reglerade till sitt innehåll och användning (se om detta i avsnitt 6.1). Definitionen har även den fördelen att den inte tekniskt avgränsar hur en samling uppgifter är uppbyggd eller organiserad. Det innebär att om flera register – i egentlig bemärkelse – är sammanlänkande och samtliga uppgifter i de olika registren på ett gemensamt sätt är tillgängliga för sökning med automatiserad behandling inom en avgränsad verksamhet, så utgör dessa register en databas. Med andra ord skulle automatiserade register kunna sägas vara en specialform av databaser, nämligen databaser vars innehåll är systematiserade på ett visst sätt enligt särskilda kriterier. En databas kan således innehålla flera mindre databaser, varav en del kan vara regelrätta register. Översatt till skatteförvaltningens verksamhet skulle detta kunna innebära att en beskattningsdatabas består av ett eller flera skatteregister, taxeringsuppgiftsregister och fastighetstaxeringsregister m.m. Regleringen av en beskattningsdatabas skulle alltså inte innehålla bestämmelser om indelningen av uppgifterna i databasen. Om samtliga uppgifter finns samlade i en enda server på Riksskatteverket och är tillgängliga för olika myndigheter enligt vissa kriterier (behörighetskoder o.d.) eller om uppgifterna delas upp så att de rent tekniskt förvaras i olika servrar – och i form av flera register – hos de regionala skattemyndigheterna, saknar alltså betydelse. Det väsentliga är att uppgifterna inom skatteförvaltningen är gemensamt tillgängliga för beskattningsverksamheten.
De ovan redovisade tankegångarna har som utgångspunkt att en lag om behandling av personuppgifter inte skall reglera hur uppgifterna tekniskt organiseras, utan endast utgöra en ram för vilka uppgifter som får behandlas och på vilket sätt de får användas för att bl.a. säkerställa ett gott integritetsskydd. Detta innebär att regleringen av en beskattningsdatabas kan innehålla bestämmelser om behandling av samtliga de uppgifter som i dag finns i olika register inom ett visst verksamhetsområde, utan att för den sakens skull reglera hur uppgifterna skall organiseras eller delas in i grupper. Om det, för att återigen anknyta till skatteförvaltningens verksamhet, i en lag anges att en beskattningsdatabas får innehålla samtliga uppgifter som i dag finns i olika register (skatteregister, fastighetstaxeringsregister, punktskatteregister, projektregister osv.), så tar man därigenom inte ställning till den tekniska utformningen. Det kan alltså i princip bli fråga om ett fåtal stora centrala eller regionala register eller flera små lokalt anordnade register. Det
väsentliga är att de krav lagen ställer på behandlingen för att säkerställa enskildas integritet kan efterlevas.
4.4.5. Det kan fortfarande finnas utrymme för registerbegreppet
Som framgår ovan anser vi att databas, inom det område som omfattas av vårt uppdrag, är ett lämpligt begrepp för en rättsligt avgränsad samling uppgifter som behandlas gemensamt på automatiserad väg inom en viss verksamhet. Vår tanke är att en lag om behandling av personuppgifter skall reglera just behandlingen och inget annat, och då i huvudsak de övergripande principer som bör gälla. Om uppgifter i automatiserade samlingar är uppdelade i flera lokala register – som ofta är fallet enligt registerförfattningarna i dag – eller om de finns i ett fåtal större register, är inte direkt en fråga om behandling av uppgifterna och sådana bestämmelser bör alltså inte finnas i den övergripande lagstiftningen.
Det kan dock finnas skäl – såväl sakliga som pedagogiska – för att närmare definiera och avgränsa de olika uppgifterna i en databas. Regeringen bör därför ges möjlighet att föreskriva om hur en databas skall vara indelad. Som exempel kan nämnas folkbokföringsverksamheten. I en förordning skulle regeringen kunna föreskriva att samtliga uppgifter som får finnas i en folkbokföringsdatabas skall fördelas på och finnas i lokala register, motsvarande vad som gäller i dag. Regeringen skulle vidare kunna föreskriva att vissa av uppgifterna i databasen skall finnas i ett centralt register och att de uppgifter som får lämnas ut för t.ex. aviseringsändamål skall finnas i ett centralt aviseringsregister. Organisatoriskt (och tekniskt) får man då samma system med register som i dag, med den skillnaden att alla grundläggande frågor om behandlingen, dvs. ändamål, personuppgiftsansvar, direktåtkomst och gallring m.m. regleras för sig. Härigenom kan den organisatoriska eller tekniska indelningen förändras utan att den grundläggande lagstiftningen för den sakens skull behöver ändras. Det kan även finnas anledning att för vissa uppgifter i en databas ha särregler för t.ex. gallring och utlämnande. Det kan därför finnas skäl att rättsligt – och möjligen tekniskt – avgränsa vissa register på ett sådant sätt att de är klart urskiljbar inom databasen. En sådan indelning av en databas i olika register kan underlätta vid utformandet av gallringsbestämmelser och utlämnandebestämmelser m.m. Lagen blir alltså härigenom teknik- och organisationsoberoende, samtidigt som en uppdelning i olika register kan behållas i de fall det anses motiverat.
Som vi nämner i avsnitt 4.4.2 är dock register enligt vår uppfattning över huvud taget inte ett lämpligt begrepp för omfattande automatiserade uppgiftssamlingar som innehåller elektroniska handlingar i ett ärende-
hanteringssystem. Begreppet register bör i stället förbehållas sådana automatiserade uppgiftssamlingar som faktiskt utgör register i en mer strikt betydelse, nämligen när uppgifterna är organiserade på ett systematiskt sätt enligt fastställda kriterier.
5. Allmänna bestämmelser om behandling av personuppgifter
Som vi redovisar i inledningen till 4 kap. har samtliga våra förslag till författningar som skall reglera behandlingen av personuppgifter och andra uppgifter inom skatteförvaltningen, exekutionsväsendet och Tullverket en likartad struktur. I ett inledande kapitel i författningarna har vi valt att samla allmänt tillämpliga bestämmelser. Därefter följer ett kapitel som innehåller de bestämmelser som reglerar behandling för gemensamma syften inom ett verksamhetsområde, dvs. behandling av uppgifter i databaser. Varje författningsförslag avslutas med ett kapitel som innehåller bestämmelser om enskildas rättigheter gentemot personuppgiftsansvariga myndigheter. Redovisningen av våra överväganden avseende författningsförslagen följer en likartad ordning. Således behandlar vi i detta kapitel de allmänt tillämpliga bestämmelserna.
5.1. Olika former av uppgiftsbehandling
De av oss föreslagna författningarna, som skall reglera behandling av personuppgifter och andra uppgifter inom skatteförvaltningen, exekutionsväsendet och Tullverket, omfattar all helt eller delvis automatiserad behandling samt sådan manuell behandling där personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (se avsnitt 4.3.3). I det avseendet skiljer sig tillämpningsområdet för våra författningsförslag inte från tillämpningsområdet för personuppgiftslagen (1998:204).
Författningsförslagen har däremot ingen motsvarighet i gällande rätt såvitt avser regleringen av automatiserad behandling av uppgifter i databaser. I stället för att reglera viss automatiserad behandling av personuppgifter och andra uppgifter inom en verksamhet i ett flertal olika register, vilket ofta är fallet i dag, har vi valt att samordna bestämmelserna genom att reglera huvuddelen av den automatiserade behandlingen i en eller ett fåtal gemensamma databaser (se avsnitt 4.4). Det innebär att våra författningsförslag kan sägas omfatta tre olika former
av uppgiftsbehandling, nämligen manuell behandling, automatiserad behandling i databaser samt annan automatiserad behandling.
I fråga om avgränsningen mellan manuell och automatiserad behandling har vi ingen annan avsikt än att samma principer skall gälla för våra författningsförslag som för personuppgiftslagen. Våra överväganden avseende gränsdragningen mellan automatiserad behandling i databaser och annan automatiserad behandling redovisar vi i avsnitt 6.1, i samband med en ingående redogörelse för vad som avses med databaser och vilken behandling som omfattas av den särskilda regleringen av databaserna.
Vi anser att samtliga bestämmelser om behandling av personuppgifter och andra uppgifter inom en viss verksamhet bör inordnas i en enda lag, oberoende av om behandlingen är manuell eller automatiserad och oavsett om den görs inom den rättsliga ramen för en databas eller inte. De bestämmelser som enligt våra förslag kommer att omfatta all behandling inom en viss verksamhet är de som reglerar lagens förhållande till personuppgiftslagen (1998:204) samt personuppgiftsansvaret. Därutöver föreslår vi bestämmelser om känsliga personuppgifter m.m. och gallring, som skall gälla all behandling utom sådan som sker inom den rättsliga regleringen för databaser. För behandling av känsliga personuppgifter och gallring av uppgifter i databaser, föreslår vi särskilda bestämmelser (se avsnitt 6.3.3 och 6.8).
5.2. Allmänt tillämpliga bestämmelser
5.2.1. Allmänna bestämmelser i personuppgiftslagen
Vårt föreslag: Vissa bestämmelser i personuppgiftslagen skall vara direkt tillämpliga på all behandling enligt specialförfattningarna. Det gäller bestämmelser om:
- definitioner
- förhållandet till offentlighetsprincipen m.m.
- grundläggande krav på behandling
- behandling av personnummer
- säkerheten vid behandling
- överföring av personuppgifter till tredje land
- personuppgiftsombudets uppgifter
- tillsynsmyndighetens befogenheter m.m.
- straff
En väsentlig fråga för speciallagstiftning som reglerar behandling av personuppgifter, är i vilken omfattning personuppgiftslagens bestämmelser skall vara direkt tillämpliga och i vilken mån avvikande regler skall gälla. Vi har valt att uttryckligt reglera endast de bestämmelser som avviker från personuppgiftslagen och att i övrigt endast hänvisa till de lagrum i den senare lagen som skall vara tillämpliga även inom de olika verksamheter vi har i uppdrag att se över. Redovisningen nedan omfattar inte de tillämpliga bestämmelser i personuppgiftslagen som direkt rör enskildas rättigheter (information, rättelse och skadestånd). De bestämmelserna återkommer vi till i 7 kap. Innehållet i bestämmelserna i personuppgiftslagen har vi kortfattat redogjort för i avsnitt 2.4. Bestämmelserna kommenteras utförligt i bl.a. förarbetena till personuppgiftslagen (prop. 1997/98:44 och Datalagskommitténs betänkande SOU 1997:39). Det kan emellertid finnas anledning att kort redovisa varför vi anser att bestämmelserna bör tillämpas och vilken specifik betydelse de kan få i den av oss föreslagna lagstiftningen.
Definitioner (3 §)
Vi har inte funnit någon anledning att i den av oss föreslagna lagstiftningen definiera där förekommande begrepp på något annat sätt än i 3 § personuppgiftslagen. Tvärtom är det för att undvika missförstånd viktigt att de begrepp som används i de olika författningarna har samma innebörd. Det bör dock anmärkas att personuppgiftsansvaret regleras särskilt i de föreslagna specialförfattningarna.
Förhållandet till offentlighetsprincipen m.m. (8 §)
Bestämmelsen i 8 § första stycket personuppgiftslagen är en ren upplysning och markering om offentlighetsprincipens företräde. I andra stycket finns dock en materiell regel som anger att 9 § fjärde stycket personuppgiftslagen – där det ställs upp begränsningar i rätten att använda sig av personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål för att vidta åtgärder i fråga om den registrerade – inte skall tillämpas i fråga om myndigheters användning av personuppgifter i allmänna handlingar. Det undantaget skall gälla även inom de verksamhetsområden som omfattas av vårt uppdrag.
Grundläggande krav på behandlingen av personuppgifter (9 §)
En av de väsentligaste bestämmelserna i fråga om behandling av personuppgifter finns i 9 § personuppgiftslagen och avser vilka grundläggande krav som ställs på en personuppgiftsansvarig. Dessa krav bör naturligtvis tillämpas även vid behandling av personuppgifter inom särskilt reglerad myndighetsverksamhet. Genom de särskilda gallringsregler som föreslås i specialförfattningarna sätts dock bestämmelserna i 9 § första stycket i) och tredje stycket om hur länge uppgifter får bevaras ur spel.
Behandling av personnummer (22 §)
Enligt 22 § personuppgiftslagen får personnummer behandlas endast efter samtycke från den registrerade eller om det är klart motiverat med hänsyn till behandlingens ändamål, vikten av säker identifiering eller något annat beaktansvärt skäl. För behandling inom skatteförvaltningen, exekutionsväsendet och Tullverket torde det av rättssäkerhetsskäl ofta vara så att personnummer behöver användas för att eliminera risken för fel i handläggningen av ärenden.
Vid den särskilt reglerade behandling som sker i databaser är det i de flesta fall nödvändigt att generellt använda personnummer för att kunna säkra identifieringen av en registrerad. För sådan behandling anges därför uttryckligt i lagstiftningen att uppgifter om en persons identitet, t.ex. personnummer, får användas. Hänvisningen till personuppgiftslagens bestämmelse får därför praktisk tillämpning endast i fråga om behandling som inte sker i databaser. Även i de fallen torde det dock ofta vara motiverat att använda personnummer för att säkerställa de berörda parternas identitet. Personnummer bör emellertid inte användas slentrianmässigt när risk inte föreligger för förväxling mellan personer eller när andra beaktansvärda skäl saknas.
Säkerheten vid behandling (30-32 §§)
I 30–32 §§personuppgiftslagen finns vissa regler om hur den personuppgiftsansvarige skall organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Det rör sig som instruktioner till personalen samt tekniska och organisatoriska åtgärder. Dessa bestämmelser skall vara tillämpliga inom de här aktuella verksamhetsområdena, vilket innebär att Riksskatteverket, Tullverket och de regionala myndigheterna (se avsnitt 5.2.2 om personuppgiftsansvaret) måste se till att det finns rutiner för hanteringen av personuppgifter. Detta är inte minst viktigt i fråga om behandling av uppgifter i databaserna, där det
exempelvis kan behövas såväl tekniska lösningar för datasystemen som olika behörighetsnivåer för personalkategorier, för att garantera att den av oss föreslagna lagstiftningen kan efterföljas.
Överföring av personuppgifter till tredje land (33–35 §§)
Personuppgifter som är under behandling får enligt 33 § personuppgiftslagen inte föras över till tredje land. Från förbudet finns vissa undantag i 34 §, bl.a. för överföring till länder som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Den 17 juni 1999 överlämnade regeringen en remiss till lagrådet vari det föreslås att förbudet i personuppgiftslagen mot överföring av personuppgifter till tredje land skall ändras. Överföring till ett land som inte ingår i EU eller är anslutet till EES skall inte längre vara förbjuden om det tredje landet har en ”adekvat nivå” för skyddet av personuppgifter. Lagändringen föreslås träda i kraft den 1 december 1999. Enligt 35 § personuppgiftslagen kan regeringen, och i vissa fall den myndighet som regeringen bestämmer, meddela föreskrifter om undantag från förbudet i 33 §. Regeringen har också i personuppgiftsförordningen (1998:1191) gett Datainspektionen möjlighet att meddela föreskrifter om undantag i vissa fall.
Vi anser att såväl förbudet mot överföring till tredje land som de undantag från förbudet som föreskrivs skall vara tillämpliga på behandling enligt den av oss föreslagna lagstiftningen. Av betydelse för de myndigheter som omfattas av vårt uppdrag är vad som anges i dataskyddsdirektivet i fråga om överföring av personuppgifter till tredje land av skäl som rör viktiga allmänna intressen. I artikel 25 anges att medlemsstaterna inte får tillåta överföringar till tredje land som inte har en adekvat skyddsnivå. Från denna regel finns emellertid flera undantag. I artikel 26.1 d anges att medlemsstaterna skall föreskriva att överföring får ske om det är nödvändigt eller bindande enligt författning av skäl som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk. I direktivets ingresspunkt 58 anges avseende bl.a. det undantaget att överföring skall kunna medges när skyddet av väsentliga samhällsintressen kräver det, till exempel vid internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter.
Att 33-35 §§personuppgiftslagen görs tillämpliga på behandling enligt de av oss föreslagna författningarna, förhindrar således inte att uppgifter i exempelvis en databas lämnas ut till tredje land när det behövs för fullgörande av en förpliktelse som följer av en internationell överenskommelse som Sverige har tillträtt.
Personuppgiftsombudets uppgifter m.m. (38–41 §§)
Automatiserade behandlingar av personuppgifter skall enligt 36 § personuppgiftslagen anmälas till tillsynsmyndigheten (Datainspektionen). Anmälan behöver dock enligt 3 § personuppgiftsförordningen inte göras för behandlingar som regleras genom särskilda föreskrifter i lag eller förordning. Det finns enligt vår mening inte någon anledning att ställa krav på anmälningsskyldighet för behandlingar som utförs med stöd av den av oss föreslagna lagstiftningen. Den personuppgiftsansvarige har enligt 36 § personuppgiftslagen även möjlighet att utse ett personuppgiftsombud. Vår bedömning är att det bör åligga den personuppgiftsansvarige att ta ställning till frågan om ett personuppgiftsombud skall inrättas hos myndigheten eller inte. Om ett sådant ombud utses, skall bestämmelserna i 38–40 §§personuppgiftslagen om ombudets skyldigheter tillämpas.
Regeringen har enligt 41 § personuppgiftslagen möjlighet att föreskriva att vissa särskilt känsliga behandlingar skall anmälas till Datainspektionen för förhandskontroll oavsett om det finns ett personuppgiftsombud eller inte. Denna möjlighet bör regeringen enligt vår mening ha även i fråga om sådana behandlingar som regleras i den av oss föreslagna lagstiftningen.
Tillsynsmyndighetens befogenheter (43 och 47 §§)
För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen vissa befogenheter gentemot personuppgiftsansvariga. Vi anser att den möjlighet som inspektionen har enligt 43 § personuppgiftslagen att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler bör finnas även när den personuppgiftsansvarige är en myndighet. Däremot är det inte möjligt för Datainspektionen att vid vite förbjuda en personuppgiftsansvarig statlig myndighet att behandla personuppgifter, eftersom vite som sanktionsmedel enligt allmänna rättsgrundsatser inte bör användas mellan statliga myndigheter. Hänvisning behöver därför inte göras till bestämmelserna om vite i 44 och 46 §§personuppgiftslagen. Inte heller finner vi det nödvändigt att i specialförfattningarna hänvisa till 45 §, vari anges att Datainspektionen om den konstaterar att personuppgifter behandlas felaktigt skall försöka åstadkomma rättelse genom påpekanden e.d. Det torde vara självklart att Datainspektionen vidtar de åtgärder som är rimliga för att få till stånd rättelse när brister i myndigheternas hantering upptäcks.
Enligt 47 § personuppgiftslagen har Datainspektionen rätt att hos allmän förvaltningsdomstol ansöka om att sådana uppgifter som har
behandlats på ett olagligt sätt skall utplånas. Bestämmelsen har sin grund i dataskyddsdirektivets artikel 28.3, där det anges att varje nationell tillsynsmyndighet skall ha särskild befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Vi kan inte se att det i den av oss föreslagna lagstiftningen finns utrymme för att underlåta att uppfylla direktivets krav i den delen. Därför bör 47 § personuppgiftslagen vara tilllämplig även vid behandling enligt vår lagstiftning.
Straff (49 §)
Personuppgiftslagens bestämmelser om straffansvar bör omfatta även den myndighetsverksamhet som omfattas av vårt uppdrag. Bestämmelserna bör vara tillämpliga även när personuppgifter behandlas med stöd av den av oss föreslagna speciallagstiftningen.
5.2.2. Personuppgiftsansvar
Vårt förslag: En myndighet skall vara personuppgiftsansvarig för den behandling som ankommer på myndigheten att utföra.
Personuppgiftsansvarig är enligt 3 § personuppgiftslagen den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter. För att undvika oklarheter vid författningsreglerad behandling av personuppgifter i myndighetsverksamhet bör placeringen av personuppgiftsansvaret regleras uttryckligt i specialförfattningarna.
De myndigheter som kan bli aktuella som personuppgiftsansvariga vid behandling i de för oss aktuella verksamheterna är Riksskatteverket och Tullverket, de regionala skatte- och kronofogdemyndigheterna samt länsstyrelserna. Tullverket utgör numera en enda myndighet, varför några problem med fördelning av personuppgiftsansvaret inte uppstår i tullverksamheten. Det är däremot inte möjligt att för ett komplext system för databehandling inom sådana myndighetsorganisationer som skatteförvaltningen och exekutionsväsendet, i lag närmare bestämma vilken myndighet som bör vara ansvarig för olika specifika behandlingar. Vi anser i stället att det är lämpligt att för dessa myndighetsorganisationer utforma regleringen så att den myndighet på vilken det ankommer att utföra en viss behandling skall vara ansvarig för just den behandlingen.
Genom att personuppgiftsansvaret omfattar vad som ankommer på en myndighet att utföra, markeras att det finns ett ansvar inte endast för att utförd behandling är korrekt, utan även för att behandling faktiskt utförs när den skall ske.
För behandling av personuppgifter som inte sker under de särskilt reglerade former som gäller för databaser, t.ex. ordbehandling, kommer den myndighet hos vilken behandlingen görs att vara personuppgiftsansvarig. Några problem med att peka ut rätt myndighet torde inte uppstå i de fallen. När det gäller behandling i en databas kan situationen komma att bli mer komplicerad. Vår avsikt är som sagt att den enskilda behandlingen skall vara avgörande för personuppgiftsansvarets placering. Följden av en sådan bestämmelse blir att den myndighet som avgör om en viss uppgift skall föras in i databasen, kommer att vara ansvarig för att den lagrade uppgiften är korrekt. Detta är nödvändigt eftersom i princip endast den myndigheten har möjlighet att garantera uppgiftens riktighet. För den fortsatta behandlingen av uppgiften kan dock andra myndigheter bli ansvariga, eftersom varje myndighet ansvarar för sin behandling. Om exempelvis en registrerad uppgift skulle komma att lämnas ut av en annan myndighet än den som har registrerat uppgiften, skall den utlämnande myndigheten vara ansvarig för den behandling som utgörs av själva utlämnandet.
I mer övergripande frågor, t.ex. om sådant som ansvar för att nödvändiga tekniska eller organisatoriska säkerhetsåtgärder vidtas, måste personuppgiftsansvarets fördelning grundas på vilka myndigheter som har befogenhet och skyldighet att utföra dessa åtgärder. Inom skatteförvaltningen och exekutionsväsendet kan detta till stor del antas bli en fråga för Riksskatteverket, men det avgörande måste vara hur organisationen är uppbyggd och hur olika arbetsuppgifter är fördelade.
I praktiken torde det inte behöva uppstå några problem i fråga om vem som är personuppgiftsansvarig för olika behandlingar. En förutsättning är dock att det går att fastställa vilka myndigheter som har behandlat en viss uppgift och hur uppgiften har behandlats. Detta är i huvudsak en fråga om hur systemen utformas tekniskt.
En viktig del av personuppgiftsansvaret är skyldigheten att på begäran av enskilda tillhandahålla information om vilka uppgifter som behandlas rörande dem samt skyldigheten att rätta, blockera eller utplåna uppgifter som har behandlats felaktigt. Vi återkommer till dessa frågor i 7 kap.
En fråga som knyter an till personuppgiftsansvaret är arkivansvaret enligt arkivlagen (1990:782). Enligt huvudregeln i 3 § arkivlagen har en myndighet arkivansvar för de allmänna handlingar som finns hos myndigheten (se avsnitt 2.6.1). För elektronisk information gäller emellertid en specialregel. Upptagningar för automatisk databehandling som är
tillgängliga för flera myndigheter, och som därigenom utgör allmänna handlingar, skall bilda arkiv endast hos en av dessa myndigheter, i första hand den myndighet som svarar för huvuddelen av upptagningen. Syftet med undantaget är att upptagningar som är tillgängliga för flera myndigheter inte skall behöva arkiveras av samtliga dessa myndigheter, utan endast av den huvudansvariga myndigheten.
Som vi har nämnt ovan kan personuppgiftsansvaret för en och samma uppgift i en databas ligga hos flera myndigheter beroende på hur och i vilka sammanhang uppgifterna används. En sådan ordning är inte lämplig i fråga om arkivansvaret. Vår inställning är att arkivansvaret för en viss uppgift i en databas skall ligga hos den myndighet som är ansvarig för att uppgiften förs in i databasen. Att en annan myndighet senare behandlar uppgiften, t.ex. genom utlämnande, och därigenom blir personuppgiftsansvarig för just den behandlingen, innebär inte att den myndigheten även blir arkivansvarig. En sådan ordning överensstämmer med myndigheters skyldighet enligt sekretesslagen att registrera allmänna handlingar som utgörs av upptagningar för automatisk databehandling. Av 15 kap.1 och 13 §§sekretesslagen framgår att allmänna handlingar som kommer in eller upprättas hos en myndighet skall registreras utan dröjsmål. Om en upptagning för automatisk databehandling förs in i ett dataregister som är tillgängligt för flera myndigheter, är dock endast den myndighet som gör införingen skyldig att registrera den.
Den myndighet som enligt sekretesslagen är skyldig att registrera en upptagning för automatisk databehandling, är således även ansvarig för att arkivlagens bestämmelser uppfylls. I princip innebär detta även att den myndighet som är ansvarig för att uppgifter är korrekta, dvs. skyldig att vidta rättelse enligt personuppgiftslagen, också har ansvaret för att upptagningen tas om hand enligt arkivlagen.
5.3. Bestämmelser om behandling som inte sker i databaser
5.3.1. Behandling av känsliga personuppgifter m.m.
Vårt förslag: Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skall få behandlas endast om uppgifterna har lämnats i eller är nödvändiga för handläggningen av ett ärende.
Enligt 13 § personuppgiftslagen gäller ett principiellt förbud mot behandling av känsliga personuppgifter. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Från förbudet att behandla sådana uppgifter görs sedan undantag för vissa situationer – t.ex. då den enskilde har samtyckt till behandlingen – som inte är tillämpliga på de för oss aktuella verksamheterna. Genom 21 § personuppgiftslagen begränsas även rätten att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Sådana uppgifter får behandlas endast av myndigheter. I fortsättningen av detta avsnitt avser vi med begreppet känsliga personuppgifter för enkelhetens skull även uppgifter om lagöverträdelser m.m.
I de verksamheter som omfattas av vårt uppdrag torde det sällan komma i fråga att behandla känsliga personuppgifter, och vi har därför av integritetsskäl övervägt förbud för sådan behandling. I vissa situationer finns det dock anledning att tillåta behandling av känsliga uppgifter i handläggningen av ärenden. En enskild kan exempelvis i ett skatteärende om förseningsavgift ange sjukdom som skäl för att deklaration inte har lämnats i tid. En sådan uppgift måste rimligen kunna behandlas på automatiserad väg i ärendet, även då behandling inte sker i den för databaser särskilt reglerade formen (se avsnitt 6.1 om gränsdragningen mellan behandling i databaser och annan automatiserad behandling). Det vore orimligt att begära att tjänsteanteckningar efter telefonsamtal inte skulle få nedtecknas med hjälp av ordbehandling. Detsamma gäller när känsliga uppgifter är avgörande för utgången av ett ärende. I föredragningspromemorior, beslutskoncept och liknande måste sådana uppgifter få finnas, även om handlingarna upprättas med hjälp av ordbehandling. Detsamma gäller för manuellt upprättade handlingar, vilka kan komma att omfattas av våra författningsförslag.
Att i detalj reglera vilka uppgifter som får antecknas och i vilka fall detta får ske, är inte möjligt. Det går nämligen inte att förutse de olika situationer som kan uppstå i hanteringen av ärenden. Vi anser dock att det är nödvändigt av integritetsskäl att i största möjliga mån begränsa användningen av känsliga personuppgifter. Det bör därför vara tillåtet att behandla sådana uppgifter endast om de har lämnats i ett ärende eller om det är nödvändigt för handläggningen av ett ärende. Det innebär att användandet av känsliga uppgifter begränsas till sådana tillfällen då myndigheten i det närmaste inte har något val, utan måste behandla dem.
För behandling i databaser skall särskilda bestämmelser gälla, vilket vi återkommer till i avsnitt 6.3.3.
5.3.2. Bevarande och gallring av uppgifter
Vårt förslag: Uppgifter som är föremål för automatiserad behandling i ett ärende skall gallras senast ett år efter att ärendet har avslutats, medan andra uppgifter skall gallras i enlighet med bestämmelserna i arkivlagen (1990:782).
Regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om att uppgifter skall gallras vid en annan tidpunkt eller att uppgifter skall bevaras.
Hur länge personuppgifter får bevaras regleras allmänt i personuppgiftslagen som ett grundläggande krav på behandling av personuppgifter. I 9 § första stycket i) personuppgiftslagen anges att den personuppgiftsansvarige skall se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. I fråga om personuppgifter som behandlas i myndighetsverksamhet tillämpas i första hand bestämmelserna i arkivlagen. I de registerförfattningar som i dag gäller för statlig verksamhet finns regelmässigt även särskilda gallringsbestämmelser för uppgifter i personregister. Detsamma är fallet för uppgifter i personregister som förs med stöd av tillstånd från Datainspektionen.
För sådan behandling av personuppgifter inom skatteförvaltningen, exekutionsväsendet och Tullverket som enligt våra förslag skall regleras särskilt genom bestämmelser för behandling i databaser, är det av bl.a. integritetsskäl ofta nödvändigt att i specialförfattningarna reglera gallringsfrågor. Vi har dock haft att ta ställning till frågan om det utöver den allmänna regleringen i arkivlagen och personuppgiftslagen även behövs särskilda bestämmelser om bevarande och gallring för sådan behandling som inte utförs i databaser. Särskilt viktigt har vi bedömt detta vara i fråga om uppgifter som behandlas på automatiserad väg (se avsnitt 6.1 om gränsdragningen mellan behandling i databaser och annan automatiserad behandling). För personuppgifter som behandlas manuellt och som omfattas av den föreslagna lagstiftningen anser vi att de allmänna bestämmelserna i arkivlagen är tillräckliga för att säkerställa ett gott integritetsskydd. För uppgifter som behandlas på automatiserad väg kan dock svårare integritetsfrågor förväntas uppkomma.
Med den moderna teknik som används i myndighetsverksamheten i dag, är det vanligt att stora mängder uppgifter lagras elektroniskt även på annat sätt än i reglerade personregister eller databaser. En stor del av det skriftliga material som produceras av myndigheter utarbetas numera i datorer med hjälp av ordbehandlingsprogram. Även i de fall då
slutprodukten skrivs ut på papper och tillfogas akten i ett ärende, sparas informationen vanligtvis under viss tid genom att lagras elektroniskt. På detta sätt kan det på ganska kort tid växa fram omfattande informationsmängder hos en myndighet, information som dessutom ofta är lätt tillgänglig genom olika typer av sökprogram. Med den legaldefinition av databasbegreppet som vi föreslår (se avsnitt 6.1) kommer dessa informationsmängder i vissa fall inte att omfattas av de bestämmelser som gäller för databaser.
Vi bedömer att det i allmänhet saknas starka skäl för att en myndighet på elektronisk väg skall tillåtas bevara sådan information, utan att några åtgärder vidtas. Vi föreslår därför generellt att uppgifter som är föremål för automatiserad behandling i ett ärende – utan att behandlingen görs i en databas – skall gallras senast ett år efter att ärendet har avslutats. Bestämmelsen innebär att information inte får lagras under längre tid än ett år utan att på ett konkret sätt användas i verksamheten. Det skall med andra ord inte vara tillåtet att under lång tid i elektronisk form lagra information som kan vara ”bra att ha” i framtiden. Om däremot åtgärder vidtas inom ett år genom att informationen tillförs ett annat, pågående, ärende eller om ett nytt ärende öppnas med anledning av informationen, får den dock bevaras även efter ettårsfristen som en del av det nya ärendet. Detsamma blir fallet om uppgifterna registreras i en databas enligt de särskilda bestämmelserna därom. Att uppgifterna skall gallras innebär att de kan föras över på papper, varefter den elektroniska informationen raderas. De uppgifter som finns kvar endast på papper omfattas då inte längre av den ettåriga gallringstiden som vi föreslår skall gälla för automatiserad behandling av uppgifter.
En särskild fråga i detta sammanhang är hur man skall förfara med automatiserad behandling av uppgifter i samband med revision eller andra kontrollåtgärder i beskattnings- och tullverksamhet. Vi återkommer till den frågan i avsnitt 9.2.
Det kan finnas anledning att för vissa uppgifter tillämpa en annan tidpunkt för gallring. Vissa uppgifter av känslig karaktär kan det av integritetsskäl vara lämpligt att gallra vid en tidigare tidpunkt, medan andra mindre känsliga uppgifter kan behöva lagras under en längre tid för att inte onödiga effektivitetsförluster skall uppstå i verksamheten. Det bör enligt vår uppfattning åligga regeringen eller Riksarkivet att meddela föreskrifter om undantag från den annars gällande ettårsregeln.
För vissa verksamheter bedömer vi att det av olika skäl inte är nödvändigt att ha särskilda bestämmelser om gallring över huvud taget. En förutsättning är att det inte föreligger någon nämnvärd risk för otillbörliga integritetsintrång. För verksamheten med val och folkomröstningar föreslår vi således inga sådana bestämmelser, utan inom den verksamheten skall arkivlagens bestämmelser tillämpas. När det gäller
folkbokföringsverksamheten tillämpas i dag, och till dess frågan om folklängder är löst, arkivlagens bestämmelser. Vi föreslår inte någon ändring i det avseendet.
6. Behandling i databaser
Vi redogör i 5 kap. för vilka bestämmelser som vi anser skall gälla generellt för behandling av personuppgifter och andra uppgifter i skatteförvaltningens, exekutionsväsendets och Tullverkets verksamheter. I detta kapitel redovisar vi vår inställning till sådan automatiserad behandling av uppgifter som utförs för gemensamma ändamål inom ett verksamhetsområde, dvs. behandling i databaser. Från integritetssynpunkt är det viktigt att stora uppgiftssamlingar som hanteras av myndigheter och som ger möjligheter till sammanställningar av en rad olika uppgifter om enskilda personer, omgärdas av särskilda skyddsregler. För behandling av uppgifter i databaser bör därför särskilda bestämmelser gälla på en rad punkter. Det är fråga om vilka uppgifter som får behandlas, vilken åtkomst myndigheter och andra skall ha till uppgifterna samt vilka regler som skall gälla för bevarande och gallring. Dessutom finns det särskild anledning att titta närmare på vad som bör gälla vid behandling av personuppgifter och andra uppgifter i datoriserade ärendehanteringssystem, eftersom sådana system kan komma att innehålla stora mängder uppgifter av varierande slag i form av handlingar som kommer in till myndigheter från enskilda och beslutshandlingar m.m. som upprättas av myndigheter.
6.1. Vad är en databas?
Vårt förslag: I en myndighets eller en myndighetsorganisations verksamhet skall det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för vissa angivna ändamål (databas).
6.1.1. Databaser för automatiserad behandling
I dag används i stor omfattning datorer hos myndigheter. Det gäller allt från enkel ordbehandling till sofistikerade ärendehanteringssystem som i det närmaste innebär en papperslös hantering av ärenden. Det före-
kommer även att beslut fattas automatiskt i ett datasystem utan direkt mänsklig inblandning. Flera myndigheter – däribland de som omfattas av vårt uppdrag – har tillgång till datorbaserade personregister som används som informationsdatabaser vid handläggning av ärenden och i vissa fall som lagringsenheter för beslut och andra upprättade eller inkomna handlingar. En väsentlig skillnad mellan databehandling i personregister och vanlig ordbehandling, är att registren utnyttjas gemensamt i verksamheten inom en myndighet eller myndighetsorganisation. Medan ordbehandling kan sägas vara ett hjälpmedel för en handläggare, eller andra vid en myndighet, i själva upprättandet av handlingar – närmast en avancerad skrivmaskinsfunktion – utgör personregistren ett allmänt hjälpmedel vid handläggningen av ärenden m.m. genom att det underlättar framtagandet av underlag för olika beslut.
Enligt vår mening måste det för skatteförvaltningen, exekutionsväsendet och Tullverket finnas särskilda regelverk för sådan automatiserad behandling av personuppgifter som inte utgörs av ordbehandling och som inte är av helt tillfällig natur. De stora gemensamma uppgiftssamlingar hos myndigheter som dagens personregister och ärendehanteringssystem utgör, innebär på grund av de tekniska möjligheterna att söka i materialet och göra sammanställningar om registrerade personer en påtaglig risk för otillbörliga intrång i enskildas personliga integritet. Den risken blir än större i de fall myndigheter sambearbetar egna uppgifter med uppgifter från andra myndigheter. Från integritetssynpunkt finns det därför enligt vår mening starka skäl för att skapa tydliga regler om vad som är tillåtet i fråga om sådan behandling.
I och med genomförandet av dataskyddsdirektivet i svensk lagstiftning har begreppsapparaten vid ADB-hantering ändrats. I den grundläggande skyddslagstiftningen, personuppgiftslagen (1998:204), talas det inte längre om förande av personregister, utan om behandling av personuppgifter. För att särskilja den rättsliga regleringen av sådan automatiserad behandling som i dag görs i uppgiftssamlingar för gemensamt bruk, dvs. personregister och ärendehanteringssystem, från den automatiserade behandlingen av uppgifter i allmänhet, t.ex. ordbehandling, har vi valt att införa begreppet databas i lagstiftningen (se avsnitt 4.4). Avgörande för vilka gallringsfrister som gäller och i vilken omfattning känsliga personuppgifter får behandlas m.m., bör vara om uppgifter behandlas i en databas eller inte.
I teorin skulle en databas för en viss verksamhet kunna delas in i två underdatabaser. Databaser, som vi ser dem, kan nämligen sägas bestå av dels en eller flera samlingar av enskilda kortfattade uppgifter som används för att få fram underlag till beslut i verksamheten (informationsdatabaser), dels handlingar som kommer in eller upprättas i ett ärende och som bearbetas och lagras i ett ärendehanteringssystem (ären-
dedatabaser). Traditionellt har personregister i praktiken utgjorts av egentliga informationsdatabaser, men i och med framväxten av avancerade ärendehanteringssystem har även ärendedatabaser inordnats i lagstiftningen om personregister, t.ex. i skatteregisterlagen. Vi är tveksamma till en sådan utveckling, vilket är en av orsakerna till vårt förslag att införa begreppet databas i lagstiftningen. Vi har emellertid inte funnit anledning att i den av oss föreslagna lagstiftningen göra någon begreppsmässig åtskillnad mellan olika funktioner i en databas. Däremot finns det enligt vår mening skäl för att i vissa delar ha olika regler för de olika funktionerna. Det gäller frågor om vilka uppgifter som får registreras samt i vilken omfattning direktåtkomst skall tillåtas till uppgifterna, vilket vi utvecklar skälen för i avsnitt 6.4 och 6.7.
Sammanfattningsvis måste det enligt vår mening för skatteförvaltningen, exekutionsväsendet och Tullverket finnas särskilda regler för sådan automatiserad behandling av personuppgifter som inte utgörs av ordbehandling och som inte är av helt tillfällig natur. Av integritetsskäl bör det skapas tydliga regler om vad som är tillåtet vid sådan behandling.
6.1.2. Gemensam användning av uppgifter
För att begreppet databas skall vara praktiskt användbart på vissa särreglerade uppgiftssamlingar hos en myndighet eller inom en myndighetsorganisation, krävs att det är möjligt att avgöra var gränslinjen går mellan behandling i en databas och annan behandling, t.ex. ordbehandling. En grundläggande förutsättning för att en elektroniskt lagrad uppgift skall anses ingå i en databas, är enligt vår mening att uppgiften av myndigheten eller myndighetsorganisationen används gemensamt i en viss verksamhet för de ändamål som styr behandlingen av uppgifter inom verksamheten. Det väsentliga är inte på vilket sätt uppgiften tekniskt lagras, utan den faktiskt åsyftade tillgängligheten. Det avgörande för om en uppgift används gemensamt av en myndighet eller en myndighetsorganisation och därmed utgör en beståndsdel i en databas, är således om den behandlas på ett sätt som medför att den utgör ”allmän egendom” i verksamheten. Att olika personalkategorier har olika behörighet och att vissa uppgifter därför i praktiken är åtkomliga endast för ett begränsat antal personer hos olika myndigheter inom en myndighetsorganisation, förtar enligt vår uppfattning i sig inte uppgifternas egenskap som gemensamma. Detsamma gäller om vissa uppgifter görs åtkomliga endast för handläggare inom en regional myndighet.
En uppgift som registreras och lagras i ett datasystem på ett sådant sätt att tjänstemännen inom en eller flera myndigheter har möjlighet att
vid behov och i olika sammanhang – t.ex. i samband med handläggningen av ett ärende – ta del av uppgiften direkt på automatiserad väg måste således anses gemensamt tillgänglig och därmed utgörande en del av en databas. Detta är vad som gäller i dag för de uppgifter som lagras inom ramen för olika författningsreglerade personregister hos skatteförvaltningen, exekutionsväsendet och Tullverket. Som exempel kan nämnas att uppgifter om en persons identitet eller taxerade inkomst för ett visst år kan återfinnas av tjänstemän genom sökning i ett skatteregister enligt skatteregisterlagen (1980:343) och användas som underlag vid handläggningen av ett taxeringsärende.
En uppgift som lagras elektroniskt på hårddisken i en dator eller i en server hos en myndighet i samband med att en tjänsteman arbetar med ordbehandling, och som normalt är åtkomlig endast för tjänstemannen själv och exempelvis systemadministratören vid myndigheten, kan däremot inte anses vara gemensamt tillgänglig. Syftet med sådan tillfällig behandling är inte att uppgifterna som lagras i datorn skall användas av andra än den som utför behandlingen. Det förhållandet att systemadministratören – eller en annan tjänsteman vid myndigheten eller inom myndighetsorganisationen – kan få åtkomst till uppgiften genom ett visst tekniskt förfarande, kan inte anses innebära att uppgiften som sådan är lagrad för att användas gemensamt i verksamheten. Inte heller innebär det förhållandet att en uppgift behandlas tillfälligt i en dator med det uttalade syftet att den senare skall ”matas in” i systemet och göras gemensam, att den är en del av databasen. Däremot kommer uppgiften att omfattas av det särskilda regelverket för en databas när den väl är registrerad i det gemensamma systemet. Ett exempel på en sådan situation kan vara att vissa ekonomiska uppgifter avseende en person behandlas i ett särskilt program med syfte att få fram ett resultat i ett ärende, t.ex. personens sammanlagda inkomst. När resultatet har uppnåtts registreras beloppet enligt ett fastställt förfarande som en ”fältuppgift” i det gemensamma datasystemet och blir därmed en del av databasen, medan de uppgifter som legat till grund för beräkningarna raderas eller lagras elektronisk på annat sätt, t.ex. som ett enskilt dokument i myndighetens server.
I de flesta fall ser vi inga problem med att bedöma om en uppgift behandlas gemensamt eller inte. I princip görs samma gränsdragning redan i dag när det skall avgöras om en uppgift ingår i ett visst författningsreglerat personregister eller inte. En tjänsteman på en skattemyndighet kan utan problem avgöra om han för tillfället arbetar med uppgifter direkt i ett skatteregister enligt skatteregisterlagen eller om han arbetar med uppgifter i ett ordbehandlingsdokument. Det kan förväntas, och ställas krav på, att datasystemen inom en myndighetsorganisation konstrueras på ett sådant sätt att några tvivel om huruvida en viss
uppgift ingår i en databas inte uppstår i samband med att den förs in. Den personuppgiftsansvarige har naturligtvis också ett stort ansvar för att gränsdragningsproblem inte uppstår på grund av brister i den tekniska utformningen av ett datasystem.
Det kan emellertid förekomma situationer där gränsdragningen mellan behandling i databaser och annan behandling inte är helt självklar, nämligen när en uppgift inte ingår i ett för myndigheten eller myndighetsorganisationen gemensamt nätverk men ändå är tillgänglig för flera tjänstemän vid en eller flera myndigheter. Som exempel kan tas situationen att en arbetsgrupp inom skatteförvaltningen – bestående av ett antal tjänstemän vid en eller flera regionala myndigheter – samarbetar för att kontrollera eller revidera företag som ingår i ett regionöverskridande projekt. Att en sådan arbetsgrupp behandlar uppgifter som är internt åtkomliga endast inom arbetsgruppen, t.ex. genom ett särskilt nätverk, medför inte att uppgifterna kan anses ingå i databasen för beskattningsverksamheten. När en arbetsgrupp är avgränsad på ett sådant sätt att det kan förutses att endast ett begränsat antal personer kan ta del av de uppgifter som behandlas och att detta sker för ett bestämt och begränsat syfte, kan uppgifterna enligt vår mening inte anses gemensamt använda inom skatteförvaltningen. Om uppgifterna däremot behandlas i ett för förvaltningen gemensamt nätverk och åtkomsten till uppgifterna inte är begränsad till arbetsgruppen utan andra tjänstemän kan ta del av dem i olika syften, måste behandlingen anses ske inom den rättsliga ramen för databasen.
När uppgifter som är införda i ett datasystem och gemensamt tillgängliga i en viss verksamhet, dvs. ingår i en databas, sambearbetas med varandra i det gemensamma systemet, skall behandlingen göras i enlighet med det för databasen gällande regelverket. Som exempel kan nämnas att en myndighet i ett urvalsförfarande gör sammanställningar av personer genom att i ett sökprogram som används i det gemensamma systemet ge variabler som utgörs av uppgifter införda i databasen, t.ex. ålder, inkomst och fastighetsinnehav. Framtagandet av en sådan sammanställning utgör en eller flera behandlingar i databasen och de särskilda bestämmelserna som gäller för sådan behandling skall därför tillämpas.
Om däremot uppgifter som är införda i en databas sambearbetas med externa uppgifter – dvs. uppgifter som inte är registrerade i databasen – genom att de hämtas från databasen och därefter, utanför det gemensamma systemet, behandlas tillsammans med de externa uppgifterna, skall i stället de allmänna bestämmelserna om behandling av personuppgifter i myndighetens verksamhet tillämpas. En sådan situation kan uppstå när en myndighet på plats i ett kontrollärende vill jämföra eller på andra sätt bearbeta uppgifter som har hämtats in i kontroll-
ärendet mot uppgifter som tidigare har lämnats och förts in i en databas. Uppgifter som ingår i databasen kan då i förväg kopieras från det gemensamma datasystemet till en dator som används av en enskild tjänsteman och därefter behandlas tillsammans med de externa uppgifterna (se mer om detta i avsnitt 9.2 om taxeringsrevisioner m.m.). Situationen kan jämföras med att uppgifter i en databas lämnas ut på medium för automatiserad behandling till en utomstående myndighet och därefter behandlas i den senares verksamhet. Även i en sådan situation kommer andra bestämmelser att gälla när uppgifterna ”lämnar” databasen. Det skulle emellertid strida mot den föreslagna lagstiftningen att kopiera delar av en databas och göra behandlingar vid sidan av det gemensamma datasystemet, endast för att på det sättet kringgå bestämmelser som gäller för behandling av uppgifter i databasen.
Det är inte möjligt att i lagstiftningen dra någon exakt gräns för när en viss behandling skall anses ske i en databas och därmed omfattas av det särskilda regelverket för denna. Inte minst beror detta på att det inte är möjligt att förutse den tekniska utvecklingen inom dataområdet och de möjligheter som kan öppna sig i fråga om informationsöverföring. I nuläget kan det dock förväntas att den behandling som kommer att utföras inom ramen för en databas, motsvarar den behandling som i dag görs inom ramen för de författningar – och flertalet tillstånd från Datainspektionen – som reglerar personregister hos olika myndigheter.
Sammanfattningsvis är det enligt vår mening en grundläggande förutsättning för att elektroniskt lagrade uppgifter skall anses ingå i en databas, att uppgifterna av myndigheten eller myndighetsorganisationen används gemensamt i en viss verksamhet för de ändamål som skall styra behandlingen av uppgifter inom verksamheten.
6.1.3. Koncept och minnesanteckningar m.m.
Enligt 2 kap. 3 § tryckfrihetsförordningen (TF) är en handling allmän när den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten. Handlingar i form av upptagningar som kan uppfattas endast med hjälp av tekniskt hjälpmedel, t.ex. elektroniskt lagrade uppgifter, anses förvarade hos en myndighet om upptagningarna är tillgängliga för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att de kan läsas eller på annat sätt uppfattas. Enligt 2 kap. 6 och 7 §§ TF är en handling upprättad hos en myndighet när den har expedierats av myndigheten, medan den – i fråga om tekniska upptagningar – anses inkommen till en myndighet när den har gjorts tillgänglig där på ett sådant sätt att den kan anses förvarad av myndigheten.
Innebörden av nämnda bestämmelser är att upptagningar som görs gemensamt tillgängliga för flera myndigheter i ett datasystem anses utgöra allmänna handlingar hos myndigheterna. Det spelar i det avseendet ingen roll om upptagningarna utgör en del av ett beslutskoncept eller minnesanteckningar. Om ett beslutskoncept görs gemensamt tillgängligt för flera myndigheter, utgör det alltså enbart av den anledningen en allmän handling. Att hantera elektroniska uppgifter på ett sådant sätt skulle inte ligga i linje med myndigheternas generella skyldighet att upprätthålla en god offentlighetsstruktur bland sina handlingar. Med god offentlighetsstruktur avses grovt förenklat bl.a. att allmänna handlingar skall kunna särskiljas från arbetsmaterial och att offentliga handlingar skall kunna särskiljas från sådana som kan bli föremål för sekretess (Data- och offentlighetskommittén har diskuterat innebörden av begreppet ingående i betänkandet Integritetsskyddet i informationssamhället 5, SOU 1988:64 s. 224 ff.). Det gemensamma och effektiva användandet av datasystem får därför inte sträckas så långt att beslutskoncept eller andra handlingar som inte fått sin slutliga utformning görs gemensamt tillgängliga. Detsamma gäller naturligtvis även för arbetsmaterial, minnesanteckningar o.d., som i många fall inte alls bör göras allmänna utan rensas innan handlingarna i ett ärende tas om hand för arkivering.
6.2. Ändamålen med behandlingen
Vårt förslag: Klara och tydliga ändamål för behandling av personuppgifter och andra uppgifter i databaser skall anges i lag. Uppgifter skall få behandlas endast för de angivna ändamålen.
6.2.1. Behovet av klara ändamål
Bestämmelser om för vilka ändamål uppgifter i statliga personregister får användas intar en central roll i dagens registerförfattningar. Det är genom att ange ändamålen och reglera vilka uppgifter som får registreras, som ramen för hanteringen av personregister sätts upp. Betydelsen av klara ändamålsbestämmelser har inte minskat genom dataskyddsdirektivets tillkomst. Tvärtom är ett av de viktigaste inslagen i direktivet att personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål samt att uppgifterna senare inte får behandlas för något ändamål som är oförenligt med de för vilka uppgifterna
samlades in (artikel 6.1a). Uppgifterna i en databas måste alltså behandlas i enlighet med de för databasen angivna ändamålen.
En följd av detta är att helt nya förutsättningar gäller för s.k. samkörningar, som har ansetts särskilt integritetskänsliga. I datalagen (1973:289) uppställdes krav för inrättande och förande av ett personregister som skulle innehålla personuppgifter som inhämtats från ett annat personregister. Sådan samkörning av register krävde Datainspektionens tillstånd om inte registreringen eller utlämnandet av uppgifterna gjordes med stöd av författning, Datainspektionens beslut eller den registrerades medgivande. Innebörden av den ovan nämnda artikeln i dataskyddsdirektivet är att samkörning mellan olika register – eller mer korrekt sambearbetning av uppgifter från olika register eller databaser – anses utgöra en form av behandling vilken rättsligt inte skiljer sig från annan behandling. I direktivet tas inte någon direkt hänsyn till de särskilda integritetsproblem som är förknippade med behandling i form av sambearbetning mellan olika uppgiftsdatabaser. Under förutsättning att insamlandet, utlämnandet och den senare behandlingen av uppgifterna står i överensstämmelse med ändamålen för registren eller databaserna, föreligger inga hinder för sådan sambearbetning. Det krävs således inte något särskilt författningsstöd eller tillstånd för att uppgifter i en databas skall kunna sambearbetas med uppgifter i en annan databas. Denna nya situation ställer särskilt höga krav på att ändamålsbestämmelserna i de lagar som reglerar behandling av personuppgifter i myndighetsverksamhet är utformade på ett sådant sätt att det klart framgår för vilka syften uppgifter får behandlas.
6.2.2. Primära och sekundära ändamål
Vid en närmare analys av ändamålen med de olika personregister som omfattas av vårt uppdrag, kan konstateras att ändamålen kan indelas i två kategorier. Den första kategorin utgörs av ändamål som är direkt anpassade till den verksamhet som bedrivs av registeransvariga myndigheter. Som exempel kan nämnas att ett av de angivna ändamålen i skatteregisterlagen är taxering enligt taxeringslagen (1990:324), vilket naturligtvis är en grundläggande del av beskattningsverksamheten. Vi kallar detta primära ändamål. Den andra kategorin består av ändamål som kan hänföras till andra myndigheters eller enskildas verksamhet. För att återigen ta skatteregisterlagen som exempel, så anges där att skatteregister får användas för utredningar i kronofogdemyndigheternas exekutiva verksamhet. Detta kallar vi sekundära ändamål.
De primära ändamålen bör enligt vår mening styra vilka uppgifter som skall få föras in i en databas. För att en uppgift skall få finnas i en
myndighets databas, måste uppgiften med andra ord vara av betydelse i myndighetens egen verksamhet. En myndighet skall inte kunna registrera olika kategorier av uppgifter endast av det skälet att uppgifterna eventuellt kan vara till nytta i något sammanhang, utan behovet av varje typ av uppgift som registreras måste kunna konstateras. Däremot kan det naturligtvis inte ställas krav på att en myndighet i förväg skall kunna bedöma om varje enskild uppgift rörande en viss person kommer att användas i verksamheten. En följd av att de primära ändamålen enligt vår uppfattning skall vara styrande för vilka uppgifter som får behandlas i en databas, är att det inte bör vara tillåtet att i en databas som inrättas för exempelvis skattemyndigheternas beskattningsverksamhet behandla uppgifter som inte behövs i den verksamheten, utan som endast är till nytta för t.ex. kronofogdemyndigheterna i deras exekutiva verksamhet. En ytterligare följd av att det är de primära ändamålen som styr vilka uppgifter som får behandlas, är att en uppgifts riktighet bör bedömas med de primära ändamålen som utgångspunkt, något som är av betydelse när fråga uppstår om en uppgift som behandlas i en databas skall rättas (se vidare i avsnitt 7.2.2). Principen bör således vara att behovet av uppgifter i den egna verksamheten skall vara avgörande för innehållet i en myndighets databas. Härigenom förhindras att det hos en myndighet växer fram omfattande samlingar av uppgifter som rör helt skiftande förhållanden utan anknytning till den egentliga verksamheten.
Vid tillkomsten av dagens registerförfattningar har tillämpats en princip som innebär att andra myndigheter än de för vilkas räkning ett personregister förs inte får ha direktåtkomst till registret, om inte de ändamål för vilka den utomstående myndigheten skall använda uppgifterna anges i den författning som reglerar personregistret. Som exempel kan återigen nämnas skatteregisterlagen, där det som stöd för att kronofogdemyndigheterna får ha direktåtkomst till uppgifter anges som ett ändamål att skatteregister får användas för utredningar i kronofogdemyndigheternas exekutiva verksamhet. Vi ansluter oss helt till uppfattningen att det är väsentligt från integritetssynpunkt att direktåtkomst inte förekommer till en databas utan att det av den lag som reglerar databasen klart framgår av ändamålen att ett sådant utlämnande inte strider mot syftet med lagen (se mer om detta i avsnitt 6.7).
Från denna grundläggande princip gör vi emellertid undantag för två särskilda former av direktåtkomst. Det gäller i första hand möjligheten för regeringen att meddela föreskrifter om direktåtkomst för enskilda till uppgifter om sig själva. Denna möjlighet föreslår vi skall finnas för samtliga databaser som omfattas av våra lagförslag (se avsnitt 6.7.5). För beskattningsdatabasen samt val- och folkomröstningsdatabasen föreslår vi dessutom att regeringen skall ha möjlighet att meddela föreskrifter om allmän direktåtkomst till vissa uppgifter av allmänt intresse (se
avsnitt 8.1.4 och 8.3.4). Gemensamt för dessa båda former av direktåtkomst är att det inte är möjligt att slå fast särskilda och konkreta ändamål för vilka uppgifterna får lämnas ut. Vi anser emellertid att direktåtkomst i dessa fall bör kunna accepteras utan att det står i uttrycklig överensstämmelse med ändamålen för respektive databas. Anledningen är, i fråga om uppgifter som enskilda tar del av om sig själva, att det finns ett direkt samtycke till utlämnandet i och med att de enskilda själva avgör om de skall ta del av uppgifterna. Det föreligger därför enligt vår uppfattning inte någon fara från integritetssynpunkt att lämna ut uppgifterna. En förutsättning för att allmän direktåtkomst till vissa uppgifter skall få förekomma är enligt vår bestämda uppfattning att det rör sig om uppgifter av allmänt intresse och att uppgifterna inte är känsliga från integritetssynpunkt. Under nämnda förutsättningar bör även i de fallen uppgifter kunna lämnas ut genom direktåtkomst trots att det inte uttryckligen framgår av ändamålen med databaserna.
Sekundära ändamål bör enligt vår mening även komma till uttryck i lagstiftningen i de fall det går att förutse att innehållet i en databas kommer att regelmässigt användas av andra myndigheter eller i annan författningsreglerad verksamhet, även om det inte sker genom direktåtkomst. En uppräkning av sekundära ändamål som inte avser utlämnande med hjälp av direktåtkomst kan inte bli uttömmande, eftersom det inte är möjligt att förutse samtliga de situationer då uppgifter med stöd av exempelvis sekretesslagen kan komma att lämnas ut till myndigheter eller andra för olika ändamål. I de fall då utlämnande kan komma att ske från en databas i enlighet med särskilt författningsstöd eller då det är möjligt att förutsäga att uppgifter kommer att lämnas ut i större omfattning, är vi av den uppfattningen att det från upplysningssynpunkt finns skäl att markera dessa användningsområden genom de sekundära ändamålen.
6.3. Vilka uppgifter får behandlas i en databas?
Vårt förslag: Det skall finnas uttryckliga bestämmelser om för vilka personer uppgifter får behandlas i en databas och vilka kategorier av uppgifter som får förekomma om dessa personer. En uppgift skall få behandlas endast om uppgiften behövs i den verksamhet för vilken databasen inrättas.
Det skall särskilt anges under vilka förutsättningar känsliga personuppgifter och uppgifter om lagöverträdelser m.m. får behandlas i en databas.
6.3.1. Personer om vilka uppgifter får behandlas
Personuppgifter definieras i personuppgiftslagen som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Förutom personuppgifter kan det i en databas förekomma uppgifter som är hänförliga till juridiska personer eller avlidna fysiska personer. Gemensamt för i stort sett samtliga uppgifter är alltså att de kan hänföras till någon eller några personer som på något sätt är eller har varit föremål för åtgärder från en myndighets sida eller som av andra skäl omfattas av myndighetens verksamhet. Vad som gäller för uppgifter av rent teknisk eller administrativ karaktär återkommer vi till i avsnitt 6.3.4.
Med hänsyn till att ett av de främsta syftena med lagstiftning om behandling av personuppgifter är att skydda mot otillbörliga intrång i den personliga integriteten, måste enskilda direkt i lagstiftningen kunna få en överblick av om de finns eller kan finnas registrerade hos en viss myndighet. Enligt vår mening bör det därför direkt i lag slås fast för vilka personer det över huvud taget kan bli aktuellt med behandling av personuppgifter eller andra uppgifter. En ordning där det endast anges vilka uppgifter som får behandlas utan att personkretsen uttryckligen pekas ut – något som är vanligt i dagens registerförfattningar – innebär nämligen att enskilda inte på ett enkelt sätt kan få en uppfattning av om de kan vara registrerade, utan de måste sluta sig till detta genom att konstatera vilka olika uppgifter som behandlas. En sådan ordning blir än mer olämplig i lagstiftning där det inte direkt av lagen går att utläsa närmare vilka uppgifter som får behandlas om en person (se avsnitt 6.3.2). Även om det inte på samma sätt går att åberopa integritetsskäl för det, bör enligt vår mening den för behandling aktuella personkretsen anges även i de fall då den registrerade är en juridisk person.
6.3.2. Uppgifter som får behandlas
I avsnitt 4.3.5 diskuterar vi frågan om detaljreglering av vilka uppgifter som får behandlas på automatiserad väg hos myndigheter. Vi redovisar där som vår inställning att den främsta uppgiften för en lag om behandling av personuppgifter bör vara att slå fast grundläggande principer för behandlingen och inte att i detalj reglera vad som får registreras. Det främsta skälet för en sådan ordning är att det i de flesta fall – på grund av förändringar i materiell lagstiftning och verksamhetsinriktning – är omöjligt att förutse exakt vilka uppgifter en myndighet kan behöva registrera för att verksamheten skall fungera på ett tillfredsställande sätt, vilket leder till omfattande lagändringsarbete efter hand som nya uppgifter behöver tillföras. För att detaljreglering av innehållet i en databas skall kunna undvikas krävs dock enligt vår uppfattning att de ändamål för vilka uppgifter får behandlas är tydliga (se avsnitt 6.2). Vi är även av den bestämda uppfattningen att det är viktigt att uppgifter får registreras endast för att tillgodose de primära ändamålen med en databas, nämligen att vara till hjälp i den verksamhet som den registrerande myndigheten bedriver. Uppgifter skall således inte få föras in i en viss databas endast av det skälet att de kan vara till nytta för andra myndigheter än de som är personuppgiftsansvariga. Ett motsatt ställningstagande skulle enligt vår uppfattning kunna leda till en icke önskvärd sammanblandning av uppgifter som behandlas på automatiserad väg i olika verksamheter. Vi föreslår därför att denna förutsättning för behandling av uppgifter kommer till direkt uttryck i lagstiftningen.
