Till statsrådet och chefen för Finansdepartementet

Regeringen beslutade den 22 januari 1998 att tillkalla en särskild utredare för att göra en översyn av de författningar som reglerar register inom skatteförvaltningen och exekutionsväsendet samt tullregisterlagen (1990:173). Utredaren skulle också gå igenom de register som inte är författningsreglerade och föreslå en författningsreglering i de fall det bedöms ändamålsenligt. Översynen skulle göras med utgångspunkt i den då föreslagna personuppgiftslagen och EU:s dataskyddsdirektiv.

Den 30 januari 1998 förordnade statsrådet Thomas Östros kammarrättslagmannen Sten Wahlqvist att fr.o.m. den 22 januari 1998 vara särskild utredare.

Som experter har fr.o.m. den 1 mars 1998 medverkat verksjuristen Ulla Ahlqvist, verksjuristen Johan Bålman, överdirektören Claes Gränström, lagmannen Magnus Ekman, kammarrättsassessorn Roger Petersson, kammarrättsassessorn Birgitta Pettersson, kammarrättsassessorn Rickard Sahlsten och byrådirektören Olle Svenson. Kanslirådet Frank Walterson har medverkat som expert fr.o.m. den 28 september 1998.

Sekreterare åt utredningen har varit kammarrättsassessorn Peder Liljeqvist.

Utredningen har antagit namnet Registerförfattningsutredningen (Fi 1998:02).

Härmed överlämnar utredningen sitt betänkande Skatt ž Tull ž Exekution ž Normer för behandling av personuppgifter (SOU 1999:105).

Arbetet har bedrivits i nära samråd med experterna, som står bakom de förslag som läggs fram. Betänkandet är därför skrivet i viform.

Utredningens arbete är härmed avslutat.

Sammanfattning

Några allmänna utgångspunkter för uppdraget

Den 24 oktober 1998 trädde personuppgiftslagen (1998:204) i kraft. Samtidigt upphörde datalagen (1973:289) att gälla. Personuppgiftslagen har sin utgångspunkt från Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Vi har haft i uppdrag att med utgångspunkt från personuppgiftslagen och dataskyddsdirektivet, göra en översyn av de författningar som reglerar register inom skatteförvaltningen och exekutionsväsendet samt hos Tullverket. Översynen har inte omfattat register som förs i brottsbekämpande verksamhet. I uppdraget har ingått att även gå igenom de register som inte är författningsreglerade, utan som förs med stöd av tillstånd av Datainspektionen.

Vårt arbete har bedrivits från vissa givna utgångspunkter. En utgångspunkt för utredningsarbetet har varit att skapa enkla och lättbegripliga regler som är anpassade efter den tekniska utvecklingen och därvid beakta statistikens och forskningens behov. En annan utgångspunkt har varit att anpassa regleringen så att den tillgodoser det generella behovet av datorstöd i myndigheternas ärendehantering.

Vi har även haft att utreda vissa frågor särskilt. Bland dessa kan nämnas omfattningen av direktåtkomst till myndigheternas register, omfattningen av och formerna för utlämnande av uppgifter från skatte- och utsökningsregistren, myndigheternas skyldighet att lämna registerutdrag samt arkivering och gallring av ADB-material. I uppdraget har också ingått att överväga om sekretesslagens (1980:100) bestämmelser behöver ändras för att effektivisera skatte- och kronofogdemyndigheternas verksamhet, med hänsyn till den stora skillnad som i dag finns i sekretesskyddet mellan beskattningsverksamheten och den exekutiva verksamheten.

Lagar om behandling av personuppgifter m.m. i skatteförvaltningens, exekutionsväsendets och Tullverkets verksamheter

De senaste decenniernas snabba datorutveckling inom myndighetsområdet visar att den lagstiftning som reglerar användandet av datorstöd måste vara teknikoberoende och flexibel, för att inte hindra den effektivisering av verksamheterna som kontinuerligt pågår. Detta är inte minst påtagligt inom skatteförvaltningen, exekutionsväsendet och hos Tullverket. Det är ofta näst intill omöjligt för lagstiftaren att hålla jämn takt med den tekniska utvecklingen i samhället, något som är särskilt tydligt inom just dataområdet. För att inte hamna i en situation där den tekniska utvecklingen styr den rättsliga regleringen, är det enligt vår mening nödvändigt med en lagstiftning som tar sikte på principiellt viktiga frågor och inte på detaljreglering.

En central fråga som särskilt rör lagstiftningen om behandling av personuppgifter är hänsynen till enskildas personliga integritet. Det är inte möjligt att definiera exakt vad som avses med personlig integritet, något som bekräftas av att varken svensk lagstiftning eller doktrin innehåller någon enhetlig definition. Vissa faktorer är dock särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Dessa faktorer är arten av personuppgifter som samlas in och registreras och varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar. Stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg och som används vid myndighetsutövning, utgör en påtaglig risk för att enskilda personer skall utsättas för icke acceptabla intrång i den personliga sfären. Statliga myndigheters användande av datorer i sina verksamheter kan alltså i sig utgöra ett hot mot den personliga integriteten, något som vi anser måste beaktas vid utformandet av lagstiftningen. En grundläggande utgångspunkt för vårt arbete har därför varit att en författningsreglering, vilken syftar till bl.a. att underlätta myndigheters användande av datorer för att uppnå effektivitetsvinster i olika samhällsfunktioner, inte får utformas så att integritetsskyddet för enskilda urholkas eller försämras på ett oacceptabelt sätt.

Vår målsättning har varit att antalet författningar som reglerar personuppgiftsbehandling skall begränsas så långt det är möjligt. Det finns inte något värde i att dela upp sådana bestämmelser om personuppgiftsbehandling som rör en och samma verksamhet på flera författningar utan att det är sakligt motiverat. Vår målsättning har även varit att bestäm-

melser om behandling av personuppgifter skall bli så enkla som möjligt. Om strävan efter att bringa ned antalet lagar och förordningar drivs för långt, kan emellertid enkelheten riskera att bli eftersatt. En författning som består av ett antal huvudregler och ett betydligt större antal undantag underlättar inte tillgängligheten. Vår ambition har därför varit att begränsa antalet författningar i så stor utsträckning som möjligt, samtidigt som reglerna skall vara lätta att förstå. Den lösning vi har stannat för innebär att det för skatteförvaltningen skall finnas en lag som reglerar beskattningsverksamheten och en annan som reglerar folkbokföringsverksamheten. Den verksamhet som skatteförvaltningen bedriver tillsammans med bl.a. länsstyrelserna i samband med val och folkomröstningar är sådan att den motiverar en särskild lag. För exekutionsväsendet har vi däremot funnit att det finns förutsättningar för en mer enhetlig reglering av olika verksamhetsområden. Vi föreslår därför endast en lag för hela exekutionsväsendets område. I fråga om Tullverket omfattar vårt uppdrag endast ett verksamhetsområde, nämligen det fiskala. Även för den verksamheten föreslår vi en lag.

Lagarnas tillämpningsområde

Vi föreslår att lagstiftningen om behandling av personuppgifter och andra uppgifter skall vara tillämplig endast i den materiella verksamheten inom skatteförvaltningen, exekutionsväsendet och Tullverket. Behandling av uppgifter i administrativ verksamhet skall således inte omfattas av lagstiftningen. Som exempel på administrativa arbetsområden kan nämnas personal- och lokalfrågor. Vid behandling av uppgifter inom sådana områden skall i stället personuppgiftslagen tillämpas.

Den föreslagna lagstiftningen om behandling av personuppgifter i skatteförvaltningens beskattningsverksamhet samt exekutionsväsendets och Tullverkets verksamheter skall – till skillnad från personuppgiftslagen – omfatta inte endast behandling av personuppgifter, utan även behandling av uppgifter som kan hänföras endast till juridiska personer eller avlidna personer. Författningarna skall tillämpas på all automatiserad behandling av uppgifter. Det innebär att såväl vanlig ordbehandling som behandling i gemensamma databaser omfattas. På manuell behandling skall författningarna vara tillämpliga endast om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Varje lag delas in i tre kapitel. I det första kapitlet finns allmänna bestämmelser för behandling av uppgifter. Det andra kapitlet innehåller särskilda bestämmelser om behandling i gemensamma databaser. Det avslutande kapitlet i varje lag innehåller bestämmelser om vilka rättigheter

enskilda har med avseende på uppgiftsbehandling i myndighetsverksamheten.

En allmän utgångspunkt har varit att lagarna i huvudsak skall innehålla de grundläggande principerna för behandling av personuppgifter och andra uppgifter i respektive verksamhet. Detaljregler skall inte anges i lag utan i stället meddelas av regeringen eller, i vissa fall, den myndighet som regeringen bestämmer.

Allmänna bestämmelser om behandling av personuppgifter m.m.

Lagarna om behandling av personuppgifter m.m. inleds som nämnts med ett kapitel som innehåller allmänna bestämmelser, av vilka vissa skall tillämpas oavsett i vilken form uppgifter behandlas. För dessa bestämmelsers tilllämplighet saknar det alltså betydelse om uppgifter behandlas manuellt eller om de behandlas på automatiserad väg genom ordbehandling eller i särskilt inrättade gemensamma databaser.

Personuppgifter skall alltid behandlas i enlighet med de grundläggande bestämmelser som finns i personuppgiftslagen. Eftersom särskilda krav ställs på behandling av personuppgifter inom olika verksamhetsområden, kommer emellertid varje författning att innehålla bestämmelser som avviker från personuppgiftslagen. För att undvika oklarheter om i vilka fall personuppgiftslagens regler skall gälla, görs i varje författning en uttrycklig hänvisning till de bestämmelser i personuppgiftslagen som är tillämpliga. Det gäller bestämmelser om definitioner, förhållandet till offentlighetsprincipen, grundläggande krav på behandling, behandling av personnummer, säkerheten vid behandling, överföring av personuppgifter till tredje land, personuppgiftsombudets uppgifter, tillsynsmyndighetens befogenheter samt straff.

De myndigheter som kan komma i fråga som personuppgiftsansvariga vid behandling i de för oss aktuella verksamheterna är Riksskatteverket och Tullverket, de regionala skatte- och kronofogdemyndigheterna samt länsstyrelserna. Det är inte möjligt att för komplexa datasystem inom så stora myndighetsorganisationer som skatteförvaltningen och exekutionsväsendet, i lag närmare bestämma vilken myndighet som bör vara ansvarig för olika specifika behandlingar. Vi anser i stället att personuppgiftsansvaret för dessa myndighetsorganisationer skall utformas så att den myndighet på vilken det ankommer att utföra en viss behandling skall vara ansvarig för just den behandlingen. Det innebär att den myndighet som registrerar en viss uppgift ansvarar för att uppgiften är korrekt, medan en annan myndighet som senare lämnar ut uppgiften ansvarar för att utlämnandet sker i överensstämmelse med de regler som gäller för behandlingen. Tullverket utgör numera en enda myndighet, varför några problem med att fastställa personuppgiftsansvaret inte

uppstår i tullverksamheten. Genom att det i lag anges att personuppgiftsansvaret omfattar vad som ankommer på en myndighet att utföra, markeras att det finns ett ansvar inte endast för att utförd behandling är korrekt, utan även för att behandling faktiskt utförs när den skall ske.

Förutom de ovan nämnda bestämmelserna om förhållandet till personuppgiftslagen och om personuppgiftsansvar, vilka gäller för all behandling, innehåller det inledande kapitlet i respektive lag även en bestämmelse som skall tillämpas vid såväl manuell behandling som sådan automatiserad behandling som inte sker i gemensamma databaser. Bestämmelsen är således tillämplig på bl.a. ordbehandling. Vad som avses är behandling av känsliga personuppgifter m.m. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Med sådana uppgifter likställs i våra författningsförslag personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Att i detalj reglera vilka känsliga uppgifter som får behandlas i verksamheten och i vilka fall detta får ske, är inte möjligt. Det går nämligen inte att förutse de olika situationer som kan uppstå i hanteringen av ärenden. Vi anser emellertid att det av integritetsskäl är nödvändigt att i största möjliga mån begränsa användningen av känsliga personuppgifter. Det bör därför enligt vår mening vara tillåtet att behandla sådana uppgifter endast om de har lämnats i ett ärende eller om behandlingen är nödvändig för handläggningen av ett ärende. Det innebär att användandet av känsliga uppgifter begränsas till sådana tillfällen då en myndighet av handläggningsskäl måste behandla dem.

För behandling som inte sker i gemensamma databaser föreslår vi en särskild gallringsbestämmelse som skall tillämpas i skatteförvaltningens beskattningsverksamhet samt i exekutionsväsendets och Tullverkets verksamheter. Bestämmelsen innebär att uppgifter som är föremål för automatiserad behandling i ett ärende skall gallras senast ett år efter att ärendet har avslutats. Avsikten med den särskilda gallringsbestämmelsen är att förhindra att det hos myndigheterna växer fram omfattande automatiserade informationsmängder (”bra-att-ha-uppgifter”) i vilka uppgifter är lätt tillgängliga genom olika sökprogram. Med den moderna teknik som används i myndighetsverksamheten i dag, är det nämligen vanligt att stora mängder uppgifter lagras elektroniskt även på annat sätt än i särskilt reglerade personregister eller databaser. Exempelvis utarbetas en stor del av det skriftliga material som produceras av myndigheter med hjälp av ordbehandlingsprogram. Även i de fall då slutprodukten skrivs ut på papper och tillfogas akten i ett ärende, sparas informationen ofta genom att lagras elektroniskt. Sådant elektroniskt

material bör inte få lagras under någon längre tid. Regeringen eller den myndighet som regeringen bestämmer skall emellertid få meddela föreskrifter om att uppgifter skall gallras vid en annan tidpunkt eller att uppgifter skall bevaras när det finns behov av det.

Behandling i databaser

Den allmänt använda termen för ADB-baserade uppgiftssamlingar har sedan datalagens införande varit register. Detta traditionella registerbegrepp har vid flera tillfällen kritiserats, eftersom det är otidsenligt. Vi anser att begreppet inte är helt relevant i fråga om elektroniska uppgiftssamlingar som innehåller hela handlingar i ärenden. Begreppet register förekommer därför inte i den av oss föreslagna lagstiftningen om behandling av personuppgifter m.m. hos skatteförvaltningen, exekutionsväsendet och Tullverket. I stället inför vi begreppet databas som en juridisk beteckning på vissa fastställda automatiserade uppgiftssamlingar.

Med begreppet databas avser vi de elektroniskt lagrade uppgifter som av en myndighet eller myndighetsorganisation – t.ex. en skattemyndighet eller hela skatteförvaltningen – används gemensamt i en viss verksamhet. Avgörande för om uppgifterna skall anses använda gemensamt är att de behandlas på ett sätt som medför att uppgifterna utgör ”allmän egendom” i verksamheten. En uppgift som registreras och lagras i ett datasystem på ett sådant sätt att tjänstemännen inom en eller flera myndigheter har möjlighet att vid behov och i olika sammanhang – t.ex. i samband med handläggningen av ett ärende – ta del av uppgiften direkt på automatiserad väg, måste anses vara gemensamt tillgänglig och därmed utgörande en del av en databas. Som exempel kan nämnas att de uppgifter som i dag finns i skatteregister, tillsammans med andra uppgifter som används gemensamt inom skatteförvaltningen, således kommer att ingå i den föreslagna beskattningsdatabasen.

Det är väsentligt att behandlingen i databaser avgränsas genom i lag klart angivna ändamål. En uppgift skall inte få behandlas i en databas om behandlingen inte står i överensstämmelse med ändamålet med databasen. De ändamål som skall styra behandlingen kan delas in i två kategorier, primära respektive sekundära ändamål. Primära ändamål är direkt hänförliga till den verksamhet som bedrivs av personuppgiftsansvariga myndigheter medan sekundära ändamål kan hänföras till andra myndigheters eller enskildas verksamhet. De primära ändamålen bör styra vilka uppgifter som skall få föras in i en databas. För att en uppgift skall få finnas i en myndighets databas, måste uppgiften således vara av betydelse för myndighetens egen verksamhet. Det innebär att det inte skall vara tillåtet att i en databas som inrättas för en viss verksamhet behandla uppgifter som inte behövs för den verksamheten, utan som endast

är till i nytta för någon annan verksamhet. Som ett exempel kan nämnas att det i skatteförvaltningens beskattningsdatabas inte skall få behandlas uppgifter som är avsedda att användas endast i kronofogdemyndigheternas exekutiva verksamhet. Härigenom förhindras att det hos en myndighet växer fram omfattande samlingar av uppgifter som rör förhållanden utan anknytning till den egna verksamheten. En annan sak är att uppgifter som behandlas i beskattningsverksamhet kan användas även av kronofogdemyndigheterna, något som är vanligt förekommande i dag. För att annan än de myndigheter för vilka uppgifter behandlas primärt i en databas skall få tillgång till uppgifter genom direktåtkomst, är det dock enligt vår uppfattning väsentligt från integritetssynpunkt att det står i överensstämmelse med ändamålen med databasen. För att en kronofogdemyndighet i verksamhet med utsökning och indrivning skall få ha direktåtkomst till beskattningsdatabasen, skall således som ett sekundärt ändamål med den databasen anges att uppgifter får behandlas för utsökning och indrivning.

Den lagstiftning som reglerar behandling av personuppgifter m.m. bör som vi nämnt tidigare i huvudsak innehålla grundläggande principer och regler för behandlingen. Detaljbestämmelser om vilka uppgifter som får behandlas bör framgå av föreskrifter på en lägre konstitutionell nivå än lag, dvs. i förordning eller i myndighetsföreskrifter. Ett krav för en sådan ordning är dock enligt vår uppfattning att de ändamål för vilka uppgifter får behandlas är tydliga. Som nämnts ovan får uppgifter behandlas i en databas endast om de tillgodoser de primära ändamålen med databasen, nämligen att vara till hjälp i den verksamhet som den registrerande myndigheten bedriver. Vi föreslår att det i lag anges endast vilka kategorier av uppgifter som får förekomma i en databas samt att en uppgift får behandlas endast om uppgiften behövs i den verksamhet för vilken databasen inrättas. Undantag från principen att i lag ange endast de kategorier av uppgifter som får behandlas, bör emellertid göras för registrering av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. Sådana uppgifter bör endast få behandlas i elektroniska handlingar (se nedan) eller om det i lag uttryckligt anges att uppgifterna får behandlas i en databas.

En databas kommer att innehålla, förutom uppgifter för ren informationshantering, de handlingar som behandlas i elektroniska ärendehanteringssystem, dvs. bildfångade, skannade eller särskilt upprättade handlingar som lagras elektroniskt. Vi föreslår inte några legaldefinitioner på begrepp som elektronisk handling och elektronisk akt. Vår utgångspunkt är dock att med en elektronisk handling avses en begränsad mängd elektroniskt lagrade uppgifter som är direkt knutna till ett visst ärende, medan en elektronisk akt består av de elektroniska handlingarna i ett ärende. I författningarna anges endast att en databas får innehålla hand-

lingar som hör till ett ärende. I elektroniska handlingar kan det förekomma uppgifter av vitt skilda slag, även känsliga sådana, eftersom myndigheterna inte kan styra vilka enskilda uppgifter som registreras när de ingår i inkomna handlingar m.m. Vi föreslår därför att det införs begränsningar i sökmöjligheterna efter elektroniska handlingar. Som sökbegrepp bör få användas endast ärendebeteckning, beteckning på handling eller andra uppgifter som behövs för att identifiera ett ärende eller en handling.

Från en databas kan uppgifter lämnas ut med hjälp av automatiserad behandling, antingen på särskilt medium för sådan behandling eller genom direktåtkomst. För utlämnande som inte sker genom direktåtkomst, t.ex. på magnetband eller diskett eller via fasta uppkopplingar på telenätet, föreslår vi inte några begränsningar i de fall uppgifter lämnas ut till andra svenska myndigheter. Vi anser att det bör ankomma på de myndigheter mellan vilka information skall utbytas, att avgöra på vilket sätt utlämnande bör ske. Däremot innebär våra förslag att utlämnande till enskilda eller utländska myndigheter på medium för automatiserad behandling, skall få förekomma endast när regeringen har meddelat föreskrifter om det eller när utlämnandet av uppgifterna följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Utlämnande genom direktåtkomst, dvs. att mottagare med hjälp av automatiserad behandling kan ta del av uppgifter direkt från den utlämnande myndighetens databas utan föregående sekretessprövning, sker vanligtvis via terminal. Sådan åtkomst har ansetts vara särskilt integritetskänslig. Vi delar den uppfattningen och anser att det finns starka skäl för att vara återhållsam med att tillåta direktåtkomst. Vi föreslår därför att direktåtkomst skall få förekomma endast om det anges uttryckligt i lag eller förordning. Myndigheter inom den myndighetsorganisation för vilken en viss databas inrättas, t.ex. skatteförvaltningen, bör kunna ha obegränsad direktåtkomst till uppgifter och elektroniska handlingar. Andra myndigheter bör ha begränsade åtkomstmöjligheter. Det bör inte vara möjligt för dessa myndigheter att genom direktåtkomst ta del av elektroniska handlingar. Vi föreslår vidare att enskilda skall få direktåtkomst till uppgifter om sig själva i myndigheternas databaser, under förutsättning att regeringen meddelar föreskrifter om det. I fråga om vissa icke integritetskänsliga uppgifter av stort allmänt intresse, föreslår vi att regeringen skall få meddela föreskrifter om allmän direktåtkomst till vissa databaser, t.ex. via Internet.

Den stora mängden uppgifter i myndigheternas databaser innebär risker för intrång i enskildas personliga integritet. Det är därför viktigt att uppgifter inte bevaras i databaserna under längre tid än vad som är motiverat från verksamhetssynpunkt. Vi föreslår att det i lag anges hu-

vudregler för när uppgifter skall gallras ur databaserna. Det är emellertid inte möjligt att på ett enkelt sätt reglera exakt när vissa uppgifter bör gallras. Regeringen, eller den myndighet som regeringen bestämmer, bör därför ha möjlighet att föreskriva om undantag från de i lag angivna gallringsbestämmelserna.

Regler om enskildas rättigheter

För att otillbörliga intrång i den personliga integriteten skall kunna undvikas i samband med behandling av personuppgifter, är det viktigt att enskilda ges möjlighet till insyn i vad som finns registrerat om dem i olika register och databaser m.m. Enskilda måste även ha möjlighet att begära rättelse av felaktiga uppgifter som berör dem. När uppgifter behandlas i strid med gällande regler, bör enskilda kunna få ersättning för skada och kränkning av den personliga integriteten. Det är även viktigt att myndigheters beslut i frågor som direkt berör enskilda kan överklagas till domstol. Bestämmelser om dessa rättigheter är i våra lagförslag samlade i ett särskilt kapitel.

Den rätt som enskilda har enligt personuppgiftslagen att efter ansökan få besked från den personuppgiftsansvarige om vilka behandlingar som rör honom eller henne, skall gälla även när personuppgifter behandlas inom skatteförvaltningen, exekutionsväsendet och Tullverket. Det innebär att enskilda har rätt till kostnadsfri skriftlig information om bl.a. vilka uppgifter om honom eller henne som behandlas. Vi föreslår emellertid att den information som skall lämnas inte behöver omfatta i en databas förekommande elektroniska handlingar, som hör till ett ärende och som den enskilde tidigare har tagit del av. Av informationen skall i stället framgå att handlingarna behandlas i databasen. Om den enskilde särskilt begär det skall emellertid informationen vara fullständig.

Även personuppgiftslagens bestämmelser om rättelse av felaktigt behandlade personuppgifter skall tillämpas vid behandling av uppgifter enligt våra lagförslag. Detsamma gäller bestämmelserna i personuppgiftslagen om den enskildes rätt till ersättning när uppgifter har behandlats felaktigt och det har medfört skada eller kränkning av den personliga integriteten. Enligt våra lagförslag skall den enskilde ha rätt att hos allmän förvaltningsdomstol överklaga myndigheters beslut i frågor som rör hans eller hennes rätt till information och myndigheternas skyldighet att rätta felaktigt behandlade personuppgifter.

Särskilda bestämmelser för olika verksamheter

De lagar som enligt våra förslag skall reglera behandlingen av personuppgifter m.m. inom skatteförvaltningen, exekutionsväsendet respektive Tullverket, är disponerade på samma sätt och innehåller flera identiska eller likartade bestämmelser. Det är emellertid inte möjligt att undvika att författningarna innehåller bestämmelser som är specifikt verksamhetsanpassade. Det gäller framförallt bestämmelser om behandling av uppgifter i databaser. Av särskilt intresse är bestämmelser om avgränsningen av databasernas användningsområde (ändamålen) och tillgängligheten till databaserna (direktåtkomst).

Beskattningsdatabasen

Vi föreslår att behandling av uppgifter i den del av skatteförvaltningens verksamhetsområde som utgörs av beskattningsverksamheten skall regleras i en lag; lagen om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet. I den lagen finns – förutom allmänna regler om behandling av uppgifter – bestämmelser om behandling i en för verksamheten gemensam beskattningsdatabas. I lagen anges för vilka ändamål uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs inom skatteförvaltningen (primära ändamål). Ändamålen är utformade så att de uppgifter som får behandlas i databasen motsvarar vad som i dag får behandlas i samtliga de register som med stöd av författning eller tillstånd från Datainspektionen får föras av Riksskatteverket och skattemyndigheter i verksamhet avseende beskattning m.m. Således motsvarar databasen i princip nuvarande skatteregister, taxeringsuppgiftsregister, fastighetstaxeringsregister och punktskatteregister m.fl. Vad som får behandlas i databasen är emellertid inte begränsat till de uppgifter som finns i de nuvarande registren.

Riksskatteverket och skattemyndigheterna får enligt lagen ha obegränsad direktåtkomst till databasen, dvs. även till de elektroniska akterna. Därutöver får även kronofogdemyndigheter och Tullverket ha direktåtkomst, dock inte till elektroniska handlingar. Till regeringen delegeras behörigheten att meddela föreskrifter om inskränkning i föreskriven direktåtkomst och om att andra än de i lagen angivna myndigheterna skall få ha direktåtkomst, dock inte till elektroniska handlingar. För sådan direktåtkomst gäller att den skall stå i överensstämmelse med de i lagen angivna sekundära ändamålen. Om regeringen föreskriver det skall dessutom enskilda få ha direktåtkomst till uppgifter om sig själva. Regeringen får även meddela föreskrifter om allmän direktåtkomst –

t.ex. via Internet – till vissa uppgifter av allmänt intresse, som uppgift om innehav av skattsedel m.m.

Folkbokföringsdatabasen

Behandlingen av personuppgifter i den del av skatteförvaltningens verksamhetsområde som utgörs av folkbokföringsverksamhet skall regleras i en egen lag; lagen om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet. I lagen finns bestämmelser om behandling av uppgifter i en för verksamheten gemensam folkbokföringsdatabas. Lagen innehåller bestämmelser om för vilka ändamål uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs för att myndigheter inom skatteförvaltningen skall kunna fullgöra sina åligganden. Ändamålen är utformade så att uppgifter som behandlas i databasen i princip motsvarar den behandling av uppgifter som i dag sker i folkbokföringsregister och aviseringsregistret.

Riksskatteverket och skattemyndigheterna får enligt lagen ha obegränsad direktåtkomst till databasen, dvs. även till de elektroniska handlingarna. Till regeringen delegeras behörigheten att meddela föreskrifter om inkränkning i föreskriven direktåtkomst och om att andra än de i lagen angivna myndigheterna skall få ha direktåtkomst, dock inte till elektroniska handlingar. Om regeringen föreskriver det skall enskilda få ha direktåtkomst till uppgifter om sig själva.

Val- och folkomröstningsdatabasen

För den verksamhet som bedrivs i anledning av val och folkomröstningar ansvarar Riksskatteverket, skatteförvaltningen, länsstyrelserna och de kommunala valnämnderna. Den personuppgiftsbehandling som sker i verksamheten skall enligt vårt förslag regleras i en egen lag; lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar. I lagen finns bestämmelser om behandling av uppgifter i en för de ansvariga statliga myndigheterna gemensam val- och folkomröstningsdatabas. Databasens användningsområde regleras genom bestämmelser om för vilka ändamål uppgifter skall få behandlas inom verksamheten (primära ändamål). Ändamålen är utformade så att de uppgifter som får behandlas i databasen i princip motsvarar vad som i dag får behandlas i röstlängdsregister och kandidatregister.

Riksskatteverket, skattemyndigheterna och länsstyrelserna får enligt lagen ha obegränsad direktåtkomst till databasen, dvs. även till de elektroniska akterna. Dessutom får de kommunala valnämnderna ha direktåtkomst till uppgifter som inte finns i elektroniska handlingar. Till regeringen delegeras behörigheten att meddela föreskrifter om inskränkning i

föreskriven direktåtkomst och om att andra än de i lagen angivna myndigheterna skall få ha direktåtkomst, dock inte till elektroniska handlingar. För sådan direktåtkomst gäller att den skall stå i överensstämmelse med de i lagen angivna sekundära ändamålen. Om regeringen föreskriver det skall enskilda få ha direktåtkomst till uppgifter om sig själva. Regeringen får även meddela föreskrifter om allmän direktåtkomst – t.ex. via Internet – till uppgifter som finns på valsedlar.

Exekutionsväsendets databaser

Kronofogdemyndigheterna bedriver verksamhet på flera olika områden. Vi föreslår emellertid en gemensam lag för behandling av uppgifter på samtliga dessa områden; lagen om behandling av uppgifter i exekutionsväsendets verksamhet. För varje enskild och urskiljbar verksamhet skall det finnas bestämmelser om behandling av uppgifter i en för respektive verksamhet gemensam databas. Totalt föreslår vi fyra databaser, nämligen en utsöknings- och indrivningsdatabas, en betalningsföreläggande- och handräckningsdatabas, en skuldsaneringsdatabas samt en konkurstillsynsdatabas. I lagen anges för vilka ändamål uppgifter skall få behandlas i respektive databas för tillhandahållande av information som behövs inom exekutionsväsendet (primära ändamål). Ändamålen är utformade så att de uppgifter som får behandlas i databaserna i princip motsvarar vad som i dag får behandlas i samtliga de register som med stöd av författning eller tillstånd från Datainspektionen får föras av Riksskatteverket och kronofogdemyndigheter. Vad som får behandlas i databaserna är emellertid inte begränsat till de uppgifter som finns i register i dag.

Riksskatteverket och kronofogdemyndigheterna får enligt lagen ha obegränsad direktåtkomst till databaserna, dvs. även till de elektroniska handlingarna. Därutöver anges att även skattemyndigheter och Tullverket får ha direktåtkomst, dock inte till elektroniska handlingar. Till regeringen delegeras behörigheten att meddela föreskrifter om inskränkning i föreskriven direktåtkomst och om att andra än de i lagen angivna myndigheterna skall få ha direktåtkomst till en databas, dock inte till elektroniska handlingar. För sådan direktåtkomst gäller att den skall stå i överensstämmelse med de i lagen angivna sekundära ändamålen för de olika databaserna. Om regeringen föreskriver det skall enskilda få ha direktåtkomst till uppgifter om sig själva.

Tulldatabasen

För behandling av uppgifter i Tullverkets fiskala verksamhet föreslår vi en lag; lagen om behandling av uppgifter i Tullverkets verksamhet. I den lagen finns bestämmelser om behandling av uppgifter i en för verksamheten gemensam tulldatabas. I lagen anges för vilka ändamål uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs hos Tullverket i den fiskala verksamheten (primära ändamål). Ändamålen är utformade så att de uppgifter som får behandlas i databasen i princip motsvarar vad som i dag får behandlas i tullregister. Vad som får behandlas i databasen är emellertid inte begränsat till de uppgifter som finns i registren i dag.

Tullverket får enligt lagen ha obegränsad direktåtkomst till databasen, dvs. även till de elektroniska handlingarna. Därutöver anges att även Riksskatteverket, skattemyndigheter och kronofogdemyndigheter får ha direktåtkomst, dock inte till elektroniska handlingar. Till regeringen delegeras behörigheten att meddela föreskrifter om inskränkning i föreskriven direktåtkomst och om att andra än de i lagen angivna myndigheterna skall få ha direktåtkomst, dock inte till elektroniska handlingar. För sådan direktåtkomst gäller att den skall stå i överensstämmelse med vissa i lagen angivna sekundära ändamål. Om regeringen föreskriver det skall dessutom enskilda få ha direktåtkomst till uppgifter om sig själva.

Särskilda frågor

Utöver de frågor som regleras genom våra förslag till lagar om behandling av personuppgifter m.m. i verksamhet inom skatteförvaltningen, exekutionsväsendet och hos Tullverket, har vi även haft att utreda vissa mer specifika frågeställningar.

Sekretess inom exekutionsväsendet

Sekretesskyddet i exekutionsväsendets exekutiva verksamhet är i dag svagt. Enligt 9 kap. 19 § sekretesslagen gäller sekretess för en uppgift om det kan antas att den enskilde eller honom närstående lider avsevärd skada eller betydande men om uppgiften röjs. Det raka skaderekvisitet innebär en presumtion för att uppgifter skall lämnas ut när det begärs. En av kronofogdemyndigheternas huvudsakliga uppgifter är att utreda om en gäldenär har några utmätningsbara tillgångar. En rationell handläggning förutsätter att man får hämta in uppgifter på ett enkelt sätt, t.ex. från skattemyndigheter där absolut sekretess gäller för uppgifter. I

de fall det saknas en reglerad uppgiftsskyldighet, skall en sekretessprövning göras, innan en kronofogdemyndighet får del av uppgifter från en skattemyndighet. En faktor som vägs in i denna prövning är risken för att uppgiften kommer att lämnas ut från kronofogdemyndigheten. På grund av den stora skillnaden i sekretesskydd har kronofogdemyndigheterna därför i vissa fall haft svårt att från skattemyndigheterna få del av uppgifter som behövs i den exekutiva verksamheten. Den svaga sekretessen medför även svårigheter för kronofogdemyndigheterna vid informationshantering i samband med myndighetsgemensamt arbete mot ekonomisk brottslighet samt i internationellt samarbete.

Sedan sekretesslagens tillkomst har mycket hänt i den exekutiva verksamheten. Kronofogdemyndigheterna har fått utökade arbetsuppgifter och förändrade arbetsrutiner. Det har lett till att allt fler uppgifter om enskilda samlas i de datasystem som finns inom exekutionsväsendet. Mer sofistikerade system är dessutom under utveckling. Sammantaget innebär detta att det enligt vår bedömning i dag finns ett väsentligt större behov av att skydda gäldenärers personliga integritet än vad som var fallet när sekretesslagen trädde i kraft.

För att stärka sekretessen hos kronofogdemyndigheterna – av såväl verksamhets- som integritetsskäl – föreslår vi att det i 9 kap. 19 § sekretesslagen införs ett omvänt skaderekvisit. Det innebär att sekretess gäller för en uppgift, om det inte står klart att uppgiften kan röjas utan att den enskilde eller honom närstående lider skada eller men. De förändrade arbetsuppgifterna hos kronofogdemyndigheterna har lett till att det råder viss osäkerhet i fråga om vad som omfattas av begreppet ”exekutiv verksamhet”. Vi anser att ett klargörande behövs och föreslår därför att sekretessen skall gälla i verksamhet med utsökning och indrivning. Vi föreslår vidare att det sekretesskyddade området skall utvidgas till att omfatta även verksamhet enligt lagen (1986:436) om näringsförbud. Uppgifter i den sistnämnda verksamheten omfattas i dag inte av något sekretesskydd till förmån för enskildas integritet, vilket vi anser olämpligt, eftersom det i den verksamheten är mer vanligt än i övrig verksamhet att kronofogdemyndigheterna behandlar uppgifter om hälsa och brottsmisstanke m.m.

I dag är vissa uppgifter i exekutiv verksamhet undantagna från sekretess. Det gäller beslut i mål samt uppgifter om förpliktelse som avses med sökt verkställighet, dvs. uppgifter om skulder m.m. Sådana uppgifter utnyttjas regelmässigt i kreditupplysningsverksamhet. Vi anser att det även i fortsättningen finns ett behov av att uppgifter undantas från sekretesskyddet. För att undvika att missvisande uppgifter om exempelvis skulder som har uppstått på grund av felaktig handläggning hos myndigheter m.m., skall få oacceptabla konsekvenser för enskilda, föreslår vi att undantaget från sekretess endast skall gälla beslut i mål

samt uppgift om förpliktelse som avses med verkställighet i ett pågående mål. Det innebär att om en gäldenär betalar en skuld innan kronofogdemyndigheten har hunnit vidta andra åtgärder än att informera gäldenären om att det finns en ansökan om utsökning eller indrivning, kommer uppgifter om förpliktelse att omfattas av sekretess. Sådana uppgifter som omfattas av sekretess skall inte få användas i kreditupplysningsverksamhet.

Utlämnande av uppgifter på medium för automatiserad behandling för kreditupplysningsverksamhet

Uppgifter inom skatteförvaltningen och exekutionsväsendet som inte omfattas av sekretess, bör enligt vår bedömning få lämnas ut på medium för automatiserad behandling till den som har tillstånd som avses i 3 § kreditupplysningslagen att bedriva kreditupplysningsverksamhet. Uppgifter som grundar sig på brott skall dock inte få lämnas ut.

Skatteuppgifter i SPAR

I dag lämnas vissa offentliga skatteuppgifter i olika register inom skatteförvaltningen ut till det statliga personadressregistret (SPAR) för användning för direktreklamändamål. Ett sådant förfarande kan enligt vår mening sättas i fråga från integritetssynpunkt. Å andra sidan anser vi att ett förbud mot att använda skatteuppgifter i SPAR skulle medföra en påtaglig risk för en okontrollerbar framväxt av icke författningsreglerade register med motsvarande funktion och innehåll som SPAR. Vi bedömer att det utlämnande av skatteuppgifter till SPAR som sker i dag inte står i konflikt med bestämmelserna i dataskyddsdirektivet. Ett konkret ställningstagande i frågan om utlämnande av skatteuppgifter till SPAR kräver enligt vår uppfattning en mer omfattande översyn av bl.a. samhällets behov av skatteuppgifter för direktreklamändamål. Vi föreslår därför inte några förändringar avseende SPAR.

Behandling av personuppgifter vid taxeringsrevisioner m.m.

I samband med personuppgiftslagens införande upphävdes den särskilda lagen (1987:1231) om automatisk databehandling vid taxeringsrevision, m.m. Våra föreslag till lagar om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet respektive Tullverkets verksamhet utgör enligt vår bedömning ett tillräckligt skydd för enskildas personliga integritet när automatiserad behandling används vid taxeringsrevisioner m.m. Någon kompletterande lagstiftning anser vi därför inte vara nödvändig.

Bruttoavisering inom folkbokföringen

Riksskatteverkets aviseringsregister används av myndigheter för att aktualisera, kontrollera och komplettera vissa folkbokföringsuppgifter i de egna registren. En effektiv metod för sådan avisering är s.k. bruttoavisering, som används av vissa myndigheter. Metoden innebär att mottagande myndigheter får ändringsaviseringar avseende samtliga personer i aviseringsregistret, dvs. i princip Sveriges hela befolkning. Ur det materialet får den mottagande myndigheten sedan själv söka fram uppgifter som rör personer vilka är registrerade i myndighetens register, medan övriga uppgifter gallras. Urvalet av uppgifter görs alltså av den mottagande myndigheten och inte av Riksskatteverket som vid vanlig ändringsavisering. Bruttoavisering som metod för att tillhandahålla folkbokföringsuppgifter inom den statliga förvaltningen strider enligt vår uppfattning inte mot dataskyddsdirektivet, under förutsättning att fråga är om regelmässigt och frekvent återkommande aviseringar som avser en betydande andel av befolkningen. Några hinder föreligger därför enligt vår uppfattning inte mot en fortsatt användning av bruttoavisering.

Kronofogdemyndigheters tillgång till uppgifter hos Tullverket

Enligt 118 § tullagen (1994:1550) skall Tullverket på begäran från vissa uppräknade myndigheter lämna ut uppgifter som rör import och export av varor. Enligt vår uppfattning har även kronofogdemyndigheterna behov av att få tillgång till dessa uppgifter. Vi kan inte se några skäl mot en sådan ordning. Vi föreslår därför att Tullverket på begäran skall tillhandahålla kronofogdemyndigheterna uppgifter som förekommer hos Tullverket och som rör import och export av varor.

Författningsförslag

1. Förslag till Lag om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter och vissa andra uppgifter i skatteförvaltningens beskattningsverksamhet, om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Förhållandet till personuppgiftslagen

2 § När personuppgifter behandlas enligt denna lag gäller bestämmelserna i personuppgiftslagen (1998:204) om

1. definitioner i 3 §,

2. förhållandet till offentlighetsprincipen m.m. i 8 §,

3. grundläggande krav på behandling i 9 §,

4. behandling av personnummer i 22 §,

5. säkerheten vid behandling i 30

  • 32 §§,

6. överföring av personuppgifter till tredje land i 33–35 §§,

7. personuppgiftsombudets uppgifter m.m. i 38

  • 41 §§,

8. tillsynsmyndighetens befogenheter i 43 och 47 §§, samt

9. straff i 49 §.

Personuppgiftsansvar

3 § Riksskatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som ankommer på verket att utföra och en skattemyndighet för den behandling som ankommer på myndigheten att utföra.

Behandling av känsliga personuppgifter m.m.

4 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i eller är nödvändiga för handläggningen av ett ärende.

För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.

Gallring

5 § Uppgifter som är föremål för automatiserad behandling i ett ärende skall gallras senast ett år efter det att ärendet har avslutats.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter skall gallras vid en annan tidpunkt än den som anges i första stycket eller att uppgifter skall bevaras.

För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.

2 kap. Beskattningsdatabasen

Ändamål

1 § I beskattningsverksamheten skall det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 2 och 3 §§ angivna ändamålen (beskattningsdatabas).

2 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs inom skatteförvaltningen för

1. fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,

2. bestämmande av pensionsgrundande inkomst,

3. kontroll, revision, prövning, granskning, tillsyn och analys,

4. fastighetstaxering,

5. fullgörande av åligganden som följer av internationella överenskommelser som Sverige efter riksdagens godkännande har tillträtt,

6. tillsyn, kontroll, uppföljning och planering av verksamheten, samt

7. framställning av statistik.

3 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför skatteförvaltningen för

1. fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,

2. utsökning och indrivning,

3. tillsyn samt lämplighets-, tillstånds- och annan liknande prövning, samt

4. framställning av statistik.

Innehåll

4 § I databasen får behandlas uppgifter om personer som omfattas av verksamhet enligt 2 § 1–5. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.

5 § För de ändamål som anges i 2 § får i databasen behandlas uppgifter om

1. en fysisk persons identitet, bosättning, familjeförhållanden och andra liknande basuppgifter,

2. en juridisk persons identitet, säte och andra liknande basuppgifter,

3. registrering för skatter eller avgifter,

4. underlag för skatter eller avgifter,

5. bestämmande av skatter eller avgifter,

6. kontroll av skatter eller avgifter,

7. fastställande av fastighetstaxering,

8. yrkande och grunder i ett ärende, samt

9. beslut med angivande av skälen för beslutet, betalning, redovisning och övriga åtgärder i ett ärende.

I databasen får även behandlas de uppgifter som behövs för fullgörande av ett åliggande som följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.

6 § Personuppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 7 §. Uppgifter om tros-

samfund och medlemskap i fackförening får dock behandlas för de ändamål som anges i 2 §.

7 § Handlingar som hör till ett ärende får behandlas i databasen. Sådana handlingar får innehålla de uppgifter som har lämnats i eller är nödvändiga för handläggningen av ärendet.

Utlämnande av uppgifter till enskilda på medium för automatiserad behandling

8 § Uppgifter i databasen får lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det eller om utlämnandet av uppgifterna följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Direktåtkomst

9 § Riksskatteverket, skattemyndigheter, kronofogdemyndigheter och

Tullverket får ha direktåtkomst till databasen. Regeringen får meddela föreskrifter om att även annan får ha direktåtkomst för ändamål som anges i 3 §.

Annan än Riksskatteverket och skattemyndigheter får inte ha direktåtkomst till handlingar som avses i 7 §. Regeringen får meddela föreskrifter om ytterligare inskränkning i en myndighets eller annans direktåtkomst till databasen.

10 § Regeringen får meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om sig själv i databasen.

Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får omfattas av direktåtkomst enligt första stycket.

11 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om allmän direktåtkomst till uppgifter i databasen om

1. skyldighet att redovisa eller betala skatter eller avgifter,

2. innehav av skattsedel på preliminär skatt, samt

3. beräkning av skatteavdrag för betalning av preliminär skatt. Direktåtkomst enligt första stycket får inte vara utformad så att uppgifter om flera personer kan behandlas på automatiserad väg vid inhämtandet.

Sökbegrepp

12 § Vid sökning efter handlingar som avses i 7 § får som sökbegrepp användas endast ärendebeteckning, beteckning på handling eller annan uppgift som behövs för att identifiera ett ärende eller en handling.

Gallring

13 § Uppgifter och handlingar i databasen skall, om inget annat anges i 14 §, gallras sju år efter utgången av det kalenderår under vilket beskattningsåret till vilket uppgifterna eller handlingarna kan hänföras gick ut.

14 § Uppgifter om revision skall gallras tio år efter utgången av det kalenderår under vilket revisionen avslutades.

Uppgifter och handlingar som avser fastighetstaxering skall gallras tio år efter utgången av det taxeringsår till vilket uppgifterna eller handlingarna kan hänföras.

Uppgifter och handlingar som avser gåvoskatteärenden skall gallras tolv år efter utgången av det kalenderår under vilket gåvodeklaration lämnades. Uppgifter och handlingar som avser gåvoanmälningsärenden skall gallras tre år efter utgången av det kalenderår under vilket förfrågan eller anmaning att komma in med deklaration gjordes.

Uppgifter och handlingar som enligt lagen (1994:1563) om tobaksskatt, lagen (1994:1564) om alkoholskatt samt lagen (1994:1776) om skatt på energi, behandlas för att tillhandahålla skattskyldiga och behörig myndighet i Sverige eller ett annat land inom Europeiska unionen uppgifter om personer som är godkända upplagshavare eller som är registrerade varumottagare eller uppgifter om godkända skatteupplag, skall gallras sju år efter utgången av det kalenderår under vilket upplagshavaren eller varumottagaren avregistrerades.

15 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter eller handlingar skall gallras vid en annan tidpunkt än de som anges i 13 och 14 §§ eller att uppgifter eller handlingar skall bevaras.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.

Övriga bestämmelser

16 § Riksskatteverket och skattemyndigheter får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.

Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.

17 § Regeringen får meddela närmare föreskrifter om hur uppgifterna i databasen skall vara indelade.

3 kap. Enskildas rättigheter

Information till den registrerade

1 § Vid tillämpningen av denna lag gäller bestämmelserna om information till den registrerade i 23 och 2527 §§personuppgiftslagen (1998:204), med den begränsning som anges i 2 §.

2 § En handling som avses i 2 kap. 7 § behöver inte lämnas ut till en enskild i samband med att en myndighet fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen (1998:204), om den enskilde har tagit del av handlingens innehåll.

I fall som avses i första stycket skall information i stället lämnas om att handlingen behandlas i databasen. Fullständig information skall emellertid lämnas om den enskilde begär det.

Rättelse

3 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204).

Skadestånd

4 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204).

Överklagande

5 § En myndighets beslut om information som skall lämnas efter ansökan och om rättelse får överklagas hos allmän förvaltningsdomstol.

Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

_______________

1. Denna lag träder i kraft den 1 oktober 2001, då skatteregisterlagen (1980:343) skall upphöra att gälla. Den äldre lagens bestämmelser om gallring och innehåll i ett register gäller dock fortfarande i fråga om uppgifter och handlingar som har tillförts registret före den 1 oktober 2001.

2. Bestämmelser i lagen om grundläggande krav på behandling av personuppgifter samt behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m., skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.

3. Har en begäran om registerutdrag enligt 10 § datalagen (1973:289) kommit in innan denna lag träder i kraft men har utdraget inte expedierats före ikraftträdandet, skall framställningen anses som en ansökan om information enligt denna lag.

4. Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft för den aktuella behandlingen.

5. Bestämmelsen om överklagande skall tillämpas endast på beslut som fattas efter ikraftträdandet.

2. Förslag till Lag om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet, om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Förhållandet till personuppgiftslagen

2 § När personuppgifter behandlas enligt denna lag gäller bestämmelserna i personuppgiftslagen (1998:204) om

1. definitioner i 3 §,

2. förhållandet till offentlighetsprincipen m.m. i 8 §,

3. grundläggande krav på behandling i 9 §,

4. behandling av personnummer i 22 §,

5. säkerheten vid behandling i 30

  • 32 §§,

6. överföring av personuppgifter till tredje land i 33–35 §§,

7. personuppgiftsombudets uppgifter m.m. i 38

  • 41 §§,

8. tillsynsmyndighetens befogenheter i 43 och 47 §§, samt

9. straff i 49 §.

Personuppgiftsansvar

3 § Riksskatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som ankommer på verket att utföra och en skattemyndighet för den behandling som ankommer på myndigheten att utföra.

Behandling av känsliga personuppgifter m.m.

4 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i eller är nödvändiga för handläggningen av ett ärende.

För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.

2 kap. Folkbokföringsdatabasen

Ändamål

1 § I folkbokföringsverksamheten skall det finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 2 § angivna ändamålen (folkbokföringsdatabas).

2 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs inom skatteförvaltningen för

1. samordnad behandling av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter,

2. handläggning av folkbokföringsärenden,

3. fullgörande av underrättelseskyldighet enligt lag eller förordning samt för att tillgodose samhällets behov av folkbokföringsuppgifter i övrigt,

4. tillsyn, kontroll, uppföljning och planering av verksamheten, samt

5. framställning av statistik.

Innehåll

3 § I databasen får behandlas uppgifter om personer som omfattas av verksamhet enligt 2 § 1 och 2. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.

4 § För de ändamål som anges i 2 § får i databasen behandlas uppgifter om

1. personnummer,

2. samordningsnummer enligt folkbokföringslagen (1991:481),

3. namn,

4. födelsetid,

5. födelsehemort,

6. födelseort,

7. adress,

8. folkbokföringsfastighet, lägenhetsbeteckning, folkbokföringsort och folkbokföring under särskild rubrik,

9. medborgarskap, 10. civilstånd, 11. make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen,

12. samband enligt 11 som är grundat på adoption, 13. inflyttning från utlandet, 14. avregistrering, 15. anmälan enligt 7 kap.1 och 10 §§vallagen (1997:157), samt 16. gravsättning. I databasen får behandlas uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § folkbokföringskungörelsen (1967:495).

I databasen får behandlas uppgifter om tidpunkter för sådana förhållanden som avses i första stycket. För förhållanden som avses i första stycket 1, 2 och 14 får anges grunden för förhållandet. För förhållande som avses i första stycket 2 får även anges de handlingar som har legat till grund för identifiering samt uppgift om att det råder osäkerhet om personens identitet.

5 § I databasen får behandlas uppgifter om yrkande och grunder i ett ärende, beslut i ett ärende med angivande av skälen för beslutet samt andra uppgifter som behövs för handläggningen av ett ärende.

Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.

6 § Personuppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 4 och 7 §§.

7 § Handlingar som hör till ett ärende får behandlas i databasen. Sådana handlingar får innehålla de uppgifter som har lämnats i eller är nödvändiga för handläggningen av ärendet.

Utlämnande av uppgifter till enskilda på medium för automatiserad behandling

8 § Uppgifter i databasen får lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.

Direktåtkomst

9 § Riksskatteverket och skattemyndigheter får ha direktåtkomst till databasen. Regeringen får meddela föreskrifter om att annan får ha direktåtkomst till databasen för ändamål som anges i 2 § 3, dock inte till handlingar som avses i 7 §.

Regeringen får meddela föreskrifter om inskränkning i en myndighets eller annans direktåtkomst till databasen.

10 § Regeringen får meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om sig själv i databasen.

Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får omfattas av direktåtkomst enligt första stycket.

Sökbegrepp

11 § Vid sökning i databasen får uppgifter som avses i 4 § första stycket 6, 12, 13 och 16 inte användas som sökbegrepp.

Uppgifter som avses i 4 § första stycket 9 får användas som sökbegrepp endast i fråga om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap i ett land inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).

12 § Vid sökning efter handlingar som avses i 7 § får som sökbegrepp användas endast ärendebeteckning, beteckning på handling eller annan uppgift som behövs för att identifiera ett ärende eller en handling.

Övriga bestämmelser

13 § Riksskatteverket och skattemyndigheter får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.

Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.

14 § Regeringen får meddela närmare föreskrifter om hur uppgifterna i databasen skall vara indelade.

3 kap. Enskildas rättigheter

Information till den registrerade

1 § Vid tillämpningen av denna lag gäller bestämmelserna om information till den registrerade i 23 och 2527 §§personuppgiftslagen (1998:204), med den begränsning som anges i 2 §.

2 § En handling som avses i 2 kap. 7 § behöver inte lämnas ut till en enskild i samband med att en myndighet fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen (1998:204), om den enskilde har tagit del av handlingens innehåll.

I fall som avses i första stycket skall information i stället lämnas om att handlingen behandlas i databasen. Fullständig information skall emellertid lämnas om den enskilde begär det.

Rättelse

3 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204).

Skadestånd

4 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204).

Överklagande

5 § En myndighets beslut om information som skall lämnas efter ansökan och om rättelse får överklagas hos allmän förvaltningsdomstol.

Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

______________

1. Denna lag träder i kraft den 1 oktober 2001, då lagen (1990:1536) om folkbokföringsregister och lagen (1995:743) om aviseringsregister skall upphöra att gälla. De äldre lagarnas bestämmelser om gallring och innehåll i ett register gäller dock fortfarande i fråga om uppgifter och handlingar som har tillförts registret före den 1 oktober 2001.

2. Bestämmelser i lagen om grundläggande krav på behandling av personuppgifter samt behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m., skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.

3. Har en begäran om registerutdrag enligt 10 § datalagen (1973:289) kommit in innan denna lag träder i kraft men har utdraget inte expedierats före ikraftträdandet, skall framställningen anses som en ansökan om information enligt denna lag.

4. Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft för den aktuella behandlingen.

5. Bestämmelsen om överklagande skall tillämpas endast på beslut som fattas efter ikraftträdandet.

3. Förslag till Lag om behandling av personuppgifter i verksamhet med val och folkomröstningar

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter i Riksskatteverkets, skattemyndigheters och länsstyrelsers verksamhet med val och folkomröstningar enligt vallagen (1997:157), folkomröstningslagen (1979:369) samt lagen (1994:692) om kommunala folkomröstningar, om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Förhållandet till personuppgiftslagen

2 § När personuppgifter behandlas enligt denna lag gäller bestämmelserna i personuppgiftslagen (1998:204) om

1. definitioner i 3 §,

2. förhållandet till offentlighetsprincipen m.m. i 8 §,

3. grundläggande krav på behandling i 9 §,

4. behandling av personnummer i 22 §,

5. säkerheten vid behandling i 30

  • 32 §§,

6. överföring av personuppgifter till tredje land i 33–35 §§,

7. personuppgiftsombudets uppgifter m.m. i 38

  • 41 §§,

8. tillsynsmyndighetens befogenheter i 43 och 47 §§, samt

9. straff i 49 §.

Personuppgiftsansvar

3 § Riksskatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som ankommer på verket att utföra och en skattemyndighet eller länsstyrelse för den behandling som ankommer på myndigheten eller länsstyrelsen att utföra.

Behandling av känsliga personuppgifter m.m.

4 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i eller är nödvändiga för handläggningen av ett ärende.

För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.

2 kap. Val- och folkomröstningsdatabasen

Ändamål

1 § I Riksskatteverkets, skattemyndigheters och länsstyrelsers verksamhet med val och folkomröstningar skall det finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 2 och 3 §§ angivna ändamålen (val- och folkomröstningsdatabas).

2 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs hos Riksskatteverket, skattemyndigheter och länsstyrelser för

1. framställning av röstlängder och röstkort inför ett val eller en folkomröstning,

2. framställning av valsedlar och sammanräkning av valresultat,

3. tillsyn, kontroll, uppföljning och planering av verksamheten, samt

4. framställning av statistik.

3 § Uppgifter får behandlas i databasen för att tillgodose samhällets behov av uppgifter i samband med val och folkomröstningar samt för framställning av statistik.

Innehåll

4 § I databasen får behandlas uppgifter om personer som

1. kan antas komma att vara röstberättigade den dag som ett val eller en folkomröstning skall hållas, eller

2. är kandidater i val. Uppgifter om andra personer än som anges i första stycket får behandlas om det behövs för handläggningen av ett ärende.

5 § För en person som avses i 4 § 1 får i databasen behandlas uppgifter om personnummer, namn, adress, folkbokföringsort, fastighetsbeteckning, valdistrikt och medborgarskap. För en person som inte är folkbokförd i Sverige får behandlas uppgift om tidpunkt för utvandring och för en person som har invandrat till Sverige uppgift om tidpunkt för invandringen.

6 § För en person som avses i 4 § 2 får i databasen behandlas uppgifter om personnummer, namn, adress, folkbokföringsort, medborgarskap i ett land inom Europeiska unionen samt identifieringsuppgifter och partibeteckning som finns eller kommer att finnas på valsedlar där personen är upptagen.

7 § I databasen får behandlas uppgifter om yrkande och grunder i ett ärende, beslut i ett ärende med angivande av skälen för beslutet samt andra uppgifter som behövs för handläggningen av ett ärende.

Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.

8 § Personuppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 5, 6 och 10 §§.

9 § Handlingar som hör till ett ärende får behandlas i databasen. Sådana handlingar får innehålla de uppgifter som har lämnats i eller är nödvändiga för handläggningen av ärendet.

Utlämnande av uppgifter till enskilda på medium för automatiserad behandling

10 § Uppgifter i databasen får lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.

Direktåtkomst

11 § Riksskatteverket, skattemyndigheter, länsstyrelser och kommunala valnämnder får ha direktåtkomst till databasen. De kommunala valnämnderna får inte ha direktåkomst till handlingar som avses i 9 §.

Regeringen får meddela föreskrifter om att annan får ha direktåtkomst till databasen för ändamål som anges i 3 §, dock inte till handlingar som avses i 9 §.

Regeringen får meddela föreskrifter om inskränkning i en myndighets eller annans direktåtkomst till databasen.

12 § Regeringen får meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om sig själv i databasen.

Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får omfattas av direktåtkomst enligt första stycket.

13 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om allmän direktåtkomst till uppgifter i databasen som finns på valsedlar.

Direktåtkomst enligt första stycket får inte vara utformad så att uppgifter om flera personer kan behandlas på automatiserad väg vid inhämtandet.

Sökbegrepp

14 § Vid sökning i databasen får uppgift om medborgarskap inte användas som sökbegrepp, annat än i fråga om medborgarskap i ett land inom Europeiska unionen eller i Island eller Norge.

15 § Vid sökning efter handlingar som avses i 9 § får som sökbegrepp användas endast ärendebeteckning, beteckning på handling eller annan uppgift som behövs för att identifiera ett ärende eller en handling.

Gallring

16 § Uppgifter om en person som avses i 4 § 1 skall gallras en månad efter att det val eller den folkomröstning för vilket eller vilken uppgifterna behandlas i databasen har vunnit laga kraft. Om flera val hålls samtidigt skall uppgifterna dock gallras en månad efter att samtliga val har vunnit laga kraft.

Uppgifter om en person som avses i 4 § 2 skall gallras vid utgången av den mandatperiod för vilken uppgifterna behandlas i databasen.

17 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter eller handlingar skall gallras vid en annan tidpunkt än de som anges i 16 § eller att uppgifter eller handlingar skall bevaras.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.

Övriga bestämmelser

18 § Riksskatteverket, skattemyndigheter och länsstyrelser får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.

Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.

19 § Regeringen får meddela närmare föreskrifter om hur uppgifterna i databasen skall vara indelade.

3 kap. Enskildas rättigheter

Information till den registrerade

1 § Vid tillämpningen av denna lag gäller bestämmelserna om information till den registrerade i 23 och 2527 §§personuppgiftslagen (1998:204), med den begränsning som anges i 2 §.

2 § En handling som avses i 2 kap. 9 § behöver inte lämnas ut till en enskild i samband med att en myndighet fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen (1998:204), om den enskilde har tagit del av handlingens innehåll.

I fall som avses i första stycket skall information i stället lämnas om att handlingen behandlas i databasen. Fullständig information skall emellertid lämnas om den enskilde begär det.

Rättelse

3 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204).

Skadestånd

4 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204).

Överklagande

5 § En myndighets beslut om information som skall lämnas efter ansökan och om rättelse får överklagas hos allmän förvaltningsdomstol.

Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

______________

1. Denna lag träder i kraft den 1 oktober 2001, då lagen (1997:158) om röstlängdsregister skall upphöra att gälla. Den äldre lagens bestämmelser om gallring och innehåll i ett register gäller dock fortfarande i fråga om uppgifter och handlingar som har tillförts registret före den 1 oktober 2001.

2. Bestämmelser i lagen om grundläggande krav på behandling av personuppgifter samt behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m., skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.

3. Har en begäran om registerutdrag enligt 10 § datalagen (1973:289) kommit in innan denna lag träder i kraft men har utdraget inte expedierats före ikraftträdandet, skall framställningen anses som en ansökan om information enligt denna lag.

4. Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft för den aktuella behandlingen.

5. Bestämmelsen om överklagande skall tillämpas endast på beslut som fattas efter ikraftträdandet.

4. Förslag till Lag om behandling av uppgifter i exekutionsväsendets verksamhet

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter och vissa andra uppgifter i exekutionsväsendets verksamhet med utsökning och indrivning, skuldsanering, betalningsföreläggande och handräckning, tillsyn i konkurs samt i annan verksamhet som särskilt åligger kronofogdemyndigheter, om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Förhållandet till personuppgiftslagen

2 § När personuppgifter behandlas enligt denna lag gäller bestämmelserna i personuppgiftslagen (1998:204) om

1. definitioner i 3 §,

2. förhållandet till offentlighetsprincipen m.m. i 8 §,

3. grundläggande krav på behandling i 9 §,

4. behandling av personnummer i 22 §,

5. säkerheten vid behandling i 30

  • 32 §§,

6. överföring av personuppgifter till tredje land i 33–35 §§,

7. personuppgiftsombudets uppgifter m.m. i 38

  • 41 §§,

8. tillsynsmyndighetens befogenheter i 43 och 47 §§, samt

9. straff i 49 §.

Personuppgiftsansvar

3 § Riksskatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som ankommer på verket att utföra och en kronofogdemyndighet för den behandling som ankommer på myndigheten att utföra.

Behandling av känsliga personuppgifter m.m.

4 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i eller är nödvändiga för handläggningen av ett mål eller ärende.

För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.

Gallring

5 § Uppgifter som är föremål för automatiserad behandling i ett mål eller ärende skall gallras senast ett år efter det att målet eller ärendet har avslutats.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter skall gallras vid en annan tidpunkt än den som anges i första stycket eller att uppgifter skall bevaras.

För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.

2 kap. Exekutionsväsendets databaser

Utsöknings- och indrivningsdatabasen

Ändamål

1 § I verksamheten med utsökning och indrivning skall det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 2 och 3 §§ angivna ändamålen (utsöknings- och indrivningsdatabas).

2 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs inom exekutionsväsendet för

1. verkställighet eller annan åtgärd som särskilt åligger kronofogdemyndigheter enligt utsökningsbalken eller annan författning,

2. indrivning av statliga fordringar m.m.,

3. avräkning vid återbetalning av skatter och avgifter,

4. kvittning vid utbetalning av bidrag,

5. ansökan om och tillsyn över näringsförbud,

6. tillsyn, kontroll, uppföljning och planering av verksamheten, samt

7. framställning av statistik.

3 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför exekutionsväsendet för

1. avräkning vid återbetalning av skatter och avgifter,

2. kvittning vid utbetalning av bidrag,

3. planering, samordning och uppföljning av revisions- och annan kontrollverksamhet vid beskattning och tulltaxering,

4. utredningar vid bestämmande och betalning av skatter, tullar och socialavgifter,

5. tillsyn samt lämplighets-, tillstånds- och annan liknande prövning, samt

6. framställning av statistik.

Innehåll

4 § I databasen får behandlas uppgifter om personer som omfattas av verksamhet enligt 2 § 1–5. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett mål.

5 § För de ändamål som anges i 2 § får i databasen behandlas uppgifter om

1. en fysisk persons identitet, bosättning, familjeförhållanden och andra liknande basuppgifter,

2. en juridisk persons identitet, säte och andra liknande basuppgifter,

3. en enskilds ekonomiska förhållanden,

4. egendom som berörs i ett mål,

5. yrkande och grunder i ett mål eller ärende,

6. utslag i mål om betalningsföreläggande, samt

7. beslut med angivande av skälen för beslutet, betalning, redovisning och övriga åtgärder i ett mål eller ärende.

Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.

6 § Personuppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 29 §. Uppgift om att en kronofogdemyndighet gjort anmälan om misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål, får dock behandlas även i andra fall.

Gallring

7 § Uppgifter och handlingar i databasen skall gallras fem år efter utgången av det kalenderår då det mål eller ärende som uppgifterna eller handlingarna hänför sig till avslutades. Uppgifter som inte kan hänföras till ett visst mål eller ärende skall gallras fem år efter utgången av det kalenderår då samtliga mål avseende den person som uppgifterna hänför sig till var avslutade. Uppgifter om utslag i mål om betalningsföreläggande skall gallras tio år efter utgången av det kalenderår då utslaget vann laga kraft.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter eller handlingar skall gallras vid en annan tidpunkt än de som anges i första stycket eller att uppgifter eller handlingar skall bevaras.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.

Betalningsföreläggande- och handräckningsdatabasen

Ändamål

8 § I verksamheten med betalningsföreläggande och handräckning skall det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 9 och 10 §§ angivna ändamålen (betalningsföreläggande- och handräckningsdatabas).

9 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs inom exekutionsväsendet för

1. handläggningen av mål om betalningsföreläggande eller handräckning,

2. tillsyn, kontroll, uppföljning och planering av verksamheten, samt

3. framställning av statistik.

10 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför exekutionsväsendet för tillsyn samt lämplighets-, tillstånds- och annan liknande prövning samt för framställning av statistik.

Innehåll

11 § I databasen får behandlas uppgifter om personer som omfattas av verksamhet enligt 9 § 1. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett mål.

12 § För de ändamål som anges i 9 § får i databasen behandlas uppgifter om

1. en fysisk persons identitet, bosättning och andra liknande basuppgifter,

2. en juridisk persons identitet, säte och andra liknande basuppgifter,

3. yrkande och grunder i ett mål,

4. övriga förhållanden, om de tillförs ett mål och är av betydelse för handläggningen, samt

5. beslut med angivande av skälen för beslutet och övriga åtgärder i ett mål.

Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.

13 § Personuppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 29 §. Uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål får dock behandlas även i andra fall, om uppgifterna utgör grund för en begäran om utslag.

Gallring

14 § Uppgifter och handlingar i databasen skall gallras tre år efter utgången av det kalenderår då det mål som uppgifterna eller handlingarna hänför sig till avslutades.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter eller handlingar skall gallras vid en annan tidpunkt än den som anges i första stycket eller att uppgifter eller handlingar skall bevaras.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.

Skuldsaneringsdatabasen

Ändamål

15 § I verksamheten med skuldsanering skall det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 16 och 17 §§ angivna ändamålen (skuldsaneringsdatabas).

16 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs inom exekutionsväsendet för

1. handläggning av ärenden om skuldsanering,

2. tillsyn, kontroll, uppföljning och planering av verksamheten, samt

3. framställning av statistik.

17 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför exekutionsväsendet för tillsyn samt lämplighets-, tillstånds- och annan liknande prövning samt för framställning av statistik.

Innehåll

18 § I databasen får behandlas uppgifter om personer som omfattas av verksamhet enligt 16 § 1. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.

19 § För de ändamål som anges i 16 § får i databasen behandlas uppgifter om

1. en fysisk persons identitet, bosättning, familjeförhållanden och andra liknande basuppgifter,

2. en juridisk persons identitet, säte och andra liknande basuppgifter,

3. en enskilds ekonomiska förhållanden,

4. yrkande och grunder i ett ärende, samt

5. beslut med angivande av skälen för beslutet samt övriga åtgärder i ett ärende.

Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.

20 § Personuppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 29 §. Uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål får dock

behandlas även i andra fall, om uppgifterna utgör grund för en fordran i ett ärende.

Gallring

21 § Uppgifter och handlingar i databasen skall gallras fem år efter utgången av det kalenderår då det ärende som uppgifterna eller handlingarna hänför sig till avslutades. Har skuldsanering beviljats i ett ärende skall uppgifter och handlingar dock gallras sju år efter utgången av det kalenderår då beslutet att bevilja skuldsanering fattades.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter eller handlingar skall gallras vid en annan tidpunkt än de som anges i första stycket eller att uppgifter eller handlingar skall bevaras.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter och handlingar som gallras ur databasen skall överlämnas till en arkivmyndighet.

Konkurstillsynsdatabasen

Ändamål

22 § I verksamheten med tillsyn i konkurs skall det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 23 och 24 §§ angivna ändamålen (konkurstillsynsdatabas).

23 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs inom exekutionsväsendet för

1. handläggningen av konkurstillsynsärenden och mål enligt lönegarantilagen (1992:497),

2. tillsyn, kontroll, uppföljning och planering av verksamheten, samt

3. framställning av statistik.

24 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför exekutionsväsendet för tillsyn samt lämplighets-, tillstånds- och annan liknande prövning samt för framställning av statistik.

Innehåll

25 § I databasen får behandlas uppgifter om personer som omfattas av verksamheten enligt 23 § 1. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett mål eller ärende.

26 § För de ändamål som anges i 23 § får i databasen behandlas uppgifter om

1. en fysisk persons identitet, bosättning, familjeförhållanden och andra liknande basuppgifter,

2. en juridisk persons identitet, säte och andra liknande basuppgifter,

3. en enskilds ekonomiska förhållanden,

4. domstols eller myndighets beslut,

5. yrkande och grunder i ett mål eller ärende, samt

6. beslut med angivande av skälen för beslutet och övriga åtgärder i ett mål eller ärende.

Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.

27 § Uppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 29 §.

Gallring

28 § Uppgifter och handlingar i databasen som kan hänföras till ett konkurstillsynsärende skall gallras fem år efter utgången av det kalenderår då ärendet avslutades, dock tidigast tio år efter utgången av det kalender år då beslutet om konkurs fattades. Uppgifter och handlingar som kan hänföras till mål enligt lönegarantilagen (1992:497) skall gallras tre år efter utgången av det kalenderår då handläggningen av målet avslutades.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter eller handlingar skall gallras vid en annan tidpunkt än de som anges i första stycket eller att uppgifter eller handlingar skall bevaras.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.

Gemensamma bestämmelser om databaserna

Elektroniska handlingar

29 § Handlingar som hör till ett mål eller ärende får behandlas i en databas. Sådana handlingar får innehålla de uppgifter som har lämnats i eller är nödvändiga för handläggningen av målet eller ärendet.

Utlämnande av uppgifter till enskilda på medium för automatiserad behandling

30 § Uppgifter i en databas får lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.

Direktåtkomst

31 § Riksskatteverket, kronofogdemyndigheter, skattemyndigheter och

Tullverket får ha direktåtkomst till en databas. Regeringen får meddela föreskrifter om att även annan får ha direktåtkomst för de ändamål som anges i 3, 10, 17 respektive 24 §§.

Annan än Riksskatteverket och kronofogdemyndigheter får inte ha direktåtkomst till handlingar som avses i 29 §. Regeringen får meddela föreskrifter om ytterligare inskränkning i en myndighets eller annans direktåtkomst till en databas.

32 § Regeringen får meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om mål eller ärenden som han har gett in, dock inte till handlingar som avses i 29 §.

33 § Regeringen får meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om sig själv i en databas.

Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får omfattas av direktåtkomst enligt första stycket.

Sökbegrepp

34 § Vid sökning efter handlingar som avses i 29 § får som sökbegrepp användas endast mål- eller ärendebeteckning, beteckning på handling eller annan uppgift som behövs för att identifiera ett mål eller ärende eller en handling.

Övriga bestämmelser

35 § Riksskatteverket och kronofogdemyndigheter får ta ut avgifter för att lämna ut uppgifter ur en databas enligt de närmare föreskrifter som meddelas av regeringen.

Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av allmän handling enligt tryckfrihetsförordningen.

36 § Regeringen får meddela närmare föreskrifter om hur uppgifterna i en databas skall vara indelade.

3 kap. Enskildas rättigheter

Information till den registrerade

1 § Vid tillämpningen av denna lag gäller bestämmelserna om information till den registrerade i 23 och 2527 §§personuppgiftslagen (1998:204), med den begränsning som anges i 2 §.

2 § En handling som avses i 2 kap. 29 § behöver inte lämnas ut till en enskild i samband med att en myndighet fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen (1998:204), om den enskilde har tagit del av handlingens innehåll.

I fall som avses i första stycket skall information i stället lämnas om att handlingen behandlas i en databas. Fullständig information skall emellertid lämnas om den enskilde begär det.

Rättelse

3 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204).

Skadestånd

4 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204).

Överklagande

5 § En myndighets beslut om information som skall lämnas efter ansökan och om rättelse får överklagas hos allmän förvaltningsdomstol.

Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

______________

1. Denna lag träder i kraft den 1 oktober 2001, då utsökningsregisterlagen (1986:617) och lagen (1991:876) om register för betalningsföreläggande och handräckning skall upphöra att gälla. De äldre lagarnas bestämmelser om gallring och innehåll i ett register gäller dock fortfarande i fråga om uppgifter och handlingar som har tillförts registret före den 1 oktober 2001.

2. Bestämmelser i lagen om grundläggande krav på behandling av personuppgifter samt behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m., skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.

3. Har en begäran om registerutdrag enligt 10 § datalagen (1973:289) kommit in innan denna lag träder i kraft men har utdraget inte expedierats före ikraftträdandet, skall framställningen anses som en ansökan om information enligt denna lag.

4. Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft för den aktuella behandlingen.

5. Bestämmelsen om överklagande skall tillämpas endast på beslut som fattas efter ikraftträdandet.

5. Förslag till Lag om behandling av uppgifter i Tullverkets verksamhet

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter och vissa andra uppgifter i Tullverkets verksamhet, om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i denna lag gäller inte behandling av uppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. För sådan behandling finns det bestämmelser i lagen (1997:1058) om register i Tullverkets brottsbekämpande verksamhet.

Förhållandet till personuppgiftslagen

2 § När personuppgifter behandlas enligt denna lag gäller bestämmelserna i personuppgiftslagen (1998:204) om

1. definitioner i 3 §,

2. förhållandet till offentlighetsprincipen m.m. i 8 §,

3. grundläggande krav på behandling i 9 §,

4. behandling av personnummer i 22 §,

5. säkerheten vid behandling i 30

  • 32 §§,

6. överföring av personuppgifter till tredje land i 33–35 §§,

7. personuppgiftsombudets uppgifter m.m. i 38

  • 41 §§,

8. tillsynsmyndighetens befogenheter i 43 och 47 §§, samt

9. straff i 49 §.

Personuppgiftsansvar

3 § Tullverket är personuppgiftsansvarigt för behandling av personuppgifter.

Behandling av känsliga personuppgifter m.m.

4 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i eller är nödvändiga för handläggningen av ett ärende.

För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.

Gallring

5 § Uppgifter som är föremål för automatiserad behandling i ett ärende skall gallras senast ett år efter det att ärendet har avslutats.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter skall gallras vid en annan tidpunkt än den som anges i första stycket eller att uppgifter skall bevaras.

För uppgifter som behandlas med stöd av 2 kap. gäller särskilda bestämmelser.

2 kap. Tulldatabasen

Ändamål

1 § I Tullverkets verksamhet skall det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 2 och 3 §§ angivna ändamålen (tulldatabas).

2 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs hos Tullverket för

1. fastställande, uppbörd, återbetalning och redovisning av tull, annan skatt och avgifter,

2. övervakning, kontroll, analys och revision,

3. fullgörande av åligganden som följer av internationella överenskommelser om Sverige efter riksdagens godkännande har tillträtt,

4. tillsyn, kontroll, uppföljning och planering av verksamheten, samt

5. framställning av statistik.

3 § Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet hos annan än Tullverket för

1. fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,

2. övervakning, kontroll, analys och revision,

3. prövning, granskning och tillsyn som åligger en skattemyndighet,

4. utsökning och indrivning, samt

5. framställning av statistik.

Innehåll

4 § I databasen får behandlas uppgifter om personer som omfattas av verksamhet enligt 2 § 1–3. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.

5 § För de ändamål som anges i 2 § får i databasen behandlas uppgifter om

1. en fysisk persons identitet, bosättning och andra liknande basuppgifter,

2. en juridisk persons identitet, säte och andra liknande basuppgifter,

3. identitetsbeteckningar för transportmedel, containrar och tankar,

4. tulltaxor,

5. underlag för statistikframställning,

6. registrering för skatter eller avgifter,

7. underlag för och bestämmande eller kontroll av tull, annan skatt eller avgifter,

8. tillstånd eller licenser som krävs för import eller export av varor,

9. yrkande och grunder i ett ärende, samt 10. beslut med angivande av skälen för beslutet, betalning, redovisning och övriga åtgärder i ett ärende.

I databasen får även behandlas de uppgifter som behövs för fullgörande av ett åliggande som följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.

6 § Personuppgifter som avses i 1 kap. 4 § första stycket får inte behandlas i databasen i andra fall än som anges i 7 §.

7 § Handlingar som hör till ett ärende får behandlas i databasen.

Sådana handlingar får innehålla de uppgifter som har lämnats i eller är nödvändiga för handläggningen av ärendet.

Utlämnande av uppgifter till enskilda på medium för automatiserad behandling

8 § Uppgifter i databasen får lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det eller om utlämnandet av uppgifterna följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Direktåtkomst

9 § Tullverket, Riksskatteverket, skattemyndigheter och kronofogdemyndigheter får ha direktåtkomst till databasen. Regeringen får meddela föreskrifter om att även annan får ha direktåtkomst för ändamål som anges i 3 §.

Annan än Tullverket får inte ha direktåtkomst till handlingar som avses i 7 §. Regeringen får föreskriva om ytterligare inskränkning i en myndighets eller annans direktåtkomst till databasen.

10 § Regeringen får meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om sig själv i databasen.

Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får omfattas av direktåtkomst enligt första stycket.

Sökbegrepp

11 § Vid sökning efter handlingar som avses i 7 § får som sökbegrepp användas endast tullidentifikationsnummer (tullid), beteckning på handling eller annan uppgift som behövs för att identifiera ett ärende eller en handling.

Gallring

12 § Uppgifter och handlingar i databasen skall gallras sex år efter utgången av det kalenderår då uppgifterna eller handlingarna behandlades i databasen första gången.

Om det i lag eller annan författning har föreskrivits längre tid för bevarande av vissa uppgifter än vad som anges i första stycket, gäller den föreskriften.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter eller handlingar skall gallras vid en annan

tidpunkt än den som anges i första stycket eller att uppgifter eller handlingar skall bevaras.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.

Övriga bestämmelser

13 § Tullverket får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.

Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av allmän handling enligt tryckfrihetsförordningen.

14 § Regeringen får meddela närmare föreskrifter om hur uppgifterna i databasen skall vara indelade.

3 kap. Enskildas rättigheter

Information till den registrerade

1 § Vid tillämpningen av denna lag gäller bestämmelserna om information till den registrerade i 23 och 2527 §§personuppgiftslagen (1998:204), med den begränsning som anges i 2 §.

2 § En handling som avses i 2 kap. 7 § behöver inte lämnas ut till en enskild i samband med att Tullverket fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen (1998:204), om den enskilde har tagit del av handlingens innehåll.

I fall som avses i första stycket skall information i stället lämnas om att handlingen behandlas i databasen. Fullständig information skall emellertid lämnas om den enskilde begär det.

Rättelse

3 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204).

Skadestånd

4 § Vid behandling av personuppgifter enligt denna lag gäller bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204).

Överklagande

5 § Tullverkets beslut om information som skall lämnas efter ansökan och om rättelse får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

_______________

1. Denna lag träder i kraft den 1 oktober 2001, då tullregisterlagen (1990:137) skall upphöra att gälla. Den äldre lagens bestämmelser om gallring och innehåll i ett register gäller dock fortfarande i fråga om uppgifter och handlingar som har tillförts registret före den 1 oktober 2001.

2. Bestämmelser i lagen om grundläggande krav på behandling av personuppgifter samt behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m., skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.

3. Har en begäran om registerutdrag enligt 10 § datalagen (1973:289) kommit in innan denna lag träder i kraft men har utdraget inte expedierats före ikraftträdandet, skall framställningen anses som en ansökan om information enligt denna lag.

4. Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft för den aktuella behandlingen.

5. Bestämmelsen om överklagande skall tillämpas endast på beslut som fattas efter ikraftträdandet.

6. Förslag till Lag om ändring i sekretesslagen (1980:100)

Härigenom föreskrivs att 9 kap.1 och 19 §§sekretesslagen (1980:100) skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

9 kap.

1 §1

Sekretess gäller i myndighets verksamhet, som avser bestämmande av skatt eller som avser taxering eller i övrigt fastställande av underlag för bestämmande av skatt, för uppgift om enskilds personliga eller ekonomiska förhållanden. Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur register som avses i skatteregisterlagen (1980:343)för uppgift som har tillförts sådant register och hos kommun eller landsting för uppgift som har lämnats dit i ett ärende om förhandsbesked i skatte- eller taxeringsfråga. Uppgift hos Tullverket får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. För uppgift i mål hos domstol gäller sekretessen endast om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Detsamma gäller uppgift som med anledning av överklagande hos domstol registreras hos annan myndighet enligt 15 kap. 2 § första stycket 3

Sekretess gäller i myndighets verksamhet, som avser bestämmande av skatt eller som avser taxering eller i övrigt fastställande av underlag för bestämmande av skatt, för uppgift om enskilds personliga eller ekonomiska förhållanden. Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur beskattningsdatabasen enligt lagen (0000:000) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet och tulldatabasen enligt lagen (0000:000) om behandling av uppgifter i

Tullverkets verksamhet för uppgift som har tillförts databaserna samt hos kommun eller landsting för uppgift som har lämnats dit i ett ärende om förhandsbesked i skatte- eller taxeringsfråga. Uppgift hos

Tullverket får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. För uppgift i mål hos domstol gäller sekretessen endast om det kan antas

1 Senaste lydelse 1999:301.

eller 4. Har uppgift i mål hos domstol erhållits från annan myndighet och är den sekretessbelagd där, gäller dock denna sekretess hos domstolen, om uppgiften saknar betydelse i målet.

att den enskilde lider skada eller men om uppgiften röjs. Detsamma gäller uppgift som med anledning av överklagande hos domstol registreras hos annan myndighet enligt 15 kap. 2 § första stycket 3 eller 4. Har uppgift i mål hos domstol erhållits från annan myndighet och är den sekretessbelagd där, gäller dock denna sekretess hos domstolen, om uppgiften saknar betydelse i målet

Med skatt avses i detta kapitel skatt på inkomst och, med undantag för arvsskatt och gåvoskatt, annan direkt skatt samt omsättningsskatt, tull och annan indirekt skatt. Med skatt jämställs arbetsgivaravgift, prisregleringsavgift och liknande avgift, avgift enligt lagen (1999:291) om avgift till registrerat trossamfund samt skattetillägg och förseningsavgift. Med verksamhet som avser bestämmande av skatt jämställs verksamhet som avser bestämmande av pensionsgrundande inkomst.

Sekretessen gäller inte beslut, varigenom skatt eller pensionsgrundande inkomst bestäms eller underlag för bestämmande av skatt fastställs, såvida inte beslutet meddelas i ärende om

1. förhandsbesked i taxerings- eller skattefråga,

2. medgivande att skattepliktig intäkt enligt reglerna om statlig inkomstskatt inte skall anses uppkomma vid avyttring av aktier i fåmansföretag,

3. beskattning av utländska forskare vid tillfälligt arbete i Sverige när beslutet har fattats av Forskarskattenämnden.

Om det inte av särskild anledning kan antas att den enskilde som uppgiften avser eller någon honom närstående lider men om uppgiften röjs, får till enskild lämnas ut uppgift om

1. registrering enligt skattebetalningslagen (1997:483) samt särskilt registrerings- och redovisningsnummer,

2. organisationsnummer och firma,

3. på vilket sätt den preliminära skatten skall betalas för en fysisk person,

4. registrering av skyldighet att inbetala innehållen preliminär A-skatt eller arbetsgivaravgifter,

5. slag av näringsverksamhet, samt

6. beslut om likvidation eller konkurs.

Utan hinder av sekretessen får uppgift lämnas till enskild enligt vad som föreskrivs i lag om förfarande vid beskattning eller om skatteregister. Vidare får utan hinder av sekretessen uppgift i en revisionspromemoria lämnas till förvaltare i den reviderades konkurs.

Utan hinder av sekretessen får uppgift lämnas till enskild enligt vad som föreskrivs i lag om förfarande vid beskattning. Vidare får utan hinder av sekretessen uppgift i en revisionspromemoria lämnas till förvaltare i den reviderades konkurs.

I fråga om uppgift i allmän handling gäller sekretessen i högst tjugo år. För uppgift om avgift enligt lagen om avgift till registrerat trossamfund gäller dock sekretessen i högst sjuttio år.

19 §2

Sekretess gäller inom exekutionsväsendet i mål eller ärende angående exekutiv verksamhet för uppgift om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller honom närstående lider avsevärd skada eller betydande men om uppgiften röjs. Sekretessen gäller dock inte uppgift om förpliktelse som avses med den sökta verkställigheten och inte heller beslut i målet eller ärendet.

Sekretess gäller inom exekutionsväsendet i mål eller ärende angående utsökning och indrivning samt i verksamhet enligt lagen (1986:436) om näringsförbud, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller honom närstående lider skada eller men. Sekretessen gäller dock inte uppgift om förpliktelse som avses med den sökta verkställigheten i ett pågående mål och inte heller beslut i ett mål eller ärende.

2 Senaste lydelse 1995:1371.

Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur ett utsökningsregister för uppgift som har tillförts registret.

Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur utsöknings- och indrivningsdatabasen enligt lagen (0000:000) om behandling av uppgifter i exekutionsväsendets verksamhet för uppgift som har tillförts databasen.

Utan hinder av sekretessen får uppgifter om en enskild lämnas till förvaltare i den enskildes konkurs.

I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år, såvitt angår uppgift om enskilds personliga förhållanden, och annars i högst tjugo år.

14 kap.

10 §3

Myndighet får uppställa förbehåll, som inskränker enskild mottagares rätt att lämna uppgift vidare eller utnyttja uppgift, också när

1. myndigheten enligt 5 § lämnar sekretessbelagd uppgift till part, ställföreträdare, ombud eller biträde,

2. myndigheten med stöd av 7 § första stycket lämnar uppgift till någon som inte är knuten till myndigheten på det sätt som anges i 1 kap. 6 §,

3. myndigheten med stöd av 9 kap. 1 § fjärde stycket andra meningen eller 9 kap. 2 § fjärde stycket lämnar uppgift till konkursförvaltare.

Myndighet får uppställa förbehåll, som inskränker enskild mottagares rätt att lämna uppgift vidare eller utnyttja uppgift, också när

1. myndigheten enligt 5 § lämnar sekretessbelagd uppgift till part, ställföreträdare, ombud eller biträde,

2. myndigheten med stöd av 7 § första stycket lämnar uppgift till någon som inte är knuten till myndigheten på det sätt som anges i 1 kap. 6 §,

3. myndigheten med stöd av 9 kap. 1 § femte stycket andra meningen, 9 kap. 2 § fjärde stycket eller 9 kap. 19 § tredje stycket lämnar uppgift till konkursförvaltare.

3 Senaste lydelse 1994:595.

Förbehåll enligt första stycket 1 får inte innebära förbud mot att utnyttja uppgiften i målet eller ärendet eller mot att lämna muntlig upplysning till part, ställföreträdare, ombud eller biträde.

Har förbehåll uppställts enligt första stycket 2, skall i fråga om förbehållet gälla vad som föreskrivs i 7 § tredje och fjärde styckena angående förbud att lämna ut eller utnyttja uppgift.

Ett förbehåll enligt första stycket 3 får inte innebära ett förbud att utnyttja uppgiften om den behövs för att förvaltaren skall kunna fullgöra de skyldigheter som åvilar honom i anledning av konkursen.

Förordnande av regeringen eller riksdagen för särskilt fall om undantag från sekretess för uppgift får förenas med villkor att förbehåll som anges i första stycket skall uppställas vid utlämnande av uppgiften.

_____________

Denna lag träder i kraft den 1 oktober 2001.

7. Förslag till Lag om ändring i tullagen (1994:1550)

Härigenom föreskrivs att 11 och 118 §§tullagen (1994:1550) skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

11 §1

I verksamheten enligt tullagstiftningen använder Tullverket ett system för automatsik databehandling (tulldatasystemet). Bestämmelser om register som ingår i systemet finns i tullregisterlagen (1990:137).

I verksamheten enligt tullagstiftningen använder Tullverket ett system för automatsik databehandling (tulldatasystemet). Bestämmelser om behandling av uppgifter i systemet finns i lagen (0000:000) om behandling av uppgifter i Tullverkets verksamhet.

118 §2

Tullverket skall på begäran tillhandahålla Sveriges Riksbank, Riksskatteverket, Statens livsmedelsverk, Statens jordbruksverk, Kommerskollegium, skattemyndighet, Statistiska centralbyrån, Kemikalieinspektionen och Fiskeriverket uppgifter som förekommer hos Tullverket och som rör import eller export av varor.

Tullverket skall på begäran tillhandahålla Sveriges Riksbank, Riksskatteverket, Statens livsmedelsverk, Statens jordbruksverk, Kommerskollegium, skattemyndighet, kronofogdemyndighet, Statistiska centralbyrån, Kemikalieinspektionen och Fiskeriverket uppgifter som förekommer hos Tullverket och som rör import eller export av varor.

1 Senaste lydelse 1999:425. 2

Senaste lydelse 1999:425.

I tullregisterlagen (1990:137) finns bestämmelser om utlämnande till vissa myndigheter av uppgifter ur tullregistret på medium för automatisk databehandling.

_____________

Denna lag träder i kraft den 1 oktober 2001.

8. Förslag till Lag om ändring i kreditupplysningslagen (1973:1173)

Härigenom föreskrivs att det i kreditupplysningslagen (1973:1173) skall införas en ny paragraf, 7 a §, av följande lydelse.

7 a §

När en uppgift som hämtats in från en databas som avses i 2 kap. 1 eller 8 § lagen ( 0000:000 ) om behandling av uppgifter i exekutionsväsendets verksamhet inte längre omfattas av undantaget från sekretess i 9 kap. 19 § första stycket andra meningen sekretesslagen (1980:100) , skall den gallras så snart det kan ske och senast innan en upplysning lämnas om den som uppgiften avser.

_____________

Denna lag träder i kraft den 1 oktober 2001.

9. Förslag till Lag om ändring i lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter

Härigenom föreskrivs i fråga om lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter1

dels att i 2 och 3 §§ orden ”ett utsökningsregister” skall bytas ut mot ”utsöknings- och indrivningsdatabasen enligt lagen (0000:000) om behandling av uppgifter i exekutionsväsendets verksamhet”,

dels att i 15 § ordet ”utsökningsregistret” skall bytas ut mot ”utsökningsoch indrivningsdatabasen enligt lagen (0000:000) om behandling av uppgifter i exekutionsväsendets verksamhet”.

_____________

Denna lag träder i kraft den 1 oktober 2001

1 Senaste lydelse av 2, 3 och 15 §§ 1995:1372.

10. Förslag till Lag om ändring i folkbokföringslagen (1991:481)

Härigenom föreskrivs att 1 och 28 §§folkbokföringslagen (1991:481) skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §1

Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av uppgifter om identitet, familj och andra förhållanden som enligt lagen (1990:1536) om folkbokföringsregister får förekomma i sådant register.

Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av uppgifter om identitet, familj och andra förhållanden som enligt lagen (0000:000) om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet får förekomma i folkbokföringsdatabasen.

Vigsel, födelse och dödsfall i landet skall registreras även i fråga om en person som inte är eller har varit folkbokförd.

Folkbokföring och registrering som avses i andra stycket sker genom skattemyndighetens försorg.

28 §2

Anmälan enligt 25 eller 26 § skall innehålla följande uppgifter:

1. namn och personnummer,

2. datum för ändring av bostads- eller postadress,

3. ny bostads- och postadress och, om fastigheten innehåller flera bostadslägenheter, lägenhetsbeteckning som avses i lagen (1995:1537)om lägenhetsregister samt beräknad giltighetstid,

4. registerbeteckning för den fastighet som den nya bostadsadressen avser,

5. vem som upplåtit den fastighet eller bostadslägenhet som den nya bostadsadressen avser.

Anmälan enligt 26 § skall dessutom innehålla uppgift om inflyttningsdag till landet, avsikten med vistelsen här och dess

Anmälan enligt 26 § skall dessutom innehålla uppgift om inflyttningsdag till landet, avsikten med vistelsen här och dess

1 Senaste lydelse 1994:1975. 2

Senaste lydelse 1995:1538.

beräknade varaktighet samt de uppgifter som får föras in i folkbokföringsregistret enligt lagen (1990:1536) om folkbokföringsregister.

beräknade varaktighet samt de uppgifter som får föras in i folkbokföringsdatabasen enligt lagen (0000:000) om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet

_____________

Denna lag träder i kraft den 1 oktober 2001.

11. Förslag till Lag om ändring i sametingslagen (1992:1433)

Härigenom föreskrivs att i 3 kap. 3 § sametingslagen (1992:1433)1 orden ”aviseringsregistret enligt lagen (1995:743) om aviseringsregister” skall bytas ut mot ”folkbokföringsdatabasen enligt lagen (0000:000) om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet”

_____________

Denna lag träder i kraft den 1 oktober 2001.

1

Senaste lydelse av 3 kap. 3 § 1997:168.

12. Förslag till Lag om ändring i lagen (1993:672) om skattereduktion för utgifter för byggnadsarbete på bostadshus

Härigenom föreskrivs att 17 § lagen (1993:672) om skattereduktion för utgifter för byggnadsarbete på bostadshus skall upphöra att gälla vid utgången av september 2001.

13. Förslag till Lag om ändring i lagen (1994:1563) om tobaksskatt

Härigenom föreskrivs att 36 § lagen (1994:1563) om tobaksskatt skall upphöra att gälla vid utgången av september 2001.

14. Förslag till Lag om ändring i lagen (1994:1564) om alkoholskatt

Härigenom föreskrivs att 36 § lagen (1994:1564) om alkoholskatt skall upphöra att gälla vid utgången av september 2001.

15. Förslag till Lag om ändring i lagen (1994:1776) om skatt på energi

Härigenom föreskrivs att 6 kap.11 och 12 §§ lagen (1994:1776) om skatt på energi skall upphöra att gälla vid utgången av september 2001.

16. Förslag till Lag om ändring i lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m.

Härigenom föreskrivs att 10, 13 och 14 §§ lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m. skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

10 §

Regeringen får meddela andra föreskrifter om skatte-, tull-, folkbokförings- och utsökningsregister än de som annars gäller.

Regeringen får meddela andra föreskrifter om behandling av personuppgifter i skatteförvaltningens beskattningsdatabas och folkbokföringsdatabas, exekutionsväsendets utsöknings- och indrivningsdatabas samt Tullverkets tulldatabas än de som annars gäller.

13 §1

Regeringen får överlåta sin befogenhet enligt 9 eller 10 § att meddela föreskrifter på Riksskatteverket eller, beträffande tullregister, Tullverket. Regeringen får vidare överlåta sin befogenhet enligt 11 § att meddela föreskrifter om omprövning på Riksskatteverket eller, beträffande tullar, Tullverket.

Regeringen får överlåta sin befogenhet enligt 9 eller 10 § att meddela föreskrifter på Riksskatteverket eller, beträffande tulldatabasen, Tullverket. Regeringen får vidare överlåta sin befogenhet enligt 11 § att meddela föreskrifter om omprövning på Riksskatteverket eller, beträffande tullar, Tullverket.

14 §2

Regeringen får överlåta befogenhet som regeringen har enligt de skatte-, tull-, avgifts-, folkbok-

Regeringen får överlåta befogenhet som regeringen har enligt de skatte-, tull-, avgifts- och folk-

1 Senaste lydelse 1999:432. 2

Senaste lydelse 1999:432.

förings- och registerförfattningar som reglerar förhållanden som omfattas av denna lag på

Riksskatteverket eller, beträffande tullar och tullregister, Tullverket.

bokföringsförfattningar samt de författningar om behandling av personuppgifter och andra uppgifter som reglerar förhållanden som omfattas av denna lag på

Riksskatteverket eller, beträffande tullar och behandling av uppgifter i Tullverkets verksamhet, Tullverket.

_____________

Denna lag träder i kraft den 1 oktober 2001.

17. Förslag till Lag om ändring i lagen (1995:1623) om skattereduktion för riskkapitalinvesteringar

Härigenom föreskrivs att 19 § lagen (1995:1623) om skattereduktion för riskkapitalinvesteringar skall upphöra att gälla vid utgången av september 2001.

18. Förslag till Lag om ändring i lagen (1996:725) om skattereduktion för utgifter för byggnadsarbete på bostadshus

Härigenom föreskrivs att 16 § lagen (1996:725) om skattereduktion för utgifter för byggnadsarbete på bostadshus skall upphöra att gälla vid utgången av september 2001.

19. Förslag till Lag om ändring i lagen (1996:1231) om skattereduktion för fastighetsskatt i vissa fall vid 1997–2001 års taxeringar

Härigenom föreskrivs att 7 § lagen (1996:1231) om skattereduktion för fastighetsskatt i vissa fall vid 1997–2001 års taxeringar skall upphöra att gälla vid utgången av september 2001.

20. Förslag till Lag om ändring i vallagen (1997:157)

Härigenom föreskrivs att i 2 kap. 6 §, 3 kap.2, 6 och 8 §§, 6 kap. 11 § samt 7 kap.4 och 6 §§vallagen (1997:157) orden ”aviseringsregistret enligt lagen (1995:743) om aviseringsregister” skall bytas ut mot ”folkbokföringsdatabasen enligt lagen (0000:000) om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet”.

1. Uppdraget

1.1. Utredningens direktiv

Vi har i uppdrag att göra en översyn av de författningar som reglerar register inom skatteförvaltningen och exekutionsväsendet samt tullregisterlagen (1990:137). Vi skall även gå igenom de register som inte är författningsreglerade och föreslå en sådan reglering i de fall det bedöms ändamålsenligt. Översynen skall göras med utgångspunkt från personuppgiftslagen (1998:204) samt Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Dessutom skall en allmän översyn göras av de författningar som reglerar skatteförvaltningens och exekutionsväsendets register. En utgångspunkt för utredningsarbetet skall vara att skapa enkla och lättbegripliga regler som är anpassade efter den tekniska utvecklingen och därvid beakta statistikens och forskningens behov. En annan utgångspunkt skall vara att anpassa regleringen så att den tillgodoser ett generellt behov av ADB-stöd i myndigheternas ärendehantering.

Bland de frågor som vi enligt direktiven särskilt skall undersöka kan noteras omfattningen av direktåtkomst till myndigheternas register, omfattningen av och formerna för utlämnande av uppgifter från skatte- och utsökningsregistren samt arkivering och gallring av ADB-material. Utgångspunkten för utredningsarbetet i denna del skall vara att direktåtkomst skall medges endast om behovet av sådan åtkomst överväger de risker från integritetssynpunkt som direktåtkomst kan medföra. Vi skall även överväga om sekretesslagens (1980:100) bestämmelser behöver ändras för att effektivisera skatte- och kronofogdemyndigheternas verksamhet, med hänsyn till den stora skillnad som i dag finns i sekretesskyddet mellan beskattningsverksamheten och den exekutiva verksamheten.

En annan fråga som vi skall utreda är om vissa handlingar även i framtiden skall undantas från myndigheternas skyldighet att lämna registerutdrag. Vi skall även undersöka om det i framtiden finns behov av att föra det särskilda taxeringsuppgiftsregistret vid sidan av skatteregistren. Vidare skall vi utreda vilka register som kan regleras inom ra-

men för en ny skatteregisterlag. På motsvarande sätt som inom beskattningsområdet skall vi undersöka vilka register inom exekutionsväsendet som kan ges en enhetlig reglering, eventuellt inom samma lag som utsökningsregistren. Detta gäller även beträffande registren för konkurstillsyn och det planerade handläggningsstödet för exekutiva försäljningar av fastigheter, luftfartyg, skepp och bostadsrätter.

Inom Tullverket pågår ett arbete med ett datoriserat system för riskanalys inom ramen för tulldatasystemet. Projektet syftar till att förändra arbetsmetoderna mot en mer generell inriktning och användning av riskanalyser i tullens klarerings- och kontrollarbete. Riskanalysarbetet är av sådan betydelse att vi skall överväga om inte denna användning av tulldatasystemet också bör avspeglas i tullregisterlagen.

Direktiven i sin helhet framgår av bilaga 1. Regeringen har genom beslut den 21 januari 1999 förlängt tiden för utredningens uppdrag till den 1 oktober 1999.

1.2. Utredningsarbetet

Vårt arbete har bedrivits med målsättningen att anpassa bestämmelserna om behandling av personuppgifter i de verksamheter som omfattas av uppdraget till dels dataskyddsdirektivets och personuppgiftslagens rättsliga ramar, dels verksamheternas behov av ett modernt och ändamålsenligt regelverk. Hänsyn har tagits särskilt till de integritetsaspekter som följer av användningen av omfattande automatiserade uppgiftssamlingar i myndighetsverksamhet.

Som ett led i arbetet har studiebesök gjorts hos Riksskatteverket och Generaltullstyrelsen för att inhämta information om de olika register som används i de aktuella verksamheterna och om vilka behov som kan förutses uppstå i framtiden i fråga om användningen av automatiserade behandlingar av uppgifter. I samma syfte har även Skattemyndigheten i Jönköpings län, Kronofogdemyndigheten i Jönköping samt Tullmyndigheten i Malmö besökts. Studiebesök har gjorts även hos Riksarkivet.

Vi har samrått med Ekosekretessutredningen (Ju 1997:04) och Tulllagsutredningen (Fi 1997:03). Samråd har ägt rum även med Statistikregelgruppen, en arbetsgrupp inom Justitiedepartementet.

2. Behandling av personuppgifter m.m.

Från och med den 24 oktober 1998 finns grundläggande bestämmelser om behandling av personuppgifter i personuppgiftslagen (1998:204). Lagen har sin utgångspunkt i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Detta kapitel innehåller en redogörelse för personuppgiftslagens bestämmelser samt för de internationella bestämmelser som är aktuella i fråga om den behandling av personuppgifter som omfattas av utredningsuppdraget. Även datalagen (1973:289), vars bestämmelser i vissa fall fortfarande tillämpas, behandlas kortfattat. I detta kapitel redogörs även för frågor om sekretess för uppgifter inom de statliga verksamheter som uppdraget avser.

2.1. Internationella konventioner m.m.

2.1.1. Dataskyddskonventionen

Internationella riktlinjer har meddelats för automatisk databehandling av personuppgifter. Bestämmelser av betydelse finns i bl.a. Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionens innehåll kan ses som en precisering av skyddet vid användning av automatisk databehandling enligt artikel 8 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna.

Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste uppfylla i sin nationella lagstiftning. Personuppgifter som är föremål för automatisk databehandling skall

hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Uppgifterna måste vara relevanta för och förenliga med ändamålen. Vidare måste uppgifterna vara riktiga och aktuella och får inte bevaras längre än vad som är nödvändigt för ändamålen. Vissa personuppgifter får behandlas endast om den nationella lagen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter om enskildas ras, politiska tillhörighet, religiösa tro eller övertygelse i övrigt, hälsa eller sexualliv eller uppgifter som hänför sig till misstanke om brott och dom för brott.

För att skydda personuppgifter mot oavsiktlig eller otillåten förstörelse m.m. föreskriver konventionen att lämpliga skyddsåtgärder skall vidtas. Vidare skall den registrerade ha möjligheter till insyn i register och till att få uppgifter rättade. I vissa fall får undantag göras från bestämmelserna om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar i den enskildes skydd förutsätter stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa ändamål, t.ex. statens penningintressen och brottsbekämpning samt för att skydda enskildas fri- och rättigheter.

Dataskyddskonventionens roll som riktmärke för automatiserad behandling av personuppgifter övertas i princip av dataskyddsdirektivet i och med att detta införlivas i EU-ländernas nationella lagstiftningar. Direktivet behandlas närmare i avsnitt 2.2.

2.1.2. Riktlinjer från OECD

Internationella riktlinjer för integritetsskydd och persondataflöde har även utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som återfinns i dataskyddskonventionen och redovisas inte närmare här. Det bör tilläggas att år 1998 antogs OECD:s ministerdeklaration ”Protection of Privacy on Global Networks”, som innebar att man slog fast intentionen att i ett internationellt perspektiv harmonisera de regler som bör gälla för hantering av personuppgifter i globala nätverk, för att skydda den personliga integriteten.

2.2. Dataskyddsdirektivet

Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivets principer om skydd för enskilda personers fri- och rättigheter är en precisering och förstärkning av principerna i dataskyddskonventionen från 1981. Syftet med direktivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte skall kunna hindra det fria flödet mellan dem av personuppgifter under hänvisning till enskilda personers fri- och rättigheter.

Dataskyddsdirektivet är direkt bindande för medlemsstaterna i fråga om det resultat som skall uppnås. För att bli gällande rätt måste direktivet införlivas i den nationella lagstiftningen. Medlemsstaterna bestämmer själva på vilket sätt direktivet skall införlivas, men är därvid starkt bundna av direktivets innehåll. Medlemsstaterna kan inte föreskriva vare sig ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som följer av dataskyddsdirektivet.

2.2.1. Tillämpningsområde

Dataskyddsdirektivet handlar om fysiska personers skydd. Skyddet för juridiska personer berörs inte av direktivet. Inte heller berörs sådan verksamhet som faller utanför gemenskapsrätten, däribland verksamhet som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

Dataskyddsdirektivet omfattar inte bara automatiserad behandling utan också manuell behandling av personuppgifter, dock endast behandling av uppgifter som ingår eller kommer att ingå i ett register. Utanför tillämpningsområdet faller t.ex. ostrukturerade akter. Kriterierna för när uppgifterna är så strukturerade att fråga är om ett manuellt register bestäms inte i direktivet, utan kan utformas av varje enskild medlemsstat. Dataskyddsdirektivet omfattar inte behandling av personuppgifter för privat bruk, oavsett om behandlingen är automatiserad eller manuell.

2.2.2. Bestämmelser om när personuppgifter får behandlas

Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen skall vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.

Personuppgifter får enligt direktivet behandlas bara i vissa fall. Uppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgörande av avtal där den registrerade är part. Behandling får också ske om den är nödvändig för att fullgöra en rättslig förpliktelse, som åvilar den registeransvarige, eller för att skydda vitala intressen för den registrerade. Vidare får behandling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Slutligen får personuppgifter behandlas efter en intresseavvägning, nämligen om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas.

Vissa särskilda i direktivet angivna kategorier av uppgifter får inte behandlas utan uttryckligt samtycke av den registrerade. Det gäller sådana uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I vissa, särskilt angivna, undantagsfall får dock sådan behandling ske även utan den enskildes samtycke, t.ex. när behandling av sådana uppgifter är nödvändig för åtgärder inom hälso- och sjukvård eller liknande. Medlemsländerna får under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse besluta om andra undantag än de som anges i direktivet.

Behandling av uppgifter om lagöverträdelser och brottmålsdomar m.m. får utan särskilt stöd i nationell lagstiftning utföras endast under kontroll av en myndighet.

2.2.3. Information och rättelse m.m.

Dataskyddsdirektivet föreskriver att den registeransvarige skall informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige inte lämna någon information, om det skulle visa sig vara omöjligt eller

innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade. Om en uppgift rättas skall den registeransvarige underrätta tredje man som fått del av den felaktiga uppgiften. Underrättelse behövs dock inte i de fall där sådan är omöjlig eller förenad med en oproportionerligt stor arbetsinsats.

Medlemsstaterna får föreskriva begränsningar i fråga om vissa skyldigheter och rättigheter, bl.a. informationsskyldigheten och rättigheten att på begäran få tillgång till uppgifter. En sådan begränsning måste dock vara en nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. intresset av att undersöka, avslöja och åtala för brott samt skyddet av den registrerades eller andras fri- och rättigheter.

Till skydd för den registrerade innehåller direktivet även bestämmelser om säkerhet vid behandlingen. Genom lämpliga tekniska och organisatoriska åtgärder skall den registeransvarige skydda personuppgifter mot otillåten behandling samt mot förstöring, förlust, ändring eller otillåten spridning.

2.2.4. Tillsynsmyndighet

I dataskyddsdirektivet föreskrivs ett relativt omfattande anmälningsförfarande till en tillsynsmyndighet när det gäller helt eller delvis automatiserad behandling av personuppgifter. För icke-automatiserade behandlingar får medlemsländerna föreskriva ett förenklat anmälningsförfarande. Undantag från anmälningsplikt alternativt tillämpning av ett förenklat anmälningsförfarande får också föreskrivas dels om det med hänsyn till de behandlade uppgifterna inte är sannolikt att den registrerades fri- eller rättigheter kränks, dels om den registeransvarige har utsett ett uppgiftsskyddsombud.

2.2.5. Överföring av personuppgifter till tredje land

Direktivet syftar till ett fritt flöde av personuppgifter mellan medlemsländerna. Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att behandlas efter överföringen, till ett land utanför unionen (tredje land), får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat skyddsnivå får avgöras med hänsyn tagen till bl.a. de uppgifter som skall behandlas och ändamålet med behandlingen.

I vissa fall får personuppgifter föras över till länder vars lagstiftning i och för sig inte erbjuder en adekvat skyddsnivå. Det gäller bl.a. om den registrerade går med på att överföring sker eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen. Exempel på det sistnämnda är vissa överföringar vid internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter.

2.2.6. Medlemsländernas nationella lagstiftning

Dataskyddsdirektivet skulle vara införlivat i medlemsländernas nationella lagstiftningar senast den 24 oktober 1998. När det gäller sådan behandling av personuppgifter som pågick vid den tidpunkten, skall denna bringas i överensstämmelse med direktivet senast tre år därefter. I fråga om manuella register gäller dock en övergångstid om tolv år. För Sveriges del har införlivande av direktivet skett genom personuppgiftslagen, som trädde i kraft just den 24 oktober 1998. Enligt övergångsbestämmelserna till lagen skall dock äldre lagstiftning, dvs. datalagen, tillämpas i sådana fall och under de tider som anges i dataskyddsdirektivet i fråga om bl.a. pågående behandling av personuppgifter (se avsnitt 2.4.10).

2.3. Datalagen

Datalagen från 1973 har nu ersatts av personuppgiftslagen, vars innehåll i väsentliga delar avviker från den tidigare lagstiftningen. Datalagen skall dock alltjämt tillämpas på bl.a. behandling av personuppgifter som påbörjades före den 24 oktober 1998. De register som skall ses över inom ramen för utredningsuppdraget baseras dessutom på datalagens bestämmelser. Det är därför av intresse att redovisa de mer väsentliga delarna av den lagen.

2.3.1. Allmänt om lagen och dess tillämpningsområde

Enligt 2 kap. 3 § andra stycket regeringsformen (RF) skall den enskilde medborgaren skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling.

Den närmare omfattningen av skyddet, som inte omfattar juridiska personer, skall enligt bestämmelsen anges i lag.

Enligt datalagen skall med personregister förstås register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgifterna. Datalagen omfattar således endast de register som förs med hjälp av automatisk databehandling. Lagen trädde i kraft den 1 juli 1973 och har, så långt den fortfarande tilllämpas, till syfte att hindra att hantering av personregister som förs med hjälp av automatisk databehandling medför otillbörligt intrång i den personliga integriteten. Integritetsskyddet omfattar endast fysiska personer. Datalagen är i princip tillämplig på samtliga personregister utom sådana som enskilda personer inrättar eller för uteslutande för personligt bruk. Lagen innehåller regler om tillstånd, registeransvarigas skyldigheter, tillsyn samt straff och skadestånd.

Datalagen skyddar endast mot otillbörligt intrång i den personliga integriteten. Enskilda får alltså räkna med visst intrång. Vad som utgör otillbörligt integritetsintrång får avgöras från fall till fall. Vid sådan prövning skall särskild hänsyn tas till vissa i lagen uppräknade omständigheter, nämligen arten och mängden av de personuppgifter som skall ingå i registret, hur och från vem uppgifterna skall inhämtas samt den inställning till registret som föreligger eller kan antas föreligga hos dem som kan komma att registreras. Det skall också särskilt beaktas att inte andra uppgifter eller andra personer registreras, än som står i överensstämmelse med registrets ändamål.

2.3.2. Tillstånd m.m.

Endast den som hade anmält sig till Datainspektionen och fått licens fick inrätta och föra personregister som omfattas av lagen. För att få inrätta och föra register som innehöll särskilt känsliga personuppgifter krävdes dessutom inspektionens tillstånd. Uppgifter ansågs vara särskilt känsliga om de avslöjade att någon t.ex. misstänktes eller hade dömts för brott, uppbar socialt bistånd eller om uppgifterna berörde personens hälsotillstånd. Också uppgifter om ras, politisk uppfattning, religiös tro eller övertygelse i övrigt föll inom kategorin särskilt känsliga uppgifter. Endast myndigheter som enligt lag eller annan författning är skyldiga att ha sådana register fick normalt registrera denna typ av personuppgifter. Tillstånd från Datainspektionen krävdes också när personregister skulle innehålla omdömen om den registrerade eller uppgifter om personer som saknade särskild anknytning till den registeransvarige. Detsamma gällde då personuppgifter inhämtades från andra register och sambearbetades.

Vid tillståndsprövningen skulle Datainspektionen ta ställning till om det fanns anledning att anta att registreringen av uppgifter medförde ett otillbörligt intrång i den registrerades integritet. Om så var fallet skulle tillstånd inte lämnas. Meddelade Datainspektionen tillstånd skulle inspektionen också meddela föreskrift om ändamålet med registret. Om det fanns särskilda skäl fick tillståndet begränsas till viss tid. I den mån det behövdes för att förebygga otillbörligt intrång i personlig integritet fick inspektionen också meddela föreskrifter om t.ex. vilka uppgifter som fick ingå i registret, de bearbetningar av personuppgifter som fick göras med hjälp av automatisk databehandling, bevarande och gallring av uppgifter samt kontroll och säkerhet.

I vissa fall behövdes inte tillstånd från Datainspektionen trots att registren innehöll sådana känsliga uppgifter som nämnts ovan. Personregister vars inrättande beslutats av riksdagen eller regeringen (s.k. statsmaktsregister) var exempelvis undantagna från tillståndsplikt.

2.3.3. Den registeransvariges skyldigheter

Enligt datalagen är den registeransvarig för vars verksamhet ett personregister förs, om han eller hon förfogar över registret. Såväl fysiska personer som företag och myndigheter kan vara registeransvariga. Den registeransvarige är skyldig att se till att personregister inrättas och förs så att otillbörligt intrång inte sker i den registrerades personliga integritet. Han eller hon skall även se till att registret förs för sitt ändamål samt att uppgifterna behandlas i överensstämmelse med ändamålet och i enlighet med lag och andra föreskrifter.

Är någon uppgift oriktig eller missvisande skall den rättas, ändras eller uteslutas om det inte saknas anledning att anta att otillbörligt intrång i den registrerades integritet skall uppkomma. Likaså skall den registeransvarige se till att en ofullständig personuppgift kompletteras för att förebygga otillbörligt integritetsintrång eller rättsförlust för den enskilde. Vidare skall den registeransvarige på begäran av en enskild underrätta vederbörande om innehållet i de personuppgifter om honom eller henne som ingår i registret (registerutdrag). Om registret inte innehåller några personuppgifter om den enskilde skall han eller hon i stället underrättas om den saken. Om den enskilde lider skada av att oriktiga eller missvisande uppgifter om honom eller henne har behandlats i register, så skall den registeransvarige ersätta skadan. Den registeransvarige kan även dömas till straff om han eller hon inte följer sina åligganden enligt datalagen.

2.3.4. Datainspektionens befogenheter

Datainspektionen utövar tillsyn över att automatisk databehandling inte medför otillbörligt intrång i den personliga integriteten. För detta ändamål har inspektionen tillträde till lokal där datautrustning finns samt rätt att föranstalta om körning av datamaskin. Datainspektionen kan förbjuda fortsatt förande av register eller återkalla ett meddelat tillstånd. Datainspektionen kan dock inte meddela sådana beslut om registren i fråga är statsmaktsregister.

2.4. Personuppgiftslagen

Med anledning av att dataskyddsdirektivet skulle antas, beslutade regeringen i juni 1995 att tillsätta Datalagskommittén. Kommitténs uppgift var att göra en total revision av datalagen och utreda på vilket sätt direktivet skulle införlivas i svensk rätt. Uppdraget redovisades i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39). Personuppgiftslagen (1998:204) bygger i allt väsentligt på det förslag som lades fram i betänkandet.

2.4.1. Allmänt om lagen och dess tillämpningsområde

Dataskyddsdirektivet bygger på att själva hanteringen av personuppgifter regleras. Personuppgiftslagen följer direktivets struktur och avvikelser görs endast när det finns särskilda skäl för det. I likhet med direktivet reglerar personuppgiftslagen själva hanteringen av personuppgifter och inte bara missbruk av sådana uppgifter. Det innebär att behandling av personuppgifter som inte sker med stöd av personuppgiftslagen är otillåten. I motiven (prop. 1997/98:44, s. 36 f.) konstaterar regeringen dock att en framtida ordning där bara missbruket regleras är önskvärd, men en sådan ordning skall då föregås av ett EG-direktiv.

Personuppgiftslagen är utformad så att den är teknikoberoende. Den tillämpas på all – helt eller delvis – automatiserad behandling av personuppgifter. Dessutom är lagen tillämplig på manuell behandling av uppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §).

Personuppgiftslagen är mer generell än dataskyddsdirektivet och omfattar även sådan verksamhet som faller utanför gemenskapsrätten.

Personuppgiftslagen omfattar alltså, på samma sätt som datalagen, behandling av personuppgifter hos bl.a. polisen och försvaret.

Det är emellertid inte all behandling av uppgifter som omfattas av personuppgiftslagen. Behandling av uppgifter om juridiska personer omfattas över huvud taget inte och sådana uppgifter utgör definitionsmässigt inte personuppgifter (3 §). Inte heller behandling som en fysisk person utför i verksamhet av rent privat natur omfattas av lagen, även om behandlingen avser personuppgifter (6 §). Dessutom undantas all behandling av personuppgifter som skyddas av tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen eller som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 §).

Särreglering i lag eller förordning – bl.a. de särskilda registerförfattningarna – gäller enligt 2 § framför personuppgiftslagen. I 8 § anges dessutom särskilt att lagen inte får inskränka myndigheternas skyldighet att lämna ut personuppgifter enligt 2 kap. TF. I samma lagrum anges även att lagen inte heller hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

Dataskyddsdirektivet innehåller ett antal huvudregler som måste ingå i personuppgiftslagen. Ofta är dessa huvudregler och principer allmänt hållna i direktivet. För att kunna tillämpas av de personuppgiftsansvariga har de preciserats och konkretiserats i personuppgiftslagen. Lagen innehåller dock inte några detaljbestämmelser som fyller ut de generellt hållna huvudreglerna. I stället överlämnas det åt regeringen och Datainspektionen att inom den ram som personuppgiftslagen drar upp göra nödvändiga preciseringar och konkretiseringar.

2.4.2. Definitioner

Några av de mer centrala begreppen i personuppgiftslagen definieras i 3 § på följande sätt. Personuppgifter i lagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det innebär att varken juridiska personer eller avlidna fysiska personer omfattas av lagens tillämpningsområde. Med behandling av personuppgifter avses varje åtgärd som vidtas beträffande uppgifterna, vare sig det sker på automatiserad väg eller inte, t.ex. insamling, lagring, bearbetning, inhämtande, utlämnande, samkörning eller förstöring.

Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller

henne. Lagen uppställer alltså inget krav på att samtycke skall vara skriftligt eller på annat sätt formbundet.

2.4.3. Förutsättningar för behandling av personuppgifter

Grundläggande krav (9 §)

Enligt personuppgiftslagen skall personuppgifter alltid behandlas på ett korrekt och lagligt sätt samt i enlighet med god sed. De skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Efter insamlingen får uppgifterna inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in, vilket bl.a. innebär att uppgifterna inte får lämnas ut till annan om det är oförenligt med de ursprungliga ändamålen. Att ändamålen skall vara särskilda innebär att en alltför allmänt hållen ändamålsbeskrivning inte får godtas. Hur detaljerad ändamålsbeskrivningen måste vara får avgöras i praxis och genom föreskrifter från regeringen och Datainspektionen. Det anses inte oförenligt med de ursprungliga ändamålen att behandla uppgifterna för historiska, statistiska eller vetenskapliga ändamål.

De behandlade uppgifterna måste vara riktiga och relevanta och inte alltför omfattande i förhållande till de ändamål för vilka de behandlas. Om det är nödvändigt skall uppgifterna också vara aktuella. Uppfyller personuppgifterna inte kraven skall den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna. Personuppgifterna får inte heller sparas längre än nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Därefter måste de avidentifieras eller förstöras. Eftersom personuppgiftslagen är sekundär till annan lagstiftning, får uppgifter emellertid inte avidentifieras eller på annat sätt förstöras om det strider mot bl.a. tryckfrihetsförordningens bestämmelser om allmänna handlingar.

När behandling av personuppgifter är tillåten (10-12 §§)

Enligt personuppgiftslagen är det tillåtet att behandla personuppgifter efter den registrerades samtycke. Återkallar den registrerade sitt samtycke får ytterligare personuppgifter om denne inte registreras. I vissa fall får dock personuppgifter behandlas trots att samtycke från den registrerade saknas. En förutsättning i samtliga dessa fall är att behandlingen är nödvändig för ändamålen. Här kan anmärkas att de flesta automatiserade bearbetningar av personuppgifter också kan utföras manuellt. Nödvändighetsrekvisitet har av Datalagskommittén tolkats så att

personuppgifter får behandlas även i de fall det är faktiskt möjligt att utföra uppgiften på annat sätt, om förfarandet underlättas genom användningen av automatisk databehandling (SOU 1997:39 s. 359).

Personuppgifter får behandlas i samband med ett avtal med den registrerade när det krävs för fullgörandet av avtalet eller när det behövs för att på den registrerades begäran vidta åtgärder innan avtalet träffas. Vidare får behandling utföras om det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet som åvilar honom eller henne. Personuppgifter får också behandlas för att skydda vitala intressen för den registrerade. Likaså får sådana uppgifter behandlas om det är nödvändigt för att en arbetsuppgift av allmänt intresse skall kunna utföras och för att den personuppgiftsansvarige, eller någon annan till vilken personuppgifter har lämnats ut, skall kunna utföra en arbetsuppgift i samband med myndighetsutövning.

Slutligen får personuppgifter behandlas om en avvägning ger vid handen att den personuppgiftsansvariges berättigade intresse av en behandling väger tyngre än den registrerades intresse av skydd. Vid intresseavvägningen jämställs med den personuppgiftsansvarige också sådana tredje män till vilka uppgiften lämnas ut.

Förbud mot att behandla känsliga personuppgifter (13 §)

I personuppgiftslagen återfinns dataskyddsdirektivets förbud i fråga om behandling av känsliga personuppgifter. Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse samt medlemskap i fackförening får alltså inte behandlas. Likaså är det förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.

Undantag från förbudet (14-20 §§)

Förbudet mot att behandla känsliga personuppgifter är inte undantagslöst. Sådana uppgifter får liksom andra uppgifter behandlas efter den registrerades samtycke. Till skillnad från när samtycke krävs i andra sammanhang måste i fråga om känsliga personuppgifter samtycket emellertid vara uttryckligt, dvs. klart manifesterat. Även när den registrerade har offentliggjort känsliga uppgifter på ett tydligt sätt får de behandlas. Vidare får behandling utföras om den är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten. I stort sett gäller det fullgörandet av alla skyldigheter och rättigheter för arbetsgivaren beträffande de anställda och deras organisationer. De uppgifter som behandlas under denna förutsättning får lämnas ut till tredje man endast om det inom

arbetsrätten finns en uttrycklig skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade har samtyckt till utlämnandet.

Förbudet mot att behandla känsliga personuppgifter gäller inte heller när behandlingen utförs inom ramen för ideella organisationers berättigade verksamhet med ett politiskt, filosofiskt, religiöst eller fackligt syfte. Behandlingen får bara avse uppgifter om medlemmar eller personer som organisationen på grund av sitt ändamål har regelbunden kontakt med. Utlämnande av sådana uppgifter till tredje man kräver den registrerades samtycke.

Förbudet gäller inte om behandlingen rör uppgifter som är nödvändiga för att rättsliga anspråk skall kunna slås fast, göras gällande eller försvaras. Detta gäller när den personliga egenskap som faller in under definitionen av känsliga personuppgifter också är en förutsättning för att personen i fråga skall ha rätt till en förmån eller ha en rättslig skyldighet gentemot någon annan. Som exempel kan nämnas rätten för en sjuk person att få försäkringsersättning eller skyldigheten för den som är medlem av Svenska kyrkan att betala viss skatt.

Ett ytterligare undantag från förbudet att behandla känsliga personuppgifter är när den registrerade är rättsligt eller fysiskt förhindrad att lämna samtycke och behandlingen samtidigt är nödvändig för att skydda dennes eller någon annans vitala intressen. Vidare undantas behandling som är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling samt administration av hälso- och sjukvård. Behandlas uppgifterna av någon som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och som samtidigt är underkastad tystnadsplikt, gäller förbudet inte heller. Slutligen undantas behandling för forskning och statistik från förbudet.

Regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen, får meddela föreskrifter om ytterligare undantag, om det behövs med hänsyn till ett viktigt allmänt intresse.

Uppgifter om brott och användning av personnummer (21-22 §§)

Vissa uppgifter som inte omfattas av definitionen av känsliga personuppgifter är ändå sådana att behandlingen av dem regleras särskilt i personuppgiftslagen, liksom i dataskyddsdirektivet. Det är således förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser, domar och säkerhetsåtgärder i brottmål. Regeringen eller Datainspektionen har dock möjlighet att föreskriva undantag från förbudet, om det är befogat att behandlingen utförs av annan än myndighet och behandlingen står under tillfredsställande kontroll av en myndighet.

Regeringen eller, om regeringen bestämmer det, Datainspektionen får dessutom föreskriva undantag från förbudet i enskilda fall.

Regleringen i personuppgiftslagen om behandling av denna typ av uppgifter innebär ett betydande avsteg från datalagens bestämmelser, enligt vilka det krävdes synnerliga skäl för att annan än myndighet skulle få föra register med uppgift om att någon är misstänkt eller dömd för brott.

Uppgifter om personnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

2.4.4. Information och rättelse m.m.

Personuppgiftslagen innehåller bestämmelser som tryggar den registrerades rätt att dels kontrollera om behandling av personuppgifter om honom eller henne pågår, dels begära rättelse av personuppgifter som har behandlats felaktigt.

Information (23-27 §§)

Personuppgiftslagens bestämmelser om informationsskyldighet gäller i första hand den information som den personuppgiftsansvarige självmant har att lämna. Rätten att på begäran få ut uppgifter i allmänna handlingar följer av tryckfrihetsförordningen, dock att den rätten i vissa fall begränsas genom bestämmelser i sekretesslagen.

Den personuppgiftsansvarige skall självmant lämna den registrerade information rörande behandlingen, när uppgifter om en person samlas in från denne själv. Har uppgifterna samlats in från en annan källa, skall den registrerade informeras när uppgifterna noteras eller, om avsikten med behandlingen är att lämna ut uppgifterna till tredje man, när uppgifterna lämnas ut för första gången. Informationen skall omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Endast sådana uppgifter som den registrerade inte redan känner till behöver lämnas. Har uppgifterna hämtats in från tredje man behöver information inte lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Den personuppgiftsansvarige är vidare skyldig att efter ansökan, en gång per kalenderår, gratis informera om huruvida uppgifter som rör sökanden behandlas eller inte, ändamålet med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut.

Information behöver emellertid inte lämnas beträffande personuppgifter som behandlas endast i löpande text som ännu inte har fått sin slutliga utformning eller som utgör minnesanteckningar, under förutsättning att uppgifterna inte har lämnats ut till tredje man eller – i fråga om uppgifter i löpande text – behandlingen inte har pågått under längre tid än ett år. Inte heller behöver information lämnas om det i lag eller annan författning finns särskilda bestämmelser om registreringen eller utlämnandet av personuppgifter. Slutligen gäller bestämmelserna om informationsskyldighet inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.

Rättelse m.m. (28 §)

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med den föreslagna personuppgiftslagen eller anknytande föreskrifter skall på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige. Med blockering avses varje åtgärd som kan vidtas för att de aktuella personuppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och inte får lämnas ut till tredje man samt om anledningen till spärren.

Om felaktiga personuppgifter har lämnats till tredje man, skall denne i vissa fall underrättas om korrigeringsåtgärden, nämligen om den registrerade begär det eller om det behövs för att undvika mera betydande skada eller olägenhet för den registrerade. Eftersom den personuppgiftsansvarige inte har någon skyldighet att hålla reda på till vem uppgifter lämnas ut och då uppgifter ibland kan lämnas till ett stort antal människor, innehåller bestämmelsen det undantaget att underrättelse inte behöver ske om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

2.4.5. Säkerhet vid behandlingen

Bestämmelser som avser att säkerställa att behandlingen av personuppgifter sker på ett betryggande sätt finns i 30 och 31 §§personuppgiftslagen. Den personuppgiftsansvarige har ett stort ansvar för säkerheten. Bland annat får de personer som arbetar med personuppgifter behandla dessa endast efter den personuppgiftsansvariges instruktioner. Instruktionerna bör i vart fall vara utformade på ett sådant sätt att var och en som arbetar med personuppgifter skall veta vilka ändamålen är med behandlingen och att behandling som är oförenlig med dessa ändamål är förbjuden. För det allmännas verksamhet gäller att om det i annan lag-

stiftning finns bestämmelser om säkerheten vid behandling av personuppgifter, skall i stället de bestämmelserna tillämpas. Det gäller framför allt bestämmelser om tystnadsplikt och sekretess.

Den personuppgiftsansvarige har vidare ansvar för att tekniska och organisatoriska åtgärder vidtagits för att skydda de behandlade personuppgifterna. Åtgärderna skall åstadkomma en lämplig säkerhetsnivå med beaktande av de tekniska möjligheter som finns, kostnaden för att genomföra åtgärderna, riskerna med behandlingen och hur känsliga de behandlade uppgifterna är. Ett register som innehåller personuppgifter om ett stort antal personer ställer också ökade krav på säkerheten.

Datainspektionen får enligt 45 § personuppgiftslagen förelägga den personuppgiftsansvarige att vidta skyddsåtgärder. Sådana förelägganden får förenas med vite.

2.4.6. Överföring av personuppgifter till tredje land

Det är enligt 33 § personuppgiftslagen principiellt sett förbjudet att föra över personuppgifter till ett land som inte är medlem i EU (tredje land). Förbudet gäller både uppgifter som är under behandling och uppgifter som skall undergå behandling i det tredje landet. Från förbudet finns undantag i 34 och 35 §§. Har den registrerade samtyckt till det, får uppgifter om denne föras över till tredje land. Det är också tilllåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention.

Uppgifter får även i andra fall föras över till tredje land om behandlingen är nödvändig för att fullgöra ett avtal – mellan den registrerade och den personuppgiftsansvarige eller mellan den personuppgiftsansvarige och tredje man – som är i den registrerades intresse eller för att på den registrerades begäran vidta åtgärder innan ett avtal träffas. Vidare får överföring ske om behandlingen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda vitala intressen för den registrerade.

Regeringen får meddela föreskrifter om generella undantag från förbudet att föra över personuppgifter till tredje land. Sådana undantag bör bl.a. kunna gälla vissa angivna länder samt i fall då överföringen regleras i avtal som innehåller vissa standardklausuler till skydd för de registrerades rättigheter. Regeringen eller, om regeringen bestämmer det, Datainspektionen får också föreskriva undantag när det behövs med hänsyn till viktiga allmänna intressen eller om överföringen sker under sådana omständigheter att det finns tillräckliga garantier till skydd för de registrerades rättigheter. Dessutom får regeringen under vissa förutsättningar besluta om undantag från förbudet i enskilda fall.

Den 17 juni 1999 överlämnade regeringen en remiss till lagrådet vari det föreslås att förbudet i personuppgiftslagen mot överföring av personuppgifter skall ändras. Överföring till ett land som inte ingår i EU eller är anslutet till EES (tredje land) skall inte längre vara förbjuden om det tredje landet har en ”adekvat nivå” för skyddet av personuppgifter. Lagändringen föreslås träda i kraft den 1 december 1999.

2.4.7. Datainspektionens befogenheter som tillsynsmyndighet

Enligt dataskyddsdirektivet skall en särskild tillsynsmyndighet utses. Den personuppgiftsansvariges anmälan om behandlingar av personuppgifter skall göras till tillsynsmyndigheten, som även skall utöva tillsyn över behandlingen. Vissa av de befogenheter som enligt direktivet tillkommer tillsynsmyndigheten regleras i 4347 §§personuppgiftslagen. Således innehåller lagen bestämmelser om att tillsynsmyndigheten (Datainspektionen) skall ha tillgång till behandlade personuppgifter och dessutom tillträde till lokaler med anknytning till behandlingen. Datainspektionen kan också vid vite förbjuda fortsatt behandling samt ansöka hos länsrätt om att personuppgifter skall utplånas.

2.4.8. Anmälan till Datainspektionen m.m.

Anmälningsskyldighet (36 §)

Helt eller delvis automatiserad behandling av personuppgifter omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra sådan anmälan till Datainspektionen. Syftet med anmälningsskyldigheten är att göra behandlingens ändamål och dess viktigaste egenskaper kända. Datainspektionen skall föra register över anmälda behandlingar.

Personuppgiftslagen har i denna del två motstridiga intressen som utgångspunkt. Det finns å ena sidan ett önskemål om att ta bort anmälningsskyldigheten för automatiserad behandling för att på så sätt koncentrera Datainspektionens verksamhet till att ge råd och sprida kunskap om de materiella reglerna samt att utöva tillsyn över att reglerna följs. Å andra sidan föreskriver dataskyddsdirektivet som huvudregel att den registeransvarige till tillsynsmyndigheten skall anmäla automatiserade behandlingar som skall genomföras. Från denna anmälningsskyldighet får ett medlemsland dock under vissa förutsättningar föreskriva undantag.

För att kunna tillgodose både kravet att följa direktivet och önskemålet att begränsa anmälningsskyldigheten, har i personuppgiftslagen en principiell anmälningsskyldighet till Datainspektionen införts, samtidigt som möjligheterna att föreskriva om undantag från skyldigheten har utnyttjats fullt ut. När fråga är om särskilt integritetskänsliga behandlingar, som Datainspektionen skall kontrollera innan de påbörjas, föreskrivs dock inga undantag från anmälningsskyldigheten.

Enligt personuppgiftslagen får regeringen eller, efter regeringens bemyndigande, Datainspektionen föreskriva undantag från anmälningsskyldigheten. Sådana undantag föreskrivs i personuppgiftsförordningen (1998:1191) för behandling av personuppgifter som utförs till följd bl.a. av en myndighets skyldighet enligt 2 kap. TF att lämna ut allmänna handlingar eller som regleras genom särskilda föreskrifter i lag eller förordning i andra fall.

Personuppgiftsombud (37-40 §§)

Anmälan till Datainspektionen behöver inte göras när ett personuppgiftsombud har utsetts av den personuppgiftsansvarige. Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett korrekt och lagligt sätt. Kravet på självständighet innebär att personuppgiftsombudet inte får ha en alltför underordnad ställning i förhållande till den personuppgiftsansvarige och att han eller hon skall ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina uppgifter.

I första hand skall personuppgiftsombudet påpeka brister i uppgiftsbehandlingen till den personuppgiftsansvarige, men om den ansvarige inte rättar till bristerna är ombudet skyldigt att anmäla förhållandet till Datainspektionen. Personuppgiftsombudet skall ha en förteckning över de behandlingar som den personuppgiftsansvarige utför och han skall även hjälpa registrerade personer att få rättelse vid misstanke om att personuppgifter är felaktiga eller ofullständiga.

Förhandskontroll av särskilt integritetskänsliga behandlingar (41 §)

Enligt dataskyddsdirektivet skall medlemsstaterna bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades rättigheter och säkerställa att dessa behandlingar kontrolleras innan de påbörjas. Förhandskontrollen skall enligt direktivet utföras av tillsynsmyndigheten men kan också utgöra ett led i lagstiftningsprocessen. Förhandskontroll kan således ske i samband med att särskilda registerförfattningar beslutas av riksdagen eller regeringen. I fråga om sådana register krävs ingen särskild reglering för att uppfylla direktivets villkor.

I andra fall krävs däremot bestämmelser om vilka behandlingar som skall kontrolleras på förhand. I personuppgiftslagen finns ett bemyndigande för regeringen att bestämma att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall anmälas till Datainspektionen tre veckor i förväg. I personuppgiftsförordningen finns bestämmelser om sådana behandlingar.

2.4.9. Sanktioner

Skadestånd (48 §)

Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada för den registrerade har han rätt till ersättning från den personuppgiftsansvarige. Rätten till ersättning omfattar inte bara personskada, sakskada och ren förmögenhetsskada, utan även den kränkning av den personliga integriteten som behandlingen kan ha medfört. Ersättningen för kränkning måste uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet, t.ex. om den registrerade på grund av behandlingen utsatts för något för honom eller henne negativt beslut. Ersättningen skall fastställas för varje kränkt registrerad för sig.

Skadeståndsansvaret är i princip strikt. Den registrerade behöver bara bevisa att det förekommit en felaktig behandling och att denna behandling har skadat eller kränkt honom eller henne. Kan den personuppgiftsansvarige visa att felet i behandlingen inte berodde på honom eller henne, får emellertid skadeståndet jämkas i skälig utsträckning.

Straff (49 §)

I personuppgiftslagen har i så stor utsträckning som möjligt andra sanktioner valts än straff. Således har vissa förseelser som i datalagen återfinns i en straffkatalog i stället sanktionerats genom vite eller genom möjligheten att utdöma ideellt skadestånd. Vad som återfinns i straffbestämmelsen i personuppgiftslagen är sådana uppsåtliga eller oaktsamma förfaranden som är svåra att åtgärda på annat sätt än genom straffbestämmelser. Det rör sig om att någon lämnar osanna uppgifter i den information till den registrerade som lagen föreskriver eller i anmälan eller information till Datainspektionen. Vidare tillämpas straffbestämmelsen om någon i strid med lagen behandlar känsliga personuppgifter, för över uppgifter till tredje land eller låter bli att göra föreskriven anmälan om behandling till Datainspektionen.

2.4.10. Ikraftträdande- och övergångsbestämmelser

Personuppgiftslagen trädde i kraft den 24 oktober 1998 och samtidigt upphörde datalagen att gälla. I fråga om behandling av personuppgifter som påbörjats före ikraftträdandet skall personuppgiftslagen dock inte tillämpas förrän den 1 oktober 2001. Detsamma gäller behandling som utförs för ett visst bestämt ändamål om behandling för ändamålet påbörjades före ikraftträdandet. I dessa fall gäller i stället datalagens bestämmelser. I fråga om manuella behandlingar som påbörjades före ikraftträdandet skall vissa bestämmelser i lagen tillämpas först från och med den 1 oktober 2007. Det gäller 9 och 10 §§ som reglerar de grundläggande kraven på behandling av personuppgifter och när behandling är tillåten samt 13 och 21 §§ om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m.

2.5. Sekretessbestämmelser

2.5.1. Tryckfrihetsförordningen

Enligt 2 kap. 1 § tryckfrihetsförordningen (TF) har varje svensk medborgare rätt att ta del av allmänna handlingar. Denna rättighet får enligt 2 § begränsas endast om det är påkallat av vissa i lagrummet uppräknade speciella intressen, såsom för att tillvarata myndigheters möjlighet att bedriva verksamhet för inspektion, kontroll eller annan tillsyn eller för att skydda enskildas personliga och ekonomiska förhållanden. Enligt bestämmelsen får begränsningar i rätten att ta del av allmänna handlingar göras endast i särskild lag eller i lag till vilken den särskilda lagen hänvisar. Den särskilda lagen är sekretesslagen (1980:100).

2.5.2. Sekretess i skatteförvaltningens, exekutionsväsendets och Tullverkets verksamheter

Sekretesslagens bestämmelser om sekretess inom skatteförvaltningens, exekutionsväsendets och Tullverkets verksamheter finns på olika ställen i lagen beroende på dels vilka intressen bestämmelserna avser att skydda, dels vilket verksamhetsområde som avses. I 4 kap. sekretesslagen återfinns bestämmelser om sekretess med hänsyn till myndigheters verksamhet för inspektion, kontroll och annan tillsyn. Bestämmelser om sekretess med hänsyn till intresset att förebygga eller beivra brott finns i 5 kap. Intresset av att skydda den enskilde från intrång i hans personliga

integritet behandlas i 7 kap., medan frågor om sekretess med hänsyn till den enskildes ekonomiska förhållanden behandlas i 8 kap. I 9 kap. finns bestämmelser om sekretess till skydd för den enskildes personliga såväl som ekonomiska förhållanden.

Skatteförvaltningens beskattningsverksamhet

I 4 kap. 1 § sekretesslagen finns det bestämmelser om sekretess för uppgifter angående planläggning eller annan förberedelse för inspektion, revision eller annan granskning som en myndighet har att företa. Skattemyndigheten är en av de myndigheter som åsyftas med bestämmelsen och bl.a. kontrolluppgifter som samlats in för en taxeringsrevision kan sekretesskyddas. Sekretessen gäller dock endast om det kan antas att syftet med granskningsverksamheten motverkas om uppgiften röjs.

Enligt 4 kap. 2 § gäller sekretess för uppgift som hänför sig till pågående granskning för kontroll beträffande skatt eller avgift till staten eller kommuner m.m., om det med hänsyn till syftet med kontrollen är av synnerlig vikt att uppgiften inte uppenbaras för den som kontrollen avser. För båda dessa bestämmelser gäller att sekretessen överförs i de fall det förekommer samarbete mellan myndigheter. Hos skatteförvaltningen gäller således sekretessen även för uppgifter som finns hos en skattemyndighet men som avser exempelvis en pågående revision som genomförs av Tullverket.

I 5 kap. 1 § sekretesslagen anges att sekretess gäller för uppgift som hänför sig till bl.a. förundersökning i brottmål och åklagarmyndighets, polismyndighets, skattemyndighets, Tullverkets eller kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. Sekretessen gäller om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs.

Enligt 9 kap. 1 § sekretesslagen gäller för uppgifter om enskildas personliga eller ekonomiska förhållanden absolut sekretess i myndighets verksamhet som avser bestämmande av skatt eller taxering eller i övrigt fastställande av underlag för bestämmande av skatt. Absolut sekretess gäller även i myndighets verksamhet som avser förande av eller uttag ur register som avses i skatteregisterlagen (1980:343) för uppgift som har tillförts ett sådant register och hos kommun eller landsting för uppgift som har lämnats dit i ett ärende om förhandsbesked i skatte- eller taxeringsfråga. Att sekretessen för uppgifter i skatteregister gäller både i fråga om förande av registret och uttag ur detta, innebär att det inte är endast hos skattemyndigheterna och Riksskatteverket som en uppgift omfattas av sekretess, utan även hos kronofogdemyndigheter som har terminalåtkomst, dock endast så länge uppgiften finns kvar i registret. I

praktiken innebär detta att sekretessen gäller så länge uppgiften endast är tillgänglig via en terminalbild. När en kronofogdemyndighet gör ett utdrag ur ett skatteregister, kommer uppgiften i stället att omfattas av den svagare sekretess som gäller hos kronofogdemyndigheter. Sekretessen inom skatteförvaltningen bryts, med några få undantag, helt i fråga om beslut varigenom skatt eller pensionsgrundande inkomst bestäms eller underlag för bestämmande av skatt fastställs. Genom sådana beslut blir alltså uppgifterna offentliga. Undantagen gäller bl.a. beslut i ärenden om förhandsbesked i taxerings- eller skattefråga. En uppgift får vidare utan hinder lämnas till enskild enligt vad som föreskrivs i lag om förfarandet vid beskattning eller i lag om skatteregister.

Vidare gäller enligt 9 kap. 2 § sekretesslagen absolut sekretess även för uppgifter om enskildas personliga eller ekonomiska förhållanden i särskilt ärende om revision eller annan kontroll i fråga om skatt, tull eller avgift, i ärende om kompensation för eller återbetalning av skatt samt i ärende om anstånd med erläggande av skatt. Med undantag från förstnämnda ärenden gäller sekretessen inte beslut i ärendena.

Absolut sekretess gäller enligt 9 kap. 17 § sekretesslagen även för uppgifter om enskildas personliga eller ekonomiska förhållanden i register som förs av Riksskatteverket enligt lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar eller som annars behandlas med stöd av den lagen. Sekretessen bryts dock av bestämmelser om utlämnande i nämnda lag.

Skatteförvaltningens folkbokföringsverksamhet

Enligt 7 kap. 15 § sekretesslagen gäller sekretess för uppgifter om enskildas personliga förhållanden i verksamhet som avser folkbokföring eller annan liknande registrering av befolkningen och, i den utsträckning regeringen föreskriver det, i annan verksamhet som avser registrering av en betydande del av befolkningen. Sekretessen gäller dock endast om det av särskild anledning kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Sekretess gäller även i ärende om fingerade personuppgifter, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men.

Exekutionsväsendets verksamhet

Vad som anges ovan i detta avsnitt om sekretess enligt 4 kap.1 och 2 §§sekretesslagen avseende skatteförvaltningens beskattningsverksamhet, gäller även för en kronofogdemyndighet när denna tillsammans med andra myndigheter, t.ex. polis- och skattemyndigheter, genomför

granskningar. Sekretessen gäller även för uppgifter hos kronofogdemyndigheterna om pågående revisioner m.m. som genomförs av en skattemyndighet.

Vidare gäller enligt 5 kap. 1 § sekretesslagen sekretess inom exekutionsväsendet, med hänsyn till intresset att förebygga eller beivra brott, för uppgift som angår misstanke om att en gäldenär har begått brott som avses i 11 kap. brottsbalken eller annat brott som har samband med gäldenärens näringsverksamhet. Denna sekretess gäller om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs.

I 7 kap. 35 § sekretesslagen anges att sekretess gäller hos bl.a. kronofogdemyndigheter i ett ärende om skuldsanering för uppgifter om enskilds personliga förhållanden, om det kan antas att den enskilde eller honom närstående lider men om uppgiften röjs.

För kronofogdemyndigheterna i egenskap av tillsynsmyndigheter i konkurs gäller sekretess enligt 8 kap. 19 § sekretesslagen för uppgift om enskilds affärs- och driftsförhållande, om det kan antas att den som uppgiften rör lider skada om den röjs. Detta gäller dock inte utlämnande till enskild i den mån det föreskrivs i konkurslagen (1987:672).