För att det redan på en övergripande nivå skall gå att utläsa vad som finns eller kan finnas registrerat om enskilda i en databas, bör enligt vår mening i lag anges en ram för det tillåtna vid sidan av ändamålsbestämmelserna. Vi anser det lämpligt att ange vilka kategorier av uppgifter som får finnas i en databas, medan den specifika beskrivningen av uppgifterna med fördel kan återfinnas i en förordning eller, om regeringen bestämmer det, i myndighetsföreskrifter. För vissa databaser är det emellertid möjligt att förutse vilka uppgifter som det finns anledning att registrera. Det gäller främst databaser som förs för verksamheter i vilka ändringar i materiella regelverk inte i någon högre grad påverkar vilka uppgifter som måste registreras. Som exempel kan nämnas folkbokföringen. I de fallen finns det enligt vår uppfattning skäl för att redan i den grundläggande lagstiftningen mer i detalj ange vad som får återfinnas i databasen.
6.3.3. Känsliga personuppgifter m.m.
Vid behandling av personuppgifter intar vissa uppgiftskategorier en särställning. Det gäller känsliga personuppgifter och uppgifter om lagöverträdelser m.m. Vi har i avsnitt 5.2 redovisat hur vi anser att sådana uppgifter skall hanteras vid behandling som inte sker i en databas. När det gäller behandling i en databas måste åtskillnad göras mellan registrering av uppgifter i elektroniska handlingar i ärendehanteringssystem och annan registrering. Hur känsliga personuppgifter m.m. bör hanteras när de ingår i elektroniska handlingar redogör vi för i avsnitt 6.4.
Vid registrering av mer traditionell karaktär, dvs. när uppgifter förs in i en databas för att kunna vara sökbara och användbara vid den allmänna ärendehanteringen och verksamhetsdriften hos en myndighet (informationsbaserad hantering), bör enligt vår mening känsliga personuppgifter och uppgifter om lagöverträdelser m.m. över huvud taget inte få förekomma om det inte finns starka skäl för det. I princip finns det endast ett acceptabelt skäl, nämligen att det är nödvändigt för att myndigheten skall kunna bedriva sin verksamhet. Vi är av den bestämda uppfattningen att det är av avgörande betydelse från integritetssynpunkt att det i en myndighets databas inte finns allmänt sökbara uppgifter som avslöjar enskildas etniska härkomst eller sexuella läggning m.m. om detta inte är motiverat av verksamheten. När det gäller denna kategori av uppgifter anser vi därför att det i lagstiftningen finns skäl att frångå den princip som vi annars förespråkar avseende regleringen av vad som får behandlas i en databas. Känsliga personuppgifter och uppgifter om lagöverträdelser bör få behandlas i en databas endast om det är särskilt angivet i den lag som reglerar behandlingen av personuppgifter. Vi föreslår därför att det i lagen antingen uttryckligen anges vilka känsliga personuppgifter m.m. som får behandlas eller klart markeras att behandling av sådana uppgifter inte får förekomma.
6.3.4. Administrativa och tekniska uppgifter
I dag anges ofta i registerförfattningar och i tillstånd från Datainspektionen att ett personregister får innehålla de administrativa och tekniska uppgifter som behövs för den aktuella verksamheten.
Behandling av uppgifter som inte kan hänföras till de registrerade personerna, utan till myndigheters verksamhet, omfattas inte av den av oss föreslagna lagstiftningen. Enligt vår uppfattning utgör behandlingen av sådana uppgifter nämligen ett led i myndigheternas administrativa verksamhet (se om detta i avsnitt 4.3.3). Vid behandling av sådana uppgifter skall i stället personuppgiftslagen tilllämpas. Det hindrar emel-
lertid inte att administrativa uppgifter behandlas i samma datasystem som de uppgifter vilka används gemensamt för den materiella verksamheten. Administrativa uppgifter kan därför behandlas tillsammans med andra uppgifter i en databas utan särskilt stöd i lagstiftningen, under förutsättning att behandlingen sker i enlighet med ändamålen för databasen. Som exempel på vad vi anser utgöra rent administrativa uppgifter kan nämnas uppgift om till vilken enhet inom en myndighet ett visst ärende hör, uppgift om vem som handlägger ett visst ärende eller uppgift om vilka specialkunskaper en handläggare besitter. Sådana uppgifter kan enligt vår uppfattning inte hänföras till en enskild person som omfattas av en viss verksamhet, utan behandlas endast i syfte att fördela ärenden inom myndigheten. Däremot utgör en uppgift om en handläggare självfallet en personuppgift avseende handläggaren själv. De nu nämnda uppgifterna bör enligt vår mening, utan hinder av att det inte anges i lagstiftningen, kunna behandlas tillsammans med andra uppgifter i ett ärende.
Vissa uppgifter som behandlas av administrativa skäl, utgör emellertid samtidigt verksamhetsanknutna personuppgifter. Det kan exempelvis gälla uppgift om i vilken vallokal en person skall avlägga sin röst vid ett val. En sådan uppgift behandlas av administrativa skäl, men utgör samtidigt en upplysning om den röstberättigade. Detsamma kan enligt vår uppfattning gälla för en uppgift om särskild sekretessmarkering som registreras i samband med andra uppgifter om en person, och för vilka särskild försiktighet skall iakttas i samband med utlämnande. För den nämna kategorin av uppgifter bör vår lagstiftning vara tilllämplig. Vi anser dock inte att det är nödvändigt att i lagstiftningen uttryckligt ange att sådana i första hand administrativa uppgifter får behandlas i en databas.
Avgörande för bedömningen av om en administrativ uppgift som behandlas i ett gemensamt datasystem omfattas av bestämmelserna i lagförslagen, är således om uppgiften även kan anses utgöra personuppgift som har anknytning till den materiella verksamheten. Om en uppgift i en databas anses utgöra en rent administrativ uppgift eller om den även utgör en verksamhetsanknuten personuppgift, har betydelse för om information enligt 26 § personuppgiftslagen skall lämnas eller inte. Informationsskyldigheten avser nämligen endast personuppgifter och således inte rent administrativa uppgifter. För en verksamhetsanknuten personuppgift skall med andra ord de särskilda bestämmelserna om information i våra lagförslag tillämpas (se avsnitt 7.1.3).
Som vi nämner ovan kan även rent administrativa uppgifter utgöra personuppgifter i förhållande till den som uppgiften avser. En uppgift om en handläggares specialkunskaper är således en personuppgift om handläggaren. Om handläggaren av sin arbetsgivare begär information
enligt 26 § personuppgiftslagen, skall informationen därmed omfatta sådana uppgifter. I ett sådant fall skall emellertid de särskilda bestämmelserna om information i våra lagförslag inte tillämpas, utan endast bestämmelserna i personuppgiftslagen.
Behandling av uppgifter av teknisk karaktär som används uteslutande eller huvudsakligen för att ett datasystem skall fungera, t.ex. koder som anger på vilket sätt en viss uppgift skall lagras i systemet, anser vi inte heller behöver regleras särskilt. Sådana uppgifter har inte någon egentlig anknytning till innehållet i en databas utan utgör närmast en del av de tekniska lösningarna i ett datasystem, och får således registreras utan att det anges i den av oss föreslagna lagstiftningen. En förutsättning är dock att de tekniska uppgifterna, ensamma eller tillsammans med andra uppgifter, inte tillför någon saklig information som kan hänföras till de registrerade personerna.
6.4. Elektronisk ärendehantering
Vårt förslag: Handlingar som hör till ett ärende skall få behandlas i en databas. Sådana handlingar får innehålla de uppgifter som har lämnats i eller är nödvändiga för handläggningen av ärendet.
Vid sökning efter sådana handlingar får som sökbegrepp användas endast ärendebeteckning, beteckning på handling eller annan uppgift som behövs för att identifiera ett ärende eller en handling.
6.4.1. Allmänt om ärendehanteringen
Traditionellt kan ärendehantering hos myndigheter beskrivas på följande, mycket översiktliga, sätt. Handlingar som kommer in till eller upprättas hos en myndighet, och som kan hänföras till ett visst ärende, samordnas i en för ärendet särskilt upprättad akt. De handlingar som kommer in kan vara ansökningar, deklarationer, kompletteringar och bevisuppgifter m.m. De hos myndigheten upprättade handlingarna kan bestå av förfrågningar, förelägganden, tjänsteanteckningar efter muntliga kompletteringar, kallelser och beslut m.m. I normalfallet utgörs handlingarna i ett ärende av pappersark med text. Undantagsvis kan det dock röra sig om fotografier eller tekniska upptagningar, t.ex. kassetteller videoband med inspelade förhör eller liknande. Oavsett karaktären på handlingarna består de på något sätt av materiella objekt (pappersark, kassetter osv.) som fysiskt kan samordnas och systematiseras i en akt.
Den beskrivna ordningen tillämpas ofta även när datorer används av en myndighet, genom att hos myndigheten upprättade handlingar, som i och för sig utformas elektroniskt i ett ordbehandlingsprogram, tillförs ärendeakten i form av pappersutskrifter. Den elektroniska informationen som skapas, och ofta lagras, i datorn utgör alltså inte i egentlig mening en del av akten.
I och med datoriseringen har nya rutiner för ärendehanteringen utvecklats. I dag förekommer det att handlingar kommer in till myndigheter i elektronisk form. Det kan gälla t.ex. ansökningar eller deklarationer som lämnas in på diskett eller magnetband eller genom uppkopplingar på telenätet. Sådana handlingar kan lagras direkt i ett datasystem utan att det görs pappersutskrifter som tillförs en fysisk akt. Likaså kan myndighetens handlingar upprättas elektroniskt och lagras i ett datasystem. Det kan gälla allt från föreläggande till beslut. Inte heller dessa behöver nödvändigtvis tillföras en fysisk akt. De på detta sätt inkomna och upprättade elektroniska handlingarna i ett visst ärende kommer därmed att ingå i vad som kan kallas en elektronisk akt i datasystemet. En sådan akt måste naturligtvis vara sammanhållen på ett sätt som motsvarar en fysisk akt för pappershandlingar, t.ex. genom att allt material i de elektroniska akterna kan göras samlat tillgängligt med hjälp av sökbegrepp, ofta i form av ärendebeteckningar eller liknande.
Av 15 kap. 14 § sekretesslagen framgår att om en myndighet för handläggning av ett mål eller ärende använder sig av en upptagning för automatisk databehandling, skall upptagningen tillföras handlingarna i målet eller ärendet i läsbar form, om inte särskilda skäl föranleder annat. Detta innebär att det ofta förs elektroniska och fysiska akter parallellt med varandra, dvs. en form av dubbellagring. Det förekommer dock – och kan rimligen förväntas bli allt mer vanligt – att den enda akt som finns i ett ärende är den elektroniska.
Den elektroniska ärendehanteringen väcker många olika frågor. Bland annat kan äktheten hos de lagrade handlingarna vara svår att fastställa. Det kan även vara svårt att avgränsa vad som ingår i en elektronisk akt. Vidare finns det grundläggande problem med att fastställa vad som egentligen är en elektronisk akt, en elektronisk handling eller ett elektroniskt dokument.
6.4.2. Vad är elektroniska dokument, handlingar och akter?
Vad som avses med elektroniska handlingar och elektroniska dokument har diskuterats i flera sammanhang, bl.a. i TDL-utredningens betänkande Tullregisterlag m.m. (SOU 1989:20), Datastraffrättsutredningens
betänkande Information och den nya InformationsTeknologin (SOU 1992:110), Finansdepartementets promemoria Elektronisk dokumenthantering inom skatteförvaltningen (Ds 1994:80), IT-utredningens betänkande Elektronisk dokumenthantering (SOU 1996:40), Datalagskommitténs betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39) samt Statskontorets publikation Elektronisk ärende- och dokumenthantering (1997:8).
IT-utredningen föreslog i sitt betänkande att det i förvaltningslagen skulle införas definitioner av olika elektroniska företeelser, bl.a. elektronisk handling. Enligt det förslaget skulle elektronisk handling definieras som ”en bestämd mängd data som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel”. Förslaget har dock inte lett till lagstiftning. Begreppet elektronisk handling som sådant finns i dag över huvud taget inte i författningstext. Däremot har diskussionerna kring elektronisk dokumenthantering lett till att begreppet elektroniskt dokument numera är lagreglerat. Begreppet återfinns i ett flertal olika lagar, t.ex. tullagen (1994:1550) och lagen (1990:325) om självdeklaration och kontrolluppgifter, och har i det närmaste fått en enhetlig definition. I 12 § tullagen sägs att tulldeklarationer och andra handlingar under vissa förutsättningar får lämnas genom ett elektroniskt dokument ”med hjälp av automatisk databehandling”. Med ett elektroniskt dokument avses enligt lagen ”en upptagning vars innehåll och utställare kan verifieras genom ett visst tekniskt förfarande”. I 2 § lagen om självdeklaration och kontrolluppgifter sägs att självdeklarationer under vissa förutsättningar kan lämnas i form av ett elektroniskt dokument. Med elektroniskt dokument ”avses en upptagning som gjorts med hjälp av automatisk databehandling och vars innehåll och utställare kan verifieras genom ett visst tekniskt förfarande”.
Vad som mer precist avses med ett elektroniskt dokument har inte reglerats i lagtext. Det gäller främst vilket tekniskt förfarande som skall användas för att innehåll och utställare skall kunna verifieras. Anledningen är att det inte har ansetts lämpligt att närmare reglera detta, eftersom det tekniska området befinner sig under utveckling (se t.ex. prop. 1989/90:40 s. 27). Vad som dock är klart är att ett elektroniskt dokument som är infört i ett datasystem skall vara låst till sitt innehåll. Den som läser dokumentet (på utskrift eller terminal) skall med andra ord kunna vara säker på att det är originalinnehållet som återges. Likaså skall det vara möjligt att fastställa vem som har upprättat eller sänt in ett elektroniskt dokument. Den tekniska verifieringen av utställaren skall alltså motsvara en namnteckning på ett pappersdokument. Den här återgivna synen på elektroniska dokument får sägas vara väl etablerad och vi har inte funnit någon anledning att närmare utreda eller föreslå förändringar i fråga om detta begrepp. Av större intresse för oss är hur
begreppet – eller egentligen själva företeelsen – elektroniskt dokument skall inordnas i regleringen av behandling av personuppgifter.
Som nämnts ovan i detta avsnitt så har innebörden av termen elektroniska handlingar diskuterats vid flera tillfällen. Till skillnad mot vad som gäller för elektroniska dokument finns däremot i dag ingen legaldefinition av begreppet (se dock IT-utredningens ovan nämnda förslag på definition). Det torde emellertid vara en allmän uppfattning att begreppet elektronisk handling är vidare än det i författningar förekommande begreppet elektroniskt dokument. Det senare kan alltså sägas vara en (författningsreglerad) specialform av det tidigare. I vissa sammanhang har det även talats om att elektroniska dokument är en låst form av elektroniska meddelanden (prop. 1989/90:40 s. 27). Någon närmare utveckling av skillnaden – om någon alls är avsedd – mellan elektroniska meddelanden och elektroniska handlingar finns däremot inte. Även upptagningar har föreslagits som ett samlingsbegrepp för elektroniskt lagrade meddelanden som inte är låsta (Ds 1994:80).
Genom vad som framförts i olika sammanhang torde allmänt kunna konstateras att med elektroniska handlingar avses alla elektroniskt lagrade meddelanden eller upptagningar i ett ärende (se t.ex. Ds 1994:80 s. 114 ff. samt prop. 1994/95:93 s. 23 ff. och 1994/95:168 s. 14 ff). Det kan röra sig om elektroniska avbildningar av pappershandlingar – bildfångade och skannade handlingar – eller elektroniskt upprättade handlingar. Båda kategorierna torde kunna vara låsta, dvs. tekniskt utformade så att innehåll och eventuell utställare kan verifieras, eller icke låsta. Med icke låsta handlingar avses då alla elektroniska handlingar som inte utgör elektroniska dokument. Begreppet elektronisk akt har i ovan nämnda lagstiftningsärenden närmast använts som en samlingsbeteckning på de elektroniska handlingar som har kommit in eller upprättats i ett visst ärende. Jämförelser har även gjorts med de fysiska akter som upprättas vid traditionell ärendehantering, men någon mer ingående analys av begreppet har inte gjorts.
6.4.3. Inordnande av ärendehantering i databaser
Frågan om vad som skall innefattas i begreppen elektronisk handling respektive elektronisk akt har som framgår av redogörelsen i föregående avsnitt varit föremål för diskussioner vid flera tillfällen. En mer övergripande genomgång av närliggande frågor, som t.ex. anpassning av offentlighetsprincipen och tryckfrihetsförordningens begreppsapparat till IT-samhället, gjordes av Data- och offentlighetskommittén i betänkandet Integritetsskyddet i informationssamhället 5 (SOU 1988:64) samt av Datalagskommittén i betänkandet Integritet – Offentlighet –
Informationsteknik (SOU 1997:39). Någon definitiv bestämning av innebörden av begreppen elektronisk handling och elektronisk akt finns detta till trots inte i svensk lagstiftning. Nämnas kan även att en kommitté har tillkallats för att göra en översyn av bestämmelserna om allmänna handlingars offentlighet i syfte att vidga möjligheterna för offentlighetsprincipens tillämpning i IT-samhället (dir. 1998:32). I uppdraget ingår att utforma en lagstiftning som garanterar att allmänhetens tillgång till information skall vara oberoende av på vilket sätt myndigheterna har valt att dokumentera den. Det kan alltså förväntas att frågor om elektroniska handlingar m.m. kommer att aktualiseras på nytt i mer övergripande sammanhang.
Det är under sådana omständigheter tveksamt om det finns anledning för oss att i lagstiftning som rör endast ett fåtal myndigheter föreslå legaldefinitioner av begreppen elektroniska handlingar och akter. Vi väljer därför att avstå från sådana försök. Däremot finns det skäl att närmare utreda hur elektroniska ärendehanteringssystem skall kunna inordnas i lagstiftning av den karaktär som vi föreslår i fråga om behandling av personuppgifter.
Att i detalj beskriva vad en elektronisk handling är eller kan vara låter sig knappast göra. Att som i dagens lagstiftning (t.ex. skatteregisterlagen) skilja på uppgifter och handlingar i register kan ha ett pedagogiskt och lagtekniskt värde när olika bestämmelser skall gälla för de olika uppgiftskategorierna, men det är knappast en uttömmande beskrivning av verkligheten. För att det pedagogiska eller lagtekniska värdet skall uppnås måste det vara möjligt för en tillämpare att göra en avgränsning mellan de olika begreppen. Svårigheterna med detta kan exemplifieras på följande sätt. I en traditionell pappersakt hos skatteförvaltningen kan en handling bestå av en eller ett fåtal uppgifter, t.ex. ett papper med texten NN:s taxerade inkomst 1999: 250 000 kr. Motsvarande uppgift(er) skulle sannolikt kunna utgöra såväl en handling som en uppgift i ett automatiserat register. Avgränsningen kan alltså inte göras genom att ange att handlingar utgörs av flera sammanhängande uppgifter i löptext, medan uppgifter är just enskilda uppgifter.
I mer integrerade datasystem kan det vara svårt att direkt se skillnaden mellan handlingar och uppgifter, i den mån det alls finns en skillnad. Det ligger nära till hands för oss att med en elektronisk handling i en databas avse en avgränsad mängd elektroniskt lagrade uppgifter som är direkt hänförliga till ett specifikt ärende, dvs. i princip en del av en elektronisk akt i ett ärendehanteringssystem. Om man utgår från att en databas i princip består av två olika typer av uppgiftssamlingar, informationsbaserade och ärendebaserade (se avsnitt 6.1.1), skulle en sådan syn på begreppet för skatteförvaltningens del kunna exemplifieras på följande sätt. När en deklaration kommer in till en skattemyndighet kan
den bildfångas och placeras i en elektronisk akt avseende taxeringsärendet. Bilden av deklarationen kan återfinnas som en handling i ärendehanteringssystemet. Efter att taxering har beslutats kan uppgifter om taxerad inkomst m.m. föras in som särskilda poster i ett mer egentligt register, dvs. i den informationsbaserade delen av databasen. Dessa uppgifter kan sedan vara fritt sökbara utan anknytning till ett visst ärende, t.ex. när informationen behövs i samband med revision eller liknande. På motsvarande sätt kan man resonera när ett beslut upprättas, vilket kan exemplifieras på följande sätt. I ett omprövningsärende avseende ett avdrag för 1999 års taxering upprättas ett beslut på elektronisk väg hos skattemyndigheten. Av beslutet framgår att NN medges avdrag med 10 000 kr och att hans taxerade inkomst därmed fastställs till 250 000 kr. Detta beslut (beslutshandlingen) kan återfinnas i ärendehanteringssystemet som en del av ärendet. Själva uppgiften om den taxerade inkomsten – och eventuellt avdraget – kan sedan föras in som självständiga uppgifter i den informationsbaserade delen av databasen. Uppgifterna kan sedan vara sökbara på motsvarande sätt som i exemplet med deklarationen ovan.
Vi har inte funnit anledning att använda begreppet elektroniska handlingar i andra avseenden än när de utgör en del av ett specifikt ärende, dvs. när de ingår som en del av en akt i ett ärendehanteringssystem. Det är därför i den lagstiftning som vi föreslår ändamålsenligt att ange att en databas får innehålla handlingar som hör till ett ärende. Hur ett ärendehanteringssystem hos en myndighet är uppbyggt tekniskt är inte direkt relevant, utan det avgörande är om uppgifterna (handlingarna) kan hänföras till ett visst ärende. Av integritetsskäl är det dock enligt vår bestämda uppfattning nödvändigt att elektroniska handlingar hålls åtskilda från uppgifter i den informationsbaserade delen av databasen, eftersom det av olika skäl som vi redovisar i avsnitt 6.4.4 och 6.4.5 nedan inte bör vara tillåtet att utnyttja samma sökmöjligheter i fråga om handlingar som när vissa enskilda icke ärendeanknutna uppgifter eftersöks.
6.4.4. Känsliga personuppgifter m.m. i elektroniska handlingar
Vi redovisar i avsnitt 5.2.1 och 6.3.3 vår inställning till frågan om behandling av känsliga personuppgifter m.m. i allmänhet respektive vid informationshantering i databaser. När det gäller elektronisk ärendehantering är situationen densamma som vid traditionell hantering av ärenden, nämligen att det inte är möjligt för den handläggande myndigheten att påverka innehållet i de handlingar som kommer in till myn-
digheten. När inkomna handlingar förs in i ett ärendehanteringssystem kan således även känsliga personuppgifter komma att tas in i databasen. Det förekommer även att personer som inte berörs av ett ärende namnges i inkomna handlingar. För att inte omöjliggöra för myndigheter att bedriva en effektiv ärendehantering är det nödvändigt att sådan registrering är tillåten. Vi föreslår därför att elektroniska handlingar skall få innehålla samtliga de uppgifter som har lämnats i ett ärende. Någon begränsning av vad som får registreras i form av inkomna handlingar skall alltså enligt vår uppfattning inte finnas.
Motsvarande resonemang kan delvis föras i fråga om handlingar som upprättas av den handläggande myndigheten. När en myndighet skall fatta beslut i ett ärende måste hänsyn självfallet tas till det material som har kommit in. Det materialet utgör underlag för beslut. Det kan därför vara nödvändigt att i skälen för ett beslut, eller i andra handlingar som upprättas i ett ärende, återge sakomständigheter eller argument som innefattar uppgifter av vitt skilda slag. Att i författning ange att vissa kategorier av uppgifter inte får återges i beslut är därför inte vare sig möjligt eller önskvärt. Även i fråga om de handlingar som upprättas av myndigheten måste det därför finnas en stor frihet för registrering av uppgifter. I dessa fall finns det dock en möjlighet för myndigheten att påverka innehållet i handlingarna. Känsliga personuppgifter m.m. bör därför enligt vår uppfattning få finnas i handlingar som har upprättats av myndigheten endast om det är nödvändigt för handläggningen av ett ärende. Kravet på att det skall vara nödvändigt att behandla känsliga personuppgifter m.m., innebär inte att det krävs att det är omöjligt att hantera frågorna på annat sätt, t.ex. genom pappershantering eller genom att utelämna vissa delar av skälen för ett beslut. Vad som avses är att behandlingen av uppgifterna skall vara nödvändig för att myndigheten skall kunna sköta sina åligganden vid hanteringen av ärenden enligt gällande rutiner och regler.
6.4.5. Begränsade sökmöjligheter i ärendehanteringssystem
Behandlingen av känsliga personuppgifter m.m. i elektroniska ärendehanteringssystem kan innebära risker för otillbörligt intrång i den personliga integriteten. Vi anser därför att det i likhet med vad som gäller i dag är nödvändigt att ställa upp vissa särskilda regler för hanteringen av elektroniska handlingar. Det bör enligt vår uppfattning inte vara möjligt att i ett ärendehanteringssystem med hjälp av fria sökbegrepp göra sammanställningar av uppgifter i handlingar. Beroende på de tekniska förutsättningarna skulle en sådan möjlighet kunna innebära att samman-
ställningar skulle kunna göras av samtliga ärenden hos t.ex. en skattemyndighet, där de enskilda parterna i skrivelser som finns elektroniskt lagrade har åberopat psykisk sjukdom som skäl för t.ex. avdrag vid taxeringen eller undanröjande av förseningsavgift. Något behov av att kunna göra sammanställningar av den karaktären finns inte och bör enligt vår mening av integritetsskäl inte heller tillåtas. Därför bör det sättas upp begränsningar för sökmöjligheterna i ärendehanteringssystem. För att ärendehanteringen skall kunna skötas på ett effektivt sätt är det dock nödvändigt att handläggare ges möjlighet att söka efter såväl ett ärende som enskilda handlingar, t.ex. med angivande av ärendebeteckning eller beteckning på en specifik handling. Däremot anser vi att integritetsskälen väger tyngre än effektivitetsskälen när det gäller mer sofistikerade eller exakta sökmöjligheter. Vid sökning efter en handling i databasen bör därför få användas endast ärendebeteckning, beteckning på handlingen eller andra uppgifter, t.ex. personnummer, som behövs för att identifiera ett ärende eller en handling.
Däremot finns det enligt vår bedömning skäl att se annorlunda på saken när en handling är identifierad och direkt tillgänglig för handläggaren. Att i den situationen inte tillåta de sökmöjligheter som redan i dag ges i ordbehandlingsprogram, t.ex. för att finna ett speciellt textavsnitt, framstår inte som befogat. Det är av effektivitetsskäl inte rimligt att en handläggare när han arbetar med en omfattande elektronisk handling i ett ärende skall lägga ner tid på att på egen hand söka sig fram till ett önskat textavsnitt, i stället för att genom ett enkelt sökkommando låta datasystemet utföra det arbetet. Några faror från integritetssynpunkt med att tillåta ett sådant förfarande föreligger knappast. De uppställda sökbegränsningarna bör gälla vid sökning efter handlingar, men inte i desamma när de väl har identifierats.
Till elektroniska akter hör ofta ett indexregister, dvs. ett dagboksblad eller motsvarande, av vilket framgår vilka handlingar som finns i akten. Om ett sådant register är en integrerad del av ett ärendehanteringssystem, och således en del av den elektroniska akt som det avser, omfattas registret enligt våra förslag av samma regler som övriga handlingar i akten. Under förutsättning att ett indexregister inte innehåller känsliga personuppgifter eller andra uppgifter som endast får förekomma i handlingar som hör till ett ärende, föreligger dock inga hinder från integritetssynpunkt mot att uppgifterna även behandlas i den informationsbaserade delen av en databas. Ett sådant förfarande innebär att indexregistret kan göras tillgängligt utan att den elektroniska akten öppnas och registret kommer inte att omfattas av de begränsningar i sökmöjligheter som gäller för övriga handlingar i akten. Det innebär även att uppgifter i indexregistret kan göras åtkomliga genom direktåtkomst på samma sätt som andra uppgifter i databasen, utan de begränsningar för
sådan åtkomst som vi föreslår skall gälla för handlingar i ett ärendehanteringssystem (se avsnitt 6.7).
En generell fråga som uppkommer när det införs begränsningar av sökmöjligheterna i elektroniskt material, är hur länge begränsningarna skall vara tillämpliga. Ofta överlämnas myndigheters elektroniska material, t.ex. personregister eller andra databaser, efter en tid till en arkivmyndighet. En av orsakerna till detta är arkivlagens bestämmelser om att forskningens behov skall tillgodoses genom att uppgifter bevaras. De begränsningar som finns av möjligheterna att söka i materialet kan dock försvåra framtida forskningsarbete, genom att tillgängligheten till uppgifterna är mindre än om det vore möjligt att söka fritt i materialet. Det är därför enligt vår uppfattning viktigt att ställning tas i frågan om författningsreglerade begränsningar av sökmöjligheter i elektroniskt material skall gälla för obegränsad tid eller om begränsningarna skall upphöra viss tid efter att materialet har överlämnats till en arkivmyndighet. Detta är emellertid en fråga av generell karaktär för den statliga förvaltningen, och den bör därför enligt vår uppfattning utredas i ett annat och mer allmänt sammanhang.
6.5. Inhämtande av uppgifter
Vårt förslag: Det skall inte finnas några begränsningar i fråga om på vilket sätt uppgifter får hämtas in för behandling i en databas.
Vilka uppgifter som får behandlas i en databas avgörs med ledning av de i lagstiftningen angivna ändamålen med databasen, vilket är en följd av att det i artikel 6.1a i dataskyddsdirektivet ställs krav på att uppgifter skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål (se avsnitt 6.2). Några särskilda krav på begränsningar av på vilket sätt uppgifter får samlas in följer däremot inte av EG-rätten. Vi har inte heller funnit anledning att införa sådana begränsningar. Tvärtom är det vår uppfattning att i den mån en viss uppgift får hämtas in till en databas hos en myndighet, får det ske på det sätt som myndigheten anser lämpligt. Vi ser inte några integritetsskäl mot att enskilda eller myndigheter som av olika anledningar har att lämna uppgifter som skall ingå i en myndighetsdatabas gör detta med hjälp av automatiserad behandling.
Det kan däremot finnas andra argument för att uppgifter skall lämnas på ett visst sätt, t.ex. så får självdeklarationer inte lämnas i elektronisk form till skattemyndigheter om det inte särskilt har medgivits av Riksskatteverket. Likaså kan det i olika författningar som reglerar
behandling av personuppgifter i myndigheters verksamhet ställas upp begränsningar i fråga om på vilket sätt uppgifter får lämnas ut. Möjligheten att lämna ut uppgifter genom direktåtkomst är t.ex. regelmässigt begränsad. Det kan med andra ord finnas olika orsaker till att uppgifter inte kan eller får hämtas in till en databas med hjälp av automatiserad behandling. Dessa begränsningar följer då av andra författningar eller av tekniska orsaker och det finns inte anledning att föreskriva om ytterligare begränsningar i den av oss föreslagna lagstiftningen.
6.6. Utlämnande av uppgifter
Vårt förslag: Det skall inte finnas några begränsningar för myndigheter som enligt bestämmelser i sekretesslagen eller andra författningar får ta del av uppgifter i en databas, att få tillgång till uppgifterna på medium för automatiserad behandling. För direktåtkomst skall särskilda bestämmelser gälla.
Uppgifter skall även kunna lämnas ut till andra än myndigheter på medium för automatiserad behandling om regeringen föreskriver det eller om utlämnandet följer av en internationell överenskommelse.
6.6.1. Allmänt om utlämnande av personuppgifter
Vad är behandling av uppgifter?
I dataskyddsdirektivet definieras vad som avses med behandling av personuppgifter. Det är varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter vare sig det sker på automatisk väg eller inte (artikel 1 b). Artikeln innehåller även en exemplifiering, vari bl.a. insamling, registrering, utlämnande, spridning och annat tillhandahållande av uppgifter nämns. Bestämmelsen har sin exakta motsvarighet i 3 § personuppgiftslagen. Definitionen innebär att all hantering av personuppgifter är behandling, från insamlande till utlämnande. Det spelar med den utgångspunkten ingen roll om utlämnande av uppgifter sker genom direktåtkomst eller med hjälp av annan automatiserad behandling eller om uppgifter skrivs ut på papper och därefter lämnas ut. Allt utlämnande utgör behandling av personuppgifter och omfattas således av dataskyddsdirektivets bestämmelser.
Dataskyddsdirektivet innehåller även bestämmelser om uppgifters kvalitet. Ett grundläggande åtagande för medlemsländerna är att de skall
föreskriva att personuppgifter skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål (artikel 6.1b). Motsvarande bestämmelser återfinns i 9 § första stycket c och d personuppgiftslagen. I direktivets ingress (punkterna 28 och 29) sägs bl.a. att personuppgifter måste vara adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Dessa ändamål skall vara uttryckligt angivna, berättigade och bestämda vid tiden för insamling av uppgifterna. Sådana ändamål som läggs fast sedan uppgifterna har samlats in får inte vara oförenliga med de ursprungliga ändamålen.
Det är inte helt klart vad som avses med att de ändamål för vilka personuppgifter samlas in skall vara berättigade. Datalagskommittén ansåg för sin del att detta betyder att ändamålen måste överensstämma med de grunder för behandling av personuppgifter som regleras i direktivets artikel 7, vilka har sin motsvarighet i 10 § personuppgiftslagen (SOU 1997:39 s. 350 ff). Av dessa grunder är en av de mer relevanta att personuppgifter får behandlas om det ”är nödvändigt för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller tredje man till vilken uppgifterna har lämnats ut...” (dataskyddsdirektivets artikel 7 d samt 10 § d och e personuppgiftslagen). Datalagskommittén övervägde möjligheten att uttrycket berättigade ändamål i dataskyddsdirektivet hade en mer självständig betydelse, men konstaterade att detta är osäkert.
Innebörden av ovan redovisade artikel 6 i dataskyddsdirektivet är att det i en lag om behandling av personuppgifter för myndighetsverksamhet bör anges klara och uttryckliga ändamål för vilka personuppgifterna får samlas in. Dessutom innebär det att uppgifterna efter att de har samlats in inte får användas på ett sätt som är oförenligt med dessa klart angivna ändamål. Vad som mer exakt avses med att ett användande av uppgifter är oförenligt med det för vilket de samlades in är enligt Datalagskommittén närmast en fråga som får ha sin lösning i framtida praxis (SOU 1997:39 s. 351). Begreppet som sådant antyder dock enligt vår mening att det finns utrymme för tolkningen att behandling som sker efter insamlandet inte direkt måste motsvaras av ett från början angivet ändamål. Ett visst spelrum torde alltså finnas.
När får uppgifter lämnas ut?
Vad som kan konstateras genom de ovan redovisade bestämmelserna i dataskyddsdirektivets artikel 6 är att en uppgift som har samlats in för ett visst ändamål inte får lämnas ut om utlämnandet är oförenligt med det ursprungligen angivna ändamålet. För författningsreglerad offentlig verksamhet innebär detta att allt utlämnande av personuppgifter som omfattas av dataskyddsdirektivet måste stå i överensstämmelse med de olika ändamål för behandling av personuppgifter som är tillämpliga för olika verksamheter. Det är mer oklart om det är nödvändigt att de ändamålsbestämmelser som avgör om utlämnande är tillåtet måste återfinnas i den författningsreglering som avser den utlämnande myndighetens verksamhet. Möjligen måste den offentliga förvaltningen i det avseendet ses som en enhet, vilket skulle innebära att det är tillräckligt om det i någon författning anges att vissa uppgifter från en viss databas får användas för ett angivet syfte, för att utlämnande skall vara tillåtet. En särställning har utlämnande som sker enligt offentlighetsprincipen, dvs. utlämnande med stöd av 2 kap. tryckfrihetsförordningen (TF). Sådant utlämnande kräver inte att det finns särskilt angivna ändamål som tillåter utlämnande. Detta framgår uttryckligen i 8 § personuppgiftslagen och anses ha stöd av vad som sägs i dataskyddsdirektivets ingresspunkt 72. Det innebär att offentlighetsprincipen måste anses utgöra ett särskilt ändamål som gäller för all behandling av personuppgifter i offentlig verksamhet.
Det är enligt vår uppfattning mer tveksamt hur man skall se på utlämnande av uppgifter från en reglerad databas hos en myndighet till en annan myndighet som begär uppgifterna med stöd av 15 kap. 5 § sekretesslagen eller utlämnande som sker med stöd av 14 kap. 1–3 §§ samma lag. Om utlämnande i dessa fall strider mot dataskyddsdirektivet torde vara en fråga om utformningen av ändamålsbestämmelserna hos den utlämnande eller mottagande myndigheten, vad den mottagande myndigheten har för funktion och vad den skall använda uppgifterna till samt tolkningen av begreppet oförenligt i direktivet (se ovan). Det är enligt vår uppfattning därför inte möjligt att ange i vilka fall utlämnande av uppgifter från en myndighet till en annan med stöd av sekretesslagen strider mot dataskyddsdirektivet. En avvägning måste göras i varje enskilt fall och frågan får därför ha sin närmare lösning i framtida praxis.
6.6.2. Utlämnande på medium för automatiserad behandling
Det är i dag vanligt att det i registerlagstiftning regleras i vilka fall uppgifter ur ett personregister får lämnas ut till andra myndigheter eller till enskilda med hjälp av automatiserad behandling. Som exempel kan nämnas skatteregisterlagen, där det anges att uppgifter i register får lämnas ut till andra myndigheter på medium för automatisk databehandling endast om det följer av lag eller förordning eller om regeringen medger det. Motsvarande eller liknande reglering finns i flera andra registerförfattningar, t.ex. lagen om folkbokföringsregister, utsökningsregisterlagen och tullregisterlagen. Dessa bestämmelser skall ses mot bakgrund av 7 kap. 16 § sekretesslagen i dess lydelse före personuppgiftslagens ikraftträdande. Regleringen innebar i huvudsak att det för utlämnande av personuppgifter på medium för automatisk databehandling krävdes att mottagaren med stöd av författning eller tillstånd av Datainspektionen fick föra ett personregister som skulle innehålla de uppgifter som avsågs med utlämnandet.
I 7 kap. 16 § sekretesslagen anges numera att sekretess gäller för uppgifter om det kan antas att ett utlämnande skulle medföra att uppgifter behandlas i strid med personuppgiftslagen. Med behandling av personuppgifter avses enligt personuppgiftslagen varje åtgärd som vidtas med uppgiften. Det saknar alltså ur sekretesslagens synvinkel direkt betydelse om utlämnande av en uppgift görs med hjälp av automatiserad behandling eller manuellt på papper, eftersom utlämnandet under alla förhållanden omfattas av personuppgiftslagens bestämmelser. Det finns med andra ord i dag ingen anledning att författningsreglera utlämnande med automatiserad behandling på den grunden att sådant stöd – eller tillstånd från Datainspektionen – behövs för att det över huvud taget skall vara tillåtet att lämna ut uppgifterna.
Vi har dock haft att ta ställning till om det i de för oss aktuella sammanhangen finns anledning att på annan grund ha avvikande bestämmelser för utlämnande som sker med hjälp av automatiserad behandling jämfört med om det sker på annat sätt. För direktåtkomst bör särskilda bestämmelser gälla, vilket vi motiverar i avsnitt 6.7. Frågan är då vad som bör gälla för utlämnande med hjälp av annan automatiserad behandling än direktåtkomst och om det för sådant utlämnande på medium för automatiserad behandling finns anledning att göra olika bedömningar beroende på till vem uppgifterna lämnas ut.
Utlämnande till myndigheter
För myndigheter finns vanligtvis särskilda författningar som reglerar vilka automatiserade register eller andra personuppgiftssamlingar som får föras av myndigheten eller annars på vilket sätt personuppgifter får behandlas. I de författningarna regleras även ändamålen med behandlingen. En myndighet som tar emot uppgifter från andra myndigheter har vanligen inte rättsligt stöd för att behandla uppgifterna annat än i enlighet med de för myndigheten gällande författningarna. Riskerna för att mottagande myndigheter på ett icke avsett sätt skall behandla personuppgifter som hämtas in på medium för automatiserad behandling bedömer vi därför vara små. Samtidigt kan det inte sättas i fråga att det kan innebära stora effektivitetsvinster för myndigheter att uppgifter som skall behandlas på automatiserad väg hämtas in genom automatiserade förfaranden, t.ex. på diskett eller via telenätet. När en myndighet hämtar in uppgifter från andra myndigheters register eller databaser, är det från effektivitetssynpunkt mindre tillfredsställande att den utlämnande myndigheten först gör utskrifter av uppgifterna och den mottagande myndigheten därefter för in uppgifterna i sina register eller databaser. Genom sådana förfaranden ökar även riskerna för överföringsfel, vilket i sig kan utgöra ett integritetsproblem.
En utgångspunkt för våra författningsförslag är att myndigheter skall kunna utnyttja automatiserade förfaranden i sin ärendehantering i största möjliga omfattning, dock under förutsättning att behandlingen av personuppgifter inte medför risk för otillbörligt intrång i enskildas personliga integritet. Som vi nämnt ovan anser vi att det inte föreligger någon större risk för att uppgifter som lämnas ut på medium för automatiserad behandling till andra myndigheter behandlas på ett felaktigt sätt. Under förutsättning att den utlämnande myndigheten har möjlighet att avgöra vilka uppgifter som skall lämnas ut – vilket inte är fallet när uppgifter lämnas ut genom direktåtkomst – saknas det därför enligt vår uppfattning anledning att reglera när uppgifter får lämnas ut på medium för automatiserad behandling. Det finns med andra ord inte några bärande skäl för att i informationsutbytet mellan myndigheter skilja på utlämnande som görs på papper och utlämnande som sker elektroniskt, dock med undantag för direktåtkomst. Om en myndighet får eller skall lämna ut uppgifter till annan myndighet, t.ex. med stöd av sekretesslagen eller andra författningar, bör det således vara upp till myndigheterna att avgöra på vilket sätt det skall göras.
I dag förekommer det särskilda bestämmelser som innebär att en utlämnande myndighet skall lämna uppgifter på medium för automatiserad behandling när den mottagande myndigheten begär det. Som exempel kan nämnas skatteregisterförordningen (1980:556). Enligt vår upp-
fattning kommer motsvarande bestämmelser inte att behövas i framtiden, eftersom utlämnande på medium för automatiserad behandling vanligtvis innebär fördelar från effektivitetssynpunkt för såväl den utlämnande som den mottagande myndigheten. Om en myndighet som har rätt att ta del av uppgifter från en annan myndighet ber att få göra detta på medium för automatiserad behandling, torde det med andra ord inte finnas någon anledning för den utlämnande myndigheten att vägra lämna ut uppgifterna på det sättet.
Vi föreslår således inga begränsningar – eller reglering i övrigt – av möjligheterna för de myndigheter som omfattas av våra lagförslag att lämna ut uppgifter till andra myndigheter på medium för automatiserad behandling. Särskilda bestämmelser skall emellertid gälla för direktåtkomst (se avsnitt 6.7).
Utlämnande till enskilda
Förutom att uppgifter lämnas ut till andra myndigheter kan det även bli aktuellt att lämna ut uppgifter ur olika databaser till enskilda, dvs. såväl privatpersoner som företag och organisationer. I dessa fall saknas, till skillnad mot vad som gäller för myndigheter, normalt särskilda bestämmelser om hur personuppgifter får behandlas hos mottagaren. För mottagaren är det därför vanligtvis personuppgiftslagens bestämmelser som är tillämpliga på behandlingen av de mottagna uppgifterna. Med hänsyn till de integritetsrisker som kan följa med utlämnande av personuppgifter på medium för automatiserad behandling till företag och privatpersoner, bör sådant utlämnande endast vara tillåtet när det efter särskild prövning anses lämpligt. Det bör enligt vår mening åligga regeringen att göra dessa bedömningar. Vi föreslår därför att uppgifter i databaser bör få lämnas ut till enskilda på medium för automatiserad behandling endast om regeringen har föreskrivit det.
Från regeln om att uppgifter får lämnas ut på medium för automatiserad behandling till enskilda endast med stöd av föreskrifter från regeringen, bör ett undantag göras. Det gäller när utlämnandet av uppgifterna följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Att det enligt dataskyddsdirektivet finns begränsningar av när överföring av personuppgifter till tredje land får förekomma, innebär inte att det föreligger några hinder mot utlämnande av uppgifter med stöd av internationella överenskommelser (se avsnitt 5.2.1). I de fall Sverige har åtagit sig att bistå utländska myndigheter eller offentliga organ med uppgifter – som kan vara under behandling i en databas – förefaller det enligt vår mening vara mindre lämpligt att det sätt på vilket uppgifterna får lämnas över skall vara beroende av att regeringen har reglerat frågan i en förordning. I de fallen
bör det enligt vår uppfattning i stället vara en fråga för den utlämnande myndigheten och det mottagande organet på vilket sätt informationen skall överföras. Undantag bör dock göras för utlämnande genom direktåtkomst (se avsnitt 6.7). Fråga om utlämnande av uppgifter med stöd av internationella överenskommelser aktualiseras främst i skatteförvaltningens beskattningsverksamhet och i Tullverkets verksamhet.
6.7. Direktåtkomst
Vårt förslag: Direktåtkomst till en databas skall få förekomma endast när det står i överensstämmelse med de ändamål för vilka uppgifter får behandlas i databasen.
De myndigheter som är personuppgiftsansvariga för behandling av uppgifter i en databas skall få ha direktåtkomst till samtliga uppgifter i databasen. Därutöver kan även vissa andra myndigheter få ha direktåtkomst till databasen. Regeringen skall dessutom ha möjlighet att såväl tillåta ytterligare myndigheter eller enskilda att ha direktåtkomst som inskränka en myndighets åtkomst enligt lagen.
Endast myndigheter som är personuppgiftsansvariga för behandling av uppgifter i en databas skall få ha direktåtkomst till elektroniska handlingar i databasen.
Regeringen skall ha möjlighet att meddela föreskrifter om att enskilda genom direktåtkomst skall få ha tillgång till uppgifter om sig själva.
6.7.1. Direktåtkomst är känsligt från integritetssynpunkt
Samlingar av uppgifter i elektroniska register hos myndigheter har sedan i vart fall 1970-talet varit omdiskuterade på grund av sådana samlingar ger möjligheter till sammanställningar av att information om medborgarna. En av de frågor som har varit mest omdiskuterad är myndigheters direktåtkomst till olika register. Det kan sägas ha funnits en mer eller mindre allmän inställning att det är illa nog att en myndighet själv samlar ett flertal uppgifter om människor i sin verksamhet, men att det är än värre när myndigheter kan komplettera sina egna uppgifter med uppgifter från andra myndigheters register direkt genom elektronisk behandling.
Den form av direktåtkomst som har varit – och fortfarande är – vanligast till olika register är myndigheternas terminalåtkomst, dvs. att en myndighet via en direktuppkopplad terminal kan gå in och söka uppgifter i andra myndigheters register. Det finns dock även andra typer av direktåtkomst. En metod som är vanlig inom t.ex. bankväsendet, men även i vissa statliga verksamheter, är inhämtande av uppgifter om sig själv på automatiserad väg via telefon. Som exempel kan nämnas att många bankkunder numera kan få information om sina konton och genomföra transaktioner genom knapptryckningar på telefonen. Motsvarande metod används också av många för att få information eller vidta åtgärder rörande det statliga bilregistret. I och med framväxten av Internet har också en ny möjlighet öppnat sig, nämligen olika former av direktåtkomst till uppgiftssamlingar som finns tillgängliga ”på nätet”.
6.7.2. Behandlingsändamålen bör vara styrande för direktåtkomst
Den fråga som vi i första hand har haft att ta ställning till är i vilken omfattning olika myndigheter skall få direkt tillgång till uppgifter från andra myndigheter i elektronisk form. Den princip som till i dag har varit förhärskande är att en myndighet skall få terminalåtkomst till andra myndigheters register endast i den mån det är nödvändigt – eller av stor betydelse – för den inhämtande myndighetens verksamhet och endast om syftet med åtkomsten omfattas av ändamålet för det register varifrån utlämnandet görs. Som exempel kan nämnas att kronofogdemyndigheterna har tillgång via terminal till uppgifter i skatteregistret i en omfattning som har ansetts värdefull från effektivitetssynpunkt. Åtkomsten har gjorts möjlig genom införandet av ett uttalat ändamål med skatteregistret, nämligen att det skall användas för utredningar i kronofogdemyndigheternas exekutiva verksamhet.
Dataskyddsdirektivet föreskriver att personuppgifter skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål samt att senare behandling inte får ske på ett sätt som är oförenligt med dessa ändamål (artikel 6.1b). I begreppet senare behandling innefattas bland annat all form av utlämnande av uppgifter, oavsett om detta sker manuellt genom utskrifter av innehållet i en databas eller på automatiserad väg genom t.ex. direktåtkomst. Vad som avses med att uppgifter inte får lämnas ut om det är oförenligt med de ändamål för vilka de samlades in är osäkert. Datalagskommittén ansåg detta vara en fråga som får ha sin lösning i framtida praxis (SOU 1997:39 s. 351). Enligt vår uppfattning bör direktivet tolkas så att ett utlämnande inte exakt måste motsvaras av
ett från början angivet ändamål, utan att det finns utrymme för ett visst spelrum (se avsnitt 6.6.1).
När det gäller utlämnande genom olika former av direktåtkomst anser vi att integritetsskäl kräver att enskilda i lagstiftningen bör kunna utläsa för vilka ändamål uppgifter får lämnas ut genom direktåtkomst. Direktåtkomst får med andra ord förekomma endast om det står i överensstämmelse med ändamålsbestämmelserna i den lag som reglerar databasen. Från den principen gör vi emellertid undantag för två särskilda former av direktåtkomst (se avsnitt 6.2.2 om sekundära ändamål). Det gäller enskildas åtkomst till uppgifter om sig själva samt allmän direktåtkomst till vissa uppgifter av särskilt stort allmänt intresse. Våra överväganden i fråga om de särskilda formerna av direktåtkomst redovisar vi i avsnitt 6.7.5 respektive 8.1.4 och 8.3.4.
6.7.3. Direktåtkomst inom en myndighetsorganisation
Vid bedömningen av vilka myndigheter som skall ha direktåtkomst till en viss databas bör en gränsdragning göras mellan myndigheter inom en myndighetsorganisation och myndigheter utanför en sådan. Det finns enligt vår uppfattning nämligen anledning att se olika på frågan om t.ex. vilka regionala skattemyndigheter som skall ha direktåtkomst till en beskattningsdatabas inom skatteförvaltningen och i vilka fall kronofogdemyndigheter skall ha sådan åtkomst till databasen. Från integritetssynpunkt torde det vara känsligare att sprida uppgifter till myndigheter med ansvar för andra verksamhetsområden än till myndigheter som har samma arbetsuppgifter men av organisatoriska skäl är regionalt avgränsade.
Den springande punkten i det här fallet, liksom i flera andra fall, är enligt vår mening avvägningen mellan hänsynen till myndigheternas effektivitet respektive de registrerades integritet. Det föreligger knappast något tvivel om de stora effektivitetsvinsterna i att myndigheter inom en organisation snabbt kan ta del av gemensamt användbara uppgifter genom direktåtkomst, oavsett hos vilken myndighet uppgifterna först har aktualiserats och registrerats. Som ett exempel på vad en inskränkt direktåtkomst kan ha för effekter kan tas skattemyndigheternas i dag regionalt begränsade terminalåtkomst till det centrala skatteregistret, vilken innebär att uppgifter som behövs i kontrollverksamheten måste hämtas in på annat sätt än genom terminalåtkomst (se avsnitt 3.1.2). Om en skattemyndighet t.ex. skall beskatta ett företag som har säte i regionen och som befinns äga eller ha bestämmande inflytande över andra företag som saknar anknytning till regionen, är det nödvändigt för
myndigheten att skaffa sig en helhetsbild av alla företagen. Av intresse är då bl.a. terminalbilder som innehåller avstämningar mellan uppbördsoch kontrolluppgifter. Dessa terminalbilder är dock inte tillgängliga beträffande företag som inte är regionanknutna, eftersom kontrolluppgifterna endast omfattas av regionåtkomst. En friare direktåtkomst skulle i det nämnda exemplet innebära väsentliga fördelar från effektivitetssynpunkt. Frågan är om obegränsad direktåtkomst inom en myndighetsorganisation kan accepteras från integritetssynpunkt.
Vi anser att de risker det innebär från integritetssynpunkt att t.ex. samtliga skattemyndigheter har full tillgång till en gemensam databas oavsett vilken myndighet som har registrerat uppgifterna, är förhållandevis små. Vid denna bedömning har vi beaktat att det i grund och botten handlar om samma verksamhet som av organisatoriska skäl är avgränsad till olika myndigheter. I detta sammanhang är det även viktigt att hålla i minnet att en obegränsad direktåtkomst till en databas inom en myndighetsorganisation inte innebär att samtliga anställda har tillgång till uppgifterna. Tvärtom medför personuppgiftslagens allmänna bestämmelser om grundläggande krav på och säkerhet vid behandling m.m. att olika åtgärder måste vidtas som förhindrar missbruk. Det kan t.ex. innebära att åtkomst till olika uppgifter inom en myndighet är starkt begränsad till olika behörighetsnivåer, vilket i sin tur innebär att det i slutändan är ett högst begränsat antal personer som har tillgång till samtliga uppgifter. Att dessa personer organisatoriskt befinner sig på olika myndigheter kan enligt vår mening inte anses så allvarligt från integritetssynpunkt att det bör hindra utvecklingen av effektiva datasystem.
Vår bedömning är således att starka effektivitetsskäl talar för att det inom en myndighetsorganisation inte sätts upp hinder för åtkomst till den gemensamma informationssamlingen. Detta ställer dock krav på att den i fråga om säkerhetsåtgärder personuppgiftsansvariga myndigheten sätter upp klara och tydliga gränsdragningar i fråga om vilka personer som skall ha tillgång till vilka uppgifter. Under sådana förutsättningar blir riskerna för oacceptabla integritetsintrång små och de bör inte förhindra möjligheterna att bedriva en effektiv myndighetsverksamhet med utnyttjande av de fördelar som ny teknik ger för myndigheterna såväl som för enskilda.
Även om vi i dag inte kan finna några bärande skäl för att begränsa direktåtkomsten till en databas inom den ansvariga myndighetsorganisationen, går det inte att med säkerhet säga att det inte kan uppstå situationer där åtkomsten bör vara begränsad i fråga om exempelvis vissa särskilt känsliga uppgifter. Regeringen bör enligt vår mening därför ha möjlighet att meddela föreskrifter om att en myndighets direktåtkomst till den gemensamma databasen skall inskränkas.
6.7.4. Direktåtkomst utanför en myndighetsorganisation
Som nämns ovan har myndigheters direktåtkomst till andra myndigheters elektroniskt lagrade uppgiftssamlingar, vanligen personregister, ansetts vara integritetskänsligt. Detsamma gäller utlämnande genom direktåtkomst till andra än myndigheter. Vi delar den uppfattningen och vill särskilt peka på de risker från integritetssynpunkt som direktåtkomst medför genom att den utlämnande myndigheten inte har möjlighet att i varje enskilt fall ta ställning till om de eftersökta uppgifterna bör lämnas ut. Rent allmänt anser vi därför att det finns starka skäl för att vara återhållsam med att tillåta direktåtkomst för andra än de personuppgiftsansvariga myndigheterna. I första hand bör i stället andra metoder för en effektiv informationshantering övervägas.
Hur stor restriktivitet som skall tilllämpas i fråga om direktåtkomst till en viss databas får avgöras med hänsyn till ett flertal omständigheter. För att direktåtkomst över huvud taget skall medges bör det enligt vår uppfattning först konstateras att åtkomsten leder till ökad effektivitet av betydelse hos mottagaren eller att åtkomsten på annat sätt är till särskild gagn för samhället. Det är således enligt vår mening inte lämpligt att medge direktåtkomst till en myndighets databas, när det inte kan förutses att mottagarna kommer att hämta in uppgifter från databasen i betydande omfattning. Av avgörande betydelse för om direktåtkomst skall medges till en databas anser vi vara hur känsliga uppgifterna är, något som i sig får bedömas med utgångspunkt i flera faktorer. En viktig indikation är enligt vår uppfattning vilken sekretess som gäller för uppgifterna i databasen. Ju strängare sekretess som gäller för uppgifterna, desto starkare skäl bör krävas för att direktåkomst skall medges. En annan faktor som vi anser vara av betydelse vid bedömningen av om direktåtkomst skall medges till en databas, är om åtkomsten skall avse en eller flera typer av uppgifter. Ju fler kategorier av uppgifter som omfattas av åtkomsten, desto större är riskerna generellt sett för integritetsintrång. Bedömningen av om direktåtkomst skall medges eller inte måste således utmynna i en avvägning mellan behovet av effektivitet i olika samhällsfunktioner och enskildas behov av ett gott integritetsskydd.
Av olika skäl, främst allmänhetens och myndigheternas behov av en effektiv ärendehantering, är det i vissa fall lämpligt att en myndighet har direktåtkomst till en annan myndighets uppgifter, även i de fall de tillhör olika myndighetsorganisationer. Vi redovisar i 3 kap. i vilken omfattning direktåtkomst förekommer till personregister inom skatteförvaltningen, exekutionsväsendet och Tullverket och vilka förutsättningar som gäller för sådan åtkomst. Vi anser att det inte finns skäl att begränsa de
möjligheter till direktåtkomst som finns i dag. I stället kan det sättas i fråga om det av effektivitetsskäl och på grund av de förändringar vi föreslår i regleringen av elektroniskt lagrade uppgiftssamlingar finns anledning att något utöka möjligheterna till direktåtkomst. En omedelbar följd av våra förslag är att det saknas skäl att i lag närmare begränsa vilka uppgifter i en myndighets databas som en annan myndighet utanför organisationen skall ha tillgång till. Vi föreslår nämligen att detaljreglering av vad som skall få föras in i en databas inte skall göras i lag (se avsnitt 4.3.5). I stället flyttas den regleringen ner till en lägre konstitutionell nivå. Frågan om det finns anledning att utöka direktåtkomsten för vissa myndigheter till olika databaser i förhållande till vad som gäller i dag, återkommer vi till i 8 kap. i samband med den närmare genomgången av de olika författningsförslagen. Generellt anser vi emellertid att regeringen i fråga om samtliga databaser bör ha möjlighet att genom föreskrifter tillåta direktåtkomst för myndigheter.
Vid sidan av myndigheter kan det komma att finnas anledning att tillåta även andra att ta del av uppgifter genom direktåtkomst. Det kan röra sig om exempelvis utländska myndigheter samt företag som bedriver viss offentlig verksamhet. Vi har dock, med vissa undantag, inte funnit anledning att direkt i lag närmare ange vilka enskilda som skall ha möjlighet att få direktåtkomst till olika databaser. I stället bör regeringen genom föreskrifter kunna tillåta direktåtkomst för andra än myndigheter, naturligtvis under förutsättning att integritetsskäl inte talar mot det. En ytterligare förutsättning – vilken vi föreslår skall gälla för samtliga databaser utom folkbokföringsdatabasen samt val- och folkomröstningsdatabasen – är att mottagaren bedriver författningsreglerad verksamhet. Som exempel på vad vi avser med sådan verksamhet kan nämnas verksamhet som bedrivs av de organ som enligt 1 kap. 8 § sekretesslagen skall jämställas med myndighet. Som vi nämner ovan bör stor restriktivitet generellt tillämpas i fråga om att medge direktåtkomst till myndigheters databaser. Detta gäller enligt vår uppfattning i än högre grad när den som skall ha direktåtkomst inte är en svensk myndighet. En särskild fråga är möjligheten för enskilda att genom direktåtkomst få tillgång till uppgifter om sig själva i myndigheternas databaser. Den frågan återkommer vi till i avsnitt 6.7.5.
Vi anser att det finns starka skäl att helt utesluta vissa typer av uppgifter från utomstående myndigheters och andras direktåtkomst. Det gäller uppgifter i elektroniska handlingar (se avsnitt 6.4). Sådana handlingar kan nämligen innehålla uppgifter av i stort sett vilken karaktär som helst, eftersom det bl.a. rör sig om av enskilda insända handlingar som har bildfångats och alltså finns ”fotografiskt” avbildade i databaserna. Behovet av tillgång till sådana bildfångade handlingar utanför den myndighetsorganisation som registrerar dem har vi bedömt vara
förhållandevis begränsat, medan däremot integritetskänsligheten hos uppgifterna kan vara stor. Det saknas därför skäl att i något fall medge myndigheter eller andra utanför den registrerande myndighetsorganisationen direktåtkomst till sådana inkomna handlingar. Elektroniska handlingar kan även utgöras av fullständiga beslut och andra handlingar som har upprättats elektroniskt hos en myndighet. Utomstående myndigheter kan i vissa fall behöva dessa beslut i sin verksamhet. Även sådana handlingar kan dock innehålla känsliga uppgifter och integritetsskäl talar därför för att de – trots att det kan innebära nackdelar från effektivitetssynpunkt – får tillhandahållas på annat sätt, t.ex. i form av pappersutskrifter eller via andra automatiserade behandlingar än direktåtkomst.
6.7.5. Enskildas direktåtkomst till egna uppgifter
I och med att allt fler personer får tillgång till Internet uppkommer frågor om hur de möjligheter som därigenom ges till informationsbehandling skall kunna användas av myndigheter. Ett användningområde som ligger nära till hands är möjligheten för enskilda att lämna uppgifter till myndigheter via Internet. I många fall skulle en effektiv hantering dock kräva att enskilda inte endast kan lämna uppgifter, utan även har möjlighet att ta del av myndighetens uppgifter om sig själva. Som exempel på hur direktåtkomst via Internet för envar till egna uppgifter skulle kunna utnyttjas kan tas skatteförvaltningens beskattningsverksamhet.
Självdeklarationer och skattedeklarationer får under vissa förutsättningar lämnas genom ett elektroniskt dokument. En viktig förutsättning är det tekniska förfarandet med vilket dokumentets innehåll och utställare kan verifieras. Hur detta tekniska förfarande ska gå till har ännu inte fastställts. Arbete pågår emellertid för att lösa dessa tekniska frågor, såväl nationellt som inom EU. Fysiska personer har inte någon större nytta av möjligheten att lämna sin deklaration genom ett elektroniskt dokument, innan den skattskyldige via Internet kan nå ett formulär med uppgifter om sig själv motsvarande de som är förtryckta på den förenklade självdeklaration som i dag skickas ut som brevförsändelse från skattemyndigheterna. När detta blir möjligt uppkommer stora fördelar för både skatteförvaltningen och den skattskyldige. Samma förfarande skulle också kunna utnyttjas vid t.ex. ansökningar om förslag till särskild beräkningsgrund eller som hjälp vid beräkning av skatt. Ett annat användningområde inom beskattningsverksamheten skulle vara att ge enskilda möjlighet att komma åt uppgifter om sina skattekonton. Med direktåtkomst till sitt skattekonto skulle en skattskyldig i samband med avgivande av självdeklaration enkelt kunna få uppgifter om behållningen
på kontot och därigenom få information om ytterligare inbetalning krävs eller om han kan kräva återbetalning av överskjutande belopp.
Som exempel på ett annat område där möjligheten att nå egna uppgifter skulle fylla ett behov – och där visst arbete har påbörjats – kan tas företagens uppgiftslämnande till myndigheter. Riksskatteverket har tillsammans med Patent- och registreringsverket på regeringens uppdrag analyserat uppgiftskrav och handläggningsrutiner av företag hos Patentoch registreringsverket samt skattemyndigheterna. I sin slutrapport den 4 mars 1999 föreslår verken bl.a. att det på myndigheternas hemsidor på Internet skall finnas en gemensam elektronisk blankett för start av företag m.m. som kan lämnas in elektroniskt. En effektivitetshöjande vidareutveckling skulle vara att denna blankett var ifylld med de uppgifter som myndigheterna redan har tillgång till. En sådan utveckling kräver att envar får ha direktåtkomst till uppgifter om sig själva.
Även inom folkbokföringsverksamheten planeras elektroniska förfaranden som komplement till mer traditionella rutiner (jfr prop. 1997/98:136 s. 59 f.). Vad som avses är t.ex. att Internet skall kunna utnyttjas för att anmäla flyttning eller göra namnanmälan för ett nyfött barn. För att sådana anmälningsrutiner skall bli ett effektivt alternativ krävs att enskilda samtidigt får tillgång till de uppgifter om dem själva som finns hos myndigheten före ändringen.
En reglering av möjligheten för enskilda att komma åt uppgifter om sig själva bör enligt vår uppfattning inte utformas som en rättighet för enskilda, eftersom det i myndigheternas databaser kan finnas uppgifter som den enskilde inte bör ta del av, t.ex. uppgifter om planerade revisioner eller liknande åtgärder. I stället bör regleringen utformas som en möjlighet för regeringen att meddela föreskrifter om att envar får ha direktåtkomst till vissa egna uppgifter.
En förutsättning för att enskilda skall ges möjlighet att komma åt egna uppgifter genom direktåtkomst, är emellertid att det finns säkra tekniska lösningar som garanterar att de inte får tillgång även till uppgifter om andra personer. Innan sådana tekniska lösningar finns får enligt vår bestämda uppfattning direktåtkomst till egna uppgifter inte tilllåtas. Under förutsättning att säkerheten är tillräcklig ser vi inte några integritetsskäl som talar mot att enskilda kan ta del av uppgifter om sig själva via Internet. Tvärtom kan det, om än i begränsad omfattning, ge enskilda möjlighet att kontrollera att de uppgifter om dem som behandlas hos myndigheter är korrekta. Enligt vår uppfattning skulle ett förfarande med sådan direktåtkomst inte heller komma att stå i strid med dataskyddsdirektivets bestämmelser om överföring av personuppgifter till tredje land. Den som befinner sig i ett tredje land och begär att få del av uppgifter om sig själv via Internet, måste nämligen genom sin begäran anses ha gett sitt samtycke till att uppgifterna lämnas ut.
Vi förslår att det för samtliga databaser införs bestämmelser som innebär att regeringen får meddela föreskrifter om att enskilda får ha direktåtkomst till uppgifter om sig själva. Regeringen, eller den myndighet som regeringen bestämmer, bör dessutom genom föreskrifter närmare ange till vilka uppgifter direktåtkomst får förekomma.
6.8. Bevarande och gallring av uppgifter
Vårt förslag: Bestämmelser om gallring och bevarande av uppgifter i databaser skall förenklas i förhållande till vad som allmänt gäller för personregister i dag.
För databaser som vi bedömer vara känsliga från integritetssynpunkt skall i lag som huvudregel slås fast att uppgifter skall gallras efter viss tid. Regeringen eller den myndighet som regeringen bestämmer (Riksarkivet) skall dock ha möjlighet att meddela föreskrifter dels om undantag från huvudregeln, dels om att uppgifter som undantas från gallring skall överlämnas till en arkivmyndighet.
För databaser som vi anser vara mindre integritetskänsliga skall endast arkivlagens bestämmelser tillämpas.
6.8.1. Behovet av bestämmelser om gallring
Vi konstaterar tidigare att det uppstår integritetsproblem när stora mängder uppgifter om enskilda personer samlas hos myndigheter, i synnerhet som dagens teknik tillåter att avancerade sammanställningar av information kan göras på ett enkelt sätt (se avsnitt 4.2). En metod att minska integritetskänsligheten är att se till att uppgifter som inte längre behövs för en myndighets verksamhet inte finns kvar i myndighetens uppgiftssamlingar eller register. För att uppnå detta krävs bestämmelser om gallring av uppgifter eller om överlämnande av uppgifter till en arkivmyndighet.
Vid utformningen av gallringsbestämmelser måste det dock hållas i minnet att offentlighetsprincipen – för att den inte skall bli verkningslös – ställer krav på att vissa uppgifter bevaras för framtiden. Uppgifter får i princip aldrig gallras i sådan omfattning att det äventyrar arkivens roll som en del av kulturarvet eller något av de tre huvudändamålen med arkivverksamheten. Även efter en genomförd gallring måste arkiven således kunna tillgodose rätten att ta del av allmänna handlingar, rättsskipningens och förvaltningens behov samt forskningens behov. Det är alltså inte så
enkelt att bara ange att samtliga uppgifter skall gallras när de inte behövs för verksamheten. Tvärtom behövs en avvägning mellan integritets- och offentlighetsintresset. Detta är viktigt inte minst i en tid då mängder av uppgifter finns endast i elektronisk form. En total gallring av uppgifter i ett dataregister kan med andra ord omöjliggöra en senare rekonstruktion av händelseförlopp. Integritetsintresset tjänas inte alltid bäst av att så många uppgifter som möjligt gallras. I vissa fall har bevarandet av känsliga uppgifter visat sig vara till stor fördel för enskilda. Som exempel kan nämnas steriliseringsfrågan. Ett stort antal personer kan efter många år nu få upprättelse för tidigare allvarliga integritetskränkningar, just på grund av att de känsliga uppgifterna inte har förstörts, utan i stället har bevarats och därigenom kunnat utgöra underlag för att rekonstruera historiska händelseförlopp.
Grundläggande bestämmelser om bevarande och gallring av uppgifter hos myndigheter finns i 2 kap. tryckfrihetsförordningen och arkivlagen (1990:782). Innebörden av dessa bestämmelser redovisas i avsnitt 2.6. I dag kompletteras dessa regler ofta med särskilda bestämmelser i registerförfattningarna. Gallringsbestämmelserna i de författningarna är i flera fall svåra att tillämpa på grund av den detaljerade uppläggningen av bestämmelserna. Enligt vår bedömning finns det behov av klara och enkla regler om gallring i de lagar som skall reglera behandling av personuppgifter i myndighetsverksamhet. Hur dessa bestämmelser bör utformas kan bero på sådana omständigheter som omfattningen av och integritetskänsligheten hos de registrerade uppgifterna.
6.8.2. Alternativa metoder för reglering av bevarande och gallring
Vi har funnit att det finns fem huvudalternativ till hur gallrings- och bevarandefrågor kan regleras i speciallagstiftningen för behandling av personuppgifter i myndighetsverksamhet, nämligen
1. att inte ha några särbestämmelser över huvud taget,
2. att ange att regeringen eller Riksarkivet får besluta om gallring skall
ske,
3. att ange att samtliga uppgifter skall gallras och när det skall göras,
men ge regeringen eller Riksarkivet möjlighet att besluta om undantag,
4. att i detalj ange vilka uppgifter som skall gallras eller bevaras och när
gallring skall göras, men ge regeringen eller Riksarkivet möjlighet att besluta om undantag, eller
5. att ange att samtliga uppgifter skall gallras och när det skall göras,
utan möjlighet för regeringen eller Riksarkivet att besluta om undantag.
För integritetskänsliga databaser är det enligt vår bedömning tveksamt att tillämpa alternativ 1. Det skulle innebära att lagstiftaren inte hade någon direkt kontroll över gallringsförfarandet för de aktuella uppgifterna, utan att de generella och allmänna bestämmelserna i arkivlagen skulle gälla fullt ut. Tekniken har i och för sig använts i annan lagstiftning som rör känsliga uppgifter, men det har då funnits särskilda skäl för det. I lagen (1998:543) om hälsodataregister saknas bestämmelser om gallring, vilket innebär att arkivlagens bestämmelser blir tillämpliga. Regeringen konstaterade i förarbetena att en alltför omfattande gallring kunde leda till att det inte finns tillräckligt med material för t.ex. epidemiologiska undersökningar, medan en alltför begränsad gallring kunde leda till att känsliga uppgifter om enskilda sparas i onödan. På grund av svårigheterna med att i lagform reglera flera olika register som förändras över tiden avseende innehåll m.m., stannade regeringen vid att låta arkivlagens bestämmelser gälla (prop. 1997/98:108 s. 59 f.).
Även alternativ 2 kan ifrågasättas från integritetssynpunkt. En tilllämpning av den metoden skulle innebära att alla uppgifter i en databas bevaras, om det inte särskilt föreskrivs eller beslutas om att de skall gallras. För omfattande uppgiftssamlingar är det knappast en lämplig metod ur någon synvinkel. Inte minst kan problem uppstå när nya kategorier av uppgifter tillkommer. Det skulle då krävas särskilda beslut eller föreskrifter för att dessa uppgifter över huvud taget skulle gallras. En underlåtenhet att reglera gallring skulle leda till att uppgifterna bevaras utan tidsgräns.
Om alternativ 3 kan sägas att det är en metod som utgår från att det i lag ställs upp huvudregler för när gallring skall ske. Regeringen eller Riksarkivet kan sedan besluta eller meddela föreskrifter om att vissa kategorier av uppgifter skall gallras vid en tidigare tidpunkt medan andra uppgifter skall bevaras under längre tid eller inte gallras över huvud taget. Detta innebär en fördel från författningssynpunkt, eftersom särskild reglering behöver göras endast när det finns skäl för det. En ytterligare fördel med en sådan metod är att det direkt i lagtexten finns en ”säkerhetsventil” mot att stora uppgiftssamlingar innehåller uppgifter som inte har något faktiskt värde, men som på grund av sin omfattning kan vara skadliga från integritetssynpunkt. Det bör dock noteras att metoden ställer krav på att det efter hand tas ställning till hur nya uppgiftskategorier skall behandlas, eftersom de annars kan komma att gallras ut helt utan att material bevaras för framtiden.
En fördel med alternativ 4 är att det direkt i lag klargörs vad som gäller för olika kategorier av uppgifter. Det torde därför inte krävas någon större författningsreglering i efterhand av regeringen eller Riksarkivet. Alternativet har dock nackdelen att lagstiftningen kan komma att bli onödigt detaljerad och svårtillämpad. Så är t.ex. fallet i dag med skatteregisterlagens gallringsbestämmelser. Därtill kommer att lagen eventuellt skulle behöva ändras i samband med att nya uppgiftskategorier tillförs eller tas bort från databasen, vilket i möjligaste mån bör undvikas. Slutligen kan det hävdas att en sådan ordning kräver mycket noggranna överväganden om vilka uppgifter som behöver bevaras av olika skäl som t.ex. för forskningens behov. Sådana gallringsutredningar är det tveksamt om riksdagen skall behöva ta ställning till.
När det gäller alternativ 5 är det enligt vår bedömning klart att nackdelarna är så stora att metoden inte bör komma i fråga. Förutom problemen – som även gäller för alternativ 4 – med att lagbestämmelserna av nödvändighet måste bli detaljerade, tillkommer risken att samhällets behov av att uppgifter bevaras blir eftersatt.
6.8.3. Olika metoder för olika databaser
Vi gör bedömningen att en metod som innebär att endast arkivlagens bestämmelser skall tillämpas (alternativ 1 ovan) bör kunna tillämpas i de fall då databaserna av olika skäl inte kan anses särskilt integritetskänsliga. Några särskilda regler om bevarande och gallring för att garantera enskildas integritet lär då inte behövas, samtidigt som arkivlagens bestämmelser säkerställer att uppgifter bevaras i den omfattning som offentlighetsprincipen kräver.
För databaser som är mer integritetskänsliga anser vi att det lämpligaste är att tillämpa en metod som innebär att det i lagtexten anges huvudregler för när gallring skall ske, men att regeringen eller den myndighet som regeringen bestämmer, Riksarkivet, ges möjligheter att föreskriva eller fatta beslut om undantag när det anses motiverat (alternativ 3 ovan). Denna lagstiftningsteknik gör det möjligt att ta hänsyn till såväl offentlighets- som integritetsintressen, utan att det samtidigt kräver en mer omfattande eller tillkrånglad författningsreglering. Att uppgifter skall gallras ur en databas innebär inte med nödvändighet att uppgifterna raderas från lagringsmedierna eller förstörs på annat sätt. Det kan vara tillräckligt att åtgärder vidtas så att uppgifterna inte är tillgängliga för myndigheten i den löpande verksamheten. Det kan finnas anledning att i någon form bevara uppgifter som inte längre bör finnas tillgängliga i en databas. I de fall uttryckliga gallringsbestämmelser skall finnas för en databas, föreslår vi därför att regeringen eller den myndighet regeringen
bestämmer skall ges möjlighet att meddela föreskrifter om att uppgifter som undantas från gallring skall överlämnas till en arkivmyndighet. Med en sådan ordning är det möjligt att utnyttja den kunskap och överblick som arkivmyndigheterna besitter i fråga om arkivbildning. Därigenom kan irreparabla misstag i form av oåterkallelig och från arkivbildningens synpunkt felaktig gallring lättare undvikas.
Vilken metod som enligt vår uppfattning lämpar sig bäst för de olika databaserna, redovisar vi i 8 kap. i samband med den närmare genomgången av bl.a. gallringsbestämmelserna i våra lagförslag för skatteförvaltningen, exekutionsväsendet och Tullverket.
6.9. Myndigheters avgiftsuttag vid utlämnande av uppgifter
Vårt förslag: En myndighet som är personuppgiftsansvarig för behandling av uppgifter i en databas, skall få ta ut avgifter för att lämna ut uppgifter ur databasen. Regeringen skall meddela närmare föreskrifter om avgiftsuttag.
Rätten för myndigheter att ta ut avgifter skall inte få innebära inskränkning i rätten att enligt tryckfrihetsförordningen ta del av och mot fastställd avgift få kopia eller utskrift av allmän handling.
6.9.1. Riksrevisionsverkets rapport om avgiftsuttag inom offentlig sektor
Regeringen gav år 1995 Riksrevisionsverket i uppdrag att ta fram principer för prissättning av informationstjänster inom den offentliga sektorn. Uppdraget omfattade att ”ta fram enhetliga principer för prissättning av avgiftsbelagda uttag ur databaser med elektroniskt lagrade uppgifter”. Sådant uttag angavs kunna ske genom direktuppkoppling, utskrifter, överföring av uppgifter till diskett, cd-skiva eller liknande. Med databas avsåg man ”data ordnade i dataregister för ett eller flera ändamål”. Riksrevisionsverkets uppdrag – som genomfördes i samarbete med Statistiska centralbyrån och Statskontoret – presenterades i rapporten Principer för prissättning av informationstjänster (RRV 1995:64).
Riksrevisionsverket föreslog i rapporten att en enhetlig princip för prissättning av uttag av information ur databaser skulle tillämpas inom den offentliga sektorn, om inget annat beslutas särskilt. Principen inne-
bär att avgifterna för uttagen skall beräknas så att samtliga kostnader för att framställa och distribuera uttagen täcks.
Fyra tänkbara motiv för avgiftsbeläggning av informationstjänster redovisades:
- finansiella skäl (statsbudgeten avlastas),
- fördelningspolitiska skäl (det kan anses skäligt att den som efterfrågar en tjänst och som orsakar kostnader får betala),
- avgifterna kan användas i styrande syfte,
- ökat kostnadsmedvetande.
Riksrevisionsverket pekade på vissa hinder för att avgiftsbelägga uttag av uppgifter ur offentliga databaser. Först och främst garanterar offentlighetsprincipen i 2 kap. tryckfrihetsförordningen rätten för enskilda att kostnadsfritt ta del av information i form av allmänna handlingar och att mot fastställd avgift få del av kopia eller utskrift. Bestämmelser om sådana avgifter finns i 15–24 §§avgiftsförordningen (1992:191). Av 15 kap. 4 § sekretesslagen (1980:100) samt 4 och 6 §§förvaltningslagen (1986:223) följer att myndigheter har en serviceskyldighet gentemot enskilda eller andra myndigheter som innebär att information under vissa förutsättningar skall tillhandahållas avgiftsfritt. En tredje omständighet som kan förhindra avgiftsuttag är i lagstiftning föreskriven uppgiftsplikt. Statsmakten kan härigenom ha ålagt en myndighet att avgiftsfritt föra över uppgifter till en annan myndighet. Slutligen konstaterar Riksrevisionsverket att avgiftsuttag inte får motverka syftet med en myndighets verksamhet. En myndighet kan i sin verksamhet vara betjänt av att uppgifter sprids i största möjliga omfattning, och att under sådana omständigheter avgiftsbelägga rätten till informationen kan missgynna myndigheten.
6.9.2. Regeringens syn på avgiftsuttag
Regeringen markerade i prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, att en enkel, säker och kostnadseffektiv tillgång till samhällets grundläggande information, eller grunddata, är av väsentlig betydelse såväl för den offentliga förvaltningen som för medborgare och företag samt att de möjligheter som tillkommit att enkelt ta del av myndigheters information till följd av deras IT-anpassning måste tas till vara. Med grunddata avsåg regeringen offentlig information med bred användning som är av vikt för samhällets effektivitet.
Regeringen konstaterade att principen för avgiftssättning i fråga om myndigheters tillhandahållande av olika varor och tjänster är full
kostnadstäckning enligt beslut av riksdagen (prop. 1989/90:138, 1989/90:FiU38, rskr. 1989/90:289) och att bestämmelser om detta finns i avgiftsförordningen (1992:191), men att det saknas uttrycklig reglering av tillhandahållande av uppgifter i elektronisk form. Regeringen fann att den avgift som en myndighet får ta ut bör begränsas för att förbättra tillgängligheten till elektroniskt lagrad information. Avgiften bör därför grundas på kostnaden för att ta fram och distribuera informationen, medan de indirekta kostnaderna för att bl.a. samla in och lagra informationen inte bör räknas in.
6.9.3. Regeringsbeslut om avgiftsuttag inom skatteförvaltningen och exekutionsväsendet
Regeringen beslutade den 30 mars 1995 att medge att Riksskatteverket, skattemyndigheterna och kronofogdemyndigheterna får ta ut avgift för att lämna ut uppgifter ur regionala folkbokföringsregister, skatteregister, regionala fastighetstaxeringsregister, utsökningsregistret samt registren för betalningsföreläggande och handräckning. Medgivandet gällde inte utlämnande som följer av offentlighetsprincipen eller annars av en skyldighet enligt lag eller förordning att lämna ut uppgifter. Beslutet, som gällde till utgången av 1995, har vid flera tillfällen ersatts av nya beslut, varigenom regeringen förlängt medgivandet att ta ut avgifter. Det senaste beslutet fattades den 3 december 1998 och gäller till den 1 juli 2001.
Rätten att ta ut avgifter enligt regeringens beslut har av de olika myndigheterna utnyttjats i olika omfattning. Avgifter tas bl.a. ut inom exekutionsväsendet för utlämnande av uppgifter till kreditupplysningsföretag samt inom skatteförvaltningen för utlämnande till kreditupplysningsföretag, kommuner, landsting och församlingar. Redovisningen för Riksskatteverket, skattemyndigheterna och kronofogdemyndigheterna är utformad på sådant sätt att det i efterhand inte är möjligt att mer exakt ge besked om vilka avgiftsintäkter som härrör från avgiftsbelagt utlämnande med stöd av regeringens medgivande. En överslagsberäkning från Riksskatteverket ger dock vid handen att merparten av intäkterna kommer från exekutionsväsendets utlämnande till kreditupplysningsföretag.
6.9.4. När bör avgifter få tas ut?
Såsom Riksrevisionsverket har redovisat i sin rapport Principer för prissättning av informationstjänster (RRV 1995:64) kan det finnas olika skäl
för att en myndighet tar ut eller avstår från att ta ut avgifter (se avsnitt 6.9.1). Vi anser, vilket vi motiverar nedan, att det för skatteförvaltningen, exekutionsväsendet och Tullverket är möjligt att slå fast vissa grundläggande principer som kan vara vägledande för när avgifter skall tas ut respektive inte tas ut vid utlämnande ur databaser, nämligen följande:
- avgifter skall normalt tas ut inom folkbokföringsverksamheten oavsett till vem uppgifter lämnas ut,
- avgifter skall normalt tas ut inom samtliga verksamheter när utlämnade sker till enskilda subjekt,
- avgifter skall normalt tas ut inom samtliga verksamheter när uppgifter lämnas ut i form av sammanställningar (statistiska beräkningar e.d.) till myndigheter eller enskilda,
- avgifter bör inte tas ut vid utlämnande av uppgifter till statliga myndigheter,
- avgifter bör inte tas ut när den utlämnande myndigheten själv har nytta av att utlämnande sker i så stor omfattning som möjligt.
Det grundläggande syftet med folkbokföringen är att tillgodose samhällets behov av folkbokföringsuppgifter, vilket skulle kunna tala för att avgifter inte skall tas ut i den verksamheten. Det kan nämligen argumenteras för att ett frekvent utlämnande av folkbokföringsuppgifter kommer samhället tillgodo på olika sätt, t.ex. genom ökad effektivitet inom den offentliga sektorn. Folkbokföringsverksamheten belastas dock i olika hög grad av myndigheter m.fl. i samhället när det gäller uttag av uppgifter, vilket innebär att avgiftsfrihet skulle leda till en snedfördelning av kostnadsansvaret för verksamheten. Enligt vår mening finns det fog för principen att kostnaden för uppgiftsuttagen skall fördelas mellan dem som tar del av uppgifterna i proportion till mängden uppgifter som de får del av. Vi är därför av den uppfattningen att automatiserat utlämnande av folkbokföringsuppgifter bör vara avgiftsbelagt. En följd av denna principiella inställning är att vi inte anser att det finns några bärande skäl för att bevara den avgiftsfrihet som i dag gäller inom folkbokföringen för utlämnande av uppgifter i aviseringsregistret till Rikspolisstyrelsen, Riksförsäkringsverket, Totalförsvarets pliktverk, Lantmäteriverket och Statistiska centralbyrån
Enskilda har normalt möjlighet att få tillgång till uppgifter med stöd av tryckfrihetsförordningen. För sådant uppgiftsutlämnande finns särskilda bestämmelser om avgifter. När enskilda vill ta del av en större mängd uppgifter på medium för automatiserad behandling – vilket inte omfattas av tryckfrihetsförordningens bestämmelser – av t.ex. marknadsföringsskäl eller av andra orsaker som betingas av bedriven närings-
verksamhet, finns det enligt vår mening anledning att låta dem som drar nytta av uppgifterna att bidra ekonomiskt till den verksamhet från vilken utlämnandet sker. Vid utlämnande på elektronisk väg till enskilda bör de utlämnande myndigheterna således få ta ut avgifter.
När en myndighet på beställning av andra myndigheter m.fl. gör statistiska sammanställningar eller andra beräkningar på automatiserad väg av uppgifter i databaser, är det enligt vår mening rimligt att beställaren bär kostnaden för de behandlingar som ligger till grund för utlämnandet. Detsamma bör gälla när det finns en efterfrågan på t.ex. statistiska sammanställningar som regelmässigt tillhandahålls av en myndighet utan att det uttryckligen är en beställning från ett eller flera subjekt. Enligt vad vi har erfarit är sådant utlämnande främst aktuellt för Tullverket.
Mellan bl.a. Tullverket och myndigheter inom skatteförvaltningen förekommer ett nära samarbete i ett antal frågor. Det gäller främst kontrollverksamhet m.m. avseende mervärdesskatt och punktskatter. När myndigheter med näraliggande verksamheter lämnar ut uppgifter till varandra, är det enligt vår uppfattning inte rimligt att avgifter tas ut. Tvärtom är det värdefullt att ett sådant utbyte av uppgifter flyter så smidigt som möjligt och att belägga sådant utlämnande med avgifter är enligt vår mening inte motiverat från någon synpunkt. Även när det inte förekommer ett direkt löpande samarbete mellan myndigheter, anser vi att mycket talar för att avgifter inte bör tas ut av statliga myndigheter. När en statlig myndighet begär uppgifter från exempelvis en skatte- eller kronofogdemyndighet, får det förutsättas att uppgifterna är avsedda att användas på ett för staten värdefullt sätt. Även om det kan argumenteras för att kostnaden för utlämnande av uppgifter mellan statliga myndigheter av budgeteringsskäl bör fördelas, anser vi inte att det finns bärande skäl för att t.ex. Rikspolisstyrelsen eller Riksförsäkringsverket m.fl. skall betala avgifter för uppgifter från skatteförvaltningen, exekutionsväsendet eller Tullverket som de behöver i sin verksamhet. Undantag från denna princip bör dock göras vid löpande uttag av folkbokföringsuppgifter (se ovan om folkbokföringsuppgifter).
Det förekommer att myndigheter på elektronisk väg tillhandahåller – eller vill ha möjlighet att tillhandahålla – uppgifter för att de skall få så omfattande spridning som möjligt. I de fallen kan det närmast vara hämmande för verksamheten att avgiftsbelägga utlämnandet och sådana uppgifter bör således tillhandahållas kostnadsfritt. Som exempel på uppgifter vilka bör få så stor spridning som möjligt, kan nämnas information från skatteförvaltningen om näringsidkares innehav av skattsedel.
6.9.5. En lagreglerad rätt att ta ut avgifter
En fråga som inställer sig är om det finns anledning att författningsreglera rätten för myndigheter att ta ut avgifter vid utlämnande av uppgifter ur databaser. En sådan reglering skulle ersätta det i avsnitt 6.9.3 diskuterade medgivande som regeringen har lämnat Riksskatteverket, skattemyndigheterna och kronofogdemyndigheterna att ta ut avgifter vid utlämnande från olika register. Om det medgivandet kan förväntas bli permanentat talar starka skäl för att direkt i den lagstiftning som skall reglera behandlingen av personuppgifter ge myndigheterna rätt att ta ut avgifter. En sådan reglering skulle bli aktuell i flertalet av de lagar vi föreslår. Avgifter får nämligen tas ut inom beskattningsverksamhet, folkbokföringsverksamhet, utsökningsverksamhet m.m. Det kan även finnas anledning att ha motsvarande reglering för Tullverkets databas.
Vi redovisar i föregående avsnitt som vår inställning att avgifter under vissa förutsättningar bör få tas ut vid utlämnande från myndigheternas databaser. Vi föreslår därför att de myndigheter som berörs av våra lagförslag skall ges möjlighet att ta ut avgifter för att lämna ut uppgifter ut databaser. Det bör dock ankomma på regeringen att närmare föreskriva om när och i vilken omfattning avgifter skall tas ut. Avgiftsuttag enligt den föreslagna bestämmelsen får naturligtvis inte inskränka på rätten att ta del av och mot i annan ordning fastställd avgift få kopia eller avskrift av en allmän handling enligt tryckfrihetsförordningen.
kan därför inte ställas krav på rättelse. Liknande situationer kan självfallet uppstå även hos kronofogdemyndigheter och hos Tullverket.
Även om det inte är möjligt att ge en exakt definition på vad som är en oriktig uppgift, anser vi att man bör ha som utgångspunkt att en uppgift, trots att den inte återger en korrekt bild av ett sakförhållande, inte är oriktig i den bemärkelsen att den skall rättas, om den korrekt återger ett händelseförlopp i verksamheten och dessutom behövs i densamma. Bedömningen av om en uppgift behövs i verksamheten måste enligt vår uppfattning göras mot bakgrund av de primära ändamålen för en databas (se avsnitt 6.2.2). Riktigheten av en uppgift som behandlas i beskattningsdatabasen måste således bedömas mot bakgrund av skatteförvaltningens behov av uppgiften i beskattningsverksamheten. Det får emellertid bli en fråga för framtida praxis att ge närmare lösningar på problemen med att avgöra under vilka förutsättningar rättelse skall göras.
I det här sammanhanget är det viktigt att påpeka att frågan om rättelse av materiella förhållanden inte skall göras med stöd av bestämmelserna i personuppgiftslagen, utan med stöd av den lagstiftning som gäller för den materiella verksamheten. En skattskyldig som är missnöjd med skattemyndighetens beslut om vilken taxerad inkomst som skall åsättas honom, skall självfallet begära omprövning av beslutet med stöd av taxeringslagen. Den taxerade inkomsten kan inte materiellt ändras efter en begäran om rättelse enligt 28 § personuppgiftslagen av den i databasen registrerade uppgiften.
Olika former av rättelse
Rättelse kan göras genom att en uppgift rättas, blockeras eller utplånas (se avsnitt 7.2.1). Att en personuppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter. Med blockering avses en åtgärd som vidtas för att personuppgifter skall vara förknippade med information om att de är spärrade och om anledningen till spärren. Att en uppgift utplånas innebär att den förstörs så att den inte kan återskapas. I personuppgiftslagen finns inga bestämmelser om när en viss form av rättelse skall vidtas, utan det bör vara upp till den personuppgiftsansvarige om en uppgift skall rättas, blockeras eller utplånas.
Det torde ofta inte vara några problem att avgöra hur rättelse skall göras. Om en uppgift har blivit felaktig i samband med registreringen, t.ex. angivande av felaktig adress för en part i ett ärende, bör felet givetvis åtgärdas genom att uppgiften rättas, dvs. i nämnda exempel att korrekt adress anges. Om en uppgift som enligt lagstiftningen över huvud taget inte får behandlas i en databas ändå har registrerats, är den enda rimliga åtgärden att uppgiften utplånas. När en uppgift befinns vara oriktig, men ändå är av betydelse i verksamheten, kan ett alternativ
vara att uppgiften kompletteras med nya och korrekta uppgifter samtidigt som den ursprungliga uppgiften blockeras.
Någon närmare vägledning om hur rättelse skall göras är enligt vår mening inte möjligt att ge. En bedömning av vilken åtgärd som är mest ändamålsenlig får göras i de enskilda fallen.
Personuppgiftsansvaret
Skyldigheten att göra rättelse åligger den personuppgiftsansvarige. För behandling av personuppgifter i skatteförvaltningens och exekutionsväsendets verksamheter föreslår vi ett delat personuppgiftsansvar på så sätt att en myndighet är personuppgiftsansvarig för den behandling som ankommer på myndigheten att utföra (se avsnitt 5.2.2). Det innebär att det i fråga om den personuppgiftsansvariges skyldighet att på begäran av enskild göra rättelse, kan bli aktuellt att fördela ansvaret så att rättelse utförs av flera olika myndigheter. I praktiken torde det dock inte behöva medföra några problem att avgöra vilken myndighet som ansvarar för att rättelse görs. Den myndighet på vilken det ankommer att registrera en uppgift i en databas ansvarar för att uppgiften blir korrekt registrerad, medan de myndigheter som vid senare tillfällen använder uppgiften var och en ansvarar för sin behandling. Ansvaret för att uppgifter blir korrekt registrerade innebär inte endast ett ansvar för att de uppgifter som registreras är riktiga, utan även för att registrering faktiskt görs när det följer av de bestämmelser som gäller för verksamheten.
Liksom i fråga om informationsskyldigheten bör myndigheterna, för att undvika de problem det kan innebära att flera myndigheter kan vara personuppgiftsansvariga, hjälpa enskilda med upplysningar om vart de skall vända sig för att få rättelse till stånd (se avsnitt 7.1.2).
7.3 Skadestånd
Vårt förslag:Personuppgiftslagens bestämmelse om skadestånd skall tillämpas när personuppgifter behandlas enligt den särskilda lagstiftningen för skatteförvaltningen, exekutionsväsendet och Tullverket.
Enligt 48 § personuppgiftslagen skall den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Rätten till skadestånd bör finnas även för skada och kränkning som uppstår när uppgifter behandlas i strid med de särskilda bestämmelserna i våra lagförslag. Vi förslår därför att bestämmelserna om skadestånd i 48 § personuppgiftslagen skall tillämpas när personuppgifter behandlas i strid med den av oss föreslagna lagstiftningen.
7.4 Överklagande
Vårt förslag: Myndigheters beslut om information som skall lämnas efter ansökan och om rättelse skall kunna överklagas hos allmän förvaltningsdomstol. Andra beslut får inte överklagas.
Prövningstillstånd skall krävas vid överklagande till kammarrätt.
Vårt uppdrag omfattar regleringen av behandling av personuppgifter hos olika förvaltningsmyndigheter. Beslut av sådana myndigheter, med undantag för beslut av rent administrativ eller intern karaktär, som direkt berör enskilda bör enligt vår mening kunna överklagas. De beslut som vi anser skall kunna överklagas är beslut att avslå en ansökan om information om pågående behandling samt beslut att avslå en begäran om rättelse. Andra beslut av den personuppgiftsansvariga myndigheten bör inte kunna överklagas. Frågor om skadestånd och straff prövas av allmän domstol och berörs inte av den föreslagna bestämmelsen.
Myndigheters beslut att avslå en ansökan om information om pågående behandlingar kan avse rätten att få besked i fråga om personuppgifter behandlas eller inte samt rätten att få skriftlig information om personuppgifter som behandlas. Överklagande bör vara möjligt i bägge fallen. Den informationsskyldighet som föreskrivs i 26 § personuppgiftslagen är i flera avseenden vidare än skyldigheten för myndigheter att
enligt tryckfrihetsförordningen lämna ut allmän handling. Således skall informationen lämnas kostnadsfritt en gång per år samt innehålla upplysning om varifrån uppgifterna har hämtats och vilka ändamålen med behandlingen är. Den möjlighet som enligt sekretesslagen finns att överklaga ett beslut om avslag på en begäran att få ut en allmän handling, kan därför inte ersätta en särskild överklagandebestämmelse.
Besluten bör överklagas till allmän förvaltningsdomstol och det bör krävas prövningstillstånd vid överklagande till kammarrätten.
8. Särskilda bestämmelser för olika verksamheter
Vårt uppdrag omfattar en översyn av registerlagstiftningen inom verksamheter som spänner över stora områden. Inom skatteförvaltningen hanteras personuppgifter och andra uppgifter i såväl beskattnings- som folkbokföringsverksamhet. Dessutom är skatteförvaltningen – tillsammans med länsstyrelserna och de kommunala valnämnderna – ansvarig för verksamheten med val och folkomröstningar. Exekutionsväsendets uppgifter omfattar utsöknings- och indrivningsverksamhet, skuldsaneringsverksamhet, verksamhet med betalningsföreläggande och handräckning (summarisk process) samt verksamhet med tillsyn i konkurs. Vidare ingår i vårt uppdrag att utreda register i Tullverkets verksamhet. Vi konstaterar i 4 kap. att så vitt skilda verksamhetsområden inte kan regleras enhetligt med avseende på behandling av personuppgifter. I de flesta avseenden utgår dock den föreslagna lagstiftningen från enhetliga principer och våra lagförslag för de olika verksamheterna har därmed fått en likartad uppbyggnad. Ett flertal bestämmelser kan därför ha en identisk eller liknande utformning för de olika verksamheterna.
Vi redogör i 5–7 kap. på ett mer allmänt plan för våra överväganden i fråga om de bestämmelser som är relevanta för samtliga våra lagförslag. I detta kapitel redovisar vi vår inställning till de specifika bestämmelser som bör gälla för respektive verksamhet. Även de mer verksamhetsanpassade bestämmelserna uppvisar emellertid i flera avseenden betydande likheter med varandra. Vi har trots det valt att för varje lagförslag redovisa våra överväganden i sin helhet. Det innebär i och för sig att identiska eller liknande överväganden i vissa fall återges för varje lagförslag, men det underlättar förhoppningsvis för den läsare som endast är intresserad av bestämmelserna i en viss lag eller – i fråga om exekutionsväsendet – för en viss databas. Av betydelse för utformningen av kapitlet är även det förhållandet att vi inte redovisar den närmare innebörden av enskilda bestämmelser i en författningskommentar. Detta kapitel har därför delvis funktionen av en sådan kommentar.
Vårt uppdrag omfattar en anpassning av registerlagstiftningen till dataskyddsdirektivet samt – främst i fråga om skatteförvaltningens beskattningsverksamhet och exekutionsväsendets verksamheter – en materiell översyn grundad på andra överväganden. En utgångspunkt för våra
förslag har varit att, i den mån det är möjligt med hänsyn till dataskyddsdirektivet, inte försämra de möjligheter till behandling av personuppgifter och andra uppgifter som utförs av myndigheterna i dag i enlighet med gällande registerlagstiftning eller med stöd av tillstånd från Datainspektionen. En annan utgångspunkt för våra förslag har varit att värna om ett stark integritetsskydd.
8.1. Skatteförvaltningens beskattningsverksamhet
8.1.1. En särskild lag för beskattningsverksamheten
Vårt förslag: Behandling av personuppgifter och andra uppgifter i den del av skatteförvaltningens verksamhet som rör beskattningsfrågor skall regleras i en särskild lag.
Skatteförvaltningens verksamhet kan enligt förordningen (1990:1293) med instruktion för skatteförvaltningen delas in i fyra huvudsakliga grenar. Den största delen avser frågor om skatter, socialavgifter och pensionsgrundande inkomst, dvs. det som vi sammanfattar under benämningen beskattningsverksamhet. Härutöver är det skatteförvaltningens uppgift att behandla frågor om folkbokföring, allmänna val och brottsutredningar. När vi övervägt frågan om den praktiska uppläggningen av lagstiftningen i fråga om behandling av personuppgifter och andra uppgifter i skatteförvaltningens verksamhet, har vi inledningsvis konstaterat att frågor om brottsutredningar ligger utanför vårt uppdrag. För den grenen av verksamheten finns numera en särskild lag, nämligen lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar.
Därefter har vi haft att beakta om övriga verksamhetsgrenar skall regleras i en eller flera lagar. Avseende frågor om val och folkomröstningar kunde vi redan vid ett tidigt stadium konstatera att de inte är helt anpassningsbara till de övriga verksamheterna, eftersom dessa frågor också innefattar myndigheter som inte ingår i skatteförvaltningens organisation. Förutom Riksskatteverket och skattemyndigheterna är nämligen länsstyrelserna och de kommunala valnämnderna ansvariga för arbetet med val och folkomröstningar. Den delen av förvaltningens verksamhet bör därför av naturliga skäl regleras särskilt.
Det är mindre självklart om beskattnings- och folkbokföringsfrågor bör regleras gemensamt eller var för sig. Dessa verksamhetsgrenar utgör kärnan i skatteförvaltningen och gemensamt för dem är att de innefattar en mycket omfattande behandling av personuppgifter som berör hela eller i stort sett hela Sveriges befolkning. Ett flertal argument kan föras fram för ståndpunkten att beskattningsfrågor bör regleras i en lag och folkbokföringsfrågor i en annan. För det första är verksamhetsgrenarna organisatoriskt åtskilda på så sätt att uppgifterna inte behandlas av samma personalkategorier. Dessutom är sekretesskyddet väsentligt strängare för uppgifter inom beskattningsverksamheten än inom folkbokföringen. För det andra har de frågor som hanteras av respektive verksamhetsgren inte någon egentlig saklig anknytning till varandra. För det tredje är typerna av uppgifter som behandlas så olika, att det är svårt att se någon lagteknisk vinst med en gemensam reglering. De argument vi har funnit för en gemensam reglering, främst att antalet lagar som reglerar behandling av personuppgifter inom en myndighetsorganisation bör begränsas, har inte sådan bärkraft att det väger upp nackdelarna. Vi har således stannat för en lösning som innebär att skatteförvaltningens beskattningsverksamhet regleras i en särskild lag som inte omfattar andra delar av förvaltningens verksamhet.
8.1.2. Ändamålen med behandling i beskattningsdatabasen
Vårt förslag: Uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs inom skatteförvaltningen för
- fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,
- bestämmande av pensionsgrundande inkomst,
- kontroll, revision, prövning, granskning, tillsyn och analys,
- fastighetstaxering,
- fullgörande av åligganden som följer av internationella överenskommelser som Sverige efter riksdagens godkännande har tillträtt,
- tillsyn, kontroll, uppföljning och planering av verksamheten, samt
- framställning av statistik.
Uppgifter skall även få behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför skatteförvaltningen för
- fastställande av underlag för skatter eller avgifter samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,
- utsökning och indrivning,
- tillsyn samt lämplighets-, tillstånds- och annan liknande prövning, samt
- framställning av statistik.
Som framgår av avsnitt 6.1 föreslår vi att det för de verksamheter som vi har att utreda skall finnas en särskild reglering för behandling i databaser. För en närmare redogörelse av vad som avses med begreppet databas och beskrivning av när behandling av personuppgifter och andra uppgifter skall omfattas av de särskilda reglerna för databaser hänvisas till det avsnittet.
Beskattningsverksamheten, dvs. den del av skatteförvaltningens verksamhet som enligt förordningen (1990:1923) med instruktion för skatteförvaltningen rör frågor om skatter, avgifter, fastighetstaxering samt fastställande av pensionsgrundande inkomst, är mycket komplex och innefattar tillämpning av ett mycket stort antal författningar som reglerar bl.a. skattskyldighet samt förfarandet vid fastställande av underlag för och bestämmande och betalning av skatter och avgifter (se om verksamheten i avsnitt 3.1.1). Detta till trots anser vi det naturligt att se hela beskattningsverksamheten som en gren av skatteförvaltningens arbetsområde. Det är inte på samma sätt naturligt att dra en gränslinje mellan exempelvis fastighetstaxering och inkomsttaxering eller mellan uppbörd av avgifter och mervärdesskatt som mellan beskattningsverksamheten i stort och folkbokföringsverksamheten. I beskattningsverksamheten samordnas ofta olika beskattningsområden, exempelvis genom att samtliga beskattningsfrågor rörande en viss person handläggs gemensamt i samband med årlig taxering. Vi anser därför att det finns starka skäl för att samordna regleringen av den behandling av uppgifter som i dag utförs i de personregister som förs inom beskattningsverksamheten i en gemensam databas. Det kan här nämnas att vi för exekutionsväsendet har intagit motsatt ståndpunkt, dvs. vi föreslår en reglering som omfattar flera databaser, eftersom det i kronofogdemyndigheternas verksamhet finns klarare gränslinjer mellan olika arbetsområden, som t.ex. mellan handläggning av ärenden om skuldsanering och mål om utsökning (se avsnitt 8.4.1).
I de registerförfattningar och tillstånd från Datainspektionen som i dag reglerar användandet av personregister inom skatteförvaltningens beskattningsverksamhet, finns mycket detaljerade och specifika ändamålsangivelser som är anpassade till de olika register som avses med bestämmelserna. Eftersom vår avsikt är att reglera all behandling som i dag sker i olika personregister i en enda lag och i en databas, är det nödvändigt att på ett konkret och kortfattat sätt sammanfatta innebörden av alla de ändamål som anges i olika författningar och tillstånd. Att utan omarbetning överföra samtliga de ändamålsbestämmelser som gäller för dagens personregister skulle medföra att den nya lagstiftningen blir svåröverskådlig. Flera av dagens register förs dessutom för överlappande ändamål. Som exempel kan nämnas att beskattning av olika slag genomgående utgör ett ändamål för de personregister som förs av Riksskatteverket och skattemyndigheterna.
Primära ändamål
Vi har i avsnitt 6.2.2 indelat ändamålen för behandling av personuppgifter i två kategorier, primära och sekundära ändamål. Med primära ändamål avser vi ändamål som är direkt anpassade till den verksamhet som bedrivs av personuppgiftsansvariga myndigheter, dvs. Riksskatteverket och skattemyndigheterna. Som nämnts ovan är dagens ändamålsbeskrivningar för användande av personregister mycket detaljerade och svåröverskådliga. Som exempel kan nämnas ändamålen för skatteregistren. I skatteregisterlagen (1980:343) anges som ett primärt ändamål i dag bl.a. redovisning, bestämmande och betalning av skatt enligt skattebetalningslagen (1997:483), mervärdeskattelagen (1994:200), lagen (1991:586) om särskild inkomstskatt för utomlands bosatta, lagen (1990:912) om nedsättning av socialavgifter samt lagen (1951:763) om statlig inkomstskatt på ackumulerad inkomst. Hänvisningen till skattebetalningslagen innebär att skatteregisterlagens tilllämpningsområde omfattar skatt eller avgift som avses i taxeringslagen (1990:324), avgift enligt lagen (1981:691) om socialavgifter, skatt enligt lagen (1990:659) om särskild löneskatt på vissa förvärvsinkomster, avgift enligt lagen (1994:1920) om allmän löneavgift, skattetillägg och förseningsavgift i fråga om nämnda skatter och avgifter samt ränta på skatt, skattetillägg eller avgift. Hänvisningen i skattebetalningslagen till taxeringslagen leder dessutom till att skatteregisterlagen omfattar skatt eller avgift enligt kommunalskattelagen (1928:370), lagen (1947:576) om statlig inkomstskatt, lagen (1997:323) om statlig förmögenhetsskatt, lagen (1984:1052) om statlig fastighetsskatt, lagen (1990:661) om avkastningsskatt på pensionsmedel, lagen (1991:687) om särskild löneskatt
på pensionskostnader, lagen (1994:1744) om allmän pensionsavgift samt lagen (1993:1537) om expansionsmedel.
Vårt förslag till lag om behandling av personuppgifter m.m. i skatteförvaltningens beskattningsverksamhet skall förutom skatteregistren omfatta dagens fastighetstaxeringsregister, gåvoskatteregister, olika punktskatteregister samt tillfälliga projektregister. En detaljerad ändamålsbeskrivning som innefattar någon form av uppräkning av olika skatter och avgifter skulle med nödvändighet komma att bli svåröverskådlig. Situationen blir än mer komplicerad av att beskattningsområdet är ett av samhällets mest dynamiska i fråga om lagstiftningstakt. Vi anser därför att ändamålsbestämmelserna måste förenklas, samtidigt som de inte får bli så urvattnade att något konkret ändamål inte kan utläsas.
En utgångspunkt för vårt arbete har varit att det är behovet av uppgifter i beskattningsverksamheten som skall styra när, hur och vilka personuppgifter som behandlas, naturligtvis med beaktande av de skattskyldigas berättigade krav på att den personliga integriteten inte kränks. En lag om behandling av personuppgifter styr inte skatteförvaltningens verksamhet, utan verksamhetens inriktning bestäms i stället av den materiella och processuella lagstiftningen på beskattningsområdet jämte de instruktioner som gäller för skatteförvaltningen. Vi kan därför inte se att det skulle ligga någon fara i att avstå från att räkna upp enskilda skatteslag i vårt lagförslag. Av erfarenhet kan dessutom konstateras att en detaljerad lagstiftning skulle komma att förändras i takt med förändringar av den materiell lagstiftningen. Vi föreslår därför att huvudsyftet med en beskattningsdatabas skall vara att ge information som behövs inom skatteförvaltningen för fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter. Syftet med bestämmelsen är således att all beskattningsverksamhet som bedrivs av skatteförvaltningen skall utgöra ett primärt ändamål med databasen. Det innebär att med skatt avses samtliga de skatter som det åligger skatteförvaltningen att handlägga. Med avgifter avses såväl socialavgifter som olika förseningsavgifter och skattetillägg m.m. Även uppbörd av avgifter till trossamfund omfattas av bestämmelsen.
Vissa ändamål som kan innefattas i beskattningsverksamheten måste emellertid regleras särskilt, eftersom de inte faller in under den nyss nämnda ändamålsbeskrivningen. Bestämmande av pensionsgrundande inkomst innebär således inte ett led i beskattningsförfarandet. Detsamma kan gälla för fastighetstaxeringen, eftersom vissa fastigheter skall åsättas taxering utan att skattskyldighet för fastigheten föreligger. I sådana fall görs taxering alltså inte för fastställande av underlag för fastighetsskatt. Dessa arbetsuppgifter måste därför anges som särskilda ändamål med beskattningsdatabasen.
Skattemyndigheterna har inom ramen för beskattningsverksamheten dessutom att fullgöra vissa andra skyldigheter. Dit hör kontroller som inte i första hand leder till fastställande av underlag för skatter eller avgifter, utan kanske endast utmynnar i påpekanden om att exempelvis ett företag sannolikt kommer att anses som arbetsgivare med åtföljande skyldighet att betala preliminär skatt och arbetsgivaravgifter. Skattemyndigheterna måste i sin verksamhet även behandla uppgifter för kontroll eller revision av personer eller företag som inte är registrerade hos myndigheterna trots att de möjligen borde betala skatter och avgifter, s.k. non-filers. Enligt skattebetalningslagen skall skattemyndigheterna göra en lämplighetsprövning av en sökande innan en F-skattsedel utfärdas. Det åligger vidare skattemyndigheter att pröva och, i förekommande fall, godkänna upplagshavare enligt lagen (1994:1563) om tobaksskatt, lagen (1994:1564) om alkoholskatt och lagen (1994:1776) om skatt på energi. Den delen av skatteförvaltningens verksamhet omfattar även fortsatt tillsyn över upplagshavarna. Riksskatteverket har vidare en särskild tillsynsfunktion enligt lagen (1974:174) om identitetsbeteckningar för juridiska personer m.fl. Som en förberedande åtgärd inför revisioner eller andra kontroller tar skattemyndigheterna med hjälp av dataprogram även fram olika riskprofiler, dvs. analyser av vilka skattesubjekt som skall granskas. För att täcka in samtliga dessa åligganden som ligger i gränslandet eller vid sidan av den verksamhet som utmynnar i t.ex. fastställande av skatteunderlag, bör som ett särskilt ändamål anges kontroll, revision, prövning, granskning, tillsyn och analys.
Som ett annat särskilt ändamål med beskattningsdatabasen måste anges fullgörande av åligganden enligt internationella överenskommelser som Sverige efter riksdagens godkännande har tillträtt. Det är en följd av den ökade internationaliseringen och då främst Sveriges skyldighet att till EU redovisa information inom bl.a. punktskatte- och mervärdesskatteområdet.
Slutligen anges som primära ändamål tillsyn, kontroll, uppföljning och planering av verksamheten samt framställning av statistik. Riksskatteverket och skattemyndigheterna måste ha möjlighet att som ett led i beskattningsverksamheten behandla personuppgifter med syfte att kartlägga verksamheten, dvs. följa upp verksamheten och planera för åtgärder som skall vidtas i framtiden. Vad som avses är alltså intern kontroll av och tillsyn över den löpande verksamheten, i motsats till den externa kontroll och tillsyn som diskuteras ovan. Det måste även finnas möjligheter för skatteförvaltningen att behandla personuppgifter för statistiska ändamål, både officiellt reglerad statistik och sådan statistik som är av mer intern angelägenhet eller som i vart fall inte är författningsreglerad. Framställning av statistik bör därför också utgöra ett primärt ändamål.
Sekundära ändamål
Med sekundära ändamål för en databas avser vi sådana ändamål som kan hänföras till andra verksamhetsområden än det för vilket databasen primärt förs. För att en myndighet skall tillåtas direktåtkomst till beskattningsdatabasen krävs att de ändamål för vilka uppgifterna skall användas hos mottagaren utgör ett sekundärt ändamål för beskattningsdatabasen (se avsnitt 6.2.2 och 6.7.2). Även när det kan förutses att ett regelmässigt utlämnande till andra myndigheter kan komma att ske på annat sätt än genom direktåtkomst, bör detta framgå av de sekundära ändamålen.
Enligt vår mening finns det anledning att medge Tullverket direktåtkomst till beskattningsdatabasen (se avsnitt 8.1.4). Den rätten måste enligt nyss nämnda princip ha sin grund i de sekundära ändamålen med beskattningsdatabasen, och vi föreslår därför som ett särskilt ändamål med databasen att uppgifter skall få behandlas för att ge information som behövs i författningsreglerad verksamhet utanför skatteförvaltningen för fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter. I dag innebär det i praktiken att beskattningsdatabasen får användas för Tullverkets fiskala verksamhet.
Ett verksamhetsområde inom vilket det under lång tid har förekommit tillgång till skatteregister genom direktåtkomst är exekutionsväsendets utsöknings- och indrivningsverksamhet. Vi har inte funnit skäl för att genom vårt lagförslag i något avseende begränsa den åtkomst som kronofogdemyndigheterna i dag har till uppgifter inom skatteförvaltningens beskattningsverksamhet (se avsnitt 8.1.4). Ett sekundärt ändamål med beskattningsdatabasen bör därför vara utsökning och indrivning.
Vissa uppgifter som skall behandlas i beskattningsdatabasen kommer med stor sannolikhet att användas av olika myndigheter i deras verksamhet. Inte minst gäller det myndigheter som har till uppgift att kontrollera och ha tillsyn över olika företeelser i samhället, där företags och andra enskildas ekonomiska situation är av intresse. Som exempel kan nämnas kommunernas tillståndsgivning i fråga om utskänkning av alkohol och länsstyrelsernas tillsyn över restauranger m.m. Som ett särskilt ändamål med beskattningsdatabasen bör därför anges tillsyn samt lämplighets-, tillstånds- och annan liknande prövning. Myndigheter, och eventuellt andra, utanför skatteförvaltningen bör dessutom kunna få tillgång till uppgifter i någon form för att producera statistik. För att markera att ett sådant användande av uppgifter i beskattningsdatabasen inte står i strid med lagstiftningen, bör framställning av statistik därför också anges som ett sekundärt ändamål med databasen.
I dag förekommer det att myndigheter hämtar in information endast i form av basuppgifter om fysiska och juridiska personers identitet från skatteregistret. Vi anser inte att beskattningsdatabasen bör ha en sådan funktion, utan inhämtande av identitetsuppgifter bör om möjligt ske från register eller databaser som är direkt inriktade på tillhandahållande av sådan information. Uppgifter om fysiska personers identitet bör således i första hand hämtas in från den av oss föreslagna folkbokföringsdatabasen (se avsnitt 8.2) och uppgifter om juridiska personer kan med fördel hämtas in från aktiebolagsregistret eller liknande register. Tillhandahållande av identitetsuppgifter skall således inte vara ett ändamål med beskattningsdatabasen. Detta hindrar naturligtvis inte att identitetsuppgifter lämnas ut från beskattningsdatabasen tillsammans med andra uppgifter i de fall det är naturligt. Som exempel kan nämnas att vissa identitetsuppgifter, som namn och personnummer, lämnas ut tillsammans med uppgifter om en persons taxerade inkomst.
Som vi har påpekat i avsnitt 6.2.2 kan en uppräkning av sekundära ändamål som inte avser utlämnande med hjälp av direktåtkomst inte bli uttömmande, eftersom det inte är möjligt att förutse samtliga de situationer då uppgifter med stöd av exempelvis sekretesslagen kan komma att lämnas ut till myndigheter eller andra för olika ändamål. De ovan angivna sekundära ändamålen som inte är särskilt inriktade på direktåtkomst avser således de fall där det är möjligt att förutsäga att uppgifter kommer att lämnas ut i förhållandevis stor omfattning.
8.1.3. Uppgifter som får behandlas i databasen
Vårt förslag: I databasen skall, i den omfattning som behövs för beskattningsverksamheten, få behandlas uppgifter om
- en fysisk persons identitet, bosättning, familjeförhållanden och andra liknande basuppgifter,
- en juridisk persons identitet, säte och andra liknande basuppgifter,
- registrering för skatter eller avgifter,
- underlag för skatter eller avgifter,
- bestämmande av skatter eller avgifter,
- kontroll av skatter eller avgifter,
- fastställande av fastighetstaxering,
- yrkande och grunder i ett ärende, samt
- beslut med angivande av skälen för beslutet, betalning, redovisning och övriga åtgärder i ett ärende.
Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen.
I databasen skall även få behandlas de uppgifter som behövs för fullgörande av ett åliggande som följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.
Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skall få behandlas i databasen endast som en del av en elektronisk handling. Undantag skall dock göras för uppgifter om trossamfund och medlemskap i fackförening.
Vi redovisar i avsnitt 6.3.2 vår inställning till detaljreglering av vad som får behandlas i en databas. För att undvika dels återkommande ändringar i lagen till följd av förändringar i bakomliggande materiell lagstiftning (för närvarande pågår t.ex. arbete inom regeringskansliet med en ny inkomstskattelag), dels att den blir svårgenomtränglig, anges i vårt lagförslag endast vilka kategorier av uppgifter som får behandlas i databasen. Dessa uppgiftskategorier avser vad som får behandlas i den informationsbaserade delen av databasen, dvs. vanligen uppgifter som registreras genom angivande av belopp m.m. i särskilda fält i skatteförvaltningens datasystem. För handlingar som ingår i ärendehanteringssystem föreslår vi särskilda bestämmelser. I de uppräknade kategorierna innefattas således samtliga de uppgifter som i dag finns i olika författningsreglerade eller tillståndspliktiga register inom skatteförvaltningens beskattningsverksamhet samt sådana ytterligare uppgifter som kan bli nödvändiga att registrera i framtiden. En grundläggande förutsättning för att en uppgift över huvud taget skall få behandlas är dock att den behövs för de primära ändamålen med databasen, dvs. för beskattningsverksamheten. Det får alltså i databasen inte förekomma uppgifter som inte behövs i den verksamheten, utan som endast är till nytta för t.ex. kronofogdemyndigheterna i deras exekutiva verksamhet (se avsnitt 6.2.2).
Uppräkningen av uppgiftskategorier som får behandlas i databasen utgör endast en ram för vad som får behandlas. Regeringen, eller den myndighet som regeringen bestämmer (Riksskatteverket), skall sedan meddela närmare föreskrifter om vilka uppgifter det rör sig om. Det bör nämligen enligt vår mening vara möjligt för enskilda att på det sätt som gäller i dag för exempelvis skatteregistret ha möjlighet att få en mer tydlig bild av vilka uppgifter om dem som kan vara föremål för behandling inom skatteförvaltningen. Nedan följer en kort exemplifiering
av vilka uppgifter de i lagförslaget uppräknade kategorierna enligt vår uppfattning omfattar.
Med identitets- och andra basuppgifter avses för fysiska personer sådant som personnummer, namn, hemadress eller särskild postadress samt uppgifter om civilstånd och hemmaboende barn m.m., dvs. uppgifter om enskilda som behövs för att beskattningsverksamheten skall fungera. Motsvarande gäller för juridiska personer. Det kan då röra sig om uppgifter om organisationsnummer, styrelseledamöter, firmatecknare samt adressuppgifter m.m. Med uppgifter om registrering för skatter eller avgifter avses bl.a. uppgifter om att någon är registrerad för mervärdesskatt och andra grundläggande uppgifter om skattskyldighet. Underlag för skatter eller avgifter är t.ex. uppgifter om taxerad inkomst och beskattningsbar förmögenhet eller uppgifter om under året utbetalda löner. Med bestämmande av skatter eller avgifter avses uppgifter om inbetald preliminär skatt och socialavgifter, fastställd skatt för inkomst av tjänst eller kapital samt uppgifter om kvarskatt eller överskjutande skatt m.m. Kontroll av skatter och avgifter innefattar sådant som uppgifter om beslutad eller pågående revision, anteckningar om förfrågningar till skattskyldiga eller andra myndigheter m.fl. I dessa fyra kategorier av uppgifter ingår med andra ord samtliga de uppgifter som skattemyndigheterna behöver för att vid ärendehantering få tillgång till nödvändig information eller för att beslut om debitering eller återbetalning av skatter och avgifter m.m. skall kunna fattas. Som en särskild kategori anges fastställande av fastighetstaxering, eftersom sådana uppgifter inte alltid utgör grund för beskattning.
Som två särskilda kategorier av uppgifter anges yrkande och grunder i ett ärende samt beslut med angivande av skälen för beslutet, betalning, redovisning och övriga åtgärder i ett ärende. Här avses uppgifter som i stor omfattning kommer att återfinnas i elektroniska handlingar i ärendehanteringssystem. Avsikten är inte att handlingarna i dess helhet regelmässigt skall registreras i den informationsbaserade delen av databasen. I den omfattning det behövs bör emellertid uppgifter om beslut m.m. avseende en person kunna återfinnas i databasen utan att en handläggare behöver ha tillgång till den elektroniska akten i det aktuella ärendet. Av betydelse är bl.a. att direktåtkomst till de elektroniska handlingarna enligt vårt förslag inte är tillåten för myndigheter utanför skatteförvaltningen. Det kan dock från informationssynpunkt vara viktigt för en tjänsteman hos en kronofogdemyndighet eller hos Tullverket att omedelbart få fram uppgift om utgången i ett ärende och samtidigt få en bild av vad som utgör grunden för beslutet. När uppgifter om yrkanden, grunder och beslut m.m. förs in i databasen på annat sätt än i elektroniska handlingar, får de emellertid inte omfatta känsliga personuppgifter m.m. När det är nödvändigt att få tillgång till ett beslut i dess
helhet eller övriga handlingar i ett ärende, bör enligt vår mening handlingarna tas fram genom ärendehanteringssystemet.
För att täcka in uppgifter som behandlas av andra skäl än beskattning på grund av att Sverige gentemot exempelvis EU är förpliktigat att hantera viss information, anges att behandling får ske av uppgifter som behövs för fullgörande av ett åliggande som följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.
Behandlingen av vissa uppgifter i den informationsbaserade delen av databasen bör regleras i lag. Det gäller känsliga personuppgifter och uppgifter om lagöverträdelser m.m. enligt 13 och 21 §§personuppgiftslagen (se avsnitt 6.3.3 och 6.4.4). Enligt vad vi har erfarit har skattemyndigheterna för beskattningsändamål behov av att behandla uppgifter om trossamfund och medlemskap i fackförening. I lagen bör det därför anges att sådana uppgifter får behandlas för beskattningsändamål även på annat sätt än i elektroniska handlingar.
8.1.4. Direktåtkomst till databasen
Vårt förslag: Riksskatteverket, Tullverket, skattemyndigheterna och kronofogdemyndigheterna skall få ha direktåtkomst till beskattningsdatabasen. Regeringen skall få föreskriva att även annan får ha direktåtkomst till uppgifter i databasen.
Annan än Riksskatteverket och skattemyndigheter skall inte få ha direktåtkomst till elektroniska handlingar. Regeringen skall få meddela föreskrifter om ytterligare inskränkning i en myndighets eller annans direktåtkomst.