Huvudregeln om sekretess inom exekutionsväsendet i mål eller ärende angående exekutiv verksamhet är enligt 9 kap. 19 § sekretesslagen att sekretess gäller för uppgifter om enskildas personliga eller ekonomiska förhållanden endast om det kan antas att den enskilde eller någon honom närstående lider avsevärd skada eller betydande men om uppgifterna röjs. Ett rakt skaderekvisit uppsätts alltså för att uppgifter skall kunna sekretessbeläggas. Vissa uppgifter i mål eller ärende i den exekutiva verksamheten omfattas dock inte alls av sekretess. Det gäller uppgifter om förpliktelse som avses med den sökta verkställigheten och beslut i målet eller ärendet. Detta innebär att exempelvis information om att någon är gäldenär hos en kronofogdemyndighet, uppgifter om dennes skuld och om exekutionstitel samt uppgifter om sökanden i enskilda mål skall lämnas ut utan föregående sekretessprövning. I verksamhet som avser förande av eller uttag ur register enligt utsökningsregisterlagen (1986:617) gäller enligt samma lagrum i sekretesslagen motsvarande sekretess som i den övriga verksamheten för uppgifter som har tillförts registret. Det innebär att uppgifter om förpliktelser och beslut i mål eller ärenden som har tillförts och finns i ett register inte omfattas av sekretess, medan övriga uppgifter inte skall lämnas ut utan sekretessprövning. Sekretessen för uppgifter i utsökningsregister gäller både i fråga om förande av registret och uttag ur detta. Det är alltså inte endast hos kronofogdemyndigheterna och Riksskatteverket som en uppgift omfattas av sekretess enligt 9 kap. 19 § sekretesslagen, utan även hos andra myndigheter – t.ex. skattemyndigheterna – som har terminal-

åtkomst, dock endast så länge uppgiften finns kvar i registret. I praktiken innebär detta att sekretessen gäller så länge uppgiften endast är tillgänglig via en terminalbild. När exempelvis en skattemyndighet gör ett utdrag ur utsökningsregistret, kommer uppgiften i stället att omfattas av den sekretess som gäller för skattemyndigheten.

Tullverkets verksamhet

Vad som anges ovan i detta avsnitt om sekretess enligt 4 kap.1 och 2 §§sekretesslagen i fråga om skatteförvaltningens beskattningsverksamhet, äger motsvarande giltighet även i fråga om Tullverkets verksamhet.

Vidare anges i 5 kap. 1 § sekretesslagen att sekretess gäller för uppgift som hänför sig till förundersökning i brottmål och åklagarmyndighets, polismyndighets, skattemyndighets, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. Sekretessen gäller om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs.

Vad som redovisas ovan om sekretess i skattemyndigheternas verksamhet enligt 9 kap. 1 och 2 §§, gäller i tillämpliga delar även Tullverkets verksamhet, eftersom med skatt skall avses även bl.a. tull. I stället för absolut sekretess gäller dock att uppgifter hos Tullverket får lämnas ut om det står klart att de kan röjas utan att den enskilde lider skada eller men.

Enligt 9 kap. 17 § sekretesslagen gäller sekretess bl.a. i utredning enligt bestämmelserna om förundersökning i brottmål samt i åklagarmyndighets, polismyndighets, skattemyndighets, Statens kriminaltekniska laboratoriums, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott, om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. I fråga om anmälan eller utsaga från en enskild gäller sekretess i ovan nämnda fall, om det kan antas att fara uppkommer för att någon utsätts för våld eller annat allvarligt men om uppgiften röjs. Enligt 9 kap. 18 § sekretesslagen gäller dock inte sekretess enligt 17 § för vissa beslut, bl.a. åklagares beslut att väcka åtal eller beslut i vissa ärenden, t.ex. i fråga om strafföreläggande och förelägganden av ordningsbot. Sekretess som gäller enligt 17 § upphör i de flesta fall när uppgift lämnas till domstol med anledning av åtal.

Behandling i strid med personuppgiftslagen

Utöver vad som redovisas ovan i detta avsnitt finns i 7 kap. 16 § sekretesslagen en bestämmelse med generell räckvidd, dvs. bestämmel-

sen gäller i fråga om samtliga myndigheters verksamheter. I lagrummet anges nämligen att sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen.

2.5.3. Utlämnande av uppgifter till myndigheter enligt sekretesslagen

Möjligheterna att till andra myndigheter lämna ut uppgifter för vilka sekretess gäller regleras, såvitt nu är av intresse, i 1 kap. och 14 kap.sekretesslagen. Bestämmelser om till vilka sådana uppgifter får lämnas ut finns också i de särskilda registerförfattningarna.

Enligt 1 kap.2 och 3 §§sekretesslagen får uppgift för vilken sekretess gäller inte röjas för enskild eller för annan myndighet i andra fall än som anges i sekretesslagen eller om uppgiftslämnandet regleras särskilt i lag eller förordning. Den sekretess som föreskrivs för skatteförvaltningen enligt 9 kap. 1 § sekretesslagen gäller alltså även i förhållande till kronofogdemyndigheterna när uppgifter skall utbytas mellan myndigheterna. På motsvarande sätt gäller sekretess inom exekutionsväsendet även gentemot skattemyndigheter eller Tullverket. Även mellan olika verksamhetsgrenar inom samma myndighet råder sekretess om verksamhetsgrenarna är självständiga i förhållande till varandra. Som exempel kan nämnas beskattnings- och folkbokföringsverksamheten inom skatteförvaltningen. I sammanhanget bör framhållas att det i princip saknar betydelse vilken form uppgifterna har och om dessa finns i allmänna handlingar eller ej. Sekretesslagen är nämligen både en tystnadspliktslag och en lag som reglerar utlämnande av allmänna handlingar (se 1 kap. 1 § sekretesslagen).

I fråga om sekretess i förhållande till utländsk myndighet eller mellanfolklig organisation finns särskilda bestämmelser i 1 kap. 3 § tredje stycket sekretesslagen. Sekretessbelagd uppgift får inte röjas annat än om utlämnande sker i enlighet med särskild föreskrift därom i lag eller förordning eller om uppgiften i motsvarande fall skulle få lämnas ut till svensk myndighet och det enligt den utlämnande myndighetens prövning står klart, att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen.

I 1 kap. 5 § och 14 kap.sekretesslagen anges att uppgifter i vissa fall kan lämnas ut utan hinder av sekretess. Enligt 1 kap. 5 § utgör sekretess inte hinder mot att en uppgift lämnas ut om det är nödvändigt för att den utlämnande myndigheten skall kunna fullgöra sin verksamhet.

Enligt 14 kap. 1 § sekretesslagen hindrar inte sekretess att uppgifter lämnas till regeringen eller riksdagen eller till annan myndighet, om

uppgiftsskyldighet följer av lag eller förordning. Anmälningsskyldighet (t.ex. till Datainspektionen) är en typisk uppgiftsskyldighet av det slag som åsyftas i lagrummet. Uppgiftsskyldigheten måste vara uttrycklig. Det är inte tillräckligt med allmänt hållna föreskrifter om samarbete mellan myndigheterna för att bryta sekretessen.

Ytterligare möjligheter att lämna ut sekretessbelagda uppgifter till andra myndigheter följer av 14 kap. 2 § sekretesslagen. Det lagrummet innehåller förutsättningarna för att uppgifter skall få lämnas ut i andra fall än som anges i 14 kap. 1 §. Bland annat anges i lagrummets fjärde stycke att sekretess inte hindrar att uppgift som angår misstanke om brott lämnas till åklagarmyndighet, polismyndighet eller annan myndighet som har att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda annan påföljd än böter. Vissa uppgifter kan lämnas ut endast om det för brottet inte är föreskrivet lindrigare straff än fängelse i två år.

Enligt 14 kap. 3 § första stycket sekretesslagen, den s.k. generalklausulen, får utöver vad som följer av 14 kap. 1 och 2 §§ sekretessbelagd uppgift lämnas till myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen skall skydda. Generalklausulen är inte utan undantag. Om utlämnandet strider mot lag eller förordning får uppgiften inte lämnas ut trots att förutsättningarna i första stycket är uppfyllda. Detsamma gäller om utlämnande strider mot föreskrifter som har meddelats med stöd av personuppgiftslagen.

Generalklausulen kan vara tillämplig i fråga om utlämnande av uppgifter från t.ex. skattemyndigheterna till Tullverket i verksamhet inom beskattnings- eller avgiftsområdet. Detsamma gäller i fråga om samarbete mellan skattemyndigheter och kronofogdemyndigheter i de senares verksamhet avseende indrivning av skatter och avgifter. I förarbetena till sekretesslagen framgår nämligen att generalklausulen särskilt ger utrymme för informationsutbyte när det är fråga om myndigheter med samma sakliga behörighet men med skilda lokala kompetensområden eller myndigheter som har närbesläktade funktioner och som båda har rättslig befogenhet att fordra in de utväxlade uppgifterna (prop. 1979/80:2, del A. s. 326). Att uppgifter inte får lämnas ut i strid mot bl.a. lag eller förordning innebär dock att om det i en specialförfattning närmare anges under vilka förutsättningar uppgifter får lämnas ut, exempelvis mellan en skattemyndighet och andra myndigheter, så kan generalklausulen inte åberopas för utlämnande som inte uppfyller de i specialförfattningen angivna förutsättningarna.

Avslutningsvis kan nämnas att det i de ovan redovisade bestämmelserna endast regleras i vilka fall det inte finns hinder mot utlämnande av uppgifter till andra myndigheter på grund av sekretess. Det är alltså inte

fråga om någon uppgiftsskyldighet (annorlunda dock när det i lag eller författning särskilt regleras om sådan uppgiftsskyldighet, se 14 kap. 1 § sekretesslagen). I 15 kap. 5 § sekretesslagen anges emellertid att myndigheter, på begäran av annan myndighet, skall lämna uppgifter om hinder inte möter på grund av bestämmelser om sekretess eller arbetets behöriga gång. Härav följer alltså att om det enligt t.ex. generalklausulen i 14 kap. 3 § sekretesslagen inte finns hinder för utlämnande av sekretessbelagda uppgifter till andra myndigheter, så föreligger det i praktiken en skyldighet för en myndighet att lämna sådana uppgifter till den myndighet som begär det.

2.6. Arkivvård och gallring hos statliga myndigheter

Begreppet arkiv kan i dagligt tal avse såväl arkivinstitutioner som förvaringsutrymmet för arkivhandlingar och själva beståndet av handlingar. Fortsättningsvis används här – liksom för övrigt också i arkivlagstiftningen – termen arkiv i den sistnämnda betydelsen.

Den grundläggande teorin för arkivbildning i Sverige har under 1900talet varit den s.k. proveniensprincipen. Den principen innebär enkelt uttryckt att ett arkiv uppfattas som en i sig fristående och orubbad enhet sammanhörande med den verksamhet som skapar arkivet (arkivbildaren). Proveniensprincipens tillämpning förutsätter att myndigheters arkiv hålls samman även efter att de har överlämnats till en arkivmyndighet för förvaring.

Riksarkivet är arkivmyndighet för de myndigheter som har hela landet som verksamhetsområde, för kommittéer, hovrätter och kammarrätter samt för universitet och högskolor. För myndigheter som lyder under försvarsdepartementet finns Krigsarkivet, vilket tidigare var en egen myndighet men som sedan 1995 utgör en del av Riksarkivet. Under Riksarkivet finns sju landsarkiv – i Uppsala, Vadstena, Visby, Lund, Göteborg, Härnösand och Östersund – som är arkivmyndigheter för främst statliga myndigheter inom sina respektive verksamhetsområden. Landsarkivets uppgifter i Stockholms och Värmlands län fullgörs av Stockholms stadsarkiv respektive Värmlandsarkiv.

Riksarkivet och landsarkiven har till uppgift att ansvara för statsförvaltningens arkivdepåer och att utöva tillsyn över myndigheternas arkivbildning. De bestämmelser som gäller för statliga arkiv finns främst i arkivlagen (1990:782), arkivförordningen (1991:446), förordningen (1995:679) med instruktion för Riksarkivet och landsarkiven samt i föreskrifter från Riksarkivet.

2.6.1. Myndigheters arkivbildning

Allmänna handlingar är arkivhandlingar

Grunden för det offentliga arkivväsendet är principen att alla medborgare har rätt att ta del av allmänna handlingar. I 2 kap. 1 § TF stadgas nämligen att varje svensk medborgare till främjandet av ett fritt meningsutbyte och en allsidig upplysning skall ha rätt att ta del av allmänna handlingar (handlingsoffentligheten). En myndighets arkiv bildas följaktligen av främst de allmänna handlingarna från myndighetens verksamhet. Det innebär att handlingar som är allmänna enligt 2 kap. TF, dvs. handlingar som förvaras hos myndigheten och som är inkomna till eller upprättade av denna, i princip skall arkiveras. För vissa handlingar – minnesanteckningar, utkast och koncept – gäller dock enligt 2 kap. 9 § TF den omvända situationen, nämligen att de blir allmänna i tryckfrihetsförordningens mening först när de tas om hand för arkivering. Gemensamt för handlingarna i ett statligt arkiv är alltså att de är allmänna. Det saknar därvid betydelse om handlingarna är offentliga eller om de är hemliga med stöd av sekretesslagen, vilket också framgår av arkivlagens bestämmelser.

Av arkivförordningen framgår att allmänna handlingar i ett myndighetsärende skall arkiveras när ärendet har slutbehandlats. I samband med detta skall myndigheten också pröva i vilken omfattning vissa icke allmänna handlingar – minnesanteckningar, utkast och koncept – skall tas om hand för arkivering. För diarier, journaler och andra register eller förteckningar som förs fortlöpande, gäller att varje införd anteckning skall anses arkiverad när den görs. Riksarkivet har möjlighet att meddela närmare föreskrifter om när en handling skall anses vara arkiverad.

Elektronisk information utgör ofta allmän handling

Enligt 2 kap. 3 § TF förstås med handling en framställning i skrift eller bild samt upptagningar som kan läsas, avlyssnas eller på annat sätt uppfattas endast med hjälp av tekniskt hjälpmedel. Ett statligt arkiv kan alltså bestå av handlingar i form av såväl vanliga pappersdokument som fotografier, filmer, ljudupptagningar och inte minst databärare av elektronisk information (magnetband, cd-rom och andra ADB-medier). För sistnämnda handlingar gäller enligt tryckfrihetsförordningen den specialbestämmelsen att de utgör allmänna handlingar hos en myndighet endast om upptagningen – den elektroniska informationen – är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller på annat sätt uppfattas.

Även om en viss överföring är tekniskt möjlig, utgör vissa former av information ändå inte allmänna handlingar, nämligen om myndigheten enligt lag eller förordning saknar befogenhet att göra överföringen. Detta innebär att den elektroniska information som finns på en viss databärare utgör allmän handling – och således arkivhandling – endast om myndigheten har rätt att sammanställa informationen. Vissa uppgiftssammanställningar kan vara förbjudna genom begränsningar i sökmöjligheter m.m. och utgör alltså inte allmänna handlingar. Å andra sidan kan vissa sammanställningar utgöra allmänna handlingar trots att de aldrig har gjorts, nämligen om det är tekniskt möjligt och tillåtet för myndigheten att göra sammanställningarna. Sådana icke existerande sammanställningar brukar kallas potentiella handlingar.

För elektronisk information gäller ytterligare en specialregel. Om uppgifter i t.ex. ett dataregister är tillgängliga för flera myndigheter – som exempel kan nämnas kronofogdemyndigheternas terminalåtkomst till skatteregistret – anses uppgifterna inkomna till samtliga myndigheter som har sådan tillgång och uppgifterna utgör följaktligen allmänna handlingar hos dessa myndigheter. Enligt huvudregeln skulle därmed flera myndigheter vara arkivansvariga för samma uppgifter. Av arkivlagens bestämmelser framgår dock att i sådana fall skall handlingarna bilda arkiv endast hos en av myndigheterna, i första hand hos den myndighet som svarar för huvuddelen av upptagningen. I det nämnda exemplet blir alltså kronofogdemyndigheterna inte arkivbildare för de uppgifter i skatteregistret som de har tillgång till, utan detta åliggande vilar på någon av myndigheterna inom skatteförvaltningen, dvs. en skattemyndighet eller Riksskatteverket. Riksarkivet får enligt arkivförordningen meddela föreskrifter om vilken myndighet som skall bilda arkiv i de fall då flera myndigheter svarar för ungefär lika stora delar av upptagningen.

En liknande bestämmelse finns i 15 kap. 13 § sekretesslagen i fråga om skyldigheten för myndigheter att registrera allmänna handlingar. Där anges att om en upptagning för automatisk databehandling förs in i ett register som är tillgängligt för flera myndigheter för överföring i läsbar form – som i det ovan nämnda fallet med kronofogdemyndigheternas åtkomst till skatteregistret – är endast den myndighet som gör införingen registreringsskyldig. Kronofogdemyndigheterna är således inte på grund av terminalåtkomsten skyldiga att registrera de allmänna handlingar som utgörs av innehållet i skatteregistret.

Syftet med arkivbildningen

I arkivlagen slås fast att myndigheternas arkiv är en del av det statliga kulturarvet. Det i lagen angivna syftet med arkivbildningen är att myn-

digheters arkiv skall bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt forskningens behov. I behovet av information för rättsskipningen och förvaltningen inkluderas ett syfte med arkivbildningen som bör markeras särskilt. För en myndighet är nämligen det egna arkivet av grundläggande betydelse för hela verksamheten – det kan sägas närmast utgöra myndighetens minnesbank – och är alltså en nödvändig beståndsdel för att myndigheten skall kunna fullfölja sina uppgifter.

2.6.2. Arkivvården och arkivmyndigheternas uppgifter

En myndighet (arkivbildaren) har själv att svara för vården av sitt arkiv. Arkivmyndigheterna skall primärt endast ha tillsyn över myndigheternas arkiv, men har också rätt att överta arkivmaterial från en myndighet som står under dess tillsyn, vilket innebär att arkivmyndigheten även övertar ansvaret för materialet. Detta kan ske efter överenskommelse, exempelvis om en myndighet har ADB-material men ingen lämplig förvaringslokal, eller efter ett ensidigt beslut av arkivmyndigheten, t.ex. på grund av att arkivbildaren missköter arkivet. Dessutom skall arkivmyndigheterna överta statliga myndighetsarkiv om en myndighet upphör och dess verksamhet inte förs över till en annan myndighet.

I den arkivbildande myndighetens vård ingår enligt arkivlagen främst att organisera arkivet så att rätten att ta del av allmänna handlingar underlättas. Myndigheten skall även upprätta en arkivbeskrivning och en arkivförteckning, skydda arkivet mot förstörelse och tillgrepp m.m., avgränsa arkivet genom att rensa ut handlingar som inte skall arkiveras – dvs. arbetsmaterial och annat som inte utgör allmänna handlingar – samt verkställa föreskriven gallring (se mer om gallring i nästa avsnitt). Inom arkivvårdens område har Riksarkivet enligt arkivförordningen en långtgående föreskriftsrätt.

I arkivlagen finns även bestämmelser om att en arkivbildande myndighet vid framställningen av handlingar skall använda material och metoder som är lämpliga med hänsyn till behovet av arkivbeständighet. Riksarkivet har i föreskrifter (Riksarkivets föreskrifter och allmänna råd, RA-FS 1991:1, ändrad genom RA-FS 1997:4) uttalat att myndigheterna skall välja medium – medel och metoder för överföring och lagring av information – och databärare med beaktande av att handlingarna skall kunna framställas, hanteras, förvaras och vårdas på ett tillfredsställande sätt. Detta har tidigare gällt främst val av bl.a. papperskvalitet, men

avser också annat, såsom databärare för elektronisk information (magnetband, cd-rom m.m.).

2.6.3. Gallring

Vad är gallring?

Huvudregeln enligt arkivlagen är att myndigheters arkiv skall bevaras. I lagen slås dock också fast att allmänna handlingar får gallras. Med gallring avses traditionellt att vissa handlingar sorteras ut ur sina sammanhang och sedan förstörs. När det gäller gallring av ADB-material innebär detta normalt att viss information raderas från databäraren, dvs. det fysiska underlaget. Det är alltså inte egentligen fråga om att databäraren skall förstöras, utan den kan efter radering av informationen i vissa fall återanvändas. Detta är fallet med t.ex. magnetband. För andra databärare, exempelvis cd-rom, gäller att informationen inte på samma sätt kan raderas från underlaget och i de fallen måste alltså det fysiska underlaget förstöras.

Det är dock inte nödvändigt att den egentliga information som finns på ett ADB-medium verkligen förstörs för att det skall vara fråga om gallring. Tvärtom kan ett visst material gallras genom att den elektroniskt lagrade informationen överförs till en pappersutskrift, varefter den raderas från ADB-mediet. Även om alla uppgifter då fortfarande kan tyckas finnas kvar på papper, så har ofta olika sökmöjligheter eller möjligheter att göra sammanställningar eller kontroller av handlingars autenticitet – t.ex. elektroniska signaturer – gått förlorade, vilket medför att materialet har gallrats. Innebörden av att ett visst material har gallrats, är alltså att möjligheten att få fram information ur materialet på något sätt har försämrats. Definitioner av begreppet gallring finns i Riksarkivets föreskrifter och allmänna råd om framställning och hantering av upptagningar för automatisk databehandling (RA-FS 1994:2).

Vad får gallras ur ett arkiv och när får det göras?

Den möjlighet att genomföra gallring av allmänna handlingar som följer av arkivlagen är inskränkt genom att hänsyn vid gallringen skall tas till att arkiven utgör en del av kulturarvet. Det innebär att återstående arkivmaterial efter gallring skall kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt forskningens behov. Att gallring alls sker är viktigt av såväl ekonomiska skäl som integritetsskäl. När det gäller den ekonomiska aspekten är det främst kostnaden för förvaring och vård av

materialet som gör sig gällande. Från integritetssynpunkt kan det vara viktigt för enskilda personer att känsligt material inte bevaras i onödan.

Integritetsaspekten gör sig särskilt gällande i fråga om elektroniskt lagrad information. En särskild bestämmelse finns i 12 § datalagen, som för flertalet av dagens statliga personregister skall tillämpas t.o.m. den 30 september 2001. Bestämmelsen innebär att personuppgifter som kan hänföras till den som avses med uppgiften skall utgå ur personregistret när uppgiften inte längre behövs med hänsyn till ändamålet med registret. Undantag görs i fall då uppgiften även därefter skall bevaras på grund av bestämmelse i lag eller annan författning eller enligt ett myndighetsbeslut som har meddelats med stöd av författning.

Även i personuppgiftslagen finns det generella gallringsbestämmelser. Enligt dessa bestämmelser får personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Det finns dock ett undantag från denna regel, nämligen att personuppgifter får bevaras under längre tid om det behövs för historiska, statistiska eller vetenskapliga ändamål. Dessutom kan undantag från gallringsbestämmelsen göras i annan lag eller i förordning. I personuppgiftslagen markeras dessutom att tryckfrihetsförordningen gäller före lagen samt att lagen inte hindrar att myndigheter arkiverar eller bevarar allmänna handlingar. Det innebär i fråga om register hos statliga myndigheter att om gallringsbestämmelser saknas i den särskilda registerlagstiftningen, så tillämpas bl.a. arkivlagens bestämmelser om gallring m.m.

En statlig myndighet kan inte på egen hand avgöra vad som skall gallras ur dess arkiv. Tvärtom får allmänna handlingar hos myndigheten gallras endast i enlighet med särskilda gallringsföreskrifter i lag eller förordning, föreskrifter eller beslut av Riksarkivet eller gallringsföreskrifter som har meddelats med stöd av datalagen. Sistnämnda föreskrifter avser endast personregister i datalagens mening. För personregister gäller den särskilda regeln att Riksarkivet skall samråda med Datainspektionen innan gallringsföreskrifter eller beslut om gallring ur ett sådant register meddelas.

Oavsett om gallringsbestämmelser finns i lag, förordning, föreskrifter eller i särskilda beslut omfattar de regelmässigt såväl vilka handlingar som får gallras som när det får eller skall ske. För statliga personregister som regleras i författning finns vanligen gallringsbestämmelser i registerförfattningarna. Dessa bestämmelser kompletteras dock ofta av föreskrifter från Riksarkivet. För statliga personregister som förs med stöd av tillstånd av Datainspektionen finns ofta bestämmelser om gallring i tillståndsbesluten.

3. Register hos skatteförvaltningen, exekutionsväsendet och Tullverket

Användningen av automatisk databehandling har stadigt ökat inom all statlig verksamhet sedan 1970-talet och därmed också användningen av personregister i den mening som avses i datalagen (1973:289). Detta kapitel innehåller en redogörelse för gällande bestämmelser om de automatiserade register som används inom skatteförvaltningens, exekutionsväsendets och Tullverkets verksamheter. Sådana register kan grovt delas in i två grupper: register som inrättats efter beslut av riksdagen eller regeringen (s.k. statsmaktsregister) och register som förs med stöd av tillstånd enligt datalagen. Framställningen tar sikte på samtliga de register som omfattas av våra direktiv, men tyngdpunkten ligger på de större författningsreglerade registren.

3.1. Register i skatteförvaltningens beskattningsverksamhet

3.1.1. Allmänt om beskattningsverksamheten

Skatteförvaltningen består av Riksskatteverket, som är chefsmyndighet, samt tio regionala skattemyndigheter. Vid de regionala myndigheterna finns det avdelningar, enheter och skattekontor. Skatteförvaltningen ansvarar för frågor om skatter, socialavgifter och pensionsgrundande inkomst, folkbokföring, vissa brottsutredningar samt val och folkomröstningar. Grundläggande bestämmelser om verksamheterna finns i förordningen (1990:1293) med instruktion för skatteförvaltningen.

Den del av skatteförvaltningens verksamhet som rör frågor om skatter och avgifter, fastighetstaxering samt fastställande av pensionsgrundande inkomst, kan med en gemensam term benämnas beskattningsverksamhet. Den verksamheten är mycket komplex och innefattar tillämpning av ett mycket stort antal lagar som reglerar bl.a. skattskyldighet samt förfarandet vid fastställande av underlag för och bestämmande och

betalning av skatter och avgifter. Nedan följer en summarisk beskrivning av verksamheten.

Inkomstskatter, socialavgifter och källskatt m.m.

Av kommunalskattelagen (1928:370) framgår att fysiska personer och dödsbon skall betala kommunal inkomstskatt för inkomst av tjänst och näringsverksamhet. Enligt lagen (1947:576) om statlig inkomstskatt skall de vidare erlägga statlig inkomstskatt på nämnda inkomster jämte inkomst av kapital. Juridiska personer skall i den utsträckning som framgår av sistnämnda lag betala statlig inkomstskatt för inkomst av näringsverksamhet. Förfarandet med bestämmande och betalning av de nu nämnda skatterna har sin grund i det underlag för beskattningen som utgörs av självdeklarationer som ges in av de skattskyldiga samt kontrolluppgifter som ges in av andra, t.ex. arbetsgivare, allmänna försäkringskassor och banker, enligt lagen (1990:325) om självdeklarationer och kontrolluppgifter. Förfarandet hos skattemyndigheterna vid fastställande av underlaget för skatteuttag regleras i taxeringslagen (1990:324), medan bestämmelser om förfarandet med bestämmande, betalning och redovisning av skatterna finns i skattebetalningslagen (1997:483). Utöver de ovan nämnda skatterna tillämpas i princip samma förfaringssätt på skatter enligt bl.a. lagen (1997:323) om statlig förmögenhetsskatt och lagen (1984:1052) om statlig fastighetsskatt.

Vid sidan av de nämnda skatterna finns det ett stort antal andra skatter som regleras i särskild lagstiftning. Som exempel kan nämnas skatt enligt lagen (1991:586) om särskild inkomstskatt för utomlands bosatta samt lagen (1941:416) om arvsskatt och gåvoskatt. För dessa skatter gäller även särskilda förfaringssätt vid fastställande av underlag för samt bestämmande och uttag av skatterna.

Den som är arbetsgivare, och i vissa fall uppdragsgivare, skall enligt lagen (1981:691) om socialavgifter erlägga arbetsgivaravgifter på den ersättning för arbete som betalas ut till anställda eller uppdragstagare. Arbetsgivare är även skyldiga att göra skatteavdrag för sina anställda när ersättningen betalas ut till dem. Det innebär att arbetsgivaren skall redovisa de anställdas preliminära inkomstskatter och betala in dessa till skattemyndigheterna. Sådant skatteavdrag görs vanligen med stöd av fastställda skattetabeller. Förfarandet för bestämmande, betalning och redovisning av arbetsgivaravgifterna och skatteavdragen regleras i skattebetalningslagen. Arbetsgivare skall varje månad lämna en skattedeklaration till skattemyndigheterna, av vilken skall framgå den sammanlagda ersättning för vilken arbetsgivaren är skyldig att göra skatteavdrag eller betala arbetsgivaravgifter. I samband med att en skattedeklaration ges in skall arbetsgivaren betala in de skatter och arbetsgivar-

avgifter som följer av deklarationen. Redovisningen av inbetalningar m.m. sker genom ett för varje arbetsgivare särskilt skattekonto.

Efter varje beskattningsår gör skattemyndigheterna en avstämning mellan de skattebeslut som har fattats för arbetsgivare avseende gjorda skatteavdrag och de skattskyldigas (arbetstagarnas) självdeklarationer och kontrolluppgifter. Den enskilde arbetstagaren får därefter ett skattebeslut som kan innebära återbetalning när arbetsgivaren har betalat in för mycket preliminär skatt eller ett betalningskrav när preliminärskatten är för lågt beräknad. Även redovisningen av arbetstagares skatter görs numera på ett för varje person särskilt skattekonto.

Mervärdesskatt och punktskatter m.m.

Den som yrkesmässigt omsätter varor eller tjänster som är skattepliktiga är enligt mervärdesskattelagen (1994:200) skyldig att betala mervärdesskatt, moms, till staten. Skyldigheten att betala moms inträder normalt när varan har levererats eller tjänsten har tagits i anspråk och kan därför komma att gälla i flera led, dvs. skyldigheten att betala moms vid försäljning av ett visst föremål uppstår varje gång föremålet säljs yrkesmässigt. Beskattningsunderlaget utgörs av värdet av den sålda varan eller den tillhandahållna tjänsten. Momsskyldigheten innebär emellertid inte endast en skyldighet för en näringsidkare att betala in moms vid försäljning av varor eller tjänster (utgående skatt), utan även en rätt att få tillbaka den moms som ingår i ersättningen vid köp av varor eller tjänster i verksamheten (ingående skatt).

Bestämmelser om förfarandet vid bestämmande och betalning av moms finns i skattebetalningslagen. Den som är skyldig att betala moms skall normalt varje månad lämna de uppgifter som behövs för beskattningen i en skattedeklaration, tillsammans med uppgifter om arbetsgivaravgifter och gjorda skatteavdrag. I samband med att skattedeklarationen ges in skall den skattskyldige betala in skillnaden mellan den utgående och ingående skatten. När den ingående skatten överstiger den utgående skall skattemyndigheterna i stället återbetala mellanskillnaden.

För ett flertal produkter eller tjänster tas särskilda punktskatter eller avgifter ut, bl.a. enligt lagen (1994:1563) om tobaksskatt, lagen (1994:1564) om alkoholskatt och lagen (1994:1776) om skatt på energi. Sammantaget regleras uttag av punktskatter och prisregleringsavgifter i ett femtiotal olika lagar. I dessa lagar anges även hur skatten beräknas. Som exempel kan nämnas lagen om tobaksskatt där det anges att skatt på cigaretter tas ut med ett viss belopp per cigarett samt med en viss procent av detaljhandelspriset. Skattskyldig är enligt den lagen bl.a. den

som är godkänd som upplagshavare till följd av yrkesmässig tillverkning, import eller lagring av cigaretter.

Förfarandet vid uttag av skatterna regleras i lagen (1984:151) om punktskatter och prisregleringsavgifter, dock gäller lagen inte de skatter och avgifter som enligt bestämmelser i materiell lagstiftning skall erläggas till Tullverket. Skatteredovisningen görs i särskilda deklarationer som normalt skall ges in till beskattningsmyndigheten varje månad. Till skillnad mot vad som gäller för inkomstskatter, socialavgifter och moms m.m., handläggs frågor om punktskatter centralt för hela landet vid det särskilda skattekontoret i Ludvika. Beskattningsmyndighet är alltså Skattemyndigheten i Gävle, till vilken kontoret hör.

Revision och annan kontrollverksamhet

De allra flesta beskattningsbeslut m.m. som fattas av skattemyndigheterna grundar sig helt på de underlag för beskattning som ges in från skattskyldiga och andra, dvs. självdeklarationer, skattedeklarationer och kontrolluppgifter m.m. Myndigheterna godtar underlagen utan några ändringar efter en summarisk – i vissa fall maskinell – granskning utan några egentliga kontrollinsatser. I de fall ändringar görs i underlaget sker det ofta efter att fel eller tveksamheter har upptäckts vid maskinella eller manuella genomgångar av deklarationer, varefter nya underlag kan fastställas efter kommunicering med de skattskyldiga utan ytterligare insatser.

Skattemyndigheterna företar dock regelmässigt även mer djupgående kontroller av de underlag som inkommer till skattemyndigheterna och i vissa fall på grund av att underlag helt saknas. Enligt taxeringslagen får skattemyndigheterna förelägga den som är eller kan antas vara skattskyldig att lämna uppgifter eller visa upp handlingar som behövs för kontroll av att uppgifter i beskattningsunderlaget är riktiga. Ett sådant föreläggande får i vissa fall förenas med vite. Skattemyndigheterna kan även besluta om taxeringsrevision för att kontrollera att deklarations- och annan uppgiftsskyldighet har fullgjorts riktigt och fullständigt samt för att inhämta uppgifter av betydelse för kontroll av någon annan än den skattskyldige som revideras.

Motsvarande bestämmelser som i taxeringslagen om revision och andra kontrollåtgärder, finns i fråga om moms och arbetsgivaravgifter respektive punktskatter m.m., i skattebetalningslagen respektive lagen om punktskatter och prisregleringsavgifter.

När skattemyndigheterna genomför revisioner eller andra kontrollåtgärder enligt bl.a. taxeringslagen, skattebetalningslagen samt lagen om punktskatter och prisregleringsavgifter, tillämpas bestämmelserna i lagen (1994:466) om särskilda tvångsåtgärder i beskattningsförfarandet. Enligt

den lagen får revision företas i den reviderades lokaler även utan dennes medgivande och i vissa fall även utan att den reviderade har underrättats om att revision skall ske. Vid sådan revision får handlingar eftersökas och omhändertas för granskning. Med handlingar avses även tekniska upptagningar som t.ex. dataprogram.

Fastighetstaxering

Fastighetstaxering utgör en särskild del av beskattningsverksamheten. Målet för fastighetstaxeringen är att fastställa och tillhandahålla information om taxeringsvärde för landets ca. 3 miljoner fastigheter. Taxeringsvärdet utgör sedan underlag för uttag av fastighetsskatt, men ett taxeringsvärde skall fastställas även för fastigheter som är skattebefriade. Indelningen i taxeringsenheter, de taxeringsvärden för fastigheter som åsätts vid fastighetstaxeringen samt de egenskapsuppgifter som samlas in vid taxeringen används inom många verksamhetsområden. Hänvisning till fastighetstaxeringsuppgifter finns bl.a. i folkbokföringslagen (1991:481). Uppgifterna används även inom verksamhetsområden som inte är författningsreglerade. Huvudsakligen gäller detta vid fastighetsvärdering, kreditupplysning och kreditgivning, försäljning av fastigheter, fysisk planering, samt framställning av statistik.

En förutsättning för att en fastighets taxeringsvärde skall bli korrekt är att den basinformation som ligger till grund för taxeringsbesluten motsvarar de verkliga förhållandena på fastigheterna. Allmän fastighetstaxering äger därför rum vartannat år, men fördelat på så sätt att lantbruksenheter taxeras vart sjätte år, småhus vart sjätte år samt hyreshusenheter m.m. vart sjätte år. För fastigheter på vilka det har skett väsentliga förändringar, t.ex. tillbyggnad, sker dock omtaxering årligen (särskild fastighetstaxering). Sedan 1996 utgörs underlaget för taxeringen av en fastighet av ett taxeringsförslag som fastighetsägaren får från skattemyndigheten och som kommer att utgöra taxeringsbeslutet om fastighetsägaren inte har några invändningar.

Brottsutredande verksamhet

Den 1 juli 1998 trädde lagen (1997:1024) om skattemyndigheternas medverkan i brottsutredningar i kraft. Enligt den lagen får skattemyndigheter medverka i förundersökning avseende brott enligt bl.a. skattebrottslagen (1971:69) samt bedriva viss spanings- och utredningsverksamhet. I normalfallet leds skattemyndigheternas arbete i en förundersökning av en åklagare, men i fråga om brott som inte kan antas föranleda annan påföljd än böter får skattemyndigheterna, även utan

åklagares begäran om biträde, på egen hand utreda brottslighet om den misstänkte kan antas erkänna gärningen.

Verksamhetens omfattning och behovet av datorstöd

För att exemplifiera omfattningen av skatteförvaltningens verksamhet kan nämnas några uppgifter som avser verksamhetsåret 1998. Skattemyndigheterna hanterade det året 3,8 miljoner momsdeklarationer och 7,3 miljoner självdeklarationer. Efter granskning ändrades 87 000 momsdeklarationer och 375 000 självdeklarationer. Antalet registrerade arbetsgivare var 289 000 vid utgången av året och med uppgifter från dessa fattades 405 000 fastställelsebeslut avseende källskatt och arbetsgivaravgifter. Det totala skatteutfallet, inklusive socialavgifter, uppgick för 1998 till 975 miljarder kronor.

Av verksamhetsbeskrivningen ovan framgår att skatteförvaltningens beskattningsverksamhet förutsätter att det finns möjlighet att samla in och behandla stora mängder uppgifter från enskilda och företag, bl.a. deklarationer och kontrolluppgifter. Dessutom behöver skattemyndigheterna uppgifter från andra myndigheter, t.ex. om olika tillstånd och bidrag m.m. som företag eller enskilda beviljats eller uppgifter som de lämnat för att få en sådan förmån.

Med hänsyn till mängden uppgifter som skattemyndigheterna hämtar in är tillgången till datorer i ärendehanteringen nödvändig för att en snabb och effektiv handläggning skall kunna uppnås eller vidhållas. Med hjälp av automatisk databehandling kan skattemyndigheterna ta emot uppgifter via t.ex. fasta uppkopplingar, modem eller diskett. Dessutom möjliggörs maskinella beslut. Registreringen av uppgifter i datoriserade skatteregister medför att grundläggande beslut om årlig taxering i sådana fall där en självdeklaration godtas utan avvikelse kan fattas direkt på automatiserad väg. Även andra beslut, såsom beslut om pensionsgrundande inkomst och underlag för beräkning av egenavgifter samt debiteringsbeslut, kan fattas maskinellt. Skatteförvaltningen har således ett stort behov av väl fungerande datorsystem och rutiner för att klara den masshantering av ärenden som förekommer hos myndigheterna.

Det är även skattemyndigheternas uppgift att se till att taxeringsärenden och andra ärenden blir tillräckligt utredda. Arbetet innefattar därför granskning och kontroll av ett omfattande material. För att skattemyndigheterna skall klara de rationaliseringskrav som ställs på kontrollverksamheten, tas datorsystemen därför till hjälp i så stor utsträckning som möjligt för att bl.a. få ett urval av kontrollvärda objekt. Även i kontrollverksamheten finns därför behov av effektiva datorlösningar.

3.1.2. Skatteregister

Alltsedan början av 1970-talet har ett förbättrat datorstöd hos skattemyndigheterna varit ett viktigt inslag i reformarbetet inom taxerings- och uppbördsområdena. Riksdagen beslutade 1975 om riktlinjer för en taxeringsorganisation i första instans, som innebar bl.a. att uppgifter i självdeklarationer och kontrolluppgifter skulle ADB-registreras. Enligt principbeslutet skulle vidare ett centralt organisationsregister till stöd för företagsbeskattningen byggas upp. Detta register skulle innehålla alla juridiska personer som driver rörelse och alla fysiska personer som har någon anställd eller som driver rörelse. Samma år beslutade riksdagen om riktlinjer för ett fortsatt utvecklingsarbete med det nya datorsystemet för folkbokföring och beskattning. Systemet skulle enligt beslutet bygga på en blandad regional och central registerföring. Under senare delen av 1970-talet togs ytterligare regerings- och riksdagsbeslut i syfte att utveckla datorsystemet.

Samtidigt som datorsystemet utvecklades, diskuterades de integritetsoch sekretessfrågor samt övriga säkerhetsfrågor som är förknippade med användning av datorer inom skatteförvaltningen. Det fastslogs att det från integritetsskyddssynpunkt var angeläget att registerföringen hos skatteförvaltningen klart skulle redovisas och avgränsas i författning. Så långt möjligt borde regleringen ske i lagform (prop. 1979/80:146 s. 18). Den 1 juli 1980 trädde sålunda skatteregisterlagen (1980:343) i kraft. Lagen kompletterades med skatteregisterförordningen (1980:556) som innehåller föreskrifter om bl.a. utlämnande av uppgifter från registren till myndigheter utanför beskattningsområdet.

Tillämpningsområde och ändamål

Genom skatteregisterlagen regleras de fortlöpande register som förs inom skatteförvaltningen med datorstöd. Skatteregisterlagen omfattar inte sådan specialinriktad registerföring som kan behövas för datoriserade bearbetningar i samband med särskilda kontrollaktioner och inte heller datoriserade register utan personorienterad information, som används vid framställning av statistik.

Skatteregisterlagen medger att det inom skatteförvaltningen förs ett centralt skatteregister för hela riket och ett regionalt skatteregister för varje region. Registren får föras endast för vissa i lagen preciserade ändamål. Vid skatteregisterlagens tillkomst bestämdes dessa ändamål utifrån registrens två huvudsakliga funktioner. Skatteregistren skulle vara ett hjälpmedel vid inkomst- och förmögenhetstaxeringen samt vid bestämmande och uppbörd av inkomst- och förmögenhetsskatt m.fl. skatter och avgifter. De skulle också underlätta planeringen, samord-

ningen och uppföljningen av revisions- och kontrollverksamheten inom i huvudsak hela beskattningsområdet. Dessutom skulle vissa basuppgifter m.m. tillhandahållas, främst i fråga om företag.

Det förutsattes att skatteregistren i framtiden skulle komma att användas även för andra ändamål (prop. 1979/80:146 s. 26 och 42). Bland annat ansågs det naturligt att kronofogdemyndigheterna skulle få tillgång till uppgifterna i skatteregistren i den mån de skulle behövas för indrivningsverksamheten. En sådan utvidgning av ändamålet med skatteregistren skedde 1982, då det bestämdes att det centrala skatteregistret skulle användas även för utredningar i kronofogdemyndigheternas exekutiva verksamhet. I förarbetena till den lagändringen (prop. 1981/82:160 s. 7 f.) uttalade departementschefen bl.a. att indrivningen av skatter och avgifter hör mycket nära ihop med den direkta beskattningsverksamheten och att det i princip inte finns några bärande skäl att motsätta sig att kronofogdemyndigheterna genom ett enkelt och smidigt förfarande får tillgång till uppgifterna i skatteregistren för utredningsändamål. Genom en registeråtkomst på detta sätt skulle möjlighet skapas att förenkla och förbättra kronofogdemyndigheternas rutiner vid efterforskning av gäldenärernas tillgångar.

Ändamålskatalogen har därefter utökats ytterligare, dock i stort sett utan att det huvudsakliga användningsområdet för skatteregistren förändrats. Bland senare ändringar kan nämnas att skatteregistren numera får användas vid gäldenärsutredningar enligt lagen (1993:891) om indrivning av statliga fordringar m.m.

Registeransvar

Enligt datalagen är den registeransvarig för vars verksamhet ett personregister förs, om han eller hon förfogar över registret. I skatteregisterlagen pekas inga myndigheter direkt ut som registeransvariga. Däremot anges det att Riksskatteverket förfogar över det centrala registret och att skattemyndigheterna förfogar över det centrala registret såvitt gäller uppgifter som hänför sig till regionen samt över det regionala registret för regionen.

Detta innebär att Riksskatteverket är registeransvarigt för det centrala skatteregistret i dess helhet, medan skattemyndigheterna var för sig ansvarar för registret i fråga om uppgifter som hänför sig till regionen. För det centrala registret är ansvaret alltså delat. Skattemyndigheterna är registeransvariga även för de regionala register som förs av respektive myndighet, medan Riksskatteverket inte har något formellt ansvar för dessa register.

Det centrala skatteregistrets innehåll

Innehållet i det centrala skatteregistret regleras i 57 §§skatteregisterlagen. I 5 och 6 §§ anges vilka uppgifter som registret skall innehålla, medan 7 § reglerar de uppgifter som registret därutöver får innehålla. Innehållet är preciserat i bestämmelserna, men utan att det alltid exakt anges vilka uppgifter som skall eller får registreras. Det finns således en möjlighet att i administrativ ordning föreskriva mindre avvikelser från lagens bestämmelser liksom att ge närmare föreskrifter om innehållet.

Obligatoriska uppgifter

I 5 § skatteregisterlagen räknas de uppgifter avseende fysiska personer upp som alltid skall finnas i registret. Hit hör de vanliga identifikationsuppgifterna om namn, adress och personnummer samt vissa andra uppgifter, t.ex. civilstånd och nationalitet. Personnummer för bl.a. make och hemmavarande barn skall också anges, liksom uppgifter om pensionsförhållande, tillhörighet till svenska kyrkan och registrering i sjömansregistret m.m. Vidare finns uppgifter om registrering enligt skattebetalningslagen och om på vilket sätt den preliminära skatten skall betalas. Uppgifterna skall föras in för varje fysisk person som är folkbokförd i Sverige – för personer under 18 år finns dock vissa särbestämmelser – och för annan fysisk person om det behövs för beskattning i riket.

De uppgifter som skall införas för juridiska personer anges i 6 § skatteregisterlagen. I princip motsvarar de den typ av uppgifter som är obligatoriska för fysiska personer. Vad som registreras är bl.a. uppgifter om organisationsnummer, firma, adress, säte m.m. samt registrering enligt skattebetalningslagen.

Uppgifter som får finnas i registret

I 7 § skatteregisterlagen regleras i ett antal punkter vilka uppgifter som får införas i det centrala skatteregistret utöver de obligatoriska uppgifterna enligt 5 och 6 §§. Bestämmelsen möjliggör registrering av fler och mer detaljerade – och i vissa fall mer integritetskänsliga – uppgifter som är nödvändiga för beskattningen och som behövs för att skattemyndigheterna skall kunna bedriva en effektiv kontrollverksamhet.

Registret får innehålla vissa uppgifter om ägandeförhållanden i fåmansbolag och andra liknande bolag, liksom uppgifter om företagsledare i dessa företag (punkten 1). Registret får också innehålla andra uppgifter som näringsidkare har lämnat om sin näringsverksamhet. Det kan röra

sig om t.ex. uppgifter om antalet anställda och deras personnummer (punkten 10), omsättningen i näringsverksamheten (punkten 17), vissa uppgifter om koncerner (punkten 22) eller uppgifter om ingående och utgående mervärdesskatt m.m. (punkten 24). För näringsidkare får det även finnas uppgifter om s.k. mervärdesskattegrupper (punkten 30).

Registret får vidare innehålla uppgifter som lämnats i självdeklaration och kontrolluppgifter (punkterna 7 och 12). Från kronofogdemyndigheten hämtas uppgifter om att en fordran har registrerats på någon, om indrivningsresultat och om beslut om konkurs, skuldsanering eller likvidation m.m. (punkten 9). Det centrala skatteregistret får också innehålla uppgifter om bank- och postgironummer för näringsidkare, fastighetsinnehav, bosättningsland samt adress och telefonnummer till ombud m.m. (punkterna 11, 13, 15, 21 och 23).

Vissa uppgifter hämtas från andra myndigheter till det centrala skatteregistret, bl.a. uppgifter om fordonsinnehav från det centrala bilregistret (punkten 19), om styrelseledamöter och verkställande direktör m.m. från aktiebolagsregistret (punkten 25), om utskänkningstillstånd från Alkoholinspektionen (punkten 26), om beslut om arbetsmarknadspolitiska åtgärder från länsarbetsnämnder (punkten 27), om import och export m.m. från Tullverket (punkten 28) samt om försäkring mot kostnader för sjuklön från Riksförsäkringsverket (punkten 29). Uppgifterna har betydelse dels för att ta fram kontrollvärda förhållanden vid de maskinella urvalskontrollerna, dels för att skattemyndigheterna skall kunna fånga upp även sådana företag som bedriver verksamhet men som aldrig lämnar uppgift om detta till skattemyndigheten, s.k. non-filers. Sådana företag kan förekomma i andra myndigheters register i anledning av ansökan om bidrag eller tillstånd av olika slag.

Det centrala skatteregistret får vidare innehålla uppgifter om skattemyndigheters åtgärder och beslut, bl.a. uppgifter om avslutad revision och annat besök eller sammanträffande i anledning av kontrollverksamhet (punkten 2). Uppgifter om revisionsresultat är i hög grad integritetskänsliga och det kan ibland efter fortsatt utredning av beskattningsfrågan visa sig att de inte var korrekta. Därför får endast vissa uppgifter om revisionen registreras. För varje sådan åtgärd får anges tid, art, beskattningsperiod, skatteslag, myndighets beslut om beloppsmässiga ändringar av skatt eller underlag för skatt med anledning av åtgärden samt uppgift om huruvida bokföringsskyldighet har fullgjorts. Registret kan också innehålla uppgifter om tid för och art av planerad eller pågående revision m.m. (punkten 14) samt resultat av bruttovinstberäkning och annan skönsmässig beräkning (punkten 18).

Vidare får registret innehålla ett flertal uppgifter som behövs för bestämmande och redovisning av skatt, t.ex. innehav av skattsedel (punkten 3), maskinellt framställda förslag till beslut om beskattning

(punkten 4), ansökan om och beslut om anstånd (punkten 5), uppgifter om beslut om beskattning med undantag för skälen för beslutet, uppgifter om utmätning enligt skattebetalningslagen (punkten 8), uppgifter för beräkning av skattereduktion i vissa fall (punkten 20) samt uppgifter om uppskovsbelopp vid andelsbyten eller andelsöverlåtelser inom koncerner (punkterna 31 och 32). I registret får även finnas uppgifter om avgiftsskyldighet till annat registrerat trossamfund än svenska kyrkan (punkten 33).

Slutligen får det centrala skatteregistret innehålla administrativa och tekniska uppgifter som behövs för beskattningen (punkten 6). Med detta avses uppgifter som i första hand hänför sig till myndigheternas verksamhet och inte till den skattskyldige. En uppgift kan vara av administrativ eller teknisk natur endast om den från integritetssynpunkt framstår som väsentligen utan betydelse.

De regionala skatteregistrens innehåll

De regionala registren får enligt 11 § skatteregisterlagen innehålla vissa uppgifter som hänför sig till respektive myndighets region. Det är uppgifter om en fysisk eller juridisk persons identitet, beskattningsår eller annan redovisningsperiod, ärendebeteckning eller ärendemening, beteckning på en handling eller uppgift om att en handling inte finns i registret, uppgifter om omprövning eller överklagande av ett ärende hos myndigheten, domstols beslut samt administrativa och tekniska uppgifter.

Sedan 1995 får de regionala registren även innehålla handlingar som kommit in eller upprättats i ett ärende som hänför sig till regionen. Grunden för det var införandet av ett system inom skatteförvaltningen med elektronisk ärendehantering. Regeringen anförde i motiven till lagändringen att det genom utnyttjande av datorstöd har blivit möjligt att effektivisera delar av ärendehanteringen och att det finns skäl att så långt som möjligt ta till vara de rationaliseringsmöjligheter som datortekniken erbjuder (prop. 1994/95:93 s. 21 ff.). Innebörden av att de regionala registren skulle få innehålla handlingar var enligt regeringen att den pappersbaserade ärendehanteringen skulle kunna ersättas med elektroniska dokument och akter. En elektronisk akt skall kunna innehålla alla handlingarna i ett ärende. Det betyder att de beslut och andra handlingar som upprättas i elektronisk form av skattemyndigheterna, de deklarationer som lämnas in i elektronisk form till myndigheterna samt de inkomna pappersbaserade handlingar som bildfångas, dvs. avbildas elektroniskt, kan lagras i en elektronisk akt. Det leder i sin tur till att akterna – och därmed de regionala registren – kan komma att innehålla känsliga personuppgifter, särskilt som bildfångst av handlingar innebär

att alla uppgifter i en handling registreras oavsett hur känslig en uppgift är. I sina överväganden fann regeringen därför att det krävs åtgärder för att tillgodose behovet av skydd för enskildas personliga integritet. Sådana åtgärder vidtogs genom att det infördes särskilda begränsningar för terminalåtkomst till de regionala registren samt begränsningar i tilllåtna sökbegrepp vid sökning i de elektroniska akterna (se mer om det nedan).

Rätt att få uppgifter från skatteregistren

Av integritetshänsyn har innehållet i skatteregistren reglerats så noggrant som möjligt. Det har från integritetsskyddssynpunkt dock ansetts vara av minst lika stor betydelse att reglera tillgången till uppgifterna. Riskerna för att uppgifterna blir tillgängliga inom en alltför vid krets har man således försökt eliminera.

Bestämmelser som reglerar tillgången till uppgifterna finns i skatteregisterlagen och skatteregisterförordningen samt i sekretesslagen (1980:100). Det finns anledning att skilja på om uppgifterna skall användas inom skatteområdet eller om de skall utbytas mellan skatteområdet och något annat verksamhetsområde. I samband med skatteregisterlagens tillkomst anförde departementschefen bl.a. att utgångspunkten i fråga om utbyte av uppgifter mellan myndigheter och verksamhetsgrenar inom skatteområdet, bör vara att utlämnande skall ske om uppgifterna behövs för verksamheten (prop. 1979/80:146 s. 26 f.). Detta bör alltså gälla även i fråga om uppgiftsutbyte mellan skattemyndigheterna och t.ex. Tullverket som administrerar bl.a. mervärdesskatt vid införsel. Departementschefen uttalade vidare följande.

Det är sålunda enligt min mening naturligt att även i detta avseende betrakta skatteområdet som en enhet... De skattskyldiga torde också i allmänhet vara väl införstådda med att ett utbyte av information sker inom skatteförvaltningen.

Den omständigheten att verksamheten på skatteområdet är uppdelad på flera myndigheter och organisatoriska enheter bör alltså inte lägga hinder i vägen för ett uppgiftsutbyte som behövs för att verksamheten skall kunna bedrivas på ett rationellt och effektivt sätt.

Indrivningen av skatter och avgifter hör också nära ihop med den direkta beskattningsverksamheten. Redan i dagsläget får kronofogdemyndigheterna en mängd uppgifter från skattemyndigheterna som behövs för indrivningsverksamheten. Det är enligt min mening naturligt att kronofogdemyndigheterna i framtiden kan få tillgång även till uppgifterna i de nya skatteregistren i den mån de behövs i indrivningsverksamheten.

Vad sedan gäller utbyte av uppgifter i övrigt mellan skatteområdet och annat verksamhetsområde bör utgångspunkten vara en annan. De enskilda medborgarna bör normalt kunna utgå från att uppgifter av känslig natur som lämnas för viss verksamhet inte används också för annan verksamhet. Ett uppgiftsutbyte i sådana fall skulle av många kunna upplevas som otillbörligt. Detta talar för att man bör inta en restriktiv hållning när det gäller sådant uppgiftsutbyte. Å andra sidan måste man beakta dels att informationsutbyte mellan myndigheter kan minska den enskildes uppgiftslämnande och statsförvaltningens kostnader, dels att sådant utbyte kan möjliggöra angelägna kontroller. Vid den intresseavvägning som således måste ske bör man… inte tillåta uppgiftsutbyte i andra fall än då intresset av utlämnande klart bedöms väga över risken för otillbörligt integritetsintrång. Därvid måste man beakta bl.a. hur pass nära de ifrågavarande verksamhetsområdena ligger varandra, i vilken mån uppgifterna är sekretesskyddade hos den mottagande myndigheten samt om det finns möjlighet att i förväg underrätta de enskilda om uppgiftsutbytet.

Informationsflödet är således friare inom skatteområdet än mellan det området och andra verksamhetsområden. Detta återspeglar sig framför allt i den omfattning som skattemyndigheter respektive kronofogdemyndigheter har terminalåtkomst till uppgifter i skatteregistren.

Terminalåtkomst

Terminalåtkomst till det centrala skatteregistret

Utgångspunkten för regleringen av terminalåtkomst till det centrala skatteregistret är att uppgifterna får finnas tillgängliga via terminal endast i den mån behovet av att snabbt och enkelt få tillgång till uppgifterna väger tyngre än den risk från integritetssynpunkt som terminalåtkomst anses medföra (jfr prop. 1979/80:146 s. 47). Terminalåtkomst till uppgifter i registret får enligt 10 § skatteregisterlagen i princip medges endast för de ändamål för vilka registret är avsett, dvs. för skattemyndigheternas beskattningsverksamhet och kronofogdemyndigheternas exekutiva verksamhet.

Riksskatteverket har terminalåtkomst till det centrala skatteregistret i dess helhet, medan vissa begränsningar gäller för skattemyndigheter och kronofogdemyndigheter. Att märka är att Tullverket saknar terminalåtkomst till skatteregistren trots att även den myndigheten bedriver beskattningsverksamhet.

De regionala skattemyndigheterna har terminalåtkomst till samtliga typer av uppgifter som finns i det centrala skatteregistret, men åtkomsten

är till stor del begränsad till sådana uppgifter som hänför sig till respektive region. För ett flertal uppgifter av mindre integritetskänslig natur – samtliga uppgifter enligt 5 och 6 §§skatteregisterlagen – medges dock riksåtkomst. Detsamma gäller sådana uppgifter enligt 7 § där praktiska skäl talar för terminalåtkomst.

För att effektivisera kontrollverksamheten har skattemyndigheterna fr.o.m. den 1 juli 1997 i ett avseende fått en mer omfattande riksåtkomst. Vid och inför en revision har en skattemyndighet numera terminalåtkomst till uppgifter om ett företags delägare som är bosatt i en annan region än den där det reviderade företaget beskattas. I motiven till lagändringen uttalades att revisorn inför revision av ett företag har behov av att kunna granska även bolagets delägare i syfte att undersöka eventuella transaktioner mellan bolaget och dess delägare (prop. 1996/97:116 s. 60). Om delägarna är bosatta i ett annat län än där bolaget har sitt säte har revisorn inte terminalåtkomst till samtliga uppgifter om bolagets delägare. Genom att utöka terminalåtkomsten vid revisioner till att omfatta även delägare som är bosatt i annat län än det där bolaget beskattas kan arbetet med revisioner underlättas. Begränsningen i åtkomsten kan utnyttjas av näringsidkare som har för avsikt att missbruka systemet. Med hänsyn till att skatteförvaltningens datorsystem har ett behörighetssystem som utnyttjas på så sätt att man begränsar åtkomsten till uppgifterna i registret till endast de tjänstemän som har behov av uppgifterna, ansåg regeringen att något hinder från integritetssynpunkt inte kunde anses föreligga mot att tillåta revisorer att få terminalåtkomst även till uppgifter om ett bolags delägare som är bosatt i ett annat län.

Kronofogdemyndigheterna har inte terminalåtkomst till samtliga typer av uppgifter som finns i det centrala skatteregistret, utan åtkomsten begränsas till uppgifter som avses i 5 och 6 §§ samt vissa uppgifter i 7 § skatteregisterlagen. Det gäller då sådana uppgifter som kronofogdemyndigheterna behöver för att på ett tidigt stadium kunna skaffa sig en överblick över en gäldenärs ekonomiska intressen i olika bolag, t.ex. uppgifter om ägarförhållande i fåmansbolag (7 § 1). Vidare gäller det uppgifter som underlättar för kronofogdemyndigheten att i övrigt informera sig om gäldenärens betalningsförmåga, t.ex. uppgifter som lämnas i självdeklaration (punkten 7), uppgifter om registrering av skattskyldighet, innehav av skattsedel och preliminära skattebeslut (punkterna 3 och 4) eller slutliga beslut om skatt, dock inte skälen för beslutet (punkten 8). Kronofogdemyndigheterna har också tillgång till uppgifter från kontrolluppgifter (punkten 12), eftersom sådana uppgifter är det viktigaste underlaget för kronofogdemyndigheternas beslut om löneexekution. Slutligen har kronofogdemyndigheterna tillgång till olika uppgifter om fastighetsinnehav (punkten 13) samt vissa uppgifter om ingående och utgående mervärdesskatt m.m. (punkten 24).

Kronofogdemyndigheterna har terminalåtkomst endast till uppgifter som rör en begränsad krets personer. Åtkomsten får avse endast den som är registrerad som gäldenär hos en kronofogdemyndighet eller make till gäldenären eller någon annan som sambeskattas med gäldenären, likaså någon som är delägare i ett fåmansbolag i vilket någon av dessa personer också är delägare. I fråga om uppgifter som avses i 5 och 6 §§ samt 7 § punkterna 1, 3 och 4 skatteregisterlagen har samtliga kronofogdemyndigheter terminalåtkomst. För övriga uppgifter är terminalåtkomsten begränsad till kronofogdemyndigheten i den region där ett mål är registrerat för exekutiva åtgärder.

Att behöriga myndigheter i ett annat EU-land får ha terminalåtkomst till uppgifter om mervärdesskatt framgår av rådets förordning (EEG) nr 218/92.

Terminalåtkomst till de regionala skatteregistren

Som nämnts ovan innehåller de regionala skatteregistren handlingar i elektroniska akter, vilka kan innehålla känsliga personuppgifter av olika slag. I motiven till regleringen av dessa akter (prop. 1994/95:93 s. 30 ff.) anförde regeringen att åtkomsten till de regionala registren måste begränsas för att tillgodose behovet av skydd för de registrerades integritet. Regeringen ansåg att åtkomsten till de elektroniska akterna bör motsvara de möjligheter till åtkomst som gäller för handlingarna i en pappersbaserad akt. För de regionala skatteregistren gäller därför att terminalåtkomsten är uppdelad på så sätt att åtkomst till handlingar i ett ärende, dvs. de elektroniska akterna, i första hand är förbehållen det skattekontor som handlägger ärendet. Dock kan även ett annat skattekontor få terminalåtkomst till uppgifterna, om det behövs för handläggningen av ett ärende hos det kontoret. Riksskatteverket och skattemyndigheten i regionen – med undantag för respektive lokalt skattekontor – har inte terminalåtkomst till de elektroniska akterna, men väl till övriga uppgifter i ett regionalt skatteregister. Kronofogdemyndigheterna saknar helt terminalåtkomst till de regionala skatteregistren.

Till skillnad från vad som gäller i fråga om det centrala skatteregistret begränsas åtkomsten till de regionala skatteregistren genom att endast vissa sökbegrepp får användas när uppgifter skall tas fram ur registren. Tillåtna sökbegrepp är personnummer, organisationsnummer, namn, firma, ärendebeteckning, taxeringsår, beskattningsår, inkomstår, redovisningsperiod, handläggande enhet, datum samt uppgift om var i handläggningen ärendet befinner sig. För de elektroniska akterna gäller ännu striktare begränsningar. Regeringen anförde i motiven till bestämmelsen om sökbegrepp att sökmöjligheterna i de elektroniska akterna av integritetsskäl bör utformas så att rutinerna i princip motsvarar hand-

läggningen av pappersbaserade akter och att en upptagning i en elektronisk akt därför inte skall få användas för att maskinellt söka efter en viss uppgift i upptagningen (prop. 1994/95:93 s. 32 f.). Regeringen ansåg således att användaren inte får söka på fri text i akterna även om detta skulle vara tekniskt möjligt. Av den anledningen är de tillåtna sökbegreppen för sökning i elektroniska akter begränsade till ärendebeteckning och beteckning på handling.

Utlämnande av uppgifter på annat sätt än genom terminalåtkomst

Innehållet i skatteregistren omfattas av vad som utgör allmän handling enligt 2 kap. TF. Allmänhetens rätt att ta del av uppgifter i skatteregistren kan därför inskränkas endast genom särskild lag och för särskilda ändamål. Genom sekretesslagens bestämmelser inskränks också rätten att ta del av uppgifter i skatteregistren. Sekretessen gäller mot enskilda, men också i förhållande till andra myndigheter eller till annan självständig verksamhetsgren inom myndigheten (1 kap.2 och 3 §§sekretesslagen).

Enligt 9 kap. 1 § sekretesslagen gäller sekretess i myndighets verksamhet, som avser bestämmande av skatt eller som avser taxering eller i övrigt fastställande av underlag för bestämmande av skatt, för uppgift om enskilds personliga eller ekonomiska förhållanden. Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur register som avses i skatteregisterlagen för uppgift som har tillförts sådant register. Skattesekretessen i 9 kap. 1 § sekretesslagen är absolut såvitt gäller uppgifterna i skatteregistren. Sekretessen gäller alltså även om det står klart att uppgifterna kan lämnas ut utan att någon lider men av det.

Sekretessen för uppgifterna i skatteregistren kan dock brytas under vissa förutsättningar. Uppgifter kan nämligen lämnas ut med stöd av såväl 1 kap. 5 § som 14 kap.13 §§sekretesslagen (se mer om detta i avsnitt 2.5.3). Av 16 § skatteregisterlagen framgår dessutom att den absoluta sekretessen inte gäller för vissa uppgifter i skatteregistren. Om det inte av särskild anledning kan antas att den registrerade eller någon honom närstående lider men om uppgiften röjs, får från skatteregister lämnas ut vissa uppgifter om fysiska och juridiska personer. Det är dels grundläggande identifieringsuppgifter, dels uppgifter om på vilket sätt preliminär skatt skall betalas, slag av näringsverksamhet, beslut om konkurs eller likvidation samt uppgift om registrering av skyldighet att inbetala innehållen preliminär A-skatt eller arbetsgivaravgift.

Uppgiftslämnande till myndigheter inom skatteområdet

Möjligheterna att lämna ut uppgifter från skatteregistren mellan skattemyndigheterna är goda. Den allmänna principen enligt 15 kap. 5 § sekretesslagen är att en skattemyndighet skall lämna uppgifter till en annan skattemyndighet som begär det. Det finns dessutom bestämmelser om utlämnande i annan lagstiftning, t.ex. taxeringslagen, som innebär att det mellan skattemyndigheterna i princip råder ett fritt utbyte av uppgifter. Som exempel kan nämnas att enligt 3 kap. 16 § taxeringslagen är myndigheter skyldiga att på begäran av skattemyndighet tillhandahålla uppgifter som de förfogar över och som skattemyndigheten behöver för taxering. Detta gäller dock inte uppgifter som är föremål för s.k. utrikessekretess enligt 2 kap. sekretesslagen. Enligt 3 kap. 17 § taxeringslagen skall uppgifter i självdeklarationer och i andra handlingar som upprättats för granskning eller omhändertagits vid taxeringskontroll eller lämnats till ledning för taxering enligt lagen om självdeklaration och kontrolluppgifter, på begäran lämnas ut till bl.a. skattemyndighet om det behövs för kontrollverksamheten. Motsvarande bestämmelser finns i bl.a. skattebetalningslagen. Bestämmelserna innebär en uppgiftsskyldighet i den mening som avses i 14 kap. 1 § sekretesslagen.

I den mån utbytet av information inom skatteområdet inte kan ske med stöd av uttryckliga bestämmelser kan information utbytas inom skatteområdet med stöd av generalklausulen i 14 kap. 3 § sekretesslagen. Enligt förarbetena till bestämmelsen är den nämligen tillämplig bl.a. när det är fråga om utbyte av information mellan myndigheter med samma sakliga behörighet men med skilda lokala kompetensområden eller mellan myndigheter som har närbesläktade funktioner och som båda har rättslig befogenhet att direkt fordra in de utväxlade uppgifterna (prop. 1979/80:2 s. 326 f.).

Uppgiftslämnande till myndigheter utanför skatteområdet

Liksom i fråga om utbyte av uppgifter mellan skattemyndigheter förekommer författningsreglerad skyldighet för skattemyndigheterna att lämna ut uppgifter från skatteregistren till myndigheter utanför skatteområdet. Vissa uppgifter får lämnas ut på medium för automatisk databehandling till ett mindre antal namngivna myndigheter med stöd av 15 § skatteregisterlagen och 4 § skatteregisterförordningen. Ytterligare sådan föreskriven uppgiftsskyldighet som avses i 14 kap. 1 § sekretesslagen finns i bl.a. 22 § taxeringsförordningen (1990:1236) och i 17 § skattebrottslagen.

Genom bestämmelsen i 14 kap. 2 § sekretesslagen har skattemyndighet bl.a. möjlighet att lämna uppgifter som angår misstanke om brott till

åklagare, polis eller annan myndighet som har att ingripa mot brottet, även i annat fall än då uppgiftsskyldigheten är författningsreglerad. Vidare får uppgifter lämnas ut om det behövs för omprövning av beslut eller åtgärder av den skattemyndighet där uppgifterna förekommer.

Generalklausulen i 14 kap. 3 § första stycket sekretesslagen är subsidiär i förhållande till 1 och 2 §§. Den tillämpas därför i fråga om utlämnande som inte är särskilt författningsreglerat. Uppgifterna kan lämnas ut av skattemyndigheterna såväl på eget initiativ som efter en begäran från den mottagande myndigheten. Förutsättningen för utlämnandet är att det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen skall skydda. Vid intresseavvägningen bör särskilt beaktas hur nära de ifrågavarande verksamhetsområdena ligger varandra och i vilken mån uppgifterna är sekretesskyddade hos den mottagande myndigheten. Generalklausulen tilllämpas bl.a. när det är fråga om att lämna ut uppgifter från ett skatteregister till kronofogdemyndigheterna, i den mån de inte har terminalåtkomst till registret. Det finns i och för sig inget hinder mot att utbytet av uppgifter med stöd av generalklausulen sker rutinmässigt. Tanken är dock att rutinmässigt uppgiftsutbyte i regel skall vara författningsreglerat.

Generalklausulen gäller inte i den mån utlämnandet strider mot lag eller förordning eller, såvitt angår uppgift i personregister enligt datalagen, föreskrift som har meddelats med stöd av datalagen. Bestämmelsen måste därför träda tillbaka för skatteregisterlagens särskilda regler om i vilken form uppgifter får lämnas ut från skatteregistren. Enligt 15 § skatteregisterlagen får uppgifter i skatteregister lämnas ut på medium för automatisk databehandling till andra myndigheter och i annat syfte än beskattning endast om det följer av lag eller förordning eller om regeringen har medgivit det. Sådana särskilda bestämmelser finns i skatteregisterförordningen och gäller endast ett fåtal mottagande myndigheter, bl.a. kronofogdemyndigheterna. Andra myndigheter har alltså inte möjlighet att få uppgifterna utlämnade på medium för automatisk databehandling. Ett särskilt undantag utgör dock vissa myndigheter inom EU. I 17 § skatteregisterlagen upplyses därför om att det av rådets förordning (EEG) nr 218/92 framgår att uppgifter rörande mervärdesskatt får lämnas ut på medium för automatisk databehandling till en behörig myndighet i ett annat EU-land.

Bestämmelserna i 14 kap. sekretesslagen gäller inte alla uppgifter som förekommer i skatteverksamheten. Uppgifter om enskildas personliga och ekonomiska förhållanden som skattemyndighet erhållit enligt avtal med främmande stat omfattas enligt 9 kap. 3 § sekretesslagen inte av 14 kap. 1-3 §§ samma lag.

Uppgiftslämnande till enskilda

I 16 § skatteregisterlagen finns bestämmelser om att vissa uppgifter i skatteregistren får lämnas ut till enskilda trots den absoluta sekretessen enligt 9 kap. 1 § sekretesslagen. Det krävs dock att det inte av särskild anledning kan antas att den registrerade eller någon honom närstående person lider men om uppgifterna röjs. De uppgifter som får lämnas ut är vanliga identifikationsuppgifter som namn eller firma, personnummer eller organisationsnummer samt adress m.m., uppgifter om registrering enligt skattebetalningslagen och uppgifter om på vilket sätt den preliminära skatten skall betalas. Dessutom får uppgifter lämnas ut om slag av näringsverksamhet eller om beslut om likvidation eller konkurs samt uppgifter om registrering av skyldighet att betala innehållen preliminär A-skatt (skatteavdrag) eller arbetsgivaravgift. Enskilda har inte rätt att ta del av uppgifterna på medium för automatisk databehandling.

Arbetsgivare eller uppdragsgivare får enligt 17 § skatteregisterlagen, på medium för automatisk databehandling, ta del av uppgifter om en arbetstagares eller uppdragstagares namn och personnummer, slag av preliminär skatt som personen skall betala samt uppgifter till ledning för beräkning av skatteavdrag för betalning av preliminär skatt.

Registerutdrag

Den som är registeransvarig för ett personregister är enligt 10 § datalagen skyldig att på begäran av enskild underrätta denne om innehållet i personuppgifter som ingår i personregistret och som innefattar upplysning om honom, s.k. registerutdrag. Den bestämmelsen är tillämplig även i fråga om register som förs med stöd av skatteregisterlagen och såväl Riksskatteverket som skattemyndigheterna är därför skyldiga att lämna ut registerutdrag till den som begär det.

I samband med att det i skatteregisterlagen infördes särskilda bestämmelser om hanteringen av handlingar och uppgifter som förekommer i de regionala skatteregistren som ett led i den elektroniska ärendehanteringen hos skattemyndigheterna, dvs. de elektroniska akterna, fann regeringen anledning att införa en särskild bestämmelse även i fråga om registerutdrag. I 18 § skatteregisterlagen anges att i registerutdrag enligt 10 § datalagen behöver i fråga om ett regionalt register uppgift i handling som har getts in av en enskild eller som den registeransvarige har expedierat till den registrerade inte tas med. Om uppgiften finns i ett ärende rörande den som har begärt utdraget, skall det dock framgå av utdraget att uppgiften inte finns med. I motiven till bestämmelsen anförde regeringen följande (prop. 1994/95:93 s. 33 f.).

Skriftliga handlingar som enskilda sänt in till skattemyndigheten kommer med den föreslagna ordningen att finnas i de elektroniskt akterna lagrade som bilder. Uppgifterna i dessa handlingar är inte sökbara och skattemyndigheten kan därför inte söka fram alla handlingar där uppgift om enskilda finns. Vidare skulle utdragen bli mycket omfattande om de måste innehålla kopior av samtliga bildfångade handlingar. Eftersom den enskilde oftast själv har skrivit den aktuella texten är det enligt regeringens mening tillräckligt om det av utdragen framgår att aktuella handlingar lagras i form av bilder hos skatteförvaltningen. Undantaget bör omfatta också handlingar i de regionala registren som upptar myndighetens förelägganden, beslut, m.m. i den mån handlingarna redan har expedierats till den registrerade. --- Registerutdraget bör emellertid uppta sådana uppgifter som möjliggör för den enskilde att identifiera de handlingar som registrerats genom bildfångst eller som skattemyndigheten upprättat och som expedierats till honom.

Gallringsbestämmelser

I 19 och 20 §§skatteregisterlagen finns bestämmelser om gallring av uppgifter i skatteregistren. Bestämmelserna är omfattande och svårtillgängliga, bl.a. på grund av att olika gallringstider gäller för olika slag av uppgifter samt att olika bestämmelser gäller för uppgifter i det centrala respektive de regionala skatteregistren.

Gallring av uppgifter i det centrala skatteregistret

Den kortaste gallringsfristen för uppgifter i det centrala skatteregistret, två år efter det att uppgifterna registrerades, gäller för uppgifter från centrala bilregistret om tillstånd enligt yrkestrafiklagen (1998:490) och lagen (1998:492) om biluthyrning samt uppgifter från Alkoholinspektionen, Tullverket, Riksförsäkringsverket och länsarbetsnämnder, dock med undantag för sådana uppgifter som behövs för tillämpningen av 3 kap. 30 § andra stycket mervärdesskattelagen (uppgifter som behövs för fastställande av om viss import är undantagen från skatteplikt).

Uppgifter om revision får bevaras under högst tio år efter utgången av det år under vilket revisionen avslutades, vilket är den längsta fastställda gallringstiden för uppgifter i det centrala registret. Regeringen får dock meddela föreskrifter om förlängd bevarandetid.

För ett stort antal uppgifter finns det inte någon fastställd gallringsfrist. Det gäller basuppgifter enligt 5 och 6 §§skatteregisterlagen om fysiska och juridiska personers identitet – personnummer namn, adress, civilstånd och folkbokföringsförhållanden respektive organisationsnummer, namn, firma, adress, hemortskommun, säte och juridisk form –

samt uppgifter om registrering enligt skattebetalningslagen och särskilt registrerings- och redovisningsnummer. Vidare saknas bestämd gallringsfrist för uppgifter enligt 5 § skatteregisterlagen om registrering i sjömansregistret, slag av pensionsförmån som en person är berättigad till samt på vilket sätt den preliminära skatten skall betalas.

Fastställd gallringsfrist saknas också för uppgifter enligt 7 § 3 skatteregisterlagen om registrering av skyldighet att betala skatt m.m. Undantag görs dock för uppgifter om beslut om återkallelse av Fskattsedel. Även för uppgifter enligt 7 § 23, 31 och 32 om beteckning på ersättningsbostad samt uppskovsbelopp vid andelsbyte eller andelsöverlåtelser inom koncerner saknas bestämd gallringsfrist. Detsamma gäller uppgifter om personnummer för make och person som likställs med make vid beskattning, uppgifter om beslut om beskattning, uppgifter om huruvida taxering grundas på förenklad självdeklaration, uppgifter om för vilka dagar en skattskyldig har uppburit sjöinkomst samt uppgifter om ingående och utgående mervärdesskatt.

För övriga uppgifter i det centrala skatteregistret, dvs. uppgifter som inte omfattas av två- eller tioårsfristen eller för vilka gallringsfrister saknas, gäller att de skall gallras sju år efter utgången av det kalenderår under vilket beskattningsperioden gick ut. Under denna kategori faller således flertalet av de uppgifter som anges i 7 § skatteregisterlagen. I fråga om uppgifter som omfattas av en sjuårig gallringsfrist får regeringen emellertid meddela föreskrifter om förlängd bevarandetid.

Gallring av uppgifter i de regionala skatteregistren

För de regionala skatteregistren finns gallringsbestämmelser i fråga om uppgifter i handlingar som lagras elektroniskt i elektroniska akter. För sådana handlingar gäller tre olika tidsfrister. Deklarationer och andra handlingar som har lämnats till ledning för beskattning eller upprättats eller tagits om hand av en myndighet för skattekontroll skall gallras sju år efter beskattningsårets utgång. Om sådana handlingar avser aktiebolag eller ekonomisk förening är dock gallringstiden tio år. Övriga handlingar i elektroniska akter, t.ex. elektroniskt upprättade beskattningsbeslut, skall gallras tolv år efter beskattningsårets utgång.

I motiven till bestämmelsen om gallring av uppgifter i elektroniska akter anför regeringen att den tolvåriga gallringsfrist som gäller för vissa handlingar bör gälla även beträffande övriga uppgifter i ett regionalt register som är knutna till de elektroniska akterna (prop. 1994/95:93 s. 34 ff.). Detta uttalande av regeringen torde innebära att vissa uppgifter som ett regionalt skatteregister får innehålla enligt 11 § skatteregisterlagen, vid sidan av handlingar i elektroniska akter, skall gallras tolv år efter beskattningsårets utgång. De uppgifter som torde kunna hänföras

till denna kategori är uppgifter om ärendebeteckning, ärendemening och ärendesamband, uppgifter om beteckning på handling samt i förekommande fall uppgift om att en handling inte finns i registret, uppgifter om att ärendet har omprövats eller överklagats, uppgifter om domstols beslut samt administrativa och tekniska uppgifter som behövs för handläggningen av ett ärende.

För övriga uppgifter som enligt 11 § skatteregisterlagen får finnas i regionala skatteregister, men som inte ingår i en elektronisk akt, finns inga gallringsbestämmelser. Det gäller uppgifter om fysisk eller juridisk persons identitet samt uppgifter om taxeringsår, beskattningsår, inkomstår och redovisningsperiod.

För såväl handlingar i elektroniska akter som andra uppgifter i regionala skatteregister gäller dessutom att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från bestämmelserna om gallring i skatteregisterlagen. I skatteregisterförordningen finns föreskrivet undantag från gallringsbestämmelserna i fråga om elektroniska handlingar som avser aktiebolag eller ekonomiska föreningar som har taxerats i vissa angivna län.

3.1.3. Taxeringsuppgiftsregistret

I samband med att den förenklade självdeklarationen infördes vid 1987 års taxering inrättades ett taxeringsuppgiftsregister enligt 42 § taxeringsförordningen (1957:513). Anledningen var att den förenklade deklarationen inte innehöll något egentligt underlag, eftersom den skattskyldige endast med kryss i rutor markerade att kontrolluppgifterna från arbetsgivaren var korrekta. De uppgifter som behövdes som underlag skulle i stället finnas hos de lokala skattemyndigheterna i ett taxeringsuppgiftsregister över skattskyldiga som taxerats på grundval av en förenklad deklaration.

Fr.o.m. taxeringsåret 1991 infördes ett nytt taxeringsförfarande, varvid innehållet i skattelängderna – vilka numera helt har slopats – förändrades på så sätt att resultat av skattemyndigheternas omprövningar och beslut om taxeringsåtgärder efter domstols dom inte längre framgick. Sådana uppgifter skulle i stället framgå av taxeringsuppgiftsregistret, som kom att användas vid bl.a. omräkningar till följd av ändrade taxerings- eller debiteringsbeslut.

I 16 § taxeringsförordningen (1990:1236) föreskrivs att skattemyndigheterna för varje taxeringsår skall upprätta ett taxeringsuppgiftsregister. Ett sådant register skall innehålla identifikationsuppgifter som namn, personnummer eller organisationsnummer, uppgifter från kontrolluppgifter avseende inkomst av tjänst, inkomst av kapital och avgift

för pensionsförsäkring, uppgifter om intäkter och avdrag i varje inkomstslag vid taxering till statlig och kommunal inkomstskatt, uppgifter om allmänna avdrag samt uppgifter om utgående och ingående mervärdesskatt när denna redovisas i särskild självdeklaration. I registret skall även finnas administrativa och tekniska uppgifter som behövs för beskattningen. Även uppgifter om beslut om beskattning som myndigheten har fattat skall registreras. Registret får även innehålla beslut som fattats av andra skattemyndigheter, om de avser skattskyldiga som är folkbokförda i en kommun inom regionen.

De uppgifter som skall finnas i ett taxeringsuppgiftsregister får även föras inom ramen för skatteregister, vilket också görs. Någon dubbellagring förekommer dock inte. I princip är de ovan nämnda uppgifterna sammanhållna i ett tekniskt avskilt register. Vissa uppgifter, t.ex. namn och adress, lagras dock i andra delar av skatteregistret. Uppgifter i taxeringsuppgiftsregistren gallras inte och härigenom bevaras de uppgifter som motsvarar uppgifterna i de gamla skattelängderna.

3.1.4. Fastighetstaxeringsregister

I kungörelsen (1967:497) om vissa register hos folkbokföringsmyndighet över fastigheter och skattskyldiga angavs att länsstyrelsen på magnetband skulle föra register över fastigheterna i länet (fastighetsband). Sådana register förs numera – med hjälp av automatisk databehandling – enligt 6 kap. 8 § fastighetstaxeringsförordningen (1993:1199) länsvis av skattemyndigheten i respektive region (regionala fastighetstaxeringsregister).

Datainspektionen har efter anmälan meddelat föreskrifter (1997-02-26, dnr 42--65-97) för de regionala fastighetstaxeringsregistren. Av dessa föreskrifter framgår att registren skall utgöra underlag för fastighetstaxering samt användas för att aktualisera och komplettera uppgifter om fastigheter i andra myndigheters register. Fastighetstaxeringsregistren får innehålla uppgifter om fastighetsidentiteter – dvs. fastighetsbeteckning, församling, kommun och valdistrikt – uppgifter om slag av taxeringsenhet, lagfartsuppgifter, t.ex. ägare, köpare och säljare, samt tekniska uppgifter och värdeuppgifter om fastigheten. Registren utgör även ärendehanteringssystem, och får innehålla bildfångade handlingar av fastighetsdeklarationer och andra handlingar som sänts in av enskilda.

Uppgifterna i registren kommer från flera uppgiftslämnare, som fastighetsregistermyndighet, Statistiska centralbyrån, Lantmäteriverket, byggnadsnämnder, länsstyrelser, förvaltningsdomstolar och fastighetsägarna själva. De uppgifter som lämnas är bl.a. ändringar i fastighetsindelning, lagfartsuppgifter, bygglov, domar avseende fastighetstaxering

samt fastighetsdeklarationer. Uppgifter i registren lämnas även ut till flera myndigheter, bl.a. Riksförsäkringsverket som får uppgifter om fastighet, ägare och bostadsyta.

Av Datainspektionens föreskrifter framgår att de årsbundna registren skall bevaras i tolv år efter utgången av aktuellt taxeringsår. Bevarandetiden har i anmälan till inspektionen motiverats med att uppgifterna kan behövas vid överklagande av beslut i ärenden om såväl fastighetstaxering som inkomsttaxering.

3.1.5. Punktskatteregistret

Datainspektionen meddelade den 6 juli 1983 (dnr 527-83) tillstånd för Riksskatteverket att föra ett punktskatteregister, som skulle användas för diarieföring, bokföring, skatteadministration, revision, betalningskontroll och skattekontroll. Den 23 mars 1993 (dnr 9701-93/866) beslutade Datainspektionen efter ansökan från Riksskatteverket om utvidgning av tillståndet för punktskatteregistret. Detta skedde i samband med att ansvaret för punktskatteverksamheten övergick från Riksskatteverkets beskattningsavdelning i Ludvika till Skattemyndigheten i Kopparbergs län, numera Skattemyndigheten i Gävle, vilken myndighet är registeransvarig. Rent faktiskt hanteras beskattningsarbetet av Särskilda skattekontoret i Ludvika. Registret kom efter överflyttningen från Riksskatteverket att benämnas Besluts-, Redovisnings- och Informationssystem för det Särskilda skattekontoret (BRIS).

BRIS används för diarieföring och handläggning av ärenden gällande punktskatter samt vissa återbetalningar av energiskatter och mervärdesskatt. De skatteslag som hanteras i BRIS är dels alla EU-harmoniserade skatter som alkoholskatt, tobaksskatt, skatt på olja, gasol, metan och bensin (angående alkohol, tobak och mineraloljor; se även avsnitt 3.1.6) samt många övriga skatteslag, som t.ex. svavelskatt, reklamskatt, roulettskatt och artistskatt.

Registret innehåller ett flertal identifikationsuppgifter, som personnummer eller organisationsnummer m.m., uppgifter om juridisk verksamhetsform och redovisningsperioder samt ett antal uppgifter av teknisk eller administrativ karaktär. Vissa av uppgifterna hämtas in från det centrala skatteregistret.

Terminalåtkomst till registret har i huvudsak begränsats till Skattemyndigheterna i Gävle, Stockholm, Göteborg och Malmö. De tre sistnämnda skattemyndigheterna genomför på uppdrag av Skattemyndigheten i Gävle punktskatterevision. Någon revisionsverksamhet förekommer inte på Särskilda skattekontoret i Ludvika. Även Riksskatteverket

och Tullverket har terminalåtkomst, men endast beträffande de EGharmoniserade skatterna på alkohol, tobak och mineralolja.

Gallringsfristerna för uppgifter i registret varierar beroende på uppgifternas karaktär. Grundläggande basuppgifter om personer samt uppgifter om deklarationer skall gallras fyra år efter utgången av det år då personen avregistrerades för skattskyldighet respektive det år då deklarationsperioden gick ut. För uppgifter av mer administrativ karaktär gäller kortare gallringsfrister.

3.1.6. Alkohol-, tobaks- och energiskatteregistret

SEED-register

I samband med att Sverige den 1 januari 1994 gick med i Europeiska ekonomiska samarbetsområdet (EES) och senare blev medlem i EU, inleddes en långtgående anpassning till EG-rätten. Ett område där EU:s strävan till samordning är stor är frågan om punktskatter på alkohol, tobak och mineraloljor. I rådets direktiv 92/12/EEG – jämte ett flertal andra direktiv – regleras beskattningsförfarandet på området. I artikel 15 a anges att myndigheterna i varje medlemsstat skall införa en elektronisk databas som skall innehålla register över godkända upplagshavare samt över de lokaler som är godkända som skatteupplag. Detta krav från EU har Sverige uppfyllt genom bestämmelser om register i lagen (1994:1563) om tobaksskatt, lagen (1994:1564) om alkoholskatt samt lagen (1994:1776) om skatt på energi.

I 36 § lagen om tobaksskatt, 36 § lagen om alkoholskatt samt 6 kap. 11 § lagen om skatt på energi anges att beskattningsmyndigheten – Skattemyndigheten i Gävle (Särskilda skattekontoret i Ludvika) – med hjälp av automatisk databehandling skall föra register över personer som har godkänts som upplagshavare eller som är registrerade varumottagare samt över godkända skatteupplag. Uppgifterna enligt de tre lagarna har inordnats i ett gemensamt register (System for the Exchange of Excise Data, SEED). Ändamålet med registret är att tillhandahålla skattskyldiga och behörig myndighet i Sverige eller ett annat EU-land uppgifter om sådant godkännande och sådan registrering som nämnts ovan. I övriga EU-länder finns motsvarande register.

Registret skall innehålla uppgifter om bl.a. den registrerades namn, registreringsnummer och adress, skatteupplagens registreringsnummer och adress samt vilken kategori av varor som den registrerade får ta emot eller som får lagras på skatteupplaget. Uppgifterna får hämtas in från andra register som förs hos beskattningsmyndigheten. Dessutom

skall registret innehålla motsvarande uppgifter som har inhämtats från ett annat EU-land.

Regeringen, eller den myndighet regeringen bestämmer, får medge att enskilda och myndigheter inom landet får ha terminalåtkomst till registret. Enligt förordningen (1994:1614) om alkoholskatt, förordningen (1994:1613) om tobaksskatt samt förordningen (1994:1784) om skatt på energi får Riksskatteverket samt Skattemyndigheterna i Gävle, Stockholm, Göteborg och Malmö ha terminalåtkomst till registret. Även Tullverket får ha sådan åtkomst till registret. I lagen om tobaksskatt, lagen om alkoholskatt samt lagen om skatt på energi anges vidare att uppgifter i registret får lämnas ut på medium för automatisk databehandling till en behörig myndighet i ett annat EU-land.

Uppgifter i registret om upplagshavare, registrerade varumottagare och godkända skatteupplag skall gallras sju år efter utgången av det kalenderår då upplagshavaren eller varumottagaren registrerades.

Early Warning System (EWS)

I anslutning till SEED-registren förbereds ett regelverk för kontroll av transporter av sprit och cigaretter mellan medlemsstaterna. Kontrollsystemet (Early Warning System, EWS) baseras på ett förslag från en högnivågrupp inom EU som har kartlagt svagheter beträffande de harmoniserade punktskatterna. Tanken med systemet är att ledsagardokument skall skickas från avsändaren av produkterna till en behörig myndighet i avsändarens hemland. Efter riskanalys skall dokumenten sedan skickas vidare till en behörig myndighet i mottagarlandet, t.ex. på elektronisk väg. Riksskatteverket är behörig myndighet för denna verksamhet i Sverige.

I förordningen (1994:1613) om tobaksskatt och i förordningen (1994:1614) om alkoholskatt anges att behandlingen av uppgifterna skall kunna ske på automatiserad väg och att uppgifterna skall lämnas ut till Tullverket samt till beskattningsmyndigheten, i praktiken det särskilda skattekontoret i Ludvika, eftersom skatteförvaltningen och Tullverket har ett delat kontrollansvar på punktskatteområdet.

Införandet av EWS är det första steget på väg mot ett planerat gemensamt kontrollsystem på punktskatteområdet inom EU. Högnivågruppen har föreslagit att det skall införas ett datoriserat kontrollsystem som skall omfatta samtliga harmoniserade punktskatter, dvs. punktskatter på alkohol, tobak och mineraloljor. Tanken med det datoriserade kontrollsystemet är att samtliga förflyttningar av varor skall kunna kontrolleras elektroniskt genom att avsändande upplagshavare, innan transporten lämnar upplaget, skall lämna information om detta till det dato-

riserade kontrollsystemet. Informationen går därefter både till mottagaren och berörda myndigheter.

3.1.7. Projektregister och andra tillståndsregister m.m.

Inom skatteförvaltningen förs ett antal personregister som inte är författningsreglerade, utan för vilka Datainspektionen har gett särskilt tillstånd. Sedan personuppgiftslagen trädde i kraft den 24 oktober 1998 behandlas personuppgifter även enligt den lagen. De ändamål för vilka behandling utförs med stöd av personuppgiftslagen är nästan uteslutande skatteförvaltningens verksamhet med revision och annan kontroll. Nedan följer en genomgång av några av de viktigare registren för vilka Datainspektionen har meddelat tillstånd.

Projektregister

Datainspektionen har meddelat flera tillstånd för skattemyndigheterna eller Riksskatteverket att föra tillfälliga personregister, s.k. projektregister. De har främst använts för urval för revision eller annan kontroll. I vissa fall har tillstånden medgivit sambearbetning med det centrala skatteregistret. Det ojämförligt största projektregistret kallas KIprojektet och bakgrunden till det är att Riksskatteverket år 1996 fördelade en del av extra tilldelade medel – avseende kontrollverksamhet – till fyra riksprojekt där ett flertal skattemyndigheter skulle vara involverade i kontrollarbetet. Efter ansökan meddelade Datainspektionen (beslut 1996-09-13, dnr 3267-96) Riksskatteverket tillstånd att föra personregistret KI-projektet, med ändamål att framställa underlag för bedömning av om skattekontroll skall företas beträffande entreprenörer och underentreprenörer som har anlitats för arbete som gäller Arlandabanan, Mälarbanan, Svealandsbanan och Öresundsförbindelsen. Tillståndet har senare utökats och omfattar nu även svenska företags medverkan i arbete med byggandet av Gardemoens flygplats och Rikshospitalet i Oslo (Datainspektionens beslut 1998-02-06, dnr 172-98). Tillståndet är tidsbegränsat och gäller enligt sin ordalydelse till utgången av år 2003.

Insamling av uppgifter till KI-projektet sköts av Riksskatteverket, som förelägger de inblandade företagen att komma in med kontrolluppgifter avseende bl.a. utbetalningar som gjorts till underentreprenörer som utfört arbeten i något av riksprojekten. Dessa skall i sin tur komma in med uppgifter om sina underleverantörer osv. Insamlingen sker kontinuerligt efter hand som projekten fortgår. Härutöver inhämtas ett stort antal uppgifter från det centrala skatteregistret, t.ex. identifikationsupp-

gifter, uppgifter om redovisningsperioder, uppgifter om konkurs och förekomst i kronofogdemyndigheternas register, deklarerade uppgifter samt kontrolluppgifter för anställda. De uppgifter som inhämtas från företagen avstäms maskinellt mot relevanta uppgifter i skatteregistret. Resultatet av en sådan bearbetning kan sedan kombineras med andra bearbetningar.

Av Datainspektionens tillstånd framgår att när datamedier som innehåller personuppgifter byts ut – eller inte längre skall användas – skall uppgifterna raderas så att de inte kan återskapas. Alternativt skall datamedierna förstöras.

Gåvoskatteregister

Skattemyndigheterna är enligt lagen (1941:416) om arvsskatt och gåvoskatt beskattningsmyndigheter, och har i denna egenskap bl.a. att se till att skattskyldiga lämnar gåvodeklaration samt att fastställa och uppbära gåvoskatt. Som ett hjälpmedel i detta arbete för samtliga skattemyndigheter gåvoskatteregister med tillstånd från Datainspektionen (slutligt beslut 1994-03-14, dnr 3276--3299-92).

Gåvoskatteregistren har till ändamål att utgöra hjälpmedel vid handläggningen av gåvodeklarationsärenden och s.k. anmälningsärenden, dvs. hanteringen av till skattemyndigheterna inkomna uppgifter om förhållanden som eventuellt kan föranleda skyldighet att avge gåvodeklaration. Registren får innehålla uppgifter om bl.a. gåvogivares och gåvotagares identitet, tidpunkt för gåvan samt dess värde. Genom Datainspektionens beslut den 25 oktober 1996 (dnr 3499--3522-96) får numera även vissa uppgifter som inhämtas från fastighetstaxeringsregistren – om överlåtelser i form av gåva och s.k. släktköp – registreras i gåvoskatteregistren. Förutom vissa identitetsuppgifter rör det sig om uppgifter om typ av fång, eventuell köpeskilling och taxeringsvärde.

Personuppgifter i deklarationsärenden skall gallras efter 12 år. I anmälningsärenden skall personuppgifter gallras efter viss tid, t.ex. från det att en deklaration kom in. För uppgifter som hämtats in från fastighetstaxeringsregistren gäller den specialbestämmelsen att uppgifter om förvärv som inte är gåvoskattepliktiga skall gallras omedelbart när detta förhållande har konstaterats.

Användande av automatisk databehandling vid taxeringsrevision

I samband med en mer allmän översyn av bestämmelserna om taxeringsrevision ansågs det nödvändigt att införa bestämmelser som tilllåter att allt material som en skattskyldig har om sin verksamhet granskas av skattemyndigheten, dvs. även sådana upptagningar på medium för

automatisk databehandling som är personregister i datalagens mening (prop. 1987/88:65). Lagstiftningen gav skattemyndigheterna möjlighet att på plats granska den skattskyldiges personregister med hjälp av dennes tekniska utrustning. Ett problem ansågs vara att de bearbetningar som granskaren utför i den reviderades register inte enligt datalagen innebär att granskaren eller den myndighet han arbetar på (dvs. skattemyndigheten) blir registeransvarig. Granskaren är därmed inte heller utan vidare bunden av villkor som avser den registeransvariges användning av registret.

För att säkerställa skyddet för den personliga integriteten vid bearbetningar i samband med sådana revisioner infördes därför lagen (1987:1231) om automatisk databehandling vid taxeringsrevision, m.m. som ett komplement till bestämmelserna i datalagen. I den lagen gavs Datainspektionen möjlighet att meddela föreskrifter om bl.a. vilka personuppgifter som får göras tillgängliga, om utlämnande och annan användning av personuppgift samt om bevarande och gallring av personuppgifter.

I och med införandet av personuppgiftslagen förändrades situationen. Definitionen av personuppgiftsansvarig skiljer sig nämligen från datalagens definition av registeransvarig. Enligt personuppgiftslagen tillkommer ansvaret den som ensam eller tillsammans med andra bestämmer ändamålet med och medlen för behandlingen av personuppgifter. Vid en revision är det skattemyndigheten som bestämmer ändamålet med den aktuella behandlingen, och det är därför myndigheten som blir personuppgiftsansvarig. Det innebär att myndigheten direkt åläggs de skyldigheter som enligt personuppgiftslagen åligger en personuppgiftsansvarig. Regeringen fann därför att det inte längre fanns något direkt behov av en särskild reglering av ADB-revisioner m.m. (prop. 1998/99:34 s. 68). Lagen om automatisk databehandling vid taxeringsrevision, m.m. upphörde också att gälla vid utgången av mars 1999. Äldre bestämmelser får dock tillämpas på behandlingar som påbörjades före den tidpunkten.

3.1.8. Register i brottsbekämpande verksamhet

Vid sidan av de register som förs för skatteförvaltningens fiskala verksamhet finns också register som används i brottsbekämpande verksamhet som skattemyndigheterna bedriver med stöd av lagen (1997:1024) om skattemyndigheters medverkan i brottsutredningar. Bestämmelser om dessa register finns i lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar, som trädde i kraft den 1 april 1999. Enligt den lagen ges skattemyndigheterna rätt att

behandla personuppgifter vid bl.a. förundersökningar. Lagen ger även skattemyndigheterna rätt att föra underrättelseregister för att ge underlag för beslut om särskilda undersökningar avseende allvarlig brottslig verksamhet och för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet.

3.2. Register i skatteförvaltningens folkbokföringsv

erksamhet

I avsnitt 3.1.1 redogör vi kortfattat för skatteförvaltningens organisatoriska indelning och för dess ansvarsområden. Under förvaltningens ansvar faller bl.a. frågor om folkbokföring.

Folkbokföringen i Sverige har under lång tid skötts av kyrkan genom förandet av kyrkoböcker och husförhörslängder. Under 1900-talet har uppgiften dock successivt förts över till skatteförvaltningen. Först delades ansvaret upp mellan Svenska kyrkan och skatteförvaltningen på så sätt att kyrkobokföringen (den löpande folkbokföringen) sköttes av pastorsexpeditionerna medan de lokala skattemyndigheterna ansvarade för mantalsskrivningen. Sedan den 1 juli 1991 ligger ansvaret för folkbokföringen helt på skatteförvaltningen. Då fördes den löpande folkbokföringen över från pastorsexpeditionerna till de lokala skattekontoren.

3.2.1. Allmänt om folkbokföringsverksamheten

Målet för folkbokföringen är att för olika samhällsfunktioner tillhandahålla fullständig och korrekt basinformation. Folkbokföringsuppgifter är av stor betydelse inom statlig verksamhet, bl.a. för att skatte- och bidragssystemen skall få den verkan som statsmakterna avser, och det är därför viktigt att folkbokföringen speglar befolkningens verkliga bosättning. Den viktigaste förutsättningen för att uppgifter om bosättning skall kunna återges korrekt är att allmänheten frivilligt medverkar i verksamheten genom att meddela skattemyndigheterna vid flyttning och lämna riktiga uppgifter om sin bosättning. Skattemyndigheten har dock ett ansvar för att närmare utreda de korrekta bosättningsförhållandena när det råder osäkerhet i frågan.

Bestämmelser om folkbokföring finns främst i folkbokföringslagen (1991:481). Enligt den lagen avses med folkbokföring fastställande av en persons bosättning samt registrering av uppgifter om identitet, familj och andra förhållanden som enligt lagen (1990:1536) om folkbokfö-

ringsregister får förekomma i sådant register. De ärenden som skattemyndigheternas folkbokföringsenheter handlägger har emellertid sin materiella grund även i annan lagstiftning. Som exempel kan nämnas äktenskapsbalken i frågor om prövning av äktenskapshinder och namnlagen (1982:670) i frågor om namnändring, m.m.

3.2.2. Folkbokföringsregister

Under 1960-talet moderniserades folkbokföringsverksamheten genom att datoriserad hantering infördes. Inom verksamheten tillskapades ett regionalt personredovisningssystem (länsregister) som fördes med hjälp av automatisk databehandling samt, genom löpande sambearbetning av dessa register, även ett s.k. riksaviseringsband. Genom tillkomsten av lagen om folkbokföringsregister – och den därtill hörande förordningen (1991:750) om folkbokföringsregister m.m. – infördes ett modernare system för datoriserad hantering inom folkbokföringen.

Tillämpningsområde och ändamål

Lagen om folkbokföringsregister tillåter att det inom skatteförvaltningen, med hjälp av automatisk databehandling, förs ett lokalt folkbokföringsregister för varje lokalt skattekontors verksamhetsområde och ett centralt referensregister för hela landet. Denna uppdelning följer av att de lokala registren används för den egentliga folkbokföringsverksamheten, vilken enligt ett principbeslut av riksdagen skall skötas på lokal nivå (prop. 1986/87:158, SkU 1987/88:2, rskr.2). Beslut i folkbokföringsärenden fattas vid det skattekontor inom vars område den aktuella personen är eller senast har varit folkbokförd. Det centrala registret används främst som en stödfunktion för skattekontoren i deras folkbokföringsverksamhet, genom att förse kontoren med t.ex. uppgifter om namn och adress avseende personer som är folkbokförda utanför respektive skattekontors område.

Ändamålsbeskrivningen för de lokala folkbokföringsregistren styrs av folkbokföringens egentliga syften. Uppgifter från folkbokföringen ligger till grund för flera viktiga rättsförhållanden, såsom rösträtt, skattskyldighet och skolplikt. Vidare kan det förhållandet att någon t.ex. är folkbokförd i Sverige utgöra grund för rätt till olika sociala förmåner. Ett av ändamålen med registren är därför att de skall användas för samordnad registerföring av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter.

De lokala registren är dessutom ett nödvändigt hjälpmedel vid prövningen av olika ärenden inom folkbokföringen och får därför enligt

ändamålsbeskrivningen användas för handläggning av folkbokföringsärenden. Som ytterligare ändamål anges framställning av personbevis och andra registerutdrag, fullgörande av författningsreglerad underrättelseskyldighet samt uttag av folklängder och andra uppgiftssamlingar för förvaring hos statliga arkivmyndigheter. Slutligen får registren användas för planering och tillsyn av folkbokföringsverksamheten.

Syftet med det centrala referensregistret hänger nära samman med de restriktioner som gäller för terminalåtkomst mellan olika lokala register (se mer om detta nedan). Ett lokalt register måste nämligen ibland kompletteras med uppgifter från ett annat register och därför behövs ett centralt register med vissa grundläggande referensuppgifter som alla folkbokföringsmyndigheter har tillgång till, t.ex. för att möjliggöra lokalisering av personer som är folkbokförda utanför ett viss skattekontors verksamhetsområde.

Ändamålsbeskrivningen för referensregistret sammanfaller i stort med den för de lokala registren, men är på grund av det annorlunda syftet något inskränkt. Referensregistret får således inte användas för samordnad registerföring av folkbokföringsuppgifter eller fullgörande av författningsreglerad underrättelseskyldighet. Däremot får det användas för handläggning av folkbokföringsärenden, t.ex. tilldelning av personnummer, för framställning av personbevis i den mån det är möjligt med den begränsade informationen i registret samt för planering och tillsyn av verksamheten.

Registeransvar

I datalagen anges att den är registeransvarig för vars verksamhet ett personregister förs, om han eller hon förfogar över registret. De lokala folkbokföringsregistren förs i praktiken av skattekontoren, som också förfogar över dem. Kontoren är dock inte egna myndigheter utan ingår i skattemyndigheten i regionen. I lagen om folkbokföringsregister anges därför uttryckligen att det är skattemyndigheten som är registeransvarig för det eller de lokala register som förs inom myndighetens verksamhetsområde.

Skattemyndigheterna är dessutom registeransvariga för det centrala referensregistret. En uppdelning har gjorts så att varje skattemyndighet ansvarar för de uppgifter i registret som avser en person som är eller har varit folkbokförd inom myndighetens verksamhetsområde. Detsamma gäller för uppgifter om personer som utan att vara folkbokförda i Sverige tilldelas ett personnummer av myndigheten.

Registerinnehåll

Utgångspunkten för vilka uppgifter de lokala folkbokföringsregistren får innehålla är att ett sådant register endast skall ta upp de personer som för tillfället är folkbokförda inom registerområdet (se prop. 1990/91:53 s. 23). I vissa fall görs dock undantag. Det gäller uppgifter om personer som har avregistrerats för att de t.ex. har avlidit. Även för att familjerättsliga samband skall kunna redovisas görs avsteg från grundprincipen, dvs. personer med familjesamband till någon som är folkbokförd inom registerområdet registreras oavsett var de är folkbokförda.

De uppgifter om personer – som är eller har varit folkbokförda inom ett verksamhetsområde – som får finnas i de lokala registren är födelsetid och födelseort, personnummer, namn och adress, medborgarskap och civilstånd. Vidare får registrering göras av uppgifter om folkbokföringsfastighet, lägenhetsbeteckning och folkbokföringsort. För fastställande av familjerättsliga samband får för en person även anges uppgifter om make, barn, föräldrar och vårdnadshavare eller annan person som den registrerade har samband med inom folkbokföringen samt om sådana samband är grundade på adoption. Anteckningar får också göras om inflyttning från utlandet samt om avregistrering vid dödsfall, dödförklaring, utflyttning till utlandet, obefintlighet och beslut om fingerade personuppgifter. Slutligen får det finnas uppgifter om gravsättning, vissa anmälningar enligt vallagen (1997:157) samt uppgifter som den 30 juni 1991 var antecknade i de personakter som var grunddokument inom kyrkobokföringen. De sistnämnda personakterna kunde, förutom rena identifikationsuppgifter, innehålla uppgifter om bl.a. yrke, föräldrars civilstånd vid barns födelse och dödsorsak. De uppgifter från personakterna som registreras är dock främst sådana som utgör grund för andra registrerade uppgifter

I det centrala referensregistret finns betydligt färre uppgifter om varje person. I motiven till lagen om folkbokföringsregister sägs skälen för detta vara att registrets funktion i huvudsak är att underlätta skattekontorens lokalisering av personer som inte är folkbokförda inom verksamhetsområdet samt utgöra bas för personnummertilldelning (prop. 1990/91:53 s. 26). De uppgifter om personer – som är eller har varit folkbokförda i Sverige eller som annars tilldelats personnummer – som får finnas i registret är personnummer och grunden för tilldelningen av numret samt de senast registrerade uppgifterna om namn och avregistrering från folkbokföringen. Det framgår även från vilket lokalt register uppgifterna har hämtats.

För såväl de lokala folkbokföringsregistren som det centrala referensregistret gäller vidare att det får finnas uppgifter om tidpunkter för de

registrerade förhållandena samt sådana tekniska och administrativa uppgifter som behövs för att tillgodose ändamålen med registren.

Terminalåtkomst

Ursprungligen förekom terminalåtkomst till ett lokalt folkbokföringsregister endast hos det skattekontor för vars verksamhetsområde registret fördes. Skattemyndigheten hade alltså inte generellt terminalåtkomst till de register som fördes av de olika skattekontoren i länet. Detta motiverades med att det från integritetssynpunkt var viktigt att åtkomsten till ett lokalt register inte var vidare än vad som behövdes för verksamheten. Efter en avvägning mellan integritetsskydd och effektiviteten inom verksamheten befanns den naturliga utgångspunkten således vara att införa sådana begränsningar att ett skattekontor endast hade terminalåtkomst till sitt eget register (prop. 1990/91:53 s. 28).

Denna ordning – där terminalåtkomsten inte följde registeransvaret – visade sig emellertid hindra en effektiv handläggning av folkbokföringsärenden och försvåra skattemyndigheternas uppgift att leda och fördela arbetet mellan skattekontoren (prop. 1995/96:56 s. 17). För att underlätta ärendehanteringen tillåts numera en skattemyndighet – inbegripet skattekontoren i regionen – att ha terminalåtkomst till samtliga de lokala folkbokföringsregister som förs av skattekontor inom skattemyndighetens verksamhetsområde.

För det centrala referensregistret gäller, och har hela tiden gällt, att samtliga skattemyndigheter får ha terminalåtkomst. Någon inskränkning i åtkomsten har inte ansetts behövlig med hänsyn till det fåtal slag av uppgifter som finns i registret.

Utlämnande av uppgifter på medium för automatisk databehandling

Uppgifter i lokala folkbokföringsregister och referensregistret får lämnas ut på medium för automatisk databehandling endast om det är särskilt föreskrivet i lag eller annan författning. Föreskrifter om sådant utlämnande finns i förordningen om folkbokföringsregister m.m. I de fall utlämnande av uppgifter regleras i förordningen, får utlämnandet göras på medium för automatisk databehandling. Det gäller t.ex. uppgifter till Riksskatteverket och Lantmäteriverket samt underrättelser till bl.a. Statistiska centralbyrån, Patent- och registreringsverket och Socialstyrelsen.

Sökbegrepp

Frågan om vilka sökmöjligheter som skall få finnas i ett personregister har ansetts vara av stor betydelse från integritetssynpunkt. I motiven till lagen om folkbokföringsregister ansågs dock att hänsyn självfallet skall tas även till kravet på en effektivt och rationellt bedriven folkbokföringsverksamhet (prop. 1990/91:53 s. 34). I fråga om folkbokföringsregistren har man valt att uttömmande i lagen ange vilka sökbegrepp som är tillåtna.

De sökbegrepp som är tillåtna vid sökning i de lokala folkbokföringsregistren är till stora delar desamma som de uppgifter vilka får finnas i registret (se ovan om registerinnehåll). Vissa begränsningar har dock gjorts av integritetsskäl. Det är inte tillåtet att som sökbegrepp använda en persons födelseort eller medborgarskap och inte heller relationsbegrepp som urskiljer adoptivförhållanden från biologiska relationer. Detsamma gäller uppgifter om avregistrering, gravsättning eller anmälningar enligt vallagen. Slutligen får som sökbegrepp inte användas sådana särskilda uppgifter som är överförda från kyrkobokföringens personakter.

Vid sökning i det centrala referensregistret får som sökbegrepp användas endast uppgifter om personnummer, namn och avregistrering.

3.2.3. Handläggningsregister

Skattemyndigheterna får för att handlägga folkbokföringsärenden föra ett särskilt handläggningsregister för varje skattekontors verksamhetsområde. Bestämmelser om registren finns i förordningen om folkbokföringsregister m.m. Handläggningsregistren används dels för att registrera folkbokföringshändelser, dels som dagbok för att registrera vissa uppgifter som inte kan registreras i de lokala folkbokföringsregistren. Registren kan även användas för maskinell bevakning av att begärda kompletteringar kommer in i rätt tid. Även andra tidsfrister kan bevakas. Handläggningsregistren får användas även för planering, uppföljning och kontroll av folkbokföringsverksamheten samt för framställning av registerutdrag i vissa ärenden. Respektive skattemyndighet är registeransvarig.

Handläggningsregistren får innehålla de uppgifter som behövs vid handläggningen av ärenden, t.ex. uppgifter om namn, adress, personnummer, diarienummer samt datum för registrering i ett folkbokföringsregister. Registren innehåller också beslut och dagboksanteckningar i ett ärende, varvid uppgift registreras om datum för åtgärderna samt beslutets eller anteckningens innebörd. I ett handläggningsregister får

även vissa uppgifter om en person registreras trots att personen aldrig har varit folkbokförd i Sverige. Det gäller bl.a. i ärende om hindersprövning, registrering av vigsel samt födelse av barn som inte skall folkbokföras. Dessa ärenden registreras inte i de lokala folkbokföringsregistren, utan endast i handläggningsregistren.

Uppgifter om namn och adress samt tidsuppgifter får med hjälp av automatisk databehandling hämtas in till ett handläggningsregister hos ett skattekontor från det lokala folkbokföringsregister som förs av det skattekontoret samt från det centrala referensregistret. Personnummer får hämtas in från andra handläggningsregister med hjälp av automatisk databehandling.

Terminalåtkomst till ett handläggningsregister som förs inom en myndighets verksamhetsområde får förekomma endast inom myndigheten. Som sökbegrepp i registren får – med vissa undantag – användas samma uppgifter som vid sökning i ett lokalt folkbokföringsregister (se avsnitt 3.2.2) samt uppgifter om diarienummer.

3.2.4. Aviseringsregister

Tillhandahållande av folkbokföringsuppgifter är ett av de huvudsakliga ändamålen med folkbokföringsverksamheten i stort. Samhällets behov av uppgifter om befolkningen tillgodoses också i stor utsträckning genom uppgifter från folkbokföringen. Uppgiftslämnandet skedde tidigare främst genom skattemyndigheternas regionala register över befolkningen (personbanden) och det s.k. riksaviseringsbandet. Dessa register var inte författningsreglerade och i stort behov av modernisering. Riksdagen beslutade den 8 juni 1995 att ett nytt register för avisering av folkbokföringsuppgifter, aviseringsregister, skulle inrättas som ersättning för personbanden och riksaviseringsbandet.

Tillämpningsområde, ändamål och registeransvar

Inom folkbokföringsverksamheten skall enligt lagen (1995:743) om aviseringsregister finnas ett register – aviseringsregistret – för tillhandahållande av folkbokföringsuppgifter för hela landet. I motiven till lagen sägs att en viktig aspekt när det gäller skyddet för den personliga integriteten är att de uppgifter som registreras om en person är riktiga och aktuella samt att det är av stort intresse att myndigheter på ett kostnadseffektivt och säkert sätt får tillgång till de folkbokföringsuppgifter som behövs i verksamheten (prop. 1994/95:201 s. 24). Ett centralt register ansågs ur denna synvinkel ha betydande fördelar.

I lagen anges för vilka ändamål aviseringsregistret får användas. Som en naturlig följd av registrets huvudsakliga syfte – att tillgodose myndigheters behov av folkbokföringsuppgifter – sägs att myndigheter

får använda det för aktualisering, komplettering och kontroll av uppgifter i personregister som myndigheten är registeransvarig för. Eftersom en myndighet även kan behöva information om personer som inte finns i dess egna register, får aviseringsregistret dessutom användas för kontroll och komplettering av andra personuppgifter. Slutligen får myndigheter använda registret för uttag av urval av personuppgifter. Detta för att tillgodose vissa myndigheters särskilda behov, t.ex. inom skolverksamheten för uppgifter om personer i olika åldersgrupper. Även andra än myndigheter kan få utnyttja aviseringsregistret för uttag av urval av uppgifter, dock endast om det särskilt föreskrivs av regeringen.

Riksskatteverket är registeransvarigt för aviseringsregistret.

Registerinnehåll

Aviseringsregistret innehåller sådana uppgifter från de lokala folkbokföringsregistren och det centrala referensregistret som behövs för aviseringsverksamheten. Utgångspunkten har varit att endast de uppgifter får finnas som behövs för att behovet hos användarna, dvs. myndigheterna, av allmänt efterfrågade folkbokföringsuppgifter skall kunna tillgodoses (prop. 1994/95:201 s. 27). Av integritetsskäl är innehållet i registret fastslaget genom en uttömmande uppräkning i lagen om aviseringsregister.

De uppgifter om personer – som är eller har varit folkbokförda i landet eller som annars har tilldelats personnummer – som får finnas i registret är personnummer, namn, adress, medborgarskap, civilstånd och födelseort. Vidare får registrering göras av uppgifter om folkbokföringsfastighet, lägenhetsbeteckning och folkbokföringsort. Även uppgifter om make, barn, föräldrar och vårdnadshavare får registreras, liksom anteckningar om datum för inflyttning från utlandet samt om avregistrering tillsammans med upplysning om orsaken till denna. Vidare får det finnas uppgifter om vissa anmälningar enligt vallagen (1997:157), upplysningar om tidpunkter för de registrerade förhållandena samt sådana tekniska och administrativa uppgifter som behövs för att tillgodose ändamålen med registret.

Aviseringsregistret innehåller till skillnad från de lokala folkbokföringsregistren (se avsnitt 3.2.1) i princip endast aktuella uppgifter. Innehållet skiljer sig även från de lokala folkbokföringsregistren genom att vissa integritetskänsliga eller för avisering mindre viktiga uppgifter om bl.a. adoption och gravsättning inte får finnas.

Terminalåtkomst och utlämnande av uppgifter på medium för automatisk databehandling

Enligt lagen om aviseringsregister får uppgifter lämnas ut på medium för automatisk databehandling till varje myndighet som själv har rätt att registrera motsvarande uppgifter. Utlämnande sker på det sätt som de mottagande myndigheterna önskar, vilket innebär att uppgifter lämnas ut på magnetband eller på elektronisk väg. Vid s.k. dator till datoruppkoppling sker filöverföring i realtid, så att mottagarens register uppdateras direkt vid inhämtandet.

Uppgifter kan lämnas ut på medium för automatisk databehandling även om den mottagande myndigheten inte själv får registrera uppgifterna, dock endast om utlämnande på sådant medium följer av lag eller förordning eller om regeringen har medgett det. Det är därför möjligt att tillämpa s.k. bruttoavisering, dvs. att en myndighet får ändringsaviseringar avseende samtliga personer i aviseringsregistret oavsett om de förekommer i den mottagande myndighetens register eller inte. Myndigheten söker sedan fram uppgifter om personer som finns i dess register, medan uppgifter om övriga personer gallras bort. En lista över vilka myndigheter som får ta emot bruttoaviseringar finns i förordningen (1996:1298) om aviseringsregister och omfattar bl.a. Rikspolisstyrelsen, Kriminalvårdsstyrelsen och Vägverket.

Terminalåtkomst förekommer numera i fråga om ett begränsat antal uppgifter i aviseringsregistret. Myndigheter får, även om de inte själva har rätt att registrera motsvarande uppgifter, ha direktåtkomst till uppgifter om personnummer, namn, adress, folkbokföringsfastighet, lägenhetsbeteckning och folkbokföringsort samt avregistrering från folkbokföringen. I förarbetena (prop. 1995/96:217 s. 15) anges som skäl för lagändringen att direktåtkomst är överlägsen för användarna när det gäller att få tillgång till aktuella uppgifter samt att åtkomsten kan begränsas till uppgifter som är av omedelbart intresse för användaren. Av integritetsskäl begränsades dock åtkomsten till ovan uppräknade uppgifter, vilka inte bedömdes vara känsliga samtidigt som de är av intresse för nästan samtliga myndigheter som utnyttjar folkbokföringsuppgifter.

Regeringen har dock i förordningen om aviseringsregister tillåtit terminalåtkomst avseende ytterligare uppgifter för Rikspolisstyrelsen och polismyndigheterna samt skattemyndigheterna. Sistnämnda myndigheter har därigenom tillgång även till uppgifter om civilstånd, make, föräldrar, barn och vårdnadshavare.

Sökbegrepp

De sökbegrepp som är tillåtna vid sökning i aviseringsregistret är till stora delar desamma som de uppgifter vilka får finnas i registret (se ovan om registerinnehållet). Vissa begränsningar har dock gjorts av integritetsskäl. Det är därför inte tillåtet att som sökbegrepp använda en persons födelseort, civilstånd eller datum för inflyttning från utlandet. Medborgarskap tillåts som sökbegrepp endast avseende uppgift om en persons medborgarskap i ett nordiskt land samt uppgift om en person är medborgare i ett EU-land eller inte (unionsmedborgarskap eller icke unionsmedborgarskap).

Gallring

Huvudprincipen för aviseringsregistret är att uppgifter skall gallras när en ny motsvarande uppgift registreras eller när uppgiften inte längre är aktuell. Vissa uppgifter, t.ex. uppgift om folkbokföringsfastighet och lägenhetsbeteckning, får dock bevaras i två år efter utgången av det år då ändringen registrerades. Uppgift om rättat personnummer får bevaras under den tid som behövs för att tillgodose ändamålet med registret. För uppgift om datum för inflyttning från utlandet gäller en gallringstid på fyra år efter utgången av det år då uppgiften registrerades. När en person avregistreras från folkbokföringen skall de flesta uppgifter gallras. Vissa uppgifter får dock bevaras i tio år efter avregistreringen.

Avgifter för tillgång till uppgifter

Utnyttjandet av aviseringsregistret är avgiftsbelagt och Riksskatteverket fastställer avgifterna. Vissa myndigheter – bl.a. Rikspolisstyrelsen och Riksförsäkringsverket – är dock enligt förordningen om aviseringsregister befriade från avgifter när uppgifterna begärs för aktualisering, komplettering och kontroll av uppgifter i ett personregister som förs av den mottagande myndigheten.

3.3. Register i skatteförvaltningens och länsstyrelsernas

verksamhet med val och folk-

omröstningar

3.3.1. Allmänt om verksamheten med val och folkomröstningar

Verksamheten med val och folkomröstningar regleras i vallagen (1997:157), folkomröstningslagen (1979:369) samt lagen (1994:692) om kommunala folkomröstningar. Enligt vallagen skall det finnas en central, samt regionala och kommunala valmyndigheter. Riksskatteverket är central valmyndighet och länsstyrelserna är regionala valmyndigheter. De valnämnder som skall finnas i varje kommun är kommunala valmyndigheter. De nu nämnda myndigheternas uppgift är att organisera och genomföra valen i Sverige. Av instruktionen för skatteförvaltningen framgår vidare att skattemyndigheterna skall bistå länsstyrelserna i arbetet med de allmänna valen samt upprätta allmän röstlängd och röstkort.

3.3.2. Röstlängdsregister

I och med ikraftträdandet av den nya vallagen den 1 juni 1997 infördes ett nytt system för röstlängder, som innebar att man gick i från förfarandet med längder med fast giltighetstid. I stället tas röstlängder nu fram endast när det skall hållas val eller folkomröstning. Samtidigt med vallagen trädde en särskild registerlag för framtagning av röstlängder och röstkort i kraft, lagen (1997:158) om röstlängdsregister. Härigenom skulle behovet av skydd för enskildas integritet säkerställas när relevanta uppgifter samlades i personregister.

Tillämpningsområde, ändamål och registeransvar

Skattemyndigheterna och Riksskatteverket får för vissa i lagen om röstlängdsregister angivna ändamål föra register med hjälp av automatisk databehandling för tillhandahållandet av röstlängder för hela landet (röstlängdsregister). Registren förs alltså för såväl skattemyndigheternas som Riksskatteverkets verksamhet. Enligt datalagen är den registeransvarig för vars verksamhet registret förs, om han eller hon förfogar över det. Registeransvaret för röstlängdsregistren skulle således vara delat mellan myndigheterna och verket i den omfattning de förfogar över dem. I lagen om röstlängdsregister finns en bestämmelse som närmare definierar detta ansvar. Medan Riksskatteverket är registeransvarigt för

samtliga register, ansvarar skattemyndigheterna endast för det register som förs inom myndighetens verksamhetsområde.

Enligt 10 § datalagen har en enskild rätt att från den registeransvarige få underrättelse om innehållet i ett personregister, såvitt avser personuppgifter som rör honom eller henne. Enligt en särskild bestämmelse i lagen om röstlängdsregister är dock Riksskatteverket befriad från skyldigheten att tillhandahålla den enskilde uppgifterna. Det är alltså den ansvariga skattemyndigheten som skall lämna underrättelse om innehållet i ett visst röstlängdsregister.

Som nämnts ovan får ett röstlängdsregister föras endast för vissa angivna ändamål, nämligen för framställning av röstlängder och röstkort samt för tillsyn, planering och uppföljning av val eller folkomröstningar. Dessutom anges särskilt i lagen att registret får användas för framställning av statistik.

Registerinnehåll

I ett röstlängdsregister får finnas endast uppgifter om personer som kan ha rösträtt vid olika val eller omröstningar i Sverige. Personkretsen utgörs av svenska medborgare som är minst 18 år på valdagen och som är eller har varit folkbokförda i Sverige. Därutöver förekommer uppgifter om EU-medborgare som fyller 18 år senast på valdagen och som är folkbokförda i Sverige samt andra utlänningar som sammanhängande har varit folkbokförda i Sverige tre år i följd före valdagen eller dagen för omröstningen.

De uppgifter som får finnas om de nämnda personerna är namn och adress, församling enligt folkbokföringen samt tillhörighet till svenska kyrkan eller medlemskap i en icke-territoriell församling. För personer som inte är folkbokförda i landet får även datum för utvandring antecknas. Uppgifterna hämtas från aviseringsregistret (se avsnitt 3.2.4). Utöver nämnda personuppgifter innehåller ett röstlängdsregister även uppgifter av mer teknisk eller administrativ karaktär, såsom uppgifter om valdistrikt, vallokaler och deras öppettider, adress till valnämnden samt andra sådana uppgifter som behövs för att tillgodose ändamålet med registret.

Direktåtkomst och utlämnande av uppgifter på medium för automatisk databehandling

Direktåtkomst till röstlängdsregistren är begränsad till de myndigheter som är direkt inblandade i arbetet med val och folkomröstningar, nämligen Riksskatteverket som är central valmyndighet, skattemyndigheterna som ansvarar för framställning av röstlängder m.m. samt länsstyrelserna

som är regionala valmyndigheter. För dessa myndigheter är direktåtkomsten dock inte begränsad till sin omfattning, utan gäller samtliga röstlängdsregister.

Uppgifter i registren får lämnas ut på medium för automatisk databehandling endast om det är föreskrivet i lag eller förordning eller om regeringen eller annan myndighet som regeringen bestämmer har medgett detta samt om uppgiften skall användas för framställning av statistik.

Sökbegrepp

Flertalet av de uppgifter som får finnas i registret får användas även som sökbegrepp. Det gäller namn eller personnummer, tillhörighet i svenska kyrkan och medlemskap i en icke-territoriell församling. Uppgifter om medborgarskap tillåts som sökbegrepp endast avseende en persons medborgarskap i ett nordiskt land samt uppgift om en person är medborgare i ett EU-land eller inte (unionsmedborgarskap eller icke unionsmedborgarskap).

3.3.3. Kandidatregister

Riksskatteverket och samtliga länsstyrelser i landet har Datainspektionens tillstånd (dnr 3416-74, 1177--1201-94, 1164--85-98) att föra kandidatregister. Ett kandidatregister får användas för anmälan av kandidater till val, för kontroll av valbarhet och valsedelsbeställning samt för den slutliga röstsammanräkningen (valresultat) vid länsstyrelserna och Riksskatteverket. Dessutom anges i tillståndsbeslutet att registret får användas som underlag för statistikuppgifter till Statistiska centralbyråns valstatistik. Registeransvariga är Riksskatteverket och samtliga länsstyrelser i landet.

I kandidatregistren får det finnas vissa uppgifter om de kandidater som har anmälts av partier, såsom personnummer, namn, adress, partitillhörighet och andra uppgifter om kandidaterna som finns på valsedlar. Därutöver får registren innehålla uppgifter om valkrets, valnämnd, vallokaler och partiombud m.m. För kontroll av kandidaternas valbarhet får till kandidatregistren dessutom hämtas in vissa uppgifter från lokala folkbokföringsregister, nämligen uppgifter om folkbokföringsort, svenskt eller icke svenskt medborgarskap samt medlemskap i icke-territoriell församling.

Sedan 1998 har Riksskatteverket och länsstyrelserna tillstånd att lämna ut uppgifter i kandidatregistren över Internet. Avsikten med detta är att såväl innehåll i valsedlar som uppgifter om valresultat – bl.a. valda ledamöter och ersättare – skall kunna tas fram via Internet.

3.4. Register i exekutionsväsendets verksamhet

Exekutionsväsendet består av Riksskatteverket som chefsmyndighet samt tio regionala kronofogdemyndigheter. De ämnesområden som förvaltningen har att hantera är frågor om verkställighet enligt utsökningsbalken och andra författningar, indrivning, betalningsföreläggande och handräckning samt skuldsanering. Kronofogdemyndigheterna är dessutom regionala myndigheter för frågor om tillsyn i konkurs. Grundläggande bestämmelser om verksamheterna finns i förordningen (1988:784) med instruktion för exekutionsväsendet.

3.4.1. Allmänt om exekutionsväsendets verksamhet

Exekutionsväsendets verksamheter kan delas in på olika sätt. Riksskatteverkets indelning utgörs av sex verksamhetsgrenar: förebyggande verksamhet, summarisk process, indrivning och annan verkställighet, exekutiv försäljning av fastigheter m.m., tillsyn i konkurs samt skuldsanering. Kronofogdemyndigheterna har även uppgifter som inte självklart går att inordna i de nämnda verksamhetsgrenarna. Nedan följer en kort beskrivning av de olika verksamheterna, dock med en något annorlunda utgångspunkt i fråga om indelningen.

Exekutiv verksamhet (utsökning och indrivning)

Kronofogdemyndigheternas uppgift i den exekutiva verksamheten är att handlägga mål enligt utsökningsbalken om verkställighet av domar eller andra exekutionstitlar som innefattar betalningsskyldighet eller annan förpliktelse (utsökningsmål). Utsökningsmålen indelas i allmänna och enskilda mål. De allmänna målen avser uttagande av bl.a. böter, viten, skatt, tull och vissa andra belopp som tillkommer staten eller kommunerna. För allmänna mål finns särskilda bestämmelser om handläggningen i lagen (1993:891) om indrivning av statliga fordringar m.m. Sökanden i allmänna mål, dvs. statliga eller kommunala myndigheter, företräds av kronofogdemyndigheten. Övriga utsökningsmål är enskilda och avser uttag av fastställda fordringar, som t.ex. obetalda underhållsbidrag eller hyror, samt bl.a. avhysningar och återtagande av avbetalningsgods. Sökande i enskilda mål kan vara privatpersoner, företag och banker, men också statliga eller kommunala myndigheter när verkställigheten inte avser fordringar som anges i lagen om indrivning av statliga fordringar m.m. Om en gäldenär inte frivilligt betalar en fordran i ett utsökningsmål kan kronofogdemyndigheterna, i den mån det finns

tillgångar, besluta om utmätning av gäldenärens egendom eller lön. I allmänna mål kan kronofogdemyndigheterna även ansöka om att en gäldenär skall försättas i konkurs. Under 1998 kom ca 2,5 miljoner allmänna mål och 345 000 enskilda mål in till kronofogdemyndigheterna.

Exekutiv försäljning av fast egendom, bostadsrätter, skepp och luftfartyg anses utgöra en särskild verksamhetsgren för kronofogdemyndigheterna. Även tvångsförsäljning av bostadsrätter hör dit. Under år 1998 såldes ca 900 fastigheter exekutivt och vid utgången av året fanns ca 4 000 oavslutade fastighetsärenden hos kronofogdemyndigheterna.

Summarisk process

Fram till 1992 handlades mål om betalningsföreläggande och handräckning (summarisk process) av tingsrätterna. Sedan dess utgör nämnda mål en viktig arbetsuppgift för kronofogdemyndigheterna. Verksamheten innebär ett förenklat förfarande i mål som gäller bl.a. utebliven betalning, betalningsfastställelse i pantsatt egendom, vanlig handräckning med eller utan avhysning samt särskild handräckning. Kronofogdemyndigheternas fastställande (utslag) utgör en exekutionstitel som gör det möjligt att bl.a. ansöka om utmätning eller avhysning hos myndigheternas funktion för indrivning. Under år 1998 kom till kronofogdemyndigheterna in ca 575 000 mål om betalningsföreläggande och handräckning.

Skuldsanering

Skuldsaneringslagen (1994:334) trädde i kraft 1994, vilket innebar att det infördes en möjlighet för fysiska personer att efter ansökan hos en kronofogdemyndighet få till stånd ett förfarande varigenom de helt eller delvis befrias från ansvar för betalning av de skulder som omfattas av skuldsaneringen. Förfarandet kan närmast liknas vid en slags ackordsuppgörelse, genom att gäldenärens skulder sätts ned och den kvarvarande delen betalas löpande under ett antal år. Syftet med skuldsanering är att den skall ha dels en rehabiliterande effekt för skuldtyngda personer, dels en preventiv och borgenärsgynnande effekt. Under år 1998 kom till kronofogdemyndigheten in ca 3 400 ärenden om skuldsanering.

Tillsyn i konkurs

Kronofogdemyndigheterna är enligt konkurslagen (1987:672) tillsynsmyndigheter i konkurs och skall i den egenskapen övervaka att förvaltningen av konkursbon bedrivs på ett ändamålsenligt sätt och särskilt

se till att avvecklingen av konkursen inte fördröjs i onödan. En tillsynsmyndighet får som led i tillsynen bl.a. inventera konkursboets kassa och begära redovisning av förvaltaren. Det åligger vidare tillsynsmyndigheten att på begäran lämna upplysningar om boet och dess förvaltning till bl.a. tingsrätt och borgenärer. Antalet konkurser varierar kraftigt med tiden, men under år 1998 tillkom ca 9 000 nya ärenden och vid utgången av det året fanns 16 500 oavslutade ärenden hos tillsynsmyndigheterna.

Övriga arbetsuppgifter

Förutom de verksamheter som beskrivits ovan förekommer vissa andra uppgifter som det åligger kronofogdemyndigheterna att utföra. En kronofogdemyndighet skall, i egenskap av tillsynsmyndighet i konkurs, föra statens talan vid tingsrätt när en arbetstagare har väckt talan mot en konkursförvaltares beslut om betalning enligt lönegarantilagen (1992:497) vid konkurs utan bevakning. En tillsynsmyndighet kan även själv väcka talan mot en konkursförvaltares beslut. Kronofogdemyndigheter handlägger enligt lagen (1981:131) om kallelse på okända borgenärer även ansökningar om sådan kallelse i samband med bouppteckning efter en avliden eller i samband med äktenskapsskillnad. När en arbetsgivare önskar göra avdrag på en arbetstagares lön för att kvitta med en motfordran, skall han enligt lagen (1970:215) om arbetsgivares kvittningsrätt från kronofogdemyndigheten inhämta besked om hur stor del av lönefordringen som skall vara skyddad mot kvittning. En kronofogdemyndighet skall vidare enligt 2 kap. 3 § utsökningsförordningen (1981:981) kontakta en målsägande som har tilldömts skadestånd i ett brottmål, för besked om denne vill ansöka om verkställighet samt hjälpa målsäganden med en sådan ansökan.

Härutöver utför kronofogdemyndigheterna vissa mindre uppgifter som närmast kan beskrivas som rena registreringsförfaranden. Till exempel kan protester av växlar och checkar enligt växellagen (1932:130) och checklagen (1932:131) tas upp av en kronofogdemyndighet. Vidare skall avhandlingar om köp enligt lagen (1845:50 s. 1) om handel med lösören, som köparen låter i säljarens vård kvarbliva, ges in till en kronofogdemyndighet för registrering.

Datorutvecklingen inom exekutionsväsendet

Frågan om datorutveckling inom exekutionsväsendet började utredas redan under senare delen av 1960-talet och i början av 1970-talet inleddes arbetet med faktiskt datorstöd för kronofogdemyndigheternas indrivningsverksamhet genom ett centralt system. Användandet av datorer begränsades inledningsvis till handläggningen av allmänna mål – dvs. mål som avser det allmännas fordringar på skatter m.m. – och då endast hos vissa försöksmyndigheter. Datorstödet var först ett rent redovisningssystem och i registret fanns uppgifter om skulder och gäldenärer. Sedan mitten av 1980-talet har dock samtliga kronofogdemyndigheter datorstöd, som efterhand har kommit att omfatta även enskilda mål. Den datoriserade hanteringen har också utvecklats från ett rent redovisningssystem till att utgöra även ett handläggningssystem. Undan för undan har dataregister införts för all verksamhet hos kronofogdemyndigheterna.

I takt med att användandet av datorer och datasystem utvidgades aktualiserades behovet av utförlig författningsreglering av exekutionsväsendets dataregister. En första sådan reglering infördes den 1 september 1986 då utsökningsregisterlagen (1986:617) och utsökningsregisterförordningen (1986:678) trädde i kraft. Efter hand har även annan lagstiftning tillkommit för att reglera användandet av datorer inom andra verksamhetsområden.

Sedan några år tillbaka pågår inom exekutionsväsendet arbete med ett nytt och avancerat datasystem, INIT, för utsöknings- och indrivningsverksamheten. Enligt vad vi har erfarit förväntas systemet kunna tas i bruk den 1 oktober 2001.

3.4.2. Utsökningsregister

Innan utsökningsregisterlagen trädde i kraft fanns det inom exekutionsväsendet ett icke författningsreglerat centralt personregister som användes i främst indrivningsverksamheten. Vid lagens tillkomst konstaterade departementschefen att det även fortsättningsvis skulle finnas ett för hela landet gemensamt utsökningsregister (prop. 1985/86:155 s. 11).

Det nuvarande datorsystemet bygger på det system som började konstrueras på 1970-talet och de tekniska strukturerna är till stor del från den tiden. Under första halvan av 1990-talet studerades lösningar som byggde på tanken att inrätta ett centralt och flera regionala register. För att passa in i detta planerade system ändrades utsökningsregisterlagen 1995 – i samband med att elektronisk dokumenthantering skulle utvecklas inom exekutionsväsendet – och en möjlighet att föra regionala

utsökningsregister vid sidan av det centrala registret infördes (SFS 1995:441). Lagtexten ger dock en missvisande bild av utsökningsregistren. Några regionala register har inte inrättats och elektronisk dokumenthantering har inte införts. Riksskatteverket arbetar nu med helt andra lösningar för indrivningsverksamheten. Det nya systemet är tänkt att innefatta endast ett centralt register samt elektroniska akter. Trots detta finns det anledning att närmare titta på hur utsökningsregistren faktiskt regleras i lagstiftningen.

Tillämpningsområde och ändamål

För de ändamål som anges i utsökningsregisterlagen skall med hjälp av automatisk databehandling föras ett för hela landet gemensamt utsökningsregister – det centrala utsökningsregistret – samt ett regionalt register i varje region. I samband med lagregleringen av de regionala utsökningsregistren angavs i motiven att dessa register stegvis skall överta det centrala registrets funktion och på sikt ersätta detta, utom såvitt gäller dess funktion som referensregister (prop. 1994/95:168 s. 16). De regionala registren har dock ännu inte satts i funktion och tills vidare finns det alltså i princip endast ett centralt register.

Ändamålen med det centrala registret och de regionala registren är gemensamt reglerade i utsökningsregisterlagen. I det avseendet görs alltså ingen åtskillnad mellan de olika registren, men tanken med lagstiftningen är som redan nämnts att det centrala registret framöver främst skall ha funktionen av ett referensregister.

Huvudändamålet med utsökningsregistren är kronofogdemyndigheternas exekutiva verksamhet. I utsökningsregisterlagen anges därför att registren skall användas inom exekutionsväsendet för verkställighet enligt utsökningsbalken, verkställighet eller tillsyn enligt annan författning, indrivning av statliga fordringar samt för avräkning vid återbetalning av skatter och avgifter. Registren skall dessutom användas för exekutionsväsendets planering och tillsyn av den exekutiva verksamheten och för fördelning av mål m.m. mellan kronofogdemyndigheter samt för redovisning till sökande.

Utsökningsregistren får användas även av vissa myndigheter utanför exekutionsväsendet. Det är främst myndigheter inom skatteförvaltningen som behöver använda registren, men det gäller även bl.a. Tullverket. För dessa myndigheter finns en särskild ändamålskatalog, enligt vilken registren får användas för avräkning vid återbetalning av skatt, för planering, samordning och uppföljning av revisions- och annan kontrollverksamhet vid beskattning och tulltaxering samt för utredningar vid bestämmande och uppbörd av skatter, tullar och socialavgifter. Myndigheter som utövar tillsyn enligt yrkestrafiklagen (1988:263) och lagen

(1998:492) om biluthyrning har möjlighet att använda registren i tillsynsverksamheten.

Registeransvar

För det centrala utsökningsregistret är Riksskatteverket och kronofogdemyndigheterna gemensamt registeransvariga. Medan Riksskatteverkets ansvar omfattar hela registret har en kronofogdemyndighet ansvar endast för sådana uppgifter i registret som avser mål eller ärenden som handläggs hos myndigheten samt för uppgifter som myndigheten av annan anledning har fört in i registret.

Ansvaret för de regionala utsökningsregistren skall helt åvila kronofogdemyndigheterna, eftersom en myndighet är registeransvarig för det register som förs i myndighetens region.

Registerinnehåll

Det centrala utsökningsregistret

Det centrala utsökningsregistret skall innehålla uppgifter om personer – fysiska eller juridiska – som enligt utsökningsbalken är gäldenärer eller svarande i mål hos en kronofogdemyndighet. För dessa personer skall vissa i utsökningsregisterlagen angivna identifieringsuppgifter finnas i registret. För fysiska personer gäller det uppgifter om namn, adress och personnummer (eller särskilt registreringsnummer), civilstånd och datum för civilståndsändring, dagen för dödsfall om personen har avlidit samt dagen för utflyttning om personen har flyttat utomlands. För en juridisk person skall motsvarande uppgifter anges, nämligen firma, adress och organisationsnummer (eller särskilt redovisnings- eller registreringsnummer). För ett dödsbo får även uppgifter om den avlidnes personnummer och dag för dödsfallet antecknas.

Utöver identifieringsuppgifter får det centrala registret innehålla ett antal andra uppgifter om de ovan nämnda personerna, i den mån det föreskrivs av regeringen eller den myndighet regeringen bestämmer (av utsökningsregisterförordningen framgår att det är Riksskatteverkets uppgift att meddela sådana föreskrifter). Enligt utsökningsregisterlagen får i det centrala registret finnas uppgifter om bl.a. exekutionstitel, skuldens storlek, arbetsgivare, influtna medel, datum för skuldens fastställande, när den förföll till betalning, preskriptionstidpunkt samt andra förhållanden av betydelse för betalningsskyldigheten.

Vidare får registret innehålla uppgifter om: den som sökt verkställighet och vilka verkställighetsåtgärder som har begärts; ställd säkerhet,

uppskov och avbetalningsplan; utmätning, exekutiv försäljning, införsel, avräkning och betalningssäkring; kvarstad och återtagande av vara; bötesförvandling; betalningsinställelse och likvidation; skuldsanering, företagsrekonstruktion, konkurs, ackord och näringsförbud; förhör eller annan åtgärd som vidtagits för efterforskning av tillgångar; förekomst av och tidpunkt för gäldenärsutredning samt redovisningen av verkställighetsuppdraget. Slutligen får det även finnas administrativa och tekniska uppgifter som behövs för registrets användning.

Även personer som inte är gäldenärer eller svarande i mål hos kronofogdemyndigheten kan i begränsad omfattning förekomma i det centrala utsökningsregistret. De uppgifter som får finnas är uppgifter om skuldsanering, företagsrekonstruktion, konkurs, ackord och näringsförbud.

De regionala utsökningsregistren

Ett regionalt register får – om Riksskatteverket föreskriver det – innehålla samma uppgifter som det centrala utsökningsregistret. Detta innebär att identifieringsuppgifter som är obligatoriska i det centrala registret, inte nödvändigtvis måste finnas även i de regionala registren. Utöver de uppgifter som skall eller får finnas i det centrala registret, får de regionala registren även innehålla uppgifter om beteckning på handling och uppgift om att en handling i ett mål eller ärende inte finns i registret. Liksom är fallet med de regionala skatteregistren, får ett utsökningsregister dessutom innehålla handlingar som kommit in eller som har upprättats i ett ärende som handläggs av den myndighet som har hand om registret, s.k. elektroniska akter (jfr avsnitt 3.1.2). Någon föreskrift om de regionala registren har inte utfärdats. Som nämnts ovan har systemet med regionala register inte förverkligats.

Terminalåtkomst

Vid införandet av utsökningsregisterlagen hade Riksskatteverket obegränsad terminalåtkomst till utsökningsregistret, medan en kronofogdemyndighets åtkomst, något förenklat, var begränsad till uppgifter hänförliga till det län vari myndigheten var verksam. Tullverket, länsstyrelserna och skattemyndigheterna hade terminalåtkomst till uppgifter om personer som var aktuella hos myndigheterna. Bestämmelserna om terminalåtkomst är, bl.a. på grund av att det är tänkt att regionala register skall inrättas, något annorlunda i dag. Grundtanken är dock densamma, nämligen att en myndighet i möjligaste mån bör ha åtkomst endast till uppgifter som hör till dess verksamhetsområde (prop. 1985/86:155 s. 23 och 1994/95:168 s. 22). Liksom tidigare får terminal-

åtkomst finnas endast för de i utsökningsregisterlagen angivna ändamålen med registren.

Riksskatteverket har obegränsad terminalåtkomst till det centrala registret och kommer – med undantag för de elektroniska akterna – att ha obegränsad åtkomst även till de regionala registren om de inrättas.

Den omfattande åtkomsten hänger samman med verkets uppgifter i fråga om bl.a. styrning och uppföljning av verksamheten och med handläggning av skadeståndsärenden.

Att åtkomsten enligt utsökningsregisterlagen är begränsad när det gäller de elektroniska akterna beror på att handlingarna i akterna kan innehålla i stort sett varje typ av uppgift och att det därför av integritetsskäl har ansetts viktigt att så mycket som möjligt begränsa åtkomsten. Regeringen kan dock föreskriva att Riksskatteverket får ha terminalåtkomst till de elektroniska akterna och denna möjlighet har i viss mån utnyttjats. Enligt utsökningsregisterförordningen får Riksskatteverket ha sådan åtkomst för handläggning av mål eller ärenden där verket företräder staten vid domstol samt för uppföljning av kronofogdemyndigheternas verksamhet. Eftersom det ännu inte finns några elektroniska akter är detta än så länge endast på planeringsstadiet. Det nya datorsystem som är under utveckling inom exekutionsväsendet kommer dock med säkerhet att innehålla sådana akter.