Regeringen skall få meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om sig själv i databasen. Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får omfattas av sådan direktåtkomst.
Regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om allmän direktåtkomst till uppgifter i databasen om
- skyldighet att redovisa eller betala skatter eller avgifter,
- innehav av skattsedel på preliminär skatt, samt
- beräkning av skatteavdrag för betalning av preliminär skatt. Direktåtkomst till dessa uppgifter får inte vara utformad så att uppgifter om flera personer kan behandlas på automatiserad väg vid inhämtandet.
I avsnitt 6.7 redovisar vi vår principiella inställning till direktåtkomst till databaser. I enlighet med de resonemang vi för där föreslår vi att Riksskatteverket och skattemyndigheterna skall ha rätt till fullständig tillgång till uppgifter i beskattningsdatabasen, inklusive de elektroniska handlingarna vilka av integritetsskäl inte bör vara tillgängliga för andra myndigheter. För den händelse regeringen finner att det finns särskild anledning att begränsa åtkomsten till vissa uppgifter eller handlingar, föreslår vi en möjlighet för regeringen att meddela föreskrifter om sådan begränsning. Enligt vår uppfattning torde dock detta inte vara nödvändigt i nuläget.
Direktåtkomst för myndigheter utanför skatteförvaltningen
Vår allmänna inställning till direktåtkomst för myndigheter som inte tillhör den myndighetsorganisation som ansvarar för en databas redovisar vi i avsnitt 6.7.4. Möjligheterna för myndigheter utanför skatteförvaltningen att ta del av uppgifter i skatteregistret genom direktåtkomst är i dag kraftigt begränsade. Det finns starka integritetsskäl för detta och hänsyn måste också tas till att det råder absolut sekretess för uppgifter i beskattningsverksamhet. Det går dock inte att bortse från det faktum att datorteknikens stora framsteg under de senaste decennierna kommer att få allt större genomslag även i samarbetet mellan myndigheter. Vi anser att den tekniska utvecklingen inom dataområdet i största möjliga mån skall utnyttjas för att få till stånd en effektiv ärendehantering inom offentlig verksamhet. I de flesta fall är detta möjligt genom att en myndighet begär uppgifter av en skattemyndighet och får dem tillsända efter prövning av en tjänsteman. Sådant tillhandahållande av uppgifter kan i dag skötas genom snabba och effektiva överföringar via telenätet. Tillgång till uppgifter via direktåtkomst till beskattningsdatabasen bör enligt vår uppfattning inte användas annat än om det finns starka skäl för det.
Kronofogdemyndigheterna har i dag relativt omfattande tillgång till uppgifter i skatteregistret genom direktåtkomst, vilket i lagförarbetena har motiverats med den nära kopplingen mellan beskattningsverksamhet och indrivningsverksamhet (se avsnitt 3.1.2). Vi ser ingen anledning att av integritetsskäl inskränka den möjlighet som kronofogdemyndigheterna i dag har att på ett snabbt och effektivt sätt få tillgång till uppgifter som behandlas inom skatteförvaltningen, utan föreslår att kronofogdemyndigheter får ha direktåtkomst till uppgifter i beskattningsdatabasen. Direktåtkomsten skall dock inte omfatta de elektroniska handlingarna, eftersom dessa är särskilt känsliga från integritetssynpunkt (se avsnitt 6.7.4). Det är emellertid i vissa fall värdefullt eller nödvändigt för kronofogdemyndigheterna att ta del av skälen för ett beslut som fattats av en skattemyndighet, t.ex. i en fråga om anstånd med inbetalning av skatt.
Enligt vår mening kan det behovet tillgodoses även utan direktåtkomst till elektroniska handlingar. Vi föreslår att uppgifter om yrkande, grunder och beslut får behandlas i databasen på annat sätt än i elektroniska handlingar (se avsnitt 8.1.3). Sådana uppgifter ser vi i princip ingen anledning att begränsa direktåtkomsten till i större omfattning än för andra uppgifter i databasen. Om det finns behov hos kronofogdemyndigheterna av att få del av beslutshandlingar eller andra handlingar i ett ärende i fulltext, bör detta däremot inte ske genom direktåtkomst utan genom att en begäran görs hos aktuell skattemyndighet.
Det kommer sannolikt att förekomma uppgifter i beskattningsdatabasen vilka kronofogdemyndigheterna inte har något eller mycket litet behov att få del av. Enligt vår uppfattning bör myndigheterna inte ha direktåtkomst till sådana uppgifter, eftersom direktåtkomst endast bör förekomma när det finns starka effektivitetsskäl som talar för det. Regeringen bör därför ha möjlighet att meddela föreskrifter om begränsningar – utöver åtkomsten till elektroniska handlingar – i kronofogdemyndigheternas direktåtkomst.
Mellan Tullverket och skatteförvaltningen förekommer i många fall ett nära samarbete, inte minst med anledning av de skyldigheter vid uttag av punktskatter m.m. som Sverige har åtagit sig genom medlemskapet i EU. Tullverket bör därför ges möjlighet till direktåtkomst till beskattningsdatabasen, dock inte till de elektroniska handlingarna. Regeringen bör emellertid även här ha möjlighet att begränsa åtkomsten till att avse endast uppgifter som det bedöms vara av stor betydelse att Tullverket snabbt får tillgång till i olika situationer.
Utöver Tullverket och kronofogdemyndigheterna kommer det sannolikt att finnas flera myndigheter som regelmässigt behöver tillgång till olika uppgifter i beskattningsdatabasen. I de flesta fall torde dessa behov kunna tillfredsställas genom ett effektivt utlämnande av uppgifter på medium för automatiserad behandling efter särskild prövning av skattemyndigheterna. I vissa fall kan det efter en avvägning mellan effektivitets- och integritetsskäl dock finnas anledning att medge vissa myndigheter direktåtkomst till en begränsad mängd uppgifter i databasen. Regeringen bör därför ha möjlighet att vid behov föreskriva om sådan direktåtkomst. Möjligheten att föreskriva om direktåtkomst bör emellertid enligt vår uppfattning tillämpas mycket restriktivt. Hänsyn måste tas till den absoluta sekretess som gäller inom beskattningsverksamheten samt till att de uppgifter som behandlas ofta har lämnats av enskilda enligt tvingande bestämmelser i skattelagstiftningen. Detta innebär enligt vår bedömning att uppgifter i beskattningsdatabasen inte genom direktåtkomst bör lämnas ut till andra än myndigheter (se dock nedan om enskildas direktåtkomst till uppgifter om sig själva samt allmän direktåtkomst till vissa uppgifter).
Det bör påpekas att direktåtkomst för kronofogdemyndigheter, Tullverket och andra eventuellt aktuella myndigheter, endast får förekomma i ärenden hos de myndigheterna. Någon fri sökning i beskattningsdatabasen efter uppgifter för andra ändamål än handläggning av ett ärende kan självfallet inte accepteras. Till elektroniska handlingar bör, som vi tidigare nämnt, direktåtkomst inte under några omständigheter tillåtas för myndigheter utanför skatteförvaltningen.
Direktåtkomst för enskilda till uppgifter om sig själva
Vi redovisar i avsnitt 6.7.5 våra överväganden i fråga om möjligheten för enskilda att få direktåtkomst till egna uppgifter i myndigheters databaser. Vi föreslår för samtliga de verksamhetsområden som omfattas av vårt uppdrag att regeringen skall få meddela föreskrifter om att enskilda får ha direktåkomst till uppgifter om sig själva i en databas. När de tekniska lösningarna finns tillgängliga innebär det för beskattningsverksamhetens del att den möjlighet som finns i dag att lämna självdeklarationer och skattedeklarationer genom ett elektroniskt dokument kan bli praktiskt användbar. Fysiska personer har inte någon större nytta av möjligheten att lämna sin deklaration genom ett elektroniskt dokument, innan den skattskyldige via Internet kan nå ett formulär med uppgifter om sig själv motsvarande de som är förtryckta på den förenklade självdeklaration som i dag skickas ut som brevförsändelse från skattemyndigheterna. När det blir möjligt uppkommer stora fördelar för både skatteförvaltningen och de skattskyldiga.
Samma förfarande skulle också kunna utnyttjas vid exempelvis ansökningar om förslag till särskild beräkningsgrund eller som hjälp vid beräkning av skatt. Ett annat användningområde inom beskattningsverksamheten skulle vara att ge enskilda möjlighet att komma åt uppgifter om sina skattekonton. Med direktåtkomst till sitt skattekonto skulle en skattskyldig i samband med avgivande av självdeklaration enkelt kunna få uppgifter om behållningen på kontot och därigenom få information om ytterligare inbetalning krävs eller om han kan kräva återbetalning av överskjutande belopp.
Allmän direktåtkomst till vissa uppgifter av allmänt intresse
I beskattningsdatabasen kommer enligt vårt förslag att behandlas ett antal uppgifter av sådan karaktär att deras spridning bland allmänheten är av stort intresse. För uppgifter av det slag som inte kan anses vara integritetskänsliga, finns det enligt vår mening anledning att överväga en allmän direktåtkomst för envar som eftersöker uppgifterna, t.ex. via Internet eller med hjälp av telefontjänst. De uppgifter vi har i åtanke är
information om innehav av skattsedel på preliminär skatt (F- eller Askatt), uppgifter om skyldighet att redovisa eller betala skatter eller avgifter samt uppgifter till ledning för beräkning av skatteavdrag för preliminär skatt (tillämplig skattetabell). De nu nämnda uppgifterna är offentliga och de är inte känsliga från integritetssynpunkt, samtidigt som det finns stora fördelar med ett system varigenom envar på ett enkelt sätt kan ta del av uppgifterna, även under helger eller vid andra tidpunkter då det i dag inte är möjligt att inhämta uppgifterna från skattemyndigheterna.
Genom en allmän tillgång till uppgifter om skattsedelsinnehav och skyldighet att redovisa eller betala skatter eller avgifter, blir det enklare för enskilda, såväl privatpersoner som företag, att få del av viktig information som behövs vid köp av olika tjänster på marknaden. De nämnda uppgifterna är av avgörande betydelse för bl.a. prissättning av tjänster, dvs. om kostnaden för en tjänst skall inkludera sociala avgifter eller inte. Arbets- eller uppdragsgivare som skall göra skatteavdrag, dvs. innehålla preliminär skatt, kan dessutom på ett enkelt sätt få information om hur stora avdrag som skall göras för arbets- eller uppdragstagarna genom tillgång till de för de enskilda aktuella skattetabellerna.
Enligt vår uppfattning skulle ett förfarande som det nu beskrivna, om utlämnande av vissa offentliga uppgifter av allmänt intresse, inte strida mot bestämmelserna om överföring av personuppgifter till tredje land i artiklarna 25 och 26 i dataskyddsdirektivet.
Eftersom de uppgifter som vi anser att det kan vara lämpligt att lämna ut genom direktåtkomst till envar inte är integritetskänsliga, bör enligt vår uppfattning regeringen eller Riksskatteverket kunna fatta beslut om sådant utlämnande. Vi föreslår därför att regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om allmän direktåtkomst till uppgifter om innehav av skattsedel på preliminär skatt, uppgifter om skyldighet att redovisa eller betala skatter eller avgifter samt uppgifter till ledning för beräkning av skatteavdrag för preliminär skatt.
Det är givetvis viktigt att det inte ges möjlighet för enskilda att med hjälp av direktåkomst vid inhämtandet av uppgifter göra sammanställningar som omfattar flera personer. En sådan möjlighet skulle nämligen innebära en avsevärd risk för uppkomsten av omfattande personregister som skulle stå helt utanför offentlig kontroll. Oavsett på vilket sätt direktåtkomst medges – t.ex. genom Internet eller tonvalstelefon – måste det därför finnas tekniska spärrar som förhindrar upprepade förfrågningar om flera personer. Det skall alltså vara tillåtet endast med enstaka inhämtanden. I detta sammanhanget bör påpekas att vår utgångspunkt är att den information som lämnas ut skall bestå av svar på en konkret förfrågan, som t.ex. om en viss med organisations- eller personnummer
angiven person har F-skattsedel eller vilken skattetabell som gäller för en viss med personnummer identifierad person.
8.1.5. Gallring av uppgifter i databasen
Vårt förslag: Uppgifter och handlingar i beskattningsdatabasen skall enligt huvudregeln gallras sju år efter utgången av det kalenderår då beskattningsåret till vilket uppgifterna eller handlingarna kan hänföras gick ut.
Uppgifter om revision skall gallras tio år efter utgången av det kalenderår under vilket revisionen avslutades.
Uppgifter och handlingar som avser fastighetstaxering skall gallras tio år efter utgången av det taxeringsår till vilket uppgifterna eller handlingarna kan hänföras.
Uppgifter och handlingar som avser gåvoskatteärenden skall gallras tolv år efter utgången av det år under vilket gåvodeklaration lämnades. Uppgifter och handlingar som avser gåvoanmälningsärenden skall gallras tre år efter utgången av det år under vilket förfrågan eller anmaning att komma in med deklaration gjordes.
Uppgifter och handlingar som enligt lagen om tobaksskatt, lagen om alkoholskatt samt lagen om skatt på energi, behandlas för att tillhandahålla skattskyldiga och behörig myndighet i Sverige eller ett annat land inom Europeiska unionen uppgifter om personer som är godkända upplagshavare eller som är registrerade varumottagare eller uppgifter om godkända skatteupplag, skall gallras sju år efter utgången av det kalenderår under vilket upplagshavaren eller varumottagaren avregistrerades.
Regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om att en uppgift eller handling skall gallras vid en annan tidpunkt eller bevaras samt om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
I avsnitt 6.8 redovisar vi de allmänna överväganden som ligger till grund för våra förslag till bestämmelser om gallring av uppgifter i databaser och de olika metoder som kan vara lämpliga att tillämpa i lagstiftningen. För skatteförvaltningens del har vi valt den metod som innebär angivande av en huvudregel för gallring av uppgifter, följd av några kompletterande bestämmelser i de fall huvudregeln inte kan tillämpas. Från dessa regler kan sedan avsteg göras i förordning eller i föreskrifter
från Riksarkivet. Som vi konstaterar tidigare bör alltför detaljerade gallringsregler undvikas i lagstiftningen.
De föreslagna bestämmelserna har valts med utgångspunkt i att en huvudregel bör vara tillämplig på så många olika uppgifter i databasen som möjligt. En bestämmelse som utgår från beskattningsår är möjlig att tillämpa på uppgifter om mervärdesskatt, arbetsgivaravgifter, inkomsttaxering och punktskatter. För vissa uppgifter kan huvudregeln av olika skäl inte tillämpas och det krävs därför kompletterande bestämmelser.
Huvudregeln
Enligt 19 § skatteregisterlagen skall sådana uppgifter i det centrala skatteregistret som hänför sig till viss beskattningsperiod gallras sju år efter utgången av det kalenderår under vilket perioden gick ut. Även uppgifterna i de regionala registren skall huvudsakligen gallras sju år efter beskattningsårets utgång. Från dessa regler har en rad undantag gjorts för vissa typer av uppgifter (se avsnitt 3.1.2). En av de principer som har legat till grund för gallringsbestämmelserna i skatteregisterlagen är att det i efterhand skall vara möjligt att fastställa vilka omständigheter som varit avgörande för ett beslut. Detta gäller i särskilt hög grad så länge beslutet kan bli föremål för omprövning.
De principer som låg till grund för dagens gallringsbestämmelser i skatteregisterlagen äger fortfarande giltighet. Något skäl att vid bestämmandet av en huvudregel frångå dessa principer har vi inte ansett föreligga. Vi har därför valt att i vårt förslag framför allt utgå från de bestämmelser om omprövning som gäller på beskattningsområdet. Sådana bestämmelser finns i lagen (1984:151) om punktskatter och prisregleringsavgifter, taxeringslagen och skattebetalningslagen. Ett omprövningsbeslut som är till den skattskyldiges fördel får enligt taxeringslagen meddelas före utgången av det femte året efter taxeringsåret. Motsvarande tidsfrist gäller för beslut om eftertaxering. Enligt lagen om punktskatter och prisregleringsavgifter skall, med vissa undantag, en begäran om omprövning göras senast sjätte året efter utgången av det kalenderår under vilket beskattningsåret har gått ut. Enligt skattebetalningslagen får omprövningsbeslut till den skattskyldiges fördel meddelas senast sjätte året efter utgången av det kalenderår under vilket beskattningsåret har gått ut. Vi har även beaktat preskriptionsbestämmelserna i lagen (1982:188) om preskription av skattefordringar m.m. Enligt den lagen är huvudregeln att preskription inträder fem år efter utgången av det kalenderår då fordran förföll till betalning. Vi föreslår mot bakgrund av det angivna att uppgifter i beskattningsdatabasen bör gallras senast sju år efter utgången av det kalenderår då beskattningsåret till vilka uppgifterna hänförs gick ut.
I flera fall kommer undantag att behöva göras från sjuårsregeln. Det gäller bl.a. uppgifter i ärenden om anstånd samt omprövning eller överklagande. De närmare gallringsfristerna som skall gälla för olika uppgifter anser vi närmast faller på Riksarkivet att göra efter samråd med Riksskatteverket. För vissa uppgifter anser vi dock att det finns anledning att ange särskilda gallringsbestämmelser i lag.
Uppgifter om revision
I dag gäller särskilda regler för gallring av uppgifter om revision. Sådana uppgifter får bevaras under högst tio år efter utgången av det år under vilket revisionen avslutades. Det kan enligt vår mening fortfarande finnas skäl att bevara uppgifter om revision under en längre tid. Uppgifterna utgör ofta grundval för ändring av taxerings- eller beskattningsbeslut och behövs även senare under eventuella processer. Uppgifterna kan ofta anses känsliga och gallringstiden bör därför regleras i lag.
Fastighetstaxering
Huvudregeln kan inte tillämpas i fråga om uppgifter avseende fastighetstaxering, eftersom förfarandet med sådan taxering inte har sin utgångspunkt i beskattningsår. Vi har i stället valt att föreslå en kompletterande bestämmelse som innebär att handlingar och uppgifter som avser fastighetstaxering skall gallras tio år efter taxeringsårets utgång. Den tioåriga fristen har vi valt med beaktande av att en sådan frist idag föreskrivs i fastighetstaxeringsförordningen (1993:1199) beträffande allmän fastighetstaxering, särskild fastighetstaxering respektive omräkning av fastighetstaxering. Bestämmelserna i fastighetstaxeringsförordningen föreskriver en kortare gallringsfrist än den som följer av Datainspektionens gallringsföreskrifter för de regionala fastighetstaxeringsregistren. Enligt dessa skall uppgifter bevaras i tolv år efter taxeringsårets utgång. Enligt vad vi har erfarit föreligger det inte något behov av en tolvårig generell bevarandetid. Vi väljer därför den något kortare fristen.
Gåvoskatt
I fråga om gåvoskatt skall, enligt Datainspektionens föreskrifter, personuppgifter i deklarationsärenden gallras efter tolv år. Vidare finns bestämmelser om gallring i lagen (1941:416) om arvsskatt och gåvoskatt. Enligt den lagen skall avlämnade deklarationer förvaras hos beskattningsmyndigheten under tolv år från utgången av det år under vilken de har getts in. Myndigheten har möjlighet att besluta om en femtioårig
gallringsfrist. Det är reglerna om sammanläggning och uppskov som är anledning till den tolvåriga respektive femtioåriga gallringsfristen.
Vi har mot denna bakgrund valt att för uppgifter i gåvoskatteärenden föreslå en generell gallringsbestämmelse som innebär att uppgifter och handlingar i dessa ärenden skall gallras senast årsskiftet tolv år efter det att gåvodeklaration inlämnades. Det avsteg som erfordras från denna generella gallringsfrist anser vi närmast faller på Riksarkivet att göra efter samråd med Riksskatteverket.
I gåvoanmälningsärenden har Datainspektionen i sina tillstånd föreskrivit att personuppgifter skall gallras årsskiftet efter att en deklaration kom in och i övriga fall senast årsskiftet tre år efter förfrågan eller anmaning att inkomma med deklaration. För uppgifter som hämtats in från fastighetstaxeringsregistren har Datainspektionen föreskrivit att uppgifter om förvärv som inte är gåvoskattepliktiga skall gallras omedelbart när detta förhållande har konstaterats. Vi utgår från att dessa gallringsfrister motsvarar verksamhetens generella behov av att bevara uppgifter och föreslår därför en generell gallringsfrist i gåvoanmälningsärenden med innebörd att uppgifter och handlingar i sådana ärenden skall gallras senast tre år efter att förfrågan eller anmaning att inkomma med deklaration gjordes.
Uppgifter i SEED-registret
Som vi nämner i avsnitt 3.1.5 anges i lagen om tobaksskatt, lagen om alkoholskatt samt lagen om skatt på energi, att beskattningsmyndigheten – Skattemyndigheten i Gävle (Särskilda skattekontoret i Ludvika) – med hjälp av automatisk databehandling skall föra register över personer som har godkänts som upplagshavare eller som är registrerade varumottagare samt över godkända skatteupplag. Ändamålet med registret är att tillhandahålla skattskyldiga och behörig myndighet i Sverige eller ett annat EU-land uppgifter om sådant godkännande och sådan registrering. Uppgifterna enligt de tre lagarna har inordnats i ett gemensamt register (System for the Exchange of Excise Data, SEED). Uppgifterna i SEEDregistret skall enligt gällande lagstiftning gallras sju år efter utgången av det kalenderår som upplagshavaren eller varumottagaren avregistrerades. Vi har inte funnit anledning att avvika från denna gallringsfrist.
Särskilda föreskrifter om undantag
Vissa uppgifter i beskattningsdatabasen bör inte gallras över huvud taget. Det gäller bl.a. uppgifter som i dag återfinns i taxeringsuppgiftsregistret och tidigare återfanns i skattelängder. Genom att bevara dessa
uppgifter tillgodoses statistikens och forskningens behov, samtidigt som den kontinuitet som finns i dag avseende sådana uppgifter kan bibehållas. Enligt vår uppfattning kan således bestämmelser om att vissa uppgifter i beskattningsdatabasen skall bevaras ersätta föreskrifter om inrättande av t.ex. särskilda taxeringsuppgiftsregister. Vi anser att det bör åligga regeringen eller, om regeringen bestämmer det, Riksarkivet att meddela föreskrifter om vilka uppgifter som skall bevaras.
Även i övrigt bör regeringen eller Riksarkivet ha möjlighet att meddela föreskrifter om att vissa uppgifter som undantas från gallring i beskattningsdatabasen skall överlämnas till en arkivmyndighet.
8.2. Skatteförvaltningens folkbokföringsverksamhet
8.2.1. En särskild lag för folkbokföringsverksamheten
Vårt förslag: Behandling av personuppgifter i den del av skatteförvaltningens verksamhet som rör folkbokföringsfrågor skall regleras i en särskild lag.
Som vi nämner i avsnitt 8.1.1 anser vi att starka skäl talar för att behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet skall regleras i en särskild lag. För den brottsutredande verksamhet som skattemyndigheterna bedriver finns bestämmelser i lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar. Ansvaret för frågor om val och folkomröstningar delar skatteförvaltningen med länsstyrelserna och de kommunala valnämnderna. De delarna av förvaltningens verksamhet bör därför inte regleras gemensamt med folkbokföringsfrågor. Ett flertal argument kan föras fram även mot att beskattningsfrågor regleras gemensamt med folkbokföringsfrågorna. För det första är de två verksamhetsgrenarna organisatoriskt åtskilda på så sätt att uppgifterna inte behandlas av samma personalkategorier. Dessutom är sekretesskyddet väsentligt strängare för uppgifter inom beskattningsverksamheten än inom folkbokföringen. För det andra har de frågor som hanteras av respektive verksamhetsgren inte någon saklig anknytning till varandra. För det tredje är typerna av uppgifter som behandlas så olika, att vi inte kan se någon lagteknisk vinst med en
gemensam reglering. Vi väljer därför en lösning som innebär att skatteförvaltningens folkbokföringsverksamhet regleras i en särskild lag som inte omfattar andra delar av förvaltningens verksamhet.
8.2.2. Ändamålen med behandling i folkbokföringsdatabasen
Vårt förslag: Uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs inom skatteförvaltningen för
- samordnad behandling av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter,
- handläggning av folkbokföringsärenden,
- fullgörande av underrättelseskyldighet enligt lag eller förordning samt för att tillgodose samhällets behov av folkbokföringsuppgifter i övrigt,
- tillsyn, kontroll, uppföljning och planering av verksamheten, samt
- framställning av statistik.
Som framgår av avsnitt 6.1 föreslår vi att det för de verksamheter som vi har att utreda skall finnas en särskild reglering för behandling i databaser. För en närmare redogörelse av vad som avses med begreppet databas och beskrivning av när behandling av personuppgifter skall omfattas av de särskilda reglerna för databaser hänvisas till det avsnittet.
I lagen (1990:1536) om folkbokföringsregister, lagen (1995:743) om aviseringsregister och förordningen (1991:750) om folkbokföringsregister anges ändamålen med de register vars reglering vi föreslår skall ersättas genom bestämmelserna om en folkbokföringsdatabas (se avsnitt 3.2). Vi har inte för avsikt att föreslå några förändringar avseende för vilka ändamål uppgifter får behandlas i folkbokföringsverksamheten. Den i lagförslaget återgivna ändamålsbeskrivningen motsvarar därför i sak vad som gäller i dag.
Som vi redovisar i avsnitt 6.2.2 anser vi att man principiellt bör skilja mellan primära och sekundära ändamål. Med primära ändamål avser vi ändamål som är direkt anpassade till den verksamhet som bedrivs av personuppgiftsansvariga myndigheter. Sekundära ändamål är ändamål som kan hänföras till andra verksamhetsområden än det för vilket databasen primärt förs. För folkbokföringsverksamheten gäller emellertid i detta avseende något speciella förhållanden. Inom samtliga de övriga verksamheter som omfattas av vårt uppdrag förs i dag personregister med det huvudsakliga ändamålet att utgöra ett stöd för myndigheterna i
utövandet av sina arbetsuppgifter. Det primära ändamålet med registren är med andra ord myndigheternas egen verksamhet. Det primära ändamålet för dagens folkbokförings- och aviseringsregister kan däremot närmast sägas vara att bistå samhället i stort, och inte bara den egna verksamheten, med uppgifter om fysiska personer i Sverige.
Vi föreslår som ett första ändamål med folkbokföringsdatabasen skatteförvaltningens skyldighet att behandla uppgifter för samordning av identifieringsuppgifter för fysiska personer och andra folkbokföringsuppgifter. Detta ändamål har sin direkta motsvarighet i lagen om folkbokföringsregister och avser kärnan i verksamheten, nämligen att föra ett kontinuerligt register med ett antal grundläggande uppgifter om Sveriges alla invånare och vissa andra personer. Ett väsentligt ändamål med databasen är även handläggning av folkbokföringsärenden. Med detta avser vi inte endast handläggning av ärenden enligt folkbokföringslagen (1991:481), utan på samma sätt som i dag samtliga de ärenden som handläggs av skattemyndigheterna i egenskap av ansvariga myndigheter för folkbokföringsverksamheten. Som exempel kan nämnas ärenden enligt namnlagen (1982:670). Det ändamålet omfattar även behandling av personuppgifter i de handläggningsregister som i dag förs med stöd av förordningen om folkbokföringsregister.
Som ett särskilt ändamål med folkbokföringsdatabasen föreslår vi skatteförvaltningens underrättelseskyldighet enligt lag eller förordning samt förvaltningens skyldighet att tillgodose samhällets behov av folkbokföringsuppgifter i övrigt. Som vi nämner ovan kan det sägas vara det huvudsakliga ändamålet med databasen. Vår avsikt är att detta ändamål skall omfatta vad som i dag anges i lagen om folkbokföringsregister om framställning av personbevis och andra registerutdrag samt uttag av folklängder och andra samlingar av uppgifter för förvaring hos statliga arkivmyndigheter. Även de för aviseringsregistret i dag angivna ändamålen aktualisering, komplettering och kontroll av samt uttag av urval av personuppgifter, faller in under det ändamålet.
Slutligen anges som ändamål med databasen tillsyn, kontroll, uppföljning och planering av verksamheten samt framställning av statistik. Riksskatteverket och skattemyndigheterna måste ha möjlighet att som ett led i folkbokföringsverksamheten behandla personuppgifter med syfte att kartlägga verksamheten, dvs. följa upp verksamheten och planera för åtgärder som skall vidtas i framtiden. Det måste även finnas möjligheter att behandla personuppgifter i folkbokföringsdatabasen för statistiska ändamål, både officiellt reglerad statistik och sådan statistik som inte är författningsreglerad.
8.2.3. Uppgifter som får behandlas i databasen
Vårt förslag: I databasen skall, i den omfattning som behövs för folkbokföringsverksamheten, få behandlas uppgifter om
- personnummer,
- samordningsnummer enligt folkbokföringslagen (1991:481),
- namn,
- födelsetid,
- födelsehemort,
- födelseort,
- adress,
- folkbokföringsfastighet, lägenhetsbeteckning, folkbokföringsort och folkbokföring under särskild rubrik,
- medborgarskap,
- civilstånd,
- make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen,
- samband enligt föregående punkt som är grundat på adoption,
- inflyttning från utlandet,
- avregistrering,
- anmälan enligt 7 kap.1 och 10 §§vallagen (1997:157), samt
- gravsättning. I databasen skall få behandlas uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § folkbokföringskungörelsen (1967:495).
I databasen skall få behandlas uppgifter om tidpunkter för nu nämnda förhållanden. För uppgifter om personnummer, samordningsnummer och avregistrering skall få anges grunden för förhållandet. För uppgift om samordningsnummer skall även få anges de handlingar som har legat till grund för identifiering samt uppgift om att det råder osäkerhet om personens identitet.
I databasen skall också få behandlas uppgifter om yrkande och grunder i ett ärende, beslut i ett ärende med angivande av skälen för beslutet samt andra uppgifter som behövs för handläggningen av ett ärende. Regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om vilka uppgifter som sålunda får behandlas i databasen.
Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skall få behandlas i databasen endast som en del av en elektronisk handling. Undantag skall dock göras för uppgifter som uttryckligen anges i lagen.
Till skillnad från vad som gäller inom framför allt beskattningsverksamheten är förändringstakten inom folkbokföringsverksamheten förhållandevis låg i fråga om vilka uppgifter om fysiska personer som behöver behandlas på automatiserad väg i den informationsbaserade delen av databasen. Den uppräkning av uppgifter som i dag återfinns i lagen om folkbokföringsregister är dessutom både så begränsad till sin omfattning och av så central betydelse i folkbokföringsverksamheten, att vi inte ser någon anledning att indela uppgifterna i kategorier och överlåta till regeringen eller Riksskatteverket att närmare besluta om vilka uppgifter som får behandlas. Vi har i stället valt att, på samma sätt som för folkbokföringsregister i dag, ange uppgifterna direkt i lag, med endast smärre förändringar i det materiella innehållet så som det enligt beslut av riksdagen kommer att vara utformat den 1 januari 2000. Uppgifter om sjömansregistrering finns det enligt vad vi har erfarit inte längre något behov av och vi har därför inte funnit anledning att föra över den bestämmelsen från dagens lagstiftning. Det kommer inte heller att finnas anledning att i framtiden behandla uppgifter om medlemskap i icke territoriell församling. Sådana uppgifter kommer därför inte att få behandlas enligt vårt förslag.
Vi föreslår att det i folkbokföringsdatabasen, förutom de ovan angivna uppgifterna, skall få behandlas uppgifter om yrkande och grunder i ett ärende, beslut i ett ärende med angivande av skälen för beslutet samt andra uppgifter som behövs för handläggningen av ett ärende. Här avses uppgifter som i stor omfattning kommer att återfinnas i elektroniska handlingar i ärendehanteringssystem. Avsikten är inte att handlingarna i dess helhet regelmässigt skall registreras i den informationsbaserade delen av databasen. I den omfattning det behövs bör emellertid uppgifter om beslut m.m. avseende en person kunna återfinnas i databasen utan att en handläggare behöver ha tillgång till den elektroniska akten i det aktuella ärendet. När sådana uppgifter behandlas på annat sätt än i elektroniska handlingar gäller dock begränsningar i fråga om vilka känsliga personuppgifter m.m. som får behandlas. Det bör påpekas att vår avsikt är att uppgifter som i dag registreras i det särskilda handläggningsregistret enligt förordningen om folkbokföringsregister m.m. även fortsättningsvis skall få behandlas, eftersom det är uppgifter som behövs för handläggning av ärenden. Det bör åligga regeringen eller Riksskatteverket att meddela närmare föreskrifter om vilka uppgifter
som får behandlas på den grunden att de behövs för handläggningen av ärenden.
En genomgående princip för behandling av personuppgifter i databaser är enligt våra förslag att känsliga personuppgifter och uppgifter om lagöverträdelser m.m. enligt 13 och 21 §§personuppgiftslagen endast skall få behandlas i elektroniska handlingar i ärendehanteringssystem (se avsnitt 6.3.3 och 6.4.4). Känsliga personuppgifter m.m. som ändå skall få behandlas i den informationsbaserade delen av databasen bör regleras uttryckligt i lag. För folkbokföringsdatabasens del saknas anledning att behandla andra sådana uppgifter än de som ingår i den från lagen om folkbokföringsregister överflyttade uppräkningen av uppgifter som får behandlas i databasen.
8.2.4. Direktåtkomst till databasen
Vårt förslag: Riksskatteverket och skattemyndigheterna skall få ha direktåtkomst till folkbokföringsdatabasen. Regeringen skall få meddela föreskrifter om att även annan får ha direktåtkomst, dock inte till elektroniska handlingar.
Regeringen skall få meddela föreskrifter om inskränkning av en myndighets eller annans direktåtkomst till databasen.
Regeringen skall få meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om sig själv i databasen. Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som sålunda får omfattas av direktåtkomst.
I avsnitt 6.7 redovisar vi vår principiella inställning i fråga om direktåtkomst till databaser. I enlighet med de resonemang vi för där föreslår vi att Riksskatteverket och skattemyndigheterna skall ha rätt till fullständig tillgång till uppgifter i folkbokföringsdatabasen, inklusive de elektroniska handlingarna vilka av integritetsskäl inte bör vara tillgängliga för andra myndigheter. För den händelse regeringen finner att det finns särskild anledning att begränsa åtkomsten till vissa uppgifter eller handlingar, föreslår vi en möjlighet för regeringen att meddela föreskrifter om sådan begränsning. Enligt vår uppfattning torde dock detta inte vara nödvändigt i nuläget.
I dag förekommer direktåtkomst för myndigheter utanför skatteförvaltningen endast till vissa uppgifter i aviseringsregistret (se avsnitt 3.2.4). Vi ser inga skäl att begränsa den direktåtkomst till folkbokföringsuppgifter som myndigheter har i dag. Vi föreslår därför att rege-
ringen skall ha möjlighet att meddela föreskrifter om att andra än Riksskatteverket och skattemyndigheterna skall få direktåtkomst till uppgifter i folkbokföringsdatabasen. Sådan åtkomst kan naturligtvis begränsas till att avse endast vissa uppgifter, exempelvis de uppgifter som i dag är åtkomliga för samtliga myndigheter i aviseringsregistret. Enligt vår uppfattning bör emellertid de myndigheter som i dag har direktåtkomst till fler uppgifter i aviseringsregistret för att aktualisera, komplettera eller kontrollera uppgifter i sina egna register, även fortsättningsvis ha motsvarande tillgång till uppgifter i folkbokföringsdatabasen.
Vi redovisar i avsnitt 6.7.5 våra överväganden i fråga om möjligheten för enskilda att få direktåtkomst till egna uppgifter i myndigheters databaser. Vi föreslår för samtliga de verksamhetsområden som omfattas av vårt uppdrag att regeringen skall få meddela föreskrifter om att en enskild får ha direktåkomst till uppgifter om sig själv i en databas. Regeringen kan i och för sig enligt vårt lagförslag anses ha denna möjlighet redan genom det ovan redovisade bemyndigandet att tillåta direktåtkomst till databasen för andra än de myndigheter som uttryckligen anges i lagförslaget. Vi anser emellertid att den särskilda direktåtkomst som avser egna uppgifter bör markeras särskilt i lagen. Inom folkbokföringsverksamheten planeras elektroniska förfaranden som komplement till mer traditionella rutiner (prop. 1997/98:136 s. 59 f.). Vad som avses är t.ex. att Internet skall kunna utnyttjas för att anmäla flyttning eller göra namnanmälan för ett nyfött barn. Ett viktigt hjälpmedel för att sådana anmälningsrutiner skall bli ett effektivt alternativ är att enskilda samtidigt får tillgång till de uppgifter om dem själva som finns hos myndigheten före ändringen.
I likhet med vad vi föreslår för beskattningsdatabasen samt val- och folkomröstningsdatabasen (se avsnitt 8.1.4 och 8.3.4) har vi för folkbokföringsdatabasen övervägt att ge regeringen möjlighet att föreskriva om allmän direktåtkomst till vissa uppgifter. Vad vi särskilt har tittat på är om det finns skäl att tillåta envar som så önskar att – t.ex. via Internet eller med hjälp av automatisk telefontjänst – ta del av en enskilds namnoch adressuppgifter, under förutsättning att den som söker efter uppgifterna har tillgång till den enskildes personnummer. En sådan möjlighet skulle förenkla för kommuner, företag, sjukvårdsinrättningar och organisationer m.m., att kontrollera kommuninvånarnas, de anställdas, patienternas eller medlemmarnas namn- och adressuppgifter med ledning av deras personnummer. Det skulle i sin tur innebära att folkbokföringsenheterna sparar tid och arbete som i dag ägnas åt att lämna de aktuella uppgifterna per telefon. Vi avstår emellertid från att lägga fram ett sådant förslag, främst på grund av att det finns betänkligheter från integritetssynpunkt mot att enskildas namn- och adressuppgifter görs tillgängliga för allmänheten på ett sådant sätt, även om en förut-
sättning för åtkomst till uppgifterna är att den sökande har tillgång till personnumret avseende de personer om vilka informationen eftersöks. Det är enligt vår uppfattning även tveksamt om ett sådant förfarande kan anses stå i överensstämmelse med bestämmelserna om överföring av personuppgifter till tredje land i artikel 25 och 26 i dataskyddsdirektivet.
8.2.5. Sökning i databasen
Vårt förslag: Uppgifter om födelseort, familjesamband som grundas på adoption, inflyttning från utlandet samt gravsättning skall inte få användas som sökbegrepp vid sökning i folkbokföringsdatabasen.
Uppgift om medborgarskap skall få användas som sökbegrepp endast i fråga om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap i ett land inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).
Förutom de begränsningar vid sökning som allmänt gäller för behandling av uppgifter i elektroniska handlingar (se avsnitt 6.4.5) bör av integritetsskäl de i dag gällande begränsningarna i sökmöjligheter enligt lagen om folkbokföringsregister i princip tillämpas även i framtiden. Vi föreslår således att som sökbegrepp inte skall få användas uppgifter om födelseort, familjesamband som grundas på adoption, inflyttning från utlandet samt gravsättning. Samtliga dessa uppgifter är på olika sätt känsliga och det finns inte heller efter vad vi har erfarit något direkt behov av att använda uppgifterna som sökbegrepp.
I förhållande till vad som gäller i dag har vi valt att göra endast ett par förändringar. En ändring avser de uppgifter om anmälan enligt vallagen som får behandlas i databasen. Anmälningarna gäller svenska medborgare som inte är folkbokförda i landet och det finns enligt vår uppfattning inga faror från integritetssynpunkt att tillåta uppgifterna som sökbegrepp. I dag får uppgift om födelsehemort inte användas som sökbegrepp. En persons födelsehemort är den ort i Sverige där modern var folkbokförd när personen föddes. Vi kan inte se några integritetsskäl för att den uppgiften inte skall få användas som sökbegrepp. I fråga om uppgifter om medborgarskap har vi valt att för folkbokföringsdatabasen införa en bestämmelse som motsvarar vad som i dag gäller för aviseringsregistret, nämligen att sökning får göras på medborgarskap i de nordiska länderna. Dessutom skall det vara möjligt att söka på uppgift om någon är medborgare i ett land i EU eller inte, däremot inte
på uppgifter om medborgarskap i ett specifikt land med undantag för de nordiska länderna.
8.2.6. Gallring av uppgifter i databasen
Vårt förslag:Arkivlagens bestämmelser om gallring och bevarande skall gälla för uppgifter och handlingar i folkbokföringsdatabasen.
I dag gallras uppgifter i folkbokföringsregister i enlighet med arkivlagens bestämmelser, medan särskilda bestämmelser gäller för aviseringsregistret (se avsnitt 3.2). Principen för gallring av uppgifter i aviseringsregistret är att uppgifter skall gallras när de inte är aktuella. Det är med andra ord endast aktuella uppgifter som skall aviseras. Som vi nämner i avsnitt 4.4.5 föreslår vi att regeringen skall ha möjlighet att meddela föreskrifter om hur en databas skall vara indelad, dvs. närmare ange t.ex. vilka uppgifter i folkbokföringsdatabasen som skall få användas för aviseringsändamål. I en sådan förordning kan även anges att endast aktuella uppgifter får aviseras. Förordningen kan därmed ersätta de särskilda gallringsbestämmelser som gäller i dag för aviseringsregistret. Vi anser således att samma gallringsregler kan tillämpas för samtliga uppgifter i folkbokföringsdatabasen och föreslår därför, i likhet med vad som gäller för folkbokföringsregister i dag, inga särskilda gallringsbestämmelser för uppgifter och handlingar i folkbokföringsdatabasen. Det innebär att arkivlagens bestämmelser skall tillämpas.
8.3. Verksamhet med val och folkomröstningar
8.3.1. En lag för verksamhet med val och folkomröstningar
Vårt förslag: Behandling av personuppgifter i verksamhet med val och folkomröstningar skall regleras i en lag, oavsett om behandlingen utförs av myndigheter inom skatteförvaltningen eller av länsstyrelserna.
I avsnitt 8.1.1 redovisar vi de skäl som ligger bakom vårt förslag att reglera skatteförvaltningens beskattningsverksamhet i en särskild lag. Där påpekas att regler som rör behandling av personuppgifter i verksamhet med val och folkomröstningar inte bör samordnas med bestämmelser som avser beskattnings- eller folkbokföringsverksamheten. Även om skatteförvaltningen i viss del ansvarar för verksamhet med val och folkomröstningar, så medför enligt vår mening den omständigheten att ansvaret delas med länsstyrelserna och de kommunala valnämnderna att dessa frågor bör regleras separat. En möjlighet hade då varit att reglera den behandling som myndigheter inom skatteförvaltningen ansvarar för i en lag och ha ett särskilt regelverk för övrig behandling. Vi anser dock att samtliga bestämmelser som avser behandling av personuppgifter vid val och folkomröstningar skall samordnas i en lag.
Enligt vår mening bör emellertid lagen begränsas så att den endast omfattar de statliga myndigheter som arbetar med val och folkomröstningar. De kommunala valnämnderna är i dag inte ansvariga för de personregister som förs för den verksamheten, dvs. röstlängdsregister och kandidatregister. Det kan i och för sig finnas fördelar från effektivitetssynpunkt med att låta valnämnderna vara personuppgiftsansvariga jämte Riksskatteverket, skattemyndigheterna och länsstyrelserna. De skulle då på eget ansvar kunna behandla uppgifter om valresultat i den för verksamheten gemensamma databasen (se nästa avsnitt). Enligt vår uppfattning bör emellertid ansvaret för personuppgiftsbehandlingen åligga endast de statliga myndigheter som är involverade i verksamheten. Det innebär inte att de kommunala valnämnderna i sin verksamhet inte skall kunna dra nytta av de uppgifter som behandlas av de statliga myndigheterna, t.ex. i form av direktåtkomst till val- och folkomröstningsdatabasen (se avsnitt 8.3.4).
8.3.2. Ändamålen med behandling i val- och folkomröstningsdatabasen
Vårt förslag: Uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs hos Riksskatteverket, skattemyndigheterna och länsstyrelserna för
- framställning av röstlängder och röstkort inför ett val eller en folkomröstning,
- framställning av valsedlar och sammanräkning av valresultat,
- tillsyn, kontroll, uppföljning och planering av verksamheten, samt
- framställning av statistik.
Uppgifter i databasen skall även få behandlas för att tillgodose samhällets behov av uppgifter i samband med val och folkomröstningar samt för framställning av statistik.
Som framgår av avsnitt 6.1 föreslår vi att det för de verksamheter som vi har att utreda skall finnas en särskild reglering för behandling i databaser. För en närmare redogörelse av vad som avses med begreppet databas och beskrivning av när behandling av personuppgifter skall omfattas av de särskilda reglerna för databaser hänvisas till det avsnittet.
Avsikten med bestämmelserna om val- och folkomröstningsdatabasen är att de skall ersätta regleringen av dels röstlängdsregister enligt lagen (1997:158) om röstlängdsregister, dels kandidatregister som förs med stöd av tillstånd av Datainspektionen (se avsnitt 3.3). Några materiella förändringar är således inte avsedda. Som vi redovisar i avsnitt 6.2.2 anser vi att man bör skilja mellan primära och sekundära ändamål för en databas. Med primära ändamål avser vi ändamål som är direkt anpassade till den verksamhet som bedrivs av personuppgiftsansvariga myndigheter, i detta fallet Riksskatteverket, skattemyndigheterna och länsstyrelserna. Sekundära ändamål är ändamål som kan hänföras till andra verksamhetsområden än det för vilket databasen primärt förs.
De två huvudsakliga primära ändamålen för val- och folkomröstningsdatabasen är framställning av röstlängder och röstkort inför ett val eller en folkomröstning, vilket görs av Riksskatteverket och skattemyndigheterna, samt framställning av valsedlar och sammanräkning av valresultat. De sistnämnda uppgifterna åligger Riksskatteverket och länsstyrelserna. Även de kommunala valnämnderna ansvarar i och för sig för sammanräkning av valresultat. Vi anser emellertid att databasens primära användningsområde bör begränsas till den verksamhet som bedrivs av de statliga myndigheterna. Däremot är det enligt vår uppfattning inget
som hindrar att valnämnderna får direktåtkomst till uppgifter i databasen och därmed kan dra nytta av den information som finns där (se avsnitt 8.3.4).
Som primära ändamål anges även tillsyn, kontroll, uppföljning och planering av verksamheten samt framställning av statistik. Riksskatteverket, skattemyndigheterna och länsstyrelserna måste ha möjlighet att som ett led i verksamheten behandla personuppgifter med syfte att kartlägga verksamheten, dvs. följa upp val och folkomröstningar och planera för åtgärder som skall vidtas i framtiden. Det måste även finnas möjligheter att behandla personuppgifter för statistiska ändamål, både officiellt reglerad statistik och sådan statistik som är av mer intern angelägenhet eller som i vart fall inte är författningsreglerad.
Som sekundära ändamål anges behandling för att tillgodose samhällets behov av uppgifter i samband med val och folkomröstningar samt framställning av statistik. Det är en självklarhet att ett ändamål med valoch folkomröstningsdatabasen måste vara att offentliggöra och sprida bl.a. uppgifter om kandidater i val via valsedlar samt resultatet av ett val eller en folkomröstning. Utöver behovet av uppgifter i samband med val och folkomröstningar kan det finnas behov av uppgifter för statistiska ändamål i andra sammanhang.
8.3.3. Uppgifter som får behandlas i databasen
Vårt förslag: För en person som kan antas komma att vara röstberättigad den dag som ett val eller en folkomröstning skall hållas, skall i databasen få behandlas uppgifter om personnummer, namn, adress, folkbokföringsort, fastighetsbeteckning, valdistrikt och medborgarskap. För en person som inte är folkbokförd i Sverige skall få behandlas uppgift om tidpunkt för utvandring och för en person som har invandrat till Sverige uppgift om tidpunkt för invandringen.
För en person som är kandidat i ett val skall i databasen få behandlas uppgifter om personnummer, namn, adress, folkbokföringsort, medborgarskap i ett land inom Europeiska unionen samt identifieringsuppgifter och partibeteckning som finns eller kommer att finnas på valsedlar där personen är upptagen.
I databasen skall få behandlas uppgifter om yrkande och grunder i ett ärende, beslut i ett ärende med angivande av skälen för beslutet samt andra uppgifter som behövs för handläggningen av ett ärende. Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som sålunda får behandlas i databasen.
Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skall få behandlas i databasen endast som en del av en elektronisk handling. Undantag görs dock för uppgifter som uttryckligen anges i lagen.
I likhet med vad som gäller inom folkbokföringsverksamheten är förändringstakten inom verksamheten med val och folkomröstningar förhållandevis låg när det gäller vilka uppgifter om fysiska personer som behöver behandlas på automatiserad väg i den informationsbaserade delen av databasen. Vi har därför valt att för vissa personkategorier, på samma sätt som för folkbokföringsdatabasen, föreslå att uppgifterna anges direkt i lag.
Vad som får registreras om personer som är eller kan antas komma att vara röstberättigade vid kommande val eller folkomröstning regleras i dag i lagen om röstlängdsregister. De uppgifter som vi föreslår skall få behandlas i val- och folkbokföringsdatabasen motsvarar de nu gällande bestämmelserna i relevanta delar (se avsnitt 3.3.2). Vi föreslår att behandling skall få ske av uppgifter om personnummer, namn, adress, folkbokföringsort, fastighetsbeteckning, valdistrikt och medborgarskap, vilket innebär att vi har valt att i förslaget inte ange vissa uppgifter som inte kommer att vara aktuella vid den tidpunkt då lagen föreslås träda i kraft. Det gäller uppgifter om tillhörighet i svenska kyrkan eller i en icke-territoriell församling. Uppgifter om folkbokföringsort anser vi bör inkludera uppgifter om län och kommun.
Kandidatregister förs i dag med stöd av tillstånd från Datainspektionen. I tillståndet anges vilka uppgifter som registren får innehålla (se avsnitt 3.3.3). Vi föreslår med ett undantag ingen materiell förändring i fråga om vilka uppgifter som skall få behandlas. Undantaget gäller uppgifter om medborgarskap. I dag får endast uppgifter om svenskt eller icke svenskt medborgarskap finnas i kandidatregister. Det är emellertid väsentligt att det får behandlas uppgifter om i vilket land inom EU som en kandidat i ett val är medborgare. Anledningen är att det i fråga om val till Europaparlamentet föreligger en uppgiftsskyldighet för medlemsländerna i fråga om vilka medborgare i andra medlemsländer som kandiderar i val. Sverige skall alltså meddela ett EU-land om någon
av deras medborgare är kandidat i det svenska valet till Europaparlamentet. För en person som är kandidat i ett val föreslår vi därför att det i databasen skall få behandlas uppgifter om personnummer, namn, adress, folkbokföringsort, medborgarskap i ett land inom EU samt identifieringsuppgifter och partibeteckning som finns eller kommer att finnas på valsedlar där personen är upptagen.
Vi föreslår att det i val- och folkomröstningsdatabasen, förutom de ovan angivna uppgifterna, skall få behandlas uppgifter om yrkande och grunder i ett ärende, beslut i ett ärende med angivande av skälen för beslutet samt andra uppgifter som behövs för handläggningen av ett ärende. Här avses uppgifter som i stor omfattning kommer att återfinnas i elektroniska handlingar i ärendehanteringssystem. Avsikten är inte att handlingarna i dess helhet regelmässigt skall registreras i den informationsbaserade delen av databasen. I den omfattning det behövs bör emellertid uppgifter om beslut m.m. avseende en person kunna återfinnas i databasen utan att en handläggare behöver ha tillgång till den elektroniska akten i det aktuella ärendet. När sådana uppgifter behandlas på annat sätt än i elektroniska handlingar gäller dock begränsningar i fråga om vilka känsliga personuppgifter m.m. som får behandlas.
Vid genomförandet av val eller folkomröstningar är det av administrativa skäl viktigt att det finns uppgifter tillgängliga om de personer som arbetar med genomförandet av ett val, t.ex. partiombud, korrekturansvariga och valnämndernas ordförande och sekreterare m.fl. Dessutom behövs det uppgifter om valdistrikt, vallokaler och deras öppettider, adress till valnämnden m.m. Administrativa uppgifter om personal m.m. omfattas inte av våra lagförslag, utan vid behandling av sådana uppgifter skall personuppgiftslagens bestämmelser tillämpas. Det hindrar emellertid inte att uppgifter om t.ex. namn, adress och telefonnummer behandlas i val- och folkomröstningsdatabasen tillsammans med de andra uppgifter som behövs för verksamheten (se avsnitt 4.3.3 och 6.3.4).
Huvudregeln för behandling av personuppgifter i databaser enligt våra lagförslag är att känsliga personuppgifter och uppgifter om lagöverträdelser m.m. enligt 13 och 21 §§personuppgiftslagen endast skall få behandlas i elektroniska handlingar i ärendehanteringssystem (se avsnitt 6.3.3 och 6.4.4). Känsliga personuppgifter m.m. som ändå skall få behandlas i den informationsbaserade delen av databasen bör regleras uttryckligt i lag. För val och folkomröstningsdatabasens del saknas anledning att behandla andra sådana uppgifter än de som uttryckligen får föras in i databasen om de olika personkategorierna.
8.3.4. Direktåtkomst till databasen
Vårt förslag: Riksskatteverket, skattemyndigheterna, länsstyrelserna och de kommunala valnämnderna skall få ha direktåtkomst till valoch folkomröstningsdatabasen. De kommunala valnämndernas direktåtkomst får inte avse elektroniska handlingar. Regeringen skall få meddela föreskrifter om att även annan får ha direktåtkomst, dock inte till elektroniska handlingar.
Regeringen skall få meddela föreskrifter om inskränkning av en myndighets eller annans direktåtkomst till databasen.
Regeringen skall få meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om sig själv i databasen. Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som sålunda får omfattas av direktåtkomst.
Regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om allmän direktåtkomst till uppgifter i databasen som finns på valsedlar. Direktåtkomsten får inte vara utformad så att uppgifter om flera personer kan behandlas på automatiserad väg vid inhämtandet.
I avsnitt 6.7 redovisar vi vår principiella inställning till direktåtkomst till databaser. I enlighet med de resonemang vi för där föreslår vi att Riksskatteverket, skattemyndigheterna och länsstyrelserna skall ha laglig rätt till fullständig tillgång till uppgifter i val- och folkomröstningsdatabasen, inklusive de elektroniska handlingarna. För den händelse regeringen finner att det finns särskild anledning att begränsa åtkomsten till vissa uppgifter eller handlingar, föreslår vi en möjlighet för regeringen att meddela föreskrifter om sådan begränsning.
De kommunala valnämnderna är tillsammans med Riksskatteverket och länsstyrelserna ansvariga för genomförandet av ett val och sammanräkning av valresultat. Vi anser emellertid att de inte skall vara personuppgiftsansvariga, utan har valt att låta de statliga myndigheternas behov styra ändamålen med databasen. Det finns emellertid ett värde i att valnämnderna kan få tillgång till uppgifter i val- och folkomröstningsdatabasen. Det skulle bl.a. möjliggöra att röstkort kan lämnas ut hos kommunkontoren samt att personalen i vallokalerna lättare kan komma åt den information som behövs för att valdeltagare skall kunna hänvisas till rätt vallokal. Vi föreslår därför att de kommunala valnämn-
derna skall få ha direktåtkomst till databasen, dock inte till de elektroniska handlingarna.
Regeringen bör dessutom ha möjlighet att meddela föreskrifter om att andra myndigheter och enskilda skall få direktåtkomst till uppgifter i databasen. Sådan åtkomst kan naturligtvis begränsas till att endast avse vissa uppgifter, exempelvis uppgifter om valsedlar och kandidater.
Vi redovisar i avsnitt 6.7.5 våra överväganden i fråga om möjligheten för enskilda att få direktåtkomst till egna uppgifter i myndigheters databaser. Vi föreslår för samtliga de verksamhetsområden som omfattas av vårt uppdrag att regeringen skall få meddela föreskrifter om att en enskild får ha direktåkomst till uppgifter om sig själv i en databas. Regeringen kan i och för sig enligt vårt lagförslag anses ha denna möjlighet redan genom det ovan redovisade bemyndigandet att tillåta direktåtkomst för andra än de myndigheter som ansvarar för valverksamheten. Vi anser emellertid att den särskilda direktåtkomst som avser egna uppgifter bör markeras särskilt i lagen. Enligt vad vi har erfarit finns i dag i och för sig inga planer på att införa en sådan möjlighet i verksamheten med val och folkomröstningar. Enligt vår mening finns det trots detta anledning att ge regeringen möjlighet att när det blir aktuellt tillåta enskilda att via Internet nå information om sig själva som kan vara av värde i samband med att val eller folkomröstning skall genomföras. Det kan röra sig om t.ex. uppgifter om till vilket valdistrikt en person hör och i vilken vallokal han eller hon skall rösta.
I val- och folkomröstningsdatabasen kommer enligt vårt förslag att behandlas vissa uppgifter av sådan karaktär att deras spridning bland allmänheten är av stort intresse. Det gäller de uppgifter om kandidater i val som återfinns på valsedlar, vanligtvis parti, namn, hemort och yrke. För de uppgifterna finns det enligt vår mening anledning att via Internet tillåta direktåtkomst för envar som eftersöker uppgifterna, exempelvis genom att valsedlar återges som bilder på en webbplats. Det skulle underlätta för såväl valdeltagare som massmedierna att få information som är av värde i samband med val. Uppgifterna är enligt vår uppfattning inte integritetskänsliga. Enligt vår mening skulle ett förfarande som det nu beskrivna, om utlämnande till envar av vissa offentliga uppgifter av allmänt intresse, inte heller strida mot bestämmelserna om överföring av personuppgifter till tredje land i artiklarna 25 och 26 i dataskyddsdirektivet.
Regeringen eller Riksskatteverket bör således kunna fatta beslut om utlämnande av uppgifter som finns på valsedlar. På samma sätt som för direktåtkomst för enskilda till egna uppgifter, bör denna form av allmän direktåtkomst regleras särskilt i lagen. Vi föreslår således att regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om allmän direktåtkomst till uppgifter som finns på valsedlar.
Det är enligt vår uppfattning viktigt att det inte ges möjlighet för enskilda att med hjälp av direktåkomst vid inhämtandet av uppgifter på automatiserad väg göra sammanställningar i registerform som omfattar samtliga eller ett stort antal kandidater till ett val. Det bör därför finnas tekniska spärrar som förhindrar ett sådant förfarande.
8.3.5. Sökning i databasen
Vårt förslag: Uppgift om medborgarskap får användas som sökbegrepp endast i fråga om medborgarskap i ett land inom Europeiska unionen eller i Island eller Norge.
Enligt lagen om röstlängdsregister får vid sökning i sådana register användas endast uppgift om namn och personnummer, tillhörighet till svenska kyrkan, medlemskap i icke-territoriell församling, medborgarskap i Sverige, Danmark, Finland, Island eller Norge samt medborgarskap i ett land inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). Enligt vår uppfattning är det i databasen för val- och folkomröstningar endast uppgifter om medborgarskap som kan vara integritetskänsliga och för vilka det finns anledning att ha begränsningar i sökmöjligheterna. I valverksamheten är dock uppgifter om medborgarskap i de nordiska länderna samt i länder som är medlemmar i EU (se avsnitt 8.3.3) av stort intresse. De uppgifterna bör därför vara möjliga att använda som sökbegrepp i databasen.
Förutom de begränsningar vid sökning som allmänt gäller för behandling av uppgifter i elektroniska handlingar (se avsnitt 6.4.5) bör det således enligt vår uppfattning inte vara möjligt att använda uppgifter om medborgarskap vid sökning i databasen, med undantag för medborgarskap i ett land inom EU eller i Island eller Norge.
8.3.6. Gallring av uppgifter i databasen
Vårt förslag: Uppgifter om en person som kan antas komma att vara röstberättigad den dag som ett val eller en folkomröstning skall hållas skall gallras en månad efter att det val eller den folkomröstning för vilket eller vilken uppgifterna behandlas i databasen har vunnit laga kraft. Om flera val hålls samtidigt skall uppgifterna dock gallras en månad efter att samtliga val har vunnit laga kraft.
Uppgifter om en person som är kandidat i ett val skall gallras vid utgången av den mandatperiod för vilken uppgifterna behandlas i databasen.
Regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om att en uppgift eller handling skall gallras vid en annan tidpunkt eller bevaras samt om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
I val- och folkbokföringsdatabasen kommer att behandlas uppgifter om personer som är röstberättigade, dvs. i stort sett Sveriges hela vuxna befolkning och dessutom svenska medborgare bosatta utomlands. Behovet av uppgifter för fastställande av rösträtt är i huvudsak begränsat till själva valet eller folkomröstningen. Någon anledning att behandla uppgifter i perioder mellan valen finns således normalt inte. Som huvudregel bör enligt vår uppfattning uppgifterna därför, på samma sätt som i dag, gallras när det val eller den folkomröstning för vilka de behandlats är genomfört. Det torde i normalfallet vara tillräckligt att uppgifterna bevaras i en månad efter att det eller de val eller folkomröstningar som uppgifterna avser har vunnit laga kraft. När flera val hålls samtidigt, vilket sker vid de allmänna valen till riksdag, landsting och kommuner, bör dock av administrativa skäl samtliga uppgifter bevaras till dess alla val har vunnit laga kraft.
För uppgifter om kandidater i val är förhållandet annorlunda. Där kan förändringar komma att ske under hela mandatperioden. Därför är det enligt vår mening lämpligt att uppgifterna bevaras under hela den mandatperiod för vilken de kandiderar vid det aktuella valet. Därefter, dvs. vanligtvis i samband med nästkommande val, kan uppgifterna gallras ur databasen.
För bägge personkategorierna bör det enligt vår mening vara möjligt för regeringen eller Riksarkivet att meddela föreskrifter om att en uppgift skall bevaras eller gallras vid en annan tidpunkt än den som anges i lagen. Som exempel kan nämnas uppgifter om unionsmedborgare som haft rösträtt vid det senaste valet till Europaparlamentet. Sådana uppgifter måste nämligen vara tillgängliga när röstlängder skall upprättas inför följande parlamentsval. I detta och andra fall får alltså undantag föreskrivas. Slutligen bör regeringen eller Riksarkivet ha möjlighet att meddela föreskrifter om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
8.4. Exekutionsväsendets verksamhet
8.4.1. En lag för exekutionsväsendet
Vårt förslag: Behandling av personuppgifter och andra uppgifter i exekutionsväsendets samtliga verksamheter skall regleras i en lag.