En kronofogdemyndighets tillgång till uppgifter i det centrala utsökningsregistret avser främst personer som är registrerade hos myndigheten som gäldenärer i mål om exekutiva åtgärder eller som annars är gäldenärer eller svarande i mål eller ärende som handläggs av myndigheten. Även uppgifter om andra personer får vara tillgängliga, men det krävs då att den personen har anknytning till någon som är registrerad gäldenär hos myndigheten i ett mål om exekutiva åtgärder. De personer som berörs är makar och gemensamt betalningsansvariga samt fåmansföretag, fåmansägda handelsbolag och delägare i sådana företag, om företaget eller en delägare i detta är gäldenär i ett mål hos myndigheten om exekutiva åtgärder. Härutöver har kronofogdemyndigheterna – utan någon geografisk begränsning – terminalåtkomst till uppgifter om skuldsanering, företagsrekonstruktion, konkurs och näringsförbud.

När det gäller de regionala utsökningsregistren skall en kronofogdemyndighet ha terminalåtkomst till det register som förs i dess region. Inom en myndighet kommer det alltså inte att finnas någon begränsning i åtkomsten till de elektroniska akterna. Dessutom har regeringen i utsökningsregisterförordningen föreskrivit att en kronofogdemyndighet får ha terminalåtkomst till en annan myndighets regionala register beträffande en person som är registrerad som svarande i mål i båda re-

gionerna eller som svarar för en förpliktelse solidariskt med en gäldenär i den egna regionen.

Även Tullverket och skattemyndigheter får ha terminalåtkomst till uppgifter i utsökningsregistren. För dessa myndigheter gäller att åtkomsten endast får avse personer som förekommer i ärenden hos dem. Åtkomsten till det centrala registret är under de förutsättningarna inte begränsad, medan åtkomsten till de regionala registren inte omfattar ärendebeteckningar och de elektroniska akterna.

Regeringen får föreskriva att en sökande eller dennes ombud i viss utsträckning får ha terminalåtkomst till utsökningsregistren. Av utsökningsregisterförordningen framgår att dessa personer – om Riksskatteverket medger det i ett enskilt fall – får ha åtkomst till uppgifter i det centrala registret och, med undantag för ärendebeteckningar och elektroniska akter, de regionala registren. Som begränsning gäller dock att uppgifterna måste avse mål eller ärenden som sökanden har gett in och att de inte får omfattas av sekretess enligt 9 kap. 19 § sekretesslagen. Det är alltså endast uppgifter om förpliktelse som avses med den sökta verkställigheten eller beslut i målet eller ärendet som får lämnas ut genom terminalåtkomst.

Endast ett tillstånd för en sökande att ha terminalåtkomst har lämnats. Försäkringskassorna har fått tillstånd att i mål om återkrav av underhållsstöd ha åtkomst till de mål där de själva är sökande. Avsikten är att en handläggare på försäkringskassan vid sin egen terminal skall kunna gå in i kronofogdemyndighetens register och se hur långt handläggningen har kommit, t.ex. om underrättelser har skickats ut och om det har skett utmätning.

Utlämnande av uppgifter på medium för automatisk databehandling

Från både det centrala och de regionala utsökningsregistren får uppgifter lämnas ut på medium för automatisk databehandling, om det sker för utbetalning av influtna medel eller för annan redovisning. Regeringen har dessutom utnyttjat sin möjlighet att uppdra åt Datainspektionen att lämna särskilt medgivande om utlämnande för andra ändamål. Ett sådant medgivande kan dock endast avse uppgifter som inte omfattas av sekretess, dvs. uppgifter om förpliktelse som avses med den sökta verkställigheten eller beslut i mål eller ärende. I dag förekommer regelmässigt utlämnande på medium för automatsik databehandling till kreditupplysningsföretag.

Gallring

Identifieringsuppgifter avseende fysiska och juridiska personer i utsökningsregistren skall gallras när det inte längre finns några andra uppgifter om personerna i registren. I övrigt gäller att uppgifter om indrivningsuppdrag avseende böter skall gallras vid utgången av det år då full betalning skedde. Övriga uppgifter skall gallras efter tre år – för uppgifter om skuldsanering gäller dock en sexårsgräns – räknat från utgången av det år då målet avslutades eller åtgärden förföll. Regeringen har föreskrivit undantag från bestämmelserna i utsökningsregisterlagen i fråga om bl.a. uppgifter om konkurs och näringsförbud, vilka skall gallras efter fem år.

3.4.3. Betalningsföreläggande- och handräckningsregister

I samband med reformeringen av den summariska processen, då mål om lagsökning, betalningsföreläggande och handräckning flyttades från tingsrätterna till kronofogdemyndigheterna, uttalades i förarbetena att processen hos kronofogdemyndigheterna skulle skötas med hjälp av ADB-teknik (prop. 1990/91:126 s. 64). Det ansågs i registersammanhang viktigt att uppgifter om fastställda skulder och andra förpliktelser – som regleras i utsökningsregisterlagen – skulle skiljas från uppgifter om påstådda förpliktelser, och att registerfrågor för den summariska processen därför skulle regleras särskilt i lagen (1991:876) om register för betalningsföreläggande och handräckning.

Tillämpningsområde, ändamål och registeransvar

När det gäller frågan om det för den summariska processen skulle införas ett centralt eller flera regionala register, anges i motiven till lagen om register för betalningsföreläggande och handräckning att mindre register har fördelar från integritetssynpunkt, eftersom allmänhetens möjligheter att vid ett och samma tillfälle ta del av uppgifter påverkas av ett registers omfattning (prop. 1990/91:126 s. 65). Vidare uttalas att det främsta ändamålet med register för den summariska processen är att främja en rationell handläggning av målen. Varje kronofogdemyndighet skall därför med hjälp av automatisk databehandling föra ett register för handläggning av mål om betalningsföreläggande och handräckning.

Registren får användas även för tillsyn, planering och uppföljning av verksamheten samt för framställning av statistik. I fråga om dessa ändamål är det inte endast kronofogdemyndigheterna, utan även Riks-

skatteverket i egenskap av central förvaltningsmyndighet, som får utnyttja registren. Slutligen får uppgifter i registren även användas som underlag för verkställighet enligt utsökningsbalken.

Av naturliga skäl är varje kronofogdemyndighet registeransvarig för det register som myndigheten för. Därutöver har Riksskatteverket – gemensamt med respektive kronofogdemyndighet – ansvaret för samtliga register.

Enligt 10 § datalagen har en enskild rätt att från den registeransvarige få underrättelse om innehållet i ett personregister, såvitt avser personuppgifter som rör honom eller henne. Enligt en särskild bestämmelse i lagen om register för betalningsföreläggande och handräckning är dock Riksskatteverket befriat från skyldigheten att lämna sådana uppgifter till den enskilde. Om en enskild vänder sig till verket med en sådan begäran, skall underrättelsen alltså lämnas av den aktuella kronofogdemyndigheten.

Registerinnehåll

Betalningsföreläggande- och handräckningsregistren är i första hand avsedda som hjälpmedel vid ärendehanteringen och innehållet i registren är anpassat därefter. I registren får finnas identifieringsuppgifter gällande parterna, såsom namn, adress, yrke och personnummer (eller särskilt registreringsnummer), adress där en part kan nås för delgivning, telefonnummer till bostad och arbetsplats samt övriga förhållanden som är av betydelse för delgivningsförfarandet. För juridiska personer får motsvarande uppgifter finnas, t.ex. firma, adress och organisationsnummer. Om en part företräds av ombud får även uppgifter om dennes namn, adress och telefonnummer finnas i registren.

Härutöver får registren innehålla uppgifter som är direkt knutna till ärendehanteringen. Det är uppgifter om bl.a. målnummer, inkomstdag, saken, yrkanden och grunder, handlingar som kommer in eller skickas ut i målen, delgivning, frister, beslut i målet samt annat som tillförs målet och som är av betydelse för handläggningen. Slutligen får i registren finnas uppgifter av teknisk och administrativ karaktär.

Terminalåtkomst

När lagen om register för betalningsföreläggande och handräckning infördes fanns inga bestämmelser om terminalåtkomst. Kronofogdemyndigheterna skulle nämligen ha sådan åtkomst endast till sina egna register medan Riksskatteverket, i egenskap av generellt registeransvarig myndighet, skulle ha tillgång till samtliga register. En kronofogdemyndighet kunde alltså inte via terminal få uppgifter från andra myndig-

heters register. Ett förslag om sådan utvidgad terminalåtkomst hade visserligen förts fram, men Datainspektionen avstyrkte förslaget eftersom det skulle motverka det integritetsskyddande syfte man ville uppnå genom att ha regionala register. I motiven till lagen sägs att det är osäkert vilka vinster som kan göras när en kronofogdemyndighet har terminalåtkomst till en annan myndighets register, och förslagen om sådan åtkomst bör därför inte genomföras mot inspektionens bestämda avstyrkande (prop. 1990/91:126 s. 69).

Sedan den 1 januari 1997 finns dock möjlighet för en kronofogdemyndighet att ha terminalåtkomst även till andra kronofogdemyndigheters register. Åtkomsten är dock begränsad till uppgifter om delgivningsadress i utslag för den som är svarande i ett mål om betalningsföreläggande eller handräckning vid den egna myndigheten samt alla uppgifter i utslag i ett mål om betalningsföreläggande för den som är gäldenär i ett mål om verkställighet av utslaget vid den egna myndigheten. Anledningen till att terminalåtkomsten utvidgades – och att det skedde endast i begränsad omfattning – var att utvärderingar av systemet visade att delgivningsproblem egentligen var det enda kvarstående allvarliga hindret mot en effektiv handläggning av den summariska processen (prop. 1995/96:211 s. 23 f).

Utlämnande av uppgifter på medium för automatisk databehandling

Från register för betalningsföreläggande och handräckning får uppgifter lämnas ut på medium för automatisk databehandling, om det sker för redovisning till sökanden i ett mål. Regeringen har dessutom utnyttjat sin möjlighet att uppdra åt Datainspektionen att lämna särskilt medgivande om utlämnande i andra fall i fråga om uppgifter som inte omfattas av sekretess. I dag förekommer regelmässigt utlämnande på medium för automatisk databehandling till kreditupplysningsföretag.

Sökbegrepp

Vid sökning i ett register för betalningsföreläggande och handräckning får som sökbegrepp användas endast uppgifter om bl.a. namn, personeller organisationsnummer, särskilt registreringsnummer, sökandens eller ingivarens referensnummer, målnummer, dagen för målets avgörande, bevakningstider och uppgifter om målets art. För Riksskatteverket gäller särskilda begränsningar genom att verket inte får använda uppgifter om sökanden eller svaranden som sökbegrepp.

Gallring

Uppgifter om utslag i mål om betalningsföreläggande skall gallras ur registren senast under juni månad året efter det att tre år har förflutit från det år då utslaget meddelades. Övriga uppgifter om mål om betalningsföreläggande eller handräckning skall gallras senast juni månad året efter det att målet har avgjorts av kronofogdemyndigheten.

3.4.4. Skuldsaneringsregister

Varje kronofogdemyndighet skall med hjälp av automatisk databehandling föra ett register för handläggning av ärenden enligt skuldsaneringslagen (1994:334). Detta framgår av förordningen (1994:348) om register för skuldsaneringsärenden. Ett sådant register får användas även för tillsyn, planering och uppföljning av verksamheten samt för framställning av statistik. Varje kronofogdemyndighet är registeransvarig för sitt register.

I ett skuldsaneringsregister får finnas uppgifter om gäldenären och borgenärerna i ett ärende samt om parternas ställföreträdare eller ombud. Datainspektionen har dessutom i ett beslut (dnr 4186--4209-94) förklarat att hinder inte föreligger mot att registrera uppgifter om borgensmän och solidariskt betalningsskyldiga personer – som är parter i ett ärende – i registren, trots att detta inte uttryckligen anges i förordningen.

De uppgifter som får förekomma i ett skuldsaneringsregister är vanliga identifikationsuppgifter som namn, adress, telefonnummer, personeller organisationsnummer samt yrke m.m. Därutöver får vissa handläggningsuppgifter registreras, t.ex. ärendenummer, inkomstdag, delgivningar, handlingar som kommer in eller skickas ut samt beslut i ärendet. Slutligen får även vissa uppgifter om skulderna anges, nämligen skuldbelopp, uppkomstdag, ställda säkerheter och övriga villkor.

Vissa begränsningar finns i fråga om sökmöjligheter i registren. Som sökbegrepp får användas endast ett fåtal identifikations- eller handläggningsuppgifter, nämligen namn, person- eller organisationsnummer, ärendenummer, inkomstdag, bevakningstider och dagen för beslut i ärendet.

Uppgifter om beslut om skuldsanering skall gallras före utgången av juni månad sex år efter det år då beslutet meddelades. Övriga uppgifter skall gallras året efter det att ärendet avgjordes.

3.4.5. Lönegarantiregister

Riksskatteverket får enligt förordningen (1994:1283) om lönegarantiregister med hjälp av automatisk databehandling föra ett register över vissa uppgifter om statlig lönegaranti vid konkurs. Uppgifterna i registret får användas endast för framställning av statistik.

De uppgifter som får finnas i registret är fordringsslag och belopp för lönefordringar för vilka lönegaranti har begärts eller skall lämnas, datum för underrättelser och beslut, arten av arbetsgivarens verksamhet samt kommunen där arbetsgivarens verksamhet bedrevs vid tiden för konkursbeslutet.

Riksskatteverket har terminalåtkomst till registret. Verket får också lämna uppgifter från registret till Statistiska centralbyrån på medium för automatisk databehandling.

3.4.6. Konkurstillsynsregister och andra tillståndsregister

Konkurstillsynsregister

Enligt 7 kap. 25 § konkurslagen (1987:672) är kronofogdemyndigheterna tillsynsmyndigheter i konkurs, och har i den egenskapen Datainspektionens tillstånd (dnr 6100--6120-94) att föra diarie- och ärendehanteringsstödsregister.

Registret används för diarieföring, ärendehantering och framställning av statistik. Inkomna och upprättade handlingar inom tillsynsmyndighetens verksamhetsområde registreras enligt bestämmelserna i 15 kap. sekretesslagen, med uppgift om bl.a. från vem handlingen har kommit in eller till vem den har expedierats samt diarienummer. Vid ärendehantering förs register över samtliga konkurser. De personer – förutom handläggare på myndigheten – om vilka det får finnas uppgifter i ärendehanteringsregistren är konkursförvaltare, ställföreträdare och konkursgäldenärer. Registren får innehålla uppgifter om bl.a. namn, adress, person- eller organisationsnummer, tingsrättens beslutsdatum, förvaltararvoden och lönegaranti.

Datainspektionen har i det ovan nämnda tillståndsbeslutet uttryckligen angett att ärendehanteringsregistren inte får innehålla personuppgifter om brott eller misstanke om brott, uppgifter om näringsförbud eller uppgifter som utgör omdöme eller annan värderande upplysning om den registrerade. Uppgifter i ett register skall gallras fem år efter det att det aktuella ärendet avslutades hos en tillsynsmyndighet.

Register för handläggningsstöd vid exekutiva försäljningar

Som ett led i effektiviseringen av förfarandet med exekutiv försäljning av fastigheter, skepp, luftfartyg samt exekutiv försäljning och tvångsförsäljning av bostadsrätter pågår inom exekutionsväsendet arbete med ett särskilt ärendehanteringssystem. Vissa delar av systemet är färdiga och har tagits i bruk av samtliga kronofogdemyndigheter. Återstående delar, som är mer tekniskt avancerade och bl.a. omfattar sakägarförteckningen, är ännu inte klara men beräknas kunna tas i bruk under år 1999.

Datainspektionen har gett kronofogdemyndigheterna tillstånd (dnr 265--274-97) att inrätta och föra personregistren DUFF-EX (Datorunderstödd fastighetsförsäljning m.m. för exekutionsväsendet). Ändamålet med registren är att de skall utgöra ett hjälpmedel för kronofogdemyndigheterna vid diarieföring och handläggning av försäljningsärenden m.m. för verkställighet enligt utsökningsbalken och bostadsrättslagen (1991:614). Registren får användas även för framställning av statistik.

I registren får finnas uppgifter om t.ex. ägare till fastighet som är föremål för exekutiv försäljning, gäldenär som inte är ägare till fastigheten, bostadsrättshavare vars bostadsrätt är föremål för exekutiv försäljning, sökande och ombud, andra borgenärer, sysslomän, innehavare av nyttjanderätt, konkursförvaltare samt inropare och köpare.

Ett stort antal uppgifter som behövs vid handläggningen får registreras i registren. Det rör sig om bl.a. identifikationsuppgifter för aktuella personer, uppgifter om bevakad fordran, fastighetsbeteckningar och taxeringsvärde, avtal med mäklare och värderare, godtagbara bud och försäljningsdag. Även uppgifter om föremålet för förfarandet, t.ex. fastigheten, registreras.

3.5. Register i Tullverkets verksamhet

Tullverket utgör sedan den 1 juli 1999 en enda myndighet. Den tidigare organisationen bestod av Generaltullstyrelsen som chefsmyndighet samt regionala tullmyndigheter. I dag består verket i stället av ett huvudkontor samt en regional organisation som omfattar sex tullregioner. Grundläggande bestämmelser om organisationen finns i förordningen (1991:1524) med instruktion för Tullverket.

3.5.1. Allmänt om Tullverkets verksamhet

Tullverkets uppgifter består i att uppbära tull, andra skatter och avgifter vid import och export, att övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel efterlevs samt att bedriva viss utrednings- och åklagarverksamhet i fråga om brott mot bestämmelserna om import och export. Verket har dessutom även vissa andra föreskrivna övervakningsuppgifter. Tullverket tillämpar numera en processorienterad indelning av verksamheten, och den faktiska eller operativa verksamheten indelas i huvudprocesserna effektiv handel och gränsskydd samt stödprocesserna analys och brottsutredning. Nedan följer en kort beskrivning av de huvudsakliga arbetsuppgifter som det åligger Tullverket att utföra.

Effektiv handel

Processen effektiv handel syftar till att hantera den legala kommersiella godstrafiken, och omfattar händelser från det att ett företag beslutar att importera, exportera eller transitera en vara till dess att rätt tull och skatt har betalats till staten. En av Tullverkets viktigaste uppgifter, vilket framgår av benämningen effektiv handel, är att underlätta handeln med andra länder genom att snabbt och effektivt handlägga frågor om bl.a. uttag av tullar och skatter samt kontrollera trafiken till och från utlandet så att bestämmelser om in- och utförsel, licenser och kvoter m.m. efterlevs.

Den rättsliga reglering som styr Tullverkets verksamhet i dessa frågor utgörs av ett stort antal EG-rättsliga förordningar, t.ex. rådets förordning (EEG) nr 2913/92 om inrättandet av en tullkodex för gemenskapen, samt svenska författningar, främst tullagen (1994:1550). En av de primära uppgifterna för Tullverket är att i egenskap av beskattningsmyndighet uppbära tull, annan skatt och avgifter åt EU och staten. Med annan skatt än tull avses t.ex. mervärdesskatt som utgår vid import och vissa punktskatter. Vilka tullar och skatter som skall betalas för olika varor framgår av EG:s tulltaxa och ett flertal specialförfattningar.

Förfarandet vid import av varor går förenklat beskrivet till på följande sätt. Den som avser att i yrkesmässig verksamhet föra varor in i landet har ofta tillstånd av Tullverket att ta hem och använda varor innan tull och mervärdesskatt m.m. betalas. Vid införseln skall varorna dock deklareras till Tullverket och därefter skall inom ett antal dagar en fullständig deklaration lämnas in. Detta sker ofta helt elektroniskt med hjälp av tulldatasystemet (se nedan). Med ledning av de uppgifter som importören eller dennes ombud lämnar fastställer Tullverket tull etc. för varorna. I samband med detta förfarande kontrollerar Tullverket även att

inget hinder föreligger mot införsel. Vid kontrollen och hanteringen av import- eller exportrestriktioner samarbetar Tullverket ofta med andra myndigheter, t.ex. Livsmedelsverket och Jordbruksverket.

Förutom arbetet med uttag av tullar och andra skatter samlar Tullverket även in ett omfattande statistiskt material om utrikeshandel, som sedan förs vidare till Statistiska centralbyrån. Sådan statistik är av betydelse för den kommersiella handeln och samhället i övrigt.

Tullverket hanterar årligen ca 1,5 miljoner importärenden och ca 2 miljoner exportärenden.

Gränsskydd

Processen gränsskydd syftar till att hantera den illegala trafiken och därigenom förhindra att icke önskvärda varor passerar gränsen. Gränsskyddet omfattar skeendet från preventiva åtgärder för att förhindra smuggling till avslutande kontroll och utvärdering samt eventuell brottsanmälan.

En av Tullverkets grundläggande uppgifter, vid sidan av att ta ut tullar och andra skatter, är att övervaka Sveriges gränser och kontrollera att import och export av varor fungerar i enlighet med såväl svensk rätt som EG-rätt. Till stöd för kontrollåtgärder av olika slag har Tullverket bl.a. bestämmelserna i tullagen och lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen.

En särskild uppgift som det åligger Tullverket att utföra är kontroll av punktskatter. Den rättsliga regleringen av den verksamheten finns i lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och mineraloljeprodukter. Sådana transporter skall åtföljas av ledsagardokument samt omfattas av ställd säkerhet för betalning av skatt enligt lagen om tobaksskatt, lagen om alkoholskatt och lagen om skatt på energi. Tullverket får bl.a. genomföra kontroller av yrkesmässig vägtransport samt vid olagliga eller misstänkta transporter omhänderta de varor, handlingar och containrar m.m. som medförs vid transporterna för kontroll av om punktskatter skall betalas i Sverige och vem som i så fall är skattskyldig. Tullverket får även kontrollera postförsändelser i det syftet. Tullverket är dock inte beskattningsmyndighet i fråga om dessa punktskatter, utan den uppgiften ligger på Skattemyndigheten i Gävle (Särskilda skattekontoret i Ludvika). Punktskattekontroller genomförs därför i nära samarbete med skatteförvaltningen.

För att förhindra eller avslöja smuggling av varor för vilka det finns särskilda restriktioner, t.ex. vapen, narkotika och alkohol, bedriver Tullverket även spaning. Den verksamheten inryms i huvudprocessen

gränsskydd. Tullverkets brottsutredande verksamhet utgör en egen process, nämligen stödprocessen brottsutredning. Tullverket har enligt lagen (1960:418) om straff för varusmuggling möjlighet att inleda förundersökning vid misstanke om brott. I brottsutredningar som inte är av enkel beskaffenhet skall ledningen av förundersökningen övertas av åklagare. Vid åtal i mål som inte rör allvarligare brott kan statens talan emellertid föras av särskilda befattningshavare vid Tullverket (tullåklagare). Som exempel på verksamhetens omfattning kan nämnas att Tullverket under perioden januari – november 1998 gjorde ca 2 000 beslag avseende narkotika.

Datorutvecklingen inom Tullverkets verksamhet

Efter att redan från 1930-talet ha använt datorer i form av hålkortsmaskiner för registrering av viss utrikeshandelsstatistik, ökade användningen av datorer inom Tullverket väsentligt under 1970- och 80-talen. Inledningsvis begränsades användningen till central uppbörd av tull, men utvidgades därefter till att omfatta även registrering av bl.a. tulldeklarationer. Tullverket hade också del i viss datoriserad hantering som visserligen inte låg inom verkets myndighetsområde, men som ändå berörde dess verksamhet. Som exempel kan nämnas att tulltjänstemän hade viss terminaltillgång till datasystem som drevs av Göteborgs hamn och tullupplaget på Landvetters flygplats.

Under slutet av 1980-talet genomfördes en statlig utredning (tulldatautredningen), som övergick i ett projekt med syfte att bygga ett datoriserat system för hantering av Tullverkets verksamhet med klarering av import-, export- och transitärenden, debitering av tull, andra skatter och avgifter samt behandling av uppgifter för statistiska ändamål. Systemet, som benämns tulldatasystemet (TDS), innefattar bl.a. elektronisk dokumenthantering vid tullklarering m.m. Införandet av TDS föregicks av ett omfattande utredningsarbete och för att systemet skulle kunna tas i drift som planerat, med start den 1 juni 1990, krävdes också författningsreglering av hanteringen. Det skedde bl.a. genom införandet av tullregisterlagen (1990:137) och tullregisterförordningen (1990:179) den 1 juni 1990.

Utvecklingstakten på datorstödsområdet har varit snabb hos Tullverket och i dag utväxlas över 75 procent av tulldokumenten elektroniskt mellan företagen och Tullverket via TDS. Det pågår dock fortfarande ett omfattande utvecklingsarbete av datorsystemen som används av Tullverket. I detta sammanhang bör de större projekten RISK och Servicetrappan nämnas särskilt.

RISK (Riskvärdering, Initialkontroll, Spärrhantering och Klareringsstrategi) är ett datoriserat riskanalyssystem inom TDS och utgör ett

viktigt instrument för att identifiera och kontrollera de områden inom klareringsverksamheten där riskerna för felaktigheter är störst, samtidigt som de tulldokument där riskerna för fel är mindre passerar snabbare genom systemet. RISK innebär således snabbare och effektivare klarering av elektroniska ärenden. Den nya klareringsmodellen baseras på riskanalysmetoder och ett utökat systemstöd som fördelar ärenden i olika priorietetsgrupper så att ärenden där det finns stor eller medelstor risk för fel sorteras ut för särskilda kontrollåtgärder, medan ärenden där det föreligger en liten risk för fel klareras med en förenklad klareringsfunktion. Genom RISK kan Tullverket satsa större resurser på information och service samtidigt som kvaliteten i kontrollurvalet förbättras, vilket medför att den legala trafiken störs mindre av de kontrollåtgärder som Tullverket utför.

Servicetrappan – ett tullsystem för god kvalitet och smidiga tullrutiner – är en utveckling av RISK och skall således bedrivas inom ramen för TDS. Projektet innebär i korthet att Tullverket genom ett nytt förfarande inte i samma utsträckning som i dag skall kontrollera den legala kommersiella godstrafiken, utan i stället satsa resurserna där de utnyttjas mest effektivt. Detta skall uppnås genom ett system med enklare klareringsförfarande som innebär stora fördelar och lättnader för de import- och exportföretag och andra ekonomiska operatörer som är kända av Tullverket för att hålla en hög kvalitet i uppgiftslämnande och i sina rutiner för utrikeshandel. Tanken är att företag skall få möjlighet att i olika steg bl.a. utnyttja förenklade och därmed snabbare klareringsförfaranden. Arbetet med tillståndsgivningen för användande av förenklade förfaranden skall därvid ha en hög prioritet för att skapa förutsättningar för en generellt högre kvalitet hos tulldeklarationerna, vilket innebär att de i normalfallet inte behöver granskas lika ingående som annars skulle vara fallet. Innan ett företag får ett tillstånd, skall Tullverket förvissa sig om att företaget har sådana rutiner och dess personal sådana kunskaper att man kan förvänta sig att det lever upp till vad som generellt krävs enligt tullagstiftningen och de särskilda villkor och förutsättningar som anges i tillståndet. Visar det sig i det löpande arbetet att ett företag, trots påpekanden, inte lever upp till vad som kan begäras av företag som fått tillstånd att exempelvis använda sig av förenklade förfaranden, skall tillståndet dras in antingen för en begränsad tid eller tills vidare.

3.5.2. Tullregister

En kort beskrivning av tulldatasystemet (TDS)

Tullregisterlagen reglerar ett för Tullverket gemensamt register som får föras med hjälp av automatisk databehandling. TDS används allmänt som ett begrepp för såväl tulldatasystemet som tullregistret. Främst har TDS inneburit att manuella procedurer vid tullklarering (dvs. Tullverkets åtgärder i fråga om en vara som angetts till godkänd tullbehandling) automatiseras, bl.a. genom att information som tidigare lämnats på pappersdokument nu i stället kan lämnas i form av elektroniskt överförda uppgifter, s.k. elektroniska dokument. Import- och exportdeklarationer kan dock fortfarande lämnas på papper, och även sådan hantering ingår i TDS genom att en tulltjänsteman registrerar ingivna uppgifterna i TDS som ett led i tullklareringen.

Det elektroniska förfarandet inom TDS kan i korthet beskrivas eller exemplifieras på följande sätt. En näringsidkare som vill importera eller exportera varor upprättar ett standardiserat elektroniskt meddelande som förses med ett för varje ärende unikt identifieringsnummer (tullid). Detta meddelande överförs elektroniskt till en extern mottagningsfunktion, som sköts av en från Tullverket fristående servicebyrå, där meddelandets äkthet kontrolleras. Det sker enkelt uttryckt genom en kontroll av att meddelandet kommer från den angivna avsändaren och är oförvanskat, vilket på visst tekniskt sätt kan fastställas med hjälp av ett ”elektroniskt sigill”, som närmast kan anses utgöra den elektroniska motsvarigheten till namnteckningen på ett pappersdokument.

Det elektroniska meddelandet skickas därefter till Tullverkets centraldator i Luleå. I olika delsystem inom TDS görs sedan ett flertal automatiska kontroller av ärendet, t.ex. avseende krav på tillstånd, prisavvikelser, riskanalysbaserade spärrar eller slumpurval. Ett ärende som klarar den automatiska kontrollen fördelas till ”grön kanal”, vilket innebär att TDS föreslår att ärendet bör godkännas utan att några ytterligare kontroller görs av en tulltjänsteman. Ett ärende som inte går i genom kontrollen fördelas i stället till ”röd kanal”, vilket i sin tur innebär att vissa åtgärder måste vidtas av en tulltjänsteman innan ett slutligt klareringsbeslut kan fattas. För att klarering faktiskt skall ske i ett ärende som har överförts elektroniskt till TDS, krävs att näringsidkaren på något sätt särskilt begär detta, t.ex. direkt i det elektroniska dokumentet eller vid något senare tillfälle. När klarering är begärd överförs det elektroniska ärendet till en lokaldator i den region där ärendet hör hemma. Ärenden som i TDS fördelas till ”grön kanal” kan numera efter införandet av RISK – ett system byggt på riskanalys (se avsnitt 3.5.1) – klareras helt

automatiskt. Härefter går ärendet igenom olika delsystem, som t.ex. uppbördssystemet.

Som nämns tidigare ingår i TDS, förutom det nyss beskrivna elektroniska förfarandet, även ärenden som lämnas in manuellt, genom att dessa registreras i systemet av en tulltjänsteman med hjälp av en datorterminal. TDS omfattar i sin helhet således samtliga ärenden som innefattar klarering vid import, export och transitering, debitering av tull och andra skatter samt insamling och bearbetning av underlag för handelsstatistik.

Tillämpningsområde och ändamål

Som nämnts ovan får Tullverket för vissa särskilt angivna ändamål föra ett gemensamt tullregister med hjälp av automatisk databehandling. Vid sidan av tullregistret (TDS) förekommer register för tullens brottsbekämpande verksamhet. Dessa register omfattas dock inte av bestämmelserna i tullregisterlagen (se avsnitt 3.5.4).

De i tullregisterlagen angivna ändamålen för tullregistret var ursprungligen fastställande, uppbörd, restitution och redovisning av tull och skatter m.m. som skall betalas till Tullverket, fullgörande av övervakning, kontroll och revisioner inom tullmyndigheternas verksamhetsområde, planering och tillsyn av tullverksamheten samt framställning av viss statistik. I samband med lagens tillkomst uttalades i förarbetena att det huvudsakliga ändamålet med tullregistret var att uppgiftslämnandet och tullens klareringsrutiner skulle automatiseras och rationaliseras (prop. 1989/90:40 s. 18).

Sverige har genom medlemskapet i EU fått ett ökat behov av effektiv punktskattekontroll, eftersom en sådan kontroll är av väsentlig betydelse för att den fria rörligheten för varor inom gemenskapen skall uppnås. Ändamålskatalogen har därför utökats för att denna effektivare kontroll skall kunna genomföras. Vad det är fråga om är att tullregistret får användas för prövning av och tillsyn över upplagshavare, skatteupplag och registrerade varumottagare enligt lagen (1994:1563) om tobaksskatt, lagen (1994:1564) om alkoholskatt och lagen (1994:1776) om skatt på energi samt för revisions- och annan kontrollverksamhet enligt lagen (1984:151) om punktskatter och prisregleringsavgifter.

Registeransvar

Tullverket är registeransvarigt för tullregistret. Det är en följd av att Tullverket sedan den 1 juli 1999 är en enda myndighet. Registeransvaret delades tidigare mellan Generaltullstyrelsen och de regionala tullmyndigheterna.

Registerinnehåll

Uppgifter som får finnas i registret

I motiven till tullregisterlagen anges att det är viktigt att karaktären på de uppgifter som får föras in i registret slås fast i lag, men att någon detaljreglering inte är möjlig (prop. 1989/90:40 s. 20). De uppgifter som tillåts är sådana som krävs för att TDS skall kunna fylla sin funktion. Det rör sig om uppgifter som importörer eller exportörer lämnar i ett ärende, vissa uppgifter i EG:s tulltaxa, uppgifter om kontroll av import, export och punktskatter samt uppgifter för statistikproduktion.

Vidare får registret innehålla uppgifter om debitering eller avräkning av skatter eller avgifter, beslut av Tullverket och beslut om import- eller exportlicenser som utfärdas av andra myndigheter, tillstånd som krävs för import eller export, registrering av skattskyldig avseende vissa punktskatter samt betalning och indrivning av tull, annan skatt och avgifter. Härutöver får det finnas uppgifter om fysiska och juridiska personers identitet samt identitetsbeteckningar för transportmedel m.m. och uppgifter om deras ägare. Avslutningsvis får det även finnas uppgifter för kontroll av registret samt för åtkomst till och användning av det.

Sambearbetning

I tullregisterlagen finns särskilda bestämmelser om sambearbetning av uppgifterna i tullregistret med uppgifter från andra register. Vad som regleras är att tullregistret får sambearbetas med uppgifter från register hos Riksskatteverket, Kommerskollegium och Jordbruksverket. När det gäller de två sistnämnda myndigheterna avser regleringen uppgifter i deras register om import- och exportlicenser, medan det i fråga om register hos Riksskatteverket är sambearbetning av uppgifter om registrering av skattskyldiga som avses. I motiven till lagen markeras att bestämmelsen inte är avsedd att vara uttömmande, utan att det i förordning eller genom beslut av Datainspektionen skall vara möjligt att tillåta sambearbetning även i andra fall än de uppräknade (prop. 1989/90:40 s. 24).

Terminalåtkomst

Tullverket har terminalåtkomst till tullregistret. En tullregion får dock endast ta del av de uppgifter som behövs i regionens verksamhet. Motsvarande begränsning gällde för tullmyndigheterna före omorganisationen den 1 juli 1999. Vid tullregisterlagens tillkomst hade inga myndig-

heter utanför Tullverket terminalåtkomst, men som ett led i effektiviseringen av punktskattekontrollen får fr.o.m. den 1 juli 1998 såväl Riksskatteverket som vissa skattemyndigheter ha sådan åtkomst till registret. För samtliga myndigheter inom skatteförvaltningen avser terminalåtkomsten uppgifter om kontroll och beslut enligt lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och mineraloljeprodukter.

Utlämnande av uppgifter på medium för automatisk databehandling

Uppgifter får lämnas ut från tullregistret på medium för automatisk databehandling till Jordbruksverket, Kommerskollegium, Riksskatteverket, skattemyndigheter, Riksrevisionsverket, Statistiska centralbyrån och Kemikalieinspektionen. Regeringen har även i tullregisterförordningen bemyndigat Datainspektionen att lämna särskilt medgivande om utlämnande till andra myndigheter.

Sökbegrepp

När ett klareringsärende m.m. anhängiggörs i TDS skall den sökande ange ett ärendespecifikt tullidentifikationsnummer (tullid). Vid sökning i tullregistret efter ett visst ärende skall i första hand detta tullid användas som sökbegrepp. I vissa fall kan det dock finnas behov av att använda andra sökbegrepp för att identifiera ett ärende, t.ex. organisations- eller personnummer. I tullregisterlagen anges därför att tullid, personnummer och organisationsnummer är grundläggande sökbegrepp i registret.

I motiven till lagen anges att uppräkningen av sökbegrepp inte är uttömmande, vilket innebär att lagen inte begränsar sökningar till användande av dessa begrepp (prop. 1989/90:40 s. 21). En sådan begränsning finns däremot i tullregisterförordningen, av vilken framgår att om det uppkommer fråga om att i tullregistret använda sökbegrepp – förutom de i lagen uppräknade – som har grundläggande betydelse för registrets funktion och som är känsliga från integritetssynpunkt, skall Tullverket överlämna frågan till regeringen för avgörande.

Gallring

Uppgifter som hör till ett tullärende skall gallras ur registret sex år efter utgången av det kalenderår då uppgiften lämnades eller – i vissa fall – registrerades. Om det i lag eller annan författning har föreskrivits längre bevarandetid än sex år, gäller dock den bestämmelsen. Dessutom har regeringen bemyndigat Riksarkivet att, om det finns särskilda skäl, föreskriva andra tider för bevarande av vissa uppgifter.

Elektroniska dokument och mottagningsfunktion i TDS

Inledningsvis i detta avsnitt nämndes att en stor del av TDS består i hantering av elektroniska dokument. Begreppet elektroniskt dokument definieras i 12 § tullagen (1994:1550) som ”en upptagning vars innehåll och utställare kan verifieras genom ett visst tekniskt förfarande”. Vidare nämns tidigare i detta avsnitt att hanteringen av ett elektroniskt dokument eller meddelande börjar med att t.ex. en näringsidkare för över meddelandet till en extern mottagningsfunktion, varifrån det efter en äkthetskontroll vidarebefordras till Tullverkets centraldator. Regeringen motiverade införandet av den mottagningsfunktionen med att det när meddelanden sänds från ett företag till Tullverket eventuellt krävs en översättning från det språk som används av den avsändande datorn till det språk som TDS arbetar med och att denna översättningsuppgift lämpligen bör göras i en särskild mottagningsfunktion, som kan vara placerad hos någon annan än Tullverket (prop. 1989/90:40 s 25 f.). Regeringen anförde även att ett företag som sköter mottagningskontrollen kan jämställas med ett postkontor till vilket ett meddelande kommer för att sedan vidarebefordras till mottagaren. I mottagningsfunktionen sker en teknisk kontroll av den avsända programfilen, dvs. meddelandet, som returneras till avsändaren när den uppvisar brister. Någon kontroll görs dock inte av innehållet i meddelandet, utan det är överföringen som kontrolleras. Regeringen ansåg inte att en sådan kontroll kunde anses utgöra ett led i ärendehanteringen.

Författningsstödet för det särskilda förfarande med en extern mottagningsfunktion finns i tullregisterlagen och tullregisterförordningen. I lagen sägs att regeringen eller den myndighet som regeringen bestämmer får överlämna åt en juridisk person att förmedla uppgifter till och från tullregistret i sådana elektroniska dokument som avses i tulllagen. I förordningen har regeringen sedan bemyndigat Tullverket att besluta om överlämnande av mottagningsfunktionen till en extern juridisk person, vilket också har skett.

3.5.3. Tullmålsjournaler

I samband med främst tullbeslag öppnas ett ärende hos Tullverket. Dessa ärenden inordnas i en tullmålsjournal som består av akterna i inkomna tullmål, ordnade i nummerföljd. Datainspektionen har genom beslut den 30 juni 1993 (dnr 1059--1096-93) gett Tullverket tillstånd att föra särskilda personregister, även de benämnda tullmålsjournaler, vilka har som ändamål att utgöra sökregister till de egentliga journalerna för uppföljning, komplettering och statuskontroll av de däri ingående ären-

dena. Personregistren får användas även för framställning av statistik. Tullmålsjournalerna (personregistren) består alltså närmast av datoriserade dagboksblad för tullmålen.

Registren får innehålla uppgifter om ärendet som sådant, om objektet (dvs. den person som ärendet avser) och om varan som var föremål för tullbeslaget m.m. Uppgifter om ärendet kan vara sådant som registreringsdatum, brottsort, handläggare och referens till åklagarmyndigheten. Om objekten får det finnas uppgifter om person- eller organisationsnummer, namn, kön, nationalitet, samt datum för dom eller strafföreläggande i ärendet. De uppgifter som registreras om varan är varuslag eller varubenämning, mängd och värde, transportsätt, gömställe, lagringsplats, processbeslut och andra åtgärder m.m.

Personuppgifter i tullmålsjournalerna – alltså personregistren – skall gallras när de inte längre behövs, dock senast fem år efter den tidpunkt då ärendet avslutades.

3.5.4. Register i brottsbekämpande verksamhet

Vid sidan av tullregistret (TDS) för Tullverket även register som används i den brottsbekämpande verksamheten. Bestämmelser om register i den verksamheten fanns tidigare i förordningen (1987:864) om Tullverkets register för brottsbekämpande verksamhet, som tillkom med stöd av en bestämmelse i lagen (1965:94) om polisregister m.m.

Det brottsregister som Tullverket fört har gått under benämningen SPADI, spaningsdiariet. Sedan den 1 januari 1998 finns regleringen av brottsregister i stället i lagen (1997:1058) om register i Tullverkets brottsbekämpande verksamhet och i förordningen (1997:1064) om register i Tullverkets brottsbekämpande verksamhet. De sistnämnda författningarna ger Tullverket rätt att föra vissa register i underrättelseverksamhet, nämligen analysregister samt ett gemensamt underrättelseregister och ett gemensamt spaningsregister.

4. Övergripande frågor och principer

I detta kapitel redovisar vi vår inställning till mer övergripande frågor och principer av allmän karaktär som berör samtliga eller de flesta av våra lagförslag. I de närmast följande kapitlen kommer vi att närmare gå igenom våra förslag till lagstiftning inom de olika områden som omfattas av vårt uppdrag. Eftersom samtliga lagförslag har en likartad struktur och i många delar innehåller identiska eller likartade bestämmelser, har vi valt att i 5–7 kap. redovisa våra överväganden om lagstiftningen i allmänhet, utan att gå närmare in på de enskilda lagförslagen. Därefter redovisar vi i 8 kap. de särskilda förhållanden som gäller för olika verksamhetsområden och som i vissa delar kräver särskilda bestämmelser som är specifika för respektive verksamhet.

4.1. Behovet av datorstöd i myndighetsverksamhet

Användningen av datorer hos myndigheter i Sverige har ökat kraftigt sedan år 1970. Denna utveckling är ett naturligt led i effektiviseringen av verksamheterna. Den alltmer långtgående internationaliseringen tillsammans med det faktum att människor är mer rörliga även inom landets gränser, kommer framöver att ställa allt större krav på en effektiv ärendehantering hos myndigheterna. Det finns därför ingen anledning att anta annat än att behovet av datorstöd kommer att fortsätta öka.

Tullverket kan tas som ett exempel på detta behov. Verket har sedan slutet av 1980-talet utökat datorstödet i sin verksamhet och därigenom rationaliserat bort en stor del av pappershanteringen. Detta till trots fortsätter utvecklingen på datorområdet inom Tullverket i snabb takt – inte minst på grund av de nya uppgifter som följer av Sveriges EUmedlemskap – och flera projekt har nyligen startats eller är på väg att slutföras. Även inom skatteförvaltningen pågår projekt med syfte att i allt större grad automatisera den i stora delar redan elektroniskt baserade ärendehanteringen. Inom exekutionsväsendet har man ännu inte kommit lika långt, men långtgående planer, och pågående projekt, finns med

syfte att införa i stort sett helt elektronisk ärendehantering i bl.a. utsökningsverksamheten.

Den snabba utveckling av datoriseringen inom myndighetsområdet som varit har visat att den lagstiftning som reglerar användandet av datorstöd måste vara teknikoberoende och flexibel, för att inte hindra den effektivisering av verksamheterna som kontinuerligt pågår. Detta är inte minst påtagligt i de verksamheter som vi har att se över. Det är näst intill omöjligt för lagstiftaren att hålla jämn takt med den tekniska utvecklingen, och det är särskilt tydligt just inom dataområdet. För att inte hamna i en situation där den tekniska utvecklingen styr den rättsliga regleringen, är det enligt vår mening nödvändigt med en lagstiftning som tar sikte på principiellt viktiga frågor, men så långt som möjligt lämnar detaljregleringen därhän. Lagstiftningen skall således styra användandet av ny teknik i allmän verksamhet, inte tvärtom, samtidigt som den rättsliga regleringen inte får tillåtas förhindra eller onödigtvis försvåra en välkommen effektivisering av olika verksamheter.

4.2. Skyddet för personlig integritet

De grundläggande bestämmelserna till skydd för den personliga integriteten finns i regeringsformen (RF). Redan i 1 kap. 2 § slås fast att det allmänna skall värna om den enskildes privatliv. Denna intention kommer till uttryck i stora delar av den lagstiftning som reglerar det allmännas handlande gentemot enskilda och även enskildas handlande gentemot varandra. Som exempel på sådan lagstiftning kan nämnas brottsbalken och sekretesslagen (1980:100). Av stor betydelse är även rätten för enskilda att enligt 2 kap. tryckfrihetsförordningen ta del av allmänna handlingar (handlingsoffentligheten). Härigenom garanteras enskilda insyn i och kontroll av den offentliga förvaltningen, vilket kan vara positivt från integritetssynpunkt. Offentligheten kan emellertid även innebära nackdelar från integritetssynpunkt, eftersom enskilda tvingas acceptera att uppgifter om dem kan vara åtkomliga för andra personer.

I 2 kap. 3 § RF finns en särskild bestämmelse som avser integritetsskyddet vid användandet av automatisk databehandling. Där sägs att varje medborgare, i den utsträckning som anges i lag, skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Den författning som tidigare har haft som främsta syfte att uppfylla regeringsformens intentioner i fråga om integritetsskydd i datoriserad verksamhet är datalagen (1973:289), vilken numera har ersatts av personuppgiftslagen

(1998:204). Särskilda integritetsskyddande bestämmelser om utlämnande av uppgifter ur dataregister finns även i sekretesslagen.

Det är inte möjligt att definiera exakt vad som avses med personlig integritet. Inte minst möter det svårigheter, eftersom uppfattningen om vad som är en rent personlig sfär varierar mellan olika personer. Dessutom förändras inställningen till integritet över tiden. Det kan också konstateras att varken svensk lagstiftning eller doktrin innehåller någon enhetlig definition. Flera försök att närmare utreda begreppet personlig integritet har dock gjorts i andra sammanhang där frågor om datoriseringen i samhället har varit aktuella. Som exempel kan nämnas Offentlighets- och sekretesslagstiftningskommittén i betänkandet Data och Integritet (SOU 1972:47), Datalagstiftningskommittén i betänkandet Personregister – Datorer – Integritet (SOU 1978:54) samt Data- och offentlighetskommittén i betänkandet Integritetsskyddet i informationssamhället (Ds Ju 1987:8). Av allt att döma finns det enighet om att vissa faktorer är särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras och varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar.

Oavsett hur man väljer att se på integritetsbegreppet, är det knappast vågat att påstå att stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg och som används vid myndighetsutövning, utgör en påtaglig risk för att enskilda personer skall utsättas för icke acceptabla intrång i den personliga sfären. Statliga myndigheters användande av datorer i verksamheten kan alltså i sig utgöra ett hot mot den personliga integriteten. Detta måste hela tiden beaktas vid utformandet av lagstiftningen på området.

Allmänna bestämmelser om integritetsskydd inom dataområdet finns, som nämns tidigare, i personuppgiftslagen. För olika verksamheter kan dock integritetsproblemen vara av skiftande art. Det går alltså inte generellt att lösa alla problem och fullt ut beakta alla frågeställningar genom att vända sig till personuppgiftslagens bestämmelser. De olika integritetsaspekter som är aktuella i samband med regleringen av användandet av datorer och dataregister inom skatteförvaltningen, exekutionsväsendet och hos Tullverket, är t.ex. vilka uppgifter som får registreras, vem som får ta del av dem och hur de får användas. I fråga om vem som får ta del av uppgifter intar omfattningen av myndigheters och andras direktåtkomst till elektroniskt lagrad information en särställning. Sådan åtkomst har under lång tid ansetts särskilt integritetskänslig. Detsamma har gällt samkörning av uppgifter från olika källor.

Vi kommer att behandla de olika integritetsaspekterna efterhand som vi redovisar vår inställning i de olika sakfrågorna, t.ex. gällande direktåtkomst. Redan nu bör dock slås fast att vi anser det viktigt att författningsreglering som bland annat syftar till att underlätta myndigheters användande av datorer för att uppnå effektivitetsvinster i olika samhällsfunktioner, inte får utformas på ett sådant sätt att integritetsskyddet för enskilda urholkas eller försämras på ett oacceptabelt sätt.

4.3. Behandling av personuppgifter och andra uppgifter i myndighetsverksamhet bör författningsregleras särskilt

Vårt förslag: All behandling av personuppgifter i verksamhet inom skatteförvaltningen, exekutionsväsendet och hos Tullverket skall författningsregleras särskilt. Behandling i administrativ verksamhet skall dock inte omfattas av lagstiftningen.

Regleringen skall omfatta behandling av såväl personuppgifter som uppgifter vilka kan hänföras endast till juridiska personer. Författningarna skall tillämpas på all automatiserad behandling av uppgifter. På manuell behandling skall författningarna tillämpas endast om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Personuppgifter skall få behandlas i enlighet med de grundläggande bestämmelser som finns i personuppgiftslagen. I varje författning görs en uttrycklig hänvisning till de bestämmelser i personuppgiftslagen som är tillämpliga. Eftersom särskilda krav ställs på behandling av personuppgifter inom olika verksamhetsområden, kommer varje författning att innehålla vissa uttryckliga bestämmelser som avviker från personuppgiftslagen.

I författningarna skall främst de grundläggande principerna för behandling av personuppgifter och andra uppgifter regleras. Detaljregler skall meddelas av regeringen eller den myndighet som regeringen bestämmer.

4.3.1. Personuppgiftslagen måste kompletteras

Olika myndigheters verksamheter ställer olika krav på de regelverk som sätter upp riktlinjer för verksamheternas bedrivande. Detta gäller även behandling av personuppgifter, och då främst automatiserad behandling. Personuppgiftslagen gäller generellt, vilket innebär att det för olika myndigheter kan behövas bestämmelser som avviker från vad som anges i den lagen. Det kan gälla i såväl skärpande riktning av integritetsskäl, som i mildrande riktning av effektivitetsskäl.

Avvägningen mellan integritet och effektivitet kan inte nödvändigtvis bedömas med samma måttstock för olika verksamheter. Som exempel kan nämnas skatteförvaltningen och exekutionsväsendet. Flera av de register som i dag förs av Riksskatteverket och skattemyndigheterna omfattar i stort sett hela Sveriges befolkning, medan kronofogdemyndigheternas register endast omfattar den del av befolkningen som av olika skäl har eller har haft betalningssvårigheter eller på annat sätt har kommit i kontakt med kronofogden. Eftersom redan omfattningen av uppgifter i ett datoriserat register påverkar bedömningen av integritetsfrågorna, kan det finnas anledning att på den grunden ha olika bestämmelser för olika verksamheter. Härutöver finns flera andra orsaker till att behoven av bestämmelser om behandling av personuppgifter varierar. Det är enligt vår mening därför nödvändigt att komplettera personuppgiftslagen med särskilt anpassade regelverk för olika verksamheter.

4.3.2. Så få författningar som möjligt

I förra avsnittet pekar vi på att olika verksamheter ställer olika krav på de regelverk som sätter upp riktlinjer för verksamheternas bedrivande. Det är naturligt att det i vissa avseenden behövs andra bestämmelser för behandling av personuppgifter inom skatteförvaltningen än inom exekutionsväsendet. Hos Tullverket behövs ytterligare andra regler. Det är dock inte så enkelt att reglera personuppgiftsbehandlingen inom en komplex myndighetsorganisation, att det med säkerhet är tillräckligt med en enda lag för skatteförvaltningen och en annan för exekutionsväsendet. Skattemyndigheterna arbetar med så vitt skilda företeelser som beskattning och folkbokföring. Även inom skatteförvaltningen finns det alltså anledning att ha olika bestämmelser i vissa avseenden. Detsamma gäller för exekutionsväsendet, som har att hantera frågor om såväl utsökning som betalningsföreläggande och konkurstillsyn. Verksamheten hos Tullverket är mer homogen, men icke desto mindre finns det områden som har olika behov och därför ställer olika krav på vilka regler som skall gälla för behandling av personuppgifter.

Vår målsättning är att antalet författningar som reglerar personuppgiftsbehandling skall begränsas så långt det är möjligt. Det finns nämligen inte något värde i att dela upp en och samma verksamhet på ett sådant sätt att det – vilket kan vara fallet i dag – finns ett stort antal författningar att ta hänsyn till utan att det är sakligt motiverat. Å andra sidan har vi som en utgångspunkt att bestämmelser om behandling av personuppgifter skall bli så enkla som möjligt. Om strävan efter att få ned antalet lagar och förordningar drivs för långt, kan detta senare mål riskera att bli eftersatt. En författning som består av ett antal huvudregler och ett betydligt större antal undantag – vilket kan bli fallet om alltför stora verksamhetsområden regleras gemensamt – underlättar inte tillgängligheten och är inte till gagn för någon. Antalet författningar bör alltså vara så litet som möjligt, samtidigt som reglerna skall vara lätta att förstå.

Av skäl som vi redovisar närmare i 8 kap. har vi stannat för en lösning som innebär att det för skatteförvaltningen skall finnas en lag som reglerar beskattningsverksamheten och en annan som reglerar folkbokföringsverksamheten. Den verksamhet som skatteförvaltningen bedriver tillsammans med bl.a. länsstyrelserna i samband med val och folkomröstningar är sådan att den motiverar en särskild lag. För exekutionsväsendet har vi däremot funnit att det finns förutsättningar för en mer enhetlig reglering av olika verksamhetsområden. På det området föreslår vi därför endast en lag. I fråga om Tullverket omfattar vårt uppdrag endast ett verksamhetsområde, nämligen det fiskala. Även för den verksamheten föreslår vi en lag.

4.3.3. Författningarnas allmänna tillämpningsområde

Personuppgiftslagen reglerar endast behandling av personuppgifter, dvs. uppgifter om fysiska personer som är i livet. För dataregister eller andra systematiserade uppgiftssamlingar som endast innehåller uppgifter om juridiska personer finns det alltså ingen motsvarande generell reglering av behandlingen. I flertalet av de verksamheter vi skall utreda måste uppgifter om såväl juridiska som fysiska personer behandlas. Det gäller t.ex. beskattnings-, utsöknings- och tullverksamhet. De registerförfattningar som reglerar dessa områden i dag – t.ex. skatteregisterlagen (1980:343), utsökningsregisterlagen (1986:617) och tullregisterlagen (1990:137) – omfattar registrering och användning av uppgifter om såväl juridiska som fysiska personer.

Vi har i den delen inte funnit anledning att göra några förändringar i förhållande till vad som gäller i dag. Vi föreslår alltså att de lagar som skall reglera behandlingen av personuppgifter i skatteförvaltningens,

exekutionsväsendets och Tullverkets verksamheter även skall tillämpas på behandling av andra uppgifter. Det gäller främst uppgifter om juridiska personer, men även uppgifter om avlidna fysiska personer skall omfattas av reglerna.

Personuppgiftslagen omfattar, liksom datalagen, behandling av personuppgifter som är helt eller delvis automatiserad. Till skillnad från datalagen gäller personuppgiftslagen även viss manuell behandling av personuppgifter. Ett krav är dock att den manuella behandlingen avser uppgifter som ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. I det avseendet anser vi att även speciallagstiftningen skall ha samma tillämpningsområde. Ett motsatt ställningstagande skulle innebära att behandling i strukturerade manuella uppgiftssamlingar hos exempelvis Tullverket endast skulle omfattas av personuppgiftslagen och inte av den för verksamheten särskilt anpassade lagstiftningen, något som det enligt vår bedömning inte finns sakliga skäl för. Däremot har vi inte funnit några integritetsskäl eller andra skäl för att låta manuella uppgiftssamlingar om juridiska personer omfattas av lagstiftningen.

Enligt vår bedömning bör de författningar som skall reglera behandling av personuppgifter i skatteförvaltningens, exekutionsväsendets och Tullverkets verksamheter inte omfatta den administrativa delen av myndigheternas verksamhet. Som exempel på administrativa arbetsområden kan nämnas personal- och lokalfrågor. Behandling av uppgifter som rör sådana frågor, t.ex. i löneregister, skall således inte omfattas av de av oss föreslagna författningarna. För sådan behandling gäller i stället personuppgiftslagen.

I vissa fall kan det dock vara tveksamt om en uppgift i ett datasystem är hänförlig till den materiella eller den administrativa verksamheten. Det är inte ovanligt att det i ett ärendehanteringssystem, tillsammans med uppgifter om parter och beslut m.m., finns uppgifter om vem som handlägger ett visst ärende och när denna person har semester samt till vilken enhet inom en myndighet som ett ärende hör. Det kan även förekomma uppgifter om t.ex. olika handläggares specialkunskaper. Sådana uppgifter används för att få till stånd en smidig handläggning av de ärenden som myndigheten har att hantera, t.ex. genom automatiserade lottningsförfaranden. Den typen av uppgifter är enligt vår uppfattning rent administrativa, dvs. de hänför sig till myndighetens verksamhet och inte till de enskilda som är föremål för myndighetens åtgärder. Behandlingen av sådana uppgifter berörs således inte av den av oss föreslagna lagstiftningen. Vissa uppgifter kan emellertid vara av administrativ karaktär, samtidigt som de utgör personuppgifter som används i den materiella verksamheten hos en myndighet. Som exempel kan

nämnas uppgift om i vilken vallokal en röstberättigad skall avge sin röst vid ett val. Uppgiften är av betydelse i den administrativa verksamheten, men den innehåller samtidigt en upplysning om den enskilde som kan hänföras till verksamheten. Sådana uppgifter skall enligt vår uppfattning omfattas av lagförslagen (se även avsnitt 6.3.4).

4.3.4. Förhållandet till personuppgiftslagen

Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter. Den kommer därför att gälla i skatteförvaltningens, exekutionsväsendets och Tullverkets verksamhet, om det inte finns avvikande bestämmelser i lag eller förordning. Som vi nämner i tidigare avsnitt behövs det avvikande bestämmelser i speciallagstiftningen för samtliga de verksamhetsområden som vi skall utreda. Det innebär att det i varje enskild lag kommer att finnas vissa uttryckliga bestämmelser som avviker från personuppgiftslagen. En annan fråga är hur man skall hantera de regler som generellt inte skall avvika från personuppgiftslagen. I de lagstiftningsärenden som, med anledning av dataskyddsdirektivets tillkomst, varit aktuella i fråga om behandling av personuppgifter har olika varianter förekommit.

Ett alternativ, som används i lagen (1998:620) om belastningsregister, är att i en speciallag över huvud taget inte nämna personuppgiftslagen. Det leder till att i den mån bestämmelserna i speciallagen avviker från personuppgiftslagen, gäller de avvikande bestämmelserna. I 2 § personuppgiftslagen anges nämligen att om det i annan lag eller förordning finns bestämmelser som avviker från den lagen, skall de bestämmelserna gälla. Frågor som inte alls omfattas av speciallagens bestämmelser kommer däremot med automatik att omfattas av personuppgiftslagen. För lagstiftaren är detta onekligen en praktisk lösning, eftersom sambandet mellan speciallagen och personuppgiftslagen – vilket kanske inte är alldeles enkelt att klarlägga – inte uttryckligen behöver regleras. Nackdelen med modellen är dock att lagtillämparen kan ha svårt att få en blick över vilka bestämmelser i personuppgiftslagen som är tillämpliga och i vilken omfattning det i speciallagen finns bestämmelser som kanske endast delvis avviker från personuppgiftslagens regler.

En variant av den nyss nämnda lösningen är att klart ange att speciallagen gäller utöver personuppgiftslagen. En sådan modell – som förekommer i ett flertal speciallagar, t.ex. polisdatalagen (1998:622) – är dock i praktiken inte skild från en modell där inget alls sägs, eftersom det redan av personuppgiftslagen framgår att så är fallet.

Skattekriminalregisterutredningen föreslog i sitt betänkande Integritet – Effektivitet – Skattebrott (SOU 1998:9) en lösning som gick ut på att de bestämmelser i personuppgiftslagen som skulle vara tillämpliga i en lag om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar, i flera fall skulle skrivas ut i klartext i den senare lagen. I vissa fall skulle i stället hänvisas till enskilda bestämmelser i personuppgiftslagen. Fördelen med en sådan lösning är att tilllämparen snabbt får klart för sig vilka bestämmelser som gäller utan att ens behöva gå till personuppgiftslagen, eller i vart fall vet var i den senare lagen han skall titta. En nackdel med att direkt skriva ut bestämmelser som finns i personuppgiftslagen är att man därigenom inför en onödig form av dubbelreglering, eftersom personuppgiftslagens bestämmelser ändå gäller om inget annat anges. Speciallagen kan även komma att bli omfattande till formatet. Modellen fick inte heller genomslag i det fortsatta lagstiftningsarbetet, även om flera remissinstanser i grunden var positiva till förslaget eftersom det ansågs bidra till överskådligheten. I stället tillämpades en modell motsvarande den i polisdatalagen. Regeringen motiverade det med att regleringen av förhållandet till personuppgiftslagen bör vara enhetlig i fråga om behandling av personuppgifter i brottsutredande verksamhet (prop. 1998/99:34 s. 31).

Vi gör bedömningen att det finns ett stort värde i att inte lämna lagtillämparen utan vägledning när det gäller tolkningen av vilka bestämmelser i personuppgiftslagen som är tillämpliga även inom de områden som regleras i speciallagarna. Vi föreslår därför att det inledningsvis i varje lag anges vilka paragrafer i personuppgiftslagen som skall tillämpas. Även om det innebär att det är nödvändigt för lagtillämparen att ha personuppgiftslagen till hands, undanröjs en hel del av det merarbete det innebär för denne att gå igenom lagarna parallellt och jämföra olika bestämmelser. Nämnas kan att liknande lösningar finns i flera andra lagar, t.ex. hänvisar förvaltningsprocesslagen (1971:291) i vissa fall till bestämmelser i rättegångsbalken. Den som skall tillämpa förvaltningsprocesslagen behöver därmed inte känna till eller ta reda på den exakta lydelsen av samtliga bestämmelser i rättegångsbalken, utan det är tillräckligt med de bestämmelser som förvaltningsprocesslagen hänvisar till. På motsvarande sätt kommer förhållandet att vara mellan de lagar som vi föreslår och personuppgiftslagen.

4.3.5. Detaljreglering bör inte göras i lag

Av de registerförfattningar som gäller i dag är flertalet förhållandevis detaljerade i fråga om främst vilka uppgifter som får finnas i ett register. Ett exempel på detta är skatteregisterlagen, vilken på grund av just den höga graden av detaljreglering, tillsammans med knytningen till skattelagstiftningen, har ändrats vid ett femtiotal tillfällen sedan införandet år 1980. Detta har lett till att lagen är såväl svåröverskådlig som svårtillämpad. Även om de övriga författningar som omfattas av vårt uppdrag inte är fullt så omfattande i sin detaljrikedom, kan det generellt sägas vara så att registerlagstiftningen av i dag är otymplig att hantera.

Vi anser att en lagreglering av behandling av personuppgifter i första hand bör ha till uppgift att slå fast grundläggande principer för att skydda enskildas integritet. I och med tillkomsten av dataskyddsdirektivet och införandet av personuppgiftslagen innebär det att det främst är ändamålsbestämmelserna som är av vikt. En grundläggande princip i dataskyddsdirektivet och personuppgiftslagen är nämligen att behandling av personuppgifter inte får vara oförenlig med de ändamål för vilka de har samlats in. Om de ändamål för vilka personuppgifter och andra uppgifter får användas är klart angivna och avgränsade i lag, går det enligt vår uppfattning att även utan närmare reglering av vilka uppgifter som får behandlas få till stånd en lagstiftning som ger tillräcklig garanti för att den personliga integriteten hos de registrerade personerna skyddas.

Att helt undvika reglering av vilka uppgifter som får registreras skulle dock kunna leda till oklarheter och svårigheter för de tillämpande myndigheterna. Vi anser därför att det i lag bör anges vilka kategorier av uppgifter som får behandlas, dvs. ramarna för vad som är tilllåtet. Det bör sedan ligga på regeringen, eller den myndighet som regeringen bestämmer, att närmare precisera vilka uppgifter myndigheterna får registrera. I de flesta fall torde enligt vår mening Riksskatteverket respektive Tullverket vara bäst lämpade att utföra denna skyldighet, eftersom de myndigheterna har bäst kännedom om den löpande verksamheten och därigenom snabbt kan avgöra om t.ex. förändringar i materiell lagstiftning har betydelse för vilka uppgifter som måste behandlas för att datasystemen skall kunna användas på avsett sätt. I och med att såväl behandlingsändamålen som de behandlingsbara uppgifternas art regleras i lag, föreligger det enligt vår uppfattning inte någon fara i integritetshänseende med en sådan ordning.

4.4. Databaser i stället för register

Vårt förslag: Det traditionella registerbegreppet skall inte förekomma i den grundläggande speciallagstiftningen om behandling av personuppgifter. I stället skall begreppet databas införas som en juridisk beteckning på vissa fastställda automatiserade uppgiftssamlingar som används gemensamt inom en verksamhet och för vilka särskilda handlingsregler gäller.

4.4.1. Registerbegreppet har kritiserats

Genom datalagens (1973:289) införande introducerades personregister som ett centralt begrepp i svensk datalagstiftning. Med personregister avses register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Den allmänt använda termen för ADB-baserade uppgiftssamlingar har sedan datalagens införande varit register. Ordet återfinns i snart sagt varje författning som reglerar myndigheters användande av automatisk databehandling i verksamheten. Som exempel kan nämnas några av de författningar som vi har haft i uppdrag att se över, nämligen skatteregisterlagen, utsökningsregisterlagen och tullregisterlagen.

Det traditionella registerbegreppet har vid flera tillfällen kritiserats. En orsak har varit att begreppet även har en teknisk anknytning och därför kan ha olika innebörd för olika yrkesgrupper. Vidare för det tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. Detta är inte längre ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. införas helt ostrukturerat och oorganiserat i olika filer i en dator, utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar osv. Det finns därför anledning att fundera över om inte registerbegreppet är föråldrat i vissa sammanhang och om det därför i modern lagstiftning bör utmönstras och eventuellt ersättas av något annat mer ändamålsenligt begrepp.

Frågan om en sådan nyordning har diskuterats vid ett flertal tillfällen tidigare. Som exempel kan nämnas Datalagsutredningen, vilken i flera betänkanden påtalade problemen med att använda det traditionella registerbegreppet i ADB-sammanhang; se Skärpt tillsyn – huvuddrag i en reformerad datalag (SOU 1990:61, s. 85 f. och 142 ff.), Vissa särskilda frågor beträffande integritetsskyddet på ADB-området (SOU 1991:62, s. 47 ff.) samt En ny datalag (SOU 1993:10 s. 108 ff.). Data-

lagsutredningen ansåg bl.a. att utvecklingen av datatekniken hade lett till nya företeelser som inte utan vidare kunde inordnas i de tekniska registerbegreppen, och att detta inneburit att begreppet register hade blivit föråldrat. Som alternativ till registerbegreppet föreslogs begreppet persondatamängd, vilket inte skulle förutsätta att de elektroniskt lagrade personuppgifterna var ordnade som i ett register eller en förteckning. Förslaget fick dock ett svalt mottagande av remissinstanserna, och det fick inte heller genomslag i lagstiftningen.

Även Datainspektionen har varit kritisk mot registerbegreppet. Inspektionen har bl.a. uttalat att utvecklingen på dataområdet – t.ex. övergången från stordatorbaserad teknik till användarstyrd datorhantering med praktiskt taget obegränsade tekniska möjligheter till terminalåtkomst och lokal bearbetning av centralt lagrad information – har revolutionerat informationsbehandlingen. Detsamma ansågs gälla för utvecklingen av kraftfulla smådatorer och sammankopplingen av stora och små datorer i väldiga nätverk (Datainspektionens årsbok 1988/89, s. 176). Slutsatsen som inspektionen drog av detta vara att nya media ställer traditionella begrepp om uppgiftslagring och uppgiftsåtervinning på huvudet.

Det behöver knappast tilläggas att den tekniska utvecklingen på informationsområdet har varit om möjligt än mer explosionsartad under 1990-talet. Inte minst har framväxten av Internet inneburit stora förändringar. Behovet av en översyn av traditionella begrepp i ADB-sammanhang, som t.ex. registerbegreppet, har följaktligen inte blivit mindre.

4.4.2. Det behövs ett särskilt begrepp för vissa automatiserade uppgiftssamlingar

I personuppgiftslagen används inte registerbegreppet. I stället talas det om behandling av personuppgifter. Det skulle enligt vår bedömning vara möjligt att även i specialförfattningar undvika begreppet register utan att ersätta det med något specifikt alternativ, dvs. endast tala om behandling av personuppgifter. Datalagskommittén uttalade dock i sitt betänkande Offentlighet – Integritet – Informationsteknik (SOU 1997:39, s. 340), att det faktum att begreppet register i dag förefaller mestadels skapa tillämpningsproblem, inte hindrar att det som är ett regelrätt datoriserat register också kallas för det. Denna fråga behandlades även bl.a. vid tillkomsten av polisdatalagen. Regeringen tog där upp kritiken mot registerbegreppet, men framhöll att det inte helt bör undvikas eftersom polisen måste ha tillgång till traditionella register för att kunna bedriva sin verksamhet och att det därför även i fortsättningen bör finnas

särskilda bestämmelser rörande upprättandet och förandet av sådana register (prop. 1997/98:97 s. 102).

Det kan konstateras att flera samlingar av personuppgifter i elektronisk form är att se som register i ordets mer egentliga bemärkelse, dvs. uppgifter förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord e.d. Det finns därför anledning att inte helt frångå registerbegreppet. Å andra sidan är begreppet, som nämnts i föregående avsnitt, inte alltid lämpligt. Inte minst gäller detta datasystem som innefattar elektronisk ärendehantering, där inkomna handlingar bildfångas och beslut upprättas med automatiserad behandling för att sedan lagras elektroniskt tillsammans med uppgiftssamlingar av mer registerartad karaktär. Att endast tala om behandling av personuppgifter kan emellertid i vissa fall föranleda att lagtexter tyngs och blir svårhanterliga, t.ex. när man inte avser behandling i allmänhet utan endast behandling i fastställda samlingar av uppgifter för vilka särskilda handlingsregler gäller. Som exempel kan nämnas att när en tjänsteman i dag inom skatteförvaltningen behandlar personuppgifter på elektronisk väg, kan det göras t.ex. med ordbehandling eller via terminal i ett skatteregister. För ordbehandlingen saknas särskilda handlingsregler medan skatteregisterlagens bestämmelser gäller för terminalbehandlingen. Hur skall det i en lag om behandling av personuppgifter uttryckas att man i motsvarande situationer avser att vissa bestämmelser endast skall gälla för den senare behandlingen och inte den tidigare, samtidigt som de reglerade uppgiftssamlingarna inte i egentlig bemärkelse är register?

Ett alternativ till registerbegreppet som har föreslagits i olika sammanhang är termen databas. Detta gjordes senast av Skattekriminalregisterutredningen i betänkandet Integritet – Effektivitet – Skattebrott (SOU 1998:9). Förslaget genomfördes emellertid inte, utan i det fortsatta lagstiftningsarbetet – och slutligen även i lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar – användes i stället registerbegreppet. Regeringen motiverade detta med att begreppet register används i polisdatalagen och att det är angeläget att det i lagstiftningen finns enhetliga begrepp inom samma område. Det ansågs därför inte då finnas tillräckliga skäl att införa ett nytt begrepp (prop. 1998/99:34 s. 33).

Vi anser att det finns behov av ett särskilt begrepp för att beskriva vissa uppgiftssamlingar som är föremål för automatiserad behandling. Eftersom registerbegreppet – enligt vår mening med rätta – har kritiserats i flera sammanhang, finns det anledning att ännu en gång överväga om inte begreppet databas är ett bättre alternativ.

4.4.3. Definitioner av begreppen register och databas

Vissa begrepp kan ha varierande betydelse beroende på om man intar rollen av en ur allmänheten eller av fackmannen. Detta gäller inte minst på IT-området där olika begrepp hela tiden tillkommer. För att få en bild av innebörden av de för oss relevanta begreppen register och databas, följer här en kort sammanställning hämtad från olika ordböcker, allmänna såväl som fackanknutna.

Exempel på definitioner av register:

Alfabetiskt eller systematiskt ordnad förteckning över personer, fakta e.d.;

ofta av mera officiellt slag. [Nationalencyklopedins ordbok]

Förteckning, lista. [Bonniers svenska ordbok]

Lista, innehållsförteckning i (bokstavs)ordning. [Svenska akademiens ord-

lista]

Samlad information, vare sig det sköts manuellt eller på dator, exempelvis

kundregister och folkbokföringsregister. Register kan även betyda något helt annat, nämligen de små utrymmen som en processor använder internt. [Nya dataordboken, Ulf Lingärde, 1997]

En lagringsenhet som har en begränsad kapacitet, t.ex. en bit eller en byte,

och som direkt kan hanteras av processorn. [IT & Data Lexikon, Jerker

Thorell och Liber utbildning AB, 1997]

Minne som har en bestämd kapacitet, t.ex. en bit, en bitgrupp eller ett

dataord, och som vanligen är avsett för en speciell uppgift.