Inom exekutionsväsendets område faller ett flertal verksamheter av skilda slag (se avsnitt 3.4.1). Det är verksamhet med utsökning och indrivning, skuldsanering, betalningsföreläggande och handräckning samt tillsyn i konkurs. Dessutom är det vissa mindre arbetsuppgifter som särskilt åligger kronofogdemyndigheterna.
Vi har övervägt att på samma sätt som föreslås för olika verksamheter inom skatteförvaltningen reglera exekutionsväsendets olika verksamheter i separata lagar. Till stor del har dock vissa av verksamheterna anknytning till varandra. Personer som förekommer i exempelvis ett ärende om skuldsanering är i många fall föremål även för utsökningseller indrivningsåtgärder. Även personer som är svarande i ett mål om betalningsföreläggande blir ofta föremål för utsökningsåtgärder. Dessa omständigheter talar för att ha en gemensam reglering av verksamheterna. För en gemensam reglering talar även att det i fråga om allmänna bestämmelser om behandling av uppgifter samt bestämmelser om enskildas rättigheter inte finns anledning att göra någon åtskillnad mellan de olika verksamheterna. Vi är därför av den uppfattningen att det finns fler fördelar än nackdelar med en gemensam lagstiftning. Efter att ha intagit den ståndpunkten att bestämmelser om behandling av personuppgifter och andra uppgifter i exekutionsväsendets verksamheter med utsökning och indrivning, skuldsanering samt betalningsföreläggande och handräckning skall samlas i en lag, har vi inte funnit några bärande skäl för att bryta ut verksamheten med tillsyn i konkurs från den gemensamma lagstiftningen. Vi föreslår därför att all behandling av personuppgifter och andra uppgifter i exekutionsväsendets verksamheter regleras i en lag.
För den särskilda behandlingen i databaser finns emellertid anledning att i vissa delar reglera de olika verksamhetsområdena för sig. I fråga om ändamålen med och vilka uppgifter som får behandlas i en databas är skillnaderna i vissa avseenden så stora att lagstiftningen annars hade blivit svåröverskådlig. I fråga om bestämmelser om elektroniska handlingar, utlämnande av uppgifter till enskilda på medium för automatiserad behandling och direktåtkomst, saknas det däremot enligt vår
mening anledning att ha olika reglering. Sådana bestämmelser föreslås därför vara gemensamma för de olika databaserna.
I fråga om de mindre arbetsuppgifter som åligger kronofogdemyndigheterna är vi av den uppfattningen att behandling av uppgifterna inte behöver regleras i en eller flera för ändamålen särskilt inrättade databaser. De arbetsuppgifter som avses är upptagning av protester av växlar och checkar, registrering av avhandlingar om lösöreköp, beslut när arbetsgivare skall utnyttja sin kvittningsrätt mot arbetstagare, processer i vissa lönegarantimål, kallelse på okända borgenärer samt underrättelser till målsägande i brottmål (se närmare i avsnitt 3.4.1). I dag behandlas personuppgifter avseende dessa områden i kronofogdemyndigheternas allmänna diarier. Det förs med andra ord inga särskilda personregister i vilka uppgifterna behandlas. Enligt vad vi har erfarit är nämnda arbetsuppgifter av förhållandevis begränsad omfattning. Vi föreslår därför att behandling av personuppgifter för nämnda syften – med undantag av processer i vissa lönegarantimål – skall omfattas av bestämmelserna om behandling i utsöknings- och indrivningsdatabasen (se avsnitt 8.4.2). Den behandling av personuppgifter som behöver utföras när kronofogdemyndigheterna för statens talan i processer enligt lönegarantilagen (1992:497), åligger tillsynsmyndigheterna i konkurs. Sådan behandling bör därför enligt vår uppfattning regleras gemensamt med behandling av ärenden i konkurstillsynsdatabasen (se närmare i avsnitt 8.4.11).
Det bör nämnas att Riksskatteverket i dag enligt förordningen (1994:1283) om lönegarantiregister med hjälp av automatisk databehandling får föra ett register över vissa uppgifter om statlig lönegaranti vid konkurs. Uppgifterna i registret får användas endast för framställning av statistik. Frågor om den administrativa hanteringen av lönegarantiersättning har nyligen setts över av Statskontoret och resultatet har publicerats i rapporten En samlad administration av lönegarantin (1999:20). Statskontoret föreslår i rapporten bl.a. att Riksskatteverket skall ges ett systemansvar för lönegarantin, vilket innefattar uppbyggnad av ett nytt centralt IT-stöd för uppföljning, utvärdering, systemtillsyn och prognoser. Statskontoret konstaterar även att det centrala lönegarantiregistret i sin nuvarande utformning saknar funktion och formellt bör kunna avvecklas för att ersättas av en ny databas med åtkomst för kronofogdemyndigheter och konkursförvaltare. Vi har för vår del inga invändningar mot de synpunkter som Statskontoret lägger fram i rapporten. Med anledning av att den närmare utformningen av en eventuell ny administrativ ordning avseende lönegarantin inte är känd i dag, är det inte möjligt för oss att inom ramen för vårt uppdrag nu lämna förslag på reglering av personuppgiftsbehandling inom ett kommande system.
8.4.2. Ändamålen med behandling i utsöknings- och indrivningsdatabasen
Vårt förslag: Uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs inom exekutionsväsendet för
- verkställighet eller annan åtgärd som särskilt åligger kronofogdemyndigheterna enligt utsökningsbalken eller annan författning,
- indrivning av statliga fordringar m.m.,
- avräkning vid återbetalning av skatter och avgifter,
- kvittning vid utbetalning av bidrag,
- övervakning av näringsförbud,
- tillsyn, kontroll, uppföljning och planering av verksamheten, samt
- framställning av statistik.
Uppgifter skall även få behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför exekutionsväsendet för
- avräkning vid återbetalning av skatter och avgifter,
- kvittning vid utbetalning av bidrag,
- planering, samordning och uppföljning av revisions- och annan kontrollverksamhet vid beskattning och tulltaxering,
- utredningar vid bestämmande och betalning av skatter, tullar och socialavgifter,
- tillsyn samt lämplighets-, tillstånds- och annan liknande prövning, samt
- framställning av statistik.
Som framgår av avsnitt 6.1 föreslår vi att det för de verksamheter som vi har att utreda skall finnas en särskild reglering för behandling i databaser. För en närmare redogörelse av vad som avses med begreppet databas och beskrivning av när behandling av personuppgifter skall omfattas av de särskilda reglerna för databaser hänvisas till det avsnittet.
Vår avsikt är att den behandling av personuppgifter som skall göras inom ramen för regleringen av utsöknings- och indrivningsdatabasen i stora delar skall motsvara den behandling som sker i dag med stöd av i huvudsak utsökningsregisterlagen (1968:617). Som vi redovisar i avsnitt 6.2.2 anser vi att man bör skilja mellan primära och sekundära ändamål. Med primära ändamål avser vi ändamål som är direkt anpassade till den verksamhet som bedrivs av personuppgiftsansvariga myndigheter, dvs. Riksskatteverket och kronofogdemyndigheterna. Sekundära ändamål är
ändamål som kan hänföras till andra verksamhetsområden än det för vilket databasen primärt förs.
Ett grundläggande primärt ändamål med utsöknings- och indrivningsdatabasen skall vara verkställighet enligt utsökningsbalken eller annan författning samt indrivning av statliga fordringar m.m. De ändamålen skall täcka in all målhantering som kronofogdemyndigheterna ansvarar för inom det exekutiva området. Med annan åtgärd än verkställighet som särskilt åligger kronofogdemyndigheterna enligt utsökningsbalken eller annan författning, avser vi myndigheternas åliggande att uppta protester av växlar och checkar, att registrera avhandlingar om lösöreköp, att lämna besked när arbetsgivare skall utnyttja sin kvittningsrätt mot arbetstagare, att genomföra kallelse på okända borgenärer samt att underrätta målsägande i brottmål (se avsnitt 8.4.1). Begreppet annan åtgärd kan med andra ord sägas omfatta de uppgifter som åligger kronofogdemyndigheterna och för vilka det inte finns särskild reglering om behandling av personuppgifter i utsöknings- och indrivningsdatabasen eller i någon av de övriga databaser som exekutionsväsendet enligt våra förslag skall förfoga över.
I samband med att personer som är föremål för exekutiva åtgärder skall få skatter eller avgifter återbetalda eller olika former av statliga bidrag utbetalda, skall avräkning eller kvittning göras. Kronofogdemyndigheternas arbete med avräkning och kvittning skall utgöra ett primärt ändamål för vilket uppgifter får behandlas i databasen. En ytterligare uppgift som åligger kronofogdemyndigheterna är övervakning av näringsförbud. Slutligen anges som primära ändamål tillsyn, kontroll, uppföljning och planering av verksamheten samt framställning av statistik. Riksskatteverket och kronofogdemyndigheterna måste ha möjlighet att som ett led i verksamheten behandla personuppgifter med syfte att kartlägga den, dvs. följa upp verksamheten och planera för åtgärder som skall vidtas i framtiden. Det måste även finnas möjligheter att inom exekutionsväsendet behandla personuppgifter för statistiska ändamål, både officiellt reglerad statistik och sådan statistik som är av mer intern angelägenhet eller som i vart fall inte är författningsreglerad.
Även myndigheter utanför exekutionsväsendet behöver tillgång till uppgifter om personer som är föremål för exekutiva åtgärder för att kunna genomföra avräkning och kvittning vid utbetalningar av olika slag. Som exempel kan nämnas avräkning som skattemyndigheter gör vid återbetalning av med för högt belopp inbetald preliminärskatt samt kvittning som kan göras av Jordbruksverket i samband med att olika bidrag skall betalas ut. Avräkning vid återbetalning av skatter och avgifter samt kvittning vid utbetalning av bidrag, anges därför som sekundära ändamål med behandling i databasen. Inom skatteförvaltningen och hos Tullverket finns ett behov av tillgång till uppgifter om exekutiva åtgärder
för den ordinarie verksamheten med uttag av skatt och tull. Som sekundära ändamål anges därför även planering, samordning och uppföljning av revisions- och annan kontrollverksamhet vid beskattning och tulltaxering samt utredningar vid bestämmande och uppbörd av skatter, tullar och socialavgifter.
Det finns ett stort behov av information om att en person är föremål för exekutiva åtgärder vid ett flertal prövnings- och tillsynsförfaranden. Vissa uppgifter som skall finnas i utsöknings- och indrivningsdatabasen kommer därför med stor sannolikhet att användas av olika myndigheter i deras verksamhet. Som exempel kan nämnas kommunernas tillståndsgivning i fråga om utskänkning av alkohol och länsstyrelsernas tillsyn över restauranger m.m. Uppgifter kommer även att behövas vid tillsyn över innehavare av trafiktillstånd m.m. Som ett särskilt ändamål för databasen bör därför anges tillsyn, lämplighets-, tillstånds- och annan liknande prövning. Vidare bör myndigheter och eventuellt andra få tillgång till uppgifter i någon form för att producera statistik. Framställning av statistik bör därför anges som ett ändamål med databasen.
Uppgifter som behandlas i den exekutiva verksamheten lämnas i stor omfattning ut till banker och andra privaträttsliga subjekt som bedriver kreditupplysningsverksamhet. Vad som gäller för behandling av uppgifter i det avseendet redogör vi för i avsnitt 9.4 och 12.8.
8.4.3. Uppgifter som får behandlas i utsöknings- och indrivningsdatabasen
Vårt förslag: I databasen skall, i den utsträckning det behövs för verksamheten med utsökning och indrivning, få behandlas uppgifter om
- en fysisk persons identitet, bosättning, familjeförhållanden och andra liknande basuppgifter,
- en juridisk persons identitet, säte och andra liknande basuppgifter,
- en enskilds ekonomiska förhållanden,
- egendom som berörs i ett mål,
- yrkande och grunder i ett mål eller ärende,
- utslag i mål om betalningsföreläggande, samt
- beslut med angivande av skälen för beslutet, betalning, redovisning och övriga åtgärder i ett mål eller ärende. Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen.
Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skall få behandlas i databasen endast som en del av en elektronisk handling. Uppgift om att en kronofogdemyndighet gjort anmälan om misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål, får dock behandlas även i andra fall.
Vi redovisar i avsnitt 6.3.2 vår inställning till detaljreglering av vad som får behandlas i en databas. För att undvika ändringar i lagen när nya uppgifter behöver registreras samt för att lagen inte skall bli svårgenomtränglig, anges endast vilka kategorier av uppgifter som får behandlas i databasen. Dessa uppgiftskategorier avser vad som får behandlas i den informationsbaserade delen av databasen, dvs. vanligen uppgifter som registreras genom angivande av belopp m.m. i särskilda fält i exekutionsväsendets dataprogram. För kompletta handlingar som ingår i ärendehanteringssystem föreslår vi särskilda bestämmelser. En grundläggande förutsättning för att en uppgift över huvud taget skall få behandlas är dock att den behövs för de primära ändamålen med databasen (se avsnitt 6.2.2). Uppräkningen utgör således endast en ram för vad som får behandlas och regeringen eller Riksskatteverket skall sedan meddela närmare föreskrifter om vilka uppgifter det rör sig om.
Med identitets- och andra basuppgifter avses för fysiska personer sådant som personnummer, namn, hemadress eller särskild postadress samt uppgifter om civilstånd och hemmaboende barn m.m., dvs. grundläggande uppgifter om enskilda som behövs för att den exekutiva verksamheten skall fungera. Motsvarande gäller för juridiska personer och det kan då röra sig om uppgifter om organisationsnummer, styrelseledamöter, firmatecknare samt adressuppgifter m.m. Uppgifter om en enskilds ekonomiska förhållanden är bland de väsentligaste uppgifterna för den exekutiva verksamheten. Information om en svarandes och eventuellt hans eller hennes familjemedlemmars ekonomi är av avgörande betydelse i ett mål om utsökning och indrivning. I denna uppgiftskategori innefattas sådant som inkomster, skuldbelopp och uppgift om när skulden förföll till betalning, borgensåtaganden samt uppgifter om anstånd med betalning m.m. Som en särskild uppgiftskategori föreslår vi uppgifter om den egendom som berörs i ett mål. En uppgift om egendom som tillhör en svarande i ett utsöknings- eller indrivningsmål utgör i och för sig vanligtvis en uppgift om dennes ekonomi, men i vissa fall krävs att även andra uppgifter om egendomen behandlas. I fråga om bl.a. fastigheter som har dömts i mät, kan det vara nödvändigt att behandla uppgifter om namn m.m. på panträttshavare och hyresgäster. Sådana
uppgifter kan enligt vår uppfattning inte anses utgöra uppgifter om svarandens ekonomi.
Som två särskilda kategorier av uppgifter anges yrkande och grunder samt beslut med angivande av skälen för beslutet, betalning, redovisning och övriga åtgärder i ett mål eller ärende. Här avses uppgifter som i stor omfattning kommer att återfinnas i elektroniska handlingar i ärendehanteringssystem. Avsikten är inte att handlingarna i dess helhet regelmässigt skall registreras i den informationsbaserade delen av databasen. I den omfattning det behövs bör emellertid uppgifter om beslut m.m. avseende en person kunna återfinnas i databasen utan att en handläggare behöver ha tillgång till den elektroniska akten i det aktuella ärendet. Av betydelse är bl.a. att direktåtkomst till de elektroniska handlingarna enligt vårt förslag inte är tillåten för myndigheter utanför exekutionsväsendet. Det kan dock från informationssynpunkt vara viktigt för en tjänsteman hos en skattemyndighet eller hos Tullverket att omedelbart få fram uppgift om utgången i ett ärende och samtidigt få en bild av vad som utgör grunden för beslutet. När uppgifter om yrkanden, grunder och beslut m.m. förs in i databasen på annat sätt än i elektroniska handlingar, får de emellertid inte omfatta känsliga personuppgifter m.m. När det är nödvändigt att få tillgång till ett beslut i dess helhet eller övriga handlingar i ett ärende, bör enligt vår mening handlingarna tas fram genom ärendehanteringssystemet.
En särskild kategori uppgifter som vi föreslår skall få behandlas i databasen är utslag i mål om betalningsföreläggande. I de fall verkställighet har begärts med anledning av ett utslag och ett mål således pågår, omfattas dessa uppgifter av kategorin grunder i ett mål. Vi föreslår emellertid att uppgifter om utslag i mål om betalningsförelägganden skall få behandlas även om verkställighet inte har begärts eller, i vissa fall, om ett mål är avslutat. Orsaken till att vi föreslår denna något annorlunda ordning, hör nära samman med frågan om hur länge de aktuella uppgifterna behöver bevaras hos kronofogdemyndigheterna. Vi redovisar därför skälen för att uppgifterna skall få behandlas i utsöknings- och indrivningsdatabasen i samband med frågor om gallring av uppgifter i databasen (se avsnitt 8.4.4).
Behandlingen av vissa uppgifter i den informationsbaserade delen av databasen bör regleras uttryckligt i lag. Det gäller känsliga personuppgifter och uppgifter om lagöverträdelser m.m. enligt 13 och 21 §§personuppgiftslagen. Efter vad vi har erfarit har kronofogdemyndigheterna i den exekutiva verksamheten behov av att behandla främst uppgifter om böter eller skadestånd på grund av brott i de fall dessa utgör grund för en begäran om verkställighet. Myndigheterna behöver även behandla uppgifter om att man hos åklagare har anmält misstanke om brott. Enligt vår mening saknas det bärande skäl från integritetssynpunkt
mot att sådana uppgifter behandlas. I lagen bör det därför anges att sådana uppgifter får behandlas även på annat sätt än i elektroniska handlingar.
8.4.4. Gallring av uppgifter i utsöknings- och indrivningsdatabasen
Vårt förslag: Uppgifter och handlingar i databasen skall gallras fem år efter utgången av det kalenderår då det mål eller ärende som uppgifterna eller handlingarna hänför sig till avslutades. Uppgifter som inte kan hänföras till ett visst mål eller ärende skall gallras fem år efter utgången av det kalenderår då samtliga mål avseende den person som uppgifterna hänför sig till var avslutade. Uppgifter om utslag i mål om betalningsföreläggande skall gallras tio år efter utgången av det kalenderår då utslaget vann laga kraft.
Regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om att en uppgift eller handling skall gallras vid en annan tidpunkt eller bevaras samt om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
I avsnitt 3.4.2 redovisar vi vilka gallringsbestämmelser som gäller i dag för uppgifter i utsökningsregistret.
En person (gäldenär) kan vara föremål för verkställighet inom den exekutiva verksamheten under lång tid. I princip skulle en person som restförs kunna kvarstå som restförd under den återstående delen av sitt liv, eftersom en fordran kontinuerligt kan hållas öppen genom preskriptionsavbrott. Uppgifter som kan hänföras till en viss gäldenär och ett visst mål knyts till målet, medan olika uppgifter om gäldenären av allmän karaktär som inte kan hänföras till ett viss mål samlas i en gäldenärsjournal. Dessa sistnämnda uppgifter måste vara tillgängliga så länge det finns minst ett öppet mål mot gäldenären. Vi anser att uppgifter som kan knytas till ett visst mål om utsökning eller indrivning bör gallras fem år efter utgången av det kalenderår då målet avslutades. Samma tid bör som huvudregel kunna gälla för uppgifter i ärenden som avser annat än utsökning och indrivning, dvs. de särskilda arbetsuppgifter som åligger kronofogdemyndigheterna och som får behandlas i databasen (se avsnitt 8.4.1). För uppgifter som inte hör till ett specifikt mål eller ärende (gäldenärsjournalerna) måste dock andra regler gälla. Vi anser det lämpligt att sådana uppgifter gallras fem år efter utgången av det sista kalenderår då det fanns ett oavslutat mål mot gäldenären.
För vissa uppgifter bör undantag göras från de ovan redovisade reglerna om gallring som vi föreslår skall finnas i lagen. Det gäller bl.a. uppgifter i mål om fastighetsförsäljning. Regeringen eller Riksarkivet bör därför få meddela föreskrifter om att en uppgift skall bevaras eller gallras vid en annan tidpunkt. Slutligen bör regeringen eller Riksarkivet ha möjlighet att föreskriva att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
Särskilt om utslag i mål om betalningsföreläggande
En särskild fråga som vi anser kräver en mer omfattande redovisning, är hur och under vilken tid uppgifter om utslag i mål om betalningsföreläggande skall bevaras för verkställighetsändamål (jfr föregående avsnitt om vilka uppgifter som får behandlas i databasen). En person kan vara föremål för verkställighet under lång tid, eftersom en fordran kan hållas öppen genom preskriptionsavbrott. En enskild sökande i ett mål om utsökning kan också återkomma till kronofogdemyndigheten med samma exekutionsurkund så länge fordringen inte är preskriberad. Det är vanligt att en borgenär, sedan det konstaterats att en gäldenär saknar utmätningsbara tillgångar, återkommer efter några år och på nytt begär verkställighet. Ingen hindrar att han återkommer ett obegränsat antal gånger, så länge fordringen inte är preskriberad.
I augusti 1999 pågick verkställighet i följande antal aktuella enskilda mål, där exekutionsurkunden meddelats av kronofogdemyndigheten i summarisk process (dvs. utslag i mål om betalningsföreläggande), fördelade på utslagsår: 1992 – 9 013 mål, 1993 – 22 485 mål, 1994 – 19 200 mål, 1995 – 19 359 mål, 1996 – 22 734 mål, 1997 – 29 031 mål, 1998 – 84 662 mål, samt 1999 – 84 495 mål. Det bör påpekas att den summariska processen före år 1992 handlades av tingsrätterna.
Kronofogdemyndigheterna har behov av att få tillgång till utslagen så länge de kan ligga till grund för verkställighet. Vid registrering av en ansökan om verkställighet, är den säkraste metoden för att garantera att korrekta uppgifter registreras, att hämta utslaget maskinellt från en databas. Det finns också ett behov i de fall tveksamhet uppstår att på ett enkelt sätt verifiera utslaget. I dag bevaras utslag i registret för betalningsföreläggande och handräckning under tre år och gallras det fjärde året. Som framgår av genomgången ovan är således ett stort antal utslag i mål om betalningsföreläggande aktuella för verkställighet lång tid efter det att de gallrats ur registret.
Innan utslagen gallras överförs de i dag till mikrofiche. Det innebär att utslagen i målen fotograferas och bevaras på film som endast kan läsas med hjälp av särskild utrustning. När en handläggare efter gallringen behöver verifiera ett utslag används mikrofichen för kontroll. När den
beskrivna ordningen infördes – dvs. att uppgifter överförs till mikrofiche och att motsvarande uppgifter gallras från dataregistret trots att myndigheten behöver dem för sin handläggning – var syftet att tillgodose integritetsapekterna. Det ansågs vara mindre integritetskänsligt att ha uppgifter på mikrofiche än på datamedium. Mikrofiche är emellertid en dyrbar och tidsödande metod för att spara uppgifter. Vår bedömning är att mikrofiche är ett gammalt system som i dag har spelat ut sin roll och därför bör ersättas av ny teknik. I sammanhanget bör erinras om att vårt förslag till lag om behandling av uppgifter i exekutionsväsendets verksamhet – liksom personuppgiftslagen – omfattar all behandling av personuppgifter som lagras i en strukturerad samling uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vårt lagförslag kommer således att omfatta också kronofogdemyndigheternas mikroficheregister.
Enligt vår bedömning finns det inget påtagligt egenvärde i att överföra uppgifter från ett datoriserat register till ett annat mer svårtillgängligt, men ändå sökbart, medium som en form av mellanlagring innan uppgifterna gallras eller arkiveras. En sådan ordning befrämjar enligt vår mening inte rättssäkerheten samtidigt som det inte heller nämnvärt påverkar skyddet för den enskildes integritet.
Enligt vår uppfattning bör uppgifter i stället finnas kvar på medium för automatiserad behandling under den tid det finns ett påtagligt behov av uppgifterna i myndigheternas handläggning. Att kunna hämta uppgifterna från bästa möjliga källa är ett viktigt rättssäkerhetskrav. Det innebär bl.a. att risken för felskrivning eller förvanskning av uppgifterna minskas. Vi anser således att det finns skäl att bevara uppgifter om utslag i mål om betalningsföreläggande på medium för automatiserad behandling under längre tid än i dag. Frågan är hur länge uppgifterna behöver sparas för verkställighetsändamål. Som framgår av sammanställningen ovan ligger fortfarande ett stort antal utslag från år 1992 till grund för pågående verkställighetsåtgärder. Vår bedömning är att utslagen inte bör gallras förrän tio år efter det år då de vann laga kraft.
I dag finns inget sekretesskydd för uppgifter i den summariska processen. Den verksamheten omfattas nämligen inte av de bestämmelser i sekretesslagen som berör exekutionsväsendet. Om uppgifter om utslag i mål om betalningsföreläggande skall lagras och sparas lätt åtkomliga i en databas under så lång tid som vi anser att det finns skäl att göra, finns det anledning att införa ett sekretesskydd till förmån för den enskilde. Det är dock inte helt självklart hur det bäst låter sig göras. Att införa ett sekretesskydd för uppgifter som lagras elektroniskt i verksamheten med den summariska processen skulle innebära att en helt ny grupp av uppgifter sekretessbeläggs. Dessutom rör det sig om beslut som fattas i verksamheten och det är enligt vår mening inte lämpligt att på det sättet
undandra beslut från offentlighet i den verksamhet där de har fattats. I stället bör det övervägas om uppgifterna kan skyddas på annat sätt.
För den summariska processen behöver kronofogdemyndigheterna uppgifter om utslag i mål om betalningsföreläggande vid själva handläggningen och, i de fall ett utslag överklagas, en tid därefter. Behovet av uppgifterna i den handläggningen är enligt vår uppfattning gott och väl tillgodosett med den bevarandetid som gäller idag. Det är inte för den summariska processen uppgifterna behöver sparas utan för utsökningsverksamheten. Enligt 2 kap. 1 § utsökningsbalken skall en kronofogdemyndighet utan särskild ansökan verkställa ett utslag om betalningsföreläggande, om inte sökanden har angett att verkställighet inte skall ske. Det innebär att en stor andel av utslagen överförs direkt från den summariska processen till utsökningsverksamheten för verkställighet. Denna överföring sker med hjälp av automatiserad behandling. En möjlighet att åstadkomma ett sekretesskydd för uppgifter om utslag i mål om betalningsföreläggande är enligt vår mening att överföra alla utslag – och inte som idag bara de utslag där verkställighet skall ske direkt – till utsöknings- och indrivningsdatabasen. Uppgifterna sparas då där de faktiskt behövs, vilket enligt vår mening är mer ändamålsenligt.
Med de regler om sekretess för utsöknings- och indrivningsdatabasen som vi föreslår (se avsnitt 9.4), skulle uppgifterna då omfattas av sekretess med ett omvänt skaderekvisitet. Därigenom åstadkoms utan omfattande författningsreglering ett skydd för dessa uppgifter som är väl anpassat till behovet. Det kan i och för sig ifrågasättas om det är lämpligt från integritetssynpunkt att föra över och behandla fler uppgifter i utsöknings- och indrivningsdatabasen än som omedelbart behövs för verkställighet. Enligt vår uppfattning talar emellertid övervägande skäl för att uppgifter om utslag i mål om betalningsföreläggande bör bevaras i en miljö där de omfattas av ett sekretessskydd.
Vi föreslår således att uppgifter om utslag i mål om betalningsföreläggande skall föras över till utsöknings- och indrivningsdatabasen och där bevaras i tio år. Även vårt förslag till bestämmelser om vilka uppgifter som skall behandlas i databasen utformas i enlighet med vad som nu sagts (se avsnitt 8.4.3).
8.4.5. Ändamålen med behandling i betalningsföreläggande- och handräckningsdatabasen
Vårt förslag: Uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs inom exekutionsväsendet för
- handläggningen av mål om betalningsföreläggande eller handräckning,
- tillsyn, kontroll, uppföljning och planering av verksamheten, samt
- framställning av statistik.
Uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför exekutionsväsendet för tillsyn samt lämplighets-, tillstånds- och annan liknande prövning samt för framställning av statistik.
Som framgår av avsnitt 6.1 föreslår vi att det för de verksamheter som vi har att utreda skall finnas en särskild reglering för behandling i databaser. För en närmare redogörelse av vad som avses med begreppet databas och beskrivning av när behandling av personuppgifter skall omfattas av de särskilda reglerna för databaser hänvisas till det avsnittet.
Vår avsikt är att den behandling av personuppgifter som skall göras inom ramen för regleringen av betalningsföreläggande- och handräckningsdatabasen skall motsvara den behandling som sker i dag med stöd av i huvudsak lagen (1991:876) om register för betalningsföreläggande och handräckning. Som vi redovisar i avsnitt 6.2.2 anser vi att man bör skilja mellan primära och sekundära ändamål. Med primära ändamål avser vi ändamål som är direkt anpassade till den verksamhet som bedrivs av personuppgiftsansvariga myndigheter, dvs. Riksskatteverket och kronofogdemyndigheterna. Sekundära ändamål är ändamål som kan hänföras till andra verksamhetsområden än det för vilket databasen primärt förs. För den verksamhet inom exekutionsväsendet som avser frågor om betalningsföreläggande och handräckning är det förhållandevis enkelt att slå fast de ändamål som skall vara styrande för behandling av personuppgifter i databasen. Det primära ändamålet är nämligen just handläggning av mål om betalningsföreläggande eller handräckning (den summariska processen). Liksom i övriga verksamheter inom såväl exekutionsväsendet som andra myndighetsorganisationer måste det finnas möjligheter att utvärdera den egna verksamheten och på olika sätt behandla personuppgifter för intern kontroll och uppföljning. Som primära ändamål anges därför även tillsyn, kontroll, uppföljning och planering av verksamheten samt framställning av statistik.
Det finns ett behov av information om att en person är svarande i ett mål om betalningsföreläggande vid olika prövnings- och tillsynsförfaranden. Vissa uppgifter som enligt vårt förslag skall finnas i betalningsföreläggande- och handräckningsdatabasen kommer därför sannolikt att användas av olika myndigheter i deras verksamhet. Som exempel kan nämnas kommunernas tillståndsgivning i fråga om utskänkning av alkohol och länsstyrelsernas tillsyn över restauranger m.m. Liksom för databaser inom andra verksamhetsområden bör som ett sekundärt ändamål anges att uppgifter får behandlas för framställning av statistik som tas fram av andra myndigheter m.fl.
Uppgifter som behandlas i den exekutiva verksamheten lämnas i stor omfattning ut till banker och andra privaträttsliga subjekt som bedriver kreditupplysningsverksamhet. Vad som gäller för behandling av uppgifter i det avseendet redogör vi för i avsnitt 9.4 och 12.8.
8.4.6. Uppgifter som får behandlas i betalningsföreläggande- och handräckningsdatabasen
Vårt förslag: I databasen skall, i den utsträckning det behövs för verksamheten med betalningsföreläggande och handräckning, få behandlas uppgifter om
- en fysisk persons identitet, bosättning och andra liknande basuppgifter,
- en juridisk persons identitet, säte och andra liknande basuppgifter,
- yrkande och grunder i ett mål,
- övriga förhållanden, om de tillförs ett mål och är av betydelse för handläggningen, samt
- beslut med angivande av skälen för beslutet och övriga åtgärder i ett mål. Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen.
Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skall få behandlas i databasen endast som en del av en elektronisk handling. Uppgifter om lagöverträdelser som innefattar brott eller
domar i brottmål får dock behandlas även i andra fall, om uppgifterna utgör grund för en begäran om utslag.
För att undvika detaljreglering i lagen om behandling av uppgifter i exekutionsväsendets verksamhet anges endast vilka kategorier av uppgifter som får behandlas i databaserna (se avsnitt 6.3.2). Liksom för utsöknings- och indrivningsdatabasen avser dessa uppgiftskategorier vad som får behandlas i den informationsbaserade delen av databasen, dvs. vanligen uppgifter som registreras genom angivande av belopp m.m. i särskilda fält i exekutionsväsendets dataprogram. För kompletta handlingar som ingår i ärendehanteringssystem föreslår vi särskilda bestämmelser. En grundläggande förutsättning för att en uppgift över huvud taget skall få behandlas är dock att den behövs för de primära ändamålen med databasen (se avsnitt 6.2.2). Uppräkningen utgör således endast en ram för vad som får behandlas och regeringen eller Riksskatteverket skall sedan meddela närmare föreskrifter om vilka uppgifter det rör sig om.
Med identitets- och andra basuppgifter avses för fysiska personer sådant som personnummer, namn, hemadress och adress till arbetsplatsen, dvs. grundläggande uppgifter om enskilda som behövs för att handläggningen av mål skall fungera. Motsvarande gäller för juridiska personer och det kan då röra sig om uppgifter om organisationsnummer, styrelseledamöter, firmatecknare samt adressuppgifter m.m. Som två särskilda kategorier av uppgifter anges yrkande och grunder samt beslut med angivande av skälen för beslutet och övriga åtgärder i ett mål. Här avses uppgifter som i stor omfattning kommer att återfinnas i elektroniska handlingar i ärendehanteringssystem. Avsikten är inte att handlingarna i dess helhet regelmässigt skall registreras i den informationsbaserade delen av databasen. I den omfattning det behövs bör emellertid uppgifter om beslut m.m. avseende en person kunna återfinnas i databasen utan att en handläggare behöver ha tillgång till den elektroniska akten i det aktuella ärendet. När sådana uppgifter behandlas på annat sätt än i elektroniska handlingar gäller dock begränsningar i fråga om vilka känsliga personuppgifter m.m. som får behandlas.
Behandlingen av vissa uppgifter i den informationsbaserade delen av databasen bör regleras uttryckligt i lag. Det gäller känsliga personuppgifter och uppgifter om lagöverträdelser m.m. enligt 13 och 21 §§personuppgiftslagen. Inom den verksamhet som rör den summariska processen finns efter vad vi har erfarit behov av att behandla främst uppgifter om skadestånd på grund av brott i de fall dessa utgör grund för en begäran om utslag. Enligt vår mening saknas det bärande skäl från integritetssynpunkt mot att sådana uppgifter behandlas. I lagen bör det
därför anges att sådana uppgifter får behandlas även på annat sätt än i elektroniska handlingar.
8.4.7. Gallring av uppgifter i betalningsföreläggandeoch handräckningsdatabasen
Vårt förslag: Uppgifter och handlingar i databasen skall gallras tre år efter utgången av det kalenderår då det mål som uppgifterna eller handlingarna hänför sig till avslutades.
Regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om att en uppgift eller handling skall gallras vid en annan tidpunkt eller bevaras samt om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
I avsnitt 3.4.3 redovisar vi vilka bestämmelser som gäller i dag för gallring av uppgifter i ett betalningsföreläggande- och handräckningsregister.
Utslag i mål om betalningsföreläggande ligger ofta till grund för verkställighetsåtgärder, och uppgifter om utslagen kommer därför att återfinnas även i utsöknings- och indrivningsdatabasen (se avsnitt 8.4.3 och 8.4.4). I betalningsföreläggande- och handräckningsdatabasen bör enligt vår mening sådana uppgifter kunna gallras tre år efter utgången av det kalenderår då utslaget meddelades. Samma princip bör tillämpas även för andra uppgifter i databasen. Vi föreslår därför att uppgifter skall gallras tre år efter utgången av det kalenderår då det mål som uppgifterna eller handlingarna hänför sig till avslutades. Regeringen eller Riksarkivet bör dock ha möjlighet att meddela föreskrifter om undantag från denna huvudregel. Dessutom bör det finnas möjlighet att föreskriva att uppgifter och handlingar som undantas från gallring ur databasen skall överlämnas till en arkivmyndighet.
8.4.8. Ändamålen med behandling i skuldsaneringsdatabasen
Vårt förslag: Uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs inom exekutionsväsendet för
- handläggning av ärenden om skuldsanering,
- tillsyn, kontroll, uppföljning och planering av verksamheten, samt
- framställning av statistik.
Uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför exekutionsväsendet för tillsyn samt lämplighets-, tillstånds- och annan liknande prövning samt för framställning av statistik.
Som framgår av avsnitt 6.1 föreslår vi att det för de verksamheter som vi har att utreda skall finnas en särskild reglering för behandling i databaser. För en närmare redogörelse av vad som avses med begreppet databas och beskrivning av när behandling av personuppgifter skall omfattas av de särskilda reglerna för databaser hänvisas till det avsnittet.
Vår avsikt är att den behandling av personuppgifter som skall göras inom ramen för regleringen av skuldsaneringsdatabasen skall motsvara den behandling som sker i dag med stöd av i huvudsak förordningen (1994:348) om register för skuldsaneringsärenden. Som vi redovisar i avsnitt 6.2.2 anser vi att man bör skilja mellan primära och sekundära ändamål. Med primära ändamål avser vi ändamål som är direkt anpassade till den verksamhet som bedrivs av personuppgiftsansvariga myndigheter, dvs. Riksskatteverket och kronofogdemyndigheterna. Sekundära ändamål är ändamål som kan hänföras till andra verksamhetsområden än det för vilket databasen primärt förs. För den verksamhet inom exekutionsväsendet som avser frågor om skuldsanering är det förhållandevis enkelt att slå fast de ändamål som skall vara styrande för behandling av personuppgifter i databasen. Det primära ändamålet är nämligen just handläggning av skuldsaneringsärenden. Liksom i övriga verksamheter inom såväl exekutionsväsendet som andra myndighetsorganisationer måste det finnas möjligheter att utvärdera den egna verksamheten och på olika sätt behandla personuppgifter för intern kontroll och uppföljning. Som primära ändamål anges därför även tillsyn, kontroll, uppföljning och planering av verksamheten samt framställning av statistik.
Det finns ett behov av information om att en person har ansökt om skuldsanering vid olika prövnings- och tillsynsförfaranden. Vissa uppgifter som skall finnas i skuldsaneringsdatabasen kommer därför sannolikt att användas av olika myndigheter i deras verksamhet. Som exempel kan nämnas kommunernas tillståndsgivning i fråga om utskänkning av alkohol och länsstyrelsernas tillsyn över restauranger m.m. Liksom för databaser inom andra verksamhetsområden bör som ett sekundärt ändamål anges att uppgifter får behandlas för framställning av statistik som tas fram av andra myndigheter m.fl.
8.4.9. Uppgifter som får behandlas i skuldsaneringsdatabasen
Vårt förslag: I databasen skall, i den utsträckning det behövs för skuldsaneringsverksamheten, få behandlas uppgifter om
- en fysisk persons identitet, bosättning, familjeförhållanden och andra liknande basuppgifter,
- en juridisk persons identitet, säte och andra liknande basuppgifter,
- en enskilds ekonomiska förhållanden,
- yrkande och grunder i ett ärende, samt
- beslut med angivande av skälen för beslutet samt övriga åtgärder i ett ärende. Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen.
Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skall få behandlas i databasen endast som en del av en elektronisk handling. Uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål får dock behandlas även i andra fall, om uppgifterna utgör grund för en fordran i ett ärende.
För att undvika detaljreglering i lagen om behandling av uppgifter i exekutionsväsendets verksamhet anges endast vilka kategorier av uppgifter som får behandlas i databaserna (se avsnitt 6.3.2). Liksom för övriga databaser inom exekutionsväsendet avser dessa uppgiftskategorier vad som får behandlas i den informationsbaserade delen av databasen, dvs. vanligen uppgifter som registreras genom angivande av belopp m.m. i särskilda fält i exekutionsväsendets dataprogram. För kompletta handlingar som ingår i ärendehanteringssystem föreslår vi särskilda bestämmelser. En grundläggande förutsättning för att en uppgift över huvud taget skall få behandlas är dock att den behövs för de primära ändamålen med databasen (se avsnitt 6.2.2). Uppräkningen utgör således endast en ram för vad som får behandlas och regeringen eller Riksskatteverket skall sedan meddela närmare föreskrifter om vilka uppgifter det rör sig om.
Med identitets- och andra basuppgifter avses för fysiska personer sådant som personnummer, namn, hemadress och adress till arbetsplatsen samt civilstånd m.m., dvs. grundläggande uppgifter om enskilda som behövs för att handläggningen av ärenden skall fungera. Motsvarande gäller för juridiska personer och det kan då röra sig om uppgifter om
organisationsnummer, styrelseledamöter, firmatecknare samt adressuppgifter m.m. Uppgifter om en enskilds ekonomiska förhållanden är grundläggande för skuldsaneringsverksamheten. Information om en sökandes och eventuellt hans eller hennes familjemedlemmars ekonomi är därför av avgörande betydelse i ett ärende om skuldsanering. I denna uppgiftskategori innefattas sådant som uppgifter om inkomster, skuldbelopp, när skulder förföll till betalning, borgensåtaganden samt anstånd med betalning m.m.
Som två särskilda kategorier av uppgifter anges yrkande och grunder samt beslut med angivande av skälen för beslutet och övriga åtgärder i ett ärende. Här avses uppgifter som i stor omfattning kommer att återfinnas i elektroniska handlingar i ärendehanteringssystem. Avsikten är inte att handlingarna i dess helhet regelmässigt skall registreras i den informationsbaserade delen av databasen. I den omfattning det behövs bör emellertid uppgifter om beslut m.m. avseende en person kunna återfinnas i databasen utan att en handläggare behöver ha tillgång till den elektroniska akten i det aktuella ärendet. När sådana uppgifter behandlas på annat sätt än i elektroniska handlingar gäller dock begränsningar i fråga om vilka känsliga personuppgifter m.m. som får behandlas.
Behandlingen av vissa uppgifter i den informationsbaserade delen av databasen bör regleras uttryckligt i lag. Det gäller känsliga personuppgifter och uppgifter om lagöverträdelser m.m. enligt 13 och 21 §§personuppgiftslagen. Inom den verksamhet som rör skuldsanering finns efter vad vi har erfarit behov av att behandla främst uppgifter om böter eller skadestånd på grund av brott i de fall dessa utgör grund för en fordran i ett ärende. I lagen bör det därför anges att sådana uppgifter får behandlas även på annat sätt än i elektroniska handlingar.
8.4.10. Gallring av uppgifter i skuldsaneringsdatabasen
Vårt förslag: Uppgifter och handlingar i databasen skall gallras fem år efter utgången av det kalenderår då det ärende som uppgifterna eller handlingarna hänför sig till avslutades. Har skuldsanering beviljats i ett ärende skall uppgifter och handlingar dock gallras sju år efter utgången av det kalenderår då beslutet att bevilja skuldsanering fattades.
Regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om att en uppgift eller handling skall gallras vid en annan tidpunkt eller bevaras samt om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
Vi redovisar i avsnitt 3.4 4 vilka gallringsbestämmelser som gäller i dag för uppgifter i ett skuldsaneringsregister.
I ett ärende om skuldsanering som innebär att skuldsanering inte beviljas, finns det normalt inte anledning att bevara uppgifterna under någon längre tid. Vi föreslår att huvudregeln skall vara att uppgifter och handlingar i databasen skall gallras fem år efter utgången av det kalenderår då det ärende som uppgifterna eller handlingarna hänför sig till avslutades. Har skuldsanering däremot beviljats blir följden vanligtvis att gäldenären skall betala ett visst belopp till borgenärerna varje månad i upp till fem år. I dessa fall behöver uppgifter således bevaras under längre tid. Vi anser det rimligt att som huvudregel för dessa ärenden ange att uppgifter och handlingar skall gallras sju år efter utgången av det kalenderår då beslutet att bevilja skuldsanering fattades. Regeringen eller Riksarkivet bör dock ha möjlighet att meddela föreskrifter om undantag från de regler som anges i lagen. Dessutom bör det finnas möjlighet att föreskriva om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
8.4.11. Ändamålen med behandling i konkurstillsynsdatabasen
Vårt förslag: Uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs inom exekutionsväsendet för
- handläggningen av konkurstillsynsärenden och mål enligt lönegarantilagen (1992:497),
- tillsyn, kontroll, uppföljning och planering av verksamheten, samt
- framställning av statistik.
Uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför exekutionsväsendet för tillsyn samt lämplighets-, tillstånds- och annan liknande prövning samt för framställning av statistik.
Som framgår av avsnitt 6.1 föreslår vi att det för de verksamheter som vi har att utreda skall finnas en särskild reglering för behandling i data-
baser. För en närmare redogörelse av vad som avses med begreppet databas och beskrivning av när behandling av personuppgifter skall omfattas av de särskilda reglerna för databaser hänvisas till det avsnittet.
Vår avsikt är att den behandling av personuppgifter som skall göras inom ramen för regleringen av konkurstillsynsdatabasen i första hand skall motsvara den behandling som i dag utförs i de diarie- och ärendehanteringsstödsregister som förs med stöd av tillstånd från Datainspektionen. En tillsynsmyndighet i konkurs har emellertid även att föra statens talan i vissa mål enligt lönegarantilagen. Det gäller mål där en arbetstagare har väckt talan mot en konkursförvaltares beslut om betalning enligt lönegarantilagen. En tillsynsmyndighet kan även själv väcka talan mot ett beslut som den anser felaktigt. I dag behandlas uppgifter i sådana mål endast i kronofogdemyndigheternas allmänna diarier. Enligt vad vi har erfarit är dock behovet av automatiserade rutiner vid handläggningen av målen så stort att en utförligare reglering av behandlingen behövs. Eftersom målen handläggs av tillsynsmyndigheterna, är det enligt vår mening lämpligt att samordna den regleringen med den som skall gälla för behandling av personuppgifter i konkurstillsynsärenden. Här bör nämnas att frågor om den administrativa hanteringen av lönegarantiersättning nyligen har setts över av Statskontoret (se avsnitt 8.4.1). I rapporten En samlad administration av lönegarantin (1999:20) konstaterar Statskontoret att det centrala lönegarantiregistret bör kunna avvecklas och ersättas av en ny databas med åtkomst för kronofogdemyndigheter och konkursförvaltare. Vi har inte möjlighet att nu lämna förslag på utformningen av en sådan reglering. När det blir aktuellt med en reglering bör det dock enligt vår mening övervägas om en samordning kan göras med den av oss föreslagna lagstiftningen.
Som vi redovisar i avsnitt 6.2.2 anser vi att man bör skilja mellan primära och sekundära ändamål. Med primära ändamål avser vi ändamål som är direkt anpassade till den verksamhet som bedrivs av personuppgiftsansvariga myndigheter, dvs. Riksskatteverket och kronofogdemyndigheterna. Sekundära ändamål är ändamål som kan hänföras till andra verksamhetsområden än det för vilket databasen primärt förs. För den verksamhet inom exekutionsväsendet som avser frågor om konkurstillsyn samt vissa processer enligt lönegarantilagen är det förhållandevis enkelt att slå fast de ändamål som skall vara styrande för behandling av personuppgifter i databasen. Det grundläggande primära ändamålet är nämligen just handläggning av konkurstillsynsärenden och mål enligt lönegarantilagen. Liksom i övriga verksamheter inom såväl exekutionsväsendet som andra myndighetsorganisationer måste det finnas möjligheter att utvärdera den egna verksamheten och på olika sätt behandla personuppgifter för intern kontroll och uppföljning. Som primära ändamål
anges därför även tillsyn, kontroll, uppföljning och planering av verksamheten samt framställning av statistik.
Uppgifter som behandlas i samband med kronofogdemyndigheternas tillsyn i konkurser kan även behövas i andra myndigheters verksamhet med tillsyn över eller prövning av olika företeelser i samhället. Som ett särskilt sekundärt ändamål anges därför tillsyn samt lämplighets-, tillstånds- och annan liknande prövning. Liksom för databaser inom andra verksamhetsområden bör som ett sekundärt ändamål dessutom anges att uppgifter får behandlas för framställning av statistik som tas fram av andra myndigheter m.fl.
8.4.12. Uppgifter som får behandlas i konkurstillsynsdatabasen
Vårt förslag: I databasen skall, i den utsträckning det behövs för verksamheten med konkurstillsyn eller vid handläggningen av mål enligt lönegarantilagen, få behandlas uppgifter om
- en fysisk persons identitet, bosättning, familjeförhållanden och andra liknande basuppgifter,
- en juridisk persons identitet, säte och andra liknande basuppgifter,
- en enskilds ekonomiska förhållanden,
- domstols eller myndighets beslut,
- yrkande och grunder i ett ärende, samt
- beslut med angivande av skälen för beslutet och övriga åtgärder i ett ärende. Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen.
Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skall få behandlas i databasen endast som en del av en elektronisk handling.
För att undvika detaljreglering i lagen om behandling av uppgifter i exekutionsväsendets verksamhet anges endast vilka kategorier av uppgifter som får behandlas i databaserna (se avsnitt 6.3.2). Liksom för övriga databaser inom exekutionsväsendet avser dessa uppgiftskategorier vad som får behandlas i den informationsbaserade delen av databasen, dvs. vanligen uppgifter som registreras genom angivande av belopp m.m. i särskilda fält i exekutionsväsendets dataprogram. För kompletta
handlingar som ingår i ärendehanteringssystem föreslår vi särskilda bestämmelser. En grundläggande förutsättning för att en uppgift över huvud taget skall få behandlas är dock att den behövs för de primära ändamålen med databasen (se avsnitt 6.2.2). Uppräkningen utgör således endast en ram för vad som får behandlas och regeringen eller Riksskatteverket skall sedan meddela närmare föreskrifter om vilka uppgifter det rör sig om.
Med identitets- och andra basuppgifter avses för fysiska personer sådant som personnummer, namn och adress, dvs. grundläggande uppgifter om enskilda som behövs för att handläggningen av ärenden skall fungera. Motsvarande gäller för juridiska personer och det kan då röra sig om uppgifter om organisationsnummer, styrelseledamöter, firmatecknare samt adressuppgifter m.m. Uppgifter om enskilds ekonomiska förhållanden måste självfallet få behandlas i ett ärende om konkurstillsyn. Detsamma gäller uppgifter om konkursbeslut och andra domstols- eller myndighetsbeslut som behövs i ett ärende.
Som två särskilda kategorier av uppgifter anges yrkande och grunder samt beslut med angivande av skälen för beslutet och övriga åtgärder i ett ärende. Här avses uppgifter som i stor omfattning kommer att återfinnas i elektroniska handlingar i ärendehanteringssystem. Avsikten är inte att handlingarna i dess helhet regelmässigt skall registreras i den informationsbaserade delen av databasen. I den omfattning det behövs bör emellertid uppgifter om beslut m.m. avseende en person kunna återfinnas i databasen utan att en handläggare behöver ha tillgång till den elektroniska akten i det aktuella ärendet. När sådana uppgifter behandlas på annat sätt än i elektroniska handlingar gäller dock begränsningar i fråga om vilka känsliga personuppgifter m.m. som får behandlas.
Behandlingen av vissa uppgifter i den informationsbaserade delen av databasen bör regleras uttryckligt i lag. Det gäller känsliga personuppgifter och uppgifter om lagöverträdelser m.m. enligt 13 och 21 §§personuppgiftslagen. Det finns enligt vad vi har erfarit inga skäl för att i verksamheten med konkurstillsyn eller vid handläggningen av mål enligt lönegarantilagen tillåta behandling av känsliga personuppgifter m.m. på annat sätt än i de elektroniska handlingarna.
8.4.13. Gallring av uppgifter i konkurstillsynsdatabasen
Vårt förslag: Uppgifter och handlingar i databasen som kan hänföras till ett konkurstillsynsärende skall gallras fem år efter utgången av det kalenderår då ärendet avslutades, dock tidigast tio år efter utgången av det kalenderår då beslutet om konkurs fattades. Uppgifter och handlingar som kan hänföras till mål enligt lönegarantilagen skall gallras tre år efter utgången av det kalenderår då handläggningen av målet avslutades.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att en uppgift eller handling skall gallras vid en annan tidpunkt eller bevaras samt om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
Vi redovisar i avsnitt 3.4.6 vilka gallringsbestämmelser som i dag gäller för de register som förs av tillsynsmyndigheterna.
Som huvudregel för konkurstillsynsdatabasen bör enligt vår mening gälla att uppgifter och handlingar i databasen skall gallras fem år efter utgången av det kalenderår då det ärende som uppgifterna eller handlingarna hänför sig till avslutades, dock tidigast tio år efter utgången av det kalenderår beslutet om konkurs fattades. För uppgifter och handlingar i mål enligt lönegarantilagen bör gallring kunna ske redan tre år efter det att handläggningen av ett mål avslutades.
Liksom i fråga om exekutionsväsendets övriga databaser, bör regeringen eller Riksarkivet få meddela föreskrifter om att en uppgift eller handling i konkurstillsynsdatabasen skall bevaras eller gallras vid en annan tidpunkt samt om att uppgifter och handlingar som gallras ur databasen skall överlämnas till en arkivmyndighet.
8.4.14. Gemensamma bestämmelser om direktåtkomst till databaser
Vårt förslag: Riksskatteverket, kronofogdemyndigheterna, skattemyndigheterna och Tullverket skall få ha direktåtkomst till databaserna. Regeringen skall få meddela föreskrifter om att även annan får ha direktåtkomst.
Annan än Riksskatteverket och kronofogdemyndigheterna skall inte få ha direktåtkomst till elektroniska handlingar. Regeringen skall få
meddela föreskrifter om ytterligare inskränkning i en myndighets eller annans direktåtkomst.
En enskild skall få ha direktåtkomst till uppgifter om mål eller ärenden som de har gett in i den utsträckning som regeringen föreskriver, dock inte till elektroniska handlingar.
Regeringen skall få meddela föreskrifter om att en enskild skall få ha direktåtkomst till uppgifter om sig själv i databasen. Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som sålunda får omfattas av direktåtkomst.
I avsnitt 6.7 redovisar vi vår principiella inställning till direktåtkomst till databaser. I enlighet med de resonemang vi för där föreslår vi att Riksskatteverket och kronofogdemyndigheterna skall ha rätt till fullständig tillgång till uppgifter i exekutionsväsendets databaser, inklusive de elektroniska handlingarna vilka av integritetsskäl inte bör vara tillgängliga för andra myndigheter. För den händelse regeringen finner att det finns särskild anledning att begränsa åtkomsten till vissa uppgifter eller handlingar, föreslår vi en möjlighet för regeringen att meddela föreskrifter om sådan begränsning. Enligt vår uppfattning torde dock detta inte vara nödvändigt i nuläget.
I dag har Tullverket och skattemyndigheterna direktåtkomst till samtliga uppgifter i utsökningsregistret och vi föreslår i princip ingen ändring därvidlag. Den enda begränsning som vi anser skall göras i lag är som nämnts ovan att inga myndigheter utöver Riksskatteverket och kronofogdemyndigheterna får ha direktåtkomst till de elektroniska handlingarna. Vi anser vidare att det inte finns någon anledning från integritetssynpunkt att i lag uttryckligt begränsa den direktåtkomst som Tullverket och skattemyndigheterna skall få ha, till att endast avse utsöknings- och indrivningsdatabasen. En förutsättning för att direktåtkomst skall tillåtas till en databas bör emellertid enligt vår bestämda uppfattning vara att det ändamål för vilket direktåkomst ges omfattas av de sekundära ändamålen med databasen. Såsom vårt lagförslag för exekutionsväsendet är utformat innebär det i praktiken att det är utsöknings- och indrivningsdatabasen som kommer att bli föremål för direktåtkomst. Som sekundära ändamål med den databasen anges nämligen avräkning vid återbetalning av skatter och avgifter, planering, samordning och uppföljning av revisions- och annan kontrollverksamhet vid beskattning och tulltaxering samt utredningar vid bestämmande och betalning av skatter, tullar och socialavgifter. Vi föreslår inte motsvarande ändamål för de övriga databaserna.
Generellt för samtliga föreslagna databaser hos exekutionsväsendet är emellertid att de föreslås få användas för tillsyn samt lämplighets-, tillstånds- och annan liknande prövning. I den omfattning skattemyndigheterna eller Tullverket behöver uppgifter från exekutionsväsendets övriga databaser för de ändamålen, föreligger det enligt vårt lagförslag inget hinder mot att uppgifter lämnas ut genom direktåtkomst. Vår utgångspunkt är emellertid att det normalt inte skall förekomma obegränsad direktåtkomst till en eller flera databaser för myndigheter utanför den ansvariga myndighetsorganisationen. Det bör åligga regeringen att meddela föreskrifter om till vilka uppgifter direktåtkomst får förekomma.
Av avsnitt 6.7.4 framgår att vi intar en återhållsam ställning i fråga om att medge andra myndigheter än de personuppgiftsansvariga direktåkomst till uppgifter i en databas. Det är enligt vår mening därför en känslig fråga om det finns anledning att tillåta sådan åtkomst för andra myndigheter än skattemyndigheterna och Tullverket. Generellt kan det dock hävdas att uppgifterna i exekutionsväsendets databaser till sin natur inte är lika känsliga som uppgifterna i exempelvis den föreslagna beskattningsdatabasen. Under förutsättning att det kan motiveras av effektivitetsskäl eller av andra skäl, är vi därför inte principiellt mot att utöka den krets av myndigheter som får ha möjlighet att genom direktåtkomst komma över uppgifter som behandlas av kronofogdemyndigheterna. Den mottagande myndighetens nytta av direktåtkomst måste således enligt vår mening tillmätas avgörande betydelse vid bedömningen av om direktåkomst skall medges eller inte. Om behovet av uppgifterna hos den mottagande myndigheten inte är större än att utlämnandet kan lösas på andra sätt utan beaktansvärda effektivitetsförluster, bör direktåkomst inte medges.
En annan utgångspunkt måste givetvis vara att en utökning av direktåtkomst inte får leda till otillbörliga integritetsintrång. En faktor som enligt vår uppfattning är av stor betydelse vid en sådan bedömning, är hur omfattande direktåtkomsten skall vara. Det är mindre allvarligt från integritetssynpunkt att medge en myndighet direktåtkomst till enstaka uppgiftskategorier, än att medge åtkomst till databasen i dess helhet. Naturligtvis är det även av betydelse vilka uppgifter som skall omfattas av direktåtkomst. Större restriktivitet bör tillämpas om åtkomsten avser uppgifter som kan anses känsliga, t.ex. uppgifter som avslöjar brott, än om de uppgifter som skall lämnas ut genom direktåtkomst endast rör förhållanden som generellt sett inte är integritetskänsliga, t.ex. adressuppgifter. Enligt vår uppfattning bör det även läggas stor vikt vid för vilket ändamål den mottagande myndigheten skall använda uppgifterna. Som exempel kan nämnas att det måste anses vara mycket tveksamt från integritetssynpunkt att uppgifter, oavsett deras
karaktär, lämnas ut genom direktåtkomst för att användas i brottsutredande verksamhet.
Vi föreslår således att det skall finnas möjlighet för skattemyndigheterna och Tullverket att få ha direktåtkomst till exekutionsväsendets databaser. Regeringen bör dock, som nämns ovan, genom föreskrifter begränsa direktåtkomsten till att gälla exempelvis endast en av databaserna eller endast vissa uppgifter i databaserna. För vår del anser vi att det inte finns skäl för oss att nu föreslå direktåtkomst för andra myndigheter än de ovan nämnda. Det finns flera myndigheter som i dag ofta använder sig av uppgifter av olika slag från kronofogdemyndigheternas register, t.ex. polismyndigheterna. Frågan om dessa och andra myndigheter skall få tillgång till uppgifter via direktåtkomst, bör dock avgöras i annat sammanhang. Enligt vår uppfattning bör regeringen ha möjlighet att meddela föreskrifter om utökning av den grupp av myndigheter som får ha direktåtkomst till exekutionsväsendets databaser. Sådan direktåtkomst får inte omfatta de elektroniska handlingarna.
Enligt utsökningsregisterlagen får en sökande eller dennes ombud i den utsträckning som regeringen föreskriver ha direktåkomst till uppgifter om de mål eller ärenden som den enskilde har gett in. Denna möjlighet anser vi bör finnas kvar, men det saknas som vi ser det anledning att i lag inskränka den till att endast gälla en viss databas. Enskilda bör således få ha direktåtkomst till uppgifter om mål eller ärenden som de har gett in i den utsträckning som regeringen föreskriver. Direktåtkomsten får dock inte omfatta elektroniska handlingar.
Vi redovisar i avsnitt 6.7.5 våra överväganden i fråga om möjligheten för enskilda att få direktåtkomst till egna uppgifter i myndigheters databaser. Vi föreslår för samtliga de verksamhetsområden som omfattas av vårt uppdrag att regeringen skall få meddela föreskrifter om att en enskild får ha direktåkomst till uppgifter om sig själv i en databas. Enligt vad vi har erfarit finns det för närvarande inom exekutionsväsendet inga planer på att införa möjlighet för enskilda att via exempelvis Internet få tillgång till egna uppgifter. Vi anser dock att det för exekutionsväsendet, liksom för övriga verksamheter, bör införas en möjlighet för regeringen att meddela föreskrifter om sådan åtkomst.
8.4.15. Gemensamma bestämmelser om sökning i databaser
Vårt förslag: Vid sökning efter elektroniska handlingar skall som sökbegrepp få användas endast mål- eller ärendebeteckning, beteckning på handling eller annan uppgift som behövs för att identifiera ett mål eller ärende eller en handling.
Vi redovisar i avsnitt 6.4.5 vår inställning i frågan om vilka sökmöjligheter som skall finnas i de elektroniska handlingarna. Som en allmän princip slår vi fast att sökning endast skall vara möjligt med hjälp av vissa sökbegrepp, nämligen ärendebeteckning, beteckning på handling eller annan uppgift som behövs för att identifiera ett mål eller ärende eller en handling, t.ex. personnummer. Inom exekutionsväsendet, och då främst i verksamhet med utsökning och indrivning, gäller det särskilda förhållandet att den samlande faktorn för olika mål är gäldenären i fråga. Arbetet är med andra ord upplagt så att samtliga mål som rör en gäldenär vanligtvis hanteras i ett sammanhang. Det är därför otillräckligt med sökmöjligheter som kräver att en tjänsteman utnyttjar en specifik ärendebeteckning, t.ex. ett målnummer. Genom vårt förslag blir det möjligt att vid sökning i databaserna använda sig av en sammanhållande identifieringsuppgift, t.ex. personnummer, och på så sätt få tillgång till samtliga de mål eller ärenden som rör en viss person.
8.5. Tullverkets verksamhet
8.5.1. En lag för Tullverkets fiskala verksamhet
Vårt förslag: Behandling av personuppgifter och andra uppgifter i
Tullverkets fiskala verksamhet skall regleras i en lag.
Till skillnad från skatteförvaltningen och exekutionsväsendet, som ansvarar för ett stort antal verksamhetsområden, kan Tullverkets uppgifter grovt indelas i endast en fiskal och en brottsbekämpande verksamhet (se avsnitt 3.5.1). Regleringen av personuppgiftsbehandling inom den brottsbekämpande verksamheten omfattas inte av vårt uppdrag. Det innebär att vårt förslag till lag om behandling av personuppgifter m.m. i
Tullverkets verksamhet inte omfattar den behandling som i dag utförs enligt lagen (1997:1058) om register i tullverkets brottsbekämpande verksamhet, dvs. i det register som benämns SPADI (se avsnitt 3.5.3). Den föreslagna lagstiftningen omfattar inte heller den automatiserade behandlingen av personuppgifter i de tullmålsjournaler som i dag förs med stöd av tillstånd från Datainspektionen (se avsnitt 3.5.2).
Vad vi har haft att ta ställning till är frågor som rör den fiskala delen av Tullverkets verksamhet. I dag finns bestämmelser om den verksamheten samlad i en lag, tullregisterlagen (1990:137), och vi har för vår del inte funnit anledning att göra någon uppdelning av regleringen. Vi föreslår därför att behandling av personuppgifter i Tullverkets fiskala verksamhet skall regleras i en lag.
I vissa avseende är det svårt att dra en bestämd gräns mellan Tullverkets fiskala och brottsbekämpande verksamhet. Den frågan återkommer vi till i avsnitt 9.8.
8.5.2. Ändamålen med behandling i tulldatabasen
Vårt förslag: Uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs hos Tullverket för
- fastställande, uppbörd, återbetalning och redovisning av tull, annan skatt och avgifter,
- övervakning, kontroll, analys och revision,
- fullgörande av åligganden som följer av internationella överenskommelser som Sverige efter riksdagens godkännande har tillträtt,
- tillsyn, kontroll, uppföljning och planering av verksamheten, samt
- framställning av statistik.
Uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet hos annan än Tullverket för
- fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,
- övervakning, kontroll, analys och revision,
- prövning, granskning och tillsyn som åligger en skattemyndighet,
- utsökning och indrivning, samt
- framställning av statistik.
Som framgår av avsnitt 6.1 skall det för de verksamheter som vi har att utreda finnas en särskild reglering för behandling i databaser. För en närmare redogörelse av vad som avses med begreppet databas och
beskrivning av när behandling av personuppgifter skall omfattas av de särskilda reglerna för databaser hänvisas till det avsnittet.
Som vi redovisar i avsnitt 6.2.2 anser vi att man bör skilja mellan primära och sekundära ändamål. Med primära ändamål avser vi ändamål som är direkt anpassade till den verksamhet som bedrivs av den personuppgiftsansvariga myndigheten, dvs. Tullverket. Sekundära ändamål är ändamål som kan hänföras till andra verksamhetsområden än det för vilket databasen primärt förs. De primära ändamål som vi föreslår för tulldatabasen motsvarar i sak de ändamål för vilka tullregistret, dvs. tulldatasystemet (TDS), förs i dag. Det gäller främst den huvudsakliga verksamheten med fastställande, uppbörd, återbetalning och redovisning av tull, annan skatt och avgifter. Därtill kommer andra uppgifter som åligger Tullverket, nämligen övervakning, kontroll, analys och revision i olika sammanhang. Att analys nämns som ett särskilt ändamål innebär att tulldatabasen får användas för att behandla de uppgifter om juridiska personer som enligt vad vi erfarit i dag behandlas i särskilda analysregister. Även personuppgifter, dvs. uppgifter om fysiska personer, får behandlas för det ändamålet. Se dock avsnitt 9.8 om gränsdragningen mellan fiskal och brottsbekämpande verksamhet.
Som ett särskilt ändamål – vilket inte regleras i tullregisterlagen i dag – måste enligt vår uppfattning dessutom anges fullgörande av åligganden enligt internationella överenskommelser som Sverige efter riksdagens godkännande har tillträtt. Det är en följd av den ökade internationaliseringen och då främst Sveriges skyldighet att till EU redovisa information inom bl.a. tull- och punktskatteområdet. Dessa skyldigheter kan innebära att personuppgifter och andra uppgifter måste behandlas på sätt som saknar direkt relevans för den nationella fiskala tullverksamheten.
Slutligen anges som primära ändamål tillsyn, kontroll, uppföljning och planering av verksamheten samt framställning av statistik. Tullverket måste ha möjlighet att som ett led i den fiskala verksamheten behandla personuppgifter med syfte att kartlägga denna, dvs. följa upp verksamheten och planera för åtgärder som skall vidtas i framtiden. Det måste även finnas möjligheter för Tullverket att behandla personuppgifter för statistiska ändamål, både officiellt reglerad statistik och sådan statistik som är av mer intern angelägenhet eller som i vart fall inte är författningsreglerad.
Uppgifter som behandlas i TDS behöver ofta användas av myndigheter inom skatteförvaltningen. Främst gäller detta inom punktskatteområdet, där det förekommer ett nära samarbete mellan Tullverket och skattemyndigheterna. Vi föreslår att skattemyndigheterna skall ha möjlighet till direktåtkomst till uppgifter i databasen (se avsnitt 8.5.4). Som sekundära ändamål för tulldatabasen bör därför anges fastställande av underlag för skatter eller avgifter samt redovisning, bestämmande, betalning
och återbetalning av skatter eller avgifter. Skattemyndigheterna kan även behöva uppgifter i sin verksamhet för fullgörande av arbetsuppgifter som innefattar övervakning, kontroll, analys och revision. En särskild uppgift som åligger myndigheter inom skatteförvaltningen är prövning av samt tillsynen över upplagshavare, skatteupplag och registrerade varumottagare enligt lagen (1994:1563) om tobaksskatt, lagen (1994:1564) om alkoholskatt och lagen (1994:1776) om skatt på energi. Som ett sekundärt ändamål för tulldatabasen bör därför anges prövning, granskning och tillsyn som åligger en skattemyndighet.
Vi föreslår även att kronofogdemyndigheterna för den exekutiva verksamheten skall kunna få tillgång till uppgifter i tulldatabasen genom direktåtkomst (se avsnitt 8.5.4). Ett särskilt ändamål med databasen bör därför vara utsökning och indrivning.
På samma sätt som vi föreslår skall gälla för övriga verksamheter som omfattas av vårt utredningsuppdrag, bör myndigheter och eventuellt andra få tillgång till uppgifter i någon form från tulldatabasen för att producera statistik. Framställning av statistik bör därför slutligen också anges som ett sekundärt ändamål med databasen.
8.5.3. Uppgifter som får behandlas i databasen
Vårt förslag: I databasen skall, i den utsträckning det behövs för tullverksamheten, få behandlas uppgifter om
- en fysisk persons identitet, bosättning och andra liknande basuppgifter,
- en juridisk persons identitet, säte och andra liknande basuppgifter,
- identitetsbeteckningar för transportmedel, containrar och tankar,
- tulltaxor,
- underlag för statistikframställning,
- registrering för skatter eller avgifter,
- underlag för och bestämmande eller kontroll av tull, annan skatt eller avgifter,
- tillstånd eller licenser som krävs för import eller export av varor,
- yrkande och grunder i ett ärende, samt
- beslut med angivande av skälen för beslutet, betalning, redovisning och övriga åtgärder i ett ärende. Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen.
I databasen skall även få behandlas de uppgifter som behövs för fullgörande av ett åliggande som följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.
Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skall få behandlas i databasen endast som en del av en elektronisk handling.
Vi redovisar i avsnitt 6.3.2 vår inställning till detaljreglering av vad som får behandlas i en databas. För att undvika dels återkommande ändringar i lagen, dels att den blir svårgenomtränglig, anges endast vilka kategorier av uppgifter som får behandlas i databasen. Dessa uppgiftskategorier avser vad som får behandlas i den informationsbaserade delen av databasen, dvs. vanligen uppgifter som registreras genom angivande av belopp m.m. i särskilda fält i tulldatasystemet. För kompletta handlingar som ingår i ärendehanteringssystem finns särskilda bestämmelser. I de uppräknade kategorierna innefattas således samtliga de uppgifter som i dag räknas upp i tullregisterlagen samt sådana ytterligare uppgifter som kan bli nödvändiga att registrera i framtiden. En grundläggande förutsättning för att en uppgift över huvud taget skall få behandlas är dock att den behövs för de primära ändamålen med databasen (se avsnitt 6.2.2). Uppräkningen utgör således endast en ram för vad som får behandlas och regeringen eller Tullverket skall sedan meddela närmare föreskrifter om vilka uppgifter det rör sig om. Det bör nämligen enligt vår mening vara möjligt för enskilda att på det sätt som gäller i dag ha möjlighet att få en tydlig bild av vilka uppgifter om dem som kan vara föremål för behandling inom Tullverket. Nedan följer en kort exemplifiering av vilka uppgifter de i lagen uppräknade kategorierna enligt vår uppfattning bör omfatta.
Med identitets- och andra basuppgifter avses för fysiska personer sådant som personnummer, namn, hemadress eller särskild postadress, dvs. uppgifter om enskilda näringsidkare m.fl. som behövs för att tullverksamheten skall fungera. Motsvarande gäller för juridiska personer och det kan då röra sig om uppgifter om organisationsnummer, styrelseledamöter, firmatecknare samt adressuppgifter m.m. Särskilda identitetsuppgifter kan även behövas avseende fordon m.m. som används för transport vid import och export av varor. Med uppgifter om tulltaxor avser vi uppgifter som härrör såväl från EU som från svenska myndigheter. Samtliga de uppgifter som Tullverket behöver för framställning av statistik får behandlas i databasen. I kategorin registrering för skatter eller avgifter ryms bl.a. uppgifter om registrering hos Skattemyndigheten i Gävle av en importör som skattskyldig avseende punktskatter.
Uppgifter som importörer och exportörer lämnar i tullärenden, bl.a. med anledning av import eller export av varor, utgör underlag för och bestämmande av tull, annan skatt eller avgifter. Dessutom får även de övriga uppgifter som behövs för uttag eller kontroll av tull eller skatt behandlas. Uppgifter om importörers eller exportörers olika tillstånd och licenser för verksamheten får också behandlas i databasen.
Som två särskilda kategorier av uppgifter anges yrkande och grunder samt beslut med angivande av skälen för beslutet, betalning, redovisning och övriga åtgärder i ett ärende. Här avses uppgifter som i stor omfattning kommer att återfinnas i elektroniska handlingar i ärendehanteringssystem. Avsikten är inte att handlingarna i dess helhet regelmässigt skall registreras i den informationsbaserade delen av databasen. I den omfattning det behövs bör emellertid uppgifter om beslut m.m. avseende en person kunna återfinnas i databasen utan att en handläggare behöver ha tillgång till den elektroniska akten i det aktuella ärendet. Av betydelse är bl.a. att direktåtkomst till de elektroniska handlingarna enligt vårt förslag inte är tillåten för andra myndigheter än Tullverket. Det kan dock från informationssynpunkt vara viktigt för en tjänsteman hos en skatte- eller kronofogdemyndighet att omedelbart få fram uppgift om utgången i ett ärende och samtidigt få en bild av vad som utgör grunden för beslutet. När uppgifter om yrkanden, grunder och beslut m.m. förs in i databasen på annat sätt än i elektroniska handlingar, får de emellertid inte omfatta känsliga personuppgifter m.m. När det är nödvändigt att få tillgång till ett beslut i dess helhet eller övriga handlingar i ett ärende, bör enligt vår mening handlingarna tas fram genom ärendehanteringssystemet.
För att täcka in vissa uppgifter som behandlas av andra skäl än de som omfattas av Tullverkets ordinarie verksamhet på grund av att Sverige gentemot exempelvis EU är förpliktigat att hantera viss information, anges att behandling får ske av uppgifter som behövs för fullgörande av ett åliggande som följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.
Behandlingen av vissa uppgifter i den informationsbaserade delen av databasen bör regleras uttryckligt i lag. Det gäller känsliga personuppgifter och uppgifter om lagöverträdelser m.m. enligt 13 och 21 §§personuppgiftslagen. Efter vad vi har erfarit saknas i dag anledning för Tullverket att behandla känsliga personuppgifter annat än i de elektroniska handlingarna.
8.5.4. Direktåtkomst till databasen
Vårt förslag: Tullverket, Riksskatteverket, skattemyndigheterna och kronofogdemyndigheterna skall få ha direktåtkomst till databasen.
Regeringen skall få föreskriva att även annan får ha direktåtkomst.
Annan än Tullverket skall inte få ha direktåtkomst till elektroniska handlingar. Regeringen skall få föreskriva om ytterligare inskränkning i en myndighets eller annans direktåtkomst till databasen.
Regeringen skall få meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om sig själv i databasen. Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får omfattas av sådan direktåtkomst.
Vi redovisar i avsnitt 6.7 vår principiella inställning till direktåtkomst till databaser, bl.a. att personuppgiftsansvariga myndigheter bör kunna ha obegränsad åtkomst. Tullverket utgör sedan den 1 juli 1999 en enda myndighet och det finns därför än mindre skäl att överväga några begränsningar. För den händelse regeringen finner att det finns särskild anledning att begränsa åtkomsten till uppgifter eller handlingar till att gälla endast vissa regionala avdelningar inom Tullverket, föreslår vi en möjlighet för regeringen att meddela föreskrifter om sådan begränsning. Enligt vår uppfattning torde dock detta inte vara nödvändigt i nuläget.
Möjligheterna för andra myndigheter än Tullverket att ta del av uppgifter i TDS genom direktåtkomst är i dag starkt begränsade. Det finns starka integritetsskäl för detta och hänsyn måste också tas till att det råder sträng sekretess (omvänt skaderekvisit) för uppgifter i Tullverkets fiskala verksamhet. I dag har endast Riksskatteverket och vissa skattemyndigheter direktåtkomst till ett urval av uppgifterna i TDS. Vi anser inte att det av integritetsskäl finns anledning att begränsa de möjligheter till effektivt samarbete som i dag genom direktåtkomst föreligger mellan Tullverket och skatteförvaltningen i beskattningsfrågor, och föreslår därför fortsatt direktåtkomst för såväl Riksskatteverket som skattemyndigheterna, dock inte till de elektroniska handlingarna, eftersom dessa är särskilt känsliga från integritetssynpunkt.
Även kronofogdemyndigheterna har behov av uppgifter från Tullverket i sin exekutiva verksamhet. På grund av den nära koppling som finns mellan beskattnings- och indrivningsverksamhet, har kronofogdemyndigheterna sedan länge en förhållandevis stor möjlighet att via direktåtkomst få tillgång till uppgifter i register inom skatteförvaltningen. Enligt vår uppfattning finns det av samma skäl anledning att ge krono-
fogdemyndigheterna tillgång även till uppgifter som behandlas i Tullverkets fiskala verksamhet. Liksom för myndigheter inom skatteförvaltningen skall enligt vår mening den begränsningen gälla att åtkomsten inte får avse elektroniska handlingar.
Det kommer med säkerhet att förekomma uppgifter i tulldatabasen vilka kronofogdemyndigheterna eller myndigheterna inom skatteförvaltningen inte har något eller mycket litet behov att få del av. Regeringen bör därför ha möjlighet att meddela föreskrifter om begränsningar, utöver åtkomsten till elektroniska handlingar, för dessa myndigheter.
Utöver Riksskatteverket, skattemyndigheterna och kronofogdemyndigheterna kommer det sannolikt att finnas flera myndigheter som regelmässigt behöver tillgång till olika uppgifter i tulldatabasen. I de flesta fall kan dessa behov med största säkerhet tillfredsställas genom ett effektivt utlämnande av uppgifter på medium för automatiserad behandling efter särskild prövning av Tullverket. I vissa fall är det dock möjligt att det efter en avvägning mellan effektivitets- och integritetsskäl kan finnas anledning att medge andra myndigheter direktåtkomst till en begränsad mängd uppgifter i databasen. Vi ser i dag inga skäl för att tillåta direktåtkomst för ytterligare myndigheter. Regeringen bör emellertid ha möjlighet att vid behov föreskriva om sådan åtkomst. Det bör påpekas att direktåtkomst endast kan tillåtas när det står i överensstämmelse med ändamålen med tulldatabasen. Elektroniska handlingar bör enligt vår mening inte under några omständigheter omfattas av direktåtkomsten.
Vi redovisar i avsnitt 6.7.5 våra överväganden i fråga om möjligheten för enskilda att få direktåtkomst till egna uppgifter i myndigheters databaser. Vi föreslår för samtliga de verksamhetsområden som omfattas av vårt uppdrag att regeringen skall få meddela föreskrifter om att en enskild får ha direktåkomst till uppgifter om sig själv i en databas. Enligt vad vi har erfarit finns det för närvarande inom Tullverket inga planer på att införa möjlighet för enskilda att via exempelvis Internet få tillgång till egna uppgifter. Vi anser dock att det för Tullverket, liksom för övriga verksamheter som omfattas av vårt uppdrag, bör införas en möjlighet för regeringen att meddela föreskrifter om sådan åtkomst.
8.5.5. Gallring av uppgifter i databasen
Vårt förslag: Uppgifter och handlingar i databasen skall gallras sex år efter utgången av det kalenderår då uppgifterna eller handlingarna behandlades i databasen första gången.
Om det i lag eller annan författning har föreskrivits längre tid för bevarande av vissa uppgifter än vad som anges i första stycket, skall den föreskriften gälla.
Regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om att en uppgift eller handling skall gallras vid en annan tidpunkt eller bevaras samt om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
I tullregisterlagen anges sedan ikraftträdandet att uppgifter som hör till ett tullärende skall gallras ur registret sex år efter utgången av det kalenderår då uppgifterna lämnades. Denna gallringsbestämmelse ändrades inte i och med medlemskapet i EU. Med hänsyn till att det nu pågår arbete inom EU med en översyn av tullkodexen som kan komma att påverka gallringsbestämmelserna, finns det enligt vår mening inte anledning att nu föreslå några egentliga förändringar med avseende på tidsfristen. Enligt vår mening bör emellertid utgångspunkten för tidsfristen vara den tidpunkt då uppgifterna eller handlingarna för första gången behandlades i databasen, dvs. när de kom in i TDS i elektronisk form från en importör eller exportör eller när de fördes in i systemet av Tullverkets tjänstemän, exempelvis efter det att en manuell deklaration kommit in till verket.
På samma sätt som i dag anser vi att andra bestämmelser i lag eller författning som föreskriver en längre tid för bevarande av uppgifter skall ha företräde framför bestämmelsen om gallring i förslaget till lag om behandling av uppgifter i Tullverkets verksamhet. Regeringen eller Riksarkivet bör dessutom ha möjlighet att meddela föreskrifter om att en uppgift eller handling skall bevaras eller gallras vid en annan tidpunkt samt om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.
9. Särskilda frågor
9.1. Skatteuppgifter i det statliga personadressregistret
Det utlämnande som sker i dag av skatteuppgifter från skatteförvaltningens olika register till det statliga personadressregistret (SPAR) för användning för direktreklamändamål, kan enligt vår mening sättas i fråga från integritetssynpunkt. Å andra sidan anser vi att ett förbud mot att använda skatteuppgifter i SPAR medför en påtaglig risk för en okontrollerbar framväxt av icke författningsreglerade register med motsvarande funktion och innehåll som SPAR.
Vi bedömer att det utlämnande av skatteuppgifter till SPAR som görs i dag inte står i konflikt med bestämmelserna i dataskyddsdirektivet.
Ett konkret ställningstagande i frågan om utlämnande av skatteuppgifter till SPAR kräver enligt vår uppfattning en mer omfattande översyn av bl.a. samhällets behov av skatteuppgifter för direktreklamändamål, och vi föreslår därför inte några förändringar avseende SPAR.
9.1.1. Bakgrund
Det statliga personadressregistret (SPAR) regleras sedan den 24 oktober 1998 i lagen (1998:527) om det statliga personadressregistret och förordningen (1998:1234) om det statliga personadressregistret.
I lagen om det statliga personadressregistret sägs att uppgifterna i registret får användas för att aktualisera, komplettera och kontrollera personuppgifter samt för att ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet. SPAR får för dessa ändamål användas av myndigheter och enskilda och denna användning är avgiftsbelagd. Personuppgiftsansvarig för registret är Statens personadressregisternämnd. SPAR får – förutom ett antal folkbokföringsuppgifter – innehålla uppgifter från det centrala skatteregistret och register
för fastighetstaxering. De uppgifter som det rör sig om är summan av taxerad förvärvsinkomst och inkomst av kapital, beskattningsbar förmögenhet, ägare av småhusenhet eller lantbruksenhet med småhusenhet på tomtmark samt taxeringsvärde för småhusenhet.
Sekretess enligt 9 kap. 1 § sekretesslagen gäller inte hos myndigheter inom skatteförvaltningen för uppgifter i beslut varigenom underlag för bestämmande av skatt fastställs. Uppgifterna i SPAR är just sådana uppgifter som är en följd av beslut i beskattningsfrågor. Det är alltså uppgifter som är offentliga hos skattemyndigheterna som återfinns i SPAR. Skatteuppgifterna skall enligt förordningen om det statliga personadressregistret lämnas till SPAR i elektronisk form av Riksskatteverket och skattemyndigheterna.
Skatteuppgifterna i SPAR lämnas sedan inte vidare i elektronisk form till vare sig myndigheter eller enskilda, med undantag för polismyndigheter och Tullverket som enligt lagen om det statliga personadressregistret får ta emot sådana uppgifter. Skatteuppgifterna används i stället vid urvalsdragningar, där den som önskar uppgifter får ange vissa kriterier för dragningen. Skatteuppgifterna skall då ordnas i klasser på det sätt som Statens personadressregisternämnd beslutar. Vad köparen, dvs. den mottagande myndigheten eller enskilde, får del av är endast namn och adress på personer som motsvarar de angivna urvalskriterierna.
9.1.2. SPAR i förhållande till dataskyddsdirektivet
En väsentlig fråga är om bestämmelserna i dataskyddsdirektivet påverkar de rättsliga möjligheterna att använda skatteuppgifter – som primärt har samlats in för beskattningsändamål – i skatteförvaltningens databaser för direktreklamändamål i SPAR. Ett annat sätt att formulera frågan skulle kunna vara om insamling av uppgifter till beskattningsdatabasen för bl.a. utlämnande till ett register där uppgifter säljs för direktreklamändamål är ett berättigat ändamål med databasen.
Att det över huvud taget är tillåtet att behandla personuppgifter för direktreklamändamål kan utläsas av artikel 7 i dataskyddsdirektivet och i 10 § f personuppgiftslagen. I de bestämmelserna anges att personuppgifter får behandlas utan samtycke för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om det intresset väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. I fråga om SPAR innebär detta att Statens personadressregisternämnd är den personuppgiftsansvarige och att det är intresset hos de företag m.m. till vilka uppgifter
lämnas ut genom urvalsdragning som skall vägas mot de registrerades integritetsintresse. En presumtion torde föreligga för att det kommersiella intresset överväger integritetsintresset i dessa fall (jfr Datalagskommitténs betänkande Integritet – Offentlighet – Informationsteknik, SOU 1997:39 s. 362 f.). En bestämmelse av den innebörden finns också direkt uttalad i 11 § personuppgiftslagen, där det anges att personuppgifter inte får behandlas för ändamål som rör direkt marknadsföring om den registrerade har anmält detta hos den personuppgiftsansvarige.
Det är emellertid en annan fråga om bestämmelserna i dataskyddsdirektivet förhindrar möjligheten att utnyttja uppgifter från en beskattningsdatabas för direktreklamändamål. Enligt dataskyddsdirektivets artikel 7, punkt 1 b, är ett grundläggande krav för att personuppgifter alls skall få samlas in, att ändamålet med behandlingen är berättigat. Enligt samma bestämmelse i direktivet får senare behandling, t.ex. utlämnande, inte vara oförenligt med det ändamål för vilket uppgifterna samlades in (se mer om detta i avsnitt 6.6.1). Några särskilda bestämmelser som rör frågan om det berättigade i att blanda helt disparata ändamål för behandling av personuppgifter – i detta fallet beskattning och direktreklam – finns inte i dataskyddsdirektivet. Tvärtom har Datalagskommittén som sin åsikt framfört att det inte finns några hinder mot att ange flera ändamål när uppgifter samlas in (SOU 1997:39 s. 350). Det är även svårt att se EG-rättsliga implikationer i ett mellanled som innebär att uppgifter först samlas in till ett statligt dataregister för att därefter lämnas ut till ett annat statligt reglerat register, från vilket uppgifter lämnas över till tredje man för att användas i direktreklam. Under förutsättning att det finns tydliga bestämmelser som anger att beskattningsuppgifter får användas i SPAR, dvs. att det kan utläsas att direktreklam är ett ändamål med de aktuella skatteuppgifterna, torde det vara möjligt att utan konflikt med EG-rätten utnyttja uppgifter från beskattningsdatabasen för urvalsdragningar enligt lagen om det statliga personadressregistret. Sådana bestämmelser finns i den sist nämnda lagen.
9.1.3. Integritetsaspekter på användningen av skatteuppgifter i SPAR
Det finns andra aspekter på användningen av skatteuppgifter i SPAR än de EG-rättsliga. Förfarandet att för direktreklamändamål utnyttja information som baseras på uppgifter som enskilda är skyldiga att lämna till skattemyndigheterna kan onekligen ifrågasättas från integritetssynpunkt. Det är enligt vår uppfattning principiellt betänkligt att personuppgifter som lämnas av enskilda under tvång för ett bestämt syfte används för ändamål för vilka uppgifterna aldrig hade kunnat samlas in annat än på
frivillig väg. Vi känner således en allmän tveksamhet inför att skatteuppgifter används för urvalsdragningar i SPAR.
Å andra sidan kan det vara positivt för upprätthållandet av ett högt integritetsskydd att urvalsdragningar sker under statligt kontrollerade former när det handlar om t.ex. skatteuppgifter. Det torde nämligen inte finnas några hinder i dataskyddsdirektivet eller personuppgiftslagen för företag eller andra enskilda att upprätta register för direktreklamändamål som innehåller motsvarande uppgifter som SPAR. De skatteuppgifter det rör sig om är som vi nämnt tidigare offentliga, vilket innebär att de kan samlas in och registreras i privata register. I detta sammanhang kan nämnas att Europarådet år 1985 antog en rekommendation om skydd för personuppgifter använda för direktreklamändamål (Recommendation No. R[85] 20). Bland annat anges i rekommendationen att om det inte finns hinder i nationell lagstiftning kan vem som helst samla personuppgifter för direktreklamändamål från offentliga register. Den registrerade skall dock ha rätt att motsätta sig att uppgifter om honom registreras i marknadsföringsförteckningar eller att uppgifterna lämnas ut till tredje man. Alternativt skall den registrerade ha rätt att få personuppgifter strukna ur förteckningarna.
Vad som enligt vår uppfattning sannolikt är avgörande för om icke offentliga register för försäljning av uppgifter genom urvalsdragningar m.m. skulle komma att inrättas om möjligheten att ta del av informationen genom SPAR försvann, är det behov som finns i samhället av de aktuella uppgifterna för direktreklamändamål. Om behovet är stort torde det vara svårt att förhindra en sådan utveckling. Hur det förhåller sig med det är omöjligt att ha någon bestämd uppfattning om utan tillgång till ett bredare underlag som vi inom ramen för vårt uppdrag inte har möjlighet att prestera. Det kan även på principiell grund sättas i fråga om tillhandahållandet av personuppgifter för direktreklamändamål är en uppgift som bör handhas av staten, dvs. om det bör vara ett offentligt åtagande. Inte heller den frågan anser vi oss ha möjlighet att utreda närmare. Det bör i detta sammanhang nämnas att frågor om framtiden för SPAR för närvarande behandlas såväl av Statens personadressregisternämnd som inom Regeringskansliet. Trots vår tveksamhet till att använda skatteuppgifter i SPAR, lämnar vi därför inga förslag till åtgärder.
9.2. Behandling av personuppgifter vid taxerings
revisioner m.m.
Vårt föreslag till lag om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet utgör enligt vår bedömning tillräckligt skydd för enskildas personliga integritet, när automatiserad behandling används vid taxeringsrevisioner m.m.
9.2.1. Den tidigare regleringen och personuppgiftslagen, m.m.
Vi redogör i avsnitt 3.1.6 för den tidigare regleringen av skattemyndigheternas användande av automatisk databehandling vid taxeringsrevisioner m.m. I korthet innebar den följande. För att skattemyndigheter vid revisioner skulle kunna granska skattskyldigas personregister med hjälp av myndighetens eller den registrerades tekniska utrustning, behövdes regler som kompletterade datalagen. Skattemyndigheten skulle nämligen inte enligt den lagen bli registeransvarig och därför inte heller vara bunden av villkor som avser den registeransvariges, dvs. den reviderades, användning av registren. Genom lagen (1987:1231) om automatisk databehandling vid taxeringsrevision, m.m. – och därtill anknytande förordning – kompletterades därför datalagens bestämmelser på så sätt att Datainspektionen gavs möjlighet att meddela föreskrifter om bl.a. vilka personuppgifter som får användas och om utlämnande eller annan användning av personuppgifter. Datainspektionen har meddelat sådana föreskrifter.
Utöver personuppgiftslagen finns även andra bestämmelser om skydd för elektroniskt lagrad information. Taxeringslagen (1990:324), lagen (1984:151) om punktskatter och prisregleringsavgifter samt skattebetalningslagen (1997:483) m.fl. författningar innehåller bestämmelser om hur revision och annan kontroll får genomföras. Som exempel kan nämnas att vid granskning av en upptagning för automatisk databehandling, får endast de tekniska hjälpmedel och sökbegrepp användas som behövs för att tillgodose ändamålet med revisionen. Om den reviderade anser att en viss upptagning bör undantas från granskning har han dessutom möjlighet att få frågan prövad i allmän förvaltningsdomstol. Även lagen (1994:466) om särskilda tvångsåtgärder i beskattningsförfarandet innehåller – vid sidan av grundläggande regler om att tvångsåtgärder får vidtas endast om skälen för åtgärden uppväger det intrång eller men i övrigt som åtgärden innebär för den enskilde – ett
antal skyddsregler för att säkerställa att materialet vid verkställigheten av ett beslut om åtgärd med anledning av revision eller annan kontroll inte behandlas på ett otillbörligt sätt. Det finns således vid sidan av personuppgiftslagens bestämmelser en rättslig reglering av förfarandet vid revisioner m.m. som innefattar domstolsprövning i vissa fall.
I samband med införandet av personuppgiftslagen fann regeringen att det inte längre fanns något direkt behov av en särskild reglering av ADB-revisioner m.m. (prop. 1998/99:34 s. 68 ff.). Anledningen till det var främst skillnaden i definitionen av begreppen personuppgiftsansvarig enligt personuppgiftslagen respektive registeransvarig enligt datalagen. Enligt personuppgiftslagen tillkommer ansvaret den som ensam eller tillsammans med andra bestämmer ändamålet med och medlen för behandlingen av personuppgifter. Vid en revision är det skattemyndigheten som bestämmer ändamålet med den aktuella behandlingen, och det är därför myndigheten som blir personuppgiftsansvarig. Det innebär att myndigheten direkt åläggs de skyldigheter som enligt personuppgiftslagen åligger den personuppgiftsansvarige.
Regeringen fann vidare att personuppgiftslagens regler och övriga regler om skydd för elektroniskt lagrad information var tillräckliga för att tillgodose den enskildes behov av skydd. Det fanns enligt regeringen inte heller i övrigt behov av att införa särskilda regler för ADBrevisioner, men regeringen hänvisade ändå till Registerförfattningsutredningen med påpekande om att slutlig bedömning av behovet av särregler inte kunde göras förrän vid beredningen av vårt förslag. Regeringens promemoria "ADB-revision" – som föregick ovan nämnda proposition – remissbehandlades särskilt (Fi98/1915) och samtliga remissinstanser tillstyrkte eller hade inget att erinra mot förslaget att upphäva lagen om automatisk databehandling vid taxeringsrevision, m.m. Flera remissinstanser påpekade dock att det vore värdefullt från integritetssynpunkt att det hos skattemyndigheterna inrättas personuppgiftsombud. Det förekom även påpekanden om att andra skyddsåtgärder kunde behövas, t.ex. i fråga om s.k. överskottsinformation. Med överskottsinformation avses uppgifter om tredje man som revisorn får del av vid revisionen och som sedan skulle kunna användas i ett annat syfte.
Det bör påpekas att vad som sägs ovan om automatiserad behandling vid taxeringsrevisioner även är tillämpligt på viss behandling av material, t.ex. kontrolluppgifter, som Riksskatteverket eller skattemyndigheterna får in på medium för automatisk databehandling efter begäran hos annan myndighet eller föreläggande till enskild enligt taxeringslagen, lagen (1990:325) om självdeklaration och kontrolluppgifter m.fl. författningar. Det saknar betydelse om uppgifterna erhållits på medium för automatisk databehandling eller om skatteförvaltningen själv registrerar uppgifterna.
9.2.2. Behovet av särreglering
De förslag som vi lämnar i detta betänkande innebär att det för myndighetsverksamhet bl.a. inom skatteförvaltningen och hos Tullverket skall finnas särreglering avseende behandling av personuppgifter vid sidan av eller utöver de bestämmelser som gäller enligt personuppgiftslagen. Enligt våra förslag till lagar om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet respektive Tullverkets verksamhet skall särskilda bestämmelser gälla för automatiserad behandling av personuppgifter och andra uppgifter (se 5–7 kap. samt avsnitt 8.1 och 8.5). När vi i redovisningen nedan talar om skatteförvaltningens revisionsverksamhet m.m., avser vi i tillämpliga delar även motsvarande funktioner hos Tullverket.
Genomförandet av taxeringsrevisioner m.m. är en del av skatteförvaltningens beskattningsverksamhet, och användandet av automatiserad behandling av personuppgifter vid sådana revisioner kommer alltså att omfattas av bestämmelserna i vårt lagförslag. Personuppgiftsansvarig för behandling vid en revision blir den myndighet som behandlar uppgifterna. Det saknar därvid betydelse om behandlingen sker med hjälp av skattemyndighetens eller den skattskyldiges tekniska utrustning, liksom om de program som används vid revisionen tillhör myndigheten eller den skattskyldige. Det grundläggande är alltså att behandlingen utgör ett led i beskattningsverksamheten.
Revision kan avse kontroll av att en skattskyldig fullgjort sin egen deklarations- och uppgiftsskyldighet eller inhämtande av uppgifter för kontroll av annan än den reviderade (tredjemansrevision). I båda fallen behandlas personuppgifter på automatiserad väg, bl.a. i särskilda analysprogram. Förutom kontroll av ett företags datorbaserade ekonomisystem med stöd av automatiserad behandling (ADB-revision), kan en revision omfatta behandling av personuppgifter genom att revisorn själv upprättar olika register, t.ex. genom att innehållet i pappersdokument förs över till elektronisk form, eller genom sambearbetningar av olika personregister, exempelvis när uppgifter från centrala skatteregistret och ett register som hämtats in från ett reviderat företag jämförs maskinellt. Även i samband med urval av kontrollvärda objekt kan behandling av personuppgifter förekomma. Exempel på sådana behandlingar är bearbetningar av uppgifter erhållna på medium för automatiserad behandling i samband med tredjemansförelägganden eller efter begäran från andra myndigheter, upprättande av egna register samt olika sambearbetningar. Med den definition av begreppet databas som vi föreslår kommer den behandling som sker vid revision och annan kontroll inte att omfattas av de bestämmelser som gäller för databaser (se avsnitt 6.1). För den behandling som utförs kommer således tilllämpliga bestäm-
melser i personuppgiftslagen samt övriga av oss föreslagna allmänna bestämmelser att tillämpas. De allmänna bestämmelser som vi föreslår anser vi vara tillräckliga för att garantera att personuppgifter som behandlas i samband med revisioner och andra kontrollåtgärder inte behandlas på ett otillbörligt sätt.
En fråga som det finns skäl att kommentera närmare nedan är bevarandet av den information som hämtas in vid skattekontroll. Som framgår av avsnitt 5.3.2 föreslår vi att uppgifter som inte behandlas i beskattningsdatabasen skall gallras senast ett år efter det att ärendet har avslutats. När det gäller viss information som har erhållits i samband med skattekontroll kan denna tid dock i vissa fall vara för lång. För uppgifter om revision som behandlas i beskattningsdatabasen har vi å andra sidan föreslagit att uppgifterna skall gallras först efter tio år.
Arkivering av revisionsdokumentationen
Då en revision är avslutad skall revisionsdokumentationen arkiveras. Inom skatteförvaltningen har vägledande instruktioner utarbetats i fråga om vilken information som skall arkiveras. Den revisionsdokumentation som arkiveras i ärendet är endast uppgifter som är direkt hänförliga till det aktuella ärendet. I dag skrivs normalt allt elektroniskt lagrat material ut på papper när revisionen avslutas. Endast i den mån uppgifterna kan antas behöva presenteras eller på annat sätt användas direkt från medium för automatiserad behandling i den fortsatta handläggningen sparas en kopia av upptagningen på sådant medium. Den reviderade kan exempelvis i samband med en process ifrågasätta resultatet av revisorns bearbetningar av materialet. Behov kan därför finnas att låta den reviderade göra om beräkningarna. På sikt är det möjligt att arkivering även av den övriga revisionsdokumentationen kommer att göras på medium för automatiserad behandling.
Det är enligt vår mening väsentligt att all dokumentation från revisioner som bevaras eller kommer att bevaras på medium för automatisk databehandling, kan göras tillgänglig i läsbar form under den tid som nuvarande gallringsregler föreskriver, dvs. normalt i tio år. Något behov av särskild reglering för att möjliggöra detta kan dock enligt vår mening inte anses föreligga. De allmänna bestämmelserna kommer att gälla endast under den tid revisionen eller kontrollen genomförs. För de uppgifter som skall bevaras och användas gemensamt i beskattningsverksamheten kommer i stället de särskilda bestämmelserna om behandling av personuppgifter i databaser att bli tillämpliga. Detta innebär att i de fall hela eller delar av dokumentationen, efter en avslutad revision, sparas på medium för automatiserad behandling skall de gallras efter tio år (se avsnitt 8.1.5).
Behandling av överskottsinformation
Redogörelsen ovan om arkivering av revisionsdokumentation gäller information som erhållits i det syfte som revisionen eller granskningen avsett. När en skattemyndighet genomför revision för att kontrollera deklarations- eller uppgiftsskyldigheten hos en skattskyldig kan den emellertid också komma att få tillgång till annan information (överskottsinformation), t.ex. avseende företagets kunder eller andra affärskontakter. Även vid en tredjemansrevision kan revisorn få del av uppgifter som omfattar andra personer än den eller de som revisionen avser. Den överskottsinformation som bedöms intressant avskiljs av granskaren för att bli föremål för åtgärd i ett annat ärende. Informationen kan vara av sådan art att den direkt leder till en utredning, men den kan också vara sådan att den inte bedöms som så intressant att den direkt initierar en utredning.
En särskild fara med elektroniskt lagrad information som har samlats in vid exempelvis revisioner är att det finns risk för att det med tiden uppstår omfattande uppgiftssamlingar om skattesubjekt hos skattemyndigheterna. För att förhindra att uppgifter bevaras som inte anses tillräckligt intressanta för att direkt initiera en utredning, har Riksskatteverket utfärdat särskilda föreskrifter som begränsar hanteringen av överskottsinformation. Enligt Riksskatteverkets föreskrifter om revision m.m. (RSFS 1998:19) skall en uppgift som inte tillförs revisionsärendet förstöras senast när revisionen avslutas. Detta gäller dock inte om granskning av den som uppgifterna avser har påbörjats. Detta innebär att överskottsinformation inte får sparas för att eventuellt kunna användas i framtiden. Information som har lett till att en kontroll påbörjats bevaras i den berörde personens akt. Sådan överskottsinformation bevaras i dag inte elektroniskt utan skrivs ut på papper. Det kan dock förutsättas att denna typ av information i framtiden kommer att bevaras i elektroniskt form i allt större utsträckning.
Den ordning som i dag gäller för bevarande och gallring av uppgifter om tredje man som erhållits i samband med en revision av en annan skattskyldig ger enligt vår mening ett bra skydd för den enskilde. Det är väsentligt att överskottsinformation som inte leder till åtgärd gallras så fort som möjligt. Den av oss föreslagna gallringsregeln om att uppgifter som inte behandlas i beskattningsdatabasen skall gallras senast ett år efter det att ärendet avslutats, innebär emellertid att uppgifter i dessa fall skulle kunna bevaras under längre tid än vad som gäller i dag. Enligt vår mening bör överskottsinformation inte bevaras under så lång tid som ett år utan att granskning påbörjats av den som uppgifterna avser. Uppgifterna bör därför gallras senast när revisionen eller annat ärende är avslutad om någon granskning av den som uppgifterna avser inte har
påbörjats. Som vi konstaterar tidigare bör man undvika att i lag ställa upp alltför detaljerade gallringsregler. Något behov av att reglera gallringen av överskottsinformation direkt i den av oss föreslagna lagen finns enligt vår mening inte, utan en sådan bestämmelse bör i stället beslutas av regeringen eller den myndighet som regeringen bestämmer.
Tredjemansuppgifter som hämtats in genom revision m.m.
En annan fråga rör behandlingen av uppgifter som hämtas in i syfte att granska någon annan än den reviderade eller förelagda personen. Sådana uppgifter kan dels hämtas in genom tredjemansrevision eller tredjemansföreläggande, dels genom begäran från andra myndigheter. Uppgiftsinsamlingen kan vara begränsad till en eller ett fåtal personer eller rättshandlingar men kan också vara mycket omfattande. I de fall insamlingen är omfattande görs detta oftast i någon form av urvals- eller kontrollprojekt. Uppgifterna skrivs i vissa fall ut på papper och hänförs direkt till den skattskyldige som berörs av uppgifterna. Det förekommer också, framför allt när materialet är omfattande, att bearbetningar av uppgifterna fortsätter, t.ex. genom samkörning med det centrala skatteregistret eller andra register. Sådana automatiserade bearbetningar har som främsta syfte att få fram underlag för en bedömning av om kontroll skall företas eller inte avseende den som uppgiften avser (urvalsprocess).
Det är inte ovanligt att en urvalsprocess görs i flera steg. Exempelvis kan den skattemyndighet som hämtat in uppgifterna göra ett första grovurval. Övriga skattemyndigheter gör sedan det slutliga urvalet av intressanta kontrollobjekt. Vidare kan det förekomma att ett register som ursprungligen upprättats för ett kontrollprojekt delas upp i ytterligare ett eller flera olika register, dvs. nya kontrollprojekt bildas. Skälet till sådana uppdelningar är ofta att andelen kontrollvärda objekt är så omfattande att mer än ett projekt måste genomföras.
Behovet att bevara uppgifterna på medium för automatiserad behandling varierar bl.a. beroende på hur länge urvalsprocessen pågår. Ingår uppgifterna i ett kontrollprojekt, t.ex. granskning av en bransch eller en företeelse, kan uppgifterna behövas så länge som projektet pågår och inte bara under själva urvalsprocessen. Registret fungerar i sådana fall även som ett administrativt stöd för projektledaren. Exempelvis kan det av registret framgå när och till vem en viss företagsakt sänts för utredning. När urvalsprocessen eller ett kontrollprojekt avslutas, förvaras uppgifter som skall bevaras normalt inte i elektronisk form utan utskrifter görs för respektive skattskyldig.
För den behandling som utförs i en urvalsprocess eller i ett kontrollprojekt blir de allmänna bestämmelserna i vårt förslag till lag om behandling av uppgifter i skatteförvaltningen beskattningsverksamhet
tillämpliga. Detta innebär att uppgifterna skall gallras senast ett år efter det att ärendet har avslutats. Revisionsärendet, dvs. inhämtandet av uppgifterna anses normalt avslutat så snart uppgifterna kommit in till myndigheten. Som nämns ovan är det heller inte ovanligt att en urvalsprocess görs i flera steg och att ett register som upprättats för ett kontrollprojekt delas upp i ett eller flera nya register. Den av oss föreslagna ettårsregeln kan därför bli svår att tillämpa, eftersom den är knuten till när ett ärende är avslutat. För att syftet med ett projekt eller en urvalsprocess skall kunna tillgodoses måste de för kontrollen aktuella uppgifterna enligt vår mening få bevaras under hela den tid som kontrollen pågår. Om t.ex. de uppgifter som hämtas in skulle behöva gallras ett år efter inhämtandet, skulle detta innebära att skattemyndigheterna var tvungna att begära in dessa uppgifter ännu en gång. Det skulle innebära merarbete för såväl de skattskyldiga som skattemyndigheterna. Särskilda regler bör därför införas för dessa kontroller.
Som vi konstaterar tidigare bör man undvika att i lag ställa upp allt för detaljerade gallringsregler. Att i lagen reglera de olika tidpunkter för gallring av uppgifter, som kan bli aktuella i samband med skattekontroll, skulle innebära att lagen liksom den nuvarande blir alltför detaljerad och därmed också svår att tillämpa. Det bör enligt vår mening överlämnas till regeringen eller den myndighet regeringen bestämmer att närmare utforma sådana regler. Det bör dock framhållas att när den slutliga urvalsprocessen eller ett kontrollprojekt är avslutat, dvs. när syftet med kontrollen inte längre består, bör uppgifterna enligt vår mening gallras. Det finns i regel inte skäl att medge att uppgifterna bevaras under så lång tid som ett år efter det att urvalsprocessen eller kontrollprojektet avslutats med mindre än att granskning har påbörjats av den som uppgifterna avser. Att en granskning har påbörjats innebär att det vidtagits någon åtgärd som ett led i en fördjupad kontroll.
Sammanfattning
De skyddsåtgärder för enskildas integritet som samlat sätts upp genom bestämmelserna i våra förslag till lagar om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet respektive Tullverkets verksamhet samt i personuppgiftslagen och taxeringslagen m.fl. lagar, anser vi vara tillräckliga för att garantera att personuppgifter som samlas in i skatteförvaltningens eller Tullverkets verksamheter med revisioner och andra kontrollåtgärder inte behandlas på ett otillbörligt sätt. Härtill kommer att de uppgifter som behandlas omfattas av absolut sekretess hos skattemyndigheterna enligt 9 kap.1 och 2 §§sekretesslagen. Även hos Tullverket gäller enligt samma paragrafer sträng sekretess (omvänt skaderekvisit).
9.3. Bruttoavisering inom folkbokföringen
Bruttoavisering som metod för att tillhandahålla folkbokföringsuppgifter inom statsförvaltningen strider enligt vår uppfattning inte mot dataskyddsdirektivet, under förutsättning att fråga är om regelmässigt och frekvent återkommande aviseringar som avser en betydande andel av befolkningen.
9.3.1. Vad är bruttoavisering?
Vi redogör i avsnitt 3.2.4 för den gällande rättsliga regleringen av aviseringsregistret. En grundläggande bestämmelse i lagen (1995:743) om aviseringsregister är att uppgifter får lämnas ut från aviseringsregistret endast om uppgifterna enligt lag eller förordning får registreras i ett register hos mottagaren. Avisering får alltså som regel inte ske av andra uppgifter än de som beställaren själv får ha i ett personregister. I praktiken kan detta göras på tre olika sätt. Vissa mottagare kan få utvalda uppgifter med hjälp av naturliga avgränsningar, t.ex. kommuntillhörighet, medan uppgifter för andra mottagare kan väljas ut genom särskilda markeringar i aviseringsregistret, t.ex. för de personer som har körkort. Det tredje alternativet innebär att beställaren tillhandahåller aviseringsregistret en fil med personnummer på de personer som skall omfattas av aviseringen, varefter ändringsavisering görs för de personerna.
Efter en framställning från Riksskatteverket infördes år 1997 ett system med s.k. bruttoavisering på medium för automatiserad databehandling för vissa myndigheter (se prop. 1995/96:217 s. 11 ff.). Bruttoavisering innebär att mottagarna får ändringsaviseringar avseende samtliga personer i aviseringsregistret. Ur det materialet får den mottagande myndigheten sedan själv söka fram uppgifter som rör personer vilka är registrerade i dennes register, medan övriga uppgifter gallras. Urvalet av uppgifter görs alltså av den mottagande myndigheten själv, och inte av Riksskatteverket som vid vanlig ändringsavisering.
Bruttoavisering får enligt förordningen (1996:1298) om aviseringsregister användas i förhållande till Rikspolisstyrelsen, Kriminalvårdsstyrelsen, Lantmäteriverket, Vägverket, Centrala studiestödsnämnden, Totalförsvarets pliktverk, kronofogdemyndigheterna och Svenska kyrkans centralstyrelse. Bakgrunden till Riksskatteverkets framställning om att få använda bruttoavisering i förhållande till dessa myndigheter är att de alla är stora mottagare av ändrade folkbokföringsuppgifter och att de, med undantag för Pliktverket, tidigare har haft möjlighet att utnyttja ett
system med bruttoavisering vid avisering genom det äldre riksaviseringsbandet.
Regeringen har vid olika tillfällen ansett att bruttoavisering har många fördelar jämfört med andra metoder (se t.ex. prop. 1995/96:217 s. 12 ff). Bland annat är bruttoavisering betydligt billigare än avisering genom filöverföring från den mottagande myndigheten i de fall det handlar om användare av stora mängder folkbokföringsuppgifter. Vidare skulle en metod som innebär att man använder sig av markeringar i aviseringsregistret i många fall kunna innebära nackdelar från integritetssynpunkt, t.ex. markeringar som utvisar att någon förekommer i polisens register. Det är inte heller alltid lämpligt att den myndighet som önskar få uppgifter aviserade, skickar en fil med personnummer på aktuella personer till Riksskatteverket. I vissa fall kan det nämligen innebära att känslig information lämnas ut till Riksskatteverket, t.ex. uppgifter om vilka personer som finns i olika polisregister. Det torde alltså även i framtiden finnas starka skäl för att bevara ett system med bruttoavisering.
9.3.2. Förhållandet till dataskyddsdirektivet
Bruttoavisering innebär att fler uppgifter än mottagaren behöver lämnas ut från aviseringsregistret. Det ändamål för vilket uppgifterna lämnas ut i dag är aktualisering, komplettering och kontroll av uppgifter i ett personregister som mottagaren är ansvarig för. Någon uttalad anledning att i grunden förändra ändamålen med bruttoaviseringen finns inte. Frågan är hur utlämnande av uppgifter som mottagaren inte behöver, ställer sig i förhållande till dataskyddsdirektivets bestämmelser. Enligt artikel 7 i dataskyddsdirektivet får personuppgifter behandlas endast under vissa förutsättningar, varav samtycke är det primära. Om samtycke saknas krävs att något av de i artikeln uppräknade situationerna är för handen. Bland annat får personuppgifter behandlas om det är nödvändigt för utförandet av en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Det kan enligt vår uppfattning inte sättas i fråga att behandling av personuppgifter för aviseringsändamål är tillåten med stöd av den bestämmelsen. Vad som kan diskuteras är på vilket sätt avisering får göras.
Personuppgifter får enligt dataskyddsdirektivet samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. De får sedan inte behandlas för något ändamål som är oförenligt med de ursprungliga ändamålen (artikel 6.1 b). När det gäller aviseringar av ändringar av folkbokföringsuppgifter innebär dessa krav enligt vår mening inte några problem. Det är svårt att se att avisering av ändrade folkbokförings-
uppgifter på något sätt skulle vara oförenligt med de syften för vilka uppgifterna ursprungligen samlas in, även om den senare behandlingen innefattar bruttoavisering. Det är från början till slut en fråga om kontrollerad folkbokföring. Dataskyddsdirektivet ställer emellertid ytterligare krav på behandlingen av personuppgifter. Personuppgifter skall vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas (artikel 6.1 c). Av dataskyddsdirektivets ingress kan inte utläsas vad som närmare avses med den bestämmelsen. Inte heller har Datalagskommittén eller regeringen vidare kommenterat innebörden av bestämmelserna i direktivet och personuppgiftslagen.
När enskilda bestämmelser i dataskyddsdirektivet skall tolkas är det enligt vår mening viktigt att hålla i minnet vad som egentligen är syftet med direktivet, nämligen att vid behandling av personuppgifter skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, samt att underlätta det fria flödet av personuppgifter inom EU. Enligt vår uppfattning bör de relevanta bestämmelserna i dataskyddsdirektivet tolkas så att bruttoavisering som metod för att tillgodose behovet av korrekta folkbokföringsuppgifter inom förvaltningen, i sig inte strider mot direktivet. Det torde dock inte vara förenligt med direktivet att i alla sammanhang använda sig av bruttoavisering. Det avgörande anser vi måste vara om behandlingen är nödvändig.
Datalagskommittén har i betänkandet Integritet – Offentlighet – Informationsteknik (SOU1997:39 s. 359) redovisat sin syn på nödvändighetskravet i dataskyddsdirektivet.
Vad nödvändighetsrekvisitet innebär är inte helt klart. De flesta uppgifter kan rent faktiskt utföras manuellt utan personregister även om det kostar mycket mer och tar betydligt längre tid än att behandla personuppgifter automatiskt.
Som vi ser det kan nödvändighetskravet inte rimligen innebära att det skall vara faktiskt omöjligt att utföra en uppgift utan sådan behandling av personuppgifter som omfattas av EG-direktivet och den föreslagna lagen. Kan en uppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla uppgifterna; det kanske går nästan lika bra att använda anonyma uppgifter.
Vi ansluter oss till Datalagskommitténs tolkning. Den ovan redovisade synen på nödvändighetskravet avser i och för sig frågan om det över huvud taget är nödvändigt att behandla personuppgifter på ett sätt som omfattas av direktivet. Motsvarande synsätt anser vi dock kan läggas till grund för bedömningen av om en viss automatiserad behandling är nödvändig när alternativet inte är behandling som inte omfattas av
dataskyddsdirektivet, utan en annan form av automatiserad behandling. Det måste således enligt vår mening vara försvarbart att i förhållande till en viss myndighet använda sig av bruttoavisering i stället för andra former av ändringsavisering. Hänsyn bör därvid tas till hur integritetskänsliga uppgifterna är, hur många personer som avses med aviseringen samt hur ofta uppgifter aviseras till myndigheten. Det innebär enligt vår mening att bruttoavisering är uteslutet om aviseringen avser endast ett fåtal personer eller om avisering görs endast vid något enstaka tillfälle. Nödvändighetskravet kan å andra sidan inte sättas så högt att det skall vara fråga om dagligen återkommande aviseringar som avser hela Sveriges befolkning. Enligt vår mening bör det, för att bruttoavisering skall få användas, vara frågan om regelmässigt och frekvent återkommande aviseringar som avser en betydande andel av befolkningen. I de fall aviseringen rör uppgifter som till sin karaktär är sådana att det av integritetsskäl inte är lämpligt med andra aviseringsmetoder, t.ex. uppgifter om intagna i kriminalvårdsanstalt, torde kraven kunna sättas lägre än i andra fall.
Sammanfattningsvis hindrar tillämpningen av dataskyddsdirektivet enligt vår uppfattning inte användningen av bruttoavisering som metod för att tillhandahålla folkbokföringsuppgifter inom förvaltningen. Metoden bör dock användas endast när det efter noggrant övervägande befinns vara nödvändigt för att uppnå en rimlig effektivitet i aviseringsförfarandet.
9.4. Sekretess inom exekutionsväsendet
Vårt förslag: Sekretess skall gälla inom exekutionsväsendet i mål eller ärende angående utsökning och indrivning samt i verksamhet enligt lagen (1986:436) om näringsförbud, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller honom närstående lider skada eller men. Sekretessen skall dock inte gälla uppgift om förpliktelse som avses med den sökta verkställigheten i ett pågående mål och inte heller beslut i ett mål eller ärende.
Motsvarande sekretess skall gälla i en myndighets verksamhet som avser förande av eller uttag ur utsöknings- och indrivningsdatabasen enligt lagen om behandling av uppgifter i exekutionsväsendets verksamhet, för uppgifter som har tillförts databasen.
Utan hinder av sekretessen skall uppgifter om en enskild få lämnas till förvaltare i den enskildes konkurs.
Ett kreditupplysningsföretag som har hämtat in en uppgift från exekutionsväsendets utsöknings- och indrivningsdatabas eller betalningsföreläggande- och handräckningsdatabas, skall gallra uppgiften, när den inte längre omfattas av undantaget från sekretess för uppgifter i ett pågående mål hos kronofogdemyndigheterna.
9.4.1. Sekretesslagens bestämmelser
I avsnitt 2.5.2 redovisar vi vilka sekretessregler som kan vara tillämpliga för verksamheten hos kronofogdemyndigheterna. Bestämmelser om sekretess inom exekutionsväsendet i mål eller ärenden angående exekutiv verksamhet finns i 9 kap. 19 § sekretesslagen (1980:100). Där anges att sekretess gäller för uppgifter om enskilds personliga eller ekonomiska förhållanden om det kan antas att den enskilde eller någon honom närstående lider avsevärd skada eller betydande men om uppgifterna röjs. Ett rakt skaderekvisit uppställs alltså för att uppgifter skall kunna sekretessbeläggas. Vissa uppgifter i mål eller ärenden i den exekutiva verksamheten omfattas dock inte alls av sekretess. Det gäller uppgifter om förpliktelse som avses med den sökta verkställigheten och beslut i målet eller ärendet. Det innebär att exempelvis information om att någon är gäldenär hos en kronofogdemyndighet, uppgifter om dennes skuld, exekutionstitel och uppgifter om sökanden i enskilda mål skall lämnas ut utan föregående sekretessprövning.
I verksamhet som avser förande av eller uttag ur register enligt utsökningsregisterlagen (1986:617) gäller motsvarande sekretess som i den övriga verksamheten för uppgifter som har tillförts registret. Det innebär att uppgifter om förpliktelser och beslut i mål eller ärenden som har tillförts och finns i ett register inte omfattas av sekretess, medan övriga uppgifter inte skall lämnas ut utan sekretessprövning. Sekretessen för uppgifter i utsökningsregister gäller både i fråga om förande av registret och uttag ur detsamma. Det är alltså inte endast hos kronofogdemyndigheterna och Riksskatteverket som en uppgift omfattas av sekretess, utan även hos andra myndigheter som har terminalåtkomst, dvs. Tullverket och skattemyndigheterna, dock endast så länge uppgiften finns kvar i registret. I praktiken innebär detta att sekretessen enligt 9 kap. 19 § sekretesslagen gäller så länge uppgiften endast är tillgänglig via en terminalbild. När exempelvis en skattemyndighet gör en utskrift ur utsökningsregistret, kommer uppgiften i stället att omfattas av den sekretess som gäller för skattemyndigheten dvs. absolut sekretess.
9.4.2. Problem med det svaga sekretesskyddet
Det raka skaderekvisitet kombinerat med den stora mängd uppgifter som inte omfattas av någon sekretess, innebär att sekretessen generellt är svag för uppgifter i den exekutiva verksamheten. Det är inte ofta som det kan antas att den enskilde lider avsevärd skada eller betydande men om en uppgift om honom lämnas ut. Kraven för sekretess är således mycket höga. Det är därför sällsynt att en kronofogdemyndighet kan vägra lämna ut en uppgift som en person begär att få ta del av med stöd av offentlighetsprincipen. När utlämnande vägras handlar det ofta om mer detaljerade beskrivningar av den enskildes sociala situation, eventuellt med uppgift om sjukdom. Ett exempel kan vara att en gäldenär vill ha ett högre förbehållsbelopp vid löneutmätning på grund av att han har en sjukdom som kräver specialkost. Även sådana uppgifter kan kronofogdemyndigheten emellertid finna sig nödsakad att lämna ut. Bedömningen enligt sekretesslagen visar ofta att det i och för sig är obehagligt för gäldenären att uppgiften sprids, men att rekvisitet avsevärd skada eller betydande men inte är uppfyllt.
Hur svagt sekretesskyddet är inom exekutionsväsendet framträder tydligt när det sätts i relation till den absoluta sekretess som gäller inom skatteförvaltningens beskattningsverksamhet enligt 9 kap. 1 § sekretesslagen. Detta kan åskådliggöras med följande exempel. En journalist som begär av en skattemyndighet att få ta del av handlingar, exempelvis ett besked från en bank om någons banktillgodohavanden, kommer att förvägras detta. I de fall uppgifterna har förts över till en kronofogdemyndighet får han med stor sannolikhet ut samma uppgifter.
En av kronofogdemyndigheternas huvudsakliga uppgifter är att utreda om en gäldenär har några utmätningsbara tillgångar. En rationell handläggning förutsätter att man får hämta in uppgifterna på ett enkelt sätt, t.ex. från andra myndigheter. En stor del av uppgifterna hämtas från skattemyndigheterna, framför allt uppgifter från deklarationer och kontrolluppgifter. I de fall det inte finns en reglerad uppgiftsskyldighet, skall en sekretessprövning göras innan en kronofogdemyndighet får del av uppgifter från en skattemyndighet. I en sådan situation avgörs frågan om uppgifter skall lämnas ut eller inte ofta med stöd av generalklausulen i 14 kap. 3 § sekretesslagen. Det innebär att skattemyndigheten måste göra en prövning av om kronofogdemyndighetens intresse av att få tillgång till vissa uppgifter – t.ex. en uppgift om banktillgodohavanden – har företräde framför den enskildes intresse bl.a. av att uppgifterna även fortsättningsvis kommer att vara föremål för ett starkt sekretesskydd. En faktor som vägs in i denna prövning är hur stor risken är för att uppgiften kommer att lämnas ut från kronofogdemyndigheten. På grund av den stora skillnaden i sekretesskydd har kronofogdemyndigheter
därför i vissa fall haft svårt att från skattemyndigheter få del av uppgifter som behövs i den exekutiva verksamheten.
Kronofogdemyndigheternas direktåtkomst till det centrala skatteregistret innebär att myndigheterna har garanterad åtkomst till vissa uppgifter från skattemyndigheterna. Så länge dessa uppgifter endast behandlas genom kontroll på terminalbild kvarstår enligt 9 kap. 1 § sekretesslagen den absoluta skattesekretessen för uppgifterna, men när en kronofogdemyndighet gör en utskrift ur skatteregistret och sorterar in uppgifterna i en gäldenärsjournal, kommer den svagare exekutionssekretessen att gälla. När en kronofogdemyndighet på detta sätt, eller genom inhämtande på annan väg, tar del av information från en skattemyndighet kommer uppgifter som har ett starkt sekretesskydd hos skattemyndigheten i de flesta fall att bedömas som offentliga hos kronofogdemyndigheten. Följden av detta är att uppgifter som kan vara integritetskänsliga och som enskilda i vissa fall är skyldiga att lämna till skattemyndigheterna blir åtkomliga för en större allmänhet.