[Dataordboken, Standardiseringskommissionen i Sverige, 1984]

Exempel på definitioner av databas:

Större samling uppgifter som finns lagrade på systematiskt sätt i

datamaskin så att enskilda uppgifter snabbt kan återfinnas, t.ex. genom sökning per kategori (bet.nyans: om själva lagringsmetoden, programmen etc., utan hänsyn till innehållet: databassystem). [Nationalencyklopedins

ordbok]

Dataregister, samling av uppgifter lagrade i dator. [Bonniers svenska ord-

bok]

(Databas) med dataregister. [Svenska akademiens ordlista]

Ett intelligent dataregistersystem med eget frågespråk, rapportgenerator

eller andra verktyg. Databaser brukar indelas i relationsdatabaser samt de nu nästan försvunna hierarkiska databaserna och nätverksdatabaser. [Nya

dataordboken]

En systematisk samling av datafiler som kan läsas, samköras, bearbetas

och åter lagras. [IT & Data Lexikon]

Mängd av data som består av åtminstone en fil och som är tillräcklig för ett visst ändamål eller för ett visst databehandlingssystem. En databas kan utgöra del av en annan mängd data. [Dataordboken]

Av sammanställningen kan den slutsatsen dras att det inte finns någon enhetlig och allmängiltig definition av något av begreppen. Register kan dock närmast definieras som en systematisk sammanställning som kan vara antingen manuell eller teknikberoende, samtidigt som begreppet kan ha andra specifikt fackliga betydelser. Om databas kan sägas att ordet som sådant, både allmänt och fackligt, anknyter direkt till användandet av datorer. Det synes alltså inte finnas någon direkt användning av begreppet databas i samband med manuella sammanställningar av uppgifter.

4.4.4. Databasbegreppet underlättar en teknikoberoende lagstiftning

Det finns ingen klar allmän definition av begreppen register och databas. Vad som dock kan konstateras är att databas rent språkligt har mer naturlig anknytning till automatiserade sammanställningar av uppgifter. Redan detta är ett argument för att den termen är att föredra framför det traditionella registerbegreppet. Det bör emellertid påpekas att begreppet register kan ha sin naturliga plats i lagstiftningen, t.ex. i lagen (1998:621) om misstankeregister, lagen (1968:620) om belastningsregister samt lagen (1998:543) om hälsodataregister. Dessa lagar reglerar nämligen register i en mer traditionell mening. I våra lagförslag däremot avses med begreppet databas något annat än egentliga register. En databas består av en uppgiftssamling av varierande slag, ofta rörande såväl juridiska som fysiska personer. Den innehåller regelmässigt ett antal egentliga register, men också uppgifter som inte alls kan inordnas i ett traditionellt register, såsom elektroniska handlingar i ett ärendehanteringssystem.

En av våra målsättningar har varit att skapa ett regelverk som är mer teknikoberoende än de registerförfattningar som finns i dag. Detta kan göras genom att begreppet databas ges innebörden av en samling uppgifter som med hjälp av automatiserad behandling används gemensamt inom en verksamhet. Av redovisningen nedan kommer att framgå att detta skulle innebära att ett nytt sätt att se på automatiserad hantering av uppgifter införs i lagstiftningen. Med utgångspunkt i vår grundläggande syn på vikten av teknikoberoende lagstiftning är registerbegreppet enligt vår uppfattning inte lämpligt, dels på grund av den mer allmängiltiga betydelsen av begreppet (se föregående avsnitt), dels på grund av att en

ny begreppsbildning kan underlätta förståelsen för en förändrad rättslig ordning.

En definition av begreppet databas som den nyss angivna skulle utesluta manuella register och samtidigt göra det möjligt att särskilja tillfälliga behandlingar av personuppgifter i en dator från behandlingar i databaser som är särskilt reglerade till sitt innehåll och användning (se om detta i avsnitt 6.1). Definitionen har även den fördelen att den inte tekniskt avgränsar hur en samling uppgifter är uppbyggd eller organiserad. Det innebär att om flera register – i egentlig bemärkelse – är sammanlänkande och samtliga uppgifter i de olika registren på ett gemensamt sätt är tillgängliga för sökning med automatiserad behandling inom en avgränsad verksamhet, så utgör dessa register en databas. Med andra ord skulle automatiserade register kunna sägas vara en specialform av databaser, nämligen databaser vars innehåll är systematiserade på ett visst sätt enligt särskilda kriterier. En databas kan således innehålla flera mindre databaser, varav en del kan vara regelrätta register. Översatt till skatteförvaltningens verksamhet skulle detta kunna innebära att en beskattningsdatabas består av ett eller flera skatteregister, taxeringsuppgiftsregister och fastighetstaxeringsregister m.m. Regleringen av en beskattningsdatabas skulle alltså inte innehålla bestämmelser om indelningen av uppgifterna i databasen. Om samtliga uppgifter finns samlade i en enda server på Riksskatteverket och är tillgängliga för olika myndigheter enligt vissa kriterier (behörighetskoder o.d.) eller om uppgifterna delas upp så att de rent tekniskt förvaras i olika servrar – och i form av flera register – hos de regionala skattemyndigheterna, saknar alltså betydelse. Det väsentliga är att uppgifterna inom skatteförvaltningen är gemensamt tillgängliga för beskattningsverksamheten.

De ovan redovisade tankegångarna har som utgångspunkt att en lag om behandling av personuppgifter inte skall reglera hur uppgifterna tekniskt organiseras, utan endast utgöra en ram för vilka uppgifter som får behandlas och på vilket sätt de får användas för att bl.a. säkerställa ett gott integritetsskydd. Detta innebär att regleringen av en beskattningsdatabas kan innehålla bestämmelser om behandling av samtliga de uppgifter som i dag finns i olika register inom ett visst verksamhetsområde, utan att för den sakens skull reglera hur uppgifterna skall organiseras eller delas in i grupper. Om det, för att återigen anknyta till skatteförvaltningens verksamhet, i en lag anges att en beskattningsdatabas får innehålla samtliga uppgifter som i dag finns i olika register (skatteregister, fastighetstaxeringsregister, punktskatteregister, projektregister osv.), så tar man därigenom inte ställning till den tekniska utformningen. Det kan alltså i princip bli fråga om ett fåtal stora centrala eller regionala register eller flera små lokalt anordnade register. Det

väsentliga är att de krav lagen ställer på behandlingen för att säkerställa enskildas integritet kan efterlevas.

4.4.5. Det kan fortfarande finnas utrymme för registerbegreppet

Som framgår ovan anser vi att databas, inom det område som omfattas av vårt uppdrag, är ett lämpligt begrepp för en rättsligt avgränsad samling uppgifter som behandlas gemensamt på automatiserad väg inom en viss verksamhet. Vår tanke är att en lag om behandling av personuppgifter skall reglera just behandlingen och inget annat, och då i huvudsak de övergripande principer som bör gälla. Om uppgifter i automatiserade samlingar är uppdelade i flera lokala register – som ofta är fallet enligt registerförfattningarna i dag – eller om de finns i ett fåtal större register, är inte direkt en fråga om behandling av uppgifterna och sådana bestämmelser bör alltså inte finnas i den övergripande lagstiftningen.

Det kan dock finnas skäl – såväl sakliga som pedagogiska – för att närmare definiera och avgränsa de olika uppgifterna i en databas. Regeringen bör därför ges möjlighet att föreskriva om hur en databas skall vara indelad. Som exempel kan nämnas folkbokföringsverksamheten. I en förordning skulle regeringen kunna föreskriva att samtliga uppgifter som får finnas i en folkbokföringsdatabas skall fördelas på och finnas i lokala register, motsvarande vad som gäller i dag. Regeringen skulle vidare kunna föreskriva att vissa av uppgifterna i databasen skall finnas i ett centralt register och att de uppgifter som får lämnas ut för t.ex. aviseringsändamål skall finnas i ett centralt aviseringsregister. Organisatoriskt (och tekniskt) får man då samma system med register som i dag, med den skillnaden att alla grundläggande frågor om behandlingen, dvs. ändamål, personuppgiftsansvar, direktåtkomst och gallring m.m. regleras för sig. Härigenom kan den organisatoriska eller tekniska indelningen förändras utan att den grundläggande lagstiftningen för den sakens skull behöver ändras. Det kan även finnas anledning att för vissa uppgifter i en databas ha särregler för t.ex. gallring och utlämnande. Det kan därför finnas skäl att rättsligt – och möjligen tekniskt – avgränsa vissa register på ett sådant sätt att de är klart urskiljbar inom databasen. En sådan indelning av en databas i olika register kan underlätta vid utformandet av gallringsbestämmelser och utlämnandebestämmelser m.m. Lagen blir alltså härigenom teknik- och organisationsoberoende, samtidigt som en uppdelning i olika register kan behållas i de fall det anses motiverat.

Som vi nämner i avsnitt 4.4.2 är dock register enligt vår uppfattning över huvud taget inte ett lämpligt begrepp för omfattande automatiserade uppgiftssamlingar som innehåller elektroniska handlingar i ett ärende-

hanteringssystem. Begreppet register bör i stället förbehållas sådana automatiserade uppgiftssamlingar som faktiskt utgör register i en mer strikt betydelse, nämligen när uppgifterna är organiserade på ett systematiskt sätt enligt fastställda kriterier.

5. Allmänna bestämmelser om behandling av personuppgifter

Som vi redovisar i inledningen till 4 kap. har samtliga våra förslag till författningar som skall reglera behandlingen av personuppgifter och andra uppgifter inom skatteförvaltningen, exekutionsväsendet och Tullverket en likartad struktur. I ett inledande kapitel i författningarna har vi valt att samla allmänt tillämpliga bestämmelser. Därefter följer ett kapitel som innehåller de bestämmelser som reglerar behandling för gemensamma syften inom ett verksamhetsområde, dvs. behandling av uppgifter i databaser. Varje författningsförslag avslutas med ett kapitel som innehåller bestämmelser om enskildas rättigheter gentemot personuppgiftsansvariga myndigheter. Redovisningen av våra överväganden avseende författningsförslagen följer en likartad ordning. Således behandlar vi i detta kapitel de allmänt tillämpliga bestämmelserna.

5.1. Olika former av uppgiftsbehandling

De av oss föreslagna författningarna, som skall reglera behandling av personuppgifter och andra uppgifter inom skatteförvaltningen, exekutionsväsendet och Tullverket, omfattar all helt eller delvis automatiserad behandling samt sådan manuell behandling där personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (se avsnitt 4.3.3). I det avseendet skiljer sig tillämpningsområdet för våra författningsförslag inte från tillämpningsområdet för personuppgiftslagen (1998:204).

Författningsförslagen har däremot ingen motsvarighet i gällande rätt såvitt avser regleringen av automatiserad behandling av uppgifter i databaser. I stället för att reglera viss automatiserad behandling av personuppgifter och andra uppgifter inom en verksamhet i ett flertal olika register, vilket ofta är fallet i dag, har vi valt att samordna bestämmelserna genom att reglera huvuddelen av den automatiserade behandlingen i en eller ett fåtal gemensamma databaser (se avsnitt 4.4). Det innebär att våra författningsförslag kan sägas omfatta tre olika former

av uppgiftsbehandling, nämligen manuell behandling, automatiserad behandling i databaser samt annan automatiserad behandling.

I fråga om avgränsningen mellan manuell och automatiserad behandling har vi ingen annan avsikt än att samma principer skall gälla för våra författningsförslag som för personuppgiftslagen. Våra överväganden avseende gränsdragningen mellan automatiserad behandling i databaser och annan automatiserad behandling redovisar vi i avsnitt 6.1, i samband med en ingående redogörelse för vad som avses med databaser och vilken behandling som omfattas av den särskilda regleringen av databaserna.

Vi anser att samtliga bestämmelser om behandling av personuppgifter och andra uppgifter inom en viss verksamhet bör inordnas i en enda lag, oberoende av om behandlingen är manuell eller automatiserad och oavsett om den görs inom den rättsliga ramen för en databas eller inte. De bestämmelser som enligt våra förslag kommer att omfatta all behandling inom en viss verksamhet är de som reglerar lagens förhållande till personuppgiftslagen (1998:204) samt personuppgiftsansvaret. Därutöver föreslår vi bestämmelser om känsliga personuppgifter m.m. och gallring, som skall gälla all behandling utom sådan som sker inom den rättsliga regleringen för databaser. För behandling av känsliga personuppgifter och gallring av uppgifter i databaser, föreslår vi särskilda bestämmelser (se avsnitt 6.3.3 och 6.8).

5.2. Allmänt tillämpliga bestämmelser

5.2.1. Allmänna bestämmelser i personuppgiftslagen

Vårt föreslag: Vissa bestämmelser i personuppgiftslagen skall vara direkt tillämpliga på all behandling enligt specialförfattningarna. Det gäller bestämmelser om:

  • definitioner
  • förhållandet till offentlighetsprincipen m.m.
  • grundläggande krav på behandling
  • behandling av personnummer
  • säkerheten vid behandling
  • överföring av personuppgifter till tredje land
  • personuppgiftsombudets uppgifter
  • tillsynsmyndighetens befogenheter m.m.
  • straff

En väsentlig fråga för speciallagstiftning som reglerar behandling av personuppgifter, är i vilken omfattning personuppgiftslagens bestämmelser skall vara direkt tillämpliga och i vilken mån avvikande regler skall gälla. Vi har valt att uttryckligt reglera endast de bestämmelser som avviker från personuppgiftslagen och att i övrigt endast hänvisa till de lagrum i den senare lagen som skall vara tillämpliga även inom de olika verksamheter vi har i uppdrag att se över. Redovisningen nedan omfattar inte de tillämpliga bestämmelser i personuppgiftslagen som direkt rör enskildas rättigheter (information, rättelse och skadestånd). De bestämmelserna återkommer vi till i 7 kap. Innehållet i bestämmelserna i personuppgiftslagen har vi kortfattat redogjort för i avsnitt 2.4. Bestämmelserna kommenteras utförligt i bl.a. förarbetena till personuppgiftslagen (prop. 1997/98:44 och Datalagskommitténs betänkande SOU 1997:39). Det kan emellertid finnas anledning att kort redovisa varför vi anser att bestämmelserna bör tillämpas och vilken specifik betydelse de kan få i den av oss föreslagna lagstiftningen.

Definitioner (3 §)

Vi har inte funnit någon anledning att i den av oss föreslagna lagstiftningen definiera där förekommande begrepp på något annat sätt än i 3 § personuppgiftslagen. Tvärtom är det för att undvika missförstånd viktigt att de begrepp som används i de olika författningarna har samma innebörd. Det bör dock anmärkas att personuppgiftsansvaret regleras särskilt i de föreslagna specialförfattningarna.

Förhållandet till offentlighetsprincipen m.m. (8 §)

Bestämmelsen i 8 § första stycket personuppgiftslagen är en ren upplysning och markering om offentlighetsprincipens företräde. I andra stycket finns dock en materiell regel som anger att 9 § fjärde stycket personuppgiftslagen – där det ställs upp begränsningar i rätten att använda sig av personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål för att vidta åtgärder i fråga om den registrerade – inte skall tillämpas i fråga om myndigheters användning av personuppgifter i allmänna handlingar. Det undantaget skall gälla även inom de verksamhetsområden som omfattas av vårt uppdrag.

Grundläggande krav på behandlingen av personuppgifter (9 §)

En av de väsentligaste bestämmelserna i fråga om behandling av personuppgifter finns i 9 § personuppgiftslagen och avser vilka grundläggande krav som ställs på en personuppgiftsansvarig. Dessa krav bör naturligtvis tillämpas även vid behandling av personuppgifter inom särskilt reglerad myndighetsverksamhet. Genom de särskilda gallringsregler som föreslås i specialförfattningarna sätts dock bestämmelserna i 9 § första stycket i) och tredje stycket om hur länge uppgifter får bevaras ur spel.

Behandling av personnummer (22 §)

Enligt 22 § personuppgiftslagen får personnummer behandlas endast efter samtycke från den registrerade eller om det är klart motiverat med hänsyn till behandlingens ändamål, vikten av säker identifiering eller något annat beaktansvärt skäl. För behandling inom skatteförvaltningen, exekutionsväsendet och Tullverket torde det av rättssäkerhetsskäl ofta vara så att personnummer behöver användas för att eliminera risken för fel i handläggningen av ärenden.

Vid den särskilt reglerade behandling som sker i databaser är det i de flesta fall nödvändigt att generellt använda personnummer för att kunna säkra identifieringen av en registrerad. För sådan behandling anges därför uttryckligt i lagstiftningen att uppgifter om en persons identitet, t.ex. personnummer, får användas. Hänvisningen till personuppgiftslagens bestämmelse får därför praktisk tillämpning endast i fråga om behandling som inte sker i databaser. Även i de fallen torde det dock ofta vara motiverat att använda personnummer för att säkerställa de berörda parternas identitet. Personnummer bör emellertid inte användas slentrianmässigt när risk inte föreligger för förväxling mellan personer eller när andra beaktansvärda skäl saknas.

Säkerheten vid behandling (30-32 §§)

I 3032 §§personuppgiftslagen finns vissa regler om hur den personuppgiftsansvarige skall organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Det rör sig som instruktioner till personalen samt tekniska och organisatoriska åtgärder. Dessa bestämmelser skall vara tillämpliga inom de här aktuella verksamhetsområdena, vilket innebär att Riksskatteverket, Tullverket och de regionala myndigheterna (se avsnitt 5.2.2 om personuppgiftsansvaret) måste se till att det finns rutiner för hanteringen av personuppgifter. Detta är inte minst viktigt i fråga om behandling av uppgifter i databaserna, där det

exempelvis kan behövas såväl tekniska lösningar för datasystemen som olika behörighetsnivåer för personalkategorier, för att garantera att den av oss föreslagna lagstiftningen kan efterföljas.

Överföring av personuppgifter till tredje land (33–35 §§)

Personuppgifter som är under behandling får enligt 33 § personuppgiftslagen inte föras över till tredje land. Från förbudet finns vissa undantag i 34 §, bl.a. för överföring till länder som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Den 17 juni 1999 överlämnade regeringen en remiss till lagrådet vari det föreslås att förbudet i personuppgiftslagen mot överföring av personuppgifter till tredje land skall ändras. Överföring till ett land som inte ingår i EU eller är anslutet till EES skall inte längre vara förbjuden om det tredje landet har en ”adekvat nivå” för skyddet av personuppgifter. Lagändringen föreslås träda i kraft den 1 december 1999. Enligt 35 § personuppgiftslagen kan regeringen, och i vissa fall den myndighet som regeringen bestämmer, meddela föreskrifter om undantag från förbudet i 33 §. Regeringen har också i personuppgiftsförordningen (1998:1191) gett Datainspektionen möjlighet att meddela föreskrifter om undantag i vissa fall.

Vi anser att såväl förbudet mot överföring till tredje land som de undantag från förbudet som föreskrivs skall vara tillämpliga på behandling enligt den av oss föreslagna lagstiftningen. Av betydelse för de myndigheter som omfattas av vårt uppdrag är vad som anges i dataskyddsdirektivet i fråga om överföring av personuppgifter till tredje land av skäl som rör viktiga allmänna intressen. I artikel 25 anges att medlemsstaterna inte får tillåta överföringar till tredje land som inte har en adekvat skyddsnivå. Från denna regel finns emellertid flera undantag. I artikel 26.1 d anges att medlemsstaterna skall föreskriva att överföring får ske om det är nödvändigt eller bindande enligt författning av skäl som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk. I direktivets ingresspunkt 58 anges avseende bl.a. det undantaget att överföring skall kunna medges när skyddet av väsentliga samhällsintressen kräver det, till exempel vid internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter.

Att 33-35 §§personuppgiftslagen görs tillämpliga på behandling enligt de av oss föreslagna författningarna, förhindrar således inte att uppgifter i exempelvis en databas lämnas ut till tredje land när det behövs för fullgörande av en förpliktelse som följer av en internationell överenskommelse som Sverige har tillträtt.

Personuppgiftsombudets uppgifter m.m. (38–41 §§)

Automatiserade behandlingar av personuppgifter skall enligt 36 § personuppgiftslagen anmälas till tillsynsmyndigheten (Datainspektionen). Anmälan behöver dock enligt 3 § personuppgiftsförordningen inte göras för behandlingar som regleras genom särskilda föreskrifter i lag eller förordning. Det finns enligt vår mening inte någon anledning att ställa krav på anmälningsskyldighet för behandlingar som utförs med stöd av den av oss föreslagna lagstiftningen. Den personuppgiftsansvarige har enligt 36 § personuppgiftslagen även möjlighet att utse ett personuppgiftsombud. Vår bedömning är att det bör åligga den personuppgiftsansvarige att ta ställning till frågan om ett personuppgiftsombud skall inrättas hos myndigheten eller inte. Om ett sådant ombud utses, skall bestämmelserna i 3840 §§personuppgiftslagen om ombudets skyldigheter tillämpas.

Regeringen har enligt 41 § personuppgiftslagen möjlighet att föreskriva att vissa särskilt känsliga behandlingar skall anmälas till Datainspektionen för förhandskontroll oavsett om det finns ett personuppgiftsombud eller inte. Denna möjlighet bör regeringen enligt vår mening ha även i fråga om sådana behandlingar som regleras i den av oss föreslagna lagstiftningen.

Tillsynsmyndighetens befogenheter (43 och 47 §§)

För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen vissa befogenheter gentemot personuppgiftsansvariga. Vi anser att den möjlighet som inspektionen har enligt 43 § personuppgiftslagen att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler bör finnas även när den personuppgiftsansvarige är en myndighet. Däremot är det inte möjligt för Datainspektionen att vid vite förbjuda en personuppgiftsansvarig statlig myndighet att behandla personuppgifter, eftersom vite som sanktionsmedel enligt allmänna rättsgrundsatser inte bör användas mellan statliga myndigheter. Hänvisning behöver därför inte göras till bestämmelserna om vite i 44 och 46 §§personuppgiftslagen. Inte heller finner vi det nödvändigt att i specialförfattningarna hänvisa till 45 §, vari anges att Datainspektionen om den konstaterar att personuppgifter behandlas felaktigt skall försöka åstadkomma rättelse genom påpekanden e.d. Det torde vara självklart att Datainspektionen vidtar de åtgärder som är rimliga för att få till stånd rättelse när brister i myndigheternas hantering upptäcks.

Enligt 47 § personuppgiftslagen har Datainspektionen rätt att hos allmän förvaltningsdomstol ansöka om att sådana uppgifter som har

behandlats på ett olagligt sätt skall utplånas. Bestämmelsen har sin grund i dataskyddsdirektivets artikel 28.3, där det anges att varje nationell tillsynsmyndighet skall ha särskild befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Vi kan inte se att det i den av oss föreslagna lagstiftningen finns utrymme för att underlåta att uppfylla direktivets krav i den delen. Därför bör 47 § personuppgiftslagen vara tilllämplig även vid behandling enligt vår lagstiftning.

Straff (49 §)

Personuppgiftslagens bestämmelser om straffansvar bör omfatta även den myndighetsverksamhet som omfattas av vårt uppdrag. Bestämmelserna bör vara tillämpliga även när personuppgifter behandlas med stöd av den av oss föreslagna speciallagstiftningen.

5.2.2. Personuppgiftsansvar

Vårt förslag: En myndighet skall vara personuppgiftsansvarig för den behandling som ankommer på myndigheten att utföra.

Personuppgiftsansvarig är enligt 3 § personuppgiftslagen den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter. För att undvika oklarheter vid författningsreglerad behandling av personuppgifter i myndighetsverksamhet bör placeringen av personuppgiftsansvaret regleras uttryckligt i specialförfattningarna.

De myndigheter som kan bli aktuella som personuppgiftsansvariga vid behandling i de för oss aktuella verksamheterna är Riksskatteverket och Tullverket, de regionala skatte- och kronofogdemyndigheterna samt länsstyrelserna. Tullverket utgör numera en enda myndighet, varför några problem med fördelning av personuppgiftsansvaret inte uppstår i tullverksamheten. Det är däremot inte möjligt att för ett komplext system för databehandling inom sådana myndighetsorganisationer som skatteförvaltningen och exekutionsväsendet, i lag närmare bestämma vilken myndighet som bör vara ansvarig för olika specifika behandlingar. Vi anser i stället att det är lämpligt att för dessa myndighetsorganisationer utforma regleringen så att den myndighet på vilken det ankommer att utföra en viss behandling skall vara ansvarig för just den behandlingen.

Genom att personuppgiftsansvaret omfattar vad som ankommer på en myndighet att utföra, markeras att det finns ett ansvar inte endast för att utförd behandling är korrekt, utan även för att behandling faktiskt utförs när den skall ske.

För behandling av personuppgifter som inte sker under de särskilt reglerade former som gäller för databaser, t.ex. ordbehandling, kommer den myndighet hos vilken behandlingen görs att vara personuppgiftsansvarig. Några problem med att peka ut rätt myndighet torde inte uppstå i de fallen. När det gäller behandling i en databas kan situationen komma att bli mer komplicerad. Vår avsikt är som sagt att den enskilda behandlingen skall vara avgörande för personuppgiftsansvarets placering. Följden av en sådan bestämmelse blir att den myndighet som avgör om en viss uppgift skall föras in i databasen, kommer att vara ansvarig för att den lagrade uppgiften är korrekt. Detta är nödvändigt eftersom i princip endast den myndigheten har möjlighet att garantera uppgiftens riktighet. För den fortsatta behandlingen av uppgiften kan dock andra myndigheter bli ansvariga, eftersom varje myndighet ansvarar för sin behandling. Om exempelvis en registrerad uppgift skulle komma att lämnas ut av en annan myndighet än den som har registrerat uppgiften, skall den utlämnande myndigheten vara ansvarig för den behandling som utgörs av själva utlämnandet.

I mer övergripande frågor, t.ex. om sådant som ansvar för att nödvändiga tekniska eller organisatoriska säkerhetsåtgärder vidtas, måste personuppgiftsansvarets fördelning grundas på vilka myndigheter som har befogenhet och skyldighet att utföra dessa åtgärder. Inom skatteförvaltningen och exekutionsväsendet kan detta till stor del antas bli en fråga för Riksskatteverket, men det avgörande måste vara hur organisationen är uppbyggd och hur olika arbetsuppgifter är fördelade.

I praktiken torde det inte behöva uppstå några problem i fråga om vem som är personuppgiftsansvarig för olika behandlingar. En förutsättning är dock att det går att fastställa vilka myndigheter som har behandlat en viss uppgift och hur uppgiften har behandlats. Detta är i huvudsak en fråga om hur systemen utformas tekniskt.

En viktig del av personuppgiftsansvaret är skyldigheten att på begäran av enskilda tillhandahålla information om vilka uppgifter som behandlas rörande dem samt skyldigheten att rätta, blockera eller utplåna uppgifter som har behandlats felaktigt. Vi återkommer till dessa frågor i 7 kap.

En fråga som knyter an till personuppgiftsansvaret är arkivansvaret enligt arkivlagen (1990:782). Enligt huvudregeln i 3 § arkivlagen har en myndighet arkivansvar för de allmänna handlingar som finns hos myndigheten (se avsnitt 2.6.1). För elektronisk information gäller emellertid en specialregel. Upptagningar för automatisk databehandling som är

tillgängliga för flera myndigheter, och som därigenom utgör allmänna handlingar, skall bilda arkiv endast hos en av dessa myndigheter, i första hand den myndighet som svarar för huvuddelen av upptagningen. Syftet med undantaget är att upptagningar som är tillgängliga för flera myndigheter inte skall behöva arkiveras av samtliga dessa myndigheter, utan endast av den huvudansvariga myndigheten.

Som vi har nämnt ovan kan personuppgiftsansvaret för en och samma uppgift i en databas ligga hos flera myndigheter beroende på hur och i vilka sammanhang uppgifterna används. En sådan ordning är inte lämplig i fråga om arkivansvaret. Vår inställning är att arkivansvaret för en viss uppgift i en databas skall ligga hos den myndighet som är ansvarig för att uppgiften förs in i databasen. Att en annan myndighet senare behandlar uppgiften, t.ex. genom utlämnande, och därigenom blir personuppgiftsansvarig för just den behandlingen, innebär inte att den myndigheten även blir arkivansvarig. En sådan ordning överensstämmer med myndigheters skyldighet enligt sekretesslagen att registrera allmänna handlingar som utgörs av upptagningar för automatisk databehandling. Av 15 kap.1 och 13 §§sekretesslagen framgår att allmänna handlingar som kommer in eller upprättas hos en myndighet skall registreras utan dröjsmål. Om en upptagning för automatisk databehandling förs in i ett dataregister som är tillgängligt för flera myndigheter, är dock endast den myndighet som gör införingen skyldig att registrera den.

Den myndighet som enligt sekretesslagen är skyldig att registrera en upptagning för automatisk databehandling, är således även ansvarig för att arkivlagens bestämmelser uppfylls. I princip innebär detta även att den myndighet som är ansvarig för att uppgifter är korrekta, dvs. skyldig att vidta rättelse enligt personuppgiftslagen, också har ansvaret för att upptagningen tas om hand enligt arkivlagen.

5.3. Bestämmelser om behandling som inte sker i databaser

5.3.1. Behandling av känsliga personuppgifter m.m.

Vårt förslag: Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skall få behandlas endast om uppgifterna har lämnats i eller är nödvändiga för handläggningen av ett ärende.

Enligt 13 § personuppgiftslagen gäller ett principiellt förbud mot behandling av känsliga personuppgifter. Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Från förbudet att behandla sådana uppgifter görs sedan undantag för vissa situationer – t.ex. då den enskilde har samtyckt till behandlingen – som inte är tillämpliga på de för oss aktuella verksamheterna. Genom 21 § personuppgiftslagen begränsas även rätten att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Sådana uppgifter får behandlas endast av myndigheter. I fortsättningen av detta avsnitt avser vi med begreppet känsliga personuppgifter för enkelhetens skull även uppgifter om lagöverträdelser m.m.

I de verksamheter som omfattas av vårt uppdrag torde det sällan komma i fråga att behandla känsliga personuppgifter, och vi har därför av integritetsskäl övervägt förbud för sådan behandling. I vissa situationer finns det dock anledning att tillåta behandling av känsliga uppgifter i handläggningen av ärenden. En enskild kan exempelvis i ett skatteärende om förseningsavgift ange sjukdom som skäl för att deklaration inte har lämnats i tid. En sådan uppgift måste rimligen kunna behandlas på automatiserad väg i ärendet, även då behandling inte sker i den för databaser särskilt reglerade formen (se avsnitt 6.1 om gränsdragningen mellan behandling i databaser och annan automatiserad behandling). Det vore orimligt att begära att tjänsteanteckningar efter telefonsamtal inte skulle få nedtecknas med hjälp av ordbehandling. Detsamma gäller när känsliga uppgifter är avgörande för utgången av ett ärende. I föredragningspromemorior, beslutskoncept och liknande måste sådana uppgifter få finnas, även om handlingarna upprättas med hjälp av ordbehandling. Detsamma gäller för manuellt upprättade handlingar, vilka kan komma att omfattas av våra författningsförslag.

Att i detalj reglera vilka uppgifter som får antecknas och i vilka fall detta får ske, är inte möjligt. Det går nämligen inte att förutse de olika situationer som kan uppstå i hanteringen av ärenden. Vi anser dock att det är nödvändigt av integritetsskäl att i största möjliga mån begränsa användningen av känsliga personuppgifter. Det bör därför vara tillåtet att behandla sådana uppgifter endast om de har lämnats i ett ärende eller om det är nödvändigt för handläggningen av ett ärende. Det innebär att användandet av känsliga uppgifter begränsas till sådana tillfällen då myndigheten i det närmaste inte har något val, utan måste behandla dem.

För behandling i databaser skall särskilda bestämmelser gälla, vilket vi återkommer till i avsnitt 6.3.3.

5.3.2. Bevarande och gallring av uppgifter

Vårt förslag: Uppgifter som är föremål för automatiserad behandling i ett ärende skall gallras senast ett år efter att ärendet har avslutats, medan andra uppgifter skall gallras i enlighet med bestämmelserna i arkivlagen (1990:782).

Regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om att uppgifter skall gallras vid en annan tidpunkt eller att uppgifter skall bevaras.

Hur länge personuppgifter får bevaras regleras allmänt i personuppgiftslagen som ett grundläggande krav på behandling av personuppgifter. I 9 § första stycket i) personuppgiftslagen anges att den personuppgiftsansvarige skall se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. I fråga om personuppgifter som behandlas i myndighetsverksamhet tillämpas i första hand bestämmelserna i arkivlagen. I de registerförfattningar som i dag gäller för statlig verksamhet finns regelmässigt även särskilda gallringsbestämmelser för uppgifter i personregister. Detsamma är fallet för uppgifter i personregister som förs med stöd av tillstånd från Datainspektionen.

För sådan behandling av personuppgifter inom skatteförvaltningen, exekutionsväsendet och Tullverket som enligt våra förslag skall regleras särskilt genom bestämmelser för behandling i databaser, är det av bl.a. integritetsskäl ofta nödvändigt att i specialförfattningarna reglera gallringsfrågor. Vi har dock haft att ta ställning till frågan om det utöver den allmänna regleringen i arkivlagen och personuppgiftslagen även behövs särskilda bestämmelser om bevarande och gallring för sådan behandling som inte utförs i databaser. Särskilt viktigt har vi bedömt detta vara i fråga om uppgifter som behandlas på automatiserad väg (se avsnitt 6.1 om gränsdragningen mellan behandling i databaser och annan automatiserad behandling). För personuppgifter som behandlas manuellt och som omfattas av den föreslagna lagstiftningen anser vi att de allmänna bestämmelserna i arkivlagen är tillräckliga för att säkerställa ett gott integritetsskydd. För uppgifter som behandlas på automatiserad väg kan dock svårare integritetsfrågor förväntas uppkomma.

Med den moderna teknik som används i myndighetsverksamheten i dag, är det vanligt att stora mängder uppgifter lagras elektroniskt även på annat sätt än i reglerade personregister eller databaser. En stor del av det skriftliga material som produceras av myndigheter utarbetas numera i datorer med hjälp av ordbehandlingsprogram. Även i de fall då

slutprodukten skrivs ut på papper och tillfogas akten i ett ärende, sparas informationen vanligtvis under viss tid genom att lagras elektroniskt. På detta sätt kan det på ganska kort tid växa fram omfattande informationsmängder hos en myndighet, information som dessutom ofta är lätt tillgänglig genom olika typer av sökprogram. Med den legaldefinition av databasbegreppet som vi föreslår (se avsnitt 6.1) kommer dessa informationsmängder i vissa fall inte att omfattas av de bestämmelser som gäller för databaser.

Vi bedömer att det i allmänhet saknas starka skäl för att en myndighet på elektronisk väg skall tillåtas bevara sådan information, utan att några åtgärder vidtas. Vi föreslår därför generellt att uppgifter som är föremål för automatiserad behandling i ett ärende – utan att behandlingen görs i en databas – skall gallras senast ett år efter att ärendet har avslutats. Bestämmelsen innebär att information inte får lagras under längre tid än ett år utan att på ett konkret sätt användas i verksamheten. Det skall med andra ord inte vara tillåtet att under lång tid i elektronisk form lagra information som kan vara ”bra att ha” i framtiden. Om däremot åtgärder vidtas inom ett år genom att informationen tillförs ett annat, pågående, ärende eller om ett nytt ärende öppnas med anledning av informationen, får den dock bevaras även efter ettårsfristen som en del av det nya ärendet. Detsamma blir fallet om uppgifterna registreras i en databas enligt de särskilda bestämmelserna därom. Att uppgifterna skall gallras innebär att de kan föras över på papper, varefter den elektroniska informationen raderas. De uppgifter som finns kvar endast på papper omfattas då inte längre av den ettåriga gallringstiden som vi föreslår skall gälla för automatiserad behandling av uppgifter.

En särskild fråga i detta sammanhang är hur man skall förfara med automatiserad behandling av uppgifter i samband med revision eller andra kontrollåtgärder i beskattnings- och tullverksamhet. Vi återkommer till den frågan i avsnitt 9.2.

Det kan finnas anledning att för vissa uppgifter tillämpa en annan tidpunkt för gallring. Vissa uppgifter av känslig karaktär kan det av integritetsskäl vara lämpligt att gallra vid en tidigare tidpunkt, medan andra mindre känsliga uppgifter kan behöva lagras under en längre tid för att inte onödiga effektivitetsförluster skall uppstå i verksamheten. Det bör enligt vår uppfattning åligga regeringen eller Riksarkivet att meddela föreskrifter om undantag från den annars gällande ettårsregeln.

För vissa verksamheter bedömer vi att det av olika skäl inte är nödvändigt att ha särskilda bestämmelser om gallring över huvud taget. En förutsättning är att det inte föreligger någon nämnvärd risk för otillbörliga integritetsintrång. För verksamheten med val och folkomröstningar föreslår vi således inga sådana bestämmelser, utan inom den verksamheten skall arkivlagens bestämmelser tillämpas. När det gäller

folkbokföringsverksamheten tillämpas i dag, och till dess frågan om folklängder är löst, arkivlagens bestämmelser. Vi föreslår inte någon ändring i det avseendet.

6. Behandling i databaser

Vi redogör i 5 kap. för vilka bestämmelser som vi anser skall gälla generellt för behandling av personuppgifter och andra uppgifter i skatteförvaltningens, exekutionsväsendets och Tullverkets verksamheter. I detta kapitel redovisar vi vår inställning till sådan automatiserad behandling av uppgifter som utförs för gemensamma ändamål inom ett verksamhetsområde, dvs. behandling i databaser. Från integritetssynpunkt är det viktigt att stora uppgiftssamlingar som hanteras av myndigheter och som ger möjligheter till sammanställningar av en rad olika uppgifter om enskilda personer, omgärdas av särskilda skyddsregler. För behandling av uppgifter i databaser bör därför särskilda bestämmelser gälla på en rad punkter. Det är fråga om vilka uppgifter som får behandlas, vilken åtkomst myndigheter och andra skall ha till uppgifterna samt vilka regler som skall gälla för bevarande och gallring. Dessutom finns det särskild anledning att titta närmare på vad som bör gälla vid behandling av personuppgifter och andra uppgifter i datoriserade ärendehanteringssystem, eftersom sådana system kan komma att innehålla stora mängder uppgifter av varierande slag i form av handlingar som kommer in till myndigheter från enskilda och beslutshandlingar m.m. som upprättas av myndigheter.

6.1. Vad är en databas?

Vårt förslag: I en myndighets eller en myndighetsorganisations verksamhet skall det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för vissa angivna ändamål (databas).

6.1.1. Databaser för automatiserad behandling

I dag används i stor omfattning datorer hos myndigheter. Det gäller allt från enkel ordbehandling till sofistikerade ärendehanteringssystem som i det närmaste innebär en papperslös hantering av ärenden. Det före-

kommer även att beslut fattas automatiskt i ett datasystem utan direkt mänsklig inblandning. Flera myndigheter – däribland de som omfattas av vårt uppdrag – har tillgång till datorbaserade personregister som används som informationsdatabaser vid handläggning av ärenden och i vissa fall som lagringsenheter för beslut och andra upprättade eller inkomna handlingar. En väsentlig skillnad mellan databehandling i personregister och vanlig ordbehandling, är att registren utnyttjas gemensamt i verksamheten inom en myndighet eller myndighetsorganisation. Medan ordbehandling kan sägas vara ett hjälpmedel för en handläggare, eller andra vid en myndighet, i själva upprättandet av handlingar – närmast en avancerad skrivmaskinsfunktion – utgör personregistren ett allmänt hjälpmedel vid handläggningen av ärenden m.m. genom att det underlättar framtagandet av underlag för olika beslut.

Enligt vår mening måste det för skatteförvaltningen, exekutionsväsendet och Tullverket finnas särskilda regelverk för sådan automatiserad behandling av personuppgifter som inte utgörs av ordbehandling och som inte är av helt tillfällig natur. De stora gemensamma uppgiftssamlingar hos myndigheter som dagens personregister och ärendehanteringssystem utgör, innebär på grund av de tekniska möjligheterna att söka i materialet och göra sammanställningar om registrerade personer en påtaglig risk för otillbörliga intrång i enskildas personliga integritet. Den risken blir än större i de fall myndigheter sambearbetar egna uppgifter med uppgifter från andra myndigheter. Från integritetssynpunkt finns det därför enligt vår mening starka skäl för att skapa tydliga regler om vad som är tillåtet i fråga om sådan behandling.

I och med genomförandet av dataskyddsdirektivet i svensk lagstiftning har begreppsapparaten vid ADB-hantering ändrats. I den grundläggande skyddslagstiftningen, personuppgiftslagen (1998:204), talas det inte längre om förande av personregister, utan om behandling av personuppgifter. För att särskilja den rättsliga regleringen av sådan automatiserad behandling som i dag görs i uppgiftssamlingar för gemensamt bruk, dvs. personregister och ärendehanteringssystem, från den automatiserade behandlingen av uppgifter i allmänhet, t.ex. ordbehandling, har vi valt att införa begreppet databas i lagstiftningen (se avsnitt 4.4). Avgörande för vilka gallringsfrister som gäller och i vilken omfattning känsliga personuppgifter får behandlas m.m., bör vara om uppgifter behandlas i en databas eller inte.

I teorin skulle en databas för en viss verksamhet kunna delas in i två underdatabaser. Databaser, som vi ser dem, kan nämligen sägas bestå av dels en eller flera samlingar av enskilda kortfattade uppgifter som används för att få fram underlag till beslut i verksamheten (informationsdatabaser), dels handlingar som kommer in eller upprättas i ett ärende och som bearbetas och lagras i ett ärendehanteringssystem (ären-

dedatabaser). Traditionellt har personregister i praktiken utgjorts av egentliga informationsdatabaser, men i och med framväxten av avancerade ärendehanteringssystem har även ärendedatabaser inordnats i lagstiftningen om personregister, t.ex. i skatteregisterlagen. Vi är tveksamma till en sådan utveckling, vilket är en av orsakerna till vårt förslag att införa begreppet databas i lagstiftningen. Vi har emellertid inte funnit anledning att i den av oss föreslagna lagstiftningen göra någon begreppsmässig åtskillnad mellan olika funktioner i en databas. Däremot finns det enligt vår mening skäl för att i vissa delar ha olika regler för de olika funktionerna. Det gäller frågor om vilka uppgifter som får registreras samt i vilken omfattning direktåtkomst skall tillåtas till uppgifterna, vilket vi utvecklar skälen för i avsnitt 6.4 och 6.7.

Sammanfattningsvis måste det enligt vår mening för skatteförvaltningen, exekutionsväsendet och Tullverket finnas särskilda regler för sådan automatiserad behandling av personuppgifter som inte utgörs av ordbehandling och som inte är av helt tillfällig natur. Av integritetsskäl bör det skapas tydliga regler om vad som är tillåtet vid sådan behandling.

6.1.2. Gemensam användning av uppgifter

För att begreppet databas skall vara praktiskt användbart på vissa särreglerade uppgiftssamlingar hos en myndighet eller inom en myndighetsorganisation, krävs att det är möjligt att avgöra var gränslinjen går mellan behandling i en databas och annan behandling, t.ex. ordbehandling. En grundläggande förutsättning för att en elektroniskt lagrad uppgift skall anses ingå i en databas, är enligt vår mening att uppgiften av myndigheten eller myndighetsorganisationen används gemensamt i en viss verksamhet för de ändamål som styr behandlingen av uppgifter inom verksamheten. Det väsentliga är inte på vilket sätt uppgiften tekniskt lagras, utan den faktiskt åsyftade tillgängligheten. Det avgörande för om en uppgift används gemensamt av en myndighet eller en myndighetsorganisation och därmed utgör en beståndsdel i en databas, är således om den behandlas på ett sätt som medför att den utgör ”allmän egendom” i verksamheten. Att olika personalkategorier har olika behörighet och att vissa uppgifter därför i praktiken är åtkomliga endast för ett begränsat antal personer hos olika myndigheter inom en myndighetsorganisation, förtar enligt vår uppfattning i sig inte uppgifternas egenskap som gemensamma. Detsamma gäller om vissa uppgifter görs åtkomliga endast för handläggare inom en regional myndighet.

En uppgift som registreras och lagras i ett datasystem på ett sådant sätt att tjänstemännen inom en eller flera myndigheter har möjlighet att

vid behov och i olika sammanhang – t.ex. i samband med handläggningen av ett ärende – ta del av uppgiften direkt på automatiserad väg måste således anses gemensamt tillgänglig och därmed utgörande en del av en databas. Detta är vad som gäller i dag för de uppgifter som lagras inom ramen för olika författningsreglerade personregister hos skatteförvaltningen, exekutionsväsendet och Tullverket. Som exempel kan nämnas att uppgifter om en persons identitet eller taxerade inkomst för ett visst år kan återfinnas av tjänstemän genom sökning i ett skatteregister enligt skatteregisterlagen (1980:343) och användas som underlag vid handläggningen av ett taxeringsärende.

En uppgift som lagras elektroniskt på hårddisken i en dator eller i en server hos en myndighet i samband med att en tjänsteman arbetar med ordbehandling, och som normalt är åtkomlig endast för tjänstemannen själv och exempelvis systemadministratören vid myndigheten, kan däremot inte anses vara gemensamt tillgänglig. Syftet med sådan tillfällig behandling är inte att uppgifterna som lagras i datorn skall användas av andra än den som utför behandlingen. Det förhållandet att systemadministratören – eller en annan tjänsteman vid myndigheten eller inom myndighetsorganisationen – kan få åtkomst till uppgiften genom ett visst tekniskt förfarande, kan inte anses innebära att uppgiften som sådan är lagrad för att användas gemensamt i verksamheten. Inte heller innebär det förhållandet att en uppgift behandlas tillfälligt i en dator med det uttalade syftet att den senare skall ”matas in” i systemet och göras gemensam, att den är en del av databasen. Däremot kommer uppgiften att omfattas av det särskilda regelverket för en databas när den väl är registrerad i det gemensamma systemet. Ett exempel på en sådan situation kan vara att vissa ekonomiska uppgifter avseende en person behandlas i ett särskilt program med syfte att få fram ett resultat i ett ärende, t.ex. personens sammanlagda inkomst. När resultatet har uppnåtts registreras beloppet enligt ett fastställt förfarande som en ”fältuppgift” i det gemensamma datasystemet och blir därmed en del av databasen, medan de uppgifter som legat till grund för beräkningarna raderas eller lagras elektronisk på annat sätt, t.ex. som ett enskilt dokument i myndighetens server.

I de flesta fall ser vi inga problem med att bedöma om en uppgift behandlas gemensamt eller inte. I princip görs samma gränsdragning redan i dag när det skall avgöras om en uppgift ingår i ett visst författningsreglerat personregister eller inte. En tjänsteman på en skattemyndighet kan utan problem avgöra om han för tillfället arbetar med uppgifter direkt i ett skatteregister enligt skatteregisterlagen eller om han arbetar med uppgifter i ett ordbehandlingsdokument. Det kan förväntas, och ställas krav på, att datasystemen inom en myndighetsorganisation konstrueras på ett sådant sätt att några tvivel om huruvida en viss

uppgift ingår i en databas inte uppstår i samband med att den förs in. Den personuppgiftsansvarige har naturligtvis också ett stort ansvar för att gränsdragningsproblem inte uppstår på grund av brister i den tekniska utformningen av ett datasystem.

Det kan emellertid förekomma situationer där gränsdragningen mellan behandling i databaser och annan behandling inte är helt självklar, nämligen när en uppgift inte ingår i ett för myndigheten eller myndighetsorganisationen gemensamt nätverk men ändå är tillgänglig för flera tjänstemän vid en eller flera myndigheter. Som exempel kan tas situationen att en arbetsgrupp inom skatteförvaltningen – bestående av ett antal tjänstemän vid en eller flera regionala myndigheter – samarbetar för att kontrollera eller revidera företag som ingår i ett regionöverskridande projekt. Att en sådan arbetsgrupp behandlar uppgifter som är internt åtkomliga endast inom arbetsgruppen, t.ex. genom ett särskilt nätverk, medför inte att uppgifterna kan anses ingå i databasen för beskattningsverksamheten. När en arbetsgrupp är avgränsad på ett sådant sätt att det kan förutses att endast ett begränsat antal personer kan ta del av de uppgifter som behandlas och att detta sker för ett bestämt och begränsat syfte, kan uppgifterna enligt vår mening inte anses gemensamt använda inom skatteförvaltningen. Om uppgifterna däremot behandlas i ett för förvaltningen gemensamt nätverk och åtkomsten till uppgifterna inte är begränsad till arbetsgruppen utan andra tjänstemän kan ta del av dem i olika syften, måste behandlingen anses ske inom den rättsliga ramen för databasen.

När uppgifter som är införda i ett datasystem och gemensamt tillgängliga i en viss verksamhet, dvs. ingår i en databas, sambearbetas med varandra i det gemensamma systemet, skall behandlingen göras i enlighet med det för databasen gällande regelverket. Som exempel kan nämnas att en myndighet i ett urvalsförfarande gör sammanställningar av personer genom att i ett sökprogram som används i det gemensamma systemet ge variabler som utgörs av uppgifter införda i databasen, t.ex. ålder, inkomst och fastighetsinnehav. Framtagandet av en sådan sammanställning utgör en eller flera behandlingar i databasen och de särskilda bestämmelserna som gäller för sådan behandling skall därför tillämpas.

Om däremot uppgifter som är införda i en databas sambearbetas med externa uppgifter – dvs. uppgifter som inte är registrerade i databasen – genom att de hämtas från databasen och därefter, utanför det gemensamma systemet, behandlas tillsammans med de externa uppgifterna, skall i stället de allmänna bestämmelserna om behandling av personuppgifter i myndighetens verksamhet tillämpas. En sådan situation kan uppstå när en myndighet på plats i ett kontrollärende vill jämföra eller på andra sätt bearbeta uppgifter som har hämtats in i kontroll-

ärendet mot uppgifter som tidigare har lämnats och förts in i en databas. Uppgifter som ingår i databasen kan då i förväg kopieras från det gemensamma datasystemet till en dator som används av en enskild tjänsteman och därefter behandlas tillsammans med de externa uppgifterna (se mer om detta i avsnitt 9.2 om taxeringsrevisioner m.m.). Situationen kan jämföras med att uppgifter i en databas lämnas ut på medium för automatiserad behandling till en utomstående myndighet och därefter behandlas i den senares verksamhet. Även i en sådan situation kommer andra bestämmelser att gälla när uppgifterna ”lämnar” databasen. Det skulle emellertid strida mot den föreslagna lagstiftningen att kopiera delar av en databas och göra behandlingar vid sidan av det gemensamma datasystemet, endast för att på det sättet kringgå bestämmelser som gäller för behandling av uppgifter i databasen.

Det är inte möjligt att i lagstiftningen dra någon exakt gräns för när en viss behandling skall anses ske i en databas och därmed omfattas av det särskilda regelverket för denna. Inte minst beror detta på att det inte är möjligt att förutse den tekniska utvecklingen inom dataområdet och de möjligheter som kan öppna sig i fråga om informationsöverföring. I nuläget kan det dock förväntas att den behandling som kommer att utföras inom ramen för en databas, motsvarar den behandling som i dag görs inom ramen för de författningar – och flertalet tillstånd från Datainspektionen – som reglerar personregister hos olika myndigheter.

Sammanfattningsvis är det enligt vår mening en grundläggande förutsättning för att elektroniskt lagrade uppgifter skall anses ingå i en databas, att uppgifterna av myndigheten eller myndighetsorganisationen används gemensamt i en viss verksamhet för de ändamål som skall styra behandlingen av uppgifter inom verksamheten.

6.1.3. Koncept och minnesanteckningar m.m.

Enligt 2 kap. 3 § tryckfrihetsförordningen (TF) är en handling allmän när den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten. Handlingar i form av upptagningar som kan uppfattas endast med hjälp av tekniskt hjälpmedel, t.ex. elektroniskt lagrade uppgifter, anses förvarade hos en myndighet om upptagningarna är tillgängliga för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att de kan läsas eller på annat sätt uppfattas. Enligt 2 kap. 6 och 7 §§ TF är en handling upprättad hos en myndighet när den har expedierats av myndigheten, medan den – i fråga om tekniska upptagningar – anses inkommen till en myndighet när den har gjorts tillgänglig där på ett sådant sätt att den kan anses förvarad av myndigheten.

Innebörden av nämnda bestämmelser är att upptagningar som görs gemensamt tillgängliga för flera myndigheter i ett datasystem anses utgöra allmänna handlingar hos myndigheterna. Det spelar i det avseendet ingen roll om upptagningarna utgör en del av ett beslutskoncept eller minnesanteckningar. Om ett beslutskoncept görs gemensamt tillgängligt för flera myndigheter, utgör det alltså enbart av den anledningen en allmän handling. Att hantera elektroniska uppgifter på ett sådant sätt skulle inte ligga i linje med myndigheternas generella skyldighet att upprätthålla en god offentlighetsstruktur bland sina handlingar. Med god offentlighetsstruktur avses grovt förenklat bl.a. att allmänna handlingar skall kunna särskiljas från arbetsmaterial och att offentliga handlingar skall kunna särskiljas från sådana som kan bli föremål för sekretess (Data- och offentlighetskommittén har diskuterat innebörden av begreppet ingående i betänkandet Integritetsskyddet i informationssamhället 5, SOU 1988:64 s. 224 ff.). Det gemensamma och effektiva användandet av datasystem får därför inte sträckas så långt att beslutskoncept eller andra handlingar som inte fått sin slutliga utformning görs gemensamt tillgängliga. Detsamma gäller naturligtvis även för arbetsmaterial, minnesanteckningar o.d., som i många fall inte alls bör göras allmänna utan rensas innan handlingarna i ett ärende tas om hand för arkivering.

6.2. Ändamålen med behandlingen

Vårt förslag: Klara och tydliga ändamål för behandling av personuppgifter och andra uppgifter i databaser skall anges i lag. Uppgifter skall få behandlas endast för de angivna ändamålen.

6.2.1. Behovet av klara ändamål

Bestämmelser om för vilka ändamål uppgifter i statliga personregister får användas intar en central roll i dagens registerförfattningar. Det är genom att ange ändamålen och reglera vilka uppgifter som får registreras, som ramen för hanteringen av personregister sätts upp. Betydelsen av klara ändamålsbestämmelser har inte minskat genom dataskyddsdirektivets tillkomst. Tvärtom är ett av de viktigaste inslagen i direktivet att personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål samt att uppgifterna senare inte får behandlas för något ändamål som är oförenligt med de för vilka uppgifterna

samlades in (artikel 6.1a). Uppgifterna i en databas måste alltså behandlas i enlighet med de för databasen angivna ändamålen.

En följd av detta är att helt nya förutsättningar gäller för s.k. samkörningar, som har ansetts särskilt integritetskänsliga. I datalagen (1973:289) uppställdes krav för inrättande och förande av ett personregister som skulle innehålla personuppgifter som inhämtats från ett annat personregister. Sådan samkörning av register krävde Datainspektionens tillstånd om inte registreringen eller utlämnandet av uppgifterna gjordes med stöd av författning, Datainspektionens beslut eller den registrerades medgivande. Innebörden av den ovan nämnda artikeln i dataskyddsdirektivet är att samkörning mellan olika register – eller mer korrekt sambearbetning av uppgifter från olika register eller databaser – anses utgöra en form av behandling vilken rättsligt inte skiljer sig från annan behandling. I direktivet tas inte någon direkt hänsyn till de särskilda integritetsproblem som är förknippade med behandling i form av sambearbetning mellan olika uppgiftsdatabaser. Under förutsättning att insamlandet, utlämnandet och den senare behandlingen av uppgifterna står i överensstämmelse med ändamålen för registren eller databaserna, föreligger inga hinder för sådan sambearbetning. Det krävs således inte något särskilt författningsstöd eller tillstånd för att uppgifter i en databas skall kunna sambearbetas med uppgifter i en annan databas. Denna nya situation ställer särskilt höga krav på att ändamålsbestämmelserna i de lagar som reglerar behandling av personuppgifter i myndighetsverksamhet är utformade på ett sådant sätt att det klart framgår för vilka syften uppgifter får behandlas.

6.2.2. Primära och sekundära ändamål

Vid en närmare analys av ändamålen med de olika personregister som omfattas av vårt uppdrag, kan konstateras att ändamålen kan indelas i två kategorier. Den första kategorin utgörs av ändamål som är direkt anpassade till den verksamhet som bedrivs av registeransvariga myndigheter. Som exempel kan nämnas att ett av de angivna ändamålen i skatteregisterlagen är taxering enligt taxeringslagen (1990:324), vilket naturligtvis är en grundläggande del av beskattningsverksamheten. Vi kallar detta primära ändamål. Den andra kategorin består av ändamål som kan hänföras till andra myndigheters eller enskildas verksamhet. För att återigen ta skatteregisterlagen som exempel, så anges där att skatteregister får användas för utredningar i kronofogdemyndigheternas exekutiva verksamhet. Detta kallar vi sekundära ändamål.

De primära ändamålen bör enligt vår mening styra vilka uppgifter som skall få föras in i en databas. För att en uppgift skall få finnas i en

myndighets databas, måste uppgiften med andra ord vara av betydelse i myndighetens egen verksamhet. En myndighet skall inte kunna registrera olika kategorier av uppgifter endast av det skälet att uppgifterna eventuellt kan vara till nytta i något sammanhang, utan behovet av varje typ av uppgift som registreras måste kunna konstateras. Däremot kan det naturligtvis inte ställas krav på att en myndighet i förväg skall kunna bedöma om varje enskild uppgift rörande en viss person kommer att användas i verksamheten. En följd av att de primära ändamålen enligt vår uppfattning skall vara styrande för vilka uppgifter som får behandlas i en databas, är att det inte bör vara tillåtet att i en databas som inrättas för exempelvis skattemyndigheternas beskattningsverksamhet behandla uppgifter som inte behövs i den verksamheten, utan som endast är till nytta för t.ex. kronofogdemyndigheterna i deras exekutiva verksamhet. En ytterligare följd av att det är de primära ändamålen som styr vilka uppgifter som får behandlas, är att en uppgifts riktighet bör bedömas med de primära ändamålen som utgångspunkt, något som är av betydelse när fråga uppstår om en uppgift som behandlas i en databas skall rättas (se vidare i avsnitt 7.2.2). Principen bör således vara att behovet av uppgifter i den egna verksamheten skall vara avgörande för innehållet i en myndighets databas. Härigenom förhindras att det hos en myndighet växer fram omfattande samlingar av uppgifter som rör helt skiftande förhållanden utan anknytning till den egentliga verksamheten.

Vid tillkomsten av dagens registerförfattningar har tillämpats en princip som innebär att andra myndigheter än de för vilkas räkning ett personregister förs inte får ha direktåtkomst till registret, om inte de ändamål för vilka den utomstående myndigheten skall använda uppgifterna anges i den författning som reglerar personregistret. Som exempel kan återigen nämnas skatteregisterlagen, där det som stöd för att kronofogdemyndigheterna får ha direktåtkomst till uppgifter anges som ett ändamål att skatteregister får användas för utredningar i kronofogdemyndigheternas exekutiva verksamhet. Vi ansluter oss helt till uppfattningen att det är väsentligt från integritetssynpunkt att direktåtkomst inte förekommer till en databas utan att det av den lag som reglerar databasen klart framgår av ändamålen att ett sådant utlämnande inte strider mot syftet med lagen (se mer om detta i avsnitt 6.7).

Från denna grundläggande princip gör vi emellertid undantag för två särskilda former av direktåtkomst. Det gäller i första hand möjligheten för regeringen att meddela föreskrifter om direktåtkomst för enskilda till uppgifter om sig själva. Denna möjlighet föreslår vi skall finnas för samtliga databaser som omfattas av våra lagförslag (se avsnitt 6.7.5). För beskattningsdatabasen samt val- och folkomröstningsdatabasen föreslår vi dessutom att regeringen skall ha möjlighet att meddela föreskrifter om allmän direktåtkomst till vissa uppgifter av allmänt intresse (se

avsnitt 8.1.4 och 8.3.4). Gemensamt för dessa båda former av direktåtkomst är att det inte är möjligt att slå fast särskilda och konkreta ändamål för vilka uppgifterna får lämnas ut. Vi anser emellertid att direktåtkomst i dessa fall bör kunna accepteras utan att det står i uttrycklig överensstämmelse med ändamålen för respektive databas. Anledningen är, i fråga om uppgifter som enskilda tar del av om sig själva, att det finns ett direkt samtycke till utlämnandet i och med att de enskilda själva avgör om de skall ta del av uppgifterna. Det föreligger därför enligt vår uppfattning inte någon fara från integritetssynpunkt att lämna ut uppgifterna. En förutsättning för att allmän direktåtkomst till vissa uppgifter skall få förekomma är enligt vår bestämda uppfattning att det rör sig om uppgifter av allmänt intresse och att uppgifterna inte är känsliga från integritetssynpunkt. Under nämnda förutsättningar bör även i de fallen uppgifter kunna lämnas ut genom direktåtkomst trots att det inte uttryckligen framgår av ändamålen med databaserna.

Sekundära ändamål bör enligt vår mening även komma till uttryck i lagstiftningen i de fall det går att förutse att innehållet i en databas kommer att regelmässigt användas av andra myndigheter eller i annan författningsreglerad verksamhet, även om det inte sker genom direktåtkomst. En uppräkning av sekundära ändamål som inte avser utlämnande med hjälp av direktåtkomst kan inte bli uttömmande, eftersom det inte är möjligt att förutse samtliga de situationer då uppgifter med stöd av exempelvis sekretesslagen kan komma att lämnas ut till myndigheter eller andra för olika ändamål. I de fall då utlämnande kan komma att ske från en databas i enlighet med särskilt författningsstöd eller då det är möjligt att förutsäga att uppgifter kommer att lämnas ut i större omfattning, är vi av den uppfattningen att det från upplysningssynpunkt finns skäl att markera dessa användningsområden genom de sekundära ändamålen.

6.3. Vilka uppgifter får behandlas i en databas?

Vårt förslag: Det skall finnas uttryckliga bestämmelser om för vilka personer uppgifter får behandlas i en databas och vilka kategorier av uppgifter som får förekomma om dessa personer. En uppgift skall få behandlas endast om uppgiften behövs i den verksamhet för vilken databasen inrättas.

Det skall särskilt anges under vilka förutsättningar känsliga personuppgifter och uppgifter om lagöverträdelser m.m. får behandlas i en databas.

6.3.1. Personer om vilka uppgifter får behandlas

Personuppgifter definieras i personuppgiftslagen som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Förutom personuppgifter kan det i en databas förekomma uppgifter som är hänförliga till juridiska personer eller avlidna fysiska personer. Gemensamt för i stort sett samtliga uppgifter är alltså att de kan hänföras till någon eller några personer som på något sätt är eller har varit föremål för åtgärder från en myndighets sida eller som av andra skäl omfattas av myndighetens verksamhet. Vad som gäller för uppgifter av rent teknisk eller administrativ karaktär återkommer vi till i avsnitt 6.3.4.

Med hänsyn till att ett av de främsta syftena med lagstiftning om behandling av personuppgifter är att skydda mot otillbörliga intrång i den personliga integriteten, måste enskilda direkt i lagstiftningen kunna få en överblick av om de finns eller kan finnas registrerade hos en viss myndighet. Enligt vår mening bör det därför direkt i lag slås fast för vilka personer det över huvud taget kan bli aktuellt med behandling av personuppgifter eller andra uppgifter. En ordning där det endast anges vilka uppgifter som får behandlas utan att personkretsen uttryckligen pekas ut – något som är vanligt i dagens registerförfattningar – innebär nämligen att enskilda inte på ett enkelt sätt kan få en uppfattning av om de kan vara registrerade, utan de måste sluta sig till detta genom att konstatera vilka olika uppgifter som behandlas. En sådan ordning blir än mer olämplig i lagstiftning där det inte direkt av lagen går att utläsa närmare vilka uppgifter som får behandlas om en person (se avsnitt 6.3.2). Även om det inte på samma sätt går att åberopa integritetsskäl för det, bör enligt vår mening den för behandling aktuella personkretsen anges även i de fall då den registrerade är en juridisk person.

6.3.2. Uppgifter som får behandlas

I avsnitt 4.3.5 diskuterar vi frågan om detaljreglering av vilka uppgifter som får behandlas på automatiserad väg hos myndigheter. Vi redovisar där som vår inställning att den främsta uppgiften för en lag om behandling av personuppgifter bör vara att slå fast grundläggande principer för behandlingen och inte att i detalj reglera vad som får registreras. Det främsta skälet för en sådan ordning är att det i de flesta fall – på grund av förändringar i materiell lagstiftning och verksamhetsinriktning – är omöjligt att förutse exakt vilka uppgifter en myndighet kan behöva registrera för att verksamheten skall fungera på ett tillfredsställande sätt, vilket leder till omfattande lagändringsarbete efter hand som nya uppgifter behöver tillföras. För att detaljreglering av innehållet i en databas skall kunna undvikas krävs dock enligt vår uppfattning att de ändamål för vilka uppgifter får behandlas är tydliga (se avsnitt 6.2). Vi är även av den bestämda uppfattningen att det är viktigt att uppgifter får registreras endast för att tillgodose de primära ändamålen med en databas, nämligen att vara till hjälp i den verksamhet som den registrerande myndigheten bedriver. Uppgifter skall således inte få föras in i en viss databas endast av det skälet att de kan vara till nytta för andra myndigheter än de som är personuppgiftsansvariga. Ett motsatt ställningstagande skulle enligt vår uppfattning kunna leda till en icke önskvärd sammanblandning av uppgifter som behandlas på automatiserad väg i olika verksamheter. Vi föreslår därför att denna förutsättning för behandling av uppgifter kommer till direkt uttryck i lagstiftningen.

För att det redan på en övergripande nivå skall gå att utläsa vad som finns eller kan finnas registrerat om enskilda i en databas, bör enligt vår mening i lag anges en ram för det tillåtna vid sidan av ändamålsbestämmelserna. Vi anser det lämpligt att ange vilka kategorier av uppgifter som får finnas i en databas, medan den specifika beskrivningen av uppgifterna med fördel kan återfinnas i en förordning eller, om regeringen bestämmer det, i myndighetsföreskrifter. För vissa databaser är det emellertid möjligt att förutse vilka uppgifter som det finns anledning att registrera. Det gäller främst databaser som förs för verksamheter i vilka ändringar i materiella regelverk inte i någon högre grad påverkar vilka uppgifter som måste registreras. Som exempel kan nämnas folkbokföringen. I de fallen finns det enligt vår uppfattning skäl för att redan i den grundläggande lagstiftningen mer i detalj ange vad som får återfinnas i databasen.

6.3.3. Känsliga personuppgifter m.m.

Vid behandling av personuppgifter intar vissa uppgiftskategorier en särställning. Det gäller känsliga personuppgifter och uppgifter om lagöverträdelser m.m. Vi har i avsnitt 5.2 redovisat hur vi anser att sådana uppgifter skall hanteras vid behandling som inte sker i en databas. När det gäller behandling i en databas måste åtskillnad göras mellan registrering av uppgifter i elektroniska handlingar i ärendehanteringssystem och annan registrering. Hur känsliga personuppgifter m.m. bör hanteras när de ingår i elektroniska handlingar redogör vi för i avsnitt 6.4.

Vid registrering av mer traditionell karaktär, dvs. när uppgifter förs in i en databas för att kunna vara sökbara och användbara vid den allmänna ärendehanteringen och verksamhetsdriften hos en myndighet (informationsbaserad hantering), bör enligt vår mening känsliga personuppgifter och uppgifter om lagöverträdelser m.m. över huvud taget inte få förekomma om det inte finns starka skäl för det. I princip finns det endast ett acceptabelt skäl, nämligen att det är nödvändigt för att myndigheten skall kunna bedriva sin verksamhet. Vi är av den bestämda uppfattningen att det är av avgörande betydelse från integritetssynpunkt att det i en myndighets databas inte finns allmänt sökbara uppgifter som avslöjar enskildas etniska härkomst eller sexuella läggning m.m. om detta inte är motiverat av verksamheten. När det gäller denna kategori av uppgifter anser vi därför att det i lagstiftningen finns skäl att frångå den princip som vi annars förespråkar avseende regleringen av vad som får behandlas i en databas. Känsliga personuppgifter och uppgifter om lagöverträdelser bör få behandlas i en databas endast om det är särskilt angivet i den lag som reglerar behandlingen av personuppgifter. Vi föreslår därför att det i lagen antingen uttryckligen anges vilka känsliga personuppgifter m.m. som får behandlas eller klart markeras att behandling av sådana uppgifter inte får förekomma.

6.3.4. Administrativa och tekniska uppgifter

I dag anges ofta i registerförfattningar och i tillstånd från Datainspektionen att ett personregister får innehålla de administrativa och tekniska uppgifter som behövs för den aktuella verksamheten.

Behandling av uppgifter som inte kan hänföras till de registrerade personerna, utan till myndigheters verksamhet, omfattas inte av den av oss föreslagna lagstiftningen. Enligt vår uppfattning utgör behandlingen av sådana uppgifter nämligen ett led i myndigheternas administrativa verksamhet (se om detta i avsnitt 4.3.3). Vid behandling av sådana uppgifter skall i stället personuppgiftslagen tilllämpas. Det hindrar emel-

lertid inte att administrativa uppgifter behandlas i samma datasystem som de uppgifter vilka används gemensamt för den materiella verksamheten. Administrativa uppgifter kan därför behandlas tillsammans med andra uppgifter i en databas utan särskilt stöd i lagstiftningen, under förutsättning att behandlingen sker i enlighet med ändamålen för databasen. Som exempel på vad vi anser utgöra rent administrativa uppgifter kan nämnas uppgift om till vilken enhet inom en myndighet ett visst ärende hör, uppgift om vem som handlägger ett visst ärende eller uppgift om vilka specialkunskaper en handläggare besitter. Sådana uppgifter kan enligt vår uppfattning inte hänföras till en enskild person som omfattas av en viss verksamhet, utan behandlas endast i syfte att fördela ärenden inom myndigheten. Däremot utgör en uppgift om en handläggare självfallet en personuppgift avseende handläggaren själv. De nu nämnda uppgifterna bör enligt vår mening, utan hinder av att det inte anges i lagstiftningen, kunna behandlas tillsammans med andra uppgifter i ett ärende.

Vissa uppgifter som behandlas av administrativa skäl, utgör emellertid samtidigt verksamhetsanknutna personuppgifter. Det kan exempelvis gälla uppgift om i vilken vallokal en person skall avlägga sin röst vid ett val. En sådan uppgift behandlas av administrativa skäl, men utgör samtidigt en upplysning om den röstberättigade. Detsamma kan enligt vår uppfattning gälla för en uppgift om särskild sekretessmarkering som registreras i samband med andra uppgifter om en person, och för vilka särskild försiktighet skall iakttas i samband med utlämnande. För den nämna kategorin av uppgifter bör vår lagstiftning vara tilllämplig. Vi anser dock inte att det är nödvändigt att i lagstiftningen uttryckligt ange att sådana i första hand administrativa uppgifter får behandlas i en databas.

Avgörande för bedömningen av om en administrativ uppgift som behandlas i ett gemensamt datasystem omfattas av bestämmelserna i lagförslagen, är således om uppgiften även kan anses utgöra personuppgift som har anknytning till den materiella verksamheten. Om en uppgift i en databas anses utgöra en rent administrativ uppgift eller om den även utgör en verksamhetsanknuten personuppgift, har betydelse för om information enligt 26 § personuppgiftslagen skall lämnas eller inte. Informationsskyldigheten avser nämligen endast personuppgifter och således inte rent administrativa uppgifter. För en verksamhetsanknuten personuppgift skall med andra ord de särskilda bestämmelserna om information i våra lagförslag tillämpas (se avsnitt 7.1.3).

Som vi nämner ovan kan även rent administrativa uppgifter utgöra personuppgifter i förhållande till den som uppgiften avser. En uppgift om en handläggares specialkunskaper är således en personuppgift om handläggaren. Om handläggaren av sin arbetsgivare begär information

enligt 26 § personuppgiftslagen, skall informationen därmed omfatta sådana uppgifter. I ett sådant fall skall emellertid de särskilda bestämmelserna om information i våra lagförslag inte tillämpas, utan endast bestämmelserna i personuppgiftslagen.

Behandling av uppgifter av teknisk karaktär som används uteslutande eller huvudsakligen för att ett datasystem skall fungera, t.ex. koder som anger på vilket sätt en viss uppgift skall lagras i systemet, anser vi inte heller behöver regleras särskilt. Sådana uppgifter har inte någon egentlig anknytning till innehållet i en databas utan utgör närmast en del av de tekniska lösningarna i ett datasystem, och får således registreras utan att det anges i den av oss föreslagna lagstiftningen. En förutsättning är dock att de tekniska uppgifterna, ensamma eller tillsammans med andra uppgifter, inte tillför någon saklig information som kan hänföras till de registrerade personerna.

6.4. Elektronisk ärendehantering

Vårt förslag: Handlingar som hör till ett ärende skall få behandlas i en databas. Sådana handlingar får innehålla de uppgifter som har lämnats i eller är nödvändiga för handläggningen av ärendet.

Vid sökning efter sådana handlingar får som sökbegrepp användas endast ärendebeteckning, beteckning på handling eller annan uppgift som behövs för att identifiera ett ärende eller en handling.

6.4.1. Allmänt om ärendehanteringen

Traditionellt kan ärendehantering hos myndigheter beskrivas på följande, mycket översiktliga, sätt. Handlingar som kommer in till eller upprättas hos en myndighet, och som kan hänföras till ett visst ärende, samordnas i en för ärendet särskilt upprättad akt. De handlingar som kommer in kan vara ansökningar, deklarationer, kompletteringar och bevisuppgifter m.m. De hos myndigheten upprättade handlingarna kan bestå av förfrågningar, förelägganden, tjänsteanteckningar efter muntliga kompletteringar, kallelser och beslut m.m. I normalfallet utgörs handlingarna i ett ärende av pappersark med text. Undantagsvis kan det dock röra sig om fotografier eller tekniska upptagningar, t.ex. kassetteller videoband med inspelade förhör eller liknande. Oavsett karaktären på handlingarna består de på något sätt av materiella objekt (pappersark, kassetter osv.) som fysiskt kan samordnas och systematiseras i en akt.

Den beskrivna ordningen tillämpas ofta även när datorer används av en myndighet, genom att hos myndigheten upprättade handlingar, som i och för sig utformas elektroniskt i ett ordbehandlingsprogram, tillförs ärendeakten i form av pappersutskrifter. Den elektroniska informationen som skapas, och ofta lagras, i datorn utgör alltså inte i egentlig mening en del av akten.

I och med datoriseringen har nya rutiner för ärendehanteringen utvecklats. I dag förekommer det att handlingar kommer in till myndigheter i elektronisk form. Det kan gälla t.ex. ansökningar eller deklarationer som lämnas in på diskett eller magnetband eller genom uppkopplingar på telenätet. Sådana handlingar kan lagras direkt i ett datasystem utan att det görs pappersutskrifter som tillförs en fysisk akt. Likaså kan myndighetens handlingar upprättas elektroniskt och lagras i ett datasystem. Det kan gälla allt från föreläggande till beslut. Inte heller dessa behöver nödvändigtvis tillföras en fysisk akt. De på detta sätt inkomna och upprättade elektroniska handlingarna i ett visst ärende kommer därmed att ingå i vad som kan kallas en elektronisk akt i datasystemet. En sådan akt måste naturligtvis vara sammanhållen på ett sätt som motsvarar en fysisk akt för pappershandlingar, t.ex. genom att allt material i de elektroniska akterna kan göras samlat tillgängligt med hjälp av sökbegrepp, ofta i form av ärendebeteckningar eller liknande.

Av 15 kap. 14 § sekretesslagen framgår att om en myndighet för handläggning av ett mål eller ärende använder sig av en upptagning för automatisk databehandling, skall upptagningen tillföras handlingarna i målet eller ärendet i läsbar form, om inte särskilda skäl föranleder annat. Detta innebär att det ofta förs elektroniska och fysiska akter parallellt med varandra, dvs. en form av dubbellagring. Det förekommer dock – och kan rimligen förväntas bli allt mer vanligt – att den enda akt som finns i ett ärende är den elektroniska.

Den elektroniska ärendehanteringen väcker många olika frågor. Bland annat kan äktheten hos de lagrade handlingarna vara svår att fastställa. Det kan även vara svårt att avgränsa vad som ingår i en elektronisk akt. Vidare finns det grundläggande problem med att fastställa vad som egentligen är en elektronisk akt, en elektronisk handling eller ett elektroniskt dokument.

6.4.2. Vad är elektroniska dokument, handlingar och akter?

Vad som avses med elektroniska handlingar och elektroniska dokument har diskuterats i flera sammanhang, bl.a. i TDL-utredningens betänkande Tullregisterlag m.m. (SOU 1989:20), Datastraffrättsutredningens

betänkande Information och den nya InformationsTeknologin (SOU 1992:110), Finansdepartementets promemoria Elektronisk dokumenthantering inom skatteförvaltningen (Ds 1994:80), IT-utredningens betänkande Elektronisk dokumenthantering (SOU 1996:40), Datalagskommitténs betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39) samt Statskontorets publikation Elektronisk ärende- och dokumenthantering (1997:8).

IT-utredningen föreslog i sitt betänkande att det i förvaltningslagen skulle införas definitioner av olika elektroniska företeelser, bl.a. elektronisk handling. Enligt det förslaget skulle elektronisk handling definieras som ”en bestämd mängd data som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel”. Förslaget har dock inte lett till lagstiftning. Begreppet elektronisk handling som sådant finns i dag över huvud taget inte i författningstext. Däremot har diskussionerna kring elektronisk dokumenthantering lett till att begreppet elektroniskt dokument numera är lagreglerat. Begreppet återfinns i ett flertal olika lagar, t.ex. tullagen (1994:1550) och lagen (1990:325) om självdeklaration och kontrolluppgifter, och har i det närmaste fått en enhetlig definition. I 12 § tullagen sägs att tulldeklarationer och andra handlingar under vissa förutsättningar får lämnas genom ett elektroniskt dokument ”med hjälp av automatisk databehandling”. Med ett elektroniskt dokument avses enligt lagen ”en upptagning vars innehåll och utställare kan verifieras genom ett visst tekniskt förfarande”. I 2 § lagen om självdeklaration och kontrolluppgifter sägs att självdeklarationer under vissa förutsättningar kan lämnas i form av ett elektroniskt dokument. Med elektroniskt dokument ”avses en upptagning som gjorts med hjälp av automatisk databehandling och vars innehåll och utställare kan verifieras genom ett visst tekniskt förfarande”.

Vad som mer precist avses med ett elektroniskt dokument har inte reglerats i lagtext. Det gäller främst vilket tekniskt förfarande som skall användas för att innehåll och utställare skall kunna verifieras. Anledningen är att det inte har ansetts lämpligt att närmare reglera detta, eftersom det tekniska området befinner sig under utveckling (se t.ex. prop. 1989/90:40 s. 27). Vad som dock är klart är att ett elektroniskt dokument som är infört i ett datasystem skall vara låst till sitt innehåll. Den som läser dokumentet (på utskrift eller terminal) skall med andra ord kunna vara säker på att det är originalinnehållet som återges. Likaså skall det vara möjligt att fastställa vem som har upprättat eller sänt in ett elektroniskt dokument. Den tekniska verifieringen av utställaren skall alltså motsvara en namnteckning på ett pappersdokument. Den här återgivna synen på elektroniska dokument får sägas vara väl etablerad och vi har inte funnit någon anledning att närmare utreda eller föreslå förändringar i fråga om detta begrepp. Av större intresse för oss är hur

begreppet – eller egentligen själva företeelsen – elektroniskt dokument skall inordnas i regleringen av behandling av personuppgifter.

Som nämnts ovan i detta avsnitt så har innebörden av termen elektroniska handlingar diskuterats vid flera tillfällen. Till skillnad mot vad som gäller för elektroniska dokument finns däremot i dag ingen legaldefinition av begreppet (se dock IT-utredningens ovan nämnda förslag på definition). Det torde emellertid vara en allmän uppfattning att begreppet elektronisk handling är vidare än det i författningar förekommande begreppet elektroniskt dokument. Det senare kan alltså sägas vara en (författningsreglerad) specialform av det tidigare. I vissa sammanhang har det även talats om att elektroniska dokument är en låst form av elektroniska meddelanden (prop. 1989/90:40 s. 27). Någon närmare utveckling av skillnaden – om någon alls är avsedd – mellan elektroniska meddelanden och elektroniska handlingar finns däremot inte. Även upptagningar har föreslagits som ett samlingsbegrepp för elektroniskt lagrade meddelanden som inte är låsta (Ds 1994:80).

Genom vad som framförts i olika sammanhang torde allmänt kunna konstateras att med elektroniska handlingar avses alla elektroniskt lagrade meddelanden eller upptagningar i ett ärende (se t.ex. Ds 1994:80 s. 114 ff. samt prop. 1994/95:93 s. 23 ff. och 1994/95:168 s. 14 ff). Det kan röra sig om elektroniska avbildningar av pappershandlingar – bildfångade och skannade handlingar – eller elektroniskt upprättade handlingar. Båda kategorierna torde kunna vara låsta, dvs. tekniskt utformade så att innehåll och eventuell utställare kan verifieras, eller icke låsta. Med icke låsta handlingar avses då alla elektroniska handlingar som inte utgör elektroniska dokument. Begreppet elektronisk akt har i ovan nämnda lagstiftningsärenden närmast använts som en samlingsbeteckning på de elektroniska handlingar som har kommit in eller upprättats i ett visst ärende. Jämförelser har även gjorts med de fysiska akter som upprättas vid traditionell ärendehantering, men någon mer ingående analys av begreppet har inte gjorts.

6.4.3. Inordnande av ärendehantering i databaser

Frågan om vad som skall innefattas i begreppen elektronisk handling respektive elektronisk akt har som framgår av redogörelsen i föregående avsnitt varit föremål för diskussioner vid flera tillfällen. En mer övergripande genomgång av närliggande frågor, som t.ex. anpassning av offentlighetsprincipen och tryckfrihetsförordningens begreppsapparat till IT-samhället, gjordes av Data- och offentlighetskommittén i betänkandet Integritetsskyddet i informationssamhället 5 (SOU 1988:64) samt av Datalagskommittén i betänkandet Integritet – Offentlighet –

Informationsteknik (SOU 1997:39). Någon definitiv bestämning av innebörden av begreppen elektronisk handling och elektronisk akt finns detta till trots inte i svensk lagstiftning. Nämnas kan även att en kommitté har tillkallats för att göra en översyn av bestämmelserna om allmänna handlingars offentlighet i syfte att vidga möjligheterna för offentlighetsprincipens tillämpning i IT-samhället (dir. 1998:32). I uppdraget ingår att utforma en lagstiftning som garanterar att allmänhetens tillgång till information skall vara oberoende av på vilket sätt myndigheterna har valt att dokumentera den. Det kan alltså förväntas att frågor om elektroniska handlingar m.m. kommer att aktualiseras på nytt i mer övergripande sammanhang.

Det är under sådana omständigheter tveksamt om det finns anledning för oss att i lagstiftning som rör endast ett fåtal myndigheter föreslå legaldefinitioner av begreppen elektroniska handlingar och akter. Vi väljer därför att avstå från sådana försök. Däremot finns det skäl att närmare utreda hur elektroniska ärendehanteringssystem skall kunna inordnas i lagstiftning av den karaktär som vi föreslår i fråga om behandling av personuppgifter.

Att i detalj beskriva vad en elektronisk handling är eller kan vara låter sig knappast göra. Att som i dagens lagstiftning (t.ex. skatteregisterlagen) skilja på uppgifter och handlingar i register kan ha ett pedagogiskt och lagtekniskt värde när olika bestämmelser skall gälla för de olika uppgiftskategorierna, men det är knappast en uttömmande beskrivning av verkligheten. För att det pedagogiska eller lagtekniska värdet skall uppnås måste det vara möjligt för en tillämpare att göra en avgränsning mellan de olika begreppen. Svårigheterna med detta kan exemplifieras på följande sätt. I en traditionell pappersakt hos skatteförvaltningen kan en handling bestå av en eller ett fåtal uppgifter, t.ex. ett papper med texten NN:s taxerade inkomst 1999: 250 000 kr. Motsvarande uppgift(er) skulle sannolikt kunna utgöra såväl en handling som en uppgift i ett automatiserat register. Avgränsningen kan alltså inte göras genom att ange att handlingar utgörs av flera sammanhängande uppgifter i löptext, medan uppgifter är just enskilda uppgifter.

I mer integrerade datasystem kan det vara svårt att direkt se skillnaden mellan handlingar och uppgifter, i den mån det alls finns en skillnad. Det ligger nära till hands för oss att med en elektronisk handling i en databas avse en avgränsad mängd elektroniskt lagrade uppgifter som är direkt hänförliga till ett specifikt ärende, dvs. i princip en del av en elektronisk akt i ett ärendehanteringssystem. Om man utgår från att en databas i princip består av två olika typer av uppgiftssamlingar, informationsbaserade och ärendebaserade (se avsnitt 6.1.1), skulle en sådan syn på begreppet för skatteförvaltningens del kunna exemplifieras på följande sätt. När en deklaration kommer in till en skattemyndighet kan

den bildfångas och placeras i en elektronisk akt avseende taxeringsärendet. Bilden av deklarationen kan återfinnas som en handling i ärendehanteringssystemet. Efter att taxering har beslutats kan uppgifter om taxerad inkomst m.m. föras in som särskilda poster i ett mer egentligt register, dvs. i den informationsbaserade delen av databasen. Dessa uppgifter kan sedan vara fritt sökbara utan anknytning till ett visst ärende, t.ex. när informationen behövs i samband med revision eller liknande. På motsvarande sätt kan man resonera när ett beslut upprättas, vilket kan exemplifieras på följande sätt. I ett omprövningsärende avseende ett avdrag för 1999 års taxering upprättas ett beslut på elektronisk väg hos skattemyndigheten. Av beslutet framgår att NN medges avdrag med 10 000 kr och att hans taxerade inkomst därmed fastställs till 250 000 kr. Detta beslut (beslutshandlingen) kan återfinnas i ärendehanteringssystemet som en del av ärendet. Själva uppgiften om den taxerade inkomsten – och eventuellt avdraget – kan sedan föras in som självständiga uppgifter i den informationsbaserade delen av databasen. Uppgifterna kan sedan vara sökbara på motsvarande sätt som i exemplet med deklarationen ovan.

Vi har inte funnit anledning att använda begreppet elektroniska handlingar i andra avseenden än när de utgör en del av ett specifikt ärende, dvs. när de ingår som en del av en akt i ett ärendehanteringssystem. Det är därför i den lagstiftning som vi föreslår ändamålsenligt att ange att en databas får innehålla handlingar som hör till ett ärende. Hur ett ärendehanteringssystem hos en myndighet är uppbyggt tekniskt är inte direkt relevant, utan det avgörande är om uppgifterna (handlingarna) kan hänföras till ett visst ärende. Av integritetsskäl är det dock enligt vår bestämda uppfattning nödvändigt att elektroniska handlingar hålls åtskilda från uppgifter i den informationsbaserade delen av databasen, eftersom det av olika skäl som vi redovisar i avsnitt 6.4.4 och 6.4.5 nedan inte bör vara tillåtet att utnyttja samma sökmöjligheter i fråga om handlingar som när vissa enskilda icke ärendeanknutna uppgifter eftersöks.

6.4.4. Känsliga personuppgifter m.m. i elektroniska handlingar

Vi redovisar i avsnitt 5.2.1 och 6.3.3 vår inställning till frågan om behandling av känsliga personuppgifter m.m. i allmänhet respektive vid informationshantering i databaser. När det gäller elektronisk ärendehantering är situationen densamma som vid traditionell hantering av ärenden, nämligen att det inte är möjligt för den handläggande myndigheten att påverka innehållet i de handlingar som kommer in till myn-

digheten. När inkomna handlingar förs in i ett ärendehanteringssystem kan således även känsliga personuppgifter komma att tas in i databasen. Det förekommer även att personer som inte berörs av ett ärende namnges i inkomna handlingar. För att inte omöjliggöra för myndigheter att bedriva en effektiv ärendehantering är det nödvändigt att sådan registrering är tillåten. Vi föreslår därför att elektroniska handlingar skall få innehålla samtliga de uppgifter som har lämnats i ett ärende. Någon begränsning av vad som får registreras i form av inkomna handlingar skall alltså enligt vår uppfattning inte finnas.

Motsvarande resonemang kan delvis föras i fråga om handlingar som upprättas av den handläggande myndigheten. När en myndighet skall fatta beslut i ett ärende måste hänsyn självfallet tas till det material som har kommit in. Det materialet utgör underlag för beslut. Det kan därför vara nödvändigt att i skälen för ett beslut, eller i andra handlingar som upprättas i ett ärende, återge sakomständigheter eller argument som innefattar uppgifter av vitt skilda slag. Att i författning ange att vissa kategorier av uppgifter inte får återges i beslut är därför inte vare sig möjligt eller önskvärt. Även i fråga om de handlingar som upprättas av myndigheten måste det därför finnas en stor frihet för registrering av uppgifter. I dessa fall finns det dock en möjlighet för myndigheten att påverka innehållet i handlingarna. Känsliga personuppgifter m.m. bör därför enligt vår uppfattning få finnas i handlingar som har upprättats av myndigheten endast om det är nödvändigt för handläggningen av ett ärende. Kravet på att det skall vara nödvändigt att behandla känsliga personuppgifter m.m., innebär inte att det krävs att det är omöjligt att hantera frågorna på annat sätt, t.ex. genom pappershantering eller genom att utelämna vissa delar av skälen för ett beslut. Vad som avses är att behandlingen av uppgifterna skall vara nödvändig för att myndigheten skall kunna sköta sina åligganden vid hanteringen av ärenden enligt gällande rutiner och regler.

6.4.5. Begränsade sökmöjligheter i ärendehanteringssystem

Behandlingen av känsliga personuppgifter m.m. i elektroniska ärendehanteringssystem kan innebära risker för otillbörligt intrång i den personliga integriteten. Vi anser därför att det i likhet med vad som gäller i dag är nödvändigt att ställa upp vissa särskilda regler för hanteringen av elektroniska handlingar. Det bör enligt vår uppfattning inte vara möjligt att i ett ärendehanteringssystem med hjälp av fria sökbegrepp göra sammanställningar av uppgifter i handlingar. Beroende på de tekniska förutsättningarna skulle en sådan möjlighet kunna innebära att samman-

ställningar skulle kunna göras av samtliga ärenden hos t.ex. en skattemyndighet, där de enskilda parterna i skrivelser som finns elektroniskt lagrade har åberopat psykisk sjukdom som skäl för t.ex. avdrag vid taxeringen eller undanröjande av förseningsavgift. Något behov av att kunna göra sammanställningar av den karaktären finns inte och bör enligt vår mening av integritetsskäl inte heller tillåtas. Därför bör det sättas upp begränsningar för sökmöjligheterna i ärendehanteringssystem. För att ärendehanteringen skall kunna skötas på ett effektivt sätt är det dock nödvändigt att handläggare ges möjlighet att söka efter såväl ett ärende som enskilda handlingar, t.ex. med angivande av ärendebeteckning eller beteckning på en specifik handling. Däremot anser vi att integritetsskälen väger tyngre än effektivitetsskälen när det gäller mer sofistikerade eller exakta sökmöjligheter. Vid sökning efter en handling i databasen bör därför få användas endast ärendebeteckning, beteckning på handlingen eller andra uppgifter, t.ex. personnummer, som behövs för att identifiera ett ärende eller en handling.

Däremot finns det enligt vår bedömning skäl att se annorlunda på saken när en handling är identifierad och direkt tillgänglig för handläggaren. Att i den situationen inte tillåta de sökmöjligheter som redan i dag ges i ordbehandlingsprogram, t.ex. för att finna ett speciellt textavsnitt, framstår inte som befogat. Det är av effektivitetsskäl inte rimligt att en handläggare när han arbetar med en omfattande elektronisk handling i ett ärende skall lägga ner tid på att på egen hand söka sig fram till ett önskat textavsnitt, i stället för att genom ett enkelt sökkommando låta datasystemet utföra det arbetet. Några faror från integritetssynpunkt med att tillåta ett sådant förfarande föreligger knappast. De uppställda sökbegränsningarna bör gälla vid sökning efter handlingar, men inte i desamma när de väl har identifierats.

Till elektroniska akter hör ofta ett indexregister, dvs. ett dagboksblad eller motsvarande, av vilket framgår vilka handlingar som finns i akten. Om ett sådant register är en integrerad del av ett ärendehanteringssystem, och således en del av den elektroniska akt som det avser, omfattas registret enligt våra förslag av samma regler som övriga handlingar i akten. Under förutsättning att ett indexregister inte innehåller känsliga personuppgifter eller andra uppgifter som endast får förekomma i handlingar som hör till ett ärende, föreligger dock inga hinder från integritetssynpunkt mot att uppgifterna även behandlas i den informationsbaserade delen av en databas. Ett sådant förfarande innebär att indexregistret kan göras tillgängligt utan att den elektroniska akten öppnas och registret kommer inte att omfattas av de begränsningar i sökmöjligheter som gäller för övriga handlingar i akten. Det innebär även att uppgifter i indexregistret kan göras åtkomliga genom direktåtkomst på samma sätt som andra uppgifter i databasen, utan de begränsningar för

sådan åtkomst som vi föreslår skall gälla för handlingar i ett ärendehanteringssystem (se avsnitt 6.7).

En generell fråga som uppkommer när det införs begränsningar av sökmöjligheterna i elektroniskt material, är hur länge begränsningarna skall vara tillämpliga. Ofta överlämnas myndigheters elektroniska material, t.ex. personregister eller andra databaser, efter en tid till en arkivmyndighet. En av orsakerna till detta är arkivlagens bestämmelser om att forskningens behov skall tillgodoses genom att uppgifter bevaras. De begränsningar som finns av möjligheterna att söka i materialet kan dock försvåra framtida forskningsarbete, genom att tillgängligheten till uppgifterna är mindre än om det vore möjligt att söka fritt i materialet. Det är därför enligt vår uppfattning viktigt att ställning tas i frågan om författningsreglerade begränsningar av sökmöjligheter i elektroniskt material skall gälla för obegränsad tid eller om begränsningarna skall upphöra viss tid efter att materialet har överlämnats till en arkivmyndighet. Detta är emellertid en fråga av generell karaktär för den statliga förvaltningen, och den bör därför enligt vår uppfattning utredas i ett annat och mer allmänt sammanhang.

6.5. Inhämtande av uppgifter

Vårt förslag: Det skall inte finnas några begränsningar i fråga om på vilket sätt uppgifter får hämtas in för behandling i en databas.

Vilka uppgifter som får behandlas i en databas avgörs med ledning av de i lagstiftningen angivna ändamålen med databasen, vilket är en följd av att det i artikel 6.1a i dataskyddsdirektivet ställs krav på att uppgifter skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål (se avsnitt 6.2). Några särskilda krav på begränsningar av på vilket sätt uppgifter får samlas in följer däremot inte av EG-rätten. Vi har inte heller funnit anledning att införa sådana begränsningar. Tvärtom är det vår uppfattning att i den mån en viss uppgift får hämtas in till en databas hos en myndighet, får det ske på det sätt som myndigheten anser lämpligt. Vi ser inte några integritetsskäl mot att enskilda eller myndigheter som av olika anledningar har att lämna uppgifter som skall ingå i en myndighetsdatabas gör detta med hjälp av automatiserad behandling.

Det kan däremot finnas andra argument för att uppgifter skall lämnas på ett visst sätt, t.ex. så får självdeklarationer inte lämnas i elektronisk form till skattemyndigheter om det inte särskilt har medgivits av Riksskatteverket. Likaså kan det i olika författningar som reglerar

behandling av personuppgifter i myndigheters verksamhet ställas upp begränsningar i fråga om på vilket sätt uppgifter får lämnas ut. Möjligheten att lämna ut uppgifter genom direktåtkomst är t.ex. regelmässigt begränsad. Det kan med andra ord finnas olika orsaker till att uppgifter inte kan eller får hämtas in till en databas med hjälp av automatiserad behandling. Dessa begränsningar följer då av andra författningar eller av tekniska orsaker och det finns inte anledning att föreskriva om ytterligare begränsningar i den av oss föreslagna lagstiftningen.

6.6. Utlämnande av uppgifter

Vårt förslag: Det skall inte finnas några begränsningar för myndigheter som enligt bestämmelser i sekretesslagen eller andra författningar får ta del av uppgifter i en databas, att få tillgång till uppgifterna på medium för automatiserad behandling. För direktåtkomst skall särskilda bestämmelser gälla.

Uppgifter skall även kunna lämnas ut till andra än myndigheter på medium för automatiserad behandling om regeringen föreskriver det eller om utlämnandet följer av en internationell överenskommelse.

6.6.1. Allmänt om utlämnande av personuppgifter

Vad är behandling av uppgifter?

I dataskyddsdirektivet definieras vad som avses med behandling av personuppgifter. Det är varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter vare sig det sker på automatisk väg eller inte (artikel 1 b). Artikeln innehåller även en exemplifiering, vari bl.a. insamling, registrering, utlämnande, spridning och annat tillhandahållande av uppgifter nämns. Bestämmelsen har sin exakta motsvarighet i 3 § personuppgiftslagen. Definitionen innebär att all hantering av personuppgifter är behandling, från insamlande till utlämnande. Det spelar med den utgångspunkten ingen roll om utlämnande av uppgifter sker genom direktåtkomst eller med hjälp av annan automatiserad behandling eller om uppgifter skrivs ut på papper och därefter lämnas ut. Allt utlämnande utgör behandling av personuppgifter och omfattas således av dataskyddsdirektivets bestämmelser.

Dataskyddsdirektivet innehåller även bestämmelser om uppgifters kvalitet. Ett grundläggande åtagande för medlemsländerna är att de skall

föreskriva att personuppgifter skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål (artikel 6.1b). Motsvarande bestämmelser återfinns i 9 § första stycket c och d personuppgiftslagen. I direktivets ingress (punkterna 28 och 29) sägs bl.a. att personuppgifter måste vara adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Dessa ändamål skall vara uttryckligt angivna, berättigade och bestämda vid tiden för insamling av uppgifterna. Sådana ändamål som läggs fast sedan uppgifterna har samlats in får inte vara oförenliga med de ursprungliga ändamålen.

Det är inte helt klart vad som avses med att de ändamål för vilka personuppgifter samlas in skall vara berättigade. Datalagskommittén ansåg för sin del att detta betyder att ändamålen måste överensstämma med de grunder för behandling av personuppgifter som regleras i direktivets artikel 7, vilka har sin motsvarighet i 10 § personuppgiftslagen (SOU 1997:39 s. 350 ff). Av dessa grunder är en av de mer relevanta att personuppgifter får behandlas om det ”är nödvändigt för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller tredje man till vilken uppgifterna har lämnats ut...” (dataskyddsdirektivets artikel 7 d samt 10 § d och e personuppgiftslagen). Datalagskommittén övervägde möjligheten att uttrycket berättigade ändamål i dataskyddsdirektivet hade en mer självständig betydelse, men konstaterade att detta är osäkert.

Innebörden av ovan redovisade artikel 6 i dataskyddsdirektivet är att det i en lag om behandling av personuppgifter för myndighetsverksamhet bör anges klara och uttryckliga ändamål för vilka personuppgifterna får samlas in. Dessutom innebär det att uppgifterna efter att de har samlats in inte får användas på ett sätt som är oförenligt med dessa klart angivna ändamål. Vad som mer exakt avses med att ett användande av uppgifter är oförenligt med det för vilket de samlades in är enligt Datalagskommittén närmast en fråga som får ha sin lösning i framtida praxis (SOU 1997:39 s. 351). Begreppet som sådant antyder dock enligt vår mening att det finns utrymme för tolkningen att behandling som sker efter insamlandet inte direkt måste motsvaras av ett från början angivet ändamål. Ett visst spelrum torde alltså finnas.

När får uppgifter lämnas ut?

Vad som kan konstateras genom de ovan redovisade bestämmelserna i dataskyddsdirektivets artikel 6 är att en uppgift som har samlats in för ett visst ändamål inte får lämnas ut om utlämnandet är oförenligt med det ursprungligen angivna ändamålet. För författningsreglerad offentlig verksamhet innebär detta att allt utlämnande av personuppgifter som omfattas av dataskyddsdirektivet måste stå i överensstämmelse med de olika ändamål för behandling av personuppgifter som är tillämpliga för olika verksamheter. Det är mer oklart om det är nödvändigt att de ändamålsbestämmelser som avgör om utlämnande är tillåtet måste återfinnas i den författningsreglering som avser den utlämnande myndighetens verksamhet. Möjligen måste den offentliga förvaltningen i det avseendet ses som en enhet, vilket skulle innebära att det är tillräckligt om det i någon författning anges att vissa uppgifter från en viss databas får användas för ett angivet syfte, för att utlämnande skall vara tillåtet. En särställning har utlämnande som sker enligt offentlighetsprincipen, dvs. utlämnande med stöd av 2 kap. tryckfrihetsförordningen (TF). Sådant utlämnande kräver inte att det finns särskilt angivna ändamål som tillåter utlämnande. Detta framgår uttryckligen i 8 § personuppgiftslagen och anses ha stöd av vad som sägs i dataskyddsdirektivets ingresspunkt 72. Det innebär att offentlighetsprincipen måste anses utgöra ett särskilt ändamål som gäller för all behandling av personuppgifter i offentlig verksamhet.

Det är enligt vår uppfattning mer tveksamt hur man skall se på utlämnande av uppgifter från en reglerad databas hos en myndighet till en annan myndighet som begär uppgifterna med stöd av 15 kap. 5 § sekretesslagen eller utlämnande som sker med stöd av 14 kap. 1–3 §§ samma lag. Om utlämnande i dessa fall strider mot dataskyddsdirektivet torde vara en fråga om utformningen av ändamålsbestämmelserna hos den utlämnande eller mottagande myndigheten, vad den mottagande myndigheten har för funktion och vad den skall använda uppgifterna till samt tolkningen av begreppet oförenligt i direktivet (se ovan). Det är enligt vår uppfattning därför inte möjligt att ange i vilka fall utlämnande av uppgifter från en myndighet till en annan med stöd av sekretesslagen strider mot dataskyddsdirektivet. En avvägning måste göras i varje enskilt fall och frågan får därför ha sin närmare lösning i framtida praxis.

6.6.2. Utlämnande på medium för automatiserad behandling

Det är i dag vanligt att det i registerlagstiftning regleras i vilka fall uppgifter ur ett personregister får lämnas ut till andra myndigheter eller till enskilda med hjälp av automatiserad behandling. Som exempel kan nämnas skatteregisterlagen, där det anges att uppgifter i register får lämnas ut till andra myndigheter på medium för automatisk databehandling endast om det följer av lag eller förordning eller om regeringen medger det. Motsvarande eller liknande reglering finns i flera andra registerförfattningar, t.ex. lagen om folkbokföringsregister, utsökningsregisterlagen och tullregisterlagen. Dessa bestämmelser skall ses mot bakgrund av 7 kap. 16 § sekretesslagen i dess lydelse före personuppgiftslagens ikraftträdande. Regleringen innebar i huvudsak att det för utlämnande av personuppgifter på medium för automatisk databehandling krävdes att mottagaren med stöd av författning eller tillstånd av Datainspektionen fick föra ett personregister som skulle innehålla de uppgifter som avsågs med utlämnandet.

I 7 kap. 16 § sekretesslagen anges numera att sekretess gäller för uppgifter om det kan antas att ett utlämnande skulle medföra att uppgifter behandlas i strid med personuppgiftslagen. Med behandling av personuppgifter avses enligt personuppgiftslagen varje åtgärd som vidtas med uppgiften. Det saknar alltså ur sekretesslagens synvinkel direkt betydelse om utlämnande av en uppgift görs med hjälp av automatiserad behandling eller manuellt på papper, eftersom utlämnandet under alla förhållanden omfattas av personuppgiftslagens bestämmelser. Det finns med andra ord i dag ingen anledning att författningsreglera utlämnande med automatiserad behandling på den grunden att sådant stöd – eller tillstånd från Datainspektionen – behövs för att det över huvud taget skall vara tillåtet att lämna ut uppgifterna.

Vi har dock haft att ta ställning till om det i de för oss aktuella sammanhangen finns anledning att på annan grund ha avvikande bestämmelser för utlämnande som sker med hjälp av automatiserad behandling jämfört med om det sker på annat sätt. För direktåtkomst bör särskilda bestämmelser gälla, vilket vi motiverar i avsnitt 6.7. Frågan är då vad som bör gälla för utlämnande med hjälp av annan automatiserad behandling än direktåtkomst och om det för sådant utlämnande på medium för automatiserad behandling finns anledning att göra olika bedömningar beroende på till vem uppgifterna lämnas ut.

Utlämnande till myndigheter

För myndigheter finns vanligtvis särskilda författningar som reglerar vilka automatiserade register eller andra personuppgiftssamlingar som får föras av myndigheten eller annars på vilket sätt personuppgifter får behandlas. I de författningarna regleras även ändamålen med behandlingen. En myndighet som tar emot uppgifter från andra myndigheter har vanligen inte rättsligt stöd för att behandla uppgifterna annat än i enlighet med de för myndigheten gällande författningarna. Riskerna för att mottagande myndigheter på ett icke avsett sätt skall behandla personuppgifter som hämtas in på medium för automatiserad behandling bedömer vi därför vara små. Samtidigt kan det inte sättas i fråga att det kan innebära stora effektivitetsvinster för myndigheter att uppgifter som skall behandlas på automatiserad väg hämtas in genom automatiserade förfaranden, t.ex. på diskett eller via telenätet. När en myndighet hämtar in uppgifter från andra myndigheters register eller databaser, är det från effektivitetssynpunkt mindre tillfredsställande att den utlämnande myndigheten först gör utskrifter av uppgifterna och den mottagande myndigheten därefter för in uppgifterna i sina register eller databaser. Genom sådana förfaranden ökar även riskerna för överföringsfel, vilket i sig kan utgöra ett integritetsproblem.

En utgångspunkt för våra författningsförslag är att myndigheter skall kunna utnyttja automatiserade förfaranden i sin ärendehantering i största möjliga omfattning, dock under förutsättning att behandlingen av personuppgifter inte medför risk för otillbörligt intrång i enskildas personliga integritet. Som vi nämnt ovan anser vi att det inte föreligger någon större risk för att uppgifter som lämnas ut på medium för automatiserad behandling till andra myndigheter behandlas på ett felaktigt sätt. Under förutsättning att den utlämnande myndigheten har möjlighet att avgöra vilka uppgifter som skall lämnas ut – vilket inte är fallet när uppgifter lämnas ut genom direktåtkomst – saknas det därför enligt vår uppfattning anledning att reglera när uppgifter får lämnas ut på medium för automatiserad behandling. Det finns med andra ord inte några bärande skäl för att i informationsutbytet mellan myndigheter skilja på utlämnande som görs på papper och utlämnande som sker elektroniskt, dock med undantag för direktåtkomst. Om en myndighet får eller skall lämna ut uppgifter till annan myndighet, t.ex. med stöd av sekretesslagen eller andra författningar, bör det således vara upp till myndigheterna att avgöra på vilket sätt det skall göras.

I dag förekommer det särskilda bestämmelser som innebär att en utlämnande myndighet skall lämna uppgifter på medium för automatiserad behandling när den mottagande myndigheten begär det. Som exempel kan nämnas skatteregisterförordningen (1980:556). Enligt vår upp-

fattning kommer motsvarande bestämmelser inte att behövas i framtiden, eftersom utlämnande på medium för automatiserad behandling vanligtvis innebär fördelar från effektivitetssynpunkt för såväl den utlämnande som den mottagande myndigheten. Om en myndighet som har rätt att ta del av uppgifter från en annan myndighet ber att få göra detta på medium för automatiserad behandling, torde det med andra ord inte finnas någon anledning för den utlämnande myndigheten att vägra lämna ut uppgifterna på det sättet.

Vi föreslår således inga begränsningar – eller reglering i övrigt – av möjligheterna för de myndigheter som omfattas av våra lagförslag att lämna ut uppgifter till andra myndigheter på medium för automatiserad behandling. Särskilda bestämmelser skall emellertid gälla för direktåtkomst (se avsnitt 6.7).

Utlämnande till enskilda

Förutom att uppgifter lämnas ut till andra myndigheter kan det även bli aktuellt att lämna ut uppgifter ur olika databaser till enskilda, dvs. såväl privatpersoner som företag och organisationer. I dessa fall saknas, till skillnad mot vad som gäller för myndigheter, normalt särskilda bestämmelser om hur personuppgifter får behandlas hos mottagaren. För mottagaren är det därför vanligtvis personuppgiftslagens bestämmelser som är tillämpliga på behandlingen av de mottagna uppgifterna. Med hänsyn till de integritetsrisker som kan följa med utlämnande av personuppgifter på medium för automatiserad behandling till företag och privatpersoner, bör sådant utlämnande endast vara tillåtet när det efter särskild prövning anses lämpligt. Det bör enligt vår mening åligga regeringen att göra dessa bedömningar. Vi föreslår därför att uppgifter i databaser bör få lämnas ut till enskilda på medium för automatiserad behandling endast om regeringen har föreskrivit det.

Från regeln om att uppgifter får lämnas ut på medium för automatiserad behandling till enskilda endast med stöd av föreskrifter från regeringen, bör ett undantag göras. Det gäller när utlämnandet av uppgifterna följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. Att det enligt dataskyddsdirektivet finns begränsningar av när överföring av personuppgifter till tredje land får förekomma, innebär inte att det föreligger några hinder mot utlämnande av uppgifter med stöd av internationella överenskommelser (se avsnitt 5.2.1). I de fall Sverige har åtagit sig att bistå utländska myndigheter eller offentliga organ med uppgifter – som kan vara under behandling i en databas – förefaller det enligt vår mening vara mindre lämpligt att det sätt på vilket uppgifterna får lämnas över skall vara beroende av att regeringen har reglerat frågan i en förordning. I de fallen

bör det enligt vår uppfattning i stället vara en fråga för den utlämnande myndigheten och det mottagande organet på vilket sätt informationen skall överföras. Undantag bör dock göras för utlämnande genom direktåtkomst (se avsnitt 6.7). Fråga om utlämnande av uppgifter med stöd av internationella överenskommelser aktualiseras främst i skatteförvaltningens beskattningsverksamhet och i Tullverkets verksamhet.

6.7. Direktåtkomst

Vårt förslag: Direktåtkomst till en databas skall få förekomma endast när det står i överensstämmelse med de ändamål för vilka uppgifter får behandlas i databasen.

De myndigheter som är personuppgiftsansvariga för behandling av uppgifter i en databas skall få ha direktåtkomst till samtliga uppgifter i databasen. Därutöver kan även vissa andra myndigheter få ha direktåtkomst till databasen. Regeringen skall dessutom ha möjlighet att såväl tillåta ytterligare myndigheter eller enskilda att ha direktåtkomst som inskränka en myndighets åtkomst enligt lagen.

Endast myndigheter som är personuppgiftsansvariga för behandling av uppgifter i en databas skall få ha direktåtkomst till elektroniska handlingar i databasen.

Regeringen skall ha möjlighet att meddela föreskrifter om att enskilda genom direktåtkomst skall få ha tillgång till uppgifter om sig själva.

6.7.1. Direktåtkomst är känsligt från integritetssynpunkt

Samlingar av uppgifter i elektroniska register hos myndigheter har sedan i vart fall 1970-talet varit omdiskuterade på grund av sådana samlingar ger möjligheter till sammanställningar av att information om medborgarna. En av de frågor som har varit mest omdiskuterad är myndigheters direktåtkomst till olika register. Det kan sägas ha funnits en mer eller mindre allmän inställning att det är illa nog att en myndighet själv samlar ett flertal uppgifter om människor i sin verksamhet, men att det är än värre när myndigheter kan komplettera sina egna uppgifter med uppgifter från andra myndigheters register direkt genom elektronisk behandling.

Den form av direktåtkomst som har varit – och fortfarande är – vanligast till olika register är myndigheternas terminalåtkomst, dvs. att en myndighet via en direktuppkopplad terminal kan gå in och söka uppgifter i andra myndigheters register. Det finns dock även andra typer av direktåtkomst. En metod som är vanlig inom t.ex. bankväsendet, men även i vissa statliga verksamheter, är inhämtande av uppgifter om sig själv på automatiserad väg via telefon. Som exempel kan nämnas att många bankkunder numera kan få information om sina konton och genomföra transaktioner genom knapptryckningar på telefonen. Motsvarande metod används också av många för att få information eller vidta åtgärder rörande det statliga bilregistret. I och med framväxten av Internet har också en ny möjlighet öppnat sig, nämligen olika former av direktåtkomst till uppgiftssamlingar som finns tillgängliga ”på nätet”.

6.7.2. Behandlingsändamålen bör vara styrande för direktåtkomst

Den fråga som vi i första hand har haft att ta ställning till är i vilken omfattning olika myndigheter skall få direkt tillgång till uppgifter från andra myndigheter i elektronisk form. Den princip som till i dag har varit förhärskande är att en myndighet skall få terminalåtkomst till andra myndigheters register endast i den mån det är nödvändigt – eller av stor betydelse – för den inhämtande myndighetens verksamhet och endast om syftet med åtkomsten omfattas av ändamålet för det register varifrån utlämnandet görs. Som exempel kan nämnas att kronofogdemyndigheterna har tillgång via terminal till uppgifter i skatteregistret i en omfattning som har ansetts värdefull från effektivitetssynpunkt. Åtkomsten har gjorts möjlig genom införandet av ett uttalat ändamål med skatteregistret, nämligen att det skall användas för utredningar i kronofogdemyndigheternas exekutiva verksamhet.

Dataskyddsdirektivet föreskriver att personuppgifter skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål samt att senare behandling inte får ske på ett sätt som är oförenligt med dessa ändamål (artikel 6.1b). I begreppet senare behandling innefattas bland annat all form av utlämnande av uppgifter, oavsett om detta sker manuellt genom utskrifter av innehållet i en databas eller på automatiserad väg genom t.ex. direktåtkomst. Vad som avses med att uppgifter inte får lämnas ut om det är oförenligt med de ändamål för vilka de samlades in är osäkert. Datalagskommittén ansåg detta vara en fråga som får ha sin lösning i framtida praxis (SOU 1997:39 s. 351). Enligt vår uppfattning bör direktivet tolkas så att ett utlämnande inte exakt måste motsvaras av

ett från början angivet ändamål, utan att det finns utrymme för ett visst spelrum (se avsnitt 6.6.1).

När det gäller utlämnande genom olika former av direktåtkomst anser vi att integritetsskäl kräver att enskilda i lagstiftningen bör kunna utläsa för vilka ändamål uppgifter får lämnas ut genom direktåtkomst. Direktåtkomst får med andra ord förekomma endast om det står i överensstämmelse med ändamålsbestämmelserna i den lag som reglerar databasen. Från den principen gör vi emellertid undantag för två särskilda former av direktåtkomst (se avsnitt 6.2.2 om sekundära ändamål). Det gäller enskildas åtkomst till uppgifter om sig själva samt allmän direktåtkomst till vissa uppgifter av särskilt stort allmänt intresse. Våra överväganden i fråga om de särskilda formerna av direktåtkomst redovisar vi i avsnitt 6.7.5 respektive 8.1.4 och 8.3.4.

6.7.3. Direktåtkomst inom en myndighetsorganisation

Vid bedömningen av vilka myndigheter som skall ha direktåtkomst till en viss databas bör en gränsdragning göras mellan myndigheter inom en myndighetsorganisation och myndigheter utanför en sådan. Det finns enligt vår uppfattning nämligen anledning att se olika på frågan om t.ex. vilka regionala skattemyndigheter som skall ha direktåtkomst till en beskattningsdatabas inom skatteförvaltningen och i vilka fall kronofogdemyndigheter skall ha sådan åtkomst till databasen. Från integritetssynpunkt torde det vara känsligare att sprida uppgifter till myndigheter med ansvar för andra verksamhetsområden än till myndigheter som har samma arbetsuppgifter men av organisatoriska skäl är regionalt avgränsade.

Den springande punkten i det här fallet, liksom i flera andra fall, är enligt vår mening avvägningen mellan hänsynen till myndigheternas effektivitet respektive de registrerades integritet. Det föreligger knappast något tvivel om de stora effektivitetsvinsterna i att myndigheter inom en organisation snabbt kan ta del av gemensamt användbara uppgifter genom direktåtkomst, oavsett hos vilken myndighet uppgifterna först har aktualiserats och registrerats. Som ett exempel på vad en inskränkt direktåtkomst kan ha för effekter kan tas skattemyndigheternas i dag regionalt begränsade terminalåtkomst till det centrala skatteregistret, vilken innebär att uppgifter som behövs i kontrollverksamheten måste hämtas in på annat sätt än genom terminalåtkomst (se avsnitt 3.1.2). Om en skattemyndighet t.ex. skall beskatta ett företag som har säte i regionen och som befinns äga eller ha bestämmande inflytande över andra företag som saknar anknytning till regionen, är det nödvändigt för

myndigheten att skaffa sig en helhetsbild av alla företagen. Av intresse är då bl.a. terminalbilder som innehåller avstämningar mellan uppbördsoch kontrolluppgifter. Dessa terminalbilder är dock inte tillgängliga beträffande företag som inte är regionanknutna, eftersom kontrolluppgifterna endast omfattas av regionåtkomst. En friare direktåtkomst skulle i det nämnda exemplet innebära väsentliga fördelar från effektivitetssynpunkt. Frågan är om obegränsad direktåtkomst inom en myndighetsorganisation kan accepteras från integritetssynpunkt.

Vi anser att de risker det innebär från integritetssynpunkt att t.ex. samtliga skattemyndigheter har full tillgång till en gemensam databas oavsett vilken myndighet som har registrerat uppgifterna, är förhållandevis små. Vid denna bedömning har vi beaktat att det i grund och botten handlar om samma verksamhet som av organisatoriska skäl är avgränsad till olika myndigheter. I detta sammanhang är det även viktigt att hålla i minnet att en obegränsad direktåtkomst till en databas inom en myndighetsorganisation inte innebär att samtliga anställda har tillgång till uppgifterna. Tvärtom medför personuppgiftslagens allmänna bestämmelser om grundläggande krav på och säkerhet vid behandling m.m. att olika åtgärder måste vidtas som förhindrar missbruk. Det kan t.ex. innebära att åtkomst till olika uppgifter inom en myndighet är starkt begränsad till olika behörighetsnivåer, vilket i sin tur innebär att det i slutändan är ett högst begränsat antal personer som har tillgång till samtliga uppgifter. Att dessa personer organisatoriskt befinner sig på olika myndigheter kan enligt vår mening inte anses så allvarligt från integritetssynpunkt att det bör hindra utvecklingen av effektiva datasystem.

Vår bedömning är således att starka effektivitetsskäl talar för att det inom en myndighetsorganisation inte sätts upp hinder för åtkomst till den gemensamma informationssamlingen. Detta ställer dock krav på att den i fråga om säkerhetsåtgärder personuppgiftsansvariga myndigheten sätter upp klara och tydliga gränsdragningar i fråga om vilka personer som skall ha tillgång till vilka uppgifter. Under sådana förutsättningar blir riskerna för oacceptabla integritetsintrång små och de bör inte förhindra möjligheterna att bedriva en effektiv myndighetsverksamhet med utnyttjande av de fördelar som ny teknik ger för myndigheterna såväl som för enskilda.

Även om vi i dag inte kan finna några bärande skäl för att begränsa direktåtkomsten till en databas inom den ansvariga myndighetsorganisationen, går det inte att med säkerhet säga att det inte kan uppstå situationer där åtkomsten bör vara begränsad i fråga om exempelvis vissa särskilt känsliga uppgifter. Regeringen bör enligt vår mening därför ha möjlighet att meddela föreskrifter om att en myndighets direktåtkomst till den gemensamma databasen skall inskränkas.

6.7.4. Direktåtkomst utanför en myndighetsorganisation

Som nämns ovan har myndigheters direktåtkomst till andra myndigheters elektroniskt lagrade uppgiftssamlingar, vanligen personregister, ansetts vara integritetskänsligt. Detsamma gäller utlämnande genom direktåtkomst till andra än myndigheter. Vi delar den uppfattningen och vill särskilt peka på de risker från integritetssynpunkt som direktåtkomst medför genom att den utlämnande myndigheten inte har möjlighet att i varje enskilt fall ta ställning till om de eftersökta uppgifterna bör lämnas ut. Rent allmänt anser vi därför att det finns starka skäl för att vara återhållsam med att tillåta direktåtkomst för andra än de personuppgiftsansvariga myndigheterna. I första hand bör i stället andra metoder för en effektiv informationshantering övervägas.

Hur stor restriktivitet som skall tilllämpas i fråga om direktåtkomst till en viss databas får avgöras med hänsyn till ett flertal omständigheter. För att direktåtkomst över huvud taget skall medges bör det enligt vår uppfattning först konstateras att åtkomsten leder till ökad effektivitet av betydelse hos mottagaren eller att åtkomsten på annat sätt är till särskild gagn för samhället. Det är således enligt vår mening inte lämpligt att medge direktåtkomst till en myndighets databas, när det inte kan förutses att mottagarna kommer att hämta in uppgifter från databasen i betydande omfattning. Av avgörande betydelse för om direktåtkomst skall medges till en databas anser vi vara hur känsliga uppgifterna är, något som i sig får bedömas med utgångspunkt i flera faktorer. En viktig indikation är enligt vår uppfattning vilken sekretess som gäller för uppgifterna i databasen. Ju strängare sekretess som gäller för uppgifterna, desto starkare skäl bör krävas för att direktåkomst skall medges. En annan faktor som vi anser vara av betydelse vid bedömningen av om direktåtkomst skall medges till en databas, är om åtkomsten skall avse en eller flera typer av uppgifter. Ju fler kategorier av uppgifter som omfattas av åtkomsten, desto större är riskerna generellt sett för integritetsintrång. Bedömningen av om direktåtkomst skall medges eller inte måste således utmynna i en avvägning mellan behovet av effektivitet i olika samhällsfunktioner och enskildas behov av ett gott integritetsskydd.

Av olika skäl, främst allmänhetens och myndigheternas behov av en effektiv ärendehantering, är det i vissa fall lämpligt att en myndighet har direktåtkomst till en annan myndighets uppgifter, även i de fall de tillhör olika myndighetsorganisationer. Vi redovisar i 3 kap. i vilken omfattning direktåtkomst förekommer till personregister inom skatteförvaltningen, exekutionsväsendet och Tullverket och vilka förutsättningar som gäller för sådan åtkomst. Vi anser att det inte finns skäl att begränsa de

möjligheter till direktåtkomst som finns i dag. I stället kan det sättas i fråga om det av effektivitetsskäl och på grund av de förändringar vi föreslår i regleringen av elektroniskt lagrade uppgiftssamlingar finns anledning att något utöka möjligheterna till direktåtkomst. En omedelbar följd av våra förslag är att det saknas skäl att i lag närmare begränsa vilka uppgifter i en myndighets databas som en annan myndighet utanför organisationen skall ha tillgång till. Vi föreslår nämligen att detaljreglering av vad som skall få föras in i en databas inte skall göras i lag (se avsnitt 4.3.5). I stället flyttas den regleringen ner till en lägre konstitutionell nivå. Frågan om det finns anledning att utöka direktåtkomsten för vissa myndigheter till olika databaser i förhållande till vad som gäller i dag, återkommer vi till i 8 kap. i samband med den närmare genomgången av de olika författningsförslagen. Generellt anser vi emellertid att regeringen i fråga om samtliga databaser bör ha möjlighet att genom föreskrifter tillåta direktåtkomst för myndigheter.

Vid sidan av myndigheter kan det komma att finnas anledning att tillåta även andra att ta del av uppgifter genom direktåtkomst. Det kan röra sig om exempelvis utländska myndigheter samt företag som bedriver viss offentlig verksamhet. Vi har dock, med vissa undantag, inte funnit anledning att direkt i lag närmare ange vilka enskilda som skall ha möjlighet att få direktåtkomst till olika databaser. I stället bör regeringen genom föreskrifter kunna tillåta direktåtkomst för andra än myndigheter, naturligtvis under förutsättning att integritetsskäl inte talar mot det. En ytterligare förutsättning – vilken vi föreslår skall gälla för samtliga databaser utom folkbokföringsdatabasen samt val- och folkomröstningsdatabasen – är att mottagaren bedriver författningsreglerad verksamhet. Som exempel på vad vi avser med sådan verksamhet kan nämnas verksamhet som bedrivs av de organ som enligt 1 kap. 8 § sekretesslagen skall jämställas med myndighet. Som vi nämner ovan bör stor restriktivitet generellt tillämpas i fråga om att medge direktåtkomst till myndigheters databaser. Detta gäller enligt vår uppfattning i än högre grad när den som skall ha direktåtkomst inte är en svensk myndighet. En särskild fråga är möjligheten för enskilda att genom direktåtkomst få tillgång till uppgifter om sig själva i myndigheternas databaser. Den frågan återkommer vi till i avsnitt 6.7.5.

Vi anser att det finns starka skäl att helt utesluta vissa typer av uppgifter från utomstående myndigheters och andras direktåtkomst. Det gäller uppgifter i elektroniska handlingar (se avsnitt 6.4). Sådana handlingar kan nämligen innehålla uppgifter av i stort sett vilken karaktär som helst, eftersom det bl.a. rör sig om av enskilda insända handlingar som har bildfångats och alltså finns ”fotografiskt” avbildade i databaserna. Behovet av tillgång till sådana bildfångade handlingar utanför den myndighetsorganisation som registrerar dem har vi bedömt vara

förhållandevis begränsat, medan däremot integritetskänsligheten hos uppgifterna kan vara stor. Det saknas därför skäl att i något fall medge myndigheter eller andra utanför den registrerande myndighetsorganisationen direktåtkomst till sådana inkomna handlingar. Elektroniska handlingar kan även utgöras av fullständiga beslut och andra handlingar som har upprättats elektroniskt hos en myndighet. Utomstående myndigheter kan i vissa fall behöva dessa beslut i sin verksamhet. Även sådana handlingar kan dock innehålla känsliga uppgifter och integritetsskäl talar därför för att de – trots att det kan innebära nackdelar från effektivitetssynpunkt – får tillhandahållas på annat sätt, t.ex. i form av pappersutskrifter eller via andra automatiserade behandlingar än direktåtkomst.

6.7.5. Enskildas direktåtkomst till egna uppgifter

I och med att allt fler personer får tillgång till Internet uppkommer frågor om hur de möjligheter som därigenom ges till informationsbehandling skall kunna användas av myndigheter. Ett användningområde som ligger nära till hands är möjligheten för enskilda att lämna uppgifter till myndigheter via Internet. I många fall skulle en effektiv hantering dock kräva att enskilda inte endast kan lämna uppgifter, utan även har möjlighet att ta del av myndighetens uppgifter om sig själva. Som exempel på hur direktåtkomst via Internet för envar till egna uppgifter skulle kunna utnyttjas kan tas skatteförvaltningens beskattningsverksamhet.

Självdeklarationer och skattedeklarationer får under vissa förutsättningar lämnas genom ett elektroniskt dokument. En viktig förutsättning är det tekniska förfarandet med vilket dokumentets innehåll och utställare kan verifieras. Hur detta tekniska förfarande ska gå till har ännu inte fastställts. Arbete pågår emellertid för att lösa dessa tekniska frågor, såväl nationellt som inom EU. Fysiska personer har inte någon större nytta av möjligheten att lämna sin deklaration genom ett elektroniskt dokument, innan den skattskyldige via Internet kan nå ett formulär med uppgifter om sig själv motsvarande de som är förtryckta på den förenklade självdeklaration som i dag skickas ut som brevförsändelse från skattemyndigheterna. När detta blir möjligt uppkommer stora fördelar för både skatteförvaltningen och den skattskyldige. Samma förfarande skulle också kunna utnyttjas vid t.ex. ansökningar om förslag till särskild beräkningsgrund eller som hjälp vid beräkning av skatt. Ett annat användningområde inom beskattningsverksamheten skulle vara att ge enskilda möjlighet att komma åt uppgifter om sina skattekonton. Med direktåtkomst till sitt skattekonto skulle en skattskyldig i samband med avgivande av självdeklaration enkelt kunna få uppgifter om behållningen

på kontot och därigenom få information om ytterligare inbetalning krävs eller om han kan kräva återbetalning av överskjutande belopp.

Som exempel på ett annat område där möjligheten att nå egna uppgifter skulle fylla ett behov – och där visst arbete har påbörjats – kan tas företagens uppgiftslämnande till myndigheter. Riksskatteverket har tillsammans med Patent- och registreringsverket på regeringens uppdrag analyserat uppgiftskrav och handläggningsrutiner av företag hos Patentoch registreringsverket samt skattemyndigheterna. I sin slutrapport den 4 mars 1999 föreslår verken bl.a. att det på myndigheternas hemsidor på Internet skall finnas en gemensam elektronisk blankett för start av företag m.m. som kan lämnas in elektroniskt. En effektivitetshöjande vidareutveckling skulle vara att denna blankett var ifylld med de uppgifter som myndigheterna redan har tillgång till. En sådan utveckling kräver att envar får ha direktåtkomst till uppgifter om sig själva.

Även inom folkbokföringsverksamheten planeras elektroniska förfaranden som komplement till mer traditionella rutiner (jfr prop. 1997/98:136 s. 59 f.). Vad som avses är t.ex. att Internet skall kunna utnyttjas för att anmäla flyttning eller göra namnanmälan för ett nyfött barn. För att sådana anmälningsrutiner skall bli ett effektivt alternativ krävs att enskilda samtidigt får tillgång till de uppgifter om dem själva som finns hos myndigheten före ändringen.

En reglering av möjligheten för enskilda att komma åt uppgifter om sig själva bör enligt vår uppfattning inte utformas som en rättighet för enskilda, eftersom det i myndigheternas databaser kan finnas uppgifter som den enskilde inte bör ta del av, t.ex. uppgifter om planerade revisioner eller liknande åtgärder. I stället bör regleringen utformas som en möjlighet för regeringen att meddela föreskrifter om att envar får ha direktåtkomst till vissa egna uppgifter.

En förutsättning för att enskilda skall ges möjlighet att komma åt egna uppgifter genom direktåtkomst, är emellertid att det finns säkra tekniska lösningar som garanterar att de inte får tillgång även till uppgifter om andra personer. Innan sådana tekniska lösningar finns får enligt vår bestämda uppfattning direktåtkomst till egna uppgifter inte tilllåtas. Under förutsättning att säkerheten är tillräcklig ser vi inte några integritetsskäl som talar mot att enskilda kan ta del av uppgifter om sig själva via Internet. Tvärtom kan det, om än i begränsad omfattning, ge enskilda möjlighet att kontrollera att de uppgifter om dem som behandlas hos myndigheter är korrekta. Enligt vår uppfattning skulle ett förfarande med sådan direktåtkomst inte heller komma att stå i strid med dataskyddsdirektivets bestämmelser om överföring av personuppgifter till tredje land. Den som befinner sig i ett tredje land och begär att få del av uppgifter om sig själv via Internet, måste nämligen genom sin begäran anses ha gett sitt samtycke till att uppgifterna lämnas ut.

Vi förslår att det för samtliga databaser införs bestämmelser som innebär att regeringen får meddela föreskrifter om att enskilda får ha direktåtkomst till uppgifter om sig själva. Regeringen, eller den myndighet som regeringen bestämmer, bör dessutom genom föreskrifter närmare ange till vilka uppgifter direktåtkomst får förekomma.

6.8. Bevarande och gallring av uppgifter

Vårt förslag: Bestämmelser om gallring och bevarande av uppgifter i databaser skall förenklas i förhållande till vad som allmänt gäller för personregister i dag.

För databaser som vi bedömer vara känsliga från integritetssynpunkt skall i lag som huvudregel slås fast att uppgifter skall gallras efter viss tid. Regeringen eller den myndighet som regeringen bestämmer (Riksarkivet) skall dock ha möjlighet att meddela föreskrifter dels om undantag från huvudregeln, dels om att uppgifter som undantas från gallring skall överlämnas till en arkivmyndighet.

För databaser som vi anser vara mindre integritetskänsliga skall endast arkivlagens bestämmelser tillämpas.

6.8.1. Behovet av bestämmelser om gallring

Vi konstaterar tidigare att det uppstår integritetsproblem när stora mängder uppgifter om enskilda personer samlas hos myndigheter, i synnerhet som dagens teknik tillåter att avancerade sammanställningar av information kan göras på ett enkelt sätt (se avsnitt 4.2). En metod att minska integritetskänsligheten är att se till att uppgifter som inte längre behövs för en myndighets verksamhet inte finns kvar i myndighetens uppgiftssamlingar eller register. För att uppnå detta krävs bestämmelser om gallring av uppgifter eller om överlämnande av uppgifter till en arkivmyndighet.

Vid utformningen av gallringsbestämmelser måste det dock hållas i minnet att offentlighetsprincipen – för att den inte skall bli verkningslös – ställer krav på att vissa uppgifter bevaras för framtiden. Uppgifter får i princip aldrig gallras i sådan omfattning att det äventyrar arkivens roll som en del av kulturarvet eller något av de tre huvudändamålen med arkivverksamheten. Även efter en genomförd gallring måste arkiven således kunna tillgodose rätten att ta del av allmänna handlingar, rättsskipningens och förvaltningens behov samt forskningens behov. Det är alltså inte så

enkelt att bara ange att samtliga uppgifter skall gallras när de inte behövs för verksamheten. Tvärtom behövs en avvägning mellan integritets- och offentlighetsintresset. Detta är viktigt inte minst i en tid då mängder av uppgifter finns endast i elektronisk form. En total gallring av uppgifter i ett dataregister kan med andra ord omöjliggöra en senare rekonstruktion av händelseförlopp. Integritetsintresset tjänas inte alltid bäst av att så många uppgifter som möjligt gallras. I vissa fall har bevarandet av känsliga uppgifter visat sig vara till stor fördel för enskilda. Som exempel kan nämnas steriliseringsfrågan. Ett stort antal personer kan efter många år nu få upprättelse för tidigare allvarliga integritetskränkningar, just på grund av att de känsliga uppgifterna inte har förstörts, utan i stället har bevarats och därigenom kunnat utgöra underlag för att rekonstruera historiska händelseförlopp.

Grundläggande bestämmelser om bevarande och gallring av uppgifter hos myndigheter finns i 2 kap. tryckfrihetsförordningen och arkivlagen (1990:782). Innebörden av dessa bestämmelser redovisas i avsnitt 2.6. I dag kompletteras dessa regler ofta med särskilda bestämmelser i registerförfattningarna. Gallringsbestämmelserna i de författningarna är i flera fall svåra att tillämpa på grund av den detaljerade uppläggningen av bestämmelserna. Enligt vår bedömning finns det behov av klara och enkla regler om gallring i de lagar som skall reglera behandling av personuppgifter i myndighetsverksamhet. Hur dessa bestämmelser bör utformas kan bero på sådana omständigheter som omfattningen av och integritetskänsligheten hos de registrerade uppgifterna.

6.8.2. Alternativa metoder för reglering av bevarande och gallring

Vi har funnit att det finns fem huvudalternativ till hur gallrings- och bevarandefrågor kan regleras i speciallagstiftningen för behandling av personuppgifter i myndighetsverksamhet, nämligen

1. att inte ha några särbestämmelser över huvud taget,

2. att ange att regeringen eller Riksarkivet får besluta om gallring skall

ske,

3. att ange att samtliga uppgifter skall gallras och när det skall göras,

men ge regeringen eller Riksarkivet möjlighet att besluta om undantag,

4. att i detalj ange vilka uppgifter som skall gallras eller bevaras och när

gallring skall göras, men ge regeringen eller Riksarkivet möjlighet att besluta om undantag, eller

5. att ange att samtliga uppgifter skall gallras och när det skall göras,

utan möjlighet för regeringen eller Riksarkivet att besluta om undantag.

För integritetskänsliga databaser är det enligt vår bedömning tveksamt att tillämpa alternativ 1. Det skulle innebära att lagstiftaren inte hade någon direkt kontroll över gallringsförfarandet för de aktuella uppgifterna, utan att de generella och allmänna bestämmelserna i arkivlagen skulle gälla fullt ut. Tekniken har i och för sig använts i annan lagstiftning som rör känsliga uppgifter, men det har då funnits särskilda skäl för det. I lagen (1998:543) om hälsodataregister saknas bestämmelser om gallring, vilket innebär att arkivlagens bestämmelser blir tillämpliga. Regeringen konstaterade i förarbetena att en alltför omfattande gallring kunde leda till att det inte finns tillräckligt med material för t.ex. epidemiologiska undersökningar, medan en alltför begränsad gallring kunde leda till att känsliga uppgifter om enskilda sparas i onödan. På grund av svårigheterna med att i lagform reglera flera olika register som förändras över tiden avseende innehåll m.m., stannade regeringen vid att låta arkivlagens bestämmelser gälla (prop. 1997/98:108 s. 59 f.).

Även alternativ 2 kan ifrågasättas från integritetssynpunkt. En tilllämpning av den metoden skulle innebära att alla uppgifter i en databas bevaras, om det inte särskilt föreskrivs eller beslutas om att de skall gallras. För omfattande uppgiftssamlingar är det knappast en lämplig metod ur någon synvinkel. Inte minst kan problem uppstå när nya kategorier av uppgifter tillkommer. Det skulle då krävas särskilda beslut eller föreskrifter för att dessa uppgifter över huvud taget skulle gallras. En underlåtenhet att reglera gallring skulle leda till att uppgifterna bevaras utan tidsgräns.

Om alternativ 3 kan sägas att det är en metod som utgår från att det i lag ställs upp huvudregler för när gallring skall ske. Regeringen eller Riksarkivet kan sedan besluta eller meddela föreskrifter om att vissa kategorier av uppgifter skall gallras vid en tidigare tidpunkt medan andra uppgifter skall bevaras under längre tid eller inte gallras över huvud taget. Detta innebär en fördel från författningssynpunkt, eftersom särskild reglering behöver göras endast när det finns skäl för det. En ytterligare fördel med en sådan metod är att det direkt i lagtexten finns en ”säkerhetsventil” mot att stora uppgiftssamlingar innehåller uppgifter som inte har något faktiskt värde, men som på grund av sin omfattning kan vara skadliga från integritetssynpunkt. Det bör dock noteras att metoden ställer krav på att det efter hand tas ställning till hur nya uppgiftskategorier skall behandlas, eftersom de annars kan komma att gallras ut helt utan att material bevaras för framtiden.

En fördel med alternativ 4 är att det direkt i lag klargörs vad som gäller för olika kategorier av uppgifter. Det torde därför inte krävas någon större författningsreglering i efterhand av regeringen eller Riksarkivet. Alternativet har dock nackdelen att lagstiftningen kan komma att bli onödigt detaljerad och svårtillämpad. Så är t.ex. fallet i dag med skatteregisterlagens gallringsbestämmelser. Därtill kommer att lagen eventuellt skulle behöva ändras i samband med att nya uppgiftskategorier tillförs eller tas bort från databasen, vilket i möjligaste mån bör undvikas. Slutligen kan det hävdas att en sådan ordning kräver mycket noggranna överväganden om vilka uppgifter som behöver bevaras av olika skäl som t.ex. för forskningens behov. Sådana gallringsutredningar är det tveksamt om riksdagen skall behöva ta ställning till.

När det gäller alternativ 5 är det enligt vår bedömning klart att nackdelarna är så stora att metoden inte bör komma i fråga. Förutom problemen – som även gäller för alternativ 4 – med att lagbestämmelserna av nödvändighet måste bli detaljerade, tillkommer risken att samhällets behov av att uppgifter bevaras blir eftersatt.

6.8.3. Olika metoder för olika databaser

Vi gör bedömningen att en metod som innebär att endast arkivlagens bestämmelser skall tillämpas (alternativ 1 ovan) bör kunna tillämpas i de fall då databaserna av olika skäl inte kan anses särskilt integritetskänsliga. Några särskilda regler om bevarande och gallring för att garantera enskildas integritet lär då inte behövas, samtidigt som arkivlagens bestämmelser säkerställer att uppgifter bevaras i den omfattning som offentlighetsprincipen kräver.

För databaser som är mer integritetskänsliga anser vi att det lämpligaste är att tillämpa en metod som innebär att det i lagtexten anges huvudregler för när gallring skall ske, men att regeringen eller den myndighet som regeringen bestämmer, Riksarkivet, ges möjligheter att föreskriva eller fatta beslut om undantag när det anses motiverat (alternativ 3 ovan). Denna lagstiftningsteknik gör det möjligt att ta hänsyn till såväl offentlighets- som integritetsintressen, utan att det samtidigt kräver en mer omfattande eller tillkrånglad författningsreglering. Att uppgifter skall gallras ur en databas innebär inte med nödvändighet att uppgifterna raderas från lagringsmedierna eller förstörs på annat sätt. Det kan vara tillräckligt att åtgärder vidtas så att uppgifterna inte är tillgängliga för myndigheten i den löpande verksamheten. Det kan finnas anledning att i någon form bevara uppgifter som inte längre bör finnas tillgängliga i en databas. I de fall uttryckliga gallringsbestämmelser skall finnas för en databas, föreslår vi därför att regeringen eller den myndighet regeringen

bestämmer skall ges möjlighet att meddela föreskrifter om att uppgifter som undantas från gallring skall överlämnas till en arkivmyndighet. Med en sådan ordning är det möjligt att utnyttja den kunskap och överblick som arkivmyndigheterna besitter i fråga om arkivbildning. Därigenom kan irreparabla misstag i form av oåterkallelig och från arkivbildningens synpunkt felaktig gallring lättare undvikas.

Vilken metod som enligt vår uppfattning lämpar sig bäst för de olika databaserna, redovisar vi i 8 kap. i samband med den närmare genomgången av bl.a. gallringsbestämmelserna i våra lagförslag för skatteförvaltningen, exekutionsväsendet och Tullverket.

6.9. Myndigheters avgiftsuttag vid utlämnande av uppgifter

Vårt förslag: En myndighet som är personuppgiftsansvarig för behandling av uppgifter i en databas, skall få ta ut avgifter för att lämna ut uppgifter ur databasen. Regeringen skall meddela närmare föreskrifter om avgiftsuttag.

Rätten för myndigheter att ta ut avgifter skall inte få innebära inskränkning i rätten att enligt tryckfrihetsförordningen ta del av och mot fastställd avgift få kopia eller utskrift av allmän handling.

6.9.1. Riksrevisionsverkets rapport om avgiftsuttag inom offentlig sektor

Regeringen gav år 1995 Riksrevisionsverket i uppdrag att ta fram principer för prissättning av informationstjänster inom den offentliga sektorn. Uppdraget omfattade att ”ta fram enhetliga principer för prissättning av avgiftsbelagda uttag ur databaser med elektroniskt lagrade uppgifter”. Sådant uttag angavs kunna ske genom direktuppkoppling, utskrifter, överföring av uppgifter till diskett, cd-skiva eller liknande. Med databas avsåg man ”data ordnade i dataregister för ett eller flera ändamål”. Riksrevisionsverkets uppdrag – som genomfördes i samarbete med Statistiska centralbyrån och Statskontoret – presenterades i rapporten Principer för prissättning av informationstjänster (RRV 1995:64).

Riksrevisionsverket föreslog i rapporten att en enhetlig princip för prissättning av uttag av information ur databaser skulle tillämpas inom den offentliga sektorn, om inget annat beslutas särskilt. Principen inne-

bär att avgifterna för uttagen skall beräknas så att samtliga kostnader för att framställa och distribuera uttagen täcks.

Fyra tänkbara motiv för avgiftsbeläggning av informationstjänster redovisades:

  • finansiella skäl (statsbudgeten avlastas),
  • fördelningspolitiska skäl (det kan anses skäligt att den som efterfrågar en tjänst och som orsakar kostnader får betala),
  • avgifterna kan användas i styrande syfte,
  • ökat kostnadsmedvetande.

Riksrevisionsverket pekade på vissa hinder för att avgiftsbelägga uttag av uppgifter ur offentliga databaser. Först och främst garanterar offentlighetsprincipen i 2 kap. tryckfrihetsförordningen rätten för enskilda att kostnadsfritt ta del av information i form av allmänna handlingar och att mot fastställd avgift få del av kopia eller utskrift. Bestämmelser om sådana avgifter finns i 1524 §§avgiftsförordningen (1992:191). Av 15 kap. 4 § sekretesslagen (1980:100) samt 4 och 6 §§förvaltningslagen (1986:223) följer att myndigheter har en serviceskyldighet gentemot enskilda eller andra myndigheter som innebär att information under vissa förutsättningar skall tillhandahållas avgiftsfritt. En tredje omständighet som kan förhindra avgiftsuttag är i lagstiftning föreskriven uppgiftsplikt. Statsmakten kan härigenom ha ålagt en myndighet att avgiftsfritt föra över uppgifter till en annan myndighet. Slutligen konstaterar Riksrevisionsverket att avgiftsuttag inte får motverka syftet med en myndighets verksamhet. En myndighet kan i sin verksamhet vara betjänt av att uppgifter sprids i största möjliga omfattning, och att under sådana omständigheter avgiftsbelägga rätten till informationen kan missgynna myndigheten.

6.9.2. Regeringens syn på avgiftsuttag

Regeringen markerade i prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, att en enkel, säker och kostnadseffektiv tillgång till samhällets grundläggande information, eller grunddata, är av väsentlig betydelse såväl för den offentliga förvaltningen som för medborgare och företag samt att de möjligheter som tillkommit att enkelt ta del av myndigheters information till följd av deras IT-anpassning måste tas till vara. Med grunddata avsåg regeringen offentlig information med bred användning som är av vikt för samhällets effektivitet.

Regeringen konstaterade att principen för avgiftssättning i fråga om myndigheters tillhandahållande av olika varor och tjänster är full

kostnadstäckning enligt beslut av riksdagen (prop. 1989/90:138, 1989/90:FiU38, rskr. 1989/90:289) och att bestämmelser om detta finns i avgiftsförordningen (1992:191), men att det saknas uttrycklig reglering av tillhandahållande av uppgifter i elektronisk form. Regeringen fann att den avgift som en myndighet får ta ut bör begränsas för att förbättra tillgängligheten till elektroniskt lagrad information. Avgiften bör därför grundas på kostnaden för att ta fram och distribuera informationen, medan de indirekta kostnaderna för att bl.a. samla in och lagra informationen inte bör räknas in.

6.9.3. Regeringsbeslut om avgiftsuttag inom skatteförvaltningen och exekutionsväsendet

Regeringen beslutade den 30 mars 1995 att medge att Riksskatteverket, skattemyndigheterna och kronofogdemyndigheterna får ta ut avgift för att lämna ut uppgifter ur regionala folkbokföringsregister, skatteregister, regionala fastighetstaxeringsregister, utsökningsregistret samt registren för betalningsföreläggande och handräckning. Medgivandet gällde inte utlämnande som följer av offentlighetsprincipen eller annars av en skyldighet enligt lag eller förordning att lämna ut uppgifter. Beslutet, som gällde till utgången av 1995, har vid flera tillfällen ersatts av nya beslut, varigenom regeringen förlängt medgivandet att ta ut avgifter. Det senaste beslutet fattades den 3 december 1998 och gäller till den 1 juli 2001.

Rätten att ta ut avgifter enligt regeringens beslut har av de olika myndigheterna utnyttjats i olika omfattning. Avgifter tas bl.a. ut inom exekutionsväsendet för utlämnande av uppgifter till kreditupplysningsföretag samt inom skatteförvaltningen för utlämnande till kreditupplysningsföretag, kommuner, landsting och församlingar. Redovisningen för Riksskatteverket, skattemyndigheterna och kronofogdemyndigheterna är utformad på sådant sätt att det i efterhand inte är möjligt att mer exakt ge besked om vilka avgiftsintäkter som härrör från avgiftsbelagt utlämnande med stöd av regeringens medgivande. En överslagsberäkning från Riksskatteverket ger dock vid handen att merparten av intäkterna kommer från exekutionsväsendets utlämnande till kreditupplysningsföretag.