9.4.3. Bakgrund till nuvarande reglering
Före sekretesslagens tillkomst fanns det inga sekretessbestämmelser för den exekutiva verksamheten med undantag för reglering om tystnadsplikt. Huvudprincipen var alltså full handlingsoffentlighet. Med undantag för den bestämmelse som lagts till om sekretess för utsökningsregister, har 9 kap. 19 § sekretesslagen samma lydelse i dag som vid lagens tillkomst. I motiven (prop. 1979/80:2 s. 287 ff.) anförde departementschefen bl.a. följande.
Den exekutiva verksamheten innefattar till stor del myndighetsutövning mot enskilda. Intresset av allmän insyn i verksamheten måste därmed anses vara betydande. Inskränkningar i offentligheten bör därför inte göras annat än om det finns starka skäl härför. Endast sådana uppgifter vilkas röjande kan antas leda till skada eller men av påtagligt slag för den enskilde bör alltså komma i fråga för sekretessbeläggning. Full offentlighet bör liksom hittills alltid råda för uppgifter om att någon är föremål för exekutiva åtgärder och vad åtgärderna avser. De särskilda problem som från integritetssynpunkt kan uppkomma vid en fortsatt utbyggnad av det riksomfattande ADB-systemet för exekutionsväsendet, som påbörjats för några år sedan, bör i första hand angripas med hjälp av datalagen (1973:289) och kreditupplysningslagen (1973:1173…).
I den exekutiva verksamheten får kronofogdemyndighet från skilda håll del av mångskiftande uppgifter om enskilda. Det viktigaste materialet är givetvis uppgifterna i de olika handlingar som ligger till grund för verkställighet, dvs. restlängder, saköreslängder, domar m.m.
Dessa uppgifter är i allmänhet offentliga hos de myndigheter som har meddelat besluten i fråga. I enlighet med vad jag nyss har sagt bör de i princip vara offentliga också hos den exekutiva myndigheten. Undantag bör emellertid kunna göras för vissa uppgifter som finns i saköreslängd. Jag syftar på uppgifter om annan påföljd än böter, om häktning m.m. Dessa uppgifter finns i längden därför att de är av betydelse för indrivningsarbetet. Enligt min mening bör sådana uppgifter kunna skyddas från insyn.
Även i andra fall kan det föreligga behov av att hos kronofogdemyndighet sekretesskydda sådana uppgifter om enskilda som är utpräglat integritetskänsliga och vilkas röjande skulle medföra betydande men för den enskilde. För att det exekutiva arbetet skall kunna bedrivas på ett ändamålsenligt sätt behöver kronofogdemyndighet från bl.a. andra myndigheter skaffa sig sådana uppgifter om gäldenären som ger underlag för att bedöma gäldenärs betalningsförmåga. Det kan röra sig om vitt skilda slag av uppgifter, såsom t.ex. uppgifter från deklarationshandlingar men också uppgifter om anstaltsvistelse, arbetslöshet och sjukdom. Också då dylika ömtåliga uppgifter om enskilds personliga förhållanden inhämtas på annat sätt, t.ex. från gäldenären själv eller i samband med förrättning, bör uppgifterna givetvis kunna skyddas.
Enligt min mening är det emellertid inte bara uppgifter av utpräglat personlig art som man behöver kunna sekretesskydda i exekutiva ärenden, utan också vissa uppgifter om ekonomiska förhållanden. Det gäller då framför allt uppgifter som rör näringsidkares affärs- eller driftsförhållanden. För indrivningsarbetet är det många gånger väsentligt att myndigheten skaffar sig kännedom om dylika uppgifter i fråga om de företag som är föremål för indrivning. Med tanke på att den exekutiva verksamheten till övervägande del rör frågor av ekonomisk art, bör sekretessen begränsas på ett sådant sätt att inte flertalet uppgifter på området undandras offentlighet. Hemlighållande bör därför bara kunna ske för att förhindra att den som uppgiften rör tillfogas en avsevärd skada. Det kan gälla t.ex. uppgifter om förestående affärsuppgörelser av betydelse, affärsförbindelser, investeringsplaner m.m.
Det behov av sekretess hos exekutiv myndighet som sålunda föreligger har tillgodosetts genom bestämmelserna i förevarande paragraf. Sekretesskyddet avser uppgifter om enskilds personliga eller ekonomiska förhållanden. Som förutsättning för sekretess uppställs ett rakt skaderekvisit. Avsevärd skada eller betydande men för den enskilde eller någon honom närstående måste kunna antas för att sekretess skall gälla. Paragrafen ger skydd också för uppgifter om annan än gäldenären…
Med tanke på att största möjliga offentlighet bör råda inom den exekutiva verksamheten har myndighets beslut undantagits från sekretessen. Likaså har ett uttryckligt undantag gjorts för uppgifter om förpliktelse
som avses med den sökta verkställigheten. Uppgifter om t.ex. en avhysning eller annan handräckning, en fordrings storlek eller det belopp som skall drivas in blir därmed alltid offentliga.
En sammanfattning av vad som sägs i propositionen i denna fråga visar att man ansåg att den omständigheten att den exekutiva verksamheten till stor del innefattar myndighetsutövning mot enskilda medförde att intresset av insyn var betydande. De särskilda problem från integritetssynpunkt som kunde uppkomma vid utbyggnad av datorsystemen ansåg man i första hand borde angripas med hjälp av datalagen och kreditupplysningslagen. Ett skäl att inte sekretessbelägga uppgifter i handlingar som ligger till grund för verkställigheten var att uppgifterna inte var sekretessbelagda hos den myndighet från vilken de kommer.
9.4.4. Utvecklingen efter sekretesslagens tillkomst
Det finns anledning att närmare granska utvecklingen sedan sekretesslagens tillkomst år 1980, och överväga om de skäl som då anfördes har samma tyngd i dag eller om man nu bör komma till en annan slutsats.
När sekretesslagen kom till gällde fortfarande utsökningslagen från år 1877. Arbetsmetoderna var då helt annorlunda jämfört med de som tillämpas sedan utsökningsbalken ersatte utsökningslagen den 1 januari 1982. Före utsökningsbalkens införande var det i varje enskilt mål där utmätning av lös egendom hade begärts, obligatoriskt att kronofogdemyndigheterna besökte gäldenärens bostad för att eftersöka utmätningsbara tillgångar. Bostadsförrättningen var ofta den enda efterforskningsåtgärd som en kronofogdemyndighet vidtog. Den skriftliga dokumentation som besöket resulterade i var i flertalet fall mycket summarisk. Vanligtvis antecknades det förhållandet att gäldenären saknade utmätningsbara tillgångar endast genom ett kryss i en ruta. Den som med stöd av offentlighetsprincipen begärde att få ta del av den information som fanns om gäldenären hade då inte mycket att hämta.
Utsökningsbalkens införande innebar ett helt nytt arbetssätt. Kronofogdemyndigheterna fick en vidgad skyldighet att utreda om gäldenären har tillgångar som kan utmätas, men också vidgad frihet att välja utredningsmetod. Antalet bostadsförrättningar har drastiskt minskat. I stället utnyttjar kronofogdemyndigheterna en ny möjlighet att kalla gäldenären till sig. Gäldenären har också en lagstagad skyldighet att under straffansvar lämna upplysningar om sina tillgångar, att upprätta en förteckning över dem och att bekräfta riktigheten av förteckningen på heder och samvete. Även tredje man är skyldig att uppge om gäldenären har en fordran eller annat mellanhavande med honom. Krono-
fogdemyndigheterna kan vitesförelägga en tredje man som inte lämnar upplysningar. En ny väg att söka efter tillgångar som kom med utsökningsbalken var att efterforska upplysningar om gäldenären i olika register. Bland de första register som blev aktuella var skatteregistren. Genom ny lagstiftning och nya arbetssätt har kronofogdemyndigheterna således, allt efter det att metoderna har utvecklats, fått möjligheter att kartlägga gäldenärens ekonomiska förhållanden med en betydligt större precision än tidigare.
När lagen (1993:891) om indrivning av statliga fordringar m.m. trädde i kraft år 1994 utökades kronofogdemyndigheternas utredningsskyldighet ytterligare beträffande de allmänna målen. Förutom en tillgångsundersökning skall kronofogdemyndigheterna nu också göra en gäldenärsutredning. En sådan innebär att en kronofogdemyndighet vid sidan av att söka efter tillgångar, även utreder gäldenärens totala skuldsättning, orsaken till skuldernas uppkomst, näringsverksamhets omsättning och resultat, möjligheter till återvinning samt gör en prognos avseende gäldenärens framtida betalningsförmåga. Dessutom är sökanden i allmänna mål, enligt indrivningsförordningen (1993:1229), skyldig att underrätta kronofogdemyndigheten om man har uppgifter om gäldenärens ekonomiska förhållanden som kan antas vara av betydelse för indrivningen. Denna utveckling hos kronofogdemyndigheterna har medfört ett behov av att också förbättra dokumentationen. Myndigheterna för noggranna anteckningar om allt som utreds. Den som i dag med stöd av offentlighetsprincipen begär upplysningar om gäldenären får därför ett avsevärt mer uttömmande svar än vad som var fallet tidigare.
Även den tekniska utvecklingen inom både exekutionsväsendets område och samhället i övrigt, har bidragit till att förändra förutsättningarna. År 1980 var datoriseringen inom exekutionsväsendet bara påbörjad och avsåg endast de allmänna målen. Nu har man ett fullt utvecklat handläggningsstöd som inbegriper alla måltyper. För närvarande pågår dessutom arbete med att konstruera ett nytt datoriserat målhanteringssystem, INIT, som kommer att innebära väsentligt ökade möjligheter för kronofogdemyndigheterna att på ett rationellt sätt handlägga målen. En ökad mängd uppgifter om gäldenärerna kommer således att hanteras med datorstöd.
Utvecklingen på IT-området utanför exekutionsväsendet har också påverkat möjligheterna att utreda gäldenärens förhållanden. Mycket information i samhället, som år 1980 endast fanns tillgänglig i icke elektronisk form eller i datoriserade register som var svagt utvecklade från söksynpunkt, är i dag sökbara på ett mer strukturerat sätt. Här kan, bland många andra, nämnas Riksförsäkringsverkets och Värdepapperscentralens register. Från Riksförsäkringsverket får kronofogdemyndigheterna uppgifter genom att centralt sända en frågefil varje natt. Tidigare
inhämtades dessa uppgifter manuellt från varje försäkringskassekontor. Värdepapperscentralen är ett exempel på central registrering utanför den statliga sektorn som underlättar sökandet efter tillgångar. Kronofogdemyndigheterna har i och för sig inga datoriserade rutiner för förfrågningar till Värdepapperscentralen, men bara den omständigheten att alla frågor kan ställas till ett subjekt underlättar.
Kronofogdemyndigheterna har även fått utökade arbetsuppgifter. De deltar t.ex. i det myndighetsgemensamma arbetet mot ekonomisk brottslighet. I det sammanhanget har det uppstått speciella problem på grund av de sekretessbestämmelser som gäller för exekutionsväsendet. Denna fråga har tagits upp av Ekosekretessutredningen i betänkandet Ekonomisk brottslighet och sekretess (SOU 1999:53). Utredningen har som ett led i myndigheters samverkan vid bekämpandet av ekonomisk brottslighet, föreslagit ett stärkt sekretesskydd i den exekutiva verksamheten för uppgifter om bl.a. brott och planerade aktioner. De problem som har föranlett Ekosekretessutredningens förslag är delvis av samma karaktär som de vi avser att komma till rätta med, nämligen att det svaga sekretesskyddet inom exekutionsväsendet innebär problem när kronofogdemyndigheter behöver ta del av känsliga uppgifter som finns hos andra myndigheter.
Ett annat område där det har skett en betydande utveckling är det internationella samarbetet. Även i det sammanhanget kan sekretessreglerna vara ett problem. I andra länder, även de nordiska, har man liten förståelse för att så stor del av uppgifterna hos kronofogdemyndigheterna lämnas ut till den som begär det. Denna omständighet är en återhållande faktor när en kronofogdemyndighet vill ha upplysningar från andra länder.
En stor förändring har också skett av exekutionsväsendets organisation. År 1980 fanns det 81 distrikt och i vart och ett av dessa en självständig kronofogdemyndighet. I dag finns det endast tio regionala kronofogdemyndigheter. Detta har medfört att information om en större mängd gäldenärer har samlats på varje myndighet.
Med hjälp av datortekniken har också kreditupplysningsverksamheten gjort betydande framsteg. Ännu under början av 1980-talet samlade kreditupplysningsföretagen in sina uppgifter genom agenter som besökte alla de 81 kronofogdemyndigheterna och alla de närmare 100 tingsrätterna för att hämta upplysningar om vilka som saknade utmätningsbara tillgångar och om lagsökningsutslag m.m. I dag lämnas dessa och flera andra uppgifter dagligen med hjälp av automatiserad behandling. Detta har påtagligt höjt effektiviteten och tillförlitligheten inom kreditupplysningsverksamheten.
9.4.5. Möjliga förändringar av sekretessen inom exekutionsväsendet
Vi redogör i de föregående avsnitten för vilka problem det förhållandevis svaga sekretesskyddet inom exekutionsväsendet medför, bakgrunden till dagens reglering samt utveckling inom exekutionsväsendet efter sekretesslagens tillkomst. I detta avsnitt redogör vi för de alternativa förändringar av sekretesslagstiftningen som vi har övervägt i avsikt att komma till rätta med problemen.
Överföringssekretess
I allmänhet innebär en bestämmelse i sekretesslagen att sekretess gäller för viss verksamhet. Sådan sekretess som slås fast särskilt för en verksamhet, t.ex. i 9 kap. 1 § för beskattningsverksamheten, brukar benämnas primär sekretess. Utöver dessa primära bestämmelser finns regler som innebär att sekretessen inom viss verksamhet kan överföras till annan verksamhet, dvs. att den sekretess som gäller för en uppgift hos en myndighet kommer att gälla även om uppgiften lämnas ut till en annan myndighet. Den sekretess som gäller efter en sådan överföring mellan myndigheter brukar kallas sekundär sekretess. Sekundär sekretess gäller t.ex. enligt 8 kap. 8 § sekretesslagen för affärs- eller driftförhållanden vid affärsförbindelser mellan en enskild och en myndighet. I 13 kap. sekretesslagen finns generella bestämmelser om överföringssekretess i vissa fall, t.ex. i verksamhet som avser tillsyn och revision. För samtliga dessa bestämmelser gäller dock att om det hos den mottagande myndigheten finns sekretessbestämmelser som skall skydda samma intressen som sekretessen hos den utlämnande myndigheten, så överförs inte sekretessen. I stället gäller då enligt 13 kap. 6 § sekretesslagen den primära sekretessen hos den mottagande myndigheten.
Ett av de ovan redovisade problemen med den svaga sekretessen hos kronofogdemyndigheterna, nämligen den begränsning som den medför av möjligheterna att lämna ut uppgifter från skattemyndigheter till kronofogdemyndigheter, skulle kunna lösas genom föreskrifter som innebär att den absoluta sekretessen inom skatteförvaltningen skall överföras till kronofogdemyndigheten när uppgifter överlämnas. Om en förändring av sekretessen inom exekutionsväsendet hade behövts endast för att underlätta utlämnande från skattemyndigheter hade en sådan åtgärd kanske varit att föredra framför en åtgärd som träffar alla uppgifter, vilket skulle vara fallet med en allmän förstärkning av sekretessskyddet. De integritetsproblem som följer av att känsliga uppgifter om den enskilde har ett svagt sekretesskydd hos kronofogdemyndigheterna skulle däremot inte lösas med den metoden. Ett problem är också att med
överföringssekretess skulle olika sekretessbelagda uppgifter hos en kronofogdemyndighet komma att ha olika starkt sekretesskydd. En uppgift som används i ett ärende hos kronofogdemyndigheten och som har inhämtats från en skattemyndighet skulle alltså omfattas av den sekundära sekretessen (absolut sekretess), medan övriga uppgifter i ärendet skulle omfattas av den primära sekretessen (rakt skaderekvisit). För t.ex. en uppgift om banktillgodohavande skulle det således innebära att om upplysningen kommer från gäldenären själv gäller det raka skaderekvisitet, medan absolut sekretess gäller om uppgiften kommer från skattemyndigheten. Enligt kronofogdemyndighetens rutiner tillfrågas alltid gäldenären om banktillgodohavanden och uppgiften kontrolleras i skatteregistret. Sekretessen skulle då kunna bli beroende av varifrån uppgiften först kommer, vilket i hög grad är beroende av slumpen. En sådan ordning vore både omöjlig att förklara för de som berörs och omöjlig att hantera.
Utlämnandebestämmelser
För att garantera att en kronofogdemyndighet får de uppgifter från skattemyndigheterna som behövs i verksamheten, kan i stället i lag eller förordning anges att vissa, eller samtliga, uppgifter skall lämnas ut till kronofogdemyndigheterna när det begärs. Detta skulle innebära att utlämnande sker med stöd av 14 kap. 1 § sekretesslagen i stället för med stöd av 14 kap. 3 § samma lag. Skattemyndigheterna skulle alltså inte behöva göra någon avvägning mellan olika intressen, utan endast på begäran lämna ut uppgifter.
En ordning med särskilda utlämnandebestämmelser skulle i och för sig lösa kronofogdemyndigheternas problem med att uppgifter inte lämnas ut, och därmed tillgodose verksamhetens behov. Bibehållandet av den sekretessnivå som finns i dag inom exekutionsväsendet, skulle innebära att samtliga uppgifter som hos skattemyndigheterna omfattas av absolut sekretess kommer att bli i stort sett offentliga vid ett överlämnande. Med en sådan lösning skulle man således inte komma åt den grundläggande orsaken till varför det i dag förekommer svårigheter vid informationsutbytet när kronofogdemyndigheter skall samarbeta med andra myndigheter. Inte heller skulle det lösa de problem som det svaga sekretesskyddet innebär med avseende på de enskildas integritet.
Ett starkare sekretesskydd inom exekutionsväsendet
Ett tredje alternativ till förändring av sekretessreglerna för kronofogdemyndigheterna är att ta ett större grepp och generellt stärka sekretessen. Därigenom skulle man komma till rätta också med de integritetsproblem
som följer av att stora mängder information behandlas om enskilda. Som vi anger ovan samlar kronofogdemyndigheterna i dag på olika vägar in en stor mängd uppgifter om gäldenärernas förhållanden. Enligt vår mening kan det mot bakgrund av den utveckling som varit inte anses tillfredsställande att uppgifter om gäldenärernas ekonomiska och personliga förhållanden har ett så svagt sekretesskydd som dagens regler innebär. Ett starkare sekretesskydd för uppgifter i den exekutiva verksamheten skulle leda till att uppgifter som erhålls från skattemyndigheter inte med samma självklarhet som i dag skulle bli offentliga. Det skulle innebära ett större skydd för enskildas integritet, genom minskade möjligheter för utomstående att ta del av känslig information om de personer som är föremål för åtgärder från kronofogdemyndigheterna. Att införa ett starkare sekretesskydd för kronofogdemyndigheternas verksamhet, skulle således kunna innebära att man kommer tillrätta med de svårigheter som i dag finns vid informationsutbyte mellan myndigheter, men även att de enskilda som är föremål för kronofogdemyndigheternas åtgärder får ett starkare skydd mot integritetsintrång.
Sekretessen i kronofogdemyndigheternas verksamhet skulle bli starkare redan genom att man tar bort det krav som i dag uppställs på att en enskild skall lida avsevärd skada eller betydande men om en uppgift röjs för att utlämnande skall kunna vägras. Skaderekvisitet skulle då fortfarande vara rakt. Visserligen skulle skyddet för uppgifterna med en sådan lösning bli starkare än i dag, men sekretessen skulle fortfarande vara svag. Det skulle sannolikt innebära att uppgifterna på samma sätt som i dag i stor utsträckning måste lämnas ut. Det behov av skydd för uppgifterna hos kronofogdemyndigheter som vi anser finns, skulle således inte tillgodoses med enbart ett rakt skaderekvisit.
En annan möjlighet är att införa ett omvänt skaderekvisit, dvs. att sekretess skall gälla om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. Att införa ett omvänt skaderekvisit som krav för utlämnande av uppgifter hos kronofogdemyndigheterna skulle innebära en stor förändring. Enligt vår mening talar emellertid starka skäl för ett omvänt skaderekvisit. Vi redovisar de närmare skälen för vår bedömning i nästa avsnitt. Det kan även noteras att de uppgifter som vi avser att skydda är av sådan karaktär att de omfattas av ett starkt sekretesskydd hos andra myndigheter, t.ex. skattemyndigheter och socialnämnder.
9.4.6. Ett omvänt skaderekvisit
Behovet av insyn i den exekutiva verksamheten
Det främsta skälet som i motiven till sekretesslagen anfördes för det svaga sekretesskyddet inom exekutionsväsendet, var att verksamheten omfattade myndighetsutövning mot enskilda och att intresset av insyn därför var betydande (prop. 1979/80:2, se avsnitt 9.4.4). Såvitt vi kan utläsa, var det den omständigheten som fällde avgörandet. Vi instämmer i att detta är ett tungt vägande skäl för öppenhet. Insyn och öppenhet hos myndigheter är en väsentlig förutsättning för den demokratiska kontrollen. Den exekutiva verksamheten innebär i hög grad myndighetsutövning som för den enskilde ofta är mycket kännbar. Samma sak gäller emellertid även för andra verksamheter med ett starkare sekretesskydd, t.ex. beskattning, kriminalvård och socialtjänst. För de verksamheterna fick dock vid sekretesslagens tillkomst hänsynen till den enskildes integritet väga tyngre vid bedömningen av sekretessbehovet.
Enligt vår uppfattning är det väsentligt att man även i fortsättningen säkerställer ett stort mått av insyn i kronofogdemyndigheternas verksamhet. De förändringar i verksamheten som nu har redovisats medför emellertid att vi anser att frågan om sekretessens styrka bör prövas på nytt. Kravet på insyn kan enligt vår uppfattning tillgodoses även på andra sätt än genom ett svagt sekretesskydd. Här kan nämnas den tillsynsverksamhet som utövas av Justitieombudsmannen och Justitiekanslern. Även meddelarfriheten enligt tryckfrihetsförordningen har stor betydelse, liksom det förhållandet att kronofogdemyndigheterna har av regeringen utsedda lekmannastyrelser vilkas uppgift bl.a. är att förstärka insynen i verksamheten.
Av väsentlig betydelse för omfattningen av insynen i kronofogdemyndigheternas verksamhet är vidare det förhållandet att parterna har nära nog full insyn i vad som förekommer i deras mål. Sekretess hindrar normalt inte att parterna tar del av handlingar i ett mål eller ärende. Handlingar får dock inte lämnas ut om det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att en sekretessbelagd uppgift inte röjs. Detta regleras i 14 kap. 5 § första stycket sekretesslagen. Uttrycket synnerlig vikt markerar att det skall vara fråga om rena undantagssituationer, t.ex. när syftet med sekretessregeln framstår som särskilt tungt vägande i förhållande till partens intresse av full insyn.
Regeringsrätten har i ett rättsfall, RÅ 1994 ref. 79, tagit ställning till en begäran från en bank att få del av svarandens deklarationshandling som en kronofogdemyndighet hade infordrat i ett mål där banken var sökande. Regeringsrätten biföll bankens begäran, men gjorde undantag för uppgift om namnet på den person som erhöll periodiskt understöd.
Som skäl för avgörandet anfördes att det för att banken skulle kunna bevaka sina intressen i målet, uppenbarligen var av största vikt att man hade kännedom om och tillfälle att bemöta innehållet i de av myndigheten infordrade handlingarna. Endast genom insyn i materialet kunde banken kontrollera att handläggningen skett på ett ändamålsenligt och korrekt sätt. Vid en avvägning mellan bankens intresse som part och svarandens intresse att uppgifterna inte röjdes, ansåg Regeringsrätten att det inte av hänsyn till svaranden var av synnerlig vikt att vägra lämna ut uppgifter som avsåg ekonomiska förhållanden. Däremot krävde inte bankens intresse av partsinsyn att uppgifter som var av renodlat personlig art lämnades ut.
Vi bedömer att även om ett omvänt skaderekvisit införs för exekutionsväsendets verksamhet, skulle utgången i ett liknande mål bli detsamma. Insynen för parterna skulle således fortfarande vara mycket stor. Det bör även med tillämpning av strängare sekretessbestämmelser vara möjligt för sökanden att få en fyllig redogörelse för vilka åtgärder kronofogdemyndigheten har vidtagit och grunden för dess överväganden. En sökande som anvisar viss egendom bör i förekommande fall få veta varför kronofogdemyndigheten inte har utmätt den. Det kan visserligen finnas vissa detaljer som i det enskilda fallet av hänsyn till gäldenären inte bör lämnas ut. Detta torde dock utgöra sällsynta undantag. Som exempel på när utlämnande av en uppgift skulle kunna vägras, kan nämnas fall när gäldenären är intagen i fängelse eller på institution för missbruksvård, psykiatrisk vård eller liknande. En avvägning mellan intresset av partsinsynen och gäldenärens intresse av sekretess kan då tänkas leda till att sökanden inte får tillgång till t.ex. de närmare detaljerna om skälen för att löneutmätning inte kan ske.
Sammanfattningsvis kommer insynen i kronofogdemyndigheternas verksamhet att bli mindre genom en förstärkt sekretess, men den kommer enligt vår bedömning fortfarande att vara tillräcklig för den demokratiska kontrollen. Enbart behovet av insyn bör därför inte hindra att sekretessen förstärks. Avgörande bör i stället vara hur det nuvarande svaga sekretesskyddet påverkar den enskildes integritet.
Behovet av ökat skydd för enskildas integritet
En bidragande orsak till att man för tjugo år sedan stannade för den svaga sekretessen, torde ha varit att kronofogdemyndigheterna då inte hade tillgång till lika mycket uppgifter om gäldenären. Som vi redovisar i avsnitt 9.4.5 förfogar kronofogdemyndigheterna i dag över en omfattande dokumentation om enskilda personer. Införandet av det nya planerade datorsystemet INIT, kommer att medföra att ännu fler uppgifter
om enskilda personer lagras elektroniskt Den stora mängden uppgifter utgör i sig ett skäl att stärka skyddet för den enskildes integritet.
Ytterligare en omständighet som kan anföras för att stärka sekretessen är att en stor del av de uppgifter som kronofogdemyndigheterna hämtar in är sådana som den enskilde varit skyldig att lämna i sin självdeklaration eller som skattemyndigheterna annars samlat in under taxeringsförfarandet. För flertalet skattskyldiga omgärdas dessa uppgifter av ett starkt sekretesskydd hos skattemyndigheten. När en skattskyldig förekommer hos en kronofogdemyndighet tappar han med nuvarande reglering detta skydd. Uppgifter som kan anses känsliga från integritetssynpunkt får därmed ett påtagligt lägre skydd. De personer som förekommer hos kronofogdemyndigheterna är ofta utsatta. Enligt vår uppfattning bör man inte negativt särbehandla dem utan uttryckliga skäl för det.
Beträffande de särskilda problem från integritetssynpunkt som kan uppkomma hänvisas i motiven till sekretesslagen (prop. 1979/80:2, se avsnitt 9.4.4) till datalagen. I den lagen finns ett antal bestämmelser som syftar till att skydda den enskildes integritet. Uppgifterna skall t.ex. gallras så snart de inte behövs och möjligheterna till utlämnande av uppgifter med hjälp av automatisk databehandling är starkt begränsade. När datalagen nu har upphävts och successivt ersätts av personuppgiftslagen, är det ett annat synsätt på dessa frågor som gör sig gällande. För att få en enhetlig systematik till stånd bör – på samma sätt som för andra myndigheter vilka behandlar för den enskilde känslig information – bestämmelser till skydd för enskildas integritet i första hand finnas i sekretesslagen, också för den verksamhet som bedrivs av kronofogdemyndigheterna.
Vår uppfattning är att uppgifterna hos kronofogdemyndigheterna i flertalet fall fortfarande inte kan betraktas som speciellt känsliga om de bedöms en och en. Varje uppgift för sig är ofta harmlös. Däremot kan en sammanställning eller kartläggning av en gäldenärs ekonomiska förhållanden ge en helhetsbild som kan upplevas som närgången och integritetskränkande om den görs allmänt tillgänglig. Det medför också problem att skatte- och kronofogdemyndigheter, som regelmässigt arbetar nära varandra och mellan vilka en stor mängd uppgifter byts, har diametralt olika regler för vad som skall lämnas ut och inte. Enligt vår uppfattning finns därför nu skäl att göra en annan bedömning än den som gjordes vid sekretesslagens tillkomst, nämligen att låta hänsynen till den enskildes integritet väga över och stärka sekretessen för uppgifter hos kronofogdemyndigheterna.
Vi föreslår därför att det införs ett starkare sekretesskydd inom den exekutiva verksamheten, för att komma tillrätta med de olika integritetsproblem som följer av att stora mängder information som kan behandlas
på automatiserad väg samlas om enskilda personer. Det bör enligt vår uppfattning ske genom att ett omvänt skaderekvisit införs i 9 kap. 19 § sekretesslagen, dvs. att sekretess skall gälla om det inte står klart att uppgifterna kan röjas utan att den enskilde lider skada eller men.
Betydelsen för andra verksamheter av den starkare sekretessen
Vårt förslag om ett förstärkt sekretesskydd för vissa uppgifter inom exekutionsväsendet innebär en väsentlig förändring av handläggningen hos kronofogdemyndigheterna. Ett antal uppgifter som i dag lämnas ut kommer, om vårt förslag vinner gehör, i fortsättningen att sekretessbeläggas. Det finns därför skäl att överväga om man samtidigt behöver införa sekretessbrytande regler, så att uppgifter som även i fortsättningen bör lämnas ut inte sekretessbeläggs. Vår avsikt är givetvis att t.ex. skattemyndigheterna och Tullverket i samma utsträckning som i dag skall få ta del av uppgifter hos kronofogdemyndigheterna. Vi bedömer emellertid att det i den delen inte skall uppstå något problem. Bestämmelserna i 14 kap.1 och 3 §§sekretesslagen torde här vara tillräckliga för att uppgifter skall kunna lämnas ut på samma sätt som i dag.
Det är mer tveksamt hur man skulle hantera utlämnande av uppgifter till andra än statliga myndigheter, t.ex. till konkursförvaltare. Reglerna i 14 kap.1 och 3 §§sekretesslagen är då inte tillämpliga. Ett betydelsefullt samarbete förekommer idag mellan kronofogdemyndigheterna och konkursförvaltarna, varvid förvaltaren får ta del av de uppgifter om gäldenären som kan vara till nytta vid förvaltningen. Härigenom kan förvaltningen snabbare komma igång samtidigt som dubbelarbete undviks. I vissa fall är samarbetet dessutom av avgörande betydelse för att värdefull egendom skall kunna tas om hand av förvaltaren. Enligt vår uppfattning bör dessa uppgifter även i fortsättningen lämnas ut till förvaltaren. Vi har därför övervägt om det behövs en speciell regel om utlämnande av uppgifter till konkursförvaltaren av samma slag som finns i 9 kap.1 och 2 §§sekretesslagen beträffande revisionspromemorior. De uppgifter som lämnas till konkursförvaltarna är inte alltid av sådan art att man kan säga att det inte leder till skada eller men om uppgifterna lämnas ut. Förvaltarnas behov av uppgifter är dock av sådan art att det utlämnande som i dag sker inte bör begränsas. Det bör därför införas en regel om att uppgifter får lämnas ut till konkursförvaltare.
9.4.7. Verksamhet som bör omfattas av sekretessen
En fråga som vi anser bör tas upp i detta sammanhang gäller begreppet ”exekutiv verksamhet” i 9 kap. 19 § sekretesslagen. När den lagen infördes fanns, som vi nämner ovan, inte lagen om indrivning av statliga fordringar. Efter den senare lagens tillkomst har det ifrågasatts om kronofogdemyndigheternas uppgift att företräda staten i allmänna mål, i sekretesshänseende omfattas av begreppet ”exekutiv verksamhet”. Den omständigheten att uppgifter hos kronofogdemyndigheterna omfattas av endast den svaga sekretessen enligt 9 kap. 19 § sekretesslagen, har medfört att det inte finns några vägledande avgöranden. När någon begär att få ta del av en handling hos en kronofogdemyndighet görs en bedömning om det är en allmän handling och om den i så fall skall lämnas ut. I flertalet fall skall den lämnas ut. Enligt vad vi har erfarit har den situationen inte varit föremål för prövning i domstol, att skaderekvisitet är uppfyllt men att det ifrågasätts om uppgiften ingår i den exekutiva verksamheten.
Om sekretesskyddet stärks på det sätt som vi föreslår kommer behovet av att precisera det område som omfattas av sekretessen att bli betydligt större än i dag. Vi föreslår därför att ”exekutiv verksamhet” i förtydligande syfte ersätts med ”utsökning och indrivning”. Enligt vår uppfattning bör i princip all tillämpning av utsökningsbalken och annan verkställighet samt arbetsuppgifterna enligt lagen om indrivning av statliga fordringar m.m. och annan lagstiftning om kronofogdemyndigheternas borgenärsuppgifter, omfattas av sekretessbestämmelsen. Det kan här påpekas att det finns föreskrifter om verkställighet som skall utföras av kronofogdemyndigheten även i annan lagstiftning än utsökningsbalken. Som exempel kan nämnas återtagning enligt konsumentkreditlagen (1992:830).
Ett annat skäl för att göra detta förtydligande är att man bör försäkra sig om att överensstämmelse råder mellan bestämmelserna i första och andra stycket i 9 kap. 19 § sekretesslagen. Det som vi föreslår skall vara sekretessbelagt enligt andra stycket, dvs. uppgifter som ingår i utsöknings- och indrivningsdatabasen, bör också vara sekretessbelagt enligt första stycket (se avsnitt 12.6). Uppgifter som finns registrerade i ett datorsystem finns ofta också på papper. Samma sekretess bör råda oavsett om en uppgift finns på papper eller om den lagras elektroniskt. Enligt vår bedömning är det väsentligt att lagstiftningen i denna del är teknikoberoende.
I utsöknings- och indrivningsdatabasen skall enligt våra förslag behandlas också uppgifter avseende ansökan om och tillsyn över näringsförbud (se avsnitt 8.4.2). Därmed kommer även dessa uppgifter att omfattas av sekretessen enligt 9 kap. 19 § andra stycket sekretesslagen
när de ingår i databasen. Det finns därför anledning att överväga om samma sekretess skall gälla för de uppgifterna som för övriga uppgifter i databasen. Principiellt anser vi att det bör råda överensstämmelse mellan vilken sekretess som gäller för uppgifter i databasen respektive för uppgifter i den verksamhet för vilken databasen förs. Det finns dessutom ytterligare skäl för att uppgifter som behandlas i verksamhet med näringsförbud skall omfattas av sekretess enligt 9 kap. 19 § sekretesslagen. I dag omfattas verksamhet med näringsförbud endast av sekretessbestämmelserna i 5 kap. 1 § sekretesslagen. Den bestämmelsen avser bara sekretess till skydd för själva verksamheten, dvs. sekretess gäller om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs. Det finns med andra ord ingen sekretessbestämmelse till skydd för den enskildes integritet. De flesta uppgifter som hanteras av kronofogdemyndigheterna kan inte anses vara känsliga i personuppgiftslagens mening. Dokumentationen vid ansökan om och tillsyn över näringsförbud utgör emellertid ett undantag. I den verksamheten är det mer vanligt än i övrig verksamhet att kronofogdemyndigheterna kommer in på frågor om hälsa och brottsmisstanke m.m., dvs. uppgifter som kan vara särskilt integritetskänsliga. Enligt vår bedömning är sådana uppgifter lika skyddsvärda som de uppgifter som förekommer i verksamheten med utsökning och indrivning. Vi föreslår därför att alla åtgärder som kronofogdemyndigheterna vidtar enligt lagen om näringsförbud, både vad gäller tillsyn och ansökan, skall omfattas av det omvända skaderekvisitet.
9.4.8. Uppgifter som inte bör omfattas av sekretess
Vissa uppgifter hos kronofogdemyndigheterna är i dag helt undantagna från sekretess enligt 9 kap. 19 § sekretesslagen. Det gäller uppgifter om förpliktelser och beslut i mål eller ärenden. För dessa uppgifter finns det således inget sekretesskydd. De skall alltid lämnas ut om någon begär att få ta del av dem. Det kan nämnas att det är endast dessa uppgifter som med hjälp av automatiserad behandling lämnas ut till kreditupplysningsföretagen.
Enligt vår bedömning kommer det även i fortsättningen att finnas behov av att vissa uppgifter är undantagna från sekretess. Vad som bör övervägas är vilka uppgifter som skall ingå i denna grupp. Ett skäl att se över dessa bestämmelser är att uppgifterna sprids på ett annat sätt i dag än tidigare. Det är t.ex. vanligt att hyresvärdar inte hyr ut till personer som är registrerade hos kronofogdemyndigheten. Ofta görs då ingen bedömning av de uppgifter som finns registrerade. Vi har i och för sig
stor förståelse för att en hyresvärd vill försäkra sig om att en presumtiv hyresgäst kommer att göra rätt för sig. Varje kontakt med kronofogdemyndigheten är dock inte en säker indikation på kommande misskötsamhet. Också uppgifter hos kreditupplysningsföretagen har stor genomslagskraft. Dessa företag är i dag betydligt mer effektiva än tidigare. De har mer upplysningar och gör effektivare sammanställningar, samtidigt som utlämnandet av uppgifter också är effektiviserat.
Vad det innebär att vara registrerad hos kronofogdemyndigheterna framgår bl.a. av att det årligen till myndigheter inom exekutionsväsendet kommer in ett stort antal framställningar om gallring ur utsökningsregistret. Under första halvåret 1999 fick Riksskatteverket in ca 550 ansökningar om gallring och kronofogdemyndigheterna uppskattningsvis lika många. Gäldenärens motiv är vanligen att upplysningen har lämnats vidare till kreditupplysningsföretag och att han eller hon därigenom har hindrats från att få t.ex. ett telefonabonnemang eller en kredit till sitt företag. Den registrerade åberopar ofta den övergångsvis gällande bestämmelsen i 8 § datalagen, som föreskriver att den registeransvarige är skyldig att utreda och rätta om en oriktig eller missvisande uppgift förekommer i ett personregister. De skäl som vanligtvis åberopas för att en uppgift skall gallras är att införandet i utsökningsregistret berodde på olyckliga omständigheter och inte på bristande betalningsvilja. Som grund för rättelse eller gallring anförs t.ex. felaktig eller mindre smidig handläggning hos den uppdragsgivande myndigheten, att man inte har fått post trots att man anmält adressändring, sjukdom eller att en anhörig åtagit sig att betala men slarvat.
Regeringen har i två avgöranden (dnr Fi 96/3087 och Fi 98/466) indikerat hur den ser på denna fråga. I det första fallet hade en kvinna flyttat från Sverige och då meddelat sin nya adress till skattemyndigheten. Trots detta sände myndigheten påminnelsen om den obetalda kvarstående skatten till den gamla adressen, och någon inbetalning gjordes inte. Regeringen ansåg att uppgifterna i utsökningsregistret var missvisande i fråga om hennes vilja och förmåga att betala skatten och beslöt att uppgifterna skulle tas bort. I det andra fallet hade en bötfälld person registrerat en betalning via Internet. Bekräftelse på betalningen hade också sänts av banken. Betalningen hade dock inte kommit fram till mottagaren, varför beloppet så småningom överlämnades för indrivning. Regeringen beslöt på samma grund som i det först nämnda ärendet att uppgiften skulle tas bort från utsökningsregistret.
Personuppgiftslagen innehåller till skillnad från datalagen inget krav på att en uppgift skall rättas om den är ”missvisande”. Enligt datalagen är som nämnts den registeransvarige skyldig att utreda och rätta om en oriktig eller missvisande uppgift förekommer i registret. I personuppgiftslagen talas i stället om att uppgifter skall rättas bl.a. om de är fel-
aktiga eller ofullständiga (28 § samt 9 § första stycket h). Det är därför möjligt att bedömningen av de ovan nämnda fallen skulle bli en annan om personuppgiftslagens regler hade tillämpats. I exemplet där skattemyndigheten sände påminnelsen till fel adress, hade myndigheten i och för sig gjort ett fel. Om myndigheten hade handlagt ärendet riktigt, skulle skulden troligen inte ha överlämnats för indrivning. Uppgiften i utsökningsregistret avspeglade dock endast vad som faktiskt skett. Överlämnandet till kronofogdemyndigheten för indrivning av statens fordran gjordes en viss dag och den dagen var skulden obetald. Att något överlämnande inte borde ha ägt rum är en annan sak och innebär enligt vår uppfattning inte att uppgiften i utsökningsregistret i sig kan bedömas vara oriktig (jfr. avsnitt 7.2.2 om vår syn på vad som är oriktig uppgift).
Enligt vår mening är det i vissa fall olämpligt och allvarligt från integritetssynpunkt att uppgifter om t.ex. en betalningsförsening är allmänt tillgängliga hos kronofogdemyndigheterna, och dessutom lämnas vidare till kreditupplysningsföretag. Som exempel kan tas de ovan refererade fallen då överlämnande för indrivning berodde i ena fallet på förbiseende från skattemyndigheternas sida och i andra fallet på ett tekniskt fel som den betalningsskyldige knappast kunde förutse. Andra exempel på när det kan vara olämpligt att uppgifter blir offentliga hos kronofogdemyndigheterna är när en sak är tvistig och gäldenären har överklagat domen, när gäldenären har en kvittningsgill motfordran eller när gäldenären av någon orsak som inte berodde på honom eller henne inte har haft möjlighet att betala innan ansökan gjordes till kronofogdemyndigheten.
Det finns olika alternativa metoder för att hindra att uppgifter, när det inte är önskvärt, lämnas ut till exempelvis kreditupplysningsföretag. Ett alternativ är givetvis att uppgifterna förstörs, dvs. gallras. Ett annat är att uppgifterna blockeras. Med blockering avses enligt personuppgiftslagen att uppgiften spärras och förses med information om varför den är spärrad. Det finns emellertid nackdelar med att i fall som de ovan nämnda rätta uppgifter genom att gallra eller blockera dem. Det primära syftet med utsökningsregistret, liksom med den av oss föreslagna utsöknings- och indrivningsdatabasen, är att vara ett arbetsredskap för kronofogdemyndigheterna. Tar man bort uppgifter eller blockerar dem, kan den enskilda handläggaren inte se vad som har förekommit i det aktuella målet. Om handläggaren gör sökningar i datorsystemet, kan det förefalla som om den aktuella uppgiften aldrig hade existerat. Detta kan medföra såväl förvirring hos som merarbete för handläggaren. En annan nackdel med att hänvisa den enskilde till att begära rättelse, är att det som regel innebär mycket jobb för den enskilde att få reda på hur man går tillväga. Detta kan upplevas som orättvist av den som är mindre väl
bevandrad i hur samhället fungerar. Gallring eller blockering är således enligt vår bedömning ingen bra utväg i de nämnda fallen.
Enligt vår uppfattning är det mer ändamålsenligt att se över vilka uppgifter som aldrig skall omfattas av sekretess enligt 9 kap. 19 § sekretesslagen. Det är också här svårt att finna en avgränsning som är enkel att hantera. Att – för att sekretess skall gälla för en uppgift av det aktuella slaget – ställa som krav att det är ursäktligt att betalning inte skett i tid skulle enligt vår bedömning innebära en orimlig hantering för kronofogdemyndigheterna. Vi föreslår därför i stället att det i 9 kap. 19 § sekretesslagen förs in ett krav på att uppgifter skall gälla förpliktelse som avses med den sökta verkställigheten i ett pågående mål, för att uppgifterna skall vara undantagna från sekretess. I och med att betalning sker är målet avslutat och uppgiften upphör då att vara allmänt tillgänglig. Även i de fall då en skuld går till indrivning eller utmätning och först därigenom betalas till fullo, skulle förpliktelsen med det angivna förslaget inte komma att vara allmänt tillgänglig sedan målet har avslutats. Detta kan möjligen framstå som mer betänkligt, men det skall beaktas att beslutet om utmätning eller konstaterandet att gäldenären saknar utmätningsbara tillgångar i dessa fall fortfarande är tillgängligt. Det kommer alltså att finnas kvar icke sekretessbelagd information om att gäldenären har varit försumlig i betalningshänseende.
9.4.9. Den förändrade sekretessens betydelse för kreditupplysningsverksamheten
Ett av de ändamål som vi vill uppnå genom det förslag som vi redovisar i föregående avsnitt, är att enskilda skall skyddas mot att missvisande uppgifter om dem hos kronofogdemyndigheterna görs allmänt tillgängliga. För att förslaget i det avseendet skall få den avsedda effekten, måste användningen av de aktuella uppgifterna i kreditupplysningsverksamhet ses över. Som vi nämner ovan lämnas endast uppgifter som aldrig kan omfattas av sekretess ut till kreditupplysningsföretagen. Uppgifter som efter att de har lämnats till ett kreditupplysningsföretag ändrar status och således inte längre är undantagna från sekretess hos kronofogdemyndigheterna, bör enligt vår uppfattning inte få användas vid kreditupplysning utan i stället gallras hos företaget. Det bör enligt vår mening åligga kronofogdemyndigheterna att sända en underrättelse om detta till kreditupplysningsföretaget. En fördel med en reglering som innebär att uppgifter om förpliktelser inte får användas för kreditupplysningsverksamhet när ett mål är avslutat – utöver att det innebär ett skydd för enskildas integritet – är att den skapar incitament för gäldenären att betala innan
kronofogdemyndigheten behöver vidta någon åtgärd utöver att underrätta gäldenären om att målet är registrerat.
Vad ett sådant förslag skulle innebära för kreditupplysningsverksamheten kan åskådliggöras med följande exempel. Ett mål om indrivning mot en person registreras hos kronofogdemyndigheten och uppgift om detta lämnas för att användas vid kreditupplysning. Skulden betalas innan kronofogdemyndigheten vidtar några åtgärder utöver att skicka underrättelse till den enskilde om att målet är registrerat. Uppgiften får då inte längre användas vid kreditupplysning och skall gallras ur kreditupplysningsföretagets register. Om i nämnda exempel kronofogdemyndigheten däremot vidtar en åtgärd, t.ex. beslutar om löneutmätning, kan den senare uppgiften lämnas ut och får användas vid kreditupplysning även efter att skulden är betald.
Mot förslaget kan invändas att uppgifter om en gäldenär kan lämnas ut för kreditupplysning under perioden från det att ett mål kommer in till dess att skulden betalas. I kreditupplysningar som lämnas efter betalningen kommer den däremot inte att finnas med. Detta kan tyckas något slumpartat, men får enligt vår mening anses godtagbart. Vilka uppgifter som ingår i en kreditupplysning är alltid beroende av vid vilken tidpunkt upplysningen begärs. En motsvarande situation kan uppstå redan i dag om en kreditupplysning begärs i nära anslutning till den tidpunkt när uppgift om skulden skall gallras hos kreditupplysningsföretagen enligt de i dag gällande bestämmelserna.
För kreditupplysningsföretagen kan vårt förslag tyckas innebära att kvaliteten på kreditupplysningarna i viss mån bli sämre. En närmare analys av förslaget visar dock enligt vår uppfattning att den inte enbart är till det sämre för kreditupplysningsföretagen. En del av de uppgifter som kreditupplysningsföretagen enligt förslaget inte kommer att få, omfattas i dag av en form av dubbelrapportering. Det stora flertalet mål hos kronofogdemyndigheterna utgörs antingen av allmänna mål eller av enskilda mål där utsökningsurkunden utgörs av ett utslag från den summariska processen. Samtliga utslag i mål om betalningsföreläggande rapporteras särskilt till kreditupplysningsföretagen. Att det inte dessutom rapporteras att sökanden har begärt verkställighet i ett sådant mål förrän efter att kronofogdemyndigheten har vidtagit någon åtgärd, bör enligt vår mening vara av mindre betydelse för kreditupplysningsverksamheten. De allmänna mål som inte kommer att rapporteras enligt vårt förslag är, som vi redovisar ovan, i många fall mål där betalningsförsummelsen beror antingen på omständigheter som gäldenären inte rådde över eller på missförstånd från hans sida. Grunden för ansökningen är med andra ord inte gäldenärens bristande betalningsvilja eller betalningsförmåga. Enligt vår uppfattning kommer kreditupplysningarnas kvalitet att
förbättras när uppgifter om mål som inte beror på ovilja eller oförmåga att betala utmönstras.
Sammantaget måste en avvägning göras mellan dels intresset av att skydda de personer som i dag mer eller mindre utan egen förskyllan hamnar i kreditupplysningsföretagens register, dels kreditupplysningsföretagens intresse att få så många upplysningar som möjligt från kronofogdemyndigheterna. Enligt vår uppfattning talar denna avvägning för vårt förslag.
En alternativ ändring av reglerna för kreditupplysningsverksamhet skulle kunna vara att uppgifter från kronofogdemyndigheterna inte får registreras förrän efter t.ex. tre veckor. Betalar gäldenären inom denna tid registreras inte uppgiften. Enligt vår uppfattning är detta ett sämre alternativ. Det skulle avsevärt försämra uppgifternas aktualitet hos kreditupplysningsföretagen. Gäldenärer som inte betalar och har allvarliga betalningssvårigheter skulle få ytterligare tre veckors respit innan krediter eller andra åtgärder stoppades. En gäldenär som gör invändning mot betalningskravet skulle också drabbas av en sådan regel om kronofogdemyndigheten inte hinner utreda invändningen inom den stipulerade tiden.
Vi föreslår därför att det i kreditupplysningslagen införs en bestämmelse som innebär att när en uppgift som har hämtats in från exekutionsväsendets databaser inte längre omfattas av undantaget från sekretess, på grund av att det aktuella målet inte är pågående, skall uppgiften gallras så snart det kan ske och senast innan en upplysning lämnas om den uppgiften avser. De särskilda bakomliggande frågor som rör kreditupplysningsföretagens möjligheter att få uppgifter från skatte- och kronofogdemyndigheter på medium för automatiserad behandling, redovisas i avsnitt 9.5.
9.5. Utlämnande av uppgifter på medium för automatiserad behandling för kreditupplysningsverksamhet
Enligt vår bedömning bör uppgifter inom skatteförvaltningen och exekutionsväsendet som inte omfattas av sekretess, få lämnas ut på medium för automatiserad behandling till den som har tillstånd som avses i 3 § kreditupplysningslagen att bedriva kreditupplysningsverksamhet. Uppgifter som grundar sig på brott skall inte få lämnas ut.
Bestämmelser med angiven innebörd bör återfinnas i förordningar till de av oss föreslagna lagarna om behandling av uppgifter i skatteförvaltningens och exekutionsväsendets verksamheter
Kreditupplysningslagen innehåller bestämmelser om vilka uppgifter som får behandlas i kreditupplysningsverksamhet. Av lagen följer bl.a. att kreditupplysningar om fysiska personer som inte är näringsidkare inte får innehålla uppgifter om andra betalningsförsummelser än sådana som slagits fast av domstol eller någon annan myndighet eller som har lett till skuldsanering, betalningsinställelse, konkursansökan eller ackord. Inte heller får känsliga uppgifter som t.ex. uppgifter om en persons ras, etniska ursprung, hälsotillstånd m.m. behandlas. Dessa uppgifter får inte heller lagras i ett register. Den närmare regleringen av vilka uppgifter kreditupplysningsföretagen har rätt att registrera finns i dag i tillstånd från Datainspektionen.
I departementspromemorian Kreditupplysningslagen – anpassningen till dataskyddsdirektivet (Ds 1998:44) föreslås att personuppgiftslagens regler skall gälla för behandling av personuppgifter i kreditupplysningsverksamheten om inte annat föreskrivs i kreditupplysningslagen. Förslaget innebär att det i framtiden inte kommer att krävas något särskilt tillstånd av Datainspektionen som reglerar vilka uppgifter kreditupplysningsföretagen får registrera. Företagens möjligheter att behandla uppgifter kommer i stället att avgränsas genom de grundläggande krav som finns i personuppgiftslagen. De uppgifter som behandlas får t.ex. inte vara oförenliga med ändamålet med behandlingen och de skall vara relevanta för detsamma. De begränsningar som i dag finns i kreditupplysningslagen i fråga om rätten att behandla uppgifter föreslås dock vara kvar i stort sett oförändrade.
Kreditupplysningsföretagen hämtar en stor mängd information från skatte- och kronofogdemyndigheterna. Utlämnandet av uppgifter på medium för automatiserad behandling från utsökningsregistret och registret för betalningsföreläggande och handräckning till kreditupplysnings-
företagen regleras i dag genom beslut från Datainspektionen. Enligt ett medgivande från Datainspektionen (dnr 5363-97) får uppgifter om avgifter och skatter lämnas ut i den mån de inte omfattas av sekretess. Uppgifterna får heller inte grunda sig på brott. De medgivanden som lämnats i fråga om utlämnande på medium för automatiserad behandling från kronofogdemyndigheternas register kommer inte att gälla efter den 1 oktober 2001.
I de lagar som reglerar behandlingen av uppgifter i myndigheternas verksamheter föreslår vi en bestämmelse som innebär att uppgifter får lämnas ut till enskilda med hjälp av automatiserad behandling endast enligt föreskrifter som meddelas av regeringen (se avsnitt 6.6.2). Bestämmelser om utlämnande av uppgifter till kreditupplysningsföretagen på medium för automatiserad behandling bör därför tas in i förordningar till de aktuella lagarna (se exemplet på förordning i bilaga 2). Bestämmelserna bör enligt vår uppfattning i grunden motsvara de tillstånd som Datainspektionen har lämnat. Uppgifter bör således få lämnas ut på medium för automatiserad behandling till kreditupplysningsföretagen i den mån de inte grundar sig på brott och utlämnandet inte strider mot sekretesslagen eller annan författning. Det bör alltså framhållas att en föreskrift om att uppgifter får lämnas ut på medium för automatiserad behandling inte skall vara en sekretessbrytande bestämmelse. Innebörden är i stället att uppgifter som kan lämnas ut med stöd av bestämmelserna i sekretesslagen, får lämnas ut med hjälp av automatiserad behandling. Bestämmelserna innebär inte heller någon ovillkorlig rätt för ett kreditupplysningsföretag att få ut uppgifter. Möjligheten för skatte- och kronofogdemyndigheter att lämna ut uppgifter på automatiserad väg, innebär givetvis inte heller att andra uppgifter kan lämnas ut än de som kreditupplysningsföretagen får behandla enligt kreditupplysningslagen.
Prövningen av vilka uppgifter som kan lämnas ut utan hinder av sekretess skall enligt sekretesslagen göras av den myndighet som har att pröva en begäran om utlämnande, dvs. myndigheter inom skatteförvaltningen och exekutionsväsendet. Förutom en prövning av om uppgifterna kan lämnas ut med stöd av de grundläggande bestämmelserna i 9 kap.1 och 19 §§sekretesslagen, måste ett utlämnande även föregås av en prövning enligt 7 kap. 16 § samma lag. Enligt den sist nämnda bestämmelsen gäller sekretess för en personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Det kan givetvis i många fall vara svårt för skatteoch kronofogdemyndigheterna att göra en bedömning av om ett utlämnande strider mot bestämmelsen i 7 kap. 16 § sekretesslagen. Det gäller särskilt när utlämnandet sker på medium för automatiserad behandling.
Det utlämnande som i dag görs på sådant medium har föregåtts av en prövning av Datainspektionen. Vi har därför övervägt om det även i fortsättningen bör ligga på inspektionen att ta ställning till sådant utlämnande. Datainspektionen är den myndighet som meddelar tillstånd till kreditupplysningsverksamhet och även utövar tillsyn över verksamheten. Inspektionen har således den kunskap om kreditupplysningsverksamhet som kan behövas för att bedöma om det finns ett sådant behov av uppgifterna att de bör lämnas ut med hjälp av automatiserad behandling. Vi har emellertid stannat för att det bör ankomma på Riksskatteverket samt skatte- och kronofogdemyndigheterna att göra denna bedömning. Det är dessa myndigheter som skall göra prövningen av om uppgifter kan lämnas ut eller om hinder mot utlämnandet föreligger på grund av bestämmelserna i sekretesslagen eller annan författning.
Något hinder kan inte gärna anses föreligga mot att lämna ut uppgifter i de fall uppgifterna inte kommer att omfattas av den skärpta sekretess som vi föreslår (se avsnitt 9.4). Om kreditupplysningsföretagen däremot vill ha nya typer av uppgifter måste en ny bedömning göras. Eftersom kreditupplysningsföretagens behov av uppgifter har ansetts tillgodosett genom de uppgifter de får i dag, bör det enligt vår uppfattning krävas starka skäl för att lämna ut ytterligare uppgifter. Det kan vara lämpligt att en myndighet som får en sådan begäran samråder med Datainspektionen, innan myndigheten fattar beslut i frågan om utlämnande. Den föreslagna skärpningen av sekretessen innebär också en begränsning av kreditupplysningsföretagens möjlighet att hämta in nya typer av uppgifter. Om den föreslagna ändringen i sekretesslagen inte skulle genomföras i enlighet med vårt förslag, kan det enligt vår uppfattning finnas skäl att i det fortsatta lagstiftningsarbetet överväga om det finns anledning att begränsa utlämnandet av uppgifter från skatteförvaltningens och exekutionsväsendets databaser.
9.6. Kronofogdemyndigheternas tillgång till uppgifter från
Tullverket
Vårt förslag: Tullverket skall på begäran tillhandahålla kronofogdemyndigheterna uppgifter som förekommer hos Tullverket och som rör import eller export av varor.
Enligt 118 § tullagen (1994:1550) skall Tullverket på begäran tillhandahålla Sveriges Riksbank, Riksskatteverket, Statens livsmedelsverk,
Statens jordbruksverk, Kommerskollegium, skattemyndighet, Statistiska centralbyrån, Kemikalieinspektionen och Fiskeriverket uppgifter som förekommer hos Tullverket och som rör import eller export av varor.
Riksskatteverket har i svar på en enkät från Ekobrottsberedningen anfört att kronofogdemyndigheterna i sin verksamhet har minst lika stort behov av sådana uppgifter som avses i 118 § tullagen som de i bestämmelsen uppräknade myndigheterna, och föreslog därför en lagändring som skulle ge kronofogdemyndigheterna tillgång till uppgifterna. De uppgifter som avses i 118 § tullagen finns samtliga tillgängliga i tulldatasystemet och möjligheten för kronofogdemyndigheterna att få direktåtkomst till uppgifter i tullregistret har därför nära koppling till frågan om rätten att få uppgifter med stöd av bestämmelsen i tullagen. Ekosekretessutredningen har inom ramen för sitt uppdrag (dir. 1997:61) övervägt frågan om att låta kronofogdemyndigheterna få tillgång till uppgifter om import och export från Tullverket. Med anledning av den näraliggande kopplingen till frågan om kronofogdemyndigheternas direktåtkomst till tulldatasystemet har vi dock, i samråd med Ekosekretessutredningen, ansett att frågan om införandet av sekretessbrytande bestämmelser i tullagen kan behandlas inom ramen för vårt uppdrag.
På samma sätt som uppgifter från skattemyndigheterna kan uppgifter från Tullverket vara av stor betydelse för kronofogdemyndigheterna i arbetet med att få en ekonomisk bild av gäldenärer och med stöd av denna besluta om lämpliga indrivningsåtgärder. Uppgifter om import och export kan ge upplysningar om att en gäldenär driver affärsverksamhet utomlands, vilket i sin tur kan utgöra grund för en begäran om handräckning i utlandet. Uppgifter från Tullverket kan även ge upplysningar om eventuella tillgångar i utlandet eller vara en indikation på att gäldenären saknar utmätningsbara tillgångar.
Det är uppenbart att kronofogdemyndigheterna kan dra stor nytta av att få en garanterad tillgång till uppgifter om import och export från Tullverket i sin exekutiva verksamhet. Uppgifterna kan inte heller anses vara av sådan känslig natur att det finns några hållbara skäl för att under gällande omständigheter inte medge kronofogdemyndigheterna tillgång till de aktuella uppgifterna. Vi föreslår därför att 118 § tulllagen kompletteras så att Tullverket på begäran skall tillhandahålla kronofogdemyndigheterna uppgifter som förekommer hos Tullverket och som rör import eller export av varor. Den näraliggande frågan om kronofogdemyndigheternas direktåtkomst till uppgifter i tulldatabasen behandlar vi i avsnitt 8.4.14.
9.7. Den externa mottagningsfunktionen i tulldatasystemet
Det bör enligt vår mening i tullagen införas en bestämmelse som reglerar möjligheten för regeringen eller den myndighet som regeringen bestämmer att överlämna till en juridisk person att förmedla uppgifter i elektroniska dokument till och från tulldatasystemet.
Av 11 § tullagen (1994:1550) framgår att Tullverket i sin verksamhet enligt tullagstiftningen har ett system för automatisk databehandling, tulldatasystemet (TDS). Vi redovisar i avsnitt 3.5.2 kortfattat funktionen med den elektroniska dokumenthanteringen i TDS, vilken bl.a. innebär att importörer och exportörer i stor omfattning kommunicerar med Tullverket genom användandet av standardiserade elektroniska meddelanden som förmedlas av en extern mottagningsfunktion. Den funktionen sköts av en från Tullverket fristående servicebyrå. Regleringen av användandet av en sådan extern funktion finns i dag i 9 § tullregisterlagen (1990:137), där det anges att regeringen eller den myndighet som regeringen bestämmer får överlämna till en juridisk person att förmedla uppgifter i elektroniska dokument till och från Tullverket. I nämnda paragraf finns även bestämmelser om tystnadsplikt i sådan förmedlingsverksamhet. Andra bestämmelser om definition och hantering av elektroniska dokument återfinns i 12–15 §§ tulllagen. I 13 § sägs t.ex. att om uppgifter i ett elektroniskt dokument förmedlas genom annan myndighet än Tullverket eller genom juridisk person efter bemyndigande enligt 9 § tullregisterlagen anses dokumentet ha kommit in till Tullverket när det tagits emot och kan antas ha avskilts för Tullverkets räkning hos förmedlaren.