6.9.4. När bör avgifter få tas ut?

Såsom Riksrevisionsverket har redovisat i sin rapport Principer för prissättning av informationstjänster (RRV 1995:64) kan det finnas olika skäl

för att en myndighet tar ut eller avstår från att ta ut avgifter (se avsnitt 6.9.1). Vi anser, vilket vi motiverar nedan, att det för skatteförvaltningen, exekutionsväsendet och Tullverket är möjligt att slå fast vissa grundläggande principer som kan vara vägledande för när avgifter skall tas ut respektive inte tas ut vid utlämnande ur databaser, nämligen följande:

  • avgifter skall normalt tas ut inom folkbokföringsverksamheten oavsett till vem uppgifter lämnas ut,
  • avgifter skall normalt tas ut inom samtliga verksamheter när utlämnade sker till enskilda subjekt,
  • avgifter skall normalt tas ut inom samtliga verksamheter när uppgifter lämnas ut i form av sammanställningar (statistiska beräkningar e.d.) till myndigheter eller enskilda,
  • avgifter bör inte tas ut vid utlämnande av uppgifter till statliga myndigheter,
  • avgifter bör inte tas ut när den utlämnande myndigheten själv har nytta av att utlämnande sker i så stor omfattning som möjligt.

Det grundläggande syftet med folkbokföringen är att tillgodose samhällets behov av folkbokföringsuppgifter, vilket skulle kunna tala för att avgifter inte skall tas ut i den verksamheten. Det kan nämligen argumenteras för att ett frekvent utlämnande av folkbokföringsuppgifter kommer samhället tillgodo på olika sätt, t.ex. genom ökad effektivitet inom den offentliga sektorn. Folkbokföringsverksamheten belastas dock i olika hög grad av myndigheter m.fl. i samhället när det gäller uttag av uppgifter, vilket innebär att avgiftsfrihet skulle leda till en snedfördelning av kostnadsansvaret för verksamheten. Enligt vår mening finns det fog för principen att kostnaden för uppgiftsuttagen skall fördelas mellan dem som tar del av uppgifterna i proportion till mängden uppgifter som de får del av. Vi är därför av den uppfattningen att automatiserat utlämnande av folkbokföringsuppgifter bör vara avgiftsbelagt. En följd av denna principiella inställning är att vi inte anser att det finns några bärande skäl för att bevara den avgiftsfrihet som i dag gäller inom folkbokföringen för utlämnande av uppgifter i aviseringsregistret till Rikspolisstyrelsen, Riksförsäkringsverket, Totalförsvarets pliktverk, Lantmäteriverket och Statistiska centralbyrån

Enskilda har normalt möjlighet att få tillgång till uppgifter med stöd av tryckfrihetsförordningen. För sådant uppgiftsutlämnande finns särskilda bestämmelser om avgifter. När enskilda vill ta del av en större mängd uppgifter på medium för automatiserad behandling – vilket inte omfattas av tryckfrihetsförordningens bestämmelser – av t.ex. marknadsföringsskäl eller av andra orsaker som betingas av bedriven närings-

verksamhet, finns det enligt vår mening anledning att låta dem som drar nytta av uppgifterna att bidra ekonomiskt till den verksamhet från vilken utlämnandet sker. Vid utlämnande på elektronisk väg till enskilda bör de utlämnande myndigheterna således få ta ut avgifter.

När en myndighet på beställning av andra myndigheter m.fl. gör statistiska sammanställningar eller andra beräkningar på automatiserad väg av uppgifter i databaser, är det enligt vår mening rimligt att beställaren bär kostnaden för de behandlingar som ligger till grund för utlämnandet. Detsamma bör gälla när det finns en efterfrågan på t.ex. statistiska sammanställningar som regelmässigt tillhandahålls av en myndighet utan att det uttryckligen är en beställning från ett eller flera subjekt. Enligt vad vi har erfarit är sådant utlämnande främst aktuellt för Tullverket.

Mellan bl.a. Tullverket och myndigheter inom skatteförvaltningen förekommer ett nära samarbete i ett antal frågor. Det gäller främst kontrollverksamhet m.m. avseende mervärdesskatt och punktskatter. När myndigheter med näraliggande verksamheter lämnar ut uppgifter till varandra, är det enligt vår uppfattning inte rimligt att avgifter tas ut. Tvärtom är det värdefullt att ett sådant utbyte av uppgifter flyter så smidigt som möjligt och att belägga sådant utlämnande med avgifter är enligt vår mening inte motiverat från någon synpunkt. Även när det inte förekommer ett direkt löpande samarbete mellan myndigheter, anser vi att mycket talar för att avgifter inte bör tas ut av statliga myndigheter. När en statlig myndighet begär uppgifter från exempelvis en skatte- eller kronofogdemyndighet, får det förutsättas att uppgifterna är avsedda att användas på ett för staten värdefullt sätt. Även om det kan argumenteras för att kostnaden för utlämnande av uppgifter mellan statliga myndigheter av budgeteringsskäl bör fördelas, anser vi inte att det finns bärande skäl för att t.ex. Rikspolisstyrelsen eller Riksförsäkringsverket m.fl. skall betala avgifter för uppgifter från skatteförvaltningen, exekutionsväsendet eller Tullverket som de behöver i sin verksamhet. Undantag från denna princip bör dock göras vid löpande uttag av folkbokföringsuppgifter (se ovan om folkbokföringsuppgifter).

Det förekommer att myndigheter på elektronisk väg tillhandahåller – eller vill ha möjlighet att tillhandahålla – uppgifter för att de skall få så omfattande spridning som möjligt. I de fallen kan det närmast vara hämmande för verksamheten att avgiftsbelägga utlämnandet och sådana uppgifter bör således tillhandahållas kostnadsfritt. Som exempel på uppgifter vilka bör få så stor spridning som möjligt, kan nämnas information från skatteförvaltningen om näringsidkares innehav av skattsedel.

6.9.5. En lagreglerad rätt att ta ut avgifter

En fråga som inställer sig är om det finns anledning att författningsreglera rätten för myndigheter att ta ut avgifter vid utlämnande av uppgifter ur databaser. En sådan reglering skulle ersätta det i avsnitt 6.9.3 diskuterade medgivande som regeringen har lämnat Riksskatteverket, skattemyndigheterna och kronofogdemyndigheterna att ta ut avgifter vid utlämnande från olika register. Om det medgivandet kan förväntas bli permanentat talar starka skäl för att direkt i den lagstiftning som skall reglera behandlingen av personuppgifter ge myndigheterna rätt att ta ut avgifter. En sådan reglering skulle bli aktuell i flertalet av de lagar vi föreslår. Avgifter får nämligen tas ut inom beskattningsverksamhet, folkbokföringsverksamhet, utsökningsverksamhet m.m. Det kan även finnas anledning att ha motsvarande reglering för Tullverkets databas.

Vi redovisar i föregående avsnitt som vår inställning att avgifter under vissa förutsättningar bör få tas ut vid utlämnande från myndigheternas databaser. Vi föreslår därför att de myndigheter som berörs av våra lagförslag skall ges möjlighet att ta ut avgifter för att lämna ut uppgifter ut databaser. Det bör dock ankomma på regeringen att närmare föreskriva om när och i vilken omfattning avgifter skall tas ut. Avgiftsuttag enligt den föreslagna bestämmelsen får naturligtvis inte inskränka på rätten att ta del av och mot i annan ordning fastställd avgift få kopia eller avskrift av en allmän handling enligt tryckfrihetsförordningen.

kan därför inte ställas krav på rättelse. Liknande situationer kan självfallet uppstå även hos kronofogdemyndigheter och hos Tullverket.

Även om det inte är möjligt att ge en exakt definition på vad som är en oriktig uppgift, anser vi att man bör ha som utgångspunkt att en uppgift, trots att den inte återger en korrekt bild av ett sakförhållande, inte är oriktig i den bemärkelsen att den skall rättas, om den korrekt återger ett händelseförlopp i verksamheten och dessutom behövs i densamma. Bedömningen av om en uppgift behövs i verksamheten måste enligt vår uppfattning göras mot bakgrund av de primära ändamålen för en databas (se avsnitt 6.2.2). Riktigheten av en uppgift som behandlas i beskattningsdatabasen måste således bedömas mot bakgrund av skatteförvaltningens behov av uppgiften i beskattningsverksamheten. Det får emellertid bli en fråga för framtida praxis att ge närmare lösningar på problemen med att avgöra under vilka förutsättningar rättelse skall göras.

I det här sammanhanget är det viktigt att påpeka att frågan om rättelse av materiella förhållanden inte skall göras med stöd av bestämmelserna i personuppgiftslagen, utan med stöd av den lagstiftning som gäller för den materiella verksamheten. En skattskyldig som är missnöjd med skattemyndighetens beslut om vilken taxerad inkomst som skall åsättas honom, skall självfallet begära omprövning av beslutet med stöd av taxeringslagen. Den taxerade inkomsten kan inte materiellt ändras efter en begäran om rättelse enligt 28 § personuppgiftslagen av den i databasen registrerade uppgiften.

Olika former av rättelse

Rättelse kan göras genom att en uppgift rättas, blockeras eller utplånas (se avsnitt 7.2.1). Att en personuppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter. Med blockering avses en åtgärd som vidtas för att personuppgifter skall vara förknippade med information om att de är spärrade och om anledningen till spärren. Att en uppgift utplånas innebär att den förstörs så att den inte kan återskapas. I personuppgiftslagen finns inga bestämmelser om när en viss form av rättelse skall vidtas, utan det bör vara upp till den personuppgiftsansvarige om en uppgift skall rättas, blockeras eller utplånas.

Det torde ofta inte vara några problem att avgöra hur rättelse skall göras. Om en uppgift har blivit felaktig i samband med registreringen, t.ex. angivande av felaktig adress för en part i ett ärende, bör felet givetvis åtgärdas genom att uppgiften rättas, dvs. i nämnda exempel att korrekt adress anges. Om en uppgift som enligt lagstiftningen över huvud taget inte får behandlas i en databas ändå har registrerats, är den enda rimliga åtgärden att uppgiften utplånas. När en uppgift befinns vara oriktig, men ändå är av betydelse i verksamheten, kan ett alternativ

vara att uppgiften kompletteras med nya och korrekta uppgifter samtidigt som den ursprungliga uppgiften blockeras.

Någon närmare vägledning om hur rättelse skall göras är enligt vår mening inte möjligt att ge. En bedömning av vilken åtgärd som är mest ändamålsenlig får göras i de enskilda fallen.

Personuppgiftsansvaret

Skyldigheten att göra rättelse åligger den personuppgiftsansvarige. För behandling av personuppgifter i skatteförvaltningens och exekutionsväsendets verksamheter föreslår vi ett delat personuppgiftsansvar på så sätt att en myndighet är personuppgiftsansvarig för den behandling som ankommer på myndigheten att utföra (se avsnitt 5.2.2). Det innebär att det i fråga om den personuppgiftsansvariges skyldighet att på begäran av enskild göra rättelse, kan bli aktuellt att fördela ansvaret så att rättelse utförs av flera olika myndigheter. I praktiken torde det dock inte behöva medföra några problem att avgöra vilken myndighet som ansvarar för att rättelse görs. Den myndighet på vilken det ankommer att registrera en uppgift i en databas ansvarar för att uppgiften blir korrekt registrerad, medan de myndigheter som vid senare tillfällen använder uppgiften var och en ansvarar för sin behandling. Ansvaret för att uppgifter blir korrekt registrerade innebär inte endast ett ansvar för att de uppgifter som registreras är riktiga, utan även för att registrering faktiskt görs när det följer av de bestämmelser som gäller för verksamheten.

Liksom i fråga om informationsskyldigheten bör myndigheterna, för att undvika de problem det kan innebära att flera myndigheter kan vara personuppgiftsansvariga, hjälpa enskilda med upplysningar om vart de skall vända sig för att få rättelse till stånd (se avsnitt 7.1.2).

7.3 Skadestånd

Vårt förslag:Personuppgiftslagens bestämmelse om skadestånd skall tillämpas när personuppgifter behandlas enligt den särskilda lagstiftningen för skatteförvaltningen, exekutionsväsendet och Tullverket.

Enligt 48 § personuppgiftslagen skall den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Rätten till skadestånd bör finnas även för skada och kränkning som uppstår när uppgifter behandlas i strid med de särskilda bestämmelserna i våra lagförslag. Vi förslår därför att bestämmelserna om skadestånd i 48 § personuppgiftslagen skall tillämpas när personuppgifter behandlas i strid med den av oss föreslagna lagstiftningen.

7.4 Överklagande

Vårt förslag: Myndigheters beslut om information som skall lämnas efter ansökan och om rättelse skall kunna överklagas hos allmän förvaltningsdomstol. Andra beslut får inte överklagas.

Prövningstillstånd skall krävas vid överklagande till kammarrätt.

Vårt uppdrag omfattar regleringen av behandling av personuppgifter hos olika förvaltningsmyndigheter. Beslut av sådana myndigheter, med undantag för beslut av rent administrativ eller intern karaktär, som direkt berör enskilda bör enligt vår mening kunna överklagas. De beslut som vi anser skall kunna överklagas är beslut att avslå en ansökan om information om pågående behandling samt beslut att avslå en begäran om rättelse. Andra beslut av den personuppgiftsansvariga myndigheten bör inte kunna överklagas. Frågor om skadestånd och straff prövas av allmän domstol och berörs inte av den föreslagna bestämmelsen.

Myndigheters beslut att avslå en ansökan om information om pågående behandlingar kan avse rätten att få besked i fråga om personuppgifter behandlas eller inte samt rätten att få skriftlig information om personuppgifter som behandlas. Överklagande bör vara möjligt i bägge fallen. Den informationsskyldighet som föreskrivs i 26 § personuppgiftslagen är i flera avseenden vidare än skyldigheten för myndigheter att

enligt tryckfrihetsförordningen lämna ut allmän handling. Således skall informationen lämnas kostnadsfritt en gång per år samt innehålla upplysning om varifrån uppgifterna har hämtats och vilka ändamålen med behandlingen är. Den möjlighet som enligt sekretesslagen finns att överklaga ett beslut om avslag på en begäran att få ut en allmän handling, kan därför inte ersätta en särskild överklagandebestämmelse.

Besluten bör överklagas till allmän förvaltningsdomstol och det bör krävas prövningstillstånd vid överklagande till kammarrätten.

8. Särskilda bestämmelser för olika verksamheter

Vårt uppdrag omfattar en översyn av registerlagstiftningen inom verksamheter som spänner över stora områden. Inom skatteförvaltningen hanteras personuppgifter och andra uppgifter i såväl beskattnings- som folkbokföringsverksamhet. Dessutom är skatteförvaltningen – tillsammans med länsstyrelserna och de kommunala valnämnderna – ansvarig för verksamheten med val och folkomröstningar. Exekutionsväsendets uppgifter omfattar utsöknings- och indrivningsverksamhet, skuldsaneringsverksamhet, verksamhet med betalningsföreläggande och handräckning (summarisk process) samt verksamhet med tillsyn i konkurs. Vidare ingår i vårt uppdrag att utreda register i Tullverkets verksamhet. Vi konstaterar i 4 kap. att så vitt skilda verksamhetsområden inte kan regleras enhetligt med avseende på behandling av personuppgifter. I de flesta avseenden utgår dock den föreslagna lagstiftningen från enhetliga principer och våra lagförslag för de olika verksamheterna har därmed fått en likartad uppbyggnad. Ett flertal bestämmelser kan därför ha en identisk eller liknande utformning för de olika verksamheterna.

Vi redogör i 5–7 kap. på ett mer allmänt plan för våra överväganden i fråga om de bestämmelser som är relevanta för samtliga våra lagförslag. I detta kapitel redovisar vi vår inställning till de specifika bestämmelser som bör gälla för respektive verksamhet. Även de mer verksamhetsanpassade bestämmelserna uppvisar emellertid i flera avseenden betydande likheter med varandra. Vi har trots det valt att för varje lagförslag redovisa våra överväganden i sin helhet. Det innebär i och för sig att identiska eller liknande överväganden i vissa fall återges för varje lagförslag, men det underlättar förhoppningsvis för den läsare som endast är intresserad av bestämmelserna i en viss lag eller – i fråga om exekutionsväsendet – för en viss databas. Av betydelse för utformningen av kapitlet är även det förhållandet att vi inte redovisar den närmare innebörden av enskilda bestämmelser i en författningskommentar. Detta kapitel har därför delvis funktionen av en sådan kommentar.

Vårt uppdrag omfattar en anpassning av registerlagstiftningen till dataskyddsdirektivet samt – främst i fråga om skatteförvaltningens beskattningsverksamhet och exekutionsväsendets verksamheter – en materiell översyn grundad på andra överväganden. En utgångspunkt för våra

förslag har varit att, i den mån det är möjligt med hänsyn till dataskyddsdirektivet, inte försämra de möjligheter till behandling av personuppgifter och andra uppgifter som utförs av myndigheterna i dag i enlighet med gällande registerlagstiftning eller med stöd av tillstånd från Datainspektionen. En annan utgångspunkt för våra förslag har varit att värna om ett stark integritetsskydd.

8.1. Skatteförvaltningens beskattningsverksamhet

8.1.1. En särskild lag för beskattningsverksamheten

Vårt förslag: Behandling av personuppgifter och andra uppgifter i den del av skatteförvaltningens verksamhet som rör beskattningsfrågor skall regleras i en särskild lag.

Skatteförvaltningens verksamhet kan enligt förordningen (1990:1293) med instruktion för skatteförvaltningen delas in i fyra huvudsakliga grenar. Den största delen avser frågor om skatter, socialavgifter och pensionsgrundande inkomst, dvs. det som vi sammanfattar under benämningen beskattningsverksamhet. Härutöver är det skatteförvaltningens uppgift att behandla frågor om folkbokföring, allmänna val och brottsutredningar. När vi övervägt frågan om den praktiska uppläggningen av lagstiftningen i fråga om behandling av personuppgifter och andra uppgifter i skatteförvaltningens verksamhet, har vi inledningsvis konstaterat att frågor om brottsutredningar ligger utanför vårt uppdrag. För den grenen av verksamheten finns numera en särskild lag, nämligen lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar.

Därefter har vi haft att beakta om övriga verksamhetsgrenar skall regleras i en eller flera lagar. Avseende frågor om val och folkomröstningar kunde vi redan vid ett tidigt stadium konstatera att de inte är helt anpassningsbara till de övriga verksamheterna, eftersom dessa frågor också innefattar myndigheter som inte ingår i skatteförvaltningens organisation. Förutom Riksskatteverket och skattemyndigheterna är nämligen länsstyrelserna och de kommunala valnämnderna ansvariga för arbetet med val och folkomröstningar. Den delen av förvaltningens verksamhet bör därför av naturliga skäl regleras särskilt.

Det är mindre självklart om beskattnings- och folkbokföringsfrågor bör regleras gemensamt eller var för sig. Dessa verksamhetsgrenar utgör kärnan i skatteförvaltningen och gemensamt för dem är att de innefattar en mycket omfattande behandling av personuppgifter som berör hela eller i stort sett hela Sveriges befolkning. Ett flertal argument kan föras fram för ståndpunkten att beskattningsfrågor bör regleras i en lag och folkbokföringsfrågor i en annan. För det första är verksamhetsgrenarna organisatoriskt åtskilda på så sätt att uppgifterna inte behandlas av samma personalkategorier. Dessutom är sekretesskyddet väsentligt strängare för uppgifter inom beskattningsverksamheten än inom folkbokföringen. För det andra har de frågor som hanteras av respektive verksamhetsgren inte någon egentlig saklig anknytning till varandra. För det tredje är typerna av uppgifter som behandlas så olika, att det är svårt att se någon lagteknisk vinst med en gemensam reglering. De argument vi har funnit för en gemensam reglering, främst att antalet lagar som reglerar behandling av personuppgifter inom en myndighetsorganisation bör begränsas, har inte sådan bärkraft att det väger upp nackdelarna. Vi har således stannat för en lösning som innebär att skatteförvaltningens beskattningsverksamhet regleras i en särskild lag som inte omfattar andra delar av förvaltningens verksamhet.

8.1.2. Ändamålen med behandling i beskattningsdatabasen

Vårt förslag: Uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs inom skatteförvaltningen för

  • fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,
  • bestämmande av pensionsgrundande inkomst,
  • kontroll, revision, prövning, granskning, tillsyn och analys,
  • fastighetstaxering,
  • fullgörande av åligganden som följer av internationella överenskommelser som Sverige efter riksdagens godkännande har tillträtt,
  • tillsyn, kontroll, uppföljning och planering av verksamheten, samt
  • framställning av statistik.

Uppgifter skall även få behandlas i databasen för tillhandahållande av information som behövs i författningsreglerad verksamhet utanför skatteförvaltningen för

  • fastställande av underlag för skatter eller avgifter samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,
  • utsökning och indrivning,
  • tillsyn samt lämplighets-, tillstånds- och annan liknande prövning, samt
  • framställning av statistik.

Som framgår av avsnitt 6.1 föreslår vi att det för de verksamheter som vi har att utreda skall finnas en särskild reglering för behandling i databaser. För en närmare redogörelse av vad som avses med begreppet databas och beskrivning av när behandling av personuppgifter och andra uppgifter skall omfattas av de särskilda reglerna för databaser hänvisas till det avsnittet.

Beskattningsverksamheten, dvs. den del av skatteförvaltningens verksamhet som enligt förordningen (1990:1923) med instruktion för skatteförvaltningen rör frågor om skatter, avgifter, fastighetstaxering samt fastställande av pensionsgrundande inkomst, är mycket komplex och innefattar tillämpning av ett mycket stort antal författningar som reglerar bl.a. skattskyldighet samt förfarandet vid fastställande av underlag för och bestämmande och betalning av skatter och avgifter (se om verksamheten i avsnitt 3.1.1). Detta till trots anser vi det naturligt att se hela beskattningsverksamheten som en gren av skatteförvaltningens arbetsområde. Det är inte på samma sätt naturligt att dra en gränslinje mellan exempelvis fastighetstaxering och inkomsttaxering eller mellan uppbörd av avgifter och mervärdesskatt som mellan beskattningsverksamheten i stort och folkbokföringsverksamheten. I beskattningsverksamheten samordnas ofta olika beskattningsområden, exempelvis genom att samtliga beskattningsfrågor rörande en viss person handläggs gemensamt i samband med årlig taxering. Vi anser därför att det finns starka skäl för att samordna regleringen av den behandling av uppgifter som i dag utförs i de personregister som förs inom beskattningsverksamheten i en gemensam databas. Det kan här nämnas att vi för exekutionsväsendet har intagit motsatt ståndpunkt, dvs. vi föreslår en reglering som omfattar flera databaser, eftersom det i kronofogdemyndigheternas verksamhet finns klarare gränslinjer mellan olika arbetsområden, som t.ex. mellan handläggning av ärenden om skuldsanering och mål om utsökning (se avsnitt 8.4.1).

I de registerförfattningar och tillstånd från Datainspektionen som i dag reglerar användandet av personregister inom skatteförvaltningens beskattningsverksamhet, finns mycket detaljerade och specifika ändamålsangivelser som är anpassade till de olika register som avses med bestämmelserna. Eftersom vår avsikt är att reglera all behandling som i dag sker i olika personregister i en enda lag och i en databas, är det nödvändigt att på ett konkret och kortfattat sätt sammanfatta innebörden av alla de ändamål som anges i olika författningar och tillstånd. Att utan omarbetning överföra samtliga de ändamålsbestämmelser som gäller för dagens personregister skulle medföra att den nya lagstiftningen blir svåröverskådlig. Flera av dagens register förs dessutom för överlappande ändamål. Som exempel kan nämnas att beskattning av olika slag genomgående utgör ett ändamål för de personregister som förs av Riksskatteverket och skattemyndigheterna.

Primära ändamål

Vi har i avsnitt 6.2.2 indelat ändamålen för behandling av personuppgifter i två kategorier, primära och sekundära ändamål. Med primära ändamål avser vi ändamål som är direkt anpassade till den verksamhet som bedrivs av personuppgiftsansvariga myndigheter, dvs. Riksskatteverket och skattemyndigheterna. Som nämnts ovan är dagens ändamålsbeskrivningar för användande av personregister mycket detaljerade och svåröverskådliga. Som exempel kan nämnas ändamålen för skatteregistren. I skatteregisterlagen (1980:343) anges som ett primärt ändamål i dag bl.a. redovisning, bestämmande och betalning av skatt enligt skattebetalningslagen (1997:483), mervärdeskattelagen (1994:200), lagen (1991:586) om särskild inkomstskatt för utomlands bosatta, lagen (1990:912) om nedsättning av socialavgifter samt lagen (1951:763) om statlig inkomstskatt på ackumulerad inkomst. Hänvisningen till skattebetalningslagen innebär att skatteregisterlagens tilllämpningsområde omfattar skatt eller avgift som avses i taxeringslagen (1990:324), avgift enligt lagen (1981:691) om socialavgifter, skatt enligt lagen (1990:659) om särskild löneskatt på vissa förvärvsinkomster, avgift enligt lagen (1994:1920) om allmän löneavgift, skattetillägg och förseningsavgift i fråga om nämnda skatter och avgifter samt ränta på skatt, skattetillägg eller avgift. Hänvisningen i skattebetalningslagen till taxeringslagen leder dessutom till att skatteregisterlagen omfattar skatt eller avgift enligt kommunalskattelagen (1928:370), lagen (1947:576) om statlig inkomstskatt, lagen (1997:323) om statlig förmögenhetsskatt, lagen (1984:1052) om statlig fastighetsskatt, lagen (1990:661) om avkastningsskatt på pensionsmedel, lagen (1991:687) om särskild löneskatt

på pensionskostnader, lagen (1994:1744) om allmän pensionsavgift samt lagen (1993:1537) om expansionsmedel.

Vårt förslag till lag om behandling av personuppgifter m.m. i skatteförvaltningens beskattningsverksamhet skall förutom skatteregistren omfatta dagens fastighetstaxeringsregister, gåvoskatteregister, olika punktskatteregister samt tillfälliga projektregister. En detaljerad ändamålsbeskrivning som innefattar någon form av uppräkning av olika skatter och avgifter skulle med nödvändighet komma att bli svåröverskådlig. Situationen blir än mer komplicerad av att beskattningsområdet är ett av samhällets mest dynamiska i fråga om lagstiftningstakt. Vi anser därför att ändamålsbestämmelserna måste förenklas, samtidigt som de inte får bli så urvattnade att något konkret ändamål inte kan utläsas.

En utgångspunkt för vårt arbete har varit att det är behovet av uppgifter i beskattningsverksamheten som skall styra när, hur och vilka personuppgifter som behandlas, naturligtvis med beaktande av de skattskyldigas berättigade krav på att den personliga integriteten inte kränks. En lag om behandling av personuppgifter styr inte skatteförvaltningens verksamhet, utan verksamhetens inriktning bestäms i stället av den materiella och processuella lagstiftningen på beskattningsområdet jämte de instruktioner som gäller för skatteförvaltningen. Vi kan därför inte se att det skulle ligga någon fara i att avstå från att räkna upp enskilda skatteslag i vårt lagförslag. Av erfarenhet kan dessutom konstateras att en detaljerad lagstiftning skulle komma att förändras i takt med förändringar av den materiell lagstiftningen. Vi föreslår därför att huvudsyftet med en beskattningsdatabas skall vara att ge information som behövs inom skatteförvaltningen för fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter. Syftet med bestämmelsen är således att all beskattningsverksamhet som bedrivs av skatteförvaltningen skall utgöra ett primärt ändamål med databasen. Det innebär att med skatt avses samtliga de skatter som det åligger skatteförvaltningen att handlägga. Med avgifter avses såväl socialavgifter som olika förseningsavgifter och skattetillägg m.m. Även uppbörd av avgifter till trossamfund omfattas av bestämmelsen.

Vissa ändamål som kan innefattas i beskattningsverksamheten måste emellertid regleras särskilt, eftersom de inte faller in under den nyss nämnda ändamålsbeskrivningen. Bestämmande av pensionsgrundande inkomst innebär således inte ett led i beskattningsförfarandet. Detsamma kan gälla för fastighetstaxeringen, eftersom vissa fastigheter skall åsättas taxering utan att skattskyldighet för fastigheten föreligger. I sådana fall görs taxering alltså inte för fastställande av underlag för fastighetsskatt. Dessa arbetsuppgifter måste därför anges som särskilda ändamål med beskattningsdatabasen.

Skattemyndigheterna har inom ramen för beskattningsverksamheten dessutom att fullgöra vissa andra skyldigheter. Dit hör kontroller som inte i första hand leder till fastställande av underlag för skatter eller avgifter, utan kanske endast utmynnar i påpekanden om att exempelvis ett företag sannolikt kommer att anses som arbetsgivare med åtföljande skyldighet att betala preliminär skatt och arbetsgivaravgifter. Skattemyndigheterna måste i sin verksamhet även behandla uppgifter för kontroll eller revision av personer eller företag som inte är registrerade hos myndigheterna trots att de möjligen borde betala skatter och avgifter, s.k. non-filers. Enligt skattebetalningslagen skall skattemyndigheterna göra en lämplighetsprövning av en sökande innan en F-skattsedel utfärdas. Det åligger vidare skattemyndigheter att pröva och, i förekommande fall, godkänna upplagshavare enligt lagen (1994:1563) om tobaksskatt, lagen (1994:1564) om alkoholskatt och lagen (1994:1776) om skatt på energi. Den delen av skatteförvaltningens verksamhet omfattar även fortsatt tillsyn över upplagshavarna. Riksskatteverket har vidare en särskild tillsynsfunktion enligt lagen (1974:174) om identitetsbeteckningar för juridiska personer m.fl. Som en förberedande åtgärd inför revisioner eller andra kontroller tar skattemyndigheterna med hjälp av dataprogram även fram olika riskprofiler, dvs. analyser av vilka skattesubjekt som skall granskas. För att täcka in samtliga dessa åligganden som ligger i gränslandet eller vid sidan av den verksamhet som utmynnar i t.ex. fastställande av skatteunderlag, bör som ett särskilt ändamål anges kontroll, revision, prövning, granskning, tillsyn och analys.

Som ett annat särskilt ändamål med beskattningsdatabasen måste anges fullgörande av åligganden enligt internationella överenskommelser som Sverige efter riksdagens godkännande har tillträtt. Det är en följd av den ökade internationaliseringen och då främst Sveriges skyldighet att till EU redovisa information inom bl.a. punktskatte- och mervärdesskatteområdet.

Slutligen anges som primära ändamål tillsyn, kontroll, uppföljning och planering av verksamheten samt framställning av statistik. Riksskatteverket och skattemyndigheterna måste ha möjlighet att som ett led i beskattningsverksamheten behandla personuppgifter med syfte att kartlägga verksamheten, dvs. följa upp verksamheten och planera för åtgärder som skall vidtas i framtiden. Vad som avses är alltså intern kontroll av och tillsyn över den löpande verksamheten, i motsats till den externa kontroll och tillsyn som diskuteras ovan. Det måste även finnas möjligheter för skatteförvaltningen att behandla personuppgifter för statistiska ändamål, både officiellt reglerad statistik och sådan statistik som är av mer intern angelägenhet eller som i vart fall inte är författningsreglerad. Framställning av statistik bör därför också utgöra ett primärt ändamål.

Sekundära ändamål

Med sekundära ändamål för en databas avser vi sådana ändamål som kan hänföras till andra verksamhetsområden än det för vilket databasen primärt förs. För att en myndighet skall tillåtas direktåtkomst till beskattningsdatabasen krävs att de ändamål för vilka uppgifterna skall användas hos mottagaren utgör ett sekundärt ändamål för beskattningsdatabasen (se avsnitt 6.2.2 och 6.7.2). Även när det kan förutses att ett regelmässigt utlämnande till andra myndigheter kan komma att ske på annat sätt än genom direktåtkomst, bör detta framgå av de sekundära ändamålen.

Enligt vår mening finns det anledning att medge Tullverket direktåtkomst till beskattningsdatabasen (se avsnitt 8.1.4). Den rätten måste enligt nyss nämnda princip ha sin grund i de sekundära ändamålen med beskattningsdatabasen, och vi föreslår därför som ett särskilt ändamål med databasen att uppgifter skall få behandlas för att ge information som behövs i författningsreglerad verksamhet utanför skatteförvaltningen för fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter. I dag innebär det i praktiken att beskattningsdatabasen får användas för Tullverkets fiskala verksamhet.

Ett verksamhetsområde inom vilket det under lång tid har förekommit tillgång till skatteregister genom direktåtkomst är exekutionsväsendets utsöknings- och indrivningsverksamhet. Vi har inte funnit skäl för att genom vårt lagförslag i något avseende begränsa den åtkomst som kronofogdemyndigheterna i dag har till uppgifter inom skatteförvaltningens beskattningsverksamhet (se avsnitt 8.1.4). Ett sekundärt ändamål med beskattningsdatabasen bör därför vara utsökning och indrivning.

Vissa uppgifter som skall behandlas i beskattningsdatabasen kommer med stor sannolikhet att användas av olika myndigheter i deras verksamhet. Inte minst gäller det myndigheter som har till uppgift att kontrollera och ha tillsyn över olika företeelser i samhället, där företags och andra enskildas ekonomiska situation är av intresse. Som exempel kan nämnas kommunernas tillståndsgivning i fråga om utskänkning av alkohol och länsstyrelsernas tillsyn över restauranger m.m. Som ett särskilt ändamål med beskattningsdatabasen bör därför anges tillsyn samt lämplighets-, tillstånds- och annan liknande prövning. Myndigheter, och eventuellt andra, utanför skatteförvaltningen bör dessutom kunna få tillgång till uppgifter i någon form för att producera statistik. För att markera att ett sådant användande av uppgifter i beskattningsdatabasen inte står i strid med lagstiftningen, bör framställning av statistik därför också anges som ett sekundärt ändamål med databasen.

I dag förekommer det att myndigheter hämtar in information endast i form av basuppgifter om fysiska och juridiska personers identitet från skatteregistret. Vi anser inte att beskattningsdatabasen bör ha en sådan funktion, utan inhämtande av identitetsuppgifter bör om möjligt ske från register eller databaser som är direkt inriktade på tillhandahållande av sådan information. Uppgifter om fysiska personers identitet bör således i första hand hämtas in från den av oss föreslagna folkbokföringsdatabasen (se avsnitt 8.2) och uppgifter om juridiska personer kan med fördel hämtas in från aktiebolagsregistret eller liknande register. Tillhandahållande av identitetsuppgifter skall således inte vara ett ändamål med beskattningsdatabasen. Detta hindrar naturligtvis inte att identitetsuppgifter lämnas ut från beskattningsdatabasen tillsammans med andra uppgifter i de fall det är naturligt. Som exempel kan nämnas att vissa identitetsuppgifter, som namn och personnummer, lämnas ut tillsammans med uppgifter om en persons taxerade inkomst.

Som vi har påpekat i avsnitt 6.2.2 kan en uppräkning av sekundära ändamål som inte avser utlämnande med hjälp av direktåtkomst inte bli uttömmande, eftersom det inte är möjligt att förutse samtliga de situationer då uppgifter med stöd av exempelvis sekretesslagen kan komma att lämnas ut till myndigheter eller andra för olika ändamål. De ovan angivna sekundära ändamålen som inte är särskilt inriktade på direktåtkomst avser således de fall där det är möjligt att förutsäga att uppgifter kommer att lämnas ut i förhållandevis stor omfattning.

8.1.3. Uppgifter som får behandlas i databasen

Vårt förslag: I databasen skall, i den omfattning som behövs för beskattningsverksamheten, få behandlas uppgifter om

  • en fysisk persons identitet, bosättning, familjeförhållanden och andra liknande basuppgifter,
  • en juridisk persons identitet, säte och andra liknande basuppgifter,
  • registrering för skatter eller avgifter,
  • underlag för skatter eller avgifter,
  • bestämmande av skatter eller avgifter,
  • kontroll av skatter eller avgifter,
  • fastställande av fastighetstaxering,
  • yrkande och grunder i ett ärende, samt
  • beslut med angivande av skälen för beslutet, betalning, redovisning och övriga åtgärder i ett ärende.

Regeringen eller den myndighet som regeringen bestämmer skall meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen.

I databasen skall även få behandlas de uppgifter som behövs för fullgörande av ett åliggande som följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skall få behandlas i databasen endast som en del av en elektronisk handling. Undantag skall dock göras för uppgifter om trossamfund och medlemskap i fackförening.

Vi redovisar i avsnitt 6.3.2 vår inställning till detaljreglering av vad som får behandlas i en databas. För att undvika dels återkommande ändringar i lagen till följd av förändringar i bakomliggande materiell lagstiftning (för närvarande pågår t.ex. arbete inom regeringskansliet med en ny inkomstskattelag), dels att den blir svårgenomtränglig, anges i vårt lagförslag endast vilka kategorier av uppgifter som får behandlas i databasen. Dessa uppgiftskategorier avser vad som får behandlas i den informationsbaserade delen av databasen, dvs. vanligen uppgifter som registreras genom angivande av belopp m.m. i särskilda fält i skatteförvaltningens datasystem. För handlingar som ingår i ärendehanteringssystem föreslår vi särskilda bestämmelser. I de uppräknade kategorierna innefattas således samtliga de uppgifter som i dag finns i olika författningsreglerade eller tillståndspliktiga register inom skatteförvaltningens beskattningsverksamhet samt sådana ytterligare uppgifter som kan bli nödvändiga att registrera i framtiden. En grundläggande förutsättning för att en uppgift över huvud taget skall få behandlas är dock att den behövs för de primära ändamålen med databasen, dvs. för beskattningsverksamheten. Det får alltså i databasen inte förekomma uppgifter som inte behövs i den verksamheten, utan som endast är till nytta för t.ex. kronofogdemyndigheterna i deras exekutiva verksamhet (se avsnitt 6.2.2).

Uppräkningen av uppgiftskategorier som får behandlas i databasen utgör endast en ram för vad som får behandlas. Regeringen, eller den myndighet som regeringen bestämmer (Riksskatteverket), skall sedan meddela närmare föreskrifter om vilka uppgifter det rör sig om. Det bör nämligen enligt vår mening vara möjligt för enskilda att på det sätt som gäller i dag för exempelvis skatteregistret ha möjlighet att få en mer tydlig bild av vilka uppgifter om dem som kan vara föremål för behandling inom skatteförvaltningen. Nedan följer en kort exemplifiering

av vilka uppgifter de i lagförslaget uppräknade kategorierna enligt vår uppfattning omfattar.

Med identitets- och andra basuppgifter avses för fysiska personer sådant som personnummer, namn, hemadress eller särskild postadress samt uppgifter om civilstånd och hemmaboende barn m.m., dvs. uppgifter om enskilda som behövs för att beskattningsverksamheten skall fungera. Motsvarande gäller för juridiska personer. Det kan då röra sig om uppgifter om organisationsnummer, styrelseledamöter, firmatecknare samt adressuppgifter m.m. Med uppgifter om registrering för skatter eller avgifter avses bl.a. uppgifter om att någon är registrerad för mervärdesskatt och andra grundläggande uppgifter om skattskyldighet. Underlag för skatter eller avgifter är t.ex. uppgifter om taxerad inkomst och beskattningsbar förmögenhet eller uppgifter om under året utbetalda löner. Med bestämmande av skatter eller avgifter avses uppgifter om inbetald preliminär skatt och socialavgifter, fastställd skatt för inkomst av tjänst eller kapital samt uppgifter om kvarskatt eller överskjutande skatt m.m. Kontroll av skatter och avgifter innefattar sådant som uppgifter om beslutad eller pågående revision, anteckningar om förfrågningar till skattskyldiga eller andra myndigheter m.fl. I dessa fyra kategorier av uppgifter ingår med andra ord samtliga de uppgifter som skattemyndigheterna behöver för att vid ärendehantering få tillgång till nödvändig information eller för att beslut om debitering eller återbetalning av skatter och avgifter m.m. skall kunna fattas. Som en särskild kategori anges fastställande av fastighetstaxering, eftersom sådana uppgifter inte alltid utgör grund för beskattning.

Som två särskilda kategorier av uppgifter anges yrkande och grunder i ett ärende samt beslut med angivande av skälen för beslutet, betalning, redovisning och övriga åtgärder i ett ärende. Här avses uppgifter som i stor omfattning kommer att återfinnas i elektroniska handlingar i ärendehanteringssystem. Avsikten är inte att handlingarna i dess helhet regelmässigt skall registreras i den informationsbaserade delen av databasen. I den omfattning det behövs bör emellertid uppgifter om beslut m.m. avseende en person kunna återfinnas i databasen utan att en handläggare behöver ha tillgång till den elektroniska akten i det aktuella ärendet. Av betydelse är bl.a. att direktåtkomst till de elektroniska handlingarna enligt vårt förslag inte är tillåten för myndigheter utanför skatteförvaltningen. Det kan dock från informationssynpunkt vara viktigt för en tjänsteman hos en kronofogdemyndighet eller hos Tullverket att omedelbart få fram uppgift om utgången i ett ärende och samtidigt få en bild av vad som utgör grunden för beslutet. När uppgifter om yrkanden, grunder och beslut m.m. förs in i databasen på annat sätt än i elektroniska handlingar, får de emellertid inte omfatta känsliga personuppgifter m.m. När det är nödvändigt att få tillgång till ett beslut i dess

helhet eller övriga handlingar i ett ärende, bör enligt vår mening handlingarna tas fram genom ärendehanteringssystemet.

För att täcka in uppgifter som behandlas av andra skäl än beskattning på grund av att Sverige gentemot exempelvis EU är förpliktigat att hantera viss information, anges att behandling får ske av uppgifter som behövs för fullgörande av ett åliggande som följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt.

Behandlingen av vissa uppgifter i den informationsbaserade delen av databasen bör regleras i lag. Det gäller känsliga personuppgifter och uppgifter om lagöverträdelser m.m. enligt 13 och 21 §§personuppgiftslagen (se avsnitt 6.3.3 och 6.4.4). Enligt vad vi har erfarit har skattemyndigheterna för beskattningsändamål behov av att behandla uppgifter om trossamfund och medlemskap i fackförening. I lagen bör det därför anges att sådana uppgifter får behandlas för beskattningsändamål även på annat sätt än i elektroniska handlingar.

8.1.4. Direktåtkomst till databasen

Vårt förslag: Riksskatteverket, Tullverket, skattemyndigheterna och kronofogdemyndigheterna skall få ha direktåtkomst till beskattningsdatabasen. Regeringen skall få föreskriva att även annan får ha direktåtkomst till uppgifter i databasen.

Annan än Riksskatteverket och skattemyndigheter skall inte få ha direktåtkomst till elektroniska handlingar. Regeringen skall få meddela föreskrifter om ytterligare inskränkning i en myndighets eller annans direktåtkomst.

Regeringen skall få meddela föreskrifter om att en enskild får ha direktåtkomst till uppgifter om sig själv i databasen. Regeringen eller den myndighet som regeringen bestämmer skall meddela föreskrifter om vilka uppgifter som får omfattas av sådan direktåtkomst.

Regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om allmän direktåtkomst till uppgifter i databasen om

  • skyldighet att redovisa eller betala skatter eller avgifter,
  • innehav av skattsedel på preliminär skatt, samt
  • beräkning av skatteavdrag för betalning av preliminär skatt. Direktåtkomst till dessa uppgifter får inte vara utformad så att uppgifter om flera personer kan behandlas på automatiserad väg vid inhämtandet.

I avsnitt 6.7 redovisar vi vår principiella inställning till direktåtkomst till databaser. I enlighet med de resonemang vi för där föreslår vi att Riksskatteverket och skattemyndigheterna skall ha rätt till fullständig tillgång till uppgifter i beskattningsdatabasen, inklusive de elektroniska handlingarna vilka av integritetsskäl inte bör vara tillgängliga för andra myndigheter. För den händelse regeringen finner att det finns särskild anledning att begränsa åtkomsten till vissa uppgifter eller handlingar, föreslår vi en möjlighet för regeringen att meddela föreskrifter om sådan begränsning. Enligt vår uppfattning torde dock detta inte vara nödvändigt i nuläget.

Direktåtkomst för myndigheter utanför skatteförvaltningen

Vår allmänna inställning till direktåtkomst för myndigheter som inte tillhör den myndighetsorganisation som ansvarar för en databas redovisar vi i avsnitt 6.7.4. Möjligheterna för myndigheter utanför skatteförvaltningen att ta del av uppgifter i skatteregistret genom direktåtkomst är i dag kraftigt begränsade. Det finns starka integritetsskäl för detta och hänsyn måste också tas till att det råder absolut sekretess för uppgifter i beskattningsverksamhet. Det går dock inte att bortse från det faktum att datorteknikens stora framsteg under de senaste decennierna kommer att få allt större genomslag även i samarbetet mellan myndigheter. Vi anser att den tekniska utvecklingen inom dataområdet i största möjliga mån skall utnyttjas för att få till stånd en effektiv ärendehantering inom offentlig verksamhet. I de flesta fall är detta möjligt genom att en myndighet begär uppgifter av en skattemyndighet och får dem tillsända efter prövning av en tjänsteman. Sådant tillhandahållande av uppgifter kan i dag skötas genom snabba och effektiva överföringar via telenätet. Tillgång till uppgifter via direktåtkomst till beskattningsdatabasen bör enligt vår uppfattning inte användas annat än om det finns starka skäl för det.

Kronofogdemyndigheterna har i dag relativt omfattande tillgång till uppgifter i skatteregistret genom direktåtkomst, vilket i lagförarbetena har motiverats med den nära kopplingen mellan beskattningsverksamhet och indrivningsverksamhet (se avsnitt 3.1.2). Vi ser ingen anledning att av integritetsskäl inskränka den möjlighet som kronofogdemyndigheterna i dag har att på ett snabbt och effektivt sätt få tillgång till uppgifter som behandlas inom skatteförvaltningen, utan föreslår att kronofogdemyndigheter får ha direktåtkomst till uppgifter i beskattningsdatabasen. Direktåtkomsten skall dock inte omfatta de elektroniska handlingarna, eftersom dessa är särskilt känsliga från integritetssynpunkt (se avsnitt 6.7.4). Det är emellertid i vissa fall värdefullt eller nödvändigt för kronofogdemyndigheterna att ta del av skälen för ett beslut som fattats av en skattemyndighet, t.ex. i en fråga om anstånd med inbetalning av skatt.

Enligt vår mening kan det behovet tillgodoses även utan direktåtkomst till elektroniska handlingar. Vi föreslår att uppgifter om yrkande, grunder och beslut får behandlas i databasen på annat sätt än i elektroniska handlingar (se avsnitt 8.1.3). Sådana uppgifter ser vi i princip ingen anledning att begränsa direktåtkomsten till i större omfattning än för andra uppgifter i databasen. Om det finns behov hos kronofogdemyndigheterna av att få del av beslutshandlingar eller andra handlingar i ett ärende i fulltext, bör detta däremot inte ske genom direktåtkomst utan genom att en begäran görs hos aktuell skattemyndighet.

Det kommer sannolikt att förekomma uppgifter i beskattningsdatabasen vilka kronofogdemyndigheterna inte har något eller mycket litet behov att få del av. Enligt vår uppfattning bör myndigheterna inte ha direktåtkomst till sådana uppgifter, eftersom direktåtkomst endast bör förekomma när det finns starka effektivitetsskäl som talar för det. Regeringen bör därför ha möjlighet att meddela föreskrifter om begränsningar – utöver åtkomsten till elektroniska handlingar – i kronofogdemyndigheternas direktåtkomst.

Mellan Tullverket och skatteförvaltningen förekommer i många fall ett nära samarbete, inte minst med anledning av de skyldigheter vid uttag av punktskatter m.m. som Sverige har åtagit sig genom medlemskapet i EU. Tullverket bör därför ges möjlighet till direktåtkomst till beskattningsdatabasen, dock inte till de elektroniska handlingarna. Regeringen bör emellertid även här ha möjlighet att begränsa åtkomsten till att avse endast uppgifter som det bedöms vara av stor betydelse att Tullverket snabbt får tillgång till i olika situationer.

Utöver Tullverket och kronofogdemyndigheterna kommer det sannolikt att finnas flera myndigheter som regelmässigt behöver tillgång till olika uppgifter i beskattningsdatabasen. I de flesta fall torde dessa behov kunna tillfredsställas genom ett effektivt utlämnande av uppgifter på medium för automatiserad behandling efter särskild prövning av skattemyndigheterna. I vissa fall kan det efter en avvägning mellan effektivitets- och integritetsskäl dock finnas anledning att medge vissa myndigheter direktåtkomst till en begränsad mängd uppgifter i databasen. Regeringen bör därför ha möjlighet att vid behov föreskriva om sådan direktåtkomst. Möjligheten att föreskriva om direktåtkomst bör emellertid enligt vår uppfattning tillämpas mycket restriktivt. Hänsyn måste tas till den absoluta sekretess som gäller inom beskattningsverksamheten samt till att de uppgifter som behandlas ofta har lämnats av enskilda enligt tvingande bestämmelser i skattelagstiftningen. Detta innebär enligt vår bedömning att uppgifter i beskattningsdatabasen inte genom direktåtkomst bör lämnas ut till andra än myndigheter (se dock nedan om enskildas direktåtkomst till uppgifter om sig själva samt allmän direktåtkomst till vissa uppgifter).

Det bör påpekas att direktåtkomst för kronofogdemyndigheter, Tullverket och andra eventuellt aktuella myndigheter, endast får förekomma i ärenden hos de myndigheterna. Någon fri sökning i beskattningsdatabasen efter uppgifter för andra ändamål än handläggning av ett ärende kan självfallet inte accepteras. Till elektroniska handlingar bör, som vi tidigare nämnt, direktåtkomst inte under några omständigheter tillåtas för myndigheter utanför skatteförvaltningen.

Direktåtkomst för enskilda till uppgifter om sig själva

Vi redovisar i avsnitt 6.7.5 våra överväganden i fråga om möjligheten för enskilda att få direktåtkomst till egna uppgifter i myndigheters databaser. Vi föreslår för samtliga de verksamhetsområden som omfattas av vårt uppdrag att regeringen skall få meddela föreskrifter om att enskilda får ha direktåkomst till uppgifter om sig själva i en databas. När de tekniska lösningarna finns tillgängliga innebär det för beskattningsverksamhetens del att den möjlighet som finns i dag att lämna självdeklarationer och skattedeklarationer genom ett elektroniskt dokument kan bli praktiskt användbar. Fysiska personer har inte någon större nytta av möjligheten att lämna sin deklaration genom ett elektroniskt dokument, innan den skattskyldige via Internet kan nå ett formulär med uppgifter om sig själv motsvarande de som är förtryckta på den förenklade självdeklaration som i dag skickas ut som brevförsändelse från skattemyndigheterna. När det blir möjligt uppkommer stora fördelar för både skatteförvaltningen och de skattskyldiga.

Samma förfarande skulle också kunna utnyttjas vid exempelvis ansökningar om förslag till särskild beräkningsgrund eller som hjälp vid beräkning av skatt. Ett annat användningområde inom beskattningsverksamheten skulle vara att ge enskilda möjlighet att komma åt uppgifter om sina skattekonton. Med direktåtkomst till sitt skattekonto skulle en skattskyldig i samband med avgivande av självdeklaration enkelt kunna få uppgifter om behållningen på kontot och därigenom få information om ytterligare inbetalning krävs eller om han kan kräva återbetalning av överskjutande belopp.

Allmän direktåtkomst till vissa uppgifter av allmänt intresse

I beskattningsdatabasen kommer enligt vårt förslag att behandlas ett antal uppgifter av sådan karaktär att deras spridning bland allmänheten är av stort intresse. För uppgifter av det slag som inte kan anses vara integritetskänsliga, finns det enligt vår mening anledning att överväga en allmän direktåtkomst för envar som eftersöker uppgifterna, t.ex. via Internet eller med hjälp av telefontjänst. De uppgifter vi har i åtanke är

information om innehav av skattsedel på preliminär skatt (F- eller Askatt), uppgifter om skyldighet att redovisa eller betala skatter eller avgifter samt uppgifter till ledning för beräkning av skatteavdrag för preliminär skatt (tillämplig skattetabell). De nu nämnda uppgifterna är offentliga och de är inte känsliga från integritetssynpunkt, samtidigt som det finns stora fördelar med ett system varigenom envar på ett enkelt sätt kan ta del av uppgifterna, även under helger eller vid andra tidpunkter då det i dag inte är möjligt att inhämta uppgifterna från skattemyndigheterna.

Genom en allmän tillgång till uppgifter om skattsedelsinnehav och skyldighet att redovisa eller betala skatter eller avgifter, blir det enklare för enskilda, såväl privatpersoner som företag, att få del av viktig information som behövs vid köp av olika tjänster på marknaden. De nämnda uppgifterna är av avgörande betydelse för bl.a. prissättning av tjänster, dvs. om kostnaden för en tjänst skall inkludera sociala avgifter eller inte. Arbets- eller uppdragsgivare som skall göra skatteavdrag, dvs. innehålla preliminär skatt, kan dessutom på ett enkelt sätt få information om hur stora avdrag som skall göras för arbets- eller uppdragstagarna genom tillgång till de för de enskilda aktuella skattetabellerna.

Enligt vår uppfattning skulle ett förfarande som det nu beskrivna, om utlämnande av vissa offentliga uppgifter av allmänt intresse, inte strida mot bestämmelserna om överföring av personuppgifter till tredje land i artiklarna 25 och 26 i dataskyddsdirektivet.

Eftersom de uppgifter som vi anser att det kan vara lämpligt att lämna ut genom direktåtkomst till envar inte är integritetskänsliga, bör enligt vår uppfattning regeringen eller Riksskatteverket kunna fatta beslut om sådant utlämnande. Vi föreslår därför att regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om allmän direktåtkomst till uppgifter om innehav av skattsedel på preliminär skatt, uppgifter om skyldighet att redovisa eller betala skatter eller avgifter samt uppgifter till ledning för beräkning av skatteavdrag för preliminär skatt.

Det är givetvis viktigt att det inte ges möjlighet för enskilda att med hjälp av direktåkomst vid inhämtandet av uppgifter göra sammanställningar som omfattar flera personer. En sådan möjlighet skulle nämligen innebära en avsevärd risk för uppkomsten av omfattande personregister som skulle stå helt utanför offentlig kontroll. Oavsett på vilket sätt direktåtkomst medges – t.ex. genom Internet eller tonvalstelefon – måste det därför finnas tekniska spärrar som förhindrar upprepade förfrågningar om flera personer. Det skall alltså vara tillåtet endast med enstaka inhämtanden. I detta sammanhanget bör påpekas att vår utgångspunkt är att den information som lämnas ut skall bestå av svar på en konkret förfrågan, som t.ex. om en viss med organisations- eller personnummer

angiven person har F-skattsedel eller vilken skattetabell som gäller för en viss med personnummer identifierad person.

8.1.5. Gallring av uppgifter i databasen

Vårt förslag: Uppgifter och handlingar i beskattningsdatabasen skall enligt huvudregeln gallras sju år efter utgången av det kalenderår då beskattningsåret till vilket uppgifterna eller handlingarna kan hänföras gick ut.

Uppgifter om revision skall gallras tio år efter utgången av det kalenderår under vilket revisionen avslutades.

Uppgifter och handlingar som avser fastighetstaxering skall gallras tio år efter utgången av det taxeringsår till vilket uppgifterna eller handlingarna kan hänföras.

Uppgifter och handlingar som avser gåvoskatteärenden skall gallras tolv år efter utgången av det år under vilket gåvodeklaration lämnades. Uppgifter och handlingar som avser gåvoanmälningsärenden skall gallras tre år efter utgången av det år under vilket förfrågan eller anmaning att komma in med deklaration gjordes.

Uppgifter och handlingar som enligt lagen om tobaksskatt, lagen om alkoholskatt samt lagen om skatt på energi, behandlas för att tillhandahålla skattskyldiga och behörig myndighet i Sverige eller ett annat land inom Europeiska unionen uppgifter om personer som är godkända upplagshavare eller som är registrerade varumottagare eller uppgifter om godkända skatteupplag, skall gallras sju år efter utgången av det kalenderår under vilket upplagshavaren eller varumottagaren avregistrerades.

Regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om att en uppgift eller handling skall gallras vid en annan tidpunkt eller bevaras samt om att uppgifter och handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.

I avsnitt 6.8 redovisar vi de allmänna överväganden som ligger till grund för våra förslag till bestämmelser om gallring av uppgifter i databaser och de olika metoder som kan vara lämpliga att tillämpa i lagstiftningen. För skatteförvaltningens del har vi valt den metod som innebär angivande av en huvudregel för gallring av uppgifter, följd av några kompletterande bestämmelser i de fall huvudregeln inte kan tillämpas. Från dessa regler kan sedan avsteg göras i förordning eller i föreskrifter

från Riksarkivet. Som vi konstaterar tidigare bör alltför detaljerade gallringsregler undvikas i lagstiftningen.

De föreslagna bestämmelserna har valts med utgångspunkt i att en huvudregel bör vara tillämplig på så många olika uppgifter i databasen som möjligt. En bestämmelse som utgår från beskattningsår är möjlig att tillämpa på uppgifter om mervärdesskatt, arbetsgivaravgifter, inkomsttaxering och punktskatter. För vissa uppgifter kan huvudregeln av olika skäl inte tillämpas och det krävs därför kompletterande bestämmelser.

Huvudregeln

Enligt 19 § skatteregisterlagen skall sådana uppgifter i det centrala skatteregistret som hänför sig till viss beskattningsperiod gallras sju år efter utgången av det kalenderår under vilket perioden gick ut. Även uppgifterna i de regionala registren skall huvudsakligen gallras sju år efter beskattningsårets utgång. Från dessa regler har en rad undantag gjorts för vissa typer av uppgifter (se avsnitt 3.1.2). En av de principer som har legat till grund för gallringsbestämmelserna i skatteregisterlagen är att det i efterhand skall vara möjligt att fastställa vilka omständigheter som varit avgörande för ett beslut. Detta gäller i särskilt hög grad så länge beslutet kan bli föremål för omprövning.

De principer som låg till grund för dagens gallringsbestämmelser i skatteregisterlagen äger fortfarande giltighet. Något skäl att vid bestämmandet av en huvudregel frångå dessa principer har vi inte ansett föreligga. Vi har därför valt att i vårt förslag framför allt utgå från de bestämmelser om omprövning som gäller på beskattningsområdet. Sådana bestämmelser finns i lagen (1984:151) om punktskatter och prisregleringsavgifter, taxeringslagen och skattebetalningslagen. Ett omprövningsbeslut som är till den skattskyldiges fördel får enligt taxeringslagen meddelas före utgången av det femte året efter taxeringsåret. Motsvarande tidsfrist gäller för beslut om eftertaxering. Enligt lagen om punktskatter och prisregleringsavgifter skall, med vissa undantag, en begäran om omprövning göras senast sjätte året efter utgången av det kalenderår under vilket beskattningsåret har gått ut. Enligt skattebetalningslagen får omprövningsbeslut till den skattskyldiges fördel meddelas senast sjätte året efter utgången av det kalenderår under vilket beskattningsåret har gått ut. Vi har även beaktat preskriptionsbestämmelserna i lagen (1982:188) om preskription av skattefordringar m.m. Enligt den lagen är huvudregeln att preskription inträder fem år efter utgången av det kalenderår då fordran förföll till betalning. Vi föreslår mot bakgrund av det angivna att uppgifter i beskattningsdatabasen bör gallras senast sju år efter utgången av det kalenderår då beskattningsåret till vilka uppgifterna hänförs gick ut.

I flera fall kommer undantag att behöva göras från sjuårsregeln. Det gäller bl.a. uppgifter i ärenden om anstånd samt omprövning eller överklagande. De närmare gallringsfristerna som skall gälla för olika uppgifter anser vi närmast faller på Riksarkivet att göra efter samråd med Riksskatteverket. För vissa uppgifter anser vi dock att det finns anledning att ange särskilda gallringsbestämmelser i lag.

Uppgifter om revision

I dag gäller särskilda regler för gallring av uppgifter om revision. Sådana uppgifter får bevaras under högst tio år efter utgången av det år under vilket revisionen avslutades. Det kan enligt vår mening fortfarande finnas skäl att bevara uppgifter om revision under en längre tid. Uppgifterna utgör ofta grundval för ändring av taxerings- eller beskattningsbeslut och behövs även senare under eventuella processer. Uppgifterna kan ofta anses känsliga och gallringstiden bör därför regleras i lag.

Fastighetstaxering

Huvudregeln kan inte tillämpas i fråga om uppgifter avseende fastighetstaxering, eftersom förfarandet med sådan taxering inte har sin utgångspunkt i beskattningsår. Vi har i stället valt att föreslå en kompletterande bestämmelse som innebär att handlingar och uppgifter som avser fastighetstaxering skall gallras tio år efter taxeringsårets utgång. Den tioåriga fristen har vi valt med beaktande av att en sådan frist idag föreskrivs i fastighetstaxeringsförordningen (1993:1199) beträffande allmän fastighetstaxering, särskild fastighetstaxering respektive omräkning av fastighetstaxering. Bestämmelserna i fastighetstaxeringsförordningen föreskriver en kortare gallringsfrist än den som följer av Datainspektionens gallringsföreskrifter för de regionala fastighetstaxeringsregistren. Enligt dessa skall uppgifter bevaras i tolv år efter taxeringsårets utgång. Enligt vad vi har erfarit föreligger det inte något behov av en tolvårig generell bevarandetid. Vi väljer därför den något kortare fristen.

Gåvoskatt

I fråga om gåvoskatt skall, enligt Datainspektionens föreskrifter, personuppgifter i deklarationsärenden gallras efter tolv år. Vidare finns bestämmelser om gallring i lagen (1941:416) om arvsskatt och gåvoskatt. Enligt den lagen skall avlämnade deklarationer förvaras hos beskattningsmyndigheten under tolv år från utgången av det år under vilken de har getts in. Myndigheten har möjlighet att besluta om en femtioårig

gallringsfrist. Det är reglerna om sammanläggning och uppskov som är anledning till den tolvåriga respektive femtioåriga gallringsfristen.

Vi har mot denna bakgrund valt att för uppgifter i gåvoskatteärenden föreslå en generell gallringsbestämmelse som innebär att uppgifter och handlingar i dessa ärenden skall gallras senast årsskiftet tolv år efter det att gåvodeklaration inlämnades. Det avsteg som erfordras från denna generella gallringsfrist anser vi närmast faller på Riksarkivet att göra efter samråd med Riksskatteverket.

I gåvoanmälningsärenden har Datainspektionen i sina tillstånd föreskrivit att personuppgifter skall gallras årsskiftet efter att en deklaration kom in och i övriga fall senast årsskiftet tre år efter förfrågan eller anmaning att inkomma med deklaration. För uppgifter som hämtats in från fastighetstaxeringsregistren har Datainspektionen föreskrivit att uppgifter om förvärv som inte är gåvoskattepliktiga skall gallras omedelbart när detta förhållande har konstaterats. Vi utgår från att dessa gallringsfrister motsvarar verksamhetens generella behov av att bevara uppgifter och föreslår därför en generell gallringsfrist i gåvoanmälningsärenden med innebörd att uppgifter och handlingar i sådana ärenden skall gallras senast tre år efter att förfrågan eller anmaning att inkomma med deklaration gjordes.

Uppgifter i SEED-registret

Som vi nämner i avsnitt 3.1.5 anges i lagen om tobaksskatt, lagen om alkoholskatt samt lagen om skatt på energi, att beskattningsmyndigheten – Skattemyndigheten i Gävle (Särskilda skattekontoret i Ludvika) – med hjälp av automatisk databehandling skall föra register över personer som har godkänts som upplagshavare eller som är registrerade varumottagare samt över godkända skatteupplag. Ändamålet med registret är att tillhandahålla skattskyldiga och behörig myndighet i Sverige eller ett annat EU-land uppgifter om sådant godkännande och sådan registrering. Uppgifterna enligt de tre lagarna har inordnats i ett gemensamt register (System for the Exchange of Excise Data, SEED). Uppgifterna i SEEDregistret skall enligt gällande lagstiftning gallras sju år efter utgången av det kalenderår som upplagshavaren eller varumottagaren avregistrerades. Vi har inte funnit anledning att avvika från denna gallringsfrist.

Särskilda föreskrifter om undantag

Vissa uppgifter i beskattningsdatabasen bör inte gallras över huvud taget. Det gäller bl.a. uppgifter som i dag återfinns i taxeringsuppgiftsregistret och tidigare återfanns i skattelängder. Genom att bevara dessa

uppgifter tillgodoses statistikens och forskningens behov, samtidigt som den kontinuitet som finns i dag avseende sådana uppgifter kan bibehållas. Enligt vår uppfattning kan således bestämmelser om att vissa uppgifter i beskattningsdatabasen skall bevaras ersätta föreskrifter om inrättande av t.ex. särskilda taxeringsuppgiftsregister. Vi anser att det bör åligga regeringen eller, om regeringen bestämmer det, Riksarkivet att meddela föreskrifter om vilka uppgifter som skall bevaras.

Även i övrigt bör regeringen eller Riksarkivet ha möjlighet att meddela föreskrifter om att vissa uppgifter som undantas från gallring i beskattningsdatabasen skall överlämnas till en arkivmyndighet.

8.2. Skatteförvaltningens folkbokföringsverksamhet

8.2.1. En särskild lag för folkbokföringsverksamheten

Vårt förslag: Behandling av personuppgifter i den del av skatteförvaltningens verksamhet som rör folkbokföringsfrågor skall regleras i en särskild lag.

Som vi nämner i avsnitt 8.1.1 anser vi att starka skäl talar för att behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet skall regleras i en särskild lag. För den brottsutredande verksamhet som skattemyndigheterna bedriver finns bestämmelser i lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar. Ansvaret för frågor om val och folkomröstningar delar skatteförvaltningen med länsstyrelserna och de kommunala valnämnderna. De delarna av förvaltningens verksamhet bör därför inte regleras gemensamt med folkbokföringsfrågor. Ett flertal argument kan föras fram även mot att beskattningsfrågor regleras gemensamt med folkbokföringsfrågorna. För det första är de två verksamhetsgrenarna organisatoriskt åtskilda på så sätt att uppgifterna inte behandlas av samma personalkategorier. Dessutom är sekretesskyddet väsentligt strängare för uppgifter inom beskattningsverksamheten än inom folkbokföringen. För det andra har de frågor som hanteras av respektive verksamhetsgren inte någon saklig anknytning till varandra. För det tredje är typerna av uppgifter som behandlas så olika, att vi inte kan se någon lagteknisk vinst med en

gemensam reglering. Vi väljer därför en lösning som innebär att skatteförvaltningens folkbokföringsverksamhet regleras i en särskild lag som inte omfattar andra delar av förvaltningens verksamhet.

8.2.2. Ändamålen med behandling i folkbokföringsdatabasen

Vårt förslag: Uppgifter skall få behandlas i databasen för tillhandahållande av information som behövs inom skatteförvaltningen för

  • samordnad behandling av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter,
  • handläggning av folkbokföringsärenden,
  • fullgörande av underrättelseskyldighet enligt lag eller förordning samt för att tillgodose samhällets behov av folkbokföringsuppgifter i övrigt,
  • tillsyn, kontroll, uppföljning och planering av verksamheten, samt
  • framställning av statistik.

Som framgår av avsnitt 6.1 föreslår vi att det för de verksamheter som vi har att utreda skall finnas en särskild reglering för behandling i databaser. För en närmare redogörelse av vad som avses med begreppet databas och beskrivning av när behandling av personuppgifter skall omfattas av de särskilda reglerna för databaser hänvisas till det avsnittet.

I lagen (1990:1536) om folkbokföringsregister, lagen (1995:743) om aviseringsregister och förordningen (1991:750) om folkbokföringsregister anges ändamålen med de register vars reglering vi föreslår skall ersättas genom bestämmelserna om en folkbokföringsdatabas (se avsnitt 3.2). Vi har inte för avsikt att föreslå några förändringar avseende för vilka ändamål uppgifter får behandlas i folkbokföringsverksamheten. Den i lagförslaget återgivna ändamålsbeskrivningen motsvarar därför i sak vad som gäller i dag.

Som vi redovisar i avsnitt 6.2.2 anser vi att man principiellt bör skilja mellan primära och sekundära ändamål. Med primära ändamål avser vi ändamål som är direkt anpassade till den verksamhet som bedrivs av personuppgiftsansvariga myndigheter. Sekundära ändamål är ändamål som kan hänföras till andra verksamhetsområden än det för vilket databasen primärt förs. För folkbokföringsverksamheten gäller emellertid i detta avseende något speciella förhållanden. Inom samtliga de övriga verksamheter som omfattas av vårt uppdrag förs i dag personregister med det huvudsakliga ändamålet att utgöra ett stöd för myndigheterna i

utövandet av sina arbetsuppgifter. Det primära ändamålet med registren är med andra ord myndigheternas egen verksamhet. Det primära ändamålet för dagens folkbokförings- och aviseringsregister kan däremot närmast sägas vara att bistå samhället i stort, och inte bara den egna verksamheten, med uppgifter om fysiska personer i Sverige.

Vi föreslår som ett första ändamål med folkbokföringsdatabasen skatteförvaltningens skyldighet att behandla uppgifter för samordning av identifieringsuppgifter för fysiska personer och andra folkbokföringsuppgifter. Detta ändamål har sin direkta motsvarighet i lagen om folkbokföringsregister och avser kärnan i verksamheten, nämligen att föra ett kontinuerligt register med ett antal grundläggande uppgifter om Sveriges alla invånare och vissa andra personer. Ett väsentligt ändamål med databasen är även handläggning av folkbokföringsärenden. Med detta avser vi inte endast handläggning av ärenden enligt folkbokföringslagen (1991:481), utan på samma sätt som i dag samtliga de ärenden som handläggs av skattemyndigheterna i egenskap av ansvariga myndigheter för folkbokföringsverksamheten. Som exempel kan nämnas ärenden enligt namnlagen (1982:670). Det ändamålet omfattar även behandling av personuppgifter i de handläggningsregister som i dag förs med stöd av förordningen om folkbokföringsregister.

Som ett särskilt ändamål med folkbokföringsdatabasen föreslår vi skatteförvaltningens underrättelseskyldighet enligt lag eller förordning samt förvaltningens skyldighet att tillgodose samhällets behov av folkbokföringsuppgifter i övrigt. Som vi nämner ovan kan det sägas vara det huvudsakliga ändamålet med databasen. Vår avsikt är att detta ändamål skall omfatta vad som i dag anges i lagen om folkbokföringsregister om framställning av personbevis och andra registerutdrag samt uttag av folklängder och andra samlingar av uppgifter för förvaring hos statliga arkivmyndigheter. Även de för aviseringsregistret i dag angivna ändamålen aktualisering, komplettering och kontroll av samt uttag av urval av personuppgifter, faller in under det ändamålet.

Slutligen anges som ändamål med databasen tillsyn, kontroll, uppföljning och planering av verksamheten samt framställning av statistik. Riksskatteverket och skattemyndigheterna måste ha möjlighet att som ett led i folkbokföringsverksamheten behandla personuppgifter med syfte att kartlägga verksamheten, dvs. följa upp verksamheten och planera för åtgärder som skall vidtas i framtiden. Det måste även finnas möjligheter att behandla personuppgifter i folkbokföringsdatabasen för statistiska ändamål, både officiellt reglerad statistik och sådan statistik som inte är författningsreglerad.

8.2.3. Uppgifter som får behandlas i databasen

Vårt förslag: I databasen skall, i den omfattning som behövs för folkbokföringsverksamheten, få behandlas uppgifter om

  • personnummer,
  • samordningsnummer enligt folkbokföringslagen (1991:481),
  • namn,
  • födelsetid,
  • födelsehemort,
  • födelseort,
  • adress,
  • folkbokföringsfastighet, lägenhetsbeteckning, folkbokföringsort och folkbokföring under särskild rubrik,
  • medborgarskap,
  • civilstånd,
  • make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen,
  • samband enligt föregående punkt som är grundat på adoption,
  • inflyttning från utlandet,
  • avregistrering,
  • anmälan enligt 7 kap.1 och 10 §§vallagen (1997:157), samt
  • gravsättning. I databasen skall få behandlas uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § folkbokföringskungörelsen (1967:495).

I databasen skall få behandlas uppgifter om tidpunkter för nu nämnda förhållanden. För uppgifter om personnummer, samordningsnummer och avregistrering skall få anges grunden för förhållandet. För uppgift om samordningsnummer skall även få anges de handlingar som har legat till grund för identifiering samt uppgift om att det råder osäkerhet om personens identitet.

I databasen skall också få behandlas uppgifter om yrkande och grunder i ett ärende, beslut i ett ärende med angivande av skälen för beslutet samt andra uppgifter som behövs för handläggningen av ett ärende. Regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om vilka uppgifter som sålunda får behandlas i databasen.

Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skall få behandlas i databasen endast som en del av en elektronisk handling. Undantag skall dock göras för uppgifter som uttryckligen anges i lagen.

Till skillnad från vad som gäller inom framför allt beskattningsverksamheten är förändringstakten inom folkbokföringsverksamheten förhållandevis låg i fråga om vilka uppgifter om fysiska personer som behöver behandlas på automatiserad väg i den informationsbaserade delen av databasen. Den uppräkning av uppgifter som i dag återfinns i lagen om folkbokföringsregister är dessutom både så begränsad till sin omfattning och av så central betydelse i folkbokföringsverksamheten, att vi inte ser någon anledning att indela uppgifterna i kategorier och överlåta till regeringen eller Riksskatteverket att närmare besluta om vilka uppgifter som får behandlas. Vi har i stället valt att, på samma sätt som för folkbokföringsregister i dag, ange uppgifterna direkt i lag, med endast smärre förändringar i det materiella innehållet så som det enligt beslut av riksdagen kommer att vara utformat den 1 januari 2000. Uppgifter om sjömansregistrering finns det enligt vad vi har erfarit inte längre något behov av och vi har därför inte funnit anledning att föra över den bestämmelsen från dagens lagstiftning. Det kommer inte heller att finnas anledning att i framtiden behandla uppgifter om medlemskap i icke territoriell församling. Sådana uppgifter kom