Enligt vår mening har en bestämmelse om möjligheten för regeringen eller den myndighet regeringen bestämmer att till en juridisk person överlåta förmedlingen av elektroniska dokument sin rätta plats i tulllagen, tillsammans med övriga bestämmelser om dokumenthantering. Härigenom samlas bestämmelser om förfarandet i en och samma lag, vilket innebär att onödiga hänvisningar till annan lagstiftning undviks. Tullagsutredningen, med vilken vi samrått, har i betänkandet En ny tullag (SOU 1999:54) föreslagit att bestämmelsen i 9 § tullregisterlagen inordnas i en ny tullag tillsammans med andra bestämmelser om tulldatasystemet. Det finns därför inte någon anledning för oss att i det avseendet nu lämna förslag på ändring i tullagen.
9.8. Användning av uppgifter ur tulldatasystemet i brottsbekämpande verksamhet
Den utveckling som pågår avseende nya funktioner i tulldatasystemet och den indelning av verksamheten som gjorts inom Tullverket, gör att det i allt fler delar av verksamheten finns ett behov av uppgifter ur tulldatasystemet.
Enligt vår uppfattning finns det behov av att i ett annat sammanhang överväga i vilken omfattning uppgifter ur tulldatasystemet får användas i de olika delarna av tullverksamheten.
I avsnitt 3.5 redogör vi för Tullverkets verksamhet och de personregister som förs i verksamheten. Tullverkets faktiska, eller operativa, verksamhet indelas i huvudprocesserna effektiv handel och gränsskydd. Behandling av personuppgifter m.m. i brottsbekämpande verksamhet regleras i lagen (1997:1058) om register i Tullverkets brottsbekämpande verksamhet. Enligt den lagen får Tullverket föra ett brottsregister som har gått under benämningen SPADI, spaningsdiariet. Behandlingen av uppgifter i den fiskala verksamheten regleras i tullregisterlagen (1990:137), enligt vilken lag Tullverket får föra ett tullregister. I praktiken utgörs tullregistret av tulldatasystemet (TDS).
Det har under senare år förekommit diskussioner med avseende på vilka möjligheter Tullverket skall ha att i den brottsbekämpande verksamheten använda sig av uppgifter ur TDS (se t.ex. betänkandet En Gräns – en myndighet, SOU 1998:18). Med anledning av den utveckling av datasystemen inom Tullverket som pågår i dag, finns det skäl för oss att kort beröra de problem som kan uppstå när det skall avgöras om behandling av uppgifter görs i den brottsbekämpande verksamheten.
Inom Tullverket pågår arbete med att utveckla och förfina arbetsmetoderna inom ramen för ett projekt som kallas Servicetrappan. Utgångspunkten för arbetet är att de operatörer, dvs. importörer, exportörer eller ombud, som bedöms vara tillförlitliga skall utsättas för ett mycket begränsat antal åtgärder när varor passerar gränsen. Tullverket skall i stället koncentrera sina resurser på de operatörer som bedöms mindre tillförlitliga samt på att genom information förebygga fel som begås av okunskap. Projektet Servicetrappan berör i första hand det kommersiella varuflödet. Enligt vad vi erfarit krävs det emellertid för att idén med Servicetrappan skall kunna genomföras och fungera som det är tänkt, att den del av Tullverket som arbetar med den brottsbekämpande verksamheten ges möjligheter att utöva sin verksamhet på ett effektivt sätt, baserat på riskanalyser. Riskanalyser görs i dag med användning av
uppgifter ur TDS i syfte att effektivisera kontrollerna av det kommersiella varuflödet. För att Tullverket på ett effektivt sätt skall kunna utföra riskanalyser som behövs i den brottsbekämpande verksamheten är det enligt vad vi erfarit av värde att den information som används inom TDS även kan utnyttjas för sådana riskanalyser. En orsak till detta är den allt större helhetssyn som genomsyrar Tullverkets verksamhet och som innebär att beröringspunkterna mellan processerna gränsskydd och effektiv handel blir allt fler.
För att åskådliggöra dels vilken betydelse det skulle ha från effektivitetssynpunkt att utnyttja TDS i brottsbekämpande verksamhet, dels de problem som kan uppstå vid gränsdragningen mellan den verksamheten och den fiskala, ges här ett exempel med verklighetsförankring.
Vid en husrannsakan i maj 1998 beslagtas ett parti cigaretter. I lokalen finns rester av cigarettpaket som är delade på mitten och innehåller stora mängder järnfilsspån. Misstanke uppstår därför om att de påträffade paketen endast utgör en mindre del av en sändning som smugglats in i landet gömda i någon form av stålbalkar. Filspånen skulle vara resultatet av att balkarna öppnats med vinkelslip. I november 1998 görs en gränskontroll av en trailer lastad med stålbalkar som anländer till Sverige. Vid kontrollen hittas 375 000 cigaretter i tomrum i balkarna. Vid den utredning som görs identifieras ytterligare sextio tidigare transporter som skett på liknande sätt.
I den situation som åskådliggörs i exemplet skulle det med hjälp av uppgifter ur TDS vara möjligt att lägga spärrar för att identifiera sändningar av stålbalkar när de anmäls till förtullning. Härigenom skulle transporterna med stor sannolikhet kunnat avslöjas i ett avsevärt tidigare skede. Det är inte möjligt att uppnå samma syfte genom att använda det register som förs för den brottsbekämpande verksamheten, SPADI, eftersom det inte innehåller de nödvändiga uppgifterna om import och export.
Det är enligt vår mening betänkligt från integritetssynpunkt att med hjälp av datorteknik använda uppgifter som lämnas för ett visst syfte, exempelvis att klarera en vara vid införsel i landet, för brottsbekämpande verksamhet. Det kan å andra sidan inte sättas i fråga att det vore värdefullt från effektivitetssynpunkt med en sådan ordning. Det ingår emellertid inte i vårt uppdrag att utreda frågan om TDS skall få användas även för denna form av brottsbekämpande verksamhet. Vi föreslår inte heller att tulldatabasen skall få användas för det syftet. På samma sätt som är fallet i dag kan det dock vid tillämpning av den av oss föreslagna lagen komma att uppstå gränsdragningsproblem. Det finns därför enligt vår mening anledning att närmare utreda de problem
som kan uppstå och hur de skall hanteras. Likaså finns det enligt vår mening skäl att se över frågan om möjligheter att i fråga om exempelvis riskanalyser använda uppgifter i TDS även för brottsbekämpande verksamhet.
10. Ikraftträdande- och övergångsbestämmelser
10.1. Lagstiftning om behandling av personuppgifter
Vårt förslag: Lagarna som reglerar behandling av personuppgifter m.m. i skatteförvaltningens, exekutionsväsendets och Tullverkets verksamheter skall träda i kraft den 1 oktober 2001.
Samtidigt med att de nya lagarna träder i kraft skall de aktuella författningar som i dag reglerar förandet av personregister i skatteförvaltningens, exekutionsväsendets och Tullverkets verksamheter upphöra att gälla. Äldre bestämmelser om gallring och innehåll i ett register skall emellertid gälla för uppgifter och handlingar som har tillförts ett register före de nya lagarnas ikraftträdande.
Bestämmelserna i de nya lagarna om grundläggande krav på behandling av personuppgifter samt behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling av personuppgifter som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
Har en begäran om registerutdrag enligt 10 § datalagen kommit in innan de nya lagarna träder i kraft men har utdraget inte expedierats före ikraftträdandet, skall framställningen anses som en ansökan om information enligt de nya lagarna.
De nya lagarnas bestämmelser om skadestånd skall tilllämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att de nya lagarna har trätt i kraft. De nya lagarnas bestämmelser om överklagande skall tilllämpas endast på beslut som fattas efter ikraftträdandet.
10.1.1. Bestämmelser om ikraftträdande
Dataskyddsdirektivet antogs den 24 oktober 1995. Av artikel 32.1 och 2 framgår att medlemsstaterna senast tre år efter det datumet skall sätta i kraft de lagar och andra författningar som är nödvändiga för att följa direktivet. I fråga om sådan behandling som redan pågår när de nationella bestämmelser som antas till följd av direktivet sätts i kraft, skall medlemsstaterna se till att behandlingen senast tre år från det datumet bringas i överensstämmelse med direktivets bestämmelser. För viss manuell behandling gäller i stället att medlemsstaterna får föreskriva att behandlingen skall bringas i överensstämmelse med direktivets bestämmelser senast tolv år efter direktivets ikraftträdande.
I enlighet med nämnda bestämmelser i dataskyddsdirektivet trädde personuppgiftslagen (1998:204) i kraft den 24 oktober 1998. Av personuppgiftslagens övergångsbestämmelser framgår att för sådan behandling som pågick vid ikraftträdandet, skall bestämmelser i datalagen (1973:289) tillämpas t.o.m. den 30 september 2001.
De lagar som vi föreslår för behandling av personuppgifter m.m. i skatteförvaltningens, exekutionsväsendets och Tullverkets verksamhet, ersätter författningar som reglerar behandling som pågick när personuppgiftslagen trädde i kraft. Som exempel på sådan behandling kan nämnas behandling i register enligt skatteregisterlagen (1980:343), utsökningsregisterlagen (1986:617) och tullregisterlagen (1990:137). Dessutom skall lagförslagen reglera behandling som pågår med stöd av tillstånd från Datainspektionen. Enligt vår mening är det därför lämpligt att våra lagförslag i fråga om automatiserad behandling träder i kraft den 1 oktober 2001, dvs. det datum då Datainspektionens tillstånd upphör att gälla och personuppgiftslagens bestämmelser i stället blir tillämpliga på sådan behandling.
Det bör påpekas att våra lagförslag kan komma att omfatta behandling av personuppgifter som har påbörjats efter den 24 oktober 1998 och för vilka bestämmelserna i personuppgiftslagen gäller fullt ut. Vad det i sådana fall rör sig om är icke författningsreglerad behandling för vilken det tidigare normalt krävdes tillstånd från Datainspektionen. För sådan behandling blir således våra lagförslag tillämpliga fr.o.m. den 1 oktober 2001.
De författningar som i dag reglerar förandet av personregister inom de för oss aktuella verksamheterna, skall upphöra att gälla i samband med att den föreslagna lagstiftningen träder i kraft. Äldre bestämmelser om gallring och innehåll i ett register skall emellertid gälla för uppgifter och handlingar som har tillförts ett register före de nya lagarnas ikraftträdande. Det innebär t.ex. att gallringsdag för uppgifter som förekommer i register enligt de i dag gällande författningarna, även efter den
1 oktober 2001 skall gallras i enlighet med de nu gällande bestämmelserna.
10.1.2. Övergångsbestämmelser
För manuell behandling skall personuppgiftslagen inte börja tillämpas fullt ut förrän den 1 oktober 2007. Våra lagförslag omfattar sådan manuell behandling som i avsaknad av särskild lagstiftning skulle omfattas av personuppgiftslagens bestämmelser. Det saknas enligt vår uppfattning anledning att låta manuell behandling av personuppgifter inom de för oss aktuella verksamheterna omfattas av lagstiftningen i annan utsträckning än vad som skulle varit fallet om endast personuppgiftslagen bestämmelser skulle vara tillämpliga. I fråga om manuell behandling som påbörjats före den 24 oktober 1998, föreslår vi därför att bestämmelserna i personuppgiftslagen om grundläggande krav på behandling av personuppgifter samt bestämmelserna i våra lagförslag om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m., inte skall börja tillämpas förrän den 1 oktober 2007. Detsamma skall gälla för manuell behandling som utförs för ett visst bestämt ändamål om manuell behandling för ändamålet påbörjades före den 24 oktober 1998.
När personuppgiftslagen trädde i kraft reglerades vissa frågor särskilt i övergångsbestämmelserna. Avseende information till registrerade angavs att om en begäran om registerutdrag enligt 10 § datalagen har kommit in innan den nya lagen träder i kraft, men utdraget inte har expedierats före ikraftträdandet, skall framställningen anses som en ansökan om information enligt den nya lagen. I fråga om skadestånd angavs att den nya lagens bestämmelser skall tillämpas bara om den omständighet som yrkandet hänför sig till har inträffat efter det att de nya lagarna har trätt i kraft. Vi anser att motsvarande övergångsbestämmelser bör gälla avseende den av oss föreslagna lagstiftningen. Det bör påpekas att för behandling av personuppgifter som har påbörjats före den 24 oktober 1998, kommer skadeståndsbestämmelserna i datalagen att vara tillämpliga när de omständigheter som yrkandet hänför sig till har inträffat innan våra lagförslag träder i kraft. För senare påbörjad behandling gäller i stället skadeståndsbestämmelsen i personuppgiftslagen eller motsvarande bestämmelse i våra lagförslag, beroende på när den omständighet som yrkandet hänför sig till har inträffat.
I datalagen och personuppgiftslagen finns inte någon särskild reglering av möjligheten att överklaga en förvaltningsmyndighets beslut i fråga om rättelse eller information till registrerade. Enligt vår mening bör de av oss föreslagna bestämmelserna om överklagande inte vara tillämpliga på beslut som myndigheterna fattar med stöd av bestämmelser i
annan lagstiftning än den av oss föreslagna. De nya lagarnas bestämmelser om överklagande skall därför bara tillämpas på beslut som fattas efter ikraftträdandet.
10.2. Övriga lagförslag
Vårt förslag: Lagen om ändring i sekretesslagen (1980:100), lagen om ändring i tullagen (1994:1550) samt lagen om ändring i kreditupplysningslagen (1973:1173) skall träda i kraft den 1 oktober 2001.
De ändringar som vi föreslår i sekretesslagen är till stor del knutna till våra lagförslag om behandling av personuppgifter m.m. inom skatteförvaltningen, exekutionsväsendet och hos Tullverket. Lagförslagen bör därför träda i kraft samtidigt, dvs. den 1 oktober 2001. Vissa bestämmelser skulle i och för sig kunna träda i kraft vid ett tidigare datum. Den föreslagna ändringen 9 kap. 19 § första stycket sekretesslagen, vilken innebär att det införs ett omvänt skaderekvisit i exekutionsväsendets exekutiva verksamhet, har ingen direkt anknytning till våra övriga lagförslag. En av de faktorer som har påverkat vår bedömning om vilken sekretess som bör gälla i den exekutiva verksamheten, har emellertid varit det nya datasystem, INIT, som är under utveckling inom exekutionsväsendet (se avsnitt 9.4). Tidpunkten för när det systemet förväntas tas i bruk sammanfaller med vårt förslag om datum för ikraftträdande av våra övriga lagförslag. Vi ser därför inga skäl för att föreslå avvikande ikraftträdandebestämmelser i den delen.
Det förslag till ändring i 118 § tullagen som innebär att kronofogdemyndigheterna skall ha rätt till information från Tullverket om import och export av varor, är inte heller beroende av våra övriga lagförslag. Enligt vår mening finns det emellertid inga starka skäl för att föreslå ett tidigare datum för ikraftträdande i den delen. Förslaget om ändring i Tullagen bör därför i sin helhet träda i kraft först den 1 oktober 2001. Förslaget om ändring i kreditupplysningslagen hör helt samman med våra lagförslag om behandling av personuppgifter inom skatteförvaltningen och exekutionsväsendet. Det saknas därför anledning att föreslå avvikande ikraftträdandedatum.
11. Konsekvenser av våra förslag
Vår bedömning är att de förslag som lämnas i betänkandet på längre sikt är kostnadsbesparande, genom de möjligheter som ges till ökad effektivitet vid informationshantering, såväl inom skatteförvaltningen och exekutionsväsendet som mellan skatte- och kronofogdemyndigheter samt Tullverket. Initialt kan emellertid vissa förslag innebära mindre kostnadsökningar, främst på grund av att de utbildningsinsatser som kan bli nödvändiga.
Av 14 § kommittéförordningen (1998:1474) framgår att om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, skall en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt skall det redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, skall utredningen föreslå en finansiering.
Utgångspunkten för vårt uppdrag har varit att dels anpassa befintlig reglering av personregister inom skatteförvaltningen, exekutionsväsendet och hos Tullverket till dataskyddsdirektivets regelverk, dels att göra en materiell översyn av framförallt register inom skatteförvaltningen och exekutionsväsendet. Därutöver har vårt uppdrag omfattat vissa särskilt angivna frågor. Vi har således utrett frågor om omfattningen av direktåtkomst till myndigheternas register, möjligheten att undanta elektroniska handlingar från myndigheternas skyldighet att lämna registerutdrag samt sekretesslagens (1980:100) bestämmelser i exekutionsväsendets exekutiva verksamhet.
Fr.o.m. den 24 oktober 2001 kommer dataskyddsdirektivets bestämmelser om behandling av personuppgifter att få genomslag på all automatiserad behandling av personuppgifter i Sverige. En anpassning av svensk lagstiftning är därför nödvändig. Denna anpassning inleddes med införandet av personuppgiftslagen (1998:273). Statskontoret har i rapporten (1998:13) Kostnader till följd av personuppgiftslagen, konstaterat att det inte är möjligt att i dagsläget uppskatta hur stora de ekonomiska konsekvenserna av personuppgiftslagens införande kommer att bli. I rapporten pekas bl.a. på osäkerheten i fråga om kostnaderna för
den informationsskyldighet som enligt såväl dataskyddsdirektivet som personuppgiftslagen åligger de personuppgiftsansvariga. Enligt vår uppfattning är det inte heller i fråga om de områden vi har haft att utreda, möjligt att uppskatta de kostnader som dataskyddsdirektivets genomslag i svensk lagstiftning kan orsaka i stort. Vi har därför valt att i första hand beskriva vilka konsekvenser våra lagförslag kan förväntas ha i de avseenden de skiljer sig från personuppgiftslagens bestämmelser samt från bestämmelserna i dagens registerförfattningar och tillstånd från Datainspektionen.
Vid en jämförelse med vad som gäller i dag, innebär våra förslag en mycket större flexibilitet i fråga om möjligheterna till informationsutbyte mellan myndigheter. Vi föreslår en utökad möjlighet att lämna ut information på medium för automatiserad behandling samt ökad direktåtkomst mellan myndigheter. Förändringarna i fråga om direktåtkomst gäller främst mellan myndigheter inom samma förvaltningsorganisation, t.ex. mellan skattemyndigheter, men även mellan skatteförvaltningen, exekutionsväsendet och Tullverket. Detta kommer att kunna medföra stora fördelar från effektivitetssynpunkt. De ekonomiska konsekvenserna är emellertid inte möjliga att beräkna, eftersom det avgörande är i vilken omfattning de möjligheter våra lagförslag ger till utökad direktåtkomst kommer att utnyttjas i framtiden. Enligt vår bedömning finns det emellertid allmänt förutsättningar för besparingar genom den ökade flexibilitet som blir följden av våra lagförslag.
Vi har utformat våra lagförslag med syfte att lagstiftningen skall bli mer teknikoberoende än i dag. Det innebär dels att vår förslag inte kommer att innebära några direkta kostnader för de aktuella verksamheterna i samband med ikraftträdandet, eftersom de datasystem som i dag utnyttjas eller är under utveckling inom skatteförvaltningen, exekutionsväsendet och Tullverket kan bibehållas utan förändringar. Samtidigt tillåter våra förslag att datasystemen i framtiden kan förändras i stor omfattning utan att det blir nödvändigt med anpassning av regelverken på lagnivå. Vi föreslår att frågor som i dag till stor del beslutas av riksdagen, i framtiden skall beslutas av regeringen eller av Riksskatteverket eller Tullverket. Det innebär enligt vår uppfattning att det kommer att finnas förutsättningar att snabbare genomföra de förändringar av regelverken som behövs för att datortekniken skall kunna utnyttjas effektivt. Även förändringar som kan krävas av de bestämmelser som reglerar behandlingen av personuppgifter m.m., till följd av ändringar i de materiella regelverk som styr verksamheterna inom skatteförvaltningen, exekutionsväsendet och hos Tullverket, bör kunna genomföras snabbare och enklare än i dag.
Vi föreslår att de för vårt uppdrag aktuella myndigheterna, utan särskild begäran därom, inte skall vara skyldiga att lämna information om
uppgifter som behandlas på automatiserad väg i elektroniska handlingar. Motsvarande bestämmelse finns i dag i skatteregisterlagen (1980:343) och utsökningsregisterlagen (1986:617), men inte i övriga aktuella registerförfattningar. Möjligheten att göra nämnda undantag ges inte heller i personuppgiftslagen. Efterhand som den elektroniska ärendehanteringen utvecklas hos myndigheterna, kan det förväntas att allt större mängder material som härrör direkt från kontakter med enskilda kommer att lagras elektroniskt. Det kan röra sig om deklarationer och ansökningar samt beslut och andra handlingar som regelmässigt skickas till parterna i ett ärende. Vår bedömning är att skatte- och kronofogdemyndigheterna, utan de föreslagna undantagen, sannolikt skulle komma att drabbas av kostnadsökningar jämfört med i dag, genom att elektroniska handlingar regelmässigt skulle behöva sändas ut till enskilda som begär information om vilka personuppgifter som behandlas om dem. För övriga myndigheter kommer förslaget sannolikt, efterhand som nya elektroniska ärendehanteringssystem utvecklas, att innebära mindre kostnadsökningar än vad som annars skulle ha varit fallet.
Våra förslag till lagar om behandling av personuppgifter m.m. kommer med nödvändighet att kräva vissa utbildningsinsatser hos de myndigheter som berörs av förslagen. Preliminära beräkningar från Riksskatteverket pekar på att det kan röra sig om kostnader i storleksordningen 5–7 miljoner kronor. Det bör därvid noteras att utbildningsinsatser till stor del är nödvändiga redan som en följd av antagandet av dataskyddsdirektivet och införandet av personuppgiftslagen. Våra förslag innebär således endast en viss ökning av planerade utbildningsinsatser. Tullverket, som i mindre omfattning än övriga aktuella myndigheter berörs av våra lagförslag, räknar preliminärt inte med några särskilda kostnader för utbildning till följd av förslagen i betänkandet.
Vid sidan av de förslag som avser behandlingen av personuppgifter i myndigheternas verksamheter, föreslår vi att det skall införas ett starkare sekretesskydd i exekutionsväsendets exekutiva verksamhet. Det kommer att krävas vissa utbildningsinsatser till följd av de föreslagna ändringarna i sekretesslagen. Initialt kan kostnader även beräknas uppstå för kronofogdemyndigheterna till följd av långsammare handläggning av ärenden som avser begäran från enskilda att få del av allmänna handlingar. Enligt Riksskatteverkets bedömning kommer en förändrad sekretesslagstiftning dock inte på sikt att märkbart påverka tidsåtgången vid handläggningen av sådana ärenden.
Sammanfattningsvis är det vår bedömning att förslagen i betänkandet initialt kommer att medföra vissa kostnader, främst till följd av att det krävs vissa utbildningsinsatser hos de aktuella myndigheterna. Dessa kostnader bedömer vi inte vara större än att de kan täckas av myndigheternas ordinarie anslag till utbildningsinsatser. På längre sikt
bör våra förslag komma att medföra besparingar genom de möjligheter som ges till ökad effektivitet vid ärendehanteringen inom främst skatteförvaltningen och exekutionsväsendet, men även hos Tullverket.
I 15 § kommittéförordningen anges att om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, skall konsekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen. Enligt vår uppfattning medför våra förslag inte några konsekvenser i angivna avseenden.
12. Författningskommentarer
I de allmänna övervägandena i 4–8 kap. finns det kommentarer till de föreslagna bestämmelserna i lagarna om behandling av personuppgifter m.m. i skatteförvaltningens, exekutionsväsendets och Tullverkets verksamheter. Vi anser det därför inte nödvändigt med särskilda författningskommentarer av traditionellt slag vad gäller de lagförslagen. För att göra det lättare att återfinna de aktuella avsnitten i de allmänna övervägandena, gör vi för de lagarna uppställningar med hänvisningar till rätt avsnitt.
12.1. Förslaget till lag om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet
Paragraf Avsnitt
1 kap. Allmänna bestämmelser
1 § 4.3.3 8.1.1
2 § 4.3.4 5.2.1
3 § 5.2.2
4 § 5.3.1
5 § 5.3.2 9.2 2 kap. Beskattningsdatabasen
1 § 6.1
2 § 6.2 8.1.2
3 § 6.2 8.1.2
4 § 6.3.1
5 § 4.3.5 6.3.2 8.1.3
6 § 6.3.3 8.1.3
7 § 6.4
8 § 6.6.2
9 § 6.7.3 6.7.4 8.1.4
10 § 6.7.5 8.1.4
11 § 6.7.4 8.1.4
12 § 6.4.5
13 § 6.8.3 8.1.5
14 § 6.8.3 8.1.5
15 § 6.8.3 8.1.5
16 § 6.9.4 6.9.5
17 § 4.4.5 3 kap. Enskildas rättigheter
1 § 7.1.1 7.1.2
2 § 7.1.3
3 § 7.2
4 § 7.3
5 § 7.4
12.2. Förslaget till lag om behandling av personuppgifter
i skatteförvaltningens folk-
bokföringsverksamhet
Paragraf Avsnitt
1 kap. Allmänna bestämmelser
1 § 4.3.3 8.2.1
2 § 4.3.4 5.2.1
3 § 5.2.2
4 § 5.3.1 2 kap. Folkbokföringsdatabasen
1 § 6.1
2 § 6.2 8.2.2
3 § 6.3.1
4 § 6.3.2 8.2.3
5 § 8.2.3
6 § 6.3.3 8.2.3
7 § 6.4
8 § 6.6.2
9 § 6.7.3 6.7.4 8.2.4
10 § 6.7.5 8.2.4
11 § 8.2.5
12 § 6.4.5
13 § 6.9.4 6.9.5
14 § 4.4.5 3 kap. Enskildas rättigheter
1 § 7.1.1 7.1.2
2 § 7.1.3
3 § 7.2
4 § 7.3
5 § 7.4
12.3. Förslaget till lag om behandling av personuppgifter
i verksamhet med val och
folkomröstningar
Paragraf Avsnitt
1 kap. Allmänna bestämmelser
1 § 4.3.3 8.3.1
2 § 4.3.4 5.2.1
3 § 5.2.2
4 § 5.3.1 2 kap. Val- och folkomröstningsdatabasen
1 § 6.1
2 § 6.2 8.3.2
3 § 6.2 8.3.2
4 § 6.3.1
5 § 6.3.2 8.3.3
6 § 6.3.2 8.3.3
7 § 8.3.3
8 § 6.3.3 8.3.3
9 § 6.4
10 § 6.6.2
11 § 6.7.3 6.7.4 8.3.4
12 § 6.7.5 8.3.4
13 § 6.7.4 8.3.4
14 § 8.3.5
15 § 6.4.5
16 § 6.8.3 8.3.6
17 § 6.8.3 8.3.6
18 § 6.9.4 6.9.5
19 § 4.4.5 3 kap. Enskildas rättigheter
1 § 7.1.1 7.1.2
2 § 7.1.3
3 § 7.2
4 § 7.3
5 § 7.4
12.4. Förslaget till lag om behandling av uppgifter
i exekutionsväsendets verksamhet
Paragraf Avsnitt
1 kap. Allmänna bestämmelser
1 § 4.3.3 8.4.1
2 § 4.3.4 5.2.1
3 § 5.2.2
4 § 5.3.1
5 § 5.3.2 2 kap. Exekutionsväsendets databaser Utsöknings- och indrivningsdatabasen
1 § 6.1
2 § 6.2 8.4.2
3 § 6.2 8.4.2
4 § 6.3.1
5 § 4.3.5 6.3.2 8.4.3
6 § 6.3.3 8.4.3
7 § 6.8.3 8.4.4 Betalningsföreläggande- och handräckningsdatabasen
8 § 6.1
9 § 6.2 8.4.5
10 § 6.2 8.4.5
11 § 6.3.1
12 § 4.3.5 6.3.2 8.4.6
13 § 6.3.3 8.4.6
14 § 6.8.3 8.4.7 Skuldsaneringsdatabasen
15 § 6.1
16 § 6.2 8.4.8
17 § 6.2 8.4.8
18 § 6.3.1
19 § 4.3.5 6.3.2 8.4.9
20 § 6.3.3 8.4.9
21 § 6.8.3 8.4.10 Konkurstillsynsdatabasen
22 § 6.1
23 § 6.2 8.4.11
24 § 6.2 8.4.11
25 § 6.3.1
26 § 4.3.5 6.3.2 8.4.12
27 § 6.3.3 8.4.12
28 § 6.8.3 8.4.13 Gemensamma bestämmelser om databaserna
29 § 6.4
30 § 6.6.2
31 § 6.7.3 6.7.4 8.4.14
32 § 6.7.4 8.4.14
33 § 6.7.5 8.4.14
34 § 6.4.5
35 § 6.9.4 6.9.5
36 § 4.4.5 3 kap. Enskildas rättigheter
1 § 7.1.1 7.1.2
2 § 7.1.3
3 § 7.2
4 § 7.3
5 § 7.4
12.5. Förslaget till lag om behandling av uppgifter
i Tullverkets verksamhet
Paragraf Avsnitt
1 kap. Allmänna bestämmelser
1 § 4.3.3 8.5.1
2 § 4.3.4 5.2.1
3 § 5.2.2
4 § 5.3.1
5 § 5.3.2 9.2 2 kap. Tulldatabasen
1 § 6.1
2 § 6.2 8.5.2
3 § 6.2 8.5.2
4 § 6.3.1
5 § 4.3.5 6.3.2 8.5.3
6 § 6.3.3 8.5.3
7 § 6.4
8 § 6.6.2
9 § 6.7.3 6.7.4 8.5.4
10 § 6.7.5 8.5.4
11 § 6.4.5
12 § 6.8.3 8.5.5
13 § 6.9.4 6.9.5
14 § 4.4.5 3 kap. Enskildas rättigheter
1 § 7.1.1 7.1.2
2 § 7.1.3
3 § 7.2
4 § 7.3
5 § 7.4
12.6. Förslaget till lag om ändring i sekretesslagen (1980:100)
9 kap. 1 §
I första stycket anges i dag att sekretess gäller för verksamhet som avser förande av eller uttag ur register som avses i skatteregisterlagen (1980:343). Den bestämmelsen är föranledd av att de uppgifter som finns i skatteregister måste omfattas av absolut sekretess även hos kronofogdemyndigheter, som har direktåtkomst till uppgifter i registren. Vi föreslår att bestämmelsen ändras så att uttrycket ”beskattningsdatabasen enligt lagen (0000:000) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet” ersätter vad som i dag sägs om skatteregister. Denna ändring är föranledd av att de uppgifter som i dag behandlas i skatteregister, i och med vårt lagförslag skall behandlas i beskattningsdatabasen. Ändringen innebär således inte någon saklig för-
ändring med avseende på de uppgifter som i dag finns i skatteregister. Beskattningsdatabasen kommer emellertid att innehålla betydligt fler uppgifter än dessa, eftersom den ersätter inte bara skatteregistren utan samtliga de register som i dag förs i beskattningsverksamheten, t.ex. punktskatteregister och fastighetstaxeringsregister. Vi gör i vårt lagförslag – med undantag för elektroniska handlingar – inte åtskillnad mellan de olika uppgifterna i beskattningsdatabasen i fråga om rätten för myndigheter utanför skatteförvaltningen att ha direktåtkomst till databasen. Samtliga uppgifter i beskattningsdatabasen bör därför omfattas av sekretessen i 9 kap. 1 § sekretesslagen med avseende på förande av eller uttag ur databasen.
I första stycket föreslår vi vidare det tillägget att sekretess skall gälla i verksamhet som avser förande av eller uttag ur tulldatabasen enligt lagen (0000:000) om behandling av uppgifter i Tullverkets verksamhet. Enligt 9 kap. 1 § sekretesslagen gäller i Tullverkets verksamhet med tull och andra skatter eller avgifter, att en uppgift får lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. Att vi föreslår tilllägget för tulldatabasen är en följd av vårt förslag att även andra myndigheter än Tullverket, närmare bestämt skatte- och kronofogdemyndigheter, skall få ha direktåtkomst till tulldatabasen. Utan bestämmelsen skulle uppgifter som hämtas från tulldatabasen inte med automatik omfattas av den hos Tullverket gällande sekretessen när de används hos kronofogdemyndigheterna. Vi föreslår i och för sig att det skall införas ett omvänt skaderekvisit även för uppgifter hos kronofogdemyndigheterna, men det förslaget omfattar inte all verksamhet hos de myndigheterna. Dessutom har regeringen enligt våra förslag möjlighet att meddela föreskrifter om att ytterligare myndigheter får ha direktåtkomst till tulldatabasen.
Genom det föreslagna nya fjärde stycket undantas vissa uppgifter hos skattemyndigheterna och Riksskatteverket från den absoluta sekretessen. För dessa uppgifter föreslår vi i stället att ett rakt skaderekvisit skall tillämpas. Bestämmelsen ersätter den sekretesslindrande bestämmelse som i dag finns i 16 § skatteregisterlagen och som avser motsvarande uppgifter i skatteregistret. Vi anser att bestämmelsen har sin rätta plats i sekretesslagen och inte i den av oss föreslagna lagen om behandling av uppgifter i skatteförvaltningens verksamhet.
Bestämmelsen i det föreslagna femte stycket innebär enligt vårt förslag att den hänvisning som i dag görs till skatteregisterlagen tas bort. Den hänvisningen avser de sekretessbrytande bestämmelser som finns i 16 § skatteregisterlagen. Vi föreslår, som framgår ovan, att de bestämmelserna skall föras över till 9 kap. 1 § fjärde stycket sekretesslagen. Någon motsvarande hänvisning behövs därför inte till den av oss före-
slagna lagen om behandling av uppgifter i skatteförvaltningens verksamhet.
9 kap. 19 §
Vi föreslår i första stycket att det för sekretess inom exekutionsväsendet i mål eller ärende angående utsökning och indrivning samt för verksamhet enligt lagen (1986:436) om näringsförbud, skall sättas upp ett omvänt skaderekvisit. Det innebär, till skillnad mot vad som gäller i dag, en presumtion för att sekretess gäller för uppgifterna hos kronofogdemyndigheterna. Innebörden av bestämmelsen redovisas ingående i avsnitt 9.4.6.
Att sekretessen enligt vårt förslag skall gälla i mål eller ärende angående utsökning och indrivning samt för verksamhet enligt lagen (1986:436) om näringsförbud, innebär att i princip all tillämpning av utsökningsbalken och annan verkställighet samt arbetsuppgifter enligt lagen (1993:891) om indrivning av statliga fordringar m.m. och annan lagstiftning om kronofogdemyndigheternas borgenärsuppgifter, omfattas av sekretessbestämmelsen. Sekretess skall även gälla för den del av kronofogdemyndigheternas verksamhet som avser ansökan om och tillsyn över näringsförbud. Frågor om vilka verksamheter som skall omfattas av sekretess redovisas närmare i avsnitt 9.4.7.
Vi föreslår att sekretess inte skall gälla för uppgift om förpliktelse som avses med den sökta verkställigheten i ett pågående mål. Med den tid under vilken ett mål är pågående avser vi tiden från det att målet kommer in till kronofogdemyndigheten till dess att det är klart att redovisas tillbaka till sökanden. För ett mål om betalning är det liktydigt med handläggningstiden enligt 4 kap. 9 § utsökningsbalken, när målet kan vara föremål för utredning, verkställighetsåtgärder eller bevakning. Är målet däremot fullbetalt eller återkallat eller har handläggningstiden gått ut, är målet inte pågående även om kronofogdemyndigheten inte hunnit återredovisa det till sökanden. Ett allmänt mål återredovisas vanligtvis inte till sökanden, utan det ligger kvar hos kronofogdemyndigheten till dess skulden betalas eller preskriberas. Allmänna mål kommer då i flertalet fall att vara pågående tills de betalas, preskriberas eller i undantagsfall återkallas av sökanden. Den närmare innebörden av bestämmelsen redovisas i avsnitt 9.4.8.
Av andra stycket framgår enligt vårt förslag att den sekretess som gäller enligt första stycket, även gäller för uppgifter som behandlas i utsöknings- och indrivningsdatabasen. Ändringen är föranledd av att de uppgifter som i dag finns i utsökningsregistret, jämte vissa ytterligare uppgifter, skall återfinnas i den nämnda databasen. Bestämmelsen inne-
bär att sekretess gäller för en viss uppgift oavsett om den lagras elektroniskt i databasen eller om den är dokumenterad på ett annat sätt i ett mål eller ärende.
Innebörden av det föreslagna nya tredje stycket är att en konkursförvaltare inte på grund av den förstärkta sekretessen skall hindras att ta del av uppgifter om en enskild vars konkurs han förvaltar. Bestämmelser med liknande innebörd finns i dag i 9 kap.1 och 2 §§sekretesslagen i fråga om uppgifter i skattemyndigheternas revisionspromemorior. Frågan behandlas närmare i avsnitt 9.4.6.
14 kap. 10 §
Ändringen i första stycket 3 är föranledd av att vi föreslår att det även i 9 kap. 19 § sekretesslagen skall införas en bestämmelse om att uppgifter får lämnas ut till konkursförvaltare oaktat att sekretess gäller för uppgifterna. Liksom skattemyndigheterna och Tullverket bör kronofogdemyndigheterna ha möjlighet att ställa upp förbehåll när sekretessbelagda uppgifter lämnas ut till konkursförvaltare. Vi föreslår dessutom ett nytt fjärde stycke i 9 kap. 1 §.
12.7. Förslaget till lag om ändring i tullagen (1994:1550)
11 §
Ändringen är föranledd av att vi föreslår att den i dag gällande tullregisterlagen (1990:137) skall upphävas och ersättas av lagen om behandling av uppgifter i Tullverkets verksamhet. I den lagen föreslås inte någon reglering av register som ingår i tulldatasystemet. I stället föreslås lagen reglera på vilket sätt uppgifter får behandlas i systemet.
118 §
Vi föreslår att förutom övriga i paragrafen angivna myndigheter, även kronofogdemyndigheter skall ha rätt att från tullverket få uppgifter som rör import eller export. Ändringen motiveras utförligt i avsnitt 9.6.
12.8. Förslaget till lag om ändring i kreditupplysningslagen (1973:1173)
Vi föreslår att det i kreditupplysningslagen skall införas en ny paragraf, 7 a §, till följd av de ändringar vi föreslår i 9 kap. 19 § sekretesslagen. Innebörden av bestämmelsen är följande. Ett kreditupplysningsföretag kan från en myndighet inom exekutionsväsendet hämta in en uppgift om förpliktelse som är föremål för verkställighet i ett pågående mål om utsökning eller indrivning, eftersom en sådan uppgift enligt vårt förslag inte skall omfattas av sekretess enligt 9 kap. 19 § sekretesslagen. När den aktuella skulden har betalats eller målet av någon annan anledning avslutas, dvs. det är inte längre pågående (se avsnitt 12.6), kommer uppgiften att omfattas av sekretess. Den myndighet som lämnat ut uppgiften skall då upplysa kreditupplysningsföretaget om uppgiftens förändrade status, varefter kreditupplysningsföretaget skall gallra uppgiften ur sina register så snart det kan ske. En kreditupplysning får inte lämnas, innan uppgiften har gallrats. Den närmare innebörden av bestämmelsen redovisas i avsnitt 9.4.9 och 9.5.
12.9. Förslagen till lagar om ändring i lagen (1994:1563) om tobaksskatt, lagen (1994:1564) om alkoholskatt samt lagen (1994:1776) om skatt på energi
I lagarna om tobaksskatt, alkoholskatt och skatt på energi, finns i dag bestämmelser om att beskattningsmyndigheten skall föra register över personer som har godkänts som upplagshavare eller som är registrerade varumottagare samt över godkända skatteupplag. Ändamålen med dessa register är att tillhandahålla skattskyldiga och behörig myndighet i Sverige eller ett annat EG-land uppgifter om godkännande och registrering. I lagarna anges vidare vilka uppgifter som får finnas i registren samt bestämmelser om utlämnande och gallring av uppgifter.
De uppgifter som i dag finns i de register som avses i lagarna, SEEDregister, får enligt våra förslag ingå i beskattningsdatabasen. I databasen får uppgifter behandlas för bl.a. samma ändamål som nämnda register. Regleringen av beskattningsdatabasen innehåller dessutom grundläggande bestämmelser om utlämnande och gallring av uppgifter. Något behov av att i särskild lag ange att det får föras register av aktuellt slag, kommer alltså inte att finnas. Preciserade bestämmelser om innehåll,
utlämnande och gallring bör återfinnas i en förordning till den föreslagna lagen om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet.
En särskild omständighet med SEED-registren är att de inte förs enbart av nationella skäl, eftersom ett av ändamålen är att förse andra EGländer med uppgifter. Det innebär att vissa av bestämmelserna i de aktuella lagarna är tvingande för Sveriges del. Motsvarande tvingande bestämmelser, t.ex. om vilka uppgifter som skall behandlas, bör även de återfinnas i en förordning till den av oss föreslagna lagen om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet (jfr exempel på förordning i bilaga 2).
12.10. Övriga lagförslag
I de författningar som redovisas under 9, 12 samt 17–19, finns upplysning om att uppgifter som avses i respektive lag får registreras i ett skatteregister. Vi anser inte att en sådan upplysning fyller någon egentlig funktion, och föreslår därför inte någon motsvarande hänvisning till den av oss föreslagna lagen om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet. De aktuella paragraferna bör i stället upphävas.
I de författningar som redovisas under 10, 11, 16 och 20 förekommer hänvisningar av olika slag till register och registerförfattningar som vi föreslår skall upphöra att gälla. Hänvisning skall i stället göras till de databaser och författningar som vi föreslår skall ersätta de som gäller i dag.
Kommittedirektiv
Översyn av skatteförvaltningens och exekutionsväsendets registerförfattningar
Dir. 1998:2
Beslut vid regeringssammanträde den 22 januari 1998
Sammanfattning av uppdraget
En särskild utredare tillkallas med uppgift att göra en översyn av de författningar som reglerar register inom skatteförvaltningen och exekutionsväsendet samt tullregisterlagen (1990:137). Utredaren skall också gå igenom de register som inte är författningsreglerade och föreslå en författningsreglering i de fall det bedöms ändamålsenligt. Översynen skall göras med utgångspunkt i den föreslagna personuppgiftslagen och EU:s dataskyddsdirektiv.
Bakgrund
Skatteregistren
Skatteregisterlagen (1980:343) trädde i kraft den 1 juli 1980. Genom lagen regleras flertalet av de register som för beskattningsverksamheten förs med stöd av ADB. Vissa register omfattas dock inte av lagen, t.ex. de register som förs för punktskatteverksamheten.
För hela landet förs ett centralt skatteregister och för varje län ett regionalt skatteregister. De regionala registren tillkom i sin nuvarande form efter beslut av riksdagen hösten 1994 (prop. 1994/95:93, bet. 1994/95:SkU15, rskr. 1994/95:158). Genom dessa ändringar blev det möjligt för skatteförvaltningen att ersätta den pappersbaserade ärendehanteringen med s.k. elektroniska akter.
Skatteregistren får användas endast för vissa i lagen preciserade ändamål. De får användas bl.a. vid inkomst- och förmögenhetstaxeringen samt vid redovisning, bestämmande och betalning av skatter och avgif-
ter. Det centrala skatteregistret får också användas för utredningar i kronofogdemyndigheternas exekutiva verksamhet, m.m.
Innehållet i registren är mycket detaljerat bestämt i 5-7 och 11 §§skatteregisterlagen.
Tillgången till uppgifterna i skatteregistren via terminalåtkomst regleras i 10 och 12 §§skatteregisterlagen. Utgångspunkten för regleringen är att uppgifterna får finnas tillgängliga på terminal endast om behovet av att snabbt och enkelt få tillgång till uppgifterna väger tyngre än den risk från integritetssynpunkt som terminalåtkomst anses medföra. Terminalåtkomst får finnas endast för de ändamål för vilka registren är avsedda. Vid skatteregisterlagens tillkomst var åtkomsten i princip begränsad till de uppgifter som hänförde sig till länet. För vissa uppgifter medgavs dock riksåtkomst. I dag medges riksåtkomst till betydligt fler uppgifter.
I fråga om de regionala skatteregistren är terminalåtkomsten till handlingarna i en elektronisk akt förbehållen det lokala skattekontor som handlägger ärendet. Till skillnad mot vad som gäller i fråga om det centrala skatteregistret är åtkomsten till de regionala registren begränsad också genom att endast vissa sökbegrepp får användas när uppgifter skall tas fram ur registren.
Övriga register för beskattningsverksamheten
För beskattningsverksamheten förs förutom skatteregistren ett taxeringsuppgiftsregister. Bestämmelser om taxeringsuppgiftsregistret finns i 16 § taxeringsförordningen (1990:1236). Registret innehåller en begränsad del av de uppgifter som får finnas i det centrala skatteregistret.
För uppbörd och annan administration av punktskatter för Skattemyndigheten i Dalarnas län ett särskilt register, BRIS (Besluts-, Redovisnings- och Informationssystem för det Särskilda skattekontoret). Registret förs med stöd av tillstånd från Datainspektionen. Ändamålet med registret är diarieföring, bokföring, skatteadministration, revision och betalningskontroll. Registret innehåller endast ett begränsat antal uppgifter, bl.a. olika identifieringsuppgifter samt uppgifter om redovisningsperioder och beskattningsår.
Skattemyndigheten i Dalarnas län för också register enligt 36 § lagen (1994:1564) om alkoholskatt, 36 § lagen (1994:1563) om tobaksskatt och 6 kap. 11 § lagen (1994:1776) om skatt på energi.
För fastighetstaxeringen förs regionala fastighetstaxeringsregister med stöd av 6 kap. 8 § fastighetstaxeringsförordningen (1993:1199). Registrens innehåll och utnyttjande har reglerats närmare i föreskrifter från Datainspektionen.
Inom skatteförvaltningen förs dessutom vissa andra register med stöd av tillstånd från Datainspektionen, bl.a. gåvoskatteregister.
En särskild kategori register utgörs av bearbetningar för revision av skatter och avgifter. Vissa bearbetningar utförs av skattemyndigheterna inom ramen för datalagen (1973:289) medan andra omfattas av den särskilda reglering som följer av lagen (1987:1231) om automatisk databehandling vid taxeringsrevision, m.m.
Utsökningsregistren m.m.
För kronofogdemyndigheternas exekutiva verksamhet förs ett centralt utsökningsregister för hela landet. Vidare får regionala utsökningsregister föras för regionerna. Bestämmelser om utsökningsregistren finns i utsökningsregisterlagen (1986:617), som trädde i kraft den 1 september 1986.
Utsökningsregisterlagen är uppbyggd på samma sätt som skatteregisterlagen. Ändamål, innehåll och terminalåtkomst är reglerade i detalj. Genom ändringar i lagen, som trädde i kraft den 1 juni 1995, har det även för kronofogdemyndigheterna blivit möjligt att införa ett system med elektroniska akter (prop. 1994/95:168, bet. 1994/95:LU27, rskr. 1994/95:305).
Kronofogdemyndigheterna för även register för handläggning av mål enligt lagen (1990:746) om betalningsföreläggande och handräckning och ärenden enligt skuldsaneringslagen (1994:334). Bestämmelser om registren finns i lagen (1991:876) om register för betalningsföreläggande och handräckning respektive förordningen (1994:348) om register för skuldsaneringsärenden.
Med stöd av tillstånd enligt datalagen får också register för konkurstillsyn och för ett planerat handläggningsstöd vid exekutiva försäljningar av fastigheter, luftfartyg, skepp och bostadsrätter föras inom exekutionsväsendet.
Riksskatteverket för med stöd av lagen (1994:1283) om lönegarantiregister ett register över vissa uppgifter om statlig lönegaranti vid konkurs (lönegarantiregister). Registret får användas för framställning av statistik.
Folkbokföringsregistren
För varje lokalt skattekontors verksamhetsområde förs ett lokalt folkbokföringsregister. Dessutom förs ett centralt referensregister för hela landet. Grundläggande bestämmelser om folkbokföringsregistren finns i lagen (1990:1536) om folkbokföringsregister. Registren används i första hand för den löpande folkbokföringsverksamheten enligt folkbokföringslagen (1991:481). Regleringen innefattar lokala register för handläggningsstöd.
För tillhandahållandet av folkbokföringsuppgifter till myndigheter finns ett särskilt register, aviseringsregistret. Bestämmelser om aviseringsregistret finns i lagen (1995:743) om aviseringsregister. Aviseringsregistret innehåller de uppgifter som behövs för att tillgodose behovet av allmänt efterfrågade folkbokföringsuppgifter.
Riksskatteverket och skattemyndigheterna för särskilda röstlängdsregister för framställning av röstlängder. Röstlängdsregistren regleras i lagen (1997:158) om röstlängdsregister. Uppgifterna i registren hämtas huvudsakligen från aviseringsregistret. För anmälan av kandidater, framställning av valsedlar och sammanställning av valresultat för Riksskatteverket och länsstyrelserna med stöd av tillstånd från Datainspektionen ett kandidatregister.
Tullregistret
I tullmyndigheternas verksamhet ingår det att fastställa och uppbära tull m.m. I denna verksamhet använder sig tullmyndigheterna av tullregistret som förs med stöd av tullregisterlagen (1990:137). Tullregistret får också användas för övervaknings-, kontroll- och revisionsuppgifter inom tullmyndigheternas område.
Tullregisterlagen utgör det rättsliga stödet för tulldatasystemet (TDS) som används för tullens fiskala verksamhet. TDS är både anpassat att utgöra datorstöd i handläggningen av tullärenden i samband med in- och utförsel av varor, kontroll, debitering m.m. och för att näringslivet skall kunna deklarera import och export samt hämta och lämna uppgifter elektroniskt via systemet.
Utredningsuppdraget
Regeringen har i proposition 1997/98:44 Personuppgiftslag lagt fram förslag till en ny datalag, personuppgiftslagen. Genom den nya lagen, som avses ersätta datalagen (1973:289), genomförs Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för
enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Lagen föreslås träda i kraft den 24 oktober 1998. Beträffande sådan behandling av personuppgifter som påbörjats vid ikraftträdandet skall dock datalagen tillämpas intill utgången av september 2001.
Införandet av personuppgiftslagen innebär att det är nödvändigt att se över de befintliga registerlagarna. De författningar som reglerar skatteförvaltningens och exekutionsväsendets register är dessutom i behov av en allmän översyn. Detta gäller särskilt skatteregisterlagen som ändrats vid ett flertal tillfällen och i många delar är svår att tilllämpa.
En särskild utredare tillkallas för att göra en översyn av skatteförvaltningens och exekutionsväsendets register och föreslå den författningsreglering som bedöms nödvändig. I utredarens uppdrag ingår också att se över tullregisterlagen. En utgångspunkt för utredningsarbetet skall vara att skapa enkla och lättbegripliga regler som är anpassade efter den tekniska utvecklingen och därvid beakta statistikens och forskningens behov.
En annan utgångspunkt skall vara att anpassa regleringen så att den tillgodoser ett generellt behov av ADB-stöd i ärendehanteringen. Den verksamhet som skatteförvaltningen, exekutionsväsendet och tullmyndigheterna ålagts att utföra förutsätter numera ADB-stöd även i själva handläggningsprocessen. De registerförfattningar som togs fram under 1970- och 1980-talen tog främst sikte på behovet av effektiva redovisningssystem. Behovet av att ha ADB-stöd även i handläggningsprocessen har uppkommit under senare år.
Författningarna bör i så stor utsträckning som möjligt utformas i överensstämmelse med den föreslagna personuppgiftslagens reglering till skydd för den personliga integriteten. Det kan dock för myndigheternas verksamhet finnas behov av särregler i förhållande till personuppgiftslagen.
Några frågor som därutöver bör tas upp behandlas i det följande.
Skatte- och utsökningsregistren
Den nuvarande regleringen av terminalåtkomsten till det centrala skatteregistret har kritiserats för att den förhindrar ett effektivt utnyttjande av registret vid revisioner och annan kontrollverksamhet. Vissa ändringar har gjorts för att underlätta skattemyndigheternas kontrollarbete. Det finns dock skäl att överväga hur åtkomsten till registret skall kunna förändras för att tillgodose de behov som finns. En utökad terminalåtkomst måste dock vägas mot behovet av skydd för den personliga
integriteten. Utredaren skall föreslå lämpliga förändringar när det gäller åtkomst till registret.
Utredaren skall också undersöka frågan om utlämnande av uppgifter från skatte- och utsökningsregistren. Utgångspunkten bör vara de i dag gällande bestämmelserna, att utlämnandet av uppgifter skall ske restriktivt och att fler uppgifter inte skall lämnas än det finns behov av. Utredaren skall undersöka om omfattningen av uppgiftsutlämnandet är lämpligt avvägd eller om det finns behov av förändringar. Även formerna för utlämnandet skall utredas mot bakgrund av att myndigheter i olika sammanhang framställt önskemål om att få tillgång till uppgifter från registren via terminal. I dag är det endast skattemyndigheter och kronofogdemyndigheter som har terminalåtkomst till skatteregistret. Terminalåtkomsten till utsökningsregistret är något vidare och omfattar även Generaltullstyrelsen och sökanden i mål eller ärenden. Från framför allt integritetssynpunkt vore det betänkligt att i ökad utsträckning tillåta terminalåtkomst till registren. Å andra sidan kan terminalåtkomst till registren effektivisera såväl de registeransvariga myndigheternas som andra myndigheters verksamhet. Utgångspunkten för utredarens arbete skall vara att terminalåtkomst skall medges endast om behovet av sådan åtkomst överväger de risker från integritetssynpunkt som terminalåtkomst kan medföra.
I detta sammanhang kan det finnas skäl att överväga om sekretesslagens (1980:100) regler behöver ändras i syfte att effektivisera skattemyndigheternas och kronofogdemyndigheternas verksamhet. Som exempel kan nämnas att den stora skillnaden i sekretesskydd mellan beskattningsverksamheten och den exekutiva verksamheten gör det svårt för kronofogdemyndigheterna att få del av den information från skattemyndigheten som behövs för indrivningen. Utredaren skall i denna del samråda med Utredningen om ökade möjligheter till informationsutbyte och frågor om sekretess vid bekämpning av ekonomisk brottslighet m.m. (Ju 1997:04).
Av 18 § skatteregisterlagen och 10 a § utsökningsregisterlagen framgår att vissa handlingar inte behöver tas med i ett registerutdrag enligt 10 § datalagen. Det rör sig bl.a. om skannade handlingar som den registrerade redan känner till, t.ex. den egenhändigt undertecknade deklarationen och annat som den registrerade sänt in till eller fått från en skattemyndighet eller en kronofogdemyndighet. Dessa undantag föranleds av den legala begränsningen i möjligheterna att söka fram uppgifter i ett sådant material. Utredaren skall undersöka om dessa undantag kan gälla även i framtiden.
Utredaren skall hålla sig underrättad om den fortsatta beredningen av Skattelagskommitténs betänkanden Inkomstskattelag (SOU 1997:2) och Uppföljning av inkomstskattelagen (SOU 1997:77) och så långt möjligt
anpassa sina författningsförslag till den kommande lagstiftningen på skatteområdet.
Uppgifter lämnas i dag i stor utsträckning på ADB-medium (disketter, m.m.). Frågan om arkivering och gallring av sådant ADB-material behöver utredas för att klarlägga vilka rutiner som bör användas för att man skall få en rationell och ändamålsenlig arkivering. Användningen av ADB i ärendehanteringen föranleder även andra frågor om arkivering och gallring. Handlingar som skannats kan finnas såväl i en elektronisk akt som i pappersurkunder. Detta medför en form av dubbellagring. Domstolar och åklagare kan dock ha behov av att få del av originalhandlingen. Utredaren skall undersöka om det finns möjlighet att effektivisera den nuvarande ordningen och föreslå de författningsändringar som behövs.
Övriga register för beskattningsverksamheten
I dag förs ett särskilt taxeringsuppgiftsregister vid sidan av skatteregistren. Registret innehåller inte några uppgifter utöver de som finns i det centrala skatteregistret och används heller inte för något ändamål som inte omfattas av skatteregisterlagen. Behovet av ett särskilt taxeringsuppgiftsregister kan därför ifrågasättas. Utredaren skall utreda om det finns något behov av registret i framtiden.
Punktskatteregistret och ett antal andra register som förs för olika områden inom beskattningsverksamheten är i dag inte författningsreglerade. Det kan ifrågasättas om inte regleringen av skatteförvaltningens register för beskattningsverksamheten skall vara enhetlig. Utredaren skall undersöka vilka register som kan regleras inom ramen för en ny skatteregisterlag.
Vissa register inom exekutionsväsendet
På motsvarande sätt som inom beskattningsområdet skall utredaren undersöka vilka register inom exekutionsväsendet som kan ges en enhetlig reglering, eventuellt inom samma lag som utsökningsregistren. Detta gäller beträffande registren för konkurstillsyn och det planerade handläggningsstödet för exekutiva försäljningar av fastigheter, luftfartyg, skepp och bostadsrätter.
Tullregistret
Tullregisterlagen är av nyare datum och är inte heller lika detaljerad som bl.a. skatteregisterlagen. Utöver en allmän översyn och anpassning av tullregisterlagen till en ny personuppgiftslag finns det skäl att peka på det arbete som pågår inom Tullverket med ett datoriserat system för riskanalys inom ramen för tulldatasystemet. Projektet syftar till att förändra arbetsmetoderna mot en mer generell inriktning och användning av riskanalyser i tullens klarerings- och kontrollarbete. Riskanalysarbetet är av en sådan betydelse att utredaren skall överväga om inte denna användning av tulldatasystemet också borde avspeglas i tullregisterlagen. Utredaren skall också hålla sig underrättad om det arbete som pågår i Tullagsutredningen (Fi 1997:03) och vid behov samråda med denna.
Redovisning av uppdraget
Utredaren skall beakta regeringens direktiv till samtliga kommittéer och särskilda utredare om att pröva offentliga åtaganden (dir. 1994:23), redovisa regionalpolitiska konsekvenser (dir. 1992:50), redovisa jämställdhetspolitiska konsekvenser (dir. 1994:124) och redovisa konsekvenser för brottsligheten och det brottsförebyggande arbetet (dir. 1996:49).
Utredningsuppdraget skall vara avslutat senast den 1 april 1999.
(Finansdepartementet)
Exempel på utformning av förordning om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet
Syftet med det nedan återgivna exemplet på förordning om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet, är endast att ge en preliminär bild av hur vi anser att en förordning kan utformas. Förordningsexemplet skall således inte uppfattas som ett komplett förslag på slutlig utformning från vår sida.
Inledande bestämmelse
1 § Beteckningar i denna förordning har samma betydelse som i lagen (0000:000) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet.
Uppgifter som får behandlas i beskattningsdatabasen
2 § Riksskatteverket skall, efter samråd med Datainspektionen, meddela föreskrifter om vilka uppgifter som enligt 2 kap. 5 § första stycket lagen (0000:000) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet får behandlas i beskattningsdatabasen.
3 § I beskattningsdatabasen skall behandlas uppgifter om personer som enligt lagen (1994:1563) om tobaksskatt, lagen (1994:1564) om alkoholskatt samt lagen (1994:1776) om skatt på energi har godkänts som upplagshavare eller som är registrerade varumottagare samt uppgifter om enligt nyss nämnda lagar godkända skatteupplag.
De uppgifter som skall behandlas enligt första stycket är namn, registreringsnummer, adress, vilken kategori av varor som får tas emot av en person eller som får lagras på ett skatteupplag, beskattningsmyndighetens adress och datum för godkännande samt den eventuella giltighetstiden för en registrering.
Utlämnande av uppgifter på medium för automatiserad behandling
4 § Uppgifter i beskattningsdatabasen får lämnas ut på medium för automatiserad behandling till den som har tillstånd som avses i 3 § kreditupplysningslagen (1973:1173) att bedriva kreditupplysningsverksam-
het, om hinder mot utlämnandet inte föreligger enligt lag eller annan författning. Uppgifter som lämnas ut får inte grunda sig på brott.
Direktåtkomst till beskattningsdatabasen
5 § En skattemyndighet får ha direktåtkomst till handlingar som avses i 2 kap. 7 § lagen (0000:000) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet, endast om handlingarna behövs i ett ärende som handläggs av skattemyndigheten eller om sådan åtkomst behövs för att skattemyndigheten skall kunna bistå en annan skattemyndighet vid handläggningen av ett ärende.
6 § En kronofogdemyndighet får ha direktåtkomst till uppgifter i beskattningsdatabasen endast om den som är registrerad som gäldenär hos myndigheten eller sambeskattad med denne eller som är sökande i ett ärende om skuldsanering enligt skuldsaneringslagen (1994:334).
Direktåtkomst enligt första stycket får inte avse uppgifter om – planerad, pågående eller avslutad revision eller annan kontrollåtgärd, – …
7 § Tullverket får ha direktåtkomst till uppgifter i beskattningsdatabasen endast om den som är föremål för kontrollverksamhet enligt 70 § tullagen (1995:1550) eller punktskattekontroll enligt lagen…
Direktåtkomst enligt första stycket får inte avse uppgifter om – …
8 § Riksskatteverket skall meddela föreskrifter om vilka uppgifter som får omfattas av direktåtkomst enligt 2 kap. 10 § första stycket lagen (0000:000) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet.
9 § Riksskatteverket får meddela föreskrifter om allmän direktåtkomst till uppgifter som avses i 2 kap. 11 § första stycket lagen (0000:000) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet.
Bevarande och gallring av uppgifter i beskattningsdatabasen m.m.
10 § Från gallring i beskattningsdatabasen skall för varje taxeringsår undantas uppgifter om
– namn, personnummer, organisationsnummer, samt särskilt registrerings- och redovisningsnummer,
– hemortskommun, – personnummer för make eller annan med vilken sambeskattning sker,
– kontrolluppgifter avseende inkomst av tjänst, inkomst av kapital och avgift för pensionsförsäkring,
– intäkter och avdrag i varje inkomstslag vid taxering till statlig och kommunal inkomstskatt,
– allmänna avdrag, – utgående och ingående mervärdesskatt när redovisning görs i särskild självdeklaration,
– antal dagar för vilka sjöinkomst har uppburits, samt – tillgångar och skulder samt skattepliktig förmögenhet. Vid utgången av varje taxeringsår skall sammanställningar av uppgifter enligt första stycket överlämnas till en arkivmyndighet. Riksarkivet skall meddela närmare föreskrifter om på vilket sätt och till vilken myndighet uppgifterna skall överlämnas.
11 § Riksarkivet får, efter samråd med Riksskatteverket, meddela föreskrifter om undantag från bestämmelserna om gallring i 1 kap. 5 § första stycket och 2 kap.13 och 14 §§ lagen (0000:000) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet.
12 § Riksarkivet får, efter samråd med Riksskatteverket, meddela föreskrifter om att uppgifter eller handlingar som undantas från gallring i beskattningsdatabasen enligt lagen (0000:000) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet skall överlämnas till en arkivmyndighet